Forefront Endpoint Protection 2010 - cesta k optimalizaci provozu desktopů

Microsoft rozhodně není firma, která by byla vnímána jako významný hráč na poli bezpečnostních či antivirových řešení na stanicích. Začalo to akvizicemi relativně neznámých firem již před několika lety, nevypadalo to na velký úspěch, ale nebyl by to asi Microsoft, kdyby se mu to nakonec po nějakém tom tápání a ne úplně přímočarých cestách nepodařilo. Forefront Endpoint Protection 2010 je toho důkazem.

Microsoft, skoro se mi chce napsat konečně, vsadil na kartu optimalizované infrastruktury a na úsporu nákladů tím, že se nasadí a budou používat komplexní nástroje, které umožní zavést a dodržovat předvídatelné postupy a dovolit tak IT, aby mohlo plnit co nejlépe „business“ cíle svých firem. Nejmarkantnějším „žroutem“ peněz je z tohoto pohledu TCO desktopu, a proto se již léta snaží nejrůznější firmy přijít s nějakým řešením, jak tyto náklady osekat. Jistě na to není jen jediné správné řešení: tencí klienti a terminálový provoz aplikací, v současnosti velmi frekventované VDI (virtual desktop infrastructure) nebo zachování „tlustého“ klienta, ale nasazení postupů, jak mnoho činností s ním souvisejících automatizovat a nevytvářet tak velkou zátěž na zdroje v IT. Na tomto kolbišti se potkává několik firem a jsou na různých frontách různě úspěšné. Microsoft se zaměřil na dva dříve zcela oddělené světy: správu a bezpečnost. Má díky několika významným akvizicím a následné integraci těchto produktů do svých nástrojů pro správu ve „svém“ světě Windows velmi silné postavení.

Správa a bezpečnost pohromadě

S Forefront Endpoint Protection 2010 (dále jen FEP) se Microsoft rozhodl naložit v duchu optimalizační filozofie a konvergovat management a desktop security do jednoho celku. Proto integroval správu své nové verze klientského bezpečnostního řešení do produktu SCCM (System Center Configuration Manager). Upřímně se přiznám, že poprvé, když mi hlavou prolítlo, co to všechno znamená v nárocích na licence a infrastrukturu, měl jsem pocit, že se Microsoft opět vydal nějakou podivnou cestou, kdy slibně vyhlížející klient bude „zazděn“ příliš vysokými nároky. Když jsem ale vychladl, uvědomil jsem si, že je to vlastně velmi rozumný a logický krok, jak IT naučit, že skutečně „managed“ desktop je cesta, kterou by se ve firmách měli rozhodně vydat. Microsoft také dlouho říká, že VDI je pěkná technologie, která se ale hodí jen někam, a že takový dobře spravovaný desktop na tom bude z pohledu TCO i ROI v mnoha scénářích lépe. Pojďme se teď trochu podívat na produkt samotný. Microsoft mu předem prorazil cestu „malým“ řešením Microsoft Client Security Essentials, které doznalo významného vylepšení na začátku tohoto roku, kdy přišla verze 2. Na úplně identickém základu je postavena i finální verze FEP – upřímně je na první pohled vyjma jiné ikonky ani nerozeznáte :). Další úspěšnou modifikací je bezpečnostní řešení v připravované online službě Intune.

A čím tedy FEP doopravdy je?

Stručný přehled najdete v odstavci „Hlavní přednosti“. Sbližuji se s ním od října loňského roku, kdy mám pod svou správou přibližně 20 počítačů jak s variantou FEP obsaženou v Intune, tak s „free“ variantou z Essentials, mám za sebou i několik týdnů s finální verzí FEP a musím přiznat, že se toto řešení poměrně rychle vyhouplo do čela mých oblíbených produktů. Je velmi příjemné na instalaci, je celkem „lite“ z hlediska nároků na hardware (např. klientský instalační balíček FEP je těsně pod 20 MB – ani po instalaci to není o mnoho více; teprve po stažení prvotních signatur a aktualizace antivirového engine, což obnáší cca 55 MB, se FEP přibližuje dolní hranici v nárocích na velikost disku produktů třetích stran) a velmi dobře dělá to, co byste od něj očekávali. Pokud si instalaci „odklikáte“ ručně, tak včetně prvotní „velké“ aktualizace a následného „Quick Scanu“ nezabere více než 10 minut – zde hodně záleží na rychlosti připojení a množství souborů na systémovém disku. Samotná instalace na počítač nepřesáhne 2 minuty a nevyžaduje restart. FEP neobtěžuje, ve výchozí konfiguraci je poměrně rozumně nastaven, poradí si velmi dobře i s instalací do nakaženého systému (například počítače zamořené různými variantami červa Trojan-Downloader:Win32 či Worm:Win32/Conficker.C vyčistí velmi zodpovědně), dialogy o případném nebezpečí jsou stručné, jasné a přehledné a pokud necháváte reakci na uživateli (i tací jsou někteří IT správci), je velká šance, že zareaguje správně. Uživatelské rozhraní (msseces.exe, Microsoft Security Client User Interface, 2,9 MB RAM – Windows 7; 15 MB RAM – Windows XP) je velmi jednoduché (moc děkuji za velmi praktickou střídmost, žádné zbytečnosti, jen výchozí ovládací prvky, na které jsou všichni zvyklí) a uživatel v něm přehledně provede, co potřebuje. Nastavení není mnoho, přesto zde naleznete všechno potřebné. Velmi účinně reaguje na vložení jakýchkoliv výměnných médií, která okamžitě kontroluje na přítomnost velmi rozšířených „autorun“ červů. Když jsem si FEP zkoušel svojí testovací „zamalwarovanou“ fleškou, obsah mi „vyčistil“ až nechtěně poctivě. Velmi pozitivně hodnotím spolupráci s Windows Firewallem, kterou určitě neopomeňte při instalaci povolit.

Nároky

Abych jen nechválil, tak jednoznačně musím přiznat, že to je moderní software, který se cítí ve Windows 7 jako ryba ve vodě, ale o Windows XP to tak úplně neplatí. Ne že by tam nefungoval, ale občas zejména slabšímu počítači trochu „zatopí“ a paměti si bere kvůli procesu msseces.exe více než na poslední verzi Windows. Vlastní engine mi nepřijde až tak „lite“ při pohledu na spotřebu operační paměti MsMpEng.exe (Antimalvare Service Executable) 54-69 MB RAM (dolní hranice během normální práce, horní pak při Quick Scanu), ale na druhou stranu jsou velmi optimalizované IO operace disků a zatížení procesoru je během práce téměř neznatelné. Poněkud odlišná je instalace serverové části. Ne že by byla nějak komplikovaná, ale je třeba mít přesně podle požadavků připravenu instalaci SCCM včetně určitých nastavení a konfiguračních kroků, jak je patrné ze závěrečného přehledu. I zde se jedná o velmi malý kousek softwaru, instalační soubory se vejdou do 30 MB, neboť produkt maximálně využívá veškerou infrastrukturu hostitelského Configurations Manageru. Budete však podrobeni celé řadě otázek, které souvisí především se SCCM. Bez jeho dobré znalosti není vůbec rozumné se do serverové instalace pouštět. Je ale pravda, že pokud ve firmě infrastrukturu SCCM již máte zprovozněnou nebo se ji chystáte nasadit, je to správný první krok, protože po instalaci by měla následovat konfigurace v rámci SCCM, která požadovaným způsobem klienty „rozdistribuuje“ na všechny spravované počítače, popřípadě i servery. Díky opravdu malé velikosti instalačního balíčku (necelých 20 MB) a velmi rychlé instalaci by ani ve větších sítích neměl být „deployment“ FEP problém. Instalační proces FEP je navíc připraven vypořádat se s některými bezpečnostními řešeními, která v rámci instalace „čistě“ odinstaluje. Podporována jsou jen některá nejběžnější řešení v novějších verzích jako například řešení společností Symantec, TendMicro a McAfee. Z hlediska správy a nasazení máte dvě cesty. Pokud opravdu potřebujete řešení nějak ovládat, resp. držet v nějakém definovaném nastavení v sítích s desítkou/desítkami počítačů, spokojíte se možná s „managementem“ skrze GP (Group Policy). Instalaci na klienty pak můžete provést ručně, nebo ideálně ve spojení s politikami v rámci GP. V rámci politik máte možnost ovlivňovat veškerá podstatná nastavení, ale není již způsob, jak centrálně posbírat informace o tom, co se na stanicích děje. Zde je opravdu jedinou cestou SCCM 2007 R2 a novější, kam se serverová část FEPu velmi elegantně integruje. Správci najdou ve známém nástroji na známých místech všechno potřebné jak pro správu stanic a serverů, tak pro ochranu proti virům, spywaru, rootkitům a dalším počítačovým hrozbám. To jednoznačně vede ke snížení výskytu chyb souvisejících se špatnou konfigurací nebo nekonzistentním nastavením prostředí i bezpečnostních produktů. Nehledě na jednoznačnou úsporu, která je oproti běžně zcela odděleným systémům pro správu a bezpečnost neoddiskutovatelná.

Co napsat závěrem?

FEP není jen o chytrém těsném propojení se správou desktopů, není jen o malém řešení, které velmi dobře vypadá, konfiguruje se a nezatěžuje uživatele ani samotný operační systém. FEP již totiž posbíral i své první „frčky“ u AV-Comparatives (Advanced+ za Performace Test, December 2010; Advanced+ za Proactive / retrospective test již 3× v řadě za sebou a VB 100). Navíc engine je postaven na již více než rok „testovaném“ Microsoft Security Essentials, kterýžto produkt už také získal řadu ocenění. Jedná se tedy o řešení, o kterém na poli klientské bezpečnosti bude ještě hodně slyšet, a je velmi pravděpodobné, že se v prostředí Windows velmi dobře prosadí zejména díky snížení TCO uživatelských stanic. Chcete také vědět, kudy na to? Obraťte se na nás.

Systémové požadavky pro Forefront Endpoint Protection 2010

Požadavky na server:

• Windows 2003 SP2 nebo novější
• System Center Configuration Manager 2007 Service Pack 2 Release 2
• operační paměť 2 GB RAM
• prostor na disku
  • Forefront Endpoint Protection Server: 600 MB
  • Forefront Endpoint Protection Database: 1.25 GB
  • Forefront Endpoint Protection Reporting Database: 1.25 GB

• na serveru nesmí být nainstalována žádná předchozí verze Forefront Endpoint Protection
• na serveru nesmí být žádné jiné antivirové/antimalwarové řešení
• Microsoft Windows Installer version 3.1 nebo novější
• Microsoft .NET Framework 3.5 Service Pack 1
• Microsoft SQL Server 2005 Standard or Enterprise Edition Service Pack 3 (x86 or x64) nebo novější s těmito nainstalovanými komponentami:
  • Analysis Services
  • Integration Services
  • Reporting Services
  • SQL Server Agent
• Configuration Manager 2007 Service Pack 2 Release 2 site nainstalovaný s defaultními rolemi, nakonfigurovaný tak, aby využíval SQL Server Reporting Services, a s instalovanými a nakonfigurovanými komponentami:
  • Hardware Inventory
  • Software Distribution
  • Desired Configuration Management
  • Management Class Hotfix Package

Forefront Endpoint Protection 2010 Client 

• procesor
  • Windows XP: 500 MHz nebo vyšší
  • Windows Vista nebo Windows 7: 1.0 GHz nebo vyšší 
• operační paměť
  • Windows XP: 256 MB RAM a více
  • Windows Vista nebo Windows 7: 1 GB RAM a více
• prostor na disku 300 MB
• podporované operační systémy
  • Windows XP SP3 a novější
  • Windows Vista RTM a novější, x64 a x86
  • Windows 7 RTM x64 a x86
  • Windows 7 XP mode
  • Windows Server 2003 SP2 a novější, x64 a x86
  • Windows Server 2008 RTM a novější, x64 a x86 (role server core není podporována)

+ další požadavky:

• Configuration Manager agent
• Windows Installer 3.1
• Filter manager rollup (KB914882)
• WFP rollup package (KB981889)
• Windows Update

Hlavní přednosti

• Jediná konzole pro správu a zabezpečení koncových stanic
  Configuration Manager 2007 nabízí správu a zabezpečení pracovních stanic v jednotném rozhraní, což napomáhá lepší orientaci v reportech a usnadňuje řešení problémů.
• Centrální vytváření politik
  Administrátoři mohou z jednoho centrálního místa vytvářet a aplikovat všechny politiky týkající se klientů.
• Uplatnění ve velkých organizacích
  Využití infrastruktury Configuration Manageru ve Forefront Endpoint Protection 2010 umožňuje efektivní nasazení klientů a politik i v těch nejrozsáhlejších organizacích s pobočkami po celé zeměkouli.
• Velmi přesná a účinná detekce ohrožení
  Nová ochrana proti malwaru rozpozná i nejnovější malware a rootkity, má nízké procento planých poplachů a neomezuje produktivitu zaměstnanců, protože skenování snižuje výkon jen nepatrně.
• Detekce na základě chování systému
  Forefront Endpoint Protection 2010 využívá data o reakcích systémů a reputaci souborů k rozpoznání a zablokování útoků na klientské systémy dříve neznámými zdroji ohrožení. Detekční metody zahrnují monitoring reakcí, emulaci a dynamický překlad.
• Podpora automatického odstranění některých řešení třetích stran
  Forefront Endpoint Protection 2010 automaticky odhaluje a odstraňuje nejběžnější agenty (Symantec, TrendMicro, McAfee) pro bezpečnost koncových stanic a tím podstatně usnadňuje zavedení nové ochrany.
• Správa Windows Firewallu
  Forefront Endpoint Protection 2010 zaručuje, že Windows Firewall je aktivní a pracuje správně, aby bránil proti hrozbám přicházejícím ze síťové vrstvy. Dopřává také administrátorům jednodušší správu těchto ochran v rámci celé organizace.