IT konference TechEd DevCon
Forefront Endpoint Protection 2010 - cesta k optimalizaci provozu desktopů

Microsoft rozhodně není firma, která by byla vnímána jako významný hráč na poli bezpečnostních či antivirových řešení na stanicích. Začalo to akvizicemi relativně neznámých firem již před několika lety, nevypadalo to na velký úspěch, ale nebyl by to asi Microsoft, kdyby se mu to nakonec po nějakém tom tápání a ne úplně přímočarých cestách nepodařilo. Forefront Endpoint Protection 2010 je toho důkazem.

Jan HornýJan Horný
SoftwareSoftware
10.05.2011 0:00:0010.05.2011 0:00:00

Jan Horný

technický a licenční specialista

Microsoft

Články o různých produktech Microsoft, které nemají vlastní seriály
  1. Sedm důvodů pro Microsoft Office 2007 SB Edition
  2. Správný čas pro Microsoft Office 2007!
  3. Windows Product Activation
  4. Microsoft Expression 2
  5. SBS, EBS… aneb naše malé už i pro velké
  6. Jak dlouho si vystačíte se starými verzemi
  7. Migrace ze SourceSafe na Team Foundation Server
  8. Fenomén Windows 7
  9. Office 2007 a Vy
  10. Windows Vista a Visual Studio
  11. Dobře upletená síť
  12. SQL Server – mozek vaší organizace: Postarejte se o něj!
  13. Windows 7? Teď je ještě stihnete!
  14. Windows 7 - další dotek...
  15. Co to pořád s těmi licencemi máte?!
  16. Dokonalá komunikace
  17. Windows Essential Business Server
  18. Virtualizace ve sféře Small Businessu
  19. Windows Server 2008 R2
  20. Instalace Exchange Serveru 2010
  21. Exchange Server 2010
  22. Group Policy Preferences: báječný doplněk vašich politik!
  23. Novinky v Team Foundation Serveru 2010
  24. SharePoint – velká posila vašeho týmu
  25. BPOS: vskutku atraktivní hostitel
  26. Office 2010 ve firmě i doma,zadarmo i za peníze
  27. Expression Studio 4 Web Professional skoro zadarmo?
  28. Už není proč čekat: SharePoint 2010
  29. Nový způsob komunikace – Office Communicator, Live Meeting
  30. Licence pro desktopy v datacentrech: VDA, VDI, VECD
  31. BI, SQL a Excel
  32. Visual Studio Team Foundation Server 2010
  33. Business Inteligence pro každého: PowerPivot
  34. Visual Studio Test Professional 2010
  35. Enrollment for Education Solutions (EES)
  36. Internet Explorer 9
  37. Forefront Endpoint Protection 2010 - cesta k optimalizaci provozu desktopů
  38. Zcela jiný pohled na zabezpečení dat
  39. Bezpečnost, dostupnost, výkon
  40. Mějte informace po ruce. V SharePointu.
  41. Průvodce městem E CAL Town
  42. Aplikační servery v cloudu – vítaná změna podmínek
  43. Produkty System Center pro vaše pohodlí
  44. Opalis(ace)
  45. Úspory v datových centrech
  46. Office 365 aneb produktivita mezi nebem a zemí
  47. Jak vybrat licenční model pro poskytování IT služeb?
  48. Požadavky v organizaci a jejich vyřízení
  49. Dodejte své firmě energii jádra!
  50. Windows Server 2008 R2
  51. Exchange Server 2010 – víc než jen Mail Server
  52. Microsoft SharePoint 2010
  53. LYNC Standard CAL jako součást CORE CAL
  54. Forefront Endpoint Protection 2010
  55. SCCM: Chodí to dobře. A seje to!
  56. Microsoft Visual Studio LightSwitch
  57. Windows Intune
  58. Microsoft Product Activation
  59. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích.
  60. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích PODRUHÉ.
  61. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích POTŘETÍ.
  62. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích POČTVRTÉ.
  63. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích Q & A.
  64. Síla mraku výhodně
  65. Office 365 s ostružinkou
  66. Studenti a legální software
  67. Mráčky a zase mráčky
  68. System Center 2012: licenční změny
  69. CRM? Zapomeňte na písmeno C
  70. Komunikace 21. století pro všechny…
  71. Co nikdy nedělat s SBS 2008/2011
  72. Slevy pro vývojáře
  73. VDI je cesta. Ale k čemu?
  74. Ochrana obsahu a informací – je to i pro mě?
  75. Active Directory Right Management Services – licence
  76. Windows Intune – efektivní správa koncových zařízení, která nejsou pod jednou střechou
  77. Lék na nemoci vývoje – je na co se těšit!
  78. Nástupce Windows SBS 2011 – Windows Server 2012 Essentials
DAQUAS
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Forefront Endpoint Protection 2010 - cesta k optimalizaci provozu desktopů

Microsoft rozhodně není firma, která by byla vnímána jako významný hráč na poli bezpečnostních či antivirových řešení na stanicích. Začalo to akvizicemi relativně neznámých firem již před několika lety, nevypadalo to na velký úspěch, ale nebyl by to asi Microsoft, kdyby se mu to nakonec po nějakém tom tápání a ne úplně přímočarých cestách nepodařilo. Forefront Endpoint Protection 2010 je toho důkazem.

Microsoft, skoro se mi chce napsat konečně, vsadil na kartu optimalizované infrastruktury a na úsporu nákladů tím, že se nasadí a budou používat komplexní nástroje, které umožní zavést a dodržovat předvídatelné postupy a dovolit tak IT, aby mohlo plnit co nejlépe „business“ cíle svých firem. Nejmarkantnějším „žroutem“ peněz je z tohoto pohledu TCO desktopu, a proto se již léta snaží nejrůznější firmy přijít s nějakým řešením, jak tyto náklady osekat. Jistě na to není jen jediné správné řešení: tencí klienti a terminálový provoz aplikací, v současnosti velmi frekventované VDI (virtual desktop infrastructure) nebo zachování „tlustého“ klienta, ale nasazení postupů, jak mnoho činností s ním souvisejících automatizovat a nevytvářet tak velkou zátěž na zdroje v IT. Na tomto kolbišti se potkává několik firem a jsou na různých frontách různě úspěšné. Microsoft se zaměřil na dva dříve zcela oddělené světy: správu a bezpečnost. Má díky několika významným akvizicím a následné integraci těchto produktů do svých nástrojů pro správu ve „svém“ světě Windows velmi silné postavení.

Správa a bezpečnost pohromadě

S Forefront Endpoint Protection 2010 (dále jen FEP) se Microsoft rozhodl naložit v duchu optimalizační filozofie a konvergovat management a desktop security do jednoho celku. Proto integroval správu své nové verze klientského bezpečnostního řešení do produktu SCCM (System Center Configuration Manager). Upřímně se přiznám, že poprvé, když mi hlavou prolítlo, co to všechno znamená v nárocích na licence a infrastrukturu, měl jsem pocit, že se Microsoft opět vydal nějakou podivnou cestou, kdy slibně vyhlížející klient bude „zazděn“ příliš vysokými nároky. Když jsem ale vychladl, uvědomil jsem si, že je to vlastně velmi rozumný a logický krok, jak IT naučit, že skutečně „managed“ desktop je cesta, kterou by se ve firmách měli rozhodně vydat. Microsoft také dlouho říká, že VDI je pěkná technologie, která se ale hodí jen někam, a že takový dobře spravovaný desktop na tom bude z pohledu TCO i ROI v mnoha scénářích lépe. Pojďme se teď trochu podívat na produkt samotný. Microsoft mu předem prorazil cestu „malým“ řešením Microsoft Client Security Essentials, které doznalo významného vylepšení na začátku tohoto roku, kdy přišla verze 2. Na úplně identickém základu je postavena i finální verze FEP – upřímně je na první pohled vyjma jiné ikonky ani nerozeznáte :). Další úspěšnou modifikací je bezpečnostní řešení v připravované online službě Intune.

A čím tedy FEP doopravdy je?

Stručný přehled najdete v odstavci „Hlavní přednosti“. Sbližuji se s ním od října loňského roku, kdy mám pod svou správou přibližně 20 počítačů jak s variantou FEP obsaženou v Intune, tak s „free“ variantou z Essentials, mám za sebou i několik týdnů s finální verzí FEP a musím přiznat, že se toto řešení poměrně rychle vyhouplo do čela mých oblíbených produktů. Je velmi příjemné na instalaci, je celkem „lite“ z hlediska nároků na hardware (např. klientský instalační balíček FEP je těsně pod 20 MB – ani po instalaci to není o mnoho více; teprve po stažení prvotních signatur a aktualizace antivirového engine, což obnáší cca 55 MB, se FEP přibližuje dolní hranici v nárocích na velikost disku produktů třetích stran) a velmi dobře dělá to, co byste od něj očekávali. Pokud si instalaci „odklikáte“ ručně, tak včetně prvotní „velké“ aktualizace a následného „Quick Scanu“ nezabere více než 10 minut – zde hodně záleží na rychlosti připojení a množství souborů na systémovém disku. Samotná instalace na počítač nepřesáhne 2 minuty a nevyžaduje restart. FEP neobtěžuje, ve výchozí konfiguraci je poměrně rozumně nastaven, poradí si velmi dobře i s instalací do nakaženého systému (například počítače zamořené různými variantami červa Trojan-Downloader:Win32 či Worm:Win32/Conficker.C vyčistí velmi zodpovědně), dialogy o případném nebezpečí jsou stručné, jasné a přehledné a pokud necháváte reakci na uživateli (i tací jsou někteří IT správci), je velká šance, že zareaguje správně. Uživatelské rozhraní (msseces.exe, Microsoft Security Client User Interface, 2,9 MB RAM – Windows 7; 15 MB RAM – Windows XP) je velmi jednoduché (moc děkuji za velmi praktickou střídmost, žádné zbytečnosti, jen výchozí ovládací prvky, na které jsou všichni zvyklí) a uživatel v něm přehledně provede, co potřebuje. Nastavení není mnoho, přesto zde naleznete všechno potřebné. Velmi účinně reaguje na vložení jakýchkoliv výměnných médií, která okamžitě kontroluje na přítomnost velmi rozšířených „autorun“ červů. Když jsem si FEP zkoušel svojí testovací „zamalwarovanou“ fleškou, obsah mi „vyčistil“ až nechtěně poctivě. Velmi pozitivně hodnotím spolupráci s Windows Firewallem, kterou určitě neopomeňte při instalaci povolit.

Nároky

Abych jen nechválil, tak jednoznačně musím přiznat, že to je moderní software, který se cítí ve Windows 7 jako ryba ve vodě, ale o Windows XP to tak úplně neplatí. Ne že by tam nefungoval, ale občas zejména slabšímu počítači trochu „zatopí“ a paměti si bere kvůli procesu msseces.exe více než na poslední verzi Windows. Vlastní engine mi nepřijde až tak „lite“ při pohledu na spotřebu operační paměti MsMpEng.exe (Antimalvare Service Executable) 54-69 MB RAM (dolní hranice během normální práce, horní pak při Quick Scanu), ale na druhou stranu jsou velmi optimalizované IO operace disků a zatížení procesoru je během práce téměř neznatelné. Poněkud odlišná je instalace serverové části. Ne že by byla nějak komplikovaná, ale je třeba mít přesně podle požadavků připravenu instalaci SCCM včetně určitých nastavení a konfiguračních kroků, jak je patrné ze závěrečného přehledu. I zde se jedná o velmi malý kousek softwaru, instalační soubory se vejdou do 30 MB, neboť produkt maximálně využívá veškerou infrastrukturu hostitelského Configurations Manageru. Budete však podrobeni celé řadě otázek, které souvisí především se SCCM. Bez jeho dobré znalosti není vůbec rozumné se do serverové instalace pouštět. Je ale pravda, že pokud ve firmě infrastrukturu SCCM již máte zprovozněnou nebo se ji chystáte nasadit, je to správný první krok, protože po instalaci by měla následovat konfigurace v rámci SCCM, která požadovaným způsobem klienty „rozdistribuuje“ na všechny spravované počítače, popřípadě i servery. Díky opravdu malé velikosti instalačního balíčku (necelých 20 MB) a velmi rychlé instalaci by ani ve větších sítích neměl být „deployment“ FEP problém. Instalační proces FEP je navíc připraven vypořádat se s některými bezpečnostními řešeními, která v rámci instalace „čistě“ odinstaluje. Podporována jsou jen některá nejběžnější řešení v novějších verzích jako například řešení společností Symantec, TendMicro a McAfee. Z hlediska správy a nasazení máte dvě cesty. Pokud opravdu potřebujete řešení nějak ovládat, resp. držet v nějakém definovaném nastavení v sítích s desítkou/desítkami počítačů, spokojíte se možná s „managementem“ skrze GP (Group Policy). Instalaci na klienty pak můžete provést ručně, nebo ideálně ve spojení s politikami v rámci GP. V rámci politik máte možnost ovlivňovat veškerá podstatná nastavení, ale není již způsob, jak centrálně posbírat informace o tom, co se na stanicích děje. Zde je opravdu jedinou cestou SCCM 2007 R2 a novější, kam se serverová část FEPu velmi elegantně integruje. Správci najdou ve známém nástroji na známých místech všechno potřebné jak pro správu stanic a serverů, tak pro ochranu proti virům, spywaru, rootkitům a dalším počítačovým hrozbám. To jednoznačně vede ke snížení výskytu chyb souvisejících se špatnou konfigurací nebo nekonzistentním nastavením prostředí i bezpečnostních produktů. Nehledě na jednoznačnou úsporu, která je oproti běžně zcela odděleným systémům pro správu a bezpečnost neoddiskutovatelná.

Co napsat závěrem?

FEP není jen o chytrém těsném propojení se správou desktopů, není jen o malém řešení, které velmi dobře vypadá, konfiguruje se a nezatěžuje uživatele ani samotný operační systém. FEP již totiž posbíral i své první „frčky“ u AV-Comparatives (Advanced+ za Performace Test, December 2010; Advanced+ za Proactive / retrospective test již 3× v řadě za sebou a VB 100). Navíc engine je postaven na již více než rok „testovaném“ Microsoft Security Essentials, kterýžto produkt už také získal řadu ocenění. Jedná se tedy o řešení, o kterém na poli klientské bezpečnosti bude ještě hodně slyšet, a je velmi pravděpodobné, že se v prostředí Windows velmi dobře prosadí zejména díky snížení TCO uživatelských stanic. Chcete také vědět, kudy na to? Obraťte se na nás.

Systémové požadavky pro Forefront Endpoint Protection 2010

Požadavky na server:

  • Windows 2003 SP2 nebo novější
  • System Center Configuration Manager 2007 Service Pack 2 Release 2
  • operační paměť 2 GB RAM
  • prostor na disku
    • Forefront Endpoint Protection Server: 600 MB
    • Forefront Endpoint Protection Database: 1.25 GB
    • Forefront Endpoint Protection Reporting Database: 1.25 GB
+ další požadavky:
  • na serveru nesmí být nainstalována žádná předchozí verze Forefront Endpoint Protection
  • na serveru nesmí být žádné jiné antivirové/antimalwarové řešení
  • Microsoft Windows Installer version 3.1 nebo novější
  • Microsoft .NET Framework 3.5 Service Pack 1
  • Microsoft SQL Server 2005 Standard or Enterprise Edition Service Pack 3 (x86 or x64) nebo novější s těmito nainstalovanými komponentami:
    • Analysis Services
    • Integration Services
    • Reporting Services
    • SQL Server Agent
  • Configuration Manager 2007 Service Pack 2 Release 2 site nainstalovaný s defaultními rolemi, nakonfigurovaný tak, aby využíval SQL Server Reporting Services, a s instalovanými a nakonfigurovanými komponentami:
    • Hardware Inventory
    • Software Distribution
    • Desired Configuration Management
    • Management Class Hotfix Package

Forefront Endpoint Protection 2010 Client 

  • procesor
    • Windows XP: 500 MHz nebo vyšší
    • Windows Vista nebo Windows 7: 1.0 GHz nebo vyšší 
  • operační paměť
    • Windows XP: 256 MB RAM a více
    • Windows Vista nebo Windows 7: 1 GB RAM a více
  • prostor na disku 300 MB
  • podporované operační systémy
    • Windows XP SP3 a novější
    • Windows Vista RTM a novější, x64 a x86
    • Windows 7 RTM x64 a x86
    • Windows 7 XP mode
    • Windows Server 2003 SP2 a novější, x64 a x86
    • Windows Server 2008 RTM a novější, x64 a x86 (role server core není podporována)

+ další požadavky:

  • Configuration Manager agent
  • Windows Installer 3.1
  • Filter manager rollup (KB914882)
  • WFP rollup package (KB981889)
  • Windows Update

Hlavní přednosti

  • Jediná konzole pro správu a zabezpečení koncových stanic
    Configuration Manager 2007 nabízí správu a zabezpečení pracovních stanic v jednotném rozhraní, což napomáhá lepší orientaci v reportech a usnadňuje řešení problémů.
  • Centrální vytváření politik
    Administrátoři mohou z jednoho centrálního místa vytvářet a aplikovat všechny politiky týkající se klientů.
  • Uplatnění ve velkých organizacích
    Využití infrastruktury Configuration Manageru ve Forefront Endpoint Protection 2010 umožňuje efektivní nasazení klientů a politik i v těch nejrozsáhlejších organizacích s pobočkami po celé zeměkouli.
  • Velmi přesná a účinná detekce ohrožení
    Nová ochrana proti malwaru rozpozná i nejnovější malware a rootkity, má nízké procento planých poplachů a neomezuje produktivitu zaměstnanců, protože skenování snižuje výkon jen nepatrně.
  • Detekce na základě chování systému
    Forefront Endpoint Protection 2010 využívá data o reakcích systémů a reputaci souborů k rozpoznání a zablokování útoků na klientské systémy dříve neznámými zdroji ohrožení. Detekční metody zahrnují monitoring reakcí, emulaci a dynamický překlad.
  • Podpora automatického odstranění některých řešení třetích stran
    Forefront Endpoint Protection 2010 automaticky odhaluje a odstraňuje nejběžnější agenty (Symantec, TrendMicro, McAfee) pro bezpečnost koncových stanic a tím podstatně usnadňuje zavedení nové ochrany.
  • Správa Windows Firewallu
    Forefront Endpoint Protection 2010 zaručuje, že Windows Firewall je aktivní a pracuje správně, aby bránil proti hrozbám přicházejícím ze síťové vrstvy. Dopřává také administrátorům jednodušší správu těchto ochran v rámci celé organizace.