SEC303
Brad Wright
Principal Product Unit Manager

Microsoft

Einleitung:

Das identity Team ist nun Teil des Security Teams bei MS, was Sinn macht, weil ANONYMOUS ist immer schlecht für Security…

Wie kann ich jemand trauen, den ich nicht kenne…

Ich definiere bei Security meine Assests – welche Geräte habe ich, wie hoch sind die Security Anforderungen bei diesen Assests ?

Und ich definiere eine SecurityPolicy

Und dann definiere ich SecurityPolicies zu Assets – egal welche Maschinen/Betriebssysteme dahinter sitzen

UNified Protection:

von REAKTIV

Block, remove and clean malicious softwareAntivirus/Antispyware

Zero-Day vulnerability protection   Network Inspection System (NIS) NEW
schützt gegen Netzwerk basierende Vulnerabilities
Signaturen werden mit dem Patch Tuesday mitgeliefert
Schützt meine Umgebung für die Zeit, bis ich diese Patches deployed habe (was im Schnitt 43 Tage braucht)
Habe ich die Patches deployed, werden diese Signaturen deaktiviert (um den Overhead zu minimieren)
passiert am Netzwerklevel, d.h. das kostet Performance, daher muss ich selbstverständlich weiter Patchen !

Collaborate with integrated security system – Forefront “Stirling” Dynamic Response *NEW*

Securityrichtlinien und Maßnahmen (Clients sperren, User Mail-Disablen..) können damit systemübergreifend definiert und durchgeführt werden um potentiell infizierte Clients möglichst rasch inaktiv zu setzen. Klingt ein wenig kompliziert, wurde aber sehr gut mit einer Grafik erklärt..

Reduce surface area of vulnerabilites – Vulnerability Assessments - *NEW*

Neu: es werden auch IIS Settings, DEP, IIS Settings and more überprüft

Ich kann mit FCS v2 sehr genau einstellen, was ich beim Vulnerability Assessment prüfe – für die unterschiedlichen Assests die ich habe

Sehr genaue Prüfungen – vom lokalen Admin bis hin zum Pop-Up Blocker….


Restrict what application can do – Host Firewall *NEW*
zentrales Management der Windows firewall (XP/2003/Vista/2008/WIndows7)

Block known & unknown vulnerabilites – Vulnerabilities Remediation *NEW*

Zero-day malware protection “Authorized Software Management (ASM) *NEW*
Application Control “Whitelisting” – mehr als Software restriction
only enterprise deployed software allowed (WSUS, SCCM, ..)
erzwungen vom FCS Client
unterstützt End User Ausnahmen
und noch weitere Optionen, um den ManagementAufwand möglichst gering zu halten, aber die Sicherheit hochzuhalten.
Wenn nur bekannte Programme laufen dürfen, kann ein Virus nicht laufen….

Einfach zu konfigurieren – ich nehme einen Referenz-Computer und sage: Das darf laufen, sonst nichts….
Unterschiedliche Modi: nur das, alles, aber es wird mitgeloggt, Fragemodus

zu PROAKTIV

Sehr schöner Test über die Ressourcenanforderungen von FCS und dem Mitbewerb – wir liegen massiv unter den Werten des Mitbewerbes, werde diese Ergebnisse noch in einem eigenen Beitrag posten…

Simplified Management

Die Stirling Management Konsole wird die Managementkonsole von FCS v2

eine Konsole, die alle Secuityprodukte im Haus koordiniert

alles, was ich in der Konsole machen kann, kann ich über die Powershell machen

Benötigte Umgebung:

Stirling Server
SQL Server
System Center Operations manager

Ich kann FCS v2 in jede System Center Operations Manager Umgebung 2007 und höher deployen

Schwer geniale Ansätze, die sehr strak in proaktive Schutzmassnahmen geht und weg vom reaktiven Modus, den viele Programme heute noch haben

Allerdings dürfte die Zielgruppe definitiv nicht der KMU-User sein – die Anforderung, dass ein SCOM im Unternehmen laufen muss ist doch ein wenig heftig…

Habe nachgefragt: Zielgruppe für Forefront Client Security ist der Enterprise User…

Hat mir keine Ruhe gelassen - ich habe jetzt noch mal mit Brad gesprochen.

ENTWARNUNG:
Ich muss in meinem UNternehmen KEINEN SCOM installiert/lizensiert haben um FCSv2 nutzen zu können !
Wahrscheinlich wird auch der SQL-Server ins Packerl lizenztechnisch integriert werden (ist aber nicht fix)

D.h. FCS wird weiterhin auch für Kleinkunden nutzbar bleiben (und mit dem Featureset unglaublich gut werden!)

Das Thema SCE und FCSv2 bin ich gerade am klären - ob man hier wirklich 2 Agents am Client deployen muss...

 

Aber mal sehen, ob das bis zur finalen Release auch so bleibt, ich sehe wenig Gründe, warum es nicht mit SCE zusammen laufen sollte….

Roadmap:
H1 2009 soll die neue Welle von Forefront Produkte kommen….

Christian – live aus Barcelona
Christian:Decker@microsoft.com