stanislas quastana, cissp architecte infrastructure microsoft france
TRANSCRIPT
Le futur de la gamme de produits de sécurité ForefrontStanislas Quastana, CISSPArchitecte InfrastructureMicrosoft Francehttp://blogs.technet.com/stanislas
Agenda
IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront
Forefront StirlingLes autres produits Forefront
Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway
SynthèseRessources utiles
Agenda
IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront
Forefront StirlingLes autres produits Forefront
Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway
SynthèseRessources utiles
Sécurité & accès, les défis actuels
Menaces en constante évolutionPlus sophistiquéesVolume en augmentationMotivées par le profit
Sécurité des SI plutôt fragmentéeDe nombreux produitsFaible interopérabilitéManque d’intégration
Administration et déploiements difficiles
Consoles multiplesFaible coordination entre le reporting et l’analyseCoût et complexité souvent élevés
Vue d’ensemble de la gamme Microsoft Forefront aujourd’huiProtection du périmètre
ISA Server 2006Intelligent Application Gateway 2007
Protection des serveurs de collaboration
Forefront Security for ExchangeForefront Security for SharePointForefront Security for OCSForefront Management Console
Protection des systèmes Forefront Client Security
AntivirusAntispyware+ évaluation de sécurité
Antivirus(multi moteurs)& Filtrage de contenu
Proxy WebReverse ProxyVPN
Évolution de la gamme Forefront(les petits nouveaux qui arrivent)Protection du périmètre
Forefront Threat Management GatewayForefront Unified Access Gateway
Protection des serveurs de collaboration
Forefront Security for Exchange v11Forefront Security for SharePoint v11
Protection des systèmes Forefront Client Security v2
Et surtout
Agenda
IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront
Forefront StirlingLes autres produits Forefront
Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway
SynthèseRessources utiles
Objectif de Forefront Stirling
Permettre une protection unifiée de votre Système d’Information
Quelques exemples pour illustrer tout ça
Exemple 1 : situation actuelle(ou presque vu qu’IIS est plutôt robuste depuis sa version 6.0 ;-) )
Protection périmétrique
WEB
Pirate
WEB
Serveur Web
Serveur de stockage
IIS oublié, pas à jour
Descente d’outils
de hacking
Code d’exploitati
on d’IIS connu
Utilisation du
serveur pour
distribuer des
logiciels illégaux
Téléchargement de logiciel
illégal
Exemple 2 : avec Stirling
Protectionpérimétrique
WEB
Pirate
WEB
Serveur Web
Serveur de stockage
IIS oublié, pas à jour
Descente d’outils
de hacking
Code d’exploitatio
n d’IIS connu
Utilisation du
serveur pour
distribuer des
logiciels illégaux
ForefrontClient
Security NAPActive
Directory
Quarantaine
Bloquer Email
Bloquer
Réinitialiser le compte
Administrateurde la sécurité
Canal d’évaluations de sécurité (Security Assessments Channel)
VulnérableOrdinateur IIS-OLDFidélité ElevéeGravité ElevéeExpiration : Mer
Stirling
Core
CompromissionOrdinateur IIS-OLDFidélité Elevée Gravité ElevéeExpiration: Mer
CompromissionUtilisateur: IIS-AdminFidélité MoyenneGravité ElevéeExpiration : Mer
CompromissionOrdinateur IIS-OLDFidélité ElevéeGravité ElevéeExpiration : Mer
CompromisionOrdinateur Storage-ServerFidélité ElevéGravité MoyenneExpire: Mer
Alerte
Forefront Server for:Exchange, SharePoint
OCSAnalyses antimalware fréquentes
FCS marque l’utilisateur sur le serveur IIS
comme compromis
FCS détecte que le serveur IIS
n’est pas à jour
FCS détecte de multiples logiciels
malveillants sur le serveur IIS
TMG détecte une exploitation
ciblant la machine IIS
Forefront TMG détecte une
utilisation excessive du réseau sur la
machine de stockage
Téléchargement de logiciel
illégal
Problème (ex: machine compromise)
Fidélité élevée Fidélité moyenne
Fidélité basse
Gravité élevée
Alerte (priorité haute)Analyse complète FCSBlocage de l’accès Internet TMG
Alerte (priorité moyenne)Analyse rapide FCSRestriction d’accès TMG
Analyse rapide FCS
Gravité moyenne
Alerte (priorité basse)Restriction d’accès TMG
Analyse rapide FCSAugmentation de l’audit de TMG
Gravité faibleAugmentation de l’audit de TMG
Réponse dynamique définie par stratégie
Alerte Audit AnalyseProtectio
n
Réponse dynamique définie par stratégie
Objectifs avec Forefront Stirling :Automatiser un processus manuel souvent existantAccélérer l’application du processus
Faire une abstraction du niveau de détails et se concentrer sur l’évènement/alerte en terme de :
FidélitéGravité
Une politique de réponse par défaut est présente et modifiable
Forefront « Stirling » est une infrastructure comprenant…
Un serveur avec une console d’administration centralisée et de supervision
le serveur Core Forefront Stirling
Les prochains produits de la gamme Forefront
Antimalware pour la protection des systèmesAntimalware pour la messagerieAntimalware pour portail collaboratifPasserelle de sécurité
Des serveurs assurant la conformité des postes
Serveurs de mise à jourServeurs de politique réseau
Produits Forefront intégrés avec Forefront Stirling
Dans la version actuelle (beta 2)Forefront Threat Management GatewayForefront Security for Exchange v11Forefront Security for SharePoint v11Forefront Client Security v2
Actuellement il n’y a pas encore d’intégration pour
Forefront Security for Office Communication ServiceForefront Unified Access Gateway
Forefront Stirling : principe
Protection des systèmes (postes et serveurs)
Protection des applications
serveurs
Protection du périmètre
« v2 »
Remontée et partaged’informations
RéponseDynamique(en fonction de la gravité et la fidélité)
Administration / Supervision
Console Forefront Stirling
2 usages principaux Gestion des stratégies StirlingSurveillance et gestion de rapports
Autres usagesInvestigation
Modèle de gestion unifiéeModèle de gestion par stratégies
Définition de stratégies de sécurité uniques qui s’appliquent sur plusieurs ciblesUn seul moteur de règlesCalcul du résultat d’application des politiques à l’aide d’un outil “RSOP” dans la console
Découverte centralisée Utilisateurs depuis l’Active DirectoryMachines depuis System Center Operations Manager
Gestion simplifiée des biens (assets : machines ou utilisateur protégés par un logiciel Forefront)
Regroupement flexibleRecherche sur critères multiples et dynamique des cibles
Assets et groupes dans Stirling
Asset = ordinateur ou utilisateur
Un groupe d’Assets est défini par une requête écrite en GDL (Group Definition Language)
le contenu d’un groupe est donc dynamique
Exemples de requêtesFsys.ServerRole=ExchangeFsys.ADOU=‘OU=pcportables, DC=mondomaine,DC=com’
GDL – attributs StirlingAttribute Input
type Description
Multivalued
Discovered
FSys.NetbiosName StringNom NetBIOS dThe NetBIOS name of the asset.
No Yes
FSys.IsManaged Boolean
Whether or not there is a Stirling agent installed on the asset and managed by the Stirling server. Value can be either True or False.
No Yes
FSys.AssetId Int64Stirling asset identifier. This read-only attribute is automatically created for the asset.
No No
FSys.DnsFqdn StringThe Domain Name System (DNS) FQDN for the asset.
Yes Yes
FSys.IPv4 String The TCP/IP V4 address of the asset. Yes No
FSys.ADDomain StringThe Active Directory domain to which the asset belongs.
No Yes
FSys.ADOU StringThe Active Directory organizational unit (OU) in which the asset resides.
Yes Yes
FSys.ADGroup Sid (string)An Active Directory group of which the asset is a member.
Yes No
FSys.SID Sid (string) The SID (security identifier) of the asset. No No
FSys.GroupBy String or integer
Custom multivalued attribute that can contain any string value. Limited to 256 characters/integers.
Yes No
FSys.ServerRole StringStirling server roles discovered on the asset by the Stirling agent.
Yes
Yes (Only Exchange 2007 is discovered)
FSys.AssetCriticality
Int32 The criticality of the asset. No No
Stratégies Stirling
Les stratégies Stirling permettent de définir les paramètres ou configuration à déployer pour les postes managés ou des utilisateurs
Une stratégie est constituée de une ou plusieurs unités de stratégies (policy unit)Il existe des unités de stratégies relatives à FCS v2, au pare-feu Windows, à NIS, à NAP…
Une fois une stratégie définie, il faut la lier à un ou plusieurs groupes (requête GDL)
Une machine ou un utilisateur peuvent donc être concernés par plusieurs politiques.Il existe une notion de priorité des stratégies
Stratégies Stirling
Déploiement des stratégies
Forefront Stirling distribue ses stratégies aux ordinateurs en leur envoyant un fichier de règles (Management Pack) SCOM 2007
Répertoire C:\Program Files\System Center Operations Manager 2007\Health Service State\Management Packs
Stratégies Stirling vs Stratégies de groupes Active Directory
Vitesse d’application bien plus rapide sur Stirling
GPO Active Directory : 90 minutes par défautStratégies Stirling via SCOM 2007 R2 : quelques minutes
PowerShell dans Stirling
La console “Stirling” s’appuie à 100% sur PowerShell
Tout ce qui est visible sur l’interface graphique est “scriptable”Permet d’automatiser les tâches d’administration de la sécurité
Plus de 100 Cmdlets disponibles Gestion des groupes (création, modification, suppression)Génération de rapports…
Agenda
IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront
Forefront StirlingLes autres produits Forefront
Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway
SynthèseRessources utiles
Forefront Client Security v2
FCS v2 est le successeur de Forefront Client Security
FCS v2 fonctionne avec Forefront Stirling pour :
Le déploiement des stratégies de configurationLa surveillanceLa génération de rapports
FCS v2 ne dispose pas de console d’administration spécifique, il nécessite la console Forefront Stirling
Nouveautés FCS v2
Technologies déjà présentes en version 1Antimalware (AM) – antivirus et antispywareSecurity State Assessment (SSA)Contrôle de conformité (SHA NAP)
Nouvelles fonctionnalitésConfiguration du pare-feu de WindowsNetwork Inspection System (NIS)
« Sorte d’IPS » s’appuyant sur un système de modélisation des vulnérabilités connues
Système de gestion des logiciels autorisés (ASM)
Aide à la constitution de “listes vertes”
Intégration avec “Stirling”
Network Inspection
System (NIS)
Aide à la protection contre les Zero-day
Blocage, suppression des logiciels malveillants
Antivirus/Antispyware
Pare feu personn
el
Restriction des actions applicatives
Réduction des surfaces d’attaqueÉvaluation des vunérabilités
(SSA)
Collaboration avec les autres produits Forefront
Forefront “Stirling”Réponse
Dynamique
Aide à la protection contre les Zero-day
Authorized Software
Management (ASM)
Protection unifiée : couverture
Proactif
Réactif
Network Inspection System (NIS)
Détection à base de signatures de trafic malveillant
Basé sur un projet de recherche Microsoft (GAPA)
Generic Application Protocol Analyzer
Distribue des signatures de vulnérabilités (ex: MS08-33), et non des signatures d’“exploits” (type Snort)A chaque sortie de bulletin de sécurité on aura
La mise à jour de sécurité ET les signatures NIS associées
Permet de faire “gagner du temps” aux responsables sécurité lors de la mise à disposition de nouveaux correctifs (« Tuesday Patch »…)
Disponible sur Forefront TMG et FCS v2
Stratégie(s)
SIGNATURE, UPDATES
MicrosoftUpdate
Architecture FCS v2
Stratégie(s)
Evèn
em
en
ts
Network AccessProtection (NAP)
Forefront Client Security v2
Infrastructure nécessaire
Rapports
Groupes
Gestion centralisée
Par défaut, FCS v2 permet à l’utilisateur de modifier la configuration de la protection
L’administrateur peut restreindre l’interface de l’utilisateur de manière centralisée grâce à une stratégie Stirling
Agents présents sur le clientSCOM 2007 Agent
Seulement un véhicule de "transport"Reçoit les politiques de sécurité et les demandes de tâches
Envoie des évènements vers la console Stirling
Sur le poste client on retrouve des infos sur les mises à joursDans le journal des événements
Dans le répertoire cité dans un slide précédemment
Forefront System Agent (aka Stirling Agent)C’est un "dispatcher"
Il coordonne les communications entre le serveur Stirling Core et les technonologies de protection
Il communique avec l’agent SCOM et les APTs (Asset Protection Technology)
Asset Protection TechnologyIls font le “travail”
Forefront Host Protection (FCS)
Pare-feu Windows
Stratégie de groupe (GPO)…
Agenda
IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront
Forefront StirlingLes autres produits Forefront
Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway
SynthèseRessources utiles
Forefront Security for ExchangeVersion 11Antivirus et antispyware
Quelques changements dans le nombre de moteurs
Nouveau : gestion de l’anti spamRappel : la v10 ne fait que l’antivirus et le filtrage de contenu
Intégration avec Exchange Hosted FilteringSolution hébergée de filtrage (antivirus, anti spam, filtrage de contenu)Solution avec niveaux de services contractuels
Forefront Security for SharePointVersion 11Support de la prochaine version de
SharePoint et de la version actuelleNouvelle interface d’administrationIntégration avec Forefront Stirling…
… et probablement plein d’autres nouveautés
Mais non divulguées pour l’instant
Agenda
IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront
Forefront StirlingLes autres produits Forefront
Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway
SynthèseRessources utiles
Forefront Threat Management Gateway (TMG)Successeur d’ISA Server 2006
Fonctionne sur Windows Server 2008 64 bits3 utilisations
Proxy Web : accès sécurisés vers InternetReverse Proxy : accès distants Web depuis InternetPasserelle VPN : nomade ou site à site
Plein de nouveautésIntégration avec Forefront StirlingNetwork Inspection SystemAntimalware sur HTTP Inspection SSL…
1 heure sur le sujet, en fin d’après-midi à la session sur Forefront TMG ;-)
Plan de réponse avec TMG, FCSv2…
Suivi des incidents
Agenda
IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront
Forefront StirlingLes autres produits Forefront
Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway
SynthèseRessources utiles
Synthèse
Protection unifiéeProtection à plusieurs niveaux dans l’entrepriseTechnologies de protection qui partagent les informations
Administration rationnaliséeUne seule consoleDéfinition d’une seule stratégie de sécurité à travers plusieurs technologies (Forefront TMG, FCSv2, prochaine version Forefront Security for Exchange, Forefront Security for SharePoint…)Déploiement rapide des signatures, stratégies et logicielsIntégration dans l’infrastructure existante SCOM, SQL, WSUS, AD, NAP, SCCM
SupervisionConnaître et suivre l’état de sécuritéRapports completsIdentifier et corriger les risques de sécurité
Ressources utiles
Blog de Stanislas
http://blogs.technet.com/stanislas
Dans ce blog, cliquez Forefront Stirling, Forefront TMG, Forefront Security Client… dans la zone de tags pour accéder à toutes les informations complémentaires et les liens vers les documents de références.
Save the date for tech·days next year!
14 – 15 avril 2010, CICG
Classic Sponsoring Partners
Premium Sponsoring Partners