FOREFRONT ENDPOINT PROTECTION 2010 QUICK ADMIN GUIDE

FOREFRONT ENDPOINT PROTECTION 2010 QUICK ADMIN GUIDE In 2010 is Micrsft met een nieuwe versie van zijn antivirus plssing vr clients gekmen: Frefrnt Endpint Prtectin 2010. Dit dcument is bedeld m snel te leren werken met Frefrnt Endpint Prtectin 2010.

1 FOREFRONT ENDPOINT PROTECTION 2010 QUICK ADMIN GUIDE AUTEUR: Martijn Bellaard CO-AUTEUR: Stefan van der Wiele EDITOR: Melle Glerich UITGEVER: www.ngn.nl

2 Inhudspgave Inleiding... 3 Frefrnt Client Security... 3 Frefrnt Endpint Prtectin 2010... 3 Integratie... 3 Distribueren... 3 Gebruik... 4 Samenvatting... 4 Installatie van Frefrnt Endpint Prtectin 2010... 5 Pre-requirements Frefrnt Endpint Prtectin 2010.... 5 Frefrnt Endpint Prtectin 2010 installeren... 6 Frefrnt Endpint Prtectin 2010 Plicies... 8 My First Exchange Plicy... 8 Frefrnt Endpint Prtectin 2010 Plicy tewijzen... 12 Default plicies... 13 Deplying... 14 Mnitring deplyment... 15 Cnfiguring Frefrnt Endpint Prtectin Mnitring... 17 Het dashbard... 17 Malware Activity Status.... 18 Definitin Status... 18 Mnitring... 19 Plicy Distributin... 21 Email settings... 23 Frefrnt Endpint Prtectin Rapprtage... 25 Anti-malware Activity Reprt... 25 Antimalware Prtectin Reprt... 26 Cmputer list Reprt... 27 Frefrnt Endpint Prtectin znder SCCM... 28

3 INLEIDING In 2010 is Micrsft met een nieuwste versie van hun antivirus plssing vr clients gekmen: Frefrnt Endpint Prtectin 2010. Frefrnt Endpint Prtectin 2010 is een nderdeel van de Frefrnt familie, een verzameling security-prducten van Micrsft. In dit eerste hfdstuk bespreken we wat Frefrnt Endpint Prtectin 2010 is. Frefrnt Client Security Frefrnt Client Security is de vrlper van Frefrnt Endpint Prtectin 2010 en is de Micrsft Antivirus & Anti-malware plssing vr de werkplekken en server. Deze plssing werkt p basis van Micrsfts eigen Antivirus engine. Frefrnt Client Security maakte gebruik van WSUS vr zijn updates, Active Directry vr de plicies en MOM vr mnitring. Vral deze laatste vrwaarde zrgde vr ngal wat cmmentaar, want één van de eisen vr Frefrnt Client Security was dat hij een eigen MOM installatie ndig had. Frefrnt Endpint Prtectin 2010 Frefrnt Endpint Prtectin 2010 wrdt, net als FCS, gebruikt als Antivirus & Anti-malware client p servers en werkplekken. Frefrnt Endpint Prtectin 2010 heeft de vlgende kernmerken: Integratie met de bestaande infrastructuur Eenvudig te distribueren Eenvudig in gebruik Integratie FCS was de eerste antivirus client van Micrsft. Het feit dat FCS zijn eigen MOM server ndig had werd gezien als een grt nadeel. De ntwikkelaars van Frefrnt Endpint Prtectin 2010(en FCS) hebben dan k eens ged nagedacht ver welk cnsle ze zuden gaan gebruiken vr de client. Nu is SCOM de pvlger van MOM en zu dus de lgische pvlger zijn. Er zit een grt nadeel aan SCOM, deze is bedeld vr mnitring. Je zult dus naast SCOM ng een andere tl meten hebben vr Distributie en Management van de client. In de System Center familie is er een speciale tl vr juist deze taken, System Center Cnfiguratin Manager 2007. Er is dan k gekzen m SCCM te gebruiken als cnsle. Hier zitten een aantal vrdelen aan: 1. In SCCM heb je een cllectie van al je clients en server. De cllectie kun je dus nu eenvudig Frefrnt Endpint Prtectin 2010 aan z een cllectie tewijzen 2. SCCM is gemaakt vr sftware distributie. Frefrnt Endpint Prtectin 2010 is niks anders dan een sftware pakket 3. WSUS kent k een integratie met SCCM, dus je kunt k de updates vr Frefrnt Endpint Prtectin 2010 vanuit SCCM den. 4. SCCM kent een integratie met NAP 5. SCCM heeft zijn eigenrapprtage mgelijkheden. Distribueren Virussen en malware zijn iets waar elke rganisatie vreg f laat (f allebei) mee te maken krijgt. Er is dan k geen rganisatie die geen antivirus plssing heeft. Als je dus kiest vr een nieuw antivirus

4 client zul je dus meten gaan nadenken he je de ene client weghaalt en de andere installeert. Je hebt dan twee pties: 1. Je installeert de nieuwe en verwijdert daarna de ude, je hebt nu geen windw waarin je risic s lpt, maar de ude antivirus client kan de installatie van de nieuwe in de weg zitten. 2. Je verwijdert de ude en installeert de nieuwe. Je hebt nu niet dat de ude de nieuwe in de weg zit, maar je hebt wel een windw waarin je systeem tijdelijk niet beschermd is. 3. Bij de distributie van Frefrnt Endpint Prtectin 2010 zal de Frefrnt Endpint Prtectin 2010 client zelf eerst de ude client verwijderen en daarna zichzelf installeren. Hierdr heb je een minimale windw waarin je systeem nbeschermd is. Als je vr kiest m dit prces buiten kantruren plaats te laten vinden is het risic bijna te verwaarlzen. Frefrnt Endpint Prtectin 2010 verwijderd de vlgende clients: Symantec Endpint Prtectin versin 11 Symantec Crprate Editin versin 10 McAfee VirusScan Enterprise versin 8.5 and versin 8.7 Trend Micr OfficeScan versin 8.0 and versin 10.0 Frefrnt Client Security versin 1 including the Operatins Manager agent Een cmplete/up-t-date verzicht van de clients die autmatisch verwijderd wrden vindt je terug p: http://technet.micrsft.cm/en-us/library/ff823842.aspx Gebruik Naast dat Frefrnt Endpint Prtectin 2010 SCCM gebruikt vr distributie kun je k vanuit SCCM de plicies bepalen. Eerst maak je binnen SCCM een plicy aan en daarna wijs je deze te aan een cllectie. Vervlgens kun je vanuit SCCM de distributie van deze plicy mnitren, maar k een eventueel virus uitbraak wrdt bekend gemaakt binnen SCCM. Samenvatting Frefrnt Endpint Prtectin 2010 is de pvlger van FCS, maar is veel eenvudiger in het beheer. Alles de je vanuit één cnsle, de cnsle van SCCM. Het is k niet langer ndig m een speciaal SCCM server neer te zetten vr Frefrnt Endpint Prtectin 2010. Deze integreert met de bestaande SCCM. Hierdr is het dus mgelijk m bestaande cllecties te gebruiken vr Frefrnt Endpint Prtectin.

5 INSTALLATIE VAN FOREFRONT ENDPOINT PROTECTION 2010 In het eerste hfdstuk hebben we besprken wat Frefrnt Endpint Prtectin 2010 is. In dit hfdstuk drlpen we de installatie van Frefrnt Endpint Prtectin 2010. Pre-requirements Frefrnt Endpint Prtectin 2010. Het installeren van Frefrnt Endpint Prtectin 2010 is niet een heel lastig verhaal. De vrbereiding daarentegen vraagt wel m de ndige aandacht. In mijn vrige blg vertelde ik dat Frefrnt Endpint Prtectin 2010 gebruik maakt van SCCM. Deze zul je dus eerst meten installeren. Naast SCCCM zul je k ng meer sftware meten installeren. In de nderstaande tabel vind je een verzicht. Geheugen Minmaal 2 GB Disk ruimte Frefrnt Endpint Prtectin server: 1 GB Frefrnt Endpint Prtectin database: 6 GB Frefrnt Endpint Prtectin reprting database: 6 GB OS Micrsft Windws Server 2003 Service Pack 2 Micrsft Windws Server 2008 Service Pack 1 IIS + nderdelen IIS Static Cntent Default Dcument Directry Brwsing HTTP Errrs HTTP Redirectin ASP.NET Windws Authenticatin IIS 6.0 management Cmpatibility BITS WebDav SQL server versie Micrsft SQL Server 2005 Standard r Enterprise Editins, with Service Pack 3 Micrsft SQL Server 2008 Standard r Enterprise Editins SQL server nderdelen SQL Database Services Analysis Services Integratin Services Reprting Services SQL Server Agent Windws Authenticatin SQL cluster server cnfiguratie Werk je met een SQL cluster zal je gebruik meten maken van een Dmain Accunt Integratin Services met p alle ndes aanwezig zijn WSUS Micrsft Reprt Viewer Redistributable 2005

6 WSUS 3.0 SP1!! Let p!! Niet de wizard van WSUS na de setup drlpen. SCCM SCCM 2007 SP2 SCCM 2007 R2 Vlgend SCCM cmpnenten Hardware Inventry Sftware Distributin Desired Cnfiguratin Management Aanvullende sftware Micrsft Windws Installer versin 3.1 Micrsft.Net Framewrk 3.5 Service Pack 1 Accunts SQL Service Accunt Het belangrijkste tijdens de vrbereiding is dat je de juiste nderdelen van SCCM 2007 R2 selecteert. Daarna is het belangrijk m SCCM te cnfigureren vrdat je begint met de installatie van Frefrnt Endpint Prtectin 2010. Frefrnt Endpint Prtectin 2010 installeren Nu de server klaars is kan je gaan beginnen met de installatie van Frefrnt Endpint Prtectin 2010. In 16 stappen kun je vervlgens Frefrnt Endpint Prtectin 2010 installeren 1. Je start setup via: serversetup.exe. 2. Op de Welcme pagina kun je een Name en de Organizatin inveren. 3. <Next> 4. <Accepteer> de License Agreement 5. <Next > 6. Selecteer een tplgy 7. <Next> 8. Op de Reprting Database Cnfiguratin pagina: In de URL bxes vul je de URL van de SQL reprting server in. In de User name bxes vul je de gebruikersnaam in die een cnnectie mag maken naar de reprt server. In de Passwrd bxes, type je het wachtwrd in. 9. Op de Updates and Custmer Experience Optins pagina maak je een selectie en druk je p <Next> 10..Op de SpyNet Plicy Cnfiguratin pagina kies je vr Advanced SpyNet membership. Dr deel te nemen aan het SpyNet netwrk help je Micrsft met het vinden van antimalware 11. <Next> 12. Op de Installatin Lcatin pagina geef je de lcatie waar je FPE 2010 wilt installeren aan. 13. <Next> Je krijgt nu een Prerequisites Verificatin. Vrdat de installatie daadwerkelijk van start gaat cntrleert de installeer f je systeem vldet aan de eisen. Als je geen fut meldingen krijgt kun je verder gaan 14. <Next> 15. Setup Summary geeft een verzicht van de setup zals deze uitgeverd gaat wrden. Dit is het laatste mment dat je ng iets kunt veranderen.

7 16. <Next> Nu wrdt Frefrnt Endpint Prtectin 2010 geïnstalleerd p het systeem. Dit neemt wat tijd in, ga dus rustig een kpje kffie drinken.

8 Frefrnt Endpint Prtectin 2010 POLICIES Vrdat je de Frefrnt Endpint Prtectin 2010 client gaat uitrllen naar alle clients en servers is het slim m stil te staan bij settings die je in de plicy kan zetten. Je kunt er vr kiezen m blind de Frefrnt Endpint Prtectin 2010 client naar alle servers uit te rllen, maar dit kan serieus gevlgen hebben. Je wilt namelijk niet hebben dat een database van een Applicatie server zmaar gescand wrdt. Bijvrbeeld vr Exchange: Vr exchange maak je gebruik van een speciale anti virus client. Deze client werkt met de speciale VAPI s vr Exchange. Bijna elke anti virus plssing heeft daarm een speciale anti virus client vr exchange. Als een gebruiker een attachment mee wil sturen waar per ngeluk een virus in zit zal er via de VAPI s ingegrepen wrden. Als er dan k ng een lkale anti virus client is die gaat ingrijpen, kan dit er vr zrgen dat de database crrupt raakt. De lkale client maakt namelijk geen gebruik van een VAPI en zal direct ingrijpen in de database. Je zult dus eerst een plicy meten maken vr Exchange vrdat je exchange uitrlt. In mijn blg neem ik Exchange dan k als vrbeeld. My First Exchange Plicy In de Inleiding zagen we dat je Frefrnt Endpint Prtectin 2010 vlledig beheerd vanuit SCCM. Ok plicies maak je vanuit SCCM. In dit hfdstuk maken we een plicy vr Exchange. Start SCCM manager cnsle. Ga naar Site Database ( SCCM)\Cmputer Management\Frefrnt Endpint Prtectin 2010\Plicies. Onder Actin => New Plicy. General, Geef de Plicy een naam en eventueel een beschrijving. <Next> Plicy Type, kies de juiste template. naam Standaard, Deze plicy is geschikt vr werkplekken. Vr terminal servers en file server is de CPU lad te hg. Deze waarde zul je meten aanpassen. In dat geval is het verstandiger m CPU Limit p Standaard settings Antimalware plicy settings: Real-time prtectin: incming and utging files Scheduled scan: quick scan every Sunday at 10:00 PM

9 20% f 30% te zetten. CPU limit: 50% lad Windws Firewall: On Update antimalware definitins frm the fllwing surces: Cnfiguratin Manager Micrsft Update End user cnfiguratin: Real-time prtectin: ff Scheduled scan time: ff Client ntificatins n detected malware: ff High, deze template is vral interessant vr servers die een hg risic lpen m besmet te raken, denk hierbij aan internet facing servers Antimalware plicy settings: Real-time prtectin: incming and utging files Scheduled scan: daily quick scan at 2:00 AM and full scan every Sunday at 10:00 PM CPU limit: unlimited Windws Firewall: On Update antimalware definitins frm the fllwing surces: Cnfiguratin Manager Micrsft Update End user cnfiguratin: Real-time prtectin: ff Scheduled scan time: ff Client ntificatins n detected malware: ff Perfrmance, deze template is geschikt vr applicatie servers zals Exchange f SQL. Antimalware plicy settings: Real-time prtectin: incming and utging files Scheduled scan: quick scan every Sunday at 10:00 PM CPU limit: 30% lad Windws Firewall: On

10 Update antimalware definitins frm the fllwing surces: Cnfiguratin Manager Micrsft Update End user cnfiguratin: Real-time prtectin: ff Scheduled scan time: ff Client ntificatins n detected malware: ff Ik kies vr de template Perfrmance. <Next> Scheduled Scans, let er p dat de scan niet gelijk plaats vindt met een eventuele backup f ander batch prces Scan Exclusins, dit is de belangrijkste settings. Nu met ik alle lcaties gaan excluden waar Exchange mail weg schrijft f inleest. Hiernder vallen de vlgende zaken: De mailbx database + lgfiles. De mail queue directries. Update, kies de lcatie waarvan je wilt updaten. Je kunt hierbij kiezen uit: Een share SCCM/WSUS Micrsft Update De client zal alle lcaties afgaan vr de updates. Client Cnfiguratin Optins, Real-time prtectin, elke file die wrdt weggeschreven f ingelezen wrdt gecntrleerd p de aanwezigheid van een virus. Deze ptie kst extra perfrmance en ik laat hen daarm uitstaan. Gebruikers zullen niet direct deze server benaderen. Schedule scan time, eerder hebben we de schedule al aangegeven. Als je k daadwerkelijk wilt dat hij gaat met je het dus hier aanzetten. In het geval van mijn exchange server laat ik het uitstaan. Allw clients t receive ntificatins when malware is detected, je kunt aangeven f gebruikers feedback krijgen ver eventuele gevnden virussen. Kies vr ntificatins zul je k gebruikers meten vertellen wat ze meten den als ze z een melding

11 krijgen. In mijn geval heeft het geen enkele zin m een ntificatin te krijgen, want ik zit niet dagelijks achter de cnsle van mijn server. <Next> Summary, verzicht van alle settings <Next> Nu wrdt de plicy aangemaakt <Clse> Plicy aanpassen Nu je de plicy hebt gedefinieerd kun je hem verder gaan aanpassen. Niet alle settings heb je direct kunnen inveren tijdens de wizard. Selecteer de plicy Onder actins => Prperties Je ziet nu vier verschillende tabbladen: General Anti-malware Hier vind je algemene infrmatie terug ver de plicy en kun je zien aan welke cllectie de plicy is tegewezen. Onder deze tab kun je de vlgende settings den: Schedule scans, hier kun je de Schedule Scan cnfigureren. Hiernder vallen de vlgende settings Waarneer wrdt er gescand Heveel CPU wrdt er gebruikt Vrwaarde vr de scan Threat Handling, he met de client mgaan als er een virus gevnden wrdt Real-time Prtectin, he met de client mgaan met binnenkmende en uitgaande bestanden. Op een file server wil je natuurlijk dat elke file die binnenkmt gescand wrdt. Vr mijn exchange server geldt juist het tegenvergestelde. Als ik mijn server netjes beheer zal ik nit iets direct dwnladen p mijn server, maar p mijn werkplek. Exclude Files en Flders, welke bestanden en directries wil je niet gescand hebben, bijvrbeeld de exchange database

12 Exclude File types, welke type bestanden wil je niet gescand hebben. Bijvrbeeld alle.exe-files, maar f dat verstandig is? Exclude Prcesses, hier kun je alleen prcessen invullen die eindigen p cmd, bat, pif, scf, exe, cm f scr. Vr exchange server kies ik er vr al mijn exchange en Frefrnt prcessen te excluden. Additinal Settings, hier vind je de verige settings zals: Het wel f niet scannen van netwerk drives Het wel f niet scannen van remvable strage Het aanmaken van een restre pint Het gebruik maken van behavir mnitring Wanneer meten bestanden uit de quarantaine verwijderd wrden Overrides, p dit tabblad kun je aangeven wat er met gebeuren bij een speciale thread. Hierbij is het belangrijk te vermelden dat elke thread al een standaard actie heeft mee gedefinieerd. Vermeld je een thread niet dan zal de vr gedefinieerde actie plaats vinden. Het is k te adviseren m deze vr gedefinieerde actie te blijven handhaven en niet zelf vr elke virus een eigen actie te bedenken. -Micrsft Spynet, je kunt er vr kiezen dat de client feedback geeft ver gevnden sftware aan micrsft. Micrsft gebruikt deze infrmatie m de Frefrnt Endpint Prtectin 2010 client engine en Frefrnt Endpint Prtectin 2010 client database te verbeteren. Updates Net als elke anti virus client zal k Frefrnt Endpint Prtectin 2010 regelmatig geüpdate meten wrden. Op dit tabblad kun je instellen he de Frefrnt Endpint Prtectin 2010 client mgaat met Updates. Windws Firewall Je kunt de Frefrnt Endpint Prtectin 2010 client de Windws Firewall laten beheren. Frefrnt Endpint Prtectin 2010 Plicy tewijzen Als je helemaal tevreden bent ver de plicy settings kun je hem gaan tewijzen aan een cllectie. Selecteer de Plicy Onder Actin Assign Plicy Je krijgt een Add/Remve Cllectin scherm vr je. <Add>

13 Selecteer de juiste cllectie, het is dus verstandig m een aparte cllectie te maken vr Exchange <OK> SCCM zal nu de plicy met de juiste settings distribueren naar alle Exchange server. Default plicies Zals we zagen in de vrige paragraaf is het van grt belang m de juiste instelling per type applicatie server in te stellen. Micrsft levert bij de Frefrnt Endpint Prtectin 2010 sftware een aantal, vr ingestelde, plicies vr de verschillende type servers, zals IIS, Exchange, SQL 2005 enz. Ga naar de plicy nde Onder Actins Imprt Plicy Brwse naar Lcatie Frefrnt Endpint Prtectin \ FOREFRONT ENDPOINT PROTECTION 20102010 fr Servers CTP\Server_wrklad_plicies Je ziet nu allemaal XML files staan. De naam is altijd pgebuwd vlgens het naamschema: FOREFRONT ENDPOINT PROTECTION 2010_Type server Selecteer de juiste XML file <Open> De plicy wrdt nu autmatische geladen en kan wrden tegewezen aan de juiste Cllectie.

14 DEPLOYING Het deplyen van een client is eenvudig en gaat p basis van een cllectie. Let wel p dat je eerst de plicy hebt aangemaakt en dat deze is tegewezen aan de juiste cllectie. Is dit niet het geval dan zal de client een default plicy gebruiken. Deze kan geen kwaad p de meeste werkplekken, maar p een applicatie server wil je deze juist weer niet. Open System Center Cnfiguratin Manager Cnsle Cmputer Management\Cllectins Als je ng geen cllectie hebt gemaakt waarin de juiste clients f servers zitten, dan met je dat dus eerst den, anders kun je deze nu selecteren. In mijn geval heb ik een cllectie met al mijn Exchange servers er in gemaakt (1 stuk ;-) ) Onder Actin Distribute Sftware De Distribute Sftware t Cllectin Wizard start nu p. <Next> Select a existing package <Brwse> Tijdens de installatie van Frefrnt Endpint Prtectin heeft de setup 3 packages gemaakt: Micrsft Crpratin Frefrnt Endpint Prtectin 2010 Deplyment 1.0 All Micrsft Crpratin Frefrnt Endpint Prtectin 2010 Operatins 1.0 All Micrsft Crpratin Frefrnt Endpint Prtectin 2010 Plicies 1.0 All We gaan nu een client deplyen dus we kiezen de eerste <OK> <Next> System Center Cnfiguratin Manager gebruikt distributiepunten m de bestanden in p te slaan. Een client kan dan p z een distributiepunt de sftware weer phalen. Selecteer een Distributiepunt <Next> Je kunt nu kiezen vr een installatie f de-installatie. Kies Install <Next> Je kunt nu een naam geven aan de Advertisment. <Next> Kies f alleen de cllectie f k subcllectie de client krijgen <Next> Kies een mment waarp de sftware met wrden uitgerld en een eventuele deadline <Next> Het is verstandig m de client te te wijzen (assign). Een anti virus client is geen keuze ptie, maar iets dat verplicht is vr elke gebruiker.

15 Selecteer Yes, <Next> <Finish> <Clse> De Frefrnt Endpint Prtectin Client wrdt nu gedeplyed naar de gehele cllectie. Dit kan even tijd ksten. Mnitring deplyment Nu je de client gedeplyed hebt wil je natuurlijk weten f deze k is aangekmen. Hiervr heb je twee pties: 1. Je lgt in p de client en kijkt f Frefrnt er p staat. Dit is natuurlijk geen ptie als je hem gedeplyed hebt naar al je werkplekken 2. Je kunt gaan kijken naar p de Frefrnt Endpint Prtectin 2010Dashbard. Open System Center Cnfiguratin Manager Cnsle Cmputer Management\Cllectins\ Frefrnt Endpint Prtectin 2010 Je ziet het dashbard van Frefrnt Endpint Prtectin 2010 in het midden. Onder Operatinal Status zie je een taart grafiek. Is deze helemaal gren, dan is ged. Zie je een gele punt dan meten een aantal clients ng Frefrnt Endpint Prtectin client krijgen. Zie je een rde punt dan zijn er een aantal mislukt. Onder deze taart zie je een legenda met daar achter het aantal

16 clients die mislukt zijn. Hier bevindt zich k een link naar de juiste cllectie. Als je daar p klikt, kun je achterhalen m welke client het gaat. Van daar uit kun je beginnen met de trubleshting. In de vlgende directry, p de client, bevinden zich de lg files. Deze lg files zijn een gede start m te kunnen achterhalen wat er mis is gegaan. C:\PrgramData\Micrsft\Micrsft Security Client\Supprt

17 CONFIGURING FOREFRONT ENDPOINT PROTECTION MONITORING In de vrige hfdstukken hebben we stil gestaan bij wat Frefrnt Endpint Prtectin is, he je deze installeert, he je plicies maakt en he je en client distribueert. We hebben nu een ICT mgeving die beveiligd wrdt met Frefrnt Endpint Prtectin. Maar we willen k graag weten he de status is van mijn client: Is er een virus ntdekt, Zijn alle updates ntvangen, Wrdt de plicy uitgeverd? Het dashbard Frefrnt Endpint Prtectin beschikt ver een eigen Dashbard. Dit dashbard vind je p de vlgende lcatie: - Start System Center Cnfiguratin Manager cnsle - Site Database (Site)\Cmputer Management\Frefrnt Endpint Prtectin 2010 Op het mment dat je Frefrnt Endpint Prtectin 2010 selecteert zal in het midden, van de cnsle, het dashbard wrden gepend. Het dashbard is in vijf velden verdeeld: Client Deplyment Status, Hierin zie je heveel clients er zijn gedeplyed, heveel er ng meten gebeuren en welke er zijn mislukt. In een vrige blg ben ik hier al p ingegaan. Malware Activity Status, hierin zie je de activiteiten van malware p je netwerk terug.

18 Definitin Status, hierin zie je de status van de definitie updates distributie. Plicy Distributin Status, hierin zie je de status van de plicy distributie. Frefrnt Endpint Prtectin Baselines, hier km ik in een latere blg ng p terug. Malware Activity Status. In malware activity status zie je dat de laatste 24 uur er 1 malware (virus) gedetecteerd is. Als ik p de 1 klik dan wrdt ik drgewezen naar Site Database (Site)\Cmputer Management\Cllectins\FOREFRONT ENDPOINT PROTECTION 2010cllectins\Malware activity status\recently cleaned. Hierin staat 1 cmputer. Dit is mijn werkplek waarp ik (stiekem) wat virussen heb gedwnlad. Ik wil nu graag weten welk virus p mijn cmputer is binnen gekmen. - Selecteer de cmputer - Actins => Start => Windws Event Viewer De Event Viewer van de cmputer wrdt nu gepend - Kijk in het System lg - Actin => Filter Current Lg Filter p eventid 1116. Je krijgt nu alle Frefrnt Endpint Prtectin Client virus meldingen te zien. In mijn geval zijn het vier meldingen, want ik heb een pging gedaan vier virussen te dwnladen. Definitin Status Elke 3 uur kmt er een nieuwe update uit vr Frefrnt Endpint Prtectin. Deze update kun je dwnladen via WSUS en distribueren. Eerst meten we er vr zrgen dat updates daadwerkelijk wrden gedwnlad. - Site Database (site)\site Management\site\Cmpnent Cnfiguratin - Selecteer, in het midden, Sftware Update Pint Cmpnent - Actin => Prperties - Tabblad: Classificatins - Selecteer: Definitin Updates

19 - OK Mnitring WSUS dwnlad en distribueert de updates. Op Site Database (Site)\Cmputer Management\Frefrnt Endpint Prtectin 2010kunnen we nu gaan kijken welke cmputers een update krijgen. In mijn geval heeft 1 cmputer al maximaal 3 dagen geen updates gekregen. Als ik p de 1 druk wrd ik weer drverwezen naar de FOREFRONT ENDPOINT PROTECTION 2010cllectins. Hier zie ik dan de betreffende cmputer staan. Ik kan nu twee dingen den: 1) Op de cmputer inlggen en handmatig de update uitveren.

20 - Start Frefrnt Endpint Prtectin Client. Deze vind je terug in je system tray. Je krijgt dan het vlgende scherm vr je: - Update tab - Update knp Nu wrdt de update binnen gehaald. 2) De tweede manier is via een sftware update - Selecteer de betreffende cmputer - Actin => Distribute => Sftware - Next - Brwse - Selecteer Micrsft Crpratin Frefrnt Endpint Prtectin 2010 Operatins 1.0 All - Ok - Next - Selecteer de distributie punt(en) - Next - Update Definitins - Next - Next - Next Laat de advertisement verlpen na een dag. Als de cmputer na een dag ng steeds niet de update heeft dan zu je meten gaan nderzeken wat er mis gaat. Hierbij is het ged m te weten dat de client gebruik maakt van de Windws update mechanisme m updates binnen te halen. Dit is dan k het nderdeel dat je met gaan nderzeken. - Next - Assign (wijs) het prgramma te en Ignre maintenance Windws - Next

21 - Next - Clse Plicy Distributin Het laatst nderdeel dat ik wil behandelen is de Plicy distributin In een eerder blg heb ik uitgelegd he plicies werken en he je ze kunt distribueren. Net als bij de andere twee nderdelen kun je vanuit het dashbard dr klikken m te achterhalen welke cmputers ng een plicy meten krijgen. Achter distributin failed kun je klikken p het getal. Je kmt dan terecht bij FOREFRONT ENDPOINT PROTECTION 2010cllectins\Plicy distributin\distributin failed. Vanuit hier kun je de event viewer penen en nderzek wat er mis is gegaan. Ok kun je kijken f de client in flder C:\PrgramData\Micrsft\Micrsft Security Client\Supprt. Hier vind je meerdere lgfiles. Deze lgfiles kunnen je helpen te nderzeken wat er mis is gegaan tijdens de plicy distributie/update. Email waarschuwing cnfigureren Met de Frefrnt Endpint Prtectin is het dus mgelijk m centraal te zien welk virus waar is gevnden. Nu zullen de meeste beheerders niet cnstant kijken naar het dashbard van Frefrnt Endpint Prtectin. Op het mment dat er een virus uitbraak plaatsvindt, kan deze dus makkelijk aan de aandacht van een beheerder ntsnappen. In Frefrnt Endpint Prtectin is het mgelijk m een email te versturen als er een virus uitbraak plaatsvindt. - Start System Center Cnfiguratin Manager cnsle - Site Database (Site)\Cmputer Management\Frefrnt Endpint Prtectin 2010\Alerts Malware Outbreak Alert Er is sprake van een Malware Outbreak als 1 type virus in een snel temp allemaal cmputers begint te besmetten. - Selecteer Malware Outbreak Alert - Actin => Prperties

22 Bij 1 kun je invullen heveel cmputers er besmet meten zijn als je wilt praten ver een virus uitbraak Bij 2 kun je het interval tussen de detecties aangeven Bij 3 geef je het email adres p waarnaar gemaild met wrden. Malware Detectin Alert Er is sprake van een Malware Detectin Alert als er een malware gevnden wrdt. - Selecteer Malware Detectin Alert - Actin => Prperties

23 Bij 1 geef je aan welke cllectie je wilt mnitren Bij 2 geef je aan wanneer je een melding wilt hebben: Lw, alleen als een virus niet verwijderd is Medium, als de melding m een handmatig actie vraagt High, altijd Bij 3 vul je dan het email adres in. Email settings Als laatste met je aangeven welke server de mail server is. - Actin => Email settings

24 - - SMTP server (FQDN): geef de FQDN van de Exchange server p. - Authenticatin methd: He ga je authenticeren bij de exchange - E-mail frm address: Een afzender adres - OK

25 FOREFRONT ENDPOINT PROTECTION RAPPORTAGE We hebben nu succesvl Frefrnt Endpint Prtectin 2010draaien in nze mgeving. Nu wil ik graag weten he het er vr staat. In mijn vrig blg ben ik al ingegaan p de mnitring. In deze blg wil ik stil staan bij rapprtage. Er zijn drie type rapprtages: Antimalware Activity Reprt, dit rapprt geeft je infrmatie ver antimalware activiteiten Antimalware Prtectin Reprt, dit rapprt geeft je inzicht in he de clients functineren. Hebben ze alle updates, wanneer zijn ze vr het laatste gescand. Cmputer list Reprt, dit rapprt geeft je infrmatie ver al je cmputers en hun status. De rapprtage kun je p de vlgende manier prepen: Start System Center Cnfiguratin Manager Cnsle Site Database (Site)\Cmputer Management\Frefrnt Endpint Prtectin 2010\Reprts Selecteer een rapprt Onder Actin => Run Nu wrdt het rapprt gemaakt. Antimalware Activity Reprt Dit rapprt geeft je inzicht in de malware activiteiten p je netwerk. Heveel virussen zijn er ntdekt en verwijderd. Op het mment dat je dit hebt gemaakt zie je drie secties: Security Alerts, welke alerts zijn er geweest Security Status, wat is de status van je clients Antimalware Activity, heveel virussen heb je gehad Malware Activity, welk virussen heb je gehad. Bven in de brwser kun je de query aanpassen. Nu heb ik een Windws 7 cllectie gemaakt met daarin (he kan dat dan k anders) al mijn Windws 7 cmputers. Ik wil graag weten heveel virussen ik heb gehad (ik heb er namelijk stiekem wat gedwnlad). Als ik alles aangepast heb naar mijn settings druk ik p View Reprt en het rapprt wrdt gemaakt. Ik zie dan netjes dat er 4 incidenten waren met vier verschillende virussen.

26 Dr nu p één van de virussen te drukken wrdt het rapprt aangepast en zie ik meer infrmatie. Ik kan nu achterhalen welke werkplek het was en f hij is verwijderd. Antimalware Prtectin Reprt Dit rapprt geeft je inzicht in he de clients functineren. Hebben ze alle updates, wanneer zijn ze vr het laatste gescand. Dit is een rapprt met allemaal taart grafieken. In dit rapprt zijn twee secties: Antimalware Deplyment and Health, deze sectie is weer in vier sub secties nderverdeeld: Antimalware Prtectin, hier kun je zien wat de status is van het uitrllen van de client Antimalware Definitins, hier kun je zien wat de status is van het distribueren van de updates. Last Antimalware Scan, hier kun je zien wanneer vr het laatst de clients gecntrleerd zijn. Security Status, in deze sectie kun je zien f er ng malware actief is en f er een user actie ndzakelijk is. Ok in dit rapprt kun je de query aanpassen en dr klikken in verschillende nderdelen.

27 Cmputer list Reprt Dit rapprt geeft je infrmatie ver al je cmputers en hun status en heeft maar 1 sectie: De cmputer List. Hierin zie je alle cmputers. Als je dan vervlgens dr klikt p een cmputer in de lijst km je in de cmputer detail rapprtage terecht. Deze geeft meer infrmatie ver de betreffende cmputer. Deze tweede rapprtage is in drie secties verdeeld: Cmputer Details, hier vind je de naam, dmain waar hij lid van is en de OS versie Prtectin Status, hier vind je de status van de Frefrnt Endpint Prtectin client terug. Malware Activity, hier zie je welke malware er is gevnden p de betreffende cmputer.

28 FOREFRONT ENDPOINT PROTECTION ZONDER SCCM Vr een klant met een kleine heveelheid werkplekken kregen wij de vraag f wij een antivirus plssing knden aanbieden. Vrkeur ging uit naar een Micrsft prduct (Micrsft tenzij). En z kwamen we uit p Frefrnt Endpint Prtectin (FEP). Om FEP uit te rllen heb je SCCM ndig, mdat we de infrastructuur in stappen gaan vernieuwen bij deze klant, stnd SCCM ng niet p de lijst, dus wat nu? Als antwrd p diverse blgs was dat FEP bedeld was vr grte enterprise-mgevingen die dan tch k wel SCCM hadden f zuden nemen. Na wat speurwerk kwam ik gelukkig uit p een alternatief: advanced grup plicies. FEP bevat een aantal tls m de clients te beheren via grup plicies: 1. ADMX and ADML bestanden m FEP instellingen te beheren via grup plicies. 2. FEP2010GPTl.exe, dit is een tl m FEP settings te imprteren naar GPO's f GPO's te exprteren naar FEP plicies. 3. Setting templates (FEP plicy files) vr de standaard serverrllen zals: dmain cntrller, SQL server, etc. De makkelijkste manier is m de ADMX bestanden in the laden in een nieuwe GPO te creëren en deze te linken aan een OU en daar de instellingen in te maken. Eventueel kun je er vr kiezen m de templates in te laden in een GPO vr een specifieke serverrl. Vr het uitrllen heb je eigen twee keuzes: 1. Een GPO per OU, hiervr dien je wel alle servers met dezelfde functie in dezelfde OU te plaatsen (dit is in ieder geval aan te raden). 2. WMI filters gebruiken. Hierdr kun je meerdere GPO's aan één OU hangen en drmiddel van filters er vr zrgen dat de juiste plicy vr de juiste machine wrdt geladen. Mijn vrkeur gaat uit naar de eerste ptie mdat dit het eenvudigst te beheren is en de minste verhead verrzaakt. Auteur Martijn Bellaard, Strategy Cnsultant Wrtell (martijn.bellaard@ngn.nl) C-auteur: Stefan van der Wiele, Cnsultant Wrtell (stefan.van.der.wiele@ngn.nl) Editr: Melle Glerich, Cmmunity Manager NGN, (melle.glerich@ngn.nl) De Creative Cmmns Attributin-NnCmmercial-NDerivs 3.0 Unprted Licentie is van tepassing p dit werk. Ga naar http://creativecmmns.rg/licenses/by-nc-nd/3.0/ m deze licentie te bekijken