Microsoft Forefront Client Security !

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0″

   Forefront Client Security (FCS), Microsoft’un sunucu ve istemciler için virüslere ve zararlı yazılımlara karşı hazırladığı, merkezi olarak yönetilebilen ve güncellenebilen anti virüs ve anti spyware/malware çözümüdür. Bunun için FCS pek çok Microsoft teknolojisini bir araya getirmektedir.
Bu makalede öncelikle FCS kulumu için gereksinimler anlatılmıştır. Daha sonra FCS’nin nasıl çalıştığı, yönetiminin nasıl gerçekleştirildiği, politikalarında hangi ayarların bulunduğu ve politikaların nasıl uygulandığı anlatılmaktadır.
FCS Kurulumu İçin Gereksinimler:
1. Yazılım Gereksinimleri
FCS aktif dizin altyapısını ve pek çok diğer Microsoft teknolojisini kullandığı için bazı yazılımların önceden yüklü olmasına ihtiyaç duyar.
1.1. Ücretsiz yazılım gereksinimleri
IIS ve ASP.NET : FCS ile ilgili tanım güncelleştirmelerinin dağıtılması ve raporlama işlemleri için .NET 2.0 altyapısı ve web servisi gereklidir.

Group Policy Managemet Console (GPMC): FCS ile ilgili ayarların etki alanında grup politikaları ile otomatik olarak dağıtılması için GPMC SP1 gereklidir.
Microsoft Management Console (MMC) 3.0: FCS yönetim arayüzü MMC 3.0 altyapısını kullanmaktadır.
Windows Server Update Services (WSUS): FCS ile ilgili tanım güncelleştirmelerinin merkezi olarak dağıtılabilmesini sağlar.
1.2. Ücretli yazılım gereksinimleri
SQL Server 2005: FCS ile ilgili tüm ayarlar, yapılan taramaların sonuçları, bulunan zararlı yazılımlar ve buna benzer tüm bilgiler SQL Server 2005 veritabanlarında tutulur. FCS’nin çalışabilmesi için SQL Server 2005 için en az SP1 kurulmuş olmalıdır.
SQL Server 2005 Reporting Services: FCS her türlü raporlama işlemi için SQL Server 2005 Reporting Services kullanmaktadır. Bu sayede her seviyede rapor kolayca üretilebilmekte ve çeşitli şekillerde görüntülenebilmektedir.

1.3. FCS ile yüklenen yazılımlar
Microsoft Operations Manager (MOM) 2005 SP1: İstemcilerde çalışan yazılım bulduğu tüm tehditler, açıklıklar ve bunlar için yaptığı tüm işlemler için olay günlüğüne kayıt düşmektedir. FCS bütün bu kayıtların yönetilmesi ve merkezden verilen komutların istemcilerde gerçekleştirilebilmesi için MOM alt yapısını kullanmaktadır.
Microsoft Operations Manager 2005 Reporting Services: Toplanan kayıtlarla ilgili raporlama işlemlerinde MOM raporlama servisi kullanılmaktadır.
2. Kullanılacak Hesaplar
FCS’nin kurulumunu yapmak ve servislerini çalıştırmak için bazı hesaplara ihtiyaç vardır. Kurulum sırasında servis hesaplarına gerekli haklar verilmektedir fakat gerekli tüm hakların bilinmesi sorunların giderilmesinde faydalı olacaktır.
2.1. Kurulum hesabı
Kurulumun yapılacağı hesap tüm sunucular üzerinde yerel yönetici (local administrator) olmalıdır.
2.2. Servis hesapları
FCS ile kullanılması gereken servis hesapları, bu kullanıcı hesaplarının tipleri ve sahip olması gereken haklar aşağıdaki tabloda verilmiştir.

Servis kullanıcısı 

Kullanıcı tipi

Açıklama

Data Access Server (DAS) hesabı

Etki alanı kullanıcısı, bazı durumlarda collection sunucusu üzerinde yerel yönetici

Hareket hesabı olarak DAS hesabı kullanılacaksa collection sunucusu üzerinde yerel yönetici hakları verilmelidir.
Collection sunucusu collection veritabanına ulaşmak için DAS hesabını kullanır. Kurulum sırasında gerekli izinler otomatik olarak verilir.

Raporlama (Reporting) account

Etki alanı kullanıcısı

Reporting sunucusu reporting veritabanına ve collection veritabanına bağlanırken bu hesabı kullanır. 

Hareket (Action) hesabı

Etki alanı kullanıcısı ve collection server üzerinde yerel yönetici

Hareket hesabı collection sunucusu üzerinde yerel yönetici olmalıdır.
Sunucu tarafında kullanılan betikler ve güvenlik denetlemeleri (security state assessment) bu hesap ile yapılır.

Data Transformation Services (DTS) hesabı 

Etki alanı kullanıcısı

Raporlama sunucu bu kullanıcı ile collection veritabanından reporting veritabanına veri aktarım işlerini gerçekleştirir. 

FCS Nasıl Çalışır?
Forefront Client Security, yönetim sunucusu ile raporlama ve uyarı gönderme sunucuları olarak iki sunucu tabanlı bileşen yoluyla kullanılır.
Yönetim sunucusu üzerinde çalışan merkezi konsol ile tarama zamanlaması, gerçek zamanlı korumanın etkinleştirilmesi ve devre dışı bırakılması, belirli tehditlere karşı varsayılan eylemler ve uyarı gönderme ve raporlama seviyeleri gibi bütün ayarlar yapılabilir. Ayarlar aktif dizin politikaları veya kayıt defteri dosyaları ile istemcilere dağıtılır.
En son çıkan kötü amaçlı yazılımlara karşı koruma sağlayabilmek için FCS Microsoft Windows Server Update Services (WSUS) kullanır. FCS istemcisinin kullanacağı kötü amaçlı yazılım tanımlarıyla ilgili güncelleştirmeler istemci bilgisayarlına WSUS ile dağıtılır. Ayrıca istemci programı da WSUS ile dağıtılarak bilgisayarlara otomatik olarak kurulabilir.
İstemci makinelerde meydana gelen olaylar için Windows olay günlüğünde kayıtlar yaratılır. Bu kayıtlar MOM ajanı tarafından raporlama ve uyarı gönderme sunucusuna aktarılır. Bu işlem için gerekli tüm MOM bileşenleri FCS kurulumu ile yüklenmektedir.
Forefront Client Security, Microsoft SQL Server’ın veritabanı ve raporlama sistemlerini kullanır. Bütün bu işlemler aşağıdaki şekilde bir döngü olarak gösterilmektedir.

FCS Yönetimi

FCS yönetimi Forefront Client Security Management Console üzerinden yapılmaktadır ve bu yönetim konsolu MMC 3.0 altyapısını kullanmaktadır. Konsolda iki sekme bulunmaktadır. Bunlardan ilki olan “Dashboard” yönetilen bilgisayarların durumlarını özet olarak gösteren bir arayüzdür. Ayrıca yönetilen istemciler için güvenlik taramaları buradan başlatılabilmektedir.

FCS yönetim konsolunda “Dashboard” sekmesi
Yönetim konsolunun diğer sekmesi FCS ile ilgili ayarların yapılıp politikaların oluşturulduğu “Policy Management” sekmesidir. Burada yeni politika oluşturulabilir, var olan politikalarda değişiklikler yapılabilir, politikaların uygulanması veya kaldırılması işlemleri gerçekleştirilebilir. Ayrıca bu bölümden politikalarla ilgili raporlara erişmek de mümkündür.

FCS yönetim konsolunda politika yönetim sekmesi
FCS Politika Ayarları
FCS politikalarının ayarlarının yapılabildiği pencerede beş farklı sekme bulunmaktadır.
1. Genel Ayarlar
“General” sekmesi ilgili politikayla ilgili tanımları gösterir. Politika ismi, politikanın nereleri uygulandığı ve politika ile ilgili yorumlar buradan görülebilir.

2. Koruma Ayarları

“Protection” bölümünde zararlı yazılımlardan korunma, yapılacak taramalar ve güvenlik değerlendirmeleri ile ilgili ayarlar bulunur. Aşağıdaki şekilde de görüldüğü gibi virüs koruması ve casus yazılım koruması ayrı ayrı devreye alınıp iptal edilebilmektedir. Düzenli taramalarla ilgili ayarlar da buradan yapılabilir. Ayrıca güvenlik durumu değerlendirmesi (security state assesment) ayarları da bu sekmede bulunmaktadır. Güvenlik durum değerlendirmesi zararlı yazılımların dışında istemcideki güvenlik ayarlarını ve yama eksikliklerini de denetler. İstemcide bulduğu ayarları kendi tanımlarında bulunan ayarlarla karşılaştır ve bulduğu açıklıklara yüksek,orta, düşük, bilgi ve hata değerlerinden birini atar. Bu taramaların sonuçları daha sonra raporlar halinde görüntülenebilmektedir. Yapılan tüm testler aşağıda verilmiştir:

Windows sürüm denetimi 
Otomatik güncelleme denetimi 
Güvenlik güncellemeleri denetimi 
Tamamlanmamış güncelleme denetimi 
Anonim erişim denetimi 
Dosya sistemi denetimi 
Otomatik oturum açma denetimi 
Mevcut paylaşımların denetimi 
Gereksiz servilerin denetimi 
Misafir hesabı denetimi 
Yöneticilerin denetimi 
Şifre sürelerinin denetimi 
Güvenlik durum denetlemeleri ve diğer teknik detaylarla ilgili daha geniş bilgi Forefront Client Security TechCenter, Technical Reference sayfasından alınabilir.

3. Gelişmiş Ayarlar

“Advanced” sekmesinde FCS istemcilerinin nasıl davranacağını belirleyen önemli ayarlar bulunmaktadır. Zararlı yazılımlara karşı koruma sağlayan programların başarılı olması için gerekli en önemli etkenlerden biri tarama motorunun ve virüs tanımlama veritabanının güncel olmasıdır. Bu sekmede tanım güncellemeleri ile ilgili önemli ayarlar bulunmaktadır. FCS tanım güncellemelerini istemcilere dağıtmak için WSUS kullanılmaktadır. Tarama başlamadan önce tanımların güncellemelerinin kontrol edilmesi seçeneği (Check for updates before starting scan) işaretlendiğinde istemci WSUS sunucusuna bağlanıp yeni tanımları kontrol edecektir. Burada önemli diğer bir ayar da WSUS sunucusuna ulaşılamadığında internet üzerinden Microsoft Update kullanılmasına izin verilmesidir (Check for updates on Microsoft Update when WSUS is unavailable). Bu seçenek işaretlendiğinde istemci, kullandığı WSUS sunucuya erişemezse internet üzerinden Microft Update sitesine bağlanıp tanım güncellemelerini kontrol edecektir.
Bu sekmedeki diğer kritik ayarlar istemci seçenekleri (Client options) altındaki ayarlardır. Burada kullanıcının programın hangi ayarlarını değiştirebileceği belirlenmektedir. Zararlı yazılım korumasının sürekli olarak sağlanması için kullanıcıların ayarları değiştirmesine ve istisnalar eklemesini izin vermemek gerekir.

4. Varsayılan Ayarların Geçersiz Kılınması

“Overrides” sekmesi FCS istemcisinin tehditlere karşı verdiği varsayılan tepkileri değiştirmek için kullanılan bir bölümdür. Buradan bir tehdide karşı veya belirli bir sınıf tehdide karşı verilecek tepkiler değiştirilebilir. Mevcut tehdit sınıfları, tipleri ve verilebilecek tepkiler aşağıdaki tablodaki gibidir.

Sınıflandırma

Tip

Tepki

Severity (Önem derecesi)

Severe
High
Medium
Low

Default response
Remove
Quarantine
Ignore

Category (Kategori)

Adware
Browser modifer
Dialer
Email flooder
Joke program
Monitoring software
Password stealer
Potential unwanted software
Remote control software
Settings modifier
Software bundler
Spyware
Trojan downloader

Default response
Remove
Quarantine
Ignore

5. Raporlama Ayarları

“Reporting” sekmesi istemcilerde yapılan taramalar sonucu üretilen uyarıların hangi seviyedekilerin raporlanacağının belirlendiği sekmedir. Burada “Highest”, “High”, “Medium”, “Low” ve “Lowest” olmak üzere 5 uyarı seviyesi bulunmaktadır. Bu uyarı seviyelerine göre istemciden oluşan olaylar raporlama sunucusuna iletilmektedir.

FCS Politikalarının uygulanması

Bir önceki bölümde belirtilen ayarların hepsi birer Windows kütük ayarıdır. Bunun için hazırlanan politikaların istemcileri uygulanması grup ilkeleri ve kütük dosyaları ile yapılabilir. Bu yollardan merkezi yönetim açısından en kolay ve en sağlıklı olanı grup ilkesi yöntemidir. FCS gerekli grup ilkelerini otomatik olarak oluşturmakta ve istenilen yerlere otomatik olarak uygulamaktadır. Aşağıdaki şekilden de görüleceği gibi FCS politikalarını içeren grup ilkesi aktif dizindeki bir organizasyonel birime, bir gruba veya mevcut bir grup ilkesi nesnesine uygulanabilmektedir.
Politika uygulama penceresinde politikaların bir dosyaya aktarılması seçeneği de bulunmaktadır. Bu seçenek seçildiğinde FCS gerekli ayarları içeren bir kütük dosyası yaratmaktadır. Bu ayarlar “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0″ kütük anahtarı altındaki değerlerdir. FCS ile ilgili tüm kütük değerleri, bu değerlerin ne işe yaradıkları ve bu değerlere verilebilecek değerler Forefront Client Security TechCenter, Technical Reference sayfasında bulunabilir.

Sonuç

Microsoft Forefront Client Security tek bir noktadan koruma sağlamayı hedefleyen, yönetimi ve güncellemesi kolay, raporlama yetenekleri üstün bir üründür. Microsoft zararlı yazılımlarla mücadele pazarında kendi ürünleriyle entegrasyon avantajını kullanarak FCS ile yer edinemeye çalışacaktır.

Saygılar..

DÃ¼zenleyen megabros - 12-06-2009 Saat 10:19