Технический обзор возможностей Microsoft Forefront Client Security

Примечание: FCS разработан, чтобы сделать информацию интуитивно понятной. FCS включает несколько предустановленных отчетов для оценки состояния сети.

Примечание: В данном случае названия панелей являются ссылками на более детальную информацию по соответствующему вопросу.

Примечание: Это упражнение выполняется на машине SEA-DCFCS-01

a.В окне Microsoft Forefront Client Security найдите элемент Reporting Issues.

b.Определите местоположение ссылки Vulnerability detected.

Примечание: консоль Microsoft Forefront Client Security Management содержит ссылки на разнообразные отчеты о статусе безопасности сети. Просматривая эти отчеты, можно проверить, разворачивают ли политики компоненты Client Security, выполняется ли сканирование безопасности, распространяются ли обновления сигнатур угроз и происходит ли сбор информации о предупреждениях и других событиях с клиентских машин.

c.Определите местоположение ссылки Security Summary.

Примечание: Эта ссылка расположена на крайней правой панели и может не уместиться в окне. Подвигайте курсором мыши над названием "S…", чтобы увидеть полное название во всплывающей подсказке

Примечание: отчет о состоянии безопасности системы - многомерный отчет, отображающий результаты оценки безопасности всех клиентов FCS.

d.Нажмите на ссылку Security State Assessment.

e.Откроется окно Report Manager - Windows Internet Explorer.Разверните это окно до максимального размера.

Примечание: интерфейс отчета должен быть знаком администраторам Microsoft Operations Manager 2005. Для создания и просмотра отчетов в FCS применяются возможности MOM Reporting

Примечание: Отчет можно настроить на отображение информации только о компьютерах, подчиняющихся определенной политике

f.Убедитесь, что в выпадающем списке Policy указано значение All Computers.

g.В выпадающем списке Policy выберите Finance Computers.

Примечание: По умолчанию период охвата отчета - 24 ч, но можно расширить его до 48 ч или 72 ч.

h.Убедитесь, что в выпадающем списке Time Span указано значение на 24 hours.

i.В выпадающем списке Time Span выберите 48 hours.

Примечание: Microsoft Security Response Center (MSRC) - это ядро тщательно спроектированной и часто обновляемой системы оперативной системы безопасности мирового масштаба, созданной с целью обеспечения защиты пользователей продуктов Microsoft от уязвимостей ПО. MSRC был учрежден в 1996 г. и реализует свою миссию следующим образом. Во-первых, оперативная группа постоянно ищет информацию об обнаруженных брешах в безопасности продуктов и публикует ее в регулярных бюллетенях. Во-вторых, отслеживаются инциденты нарушения безопасности и пользователям оказывается своевременная помощь.

j.Убедитесь, что в выпадающем списке Group By указано значение Application.

Примечание: Можно упорядочить информацию в отчете по применяемой политике. Для этого в выпадающем списке Group By выберите значение Policy.

k.Нажмите на кнопку View report.

Примечание: Теперь мы можем более детально ознакомиться с отчетом о состоянии безопасности системы

l.Нажмите на символ стрелки Full Screen, расположенный справа от New Subscription.

m.Найдите символ стрелки Show/Hide parameters , расположенный ниже кнопки View Report

Примечание: MSRC использует рейтинги критичности, чтобы помочь администратору определить степень срочности установки обновлений для обнаруженных уязвимостей. Инциденту присваивается один из уровней угрозы: низкий, средний, серьезный, критический. Категории MSRC берет из сигнатур, поставляемых с FCS-сервером. Администраторы таким образом получают доступ к результатам исследований команды MSRC в области идентификации сетевых угроз и реагирования на них.

n. Найдите секцию High Score Computers by MSRC Severity.

Примечание: Сканирование состояния безопасности системы заключается в поиске уязвимостей. Система Client Security может выполнять запланированные проверки состояния безопасности системы. Для оценки клиентских компьютеров на наличие уязвимостей Client Security использует правила, содержащиеся в определениях безопасности системы. При обнаружении возможной уязвимости Client Security создает событие. В зависимости от заданного на клиентской машине порога для генерации предупреждений, событие либо игнорируется, либо приводит к выдаче пользователю информации о возможном наличии уязвимости.

Примечание: потенциальные уязвимости определяются на базе сигнатур уязвимостей, поставляемых с FCS сервером.

o.Найдите секцию Vulnerabilities в нижней части отчета.

p.Закройте окно Report Manager - Windows Explorer.

Примечание: еще один полезный отчет позволяет получить срез состояния безопасности для конкретного компьютера Примечание: Это упражнение выполняется на машине SEA-DCFCS-01

a.На панели Summary Reports в окне Microsoft Forefront Client Security нажмите Computers Summary.

Примечание: Этот отчет тоже можно настроить на отображение информации только о компьютерах, подчиняющихся определенной политике, а также задать период охвата. Отчет создается с использованием SQL Server Reporting на основе данных из базы MOM SQL Reporting. Visual Studio позволяет настроить отчет под нужды конкретной организации.

b.Откроется окно Report Manager - Windows Internet Explorer.

c.Нажмите на символ стрелки Full Screen, расположенный справа от New Subscription.

d.Найдите символ стрелки Show/Hide parameters , расположенный ниже кнопки View Report

Примечание: предустановленные отчеты, поставляемые с FCS, обеспечивают исчерпывающую визуализацию сетевых проблем. Таблица и диаграмма Computers Requiring Attention показывают количество компьютеров, на которых обнаружено вредоносное ПО и известные уязвимости. Помимо этого, отображаются ожидающие действия предупреждения и компьютеры, политики на которых не сбыли обновлены.

e.Найдите секцию Computers Requiring Attention.

Примечание: Чтобы отследить тенденции, подробный отчет включает 24-часовую и 30-дневную историю выдачи предупреждений, выявления уязвимостей, обнаружения вредоносного ПО и обновления политик.

f.Найдите секцию Computers with Issues, Last 24 hours.

g.Найдите секцию Computers Reporting Security Alerts, (30 day History).

Примечание: интересная особенность этих отчетов заключается в том, что они содержат ссылки на дополнительные отчеты. Таблица Computers with Issues содержит список машин, на которых обнаружены неразрешенные проблемы. Имя компьютера является ссылкой на более подробный отчет для этого компьютера в форме поиска деталей по идентификатору машины ("Computer Detail by ID")

h.Найдите секцию Computers with Issues.

i.Нажмите на ссылку SEA-WS-01.

Примечание: отчет по конкретному компьютеру позволяет получить доступ к этому компьютеру. В свойствах указаны полное доменное имя, IP-адрес, MAC-адрес и Active Directory OU.

j.Найдите секцию Computer Information.

k.Ознакомьтесь с содержимым поля IP addresses.

l.Ознакомьтесь с содержимым поля Organizational Unit (OU).

Примечание: в отчете отображены статус FCS-клиента, в т.ч. время последнего обновления сигнатур вирусного и шпионского ПО.

m.Ознакомьтесь с содержимым поля Virus Signatures Version.

n.Ознакомьтесь с содержимым поля Spyware Signatures Version.

Примечание: Мы можем увидеть, какую политику использует FCS клиент.

o.Ознакомьтесь с содержимым поля Policy.

Примечание: Отображаются результаты последней проверки на наличие вредоносного ПО и комплексной оценки безопасности системы.

p.Ознакомьтесь с содержимым поля Last Malware Scan.

q.Ознакомьтесь с содержимым поля Last Security State Assessment Scan.

Примечание: анализируя проблемы на конкретной клиентской машине в динамике за некоторый период времени, мы можем установить наличие на компьютере определенной проблемы. Каждая полоса соответствует 24-часовому периоду и включает историю появления предупреждений, обнаружения уязвимостей и вредоносного ПО. Если один и тот же вирус был обнаружен несколько раз, каждое срабатывание системы безопасности будет учтено в статистике. Это позволит администратору оценить масштабы эпидемии. Повторяющиеся срабатывания могут свидетельствовать либо о неправильных действиях пользователя в отношении обнаруженной угрозы, либо о высокой опасности, исходящей от данного экземпляра вредоносной программы и требующей вмешательства администратора.

r.Найдите секцию Issues over Time.

Примечание: Чтобы проанализировать перечисленные инциденты более подробно, обратитесь к расположенной ниже секции отчета. Отображаются как детали инцидента, так и предпринятые действия. Для ясности таблицу можно отсортировать по действию, критичности или категории.

s.Найдите секцию Malware.

t.Найдите элемент управления отображением данных в отчете Group by: Action | Severity | Category.

Примечание: уязвимости, обнаруженные в процессе оценки состояния безопасности системы, отображаются по дате сканирования. Если проблема не была решена протяжение определенного временного периода и все еще имеет место на момент анализа отчета, определите ее основную причину и разрешите ее при помощи MOM. В консоли MOM отображаются те же данные, что и в отчете о состоянии безопасности системы

u.Найдите секцию Vulnerabilities.

Примечание: можно более подробно ознакомиться с предупреждениями и событиями на клиентском компьютере.

v.Найдите секцию Alert.

w.Найдите секцию Events History.