System Center Endpoint Protection 2012


A korábban Forefront Endpoint Protection 2010 (és még korábban Forefront Client Securty) termék legújabb verziója System Center Endpoint Protection 2012 néven folytatódik és a Configuration Manager 2012 szerves része lett. Ez értheto mind technikai mind licenszelési vonatkozásban, ezáltal egy ár/érték arányban vezeto vírus és kártékonykód védelmi megoldást biztosítva minden ConfigMgr ügyfelelünknek.

A felügyelet teljes mértékben integrálódik a Config Manager 2012-be, a korábbi FEP2010 és SCCM 2007-es kettosség (külön adatbázis, külön Windows service, zárolt SCCM collectionok, csomagok, külön reporting, stb.) megszunik. Az új ConfigMgr2012 client agent szerves része az SCEP2012, legfeljebb a szükséges komponensek nincsenek engedélyezve. Ez azt jelenti, hogy egy ConfigMgr2012 infrastruktúrában a SCEP bevezetése a ConfigMgr bevezetést követoen bármikor könnyedén megteheto, csak engedélyezni kell a szükséges kliens komponenst. Engedélyezés esetén a kliensek telepítik az Endppoint Protection binárisokat. A telepíto automatikusan képes eltávolítani ismert 3rd party vírusvédelmi kliens komponenseket (ahogy eddig is a korábbi verziók esetében is volt). Ráadásul a kliens komponens telepíto csomagja elore le van töltve a ccmsetup könyvtárba. Összességében elmondható, hogy ennyire még soha nem volt egyszeru vírusírtót váltani. 🙂 (már ha túl vagyunk a ConfigMgr 2012 bevezetésen persze).

Az Endpoint Protection beállítások pedig a többi kliens tulajdonsággal együtt szabályozható:

A ConfigMgr mostmár támogatja hogy a kliens beállításokat ne csak site szinten globálisan lehessen beállítani hanem akár több különbözo client policy-t is létre tudjunk hozni amiket aztán collection-ok hoz lehet hozzárendelni, így a SCEP beállításokat igény szerint szabályozhatjuk eltéro gépcsoportokon. (ez nem csak a SCEP hanem bármilyen cliens policy beállításra vonatkozik, tehát mostmár lehet egy site-n belül különbözo Remote Tools policy-m, de talán errol egy korábbi cikkben már mintha írtam volna is)

A policy-kkal az Antimalware beállítások mellett a tuzfal beállításokat is szabályozni tudjuk, és várhatóan a Microsoft kiszolgáló termékekhez kapcsolódó sablon szabályokat is fog biztosítani a termék (exclusions, stb.).

Kliensek Anti Malware beállításai:

 

 Kliensek tuzfal beállítása:

Természetesen a szofisztikált tuzfal szabályozás GPO-n keresztül javasolt továbbra is. Ennek az ConfigMgr funkciónak inkább abban van szerepe, hogy abban az esetben ha az itt beállítottaktól elétéro érték van egy kliensen akkor arra generáljon riasztást és állítsa be az itt megadott értéket. Ami ezt lehetové teszi, hogy a Desired Configuration Manager-nek mostmár nem csak beállítások detektálásának képessége, de értékek beállítási képessége is van. Egyszer majd errol is írok cikket ígérem! 🙂

Tovább szofisztikálódott a definíció terítés módja is. A ConfigMgr maga is képes ellátni a definíció terítést, ezen felül továbbra is használható a WSUS-ból vagy UNC elérési útról való definíció terítés, és természetesen a közvetlenül Microsoft Update-rol való frissítés lehetosége is. Érdekesség hogy a kliens policy-ban szabályozható, hogy az alternatív frissítési utakat (pl.: MU) csak akkor használja ha az alapértelmezett ConfigMgr-es terítéssel a definició frissítést nem sikerült N óráig (alapértelemezetten 72 óra):

 

 

 Ami a jelentések és értesítések gyorsaságát illeti, bevezetésre került a “Hish Speed Data Channel” state message. A lényege a state message-knek prioritásuk van (0-15) és az Endpoint protection a legmagasabb (0-s) prioritású üzenetekkel kommunikál:

  • A 0-s sürgosségu state message-t a ConfigMgr kliens azonnal felküldi (nem vár 15 percet)
  • Szerver oldalon ezek az üzenetek azonnal feldolgozásra kerülnek
  • Nincs külön FEP és ConfigMgr adatbázis, tehát nincs áttöltésre szükség azonnal a megfelelo adatbázisba kerül az üzenet
  • Nincs külön FEP Server service
  • Minden Endpoint Protection üzenet 0-s prioritású

A fentiekkel egy virus detektálás után legfeljebb 5 perccel már megjelenik az értesítés a ConfigMgr konzolban, ami jelentos javulás a FEP2010 & SCCM2007 akár 32 perces idointervallumához képest. Az értesítések (akár e-mail akár konzol) szintén sokkal szofisztikáltabban testreszabhatóak a korábbi verzióhoz képest.

A ConfigMgr 2012 minden komponensére, így az Endpoint Protection jogosultság beállítására is szerepkör alapú jogosultság beállítás (Role Based Access Control – RBAC) lehetséges, vagyis a jogosultságok delegálhatósága is megoldott, szemben a korábbi verzió Desktop Administrator-Security Administrator jellegu szeparációjával, így már egyedi igények szerinti jogosultság szeparáció alakítható ki.

 

Végezetül a korábbi Microsoft Spynet új nevet kapott, mostantól Microsoft Active Protection Service-nek (MAPS-nak) hívjuk. Hogy mit jelent és miért érdemes csatlakozni az alábbi cikk és a végén található videó bemutatja: http://blogs.technet.com/b/clientsecurity/archive/2011/02/22/microsoft-spynet.aspx

 


Comments (0)