Forefront Clinet Security 을통한삼차원다계층보안모범사례와다양한보안위협에효과적인일원화된관리방안 이상훈책임 Premier Services / Security Service Team Microsoft Corporation Corporation
목차 Forefront Client Security 의 3 대기능 Forefront Client Security 의동작원리 지원되는제품및설치조건 확장성과토폴로지 안티맬웨어차단기능 Forefront Client Security 의정책관리 보안상태평가 보고서기능
쉽게관리하고제어할수있는기업용데스크탑, 노트북과서버운영체제통합악성 S/W 방어제품 스파이웨어와바이러스를차단하기위한하나의솔루션 내장된차단기술은많은사용자에의해익숙한기능 효율적인위협반응 간소화한보안관리를위한하나의콘솔 하나의정책으로클라이언트방어에이전트환경설정을할수있다 사용되고있는 IT 기반구조와통합 위협요소와보안취약점를보이기위한하나의데쉬보드기능 견식있는보고서기능 결과대상을상태평가검색과보안경고기능과함께알려줌
클라이언트용안티맬웨어제공 개인사용자용 기업체 대부분의유행하는바이러스제거 MSRT Windows Live OneCare Windows Safety Scanner Windows Live Defender OneCare Microsoft Forefront Client Security 알려진바이러스제거 실시간바이러스검사알려진스파이웨어제거 실시간스파이웨어검사 보고서기능및경고기능 기업환경개별화 IT 인프라통합
동작원리
지원되는제품버전 에이전트역할로동작될운영체제 : Windows 2000 SP4+ Windows XP SP2+ Windows Vista Business, Enterprise, Ultimate Windows Server 2003 SP1 & R2 x86 and x64 support FCS 서버시스템요구조건 : Windows Server 2003 SP1 & R2 SQL Server Standard or Enterprise x86 only
FCS 설치를위한조건 Microsoft SQL Server 2005 Enterprise Edition with Service Pack 1 (including Database Services, Reporting Services, and Workstation Components) Microsoft.NET Framework 2.0 Microsoft Management Console 3.0 Microsoft Group Policy Management Console with Service Pack 1 Microsoft Windows Server Update Services 2.0 with Service Pack 1 FCS 에이전트구성요소 : Windows 2000의경우 : Update Rollup 1 and GDI+ installed Windows XP Service Pack 2의경우 : Filter manager rollup package installed Windows Update Agent 2.0
Windows Server 와 System Center 의 통합환경제공 서명 ( 최신안티보안엔진등 ) 분배 Microsoft Update와 WSUS를위해최적화됨서명은 microsoft.com사이트에서개인적으로다운로드가 가능하다다른분배방법를통해서배포가능 정책배포 그룹정책 /Active Directory를위해최적화됨정책설정을파일, 분배, 로컬서버로적용하기위해추출할수있음 이벤트수집및보고기능 FCS 서버는지정된 MOM 2005 와결합되어사용클라이언트에는 MOM 2005 에이전트가설치되어있어야함보고서기능을위해서는반드시도메인에합류되어있어야함
FCS 서버토폴로지 4 개의논리적서버역할 : 관리 (FCS 콘솔 ) 수집 (MOM + DB) 보고서 (MOM 리포팅 + SQL Server 리포팅서비스 ) 배포 (WSUS) 확장성활성화및운영되고있는 WSUS,SQL 서버의재사용을위한다중토폴로지 : 단일박스 하나의서버로모든기능 2개박스 DB의보고서기능 + 기타모든기능 4 개박스 분리된박스별로각각역할서버 MOM기능과 DB의보고서기능을각각박스별로구성될수있음 WSUS 배포서버는분리된박스에운영될수있음
FCS 의확장성 중소기업부터대기업규모까지제품설계됨 한나의 FCS서버는만개의 FCS클라이언트까지조정할수있도록설계 다른대기업환경을고려한배포시나리오 중견기업규모 (<10K 명 ): 단일 FCS 서버배포 대기업규모 (>10K 명 ): 여러대의 FCS 서버배포 각서버는만개클라이어트까지조정할수있음 개인구분또는클라이언트보안이자체적으로관리되고있는개인구분또는클라이언트보안이자체적으로관리되고있는대기업규모환경상의도메인 (AD 인프라 )
안티맬웨어방어 1 바이러스와스파이웨어를방어하기위한통합된에이전트공용엔진이 Windows Defender, OneCare, Forefront Sever Security 에서사용된다로컬사용자인터페이스가 Windows Defender 의기반을가짐커널모드미니필터를통해서실시간접속차단 Windows 필터관리자플랫폼에내장됨악성 S/W 는안티바이러스와안티스파이웨어로부터차단됨사용자모드검색시스템구성, IE 에추가및구성설치 IE 와오피스다운로드서비스및드라이버응용프로그램실행및등록일정가능및주문형검색지원빠른검색 메모리프로세스에서, 목표화된디렉터리, 공용악의적소프트웨어확장가능점전체검색 빠른검색 + 로컬드라이브
안티맬웨어방어 2 에이전트작용은보안관리자에의한통제될수있다 검색일정이자유롭다 ( 시간및시간차검색 ) 주기적인서명업데이드, 이동사용자의전환기능제외기능 파일확장명, 디렉터리로컬컴퓨터의제외기능와합쳐지는기능을지원함서명우선순위특별한악성소프트웨어에의해서악성소프트웨어카테고리에의해서로컬사용자인터페이스정책인식 IE 의락다운설정될수있다완전한락다운사용자인터페이스방식 SpyNet 보고기능 Windows 보안센터와 Vista NAP와호환됨안티바이러스와안티스파이웨어상태 켜기 / 끄기및서명업데이트기능
안티맬웨어서명배포 서명배포기능은 Windows Server Update Services (WSUS) 에최적화됨 자동및수동승인지원 델타서명은네트워크트래픽을최소화하기위해서곧지원될예정 배포역할업데이트어시스턴트서비스에설치됨 : WSUS와 MU(Microsoft Update) 사이에서주기적인동기화의증가 시간당한번 Sync Microsoft Update WSUS + Update Assistant Malware Research 이동사용자를위해지원 WSUS 에서 MU(Microsoft Update) 로전환가능 Sync Failover Desktops, Laptops and Servers
FCS 정책관리 간소화된보안운영관리를위한하나의콘솔 하나의정책으로 FCS 클라이언트설정을할수있다 목표정책은 Active Directory 조직단위와보안그룹에기반을두고있다 콘솔은 GPO 를 AD 에정책배포설정을위해사용된다 자동배포가안되는클라이언트에정책을.reg 파일로추출할수있다 FCS 로컬정책도구로클라이언트에적용가능 보고서는구축된인프라의정책응답의보기기능을제공
주문형검색기능 콘솔에서실행 특정컴퓨터또는모든컴퓨터를대상으로검색 빠른검색또는전체검색 악성소프트웨어를찾음 MOM 의런타임태스크 콘솔에서작업을하며 MOM 서버로전달 MOM 서버는대상클라이언트에서실행을위해태스크를대기행렬에놓는다 사용법시나리오 : 서명업데이트수행 / 안티멜웨어검색 새로운보안취약점의존재확인
보안상태평가 SSA 호스트에이전트 : 실행은보안검사정의로된것을검색정책을통해서예정대로검색또는주문방식에의해서검색보안검사 MU에서보안업데이트가안된것을검출 Security Best Practice 를사용하여시스템구성을비교레지스트리, 파일시스템,WMI,IIS 메타베이스,SQL서버등의데이터를시험 MU 에서새로운보안이슈와최상의보안구성상태에서 업데이트할부분이있는지를검사 MBSA + SMS 비교 : 중앙집중화된보고서 새로운보안검사항목을확장시킬수있다. 보안게시판에서적용하기위해서검사
보안상태평가 보고서 내회사에 security best practices 로검사했나요? 취약점노출이업무외시간대에변경되었습니까? 저희회사의보안상태가위험도가어느정도됩니까?
클라이언트스캐닝 Dashboard 보기 박순철과장 비전파워 ( 한국마이크로소프트 Forefront 파트너 )
보고서기능 위협요소와취약점의포괄적으로보기기능제공 데이터의다른일부분사이에서찾아냄 ( 개개의컴퓨터, 개개의위협, 각종수집된데이타집합체 ) 데이터소스 : 악성소프트웨어검출및해결이벤트 SSA 검색결과 FCS 에이전트, 정의, 정책버전 정책배포및대상컴퓨터정보 데이터스토리지 : MOM 의 DB 저장이벤트는 FCS 클라이언트로부터수집된다 3일이후, 데이터가 SQL DTS를통하여 MOM 리포팅데이타베이스로이동된다 버전과정책관련정보는운영중인 DB 에분리된테이블안으로저장됨 실시간보고서기능은 SQL 리포팅서비스를사용함 :
보고서 요약보고 Security Summary
Reporting 기능 박순철과장 비전파워 ( 한국마이크로소프트 Forefront 파트너 )
경보기능 경보기능은 MOM 2005 운영콘솔을사용하여관리된다 경보기능구성에는특정정책이있다 경보기능은높은등급의문제발생시운영자에게알림 : 악성소프트웨어검출시악성소프트웨어제거실패 악성소프트웨어의발생악성소프트웨어차단기능불능 경보기능수준제어형식및 & 생성된경보의양 1 2 3 4 5 데이터증가, 높은값의자산 발생 악성 S/W 제거 서명업데이트 악성 S/W 검출될때 서명업데이트실패 실패 실패 와제거될때 (1분마다)
서버기반구조상의일반적질문 왜 MOM 를사용해야합니까? FCS 는 MOM 에이전트를설치해야한다 / 서버의호스트충돌을최소화하기위해서 (i.e. lightweight MP) 저희회사에존재하고있는 MOM 에 FCS 를사용할수있습니까? 아니오. 최대로확장하기위해별도의지정된 MOM 서버구축필요 ( 서버당최대만개까지 ) 왜 MOM 2005 만지원되고 MOM 2007 은지원되지않습니까? 설계결정이현재사용하고있는보고 / 경고기능의내장된방식으로만들어졌다차세대버전 MOM 2007에서활용될수있도록할예정 전체 SQL server 기능을요구하는가? MSDE는사용할수없는가? 보고서기능은 MOM 리포팅기능과 SQL 리포팅서비스에의해할수있도록함
요약 FCS 의 3 대기능 안티멜웨어비교시 FCS 의이점 설치조건및지원되는제품 FCS 의토폴로지 안티맬웨어차단기능 보안상태평가 (SSA) Dashboard 및보고서기능데모 보고서및경보기능
다운로드 MSRT(Malicious Software Removal Tool) http://www.microsoft.com/downloads/details.aspx?displaylang=ko &FamilyID=47DDCFA9-645D-4495-9EDA-92CDE33E99A9 Windows Defender http://www.microsoft.com/korea/athome/security/spyware/software /default.mspx Windows Live OneCare http://onecare.live.com/site/ko-kr/default.htm?s_cid=sah Forefront Client Security 제품 (Beta:2007 년 4 월기준 ) http://www.microsoft.com/downloads/details.aspx?familyid=65c7 116F-D238-463C-B3C7-E2627F210AEE&displaylang=en
참고문헌웹사이트 Windows Defender및 Microsoft 안티바이러스기술제품비교 http://www.microsoft.com/korea/athome/security/spyware/software/abo ut/productcomparisons.mspx Forefront Client Security 설치후필요조건요소 http://www.microsoft.com/technet/prodtechnol/beta/forefront/default.ms px Forefront Client Security 기술문서라이브러리 https://www.microsoft.com/technet/clientsecurity/2007/library/default.m spx Forefront Client Security 운영가이드 https://www.microsoft.com/technet/clientsecurity/2007/operations/defa ult1.mspx?mfr=true Forefront Client Security 장애처리가이드 https://www.microsoft.com/technet/clientsecurity/2007/operations/57be 6418-7eeb-4d88-a0bb-cec7448a7906.mspx?mfr=true