Wer gerne wissen möchte, welche Art Definition Updates und welche Dateien in einem Update bei Forefront Client Security (FCS) enthalten sind, der wird im KB-Artikel 977939: Description of Forefront Client Security definition updates fündig.
Grundsätzlich wird einmal pro Monat ein "Definition Rebase" durchgeführt. Also die Kombination des gesamten Deltas seit dem letzten Base plus das letzte Base ergeben ein Neues Set. Dies geschieht jeweils für die Antivirus- und die Antispyware Definitions. Gleichzeitig werden auch Aktualisierungen an der Antimalware-Engine mit aufgenommen.
Für FCS gibt es im ganzen vier verschiedene Definition Updates:
- Full Installation
Komplettes Paket mit aktueller Engine, Bases und Deltas. Für neu installierte Clients oder Clients, die sich seit mehr als einem Monat nicht mehr aktualisiert haben. Die Größe des Pakets variiert zwischen 20 und 60 MB. (Größe am 24.02.2010: ~53 MB)
- Delta Installation
Paket mit Deltas seit dem letzten Rebas. Für Clients, die bereits die aktuelle Engines und aktuellen Base Dateien verwenden, aber nicht auf einem aktuellen Delta-Stand sind. Die Größe variiert zwischen 1 und 8 MB.
- Differential Delta
Paket mit einem binären Delta (Delta Compression API) der Definitionen zwischen zwei Versionsabschnitten, um Aktualisierungen so klein wie möglich zu halten und einen Client mit aktuellen Base Files und Defitions (Delta) so schnell wie möglich auf den aktuellen Stand zu bringen. Die Größe variiert zwischen 50 und 2048 KB.
- Binary Delta of Engine
Paket mit einem binären Delta der Engine für Clients, welche die Base- und Engine-Dateien des Vormonats einsetzen. Die Größe variiert zwischen 1 und 45 MB.
Das Prinzip wird übrigens gemäß KB-Artikel auch für die Nachfolgeversion Forefront Endpoint Protection 2010 gelten.
Die aktuellste Version der Definitions ist immer im Microsoft Malware Protection Center (http://www.microsoft.com/mmpc/) publiziert und auch über einen festen, direkten Link zum Download verfügbar (Full Installation):
Gestern Abend, 08.10.2009, gab es ein kleines, aber wichtiges Annoucment auf dem Forefront Team Blog: Schedule and Strategy Update for Forefront Endpoint Protection
Darin wird angekündigt, dass Sich die Veröffentlichung von Forefront Endpoint Protection 2010 (FPE) um etwa ein halbes Jahr auf die 2. Jahreshälfte 2010 verschieben wird und sich die darunterliegende Architektur von System Center Operations Manager 2007 R2 (SCOM) auf System Center Configuration Manager 2007 (SCCM) ändert. Hintergrund dieser Änderung sind primär die Rückmeldungen aus Marktanalysen und auch das Feedback und die Erkenntnisse aus den bisherigen Beta-Phasen und Deplyments der TAP-Kunden.
Aus diesem Grund wird auch die erste Version des Forefront Protection Managers 2010 (FPM) auch vorerst keine Unterstützung zu FEP 2010 enthalten und zunächst nur für das zentrale Management von Forefront Protection 2010 for Exchange (FPE) und Forefront Protection 2010 for SharePoint (FPSP) fungieren.
Alle weiteren Produkte der bleiben aber im Zeitplan:
- Forefront Protection 2010 for Exchange Server (FPE), Forefront Online Protection for Exchange (FOPE), Forefront Threat Management Gateway 2010 (TMG) und Forefront Unified Access Gateway 2010 (UAG) im 4. Quartal 2009
- Forefront Protection 2010 for SharePoint (FPSP), Forefront Identity Manager 2010 (FIM) im 1. Halbjahr 2010
 Nach nur knapp drei Monaten Beta-Phase steht nun Microsoft Security Essentials (http://www.microsoft.com/security_essentials/ bzw. http://www.microsoft.de/mse/) als finale Version in den gängisten Sprachen zum Download bereit. Jeder, der eine legitime Windows XP (ab SP 2), Windows Vista oder auch Windows 7-Version hat kann sich MSE kostenfrei herunterladen.
MSE schützt vor Malware, wie Trojaner, Viren und Rootkits und baut auf der selben Grundtechnologie wie sein großer Forefront Client Security (FCS) für den Einsatz in Unternehmensnetzwerken. Genauer gesagt, beinhaltet MSE auch schon neuere Technologien, die erst in Forefront Endpoint Protection 2010 (FEP) zu sehen sein werden, wie beispielsweise die Nutzung des Dynamic Singature Service (DSS). Über diesen Dienst kann MSE in Echtzeit online auf verdächtig erkannte Bedrohungen prüfen, für dies es aber noch kein Signatur-Update gab.
Frei nach dem Prinzip "Install and Forget" sucht MSE nach der Installation nach Updates, führt schnell noch einen Scan durch und legt sich anschließend im Hintergrund auf die "Lauer", so dass man eigentlich nur selten etwas von MSE bemerken sollte...
Seit dem 31. August 2009 wird nun auch offiziell die Installation von Forefront Client Security (FCS) auf Systemem mit Windows 7 und Windows Server 2008 R2 unterstützt.
Das Annoucement in Form eines Eintrags auf dem Forefront Team Blog listet als unterstützte Versionen (notwendige Updates siehe KB-Artikel 974253):
- Windows 7 Business, Enterprise, Home und Ultimate
- Windows Server 2008 R2 Standard Server und Windows Server 2008 R2 Enterprise Server
Support für Windows Server 2008 R2 Core ist derzeit noch nicht gegeben, soll aber mit zukünftigen Updates nachgeliefert werden. Die vollständige Liste aller von FCS unterstützten Plattformen gibt es im FCS TechCenter.
Nachtrag: Das in obigen KB-Artikel genannte Update wird als "Definition Update for Microsoft Client Security (Security State Assessment 1.0.1710.103 Full)" z.B. in WSUS bereitgestellt.
Update: Unterstützung für Windows Server 2008 R2 Core Installationen ab Build 1973.0.
 Seit der Weltweiten Partnerkonferenz von Microsoft in New Orleans (WPC09) stehen nun die endgültigen Namen der neuen Forefront-Produkte fest, die bisher unter dem Codenamen Forefront „Stirling“ (aktuell als Beta 2) entwickelt wurden.
Forefront Protection Suite - Nachfolger der Forefront Security Suite:
- Forefront Protection Manager 2010 - bisher die Forefront „Stirling“ Console
- Forefront Protection 2010 for Exchange - Nachfolger von Forefront Security for Exchange
- Forefront Protection 2010 for SharePoint - Nachfolger von Forefront Security for SharePoint
- Forefront Endpoint Protection 2010 – Nachfolger von Forefront Client Security
- Forefront Threat Management Gateway Web Security Service - Subscription zu Threat Management Gateway, wie z.B. Anti-Malware
- Und: Forefront Online Protection for Exchange – Nachfolger von Forefront Online Security for Exchange bzw. Exchange Hosted Filtering
Wenn es denn 'mal notwendig ist, kann man bei Forefront Client Security (FCS) auch manuell einen Rollback der Definitions durchführen.
Dazu gibt es im Ordner %PROGRAMFILES%\Microsoft Forefront\Client Security\Client\Antimalware das Tool MpCmdRun.exe, das dazu mit folgenden Paramatern ausgeführt werden kann:
- -RemoveDefintions
Führt einen Rollback auf die vorherige Version der Definitions aus.
- -RemoveDefinitions -All
Führt einen Rollback auf die Default-Version der Definitions aus.
Für den heutigen Tag sieht ein MpCmdRun.exe -RemoveDefinitions dann wie folgt aus (Unterschiede in rot markiert):
Service Version: 1.5.1958.0
Engine Version: 1.1.4701.0
AntiSpyware Base Signature Version: 1.59.0.0
AntiSpyware Delta Signature Version: 1.59.938.0
AntiVirus Base Signature Version: 1.59.0.0
AntiVirus Delta Signature Version: 1.59.938.0
Starting engine and signature rollback to last known good...Done!
Service Version: 1.5.1958.0
Engine Version: 1.1.4701.0
AntiSpyware Base Signature Version: 1.59.0.0
AntiSpyware Delta Signature Version: 1.59.904.0
AntiVirus Base Signature Version: 1.59.0.0
AntiVirus Delta Signature Version: 1.59.904.0
Gestern wurde es nun endlich offiziell: Die Beta 2 von Forefront Codename "Stirling" steht bereit (PressPass).
Besonders interessant ist dabei die Ankündigung, dass zukünftig Partner eigene Lösungen entwickeln können, die die Funktionalität von Forefront "Stirling" erweitern werden. Die ersten Partner sind: Brocade, Guardium, Imperva, Juniper Networks, Kaspersky, Q1 Labs, StillSecure, Sourcefire Inc., Tipping Point und RSA
Und ganz nebenbei noch ein paar "Annährerungen": Der Identity Lifecycle Manager (ILM) heisst zukünftig Forefront Identity Manager (FIM) und die Exchange Hosted Services Filtering (EHS-F) nennen sich seit 1. April Forefront Online Security for Exchange (FOSE).
Auch das TechCenter zu Forefront "Stirling" wurde zeitgleich aktualisiert und bietet zahlreiche Informationen und Material:
*=Stand heute fehlen hier noch die Downloads für die "Stirling" Console und Forefront Client Security (FCS).
Beide Produkte sind jedoch im Beta 2 VHD-Download vorinstalliert enthalten.
Ein paar Punkte zu den Features und dem Funktionsumfang in Forefront "Stirling" Beta 2:
- Forefront Codename “Stirling“ Console
- Zentrales Richtlinien-Management für FCS, FSE, FOSE und FSSP
- Reporting Services und Portal mit SQL Reporting Server für TMG
- Enterprise Security Assessment und Remediation
- Security-Status in Echtzeit
- Investigation und Remediation für Sicherheitsvorfälle
- Gemeinsame Erkennung von Angriffen im gesamten Netzwerk
- Koordinierte Responses um die Angriffe zu adressieren
- Forefront Client Security (FCS)
- Nächste Generation der Microsoft Anti-Malware
- Zusätzlicher Schutz des Clients durch:
- Erkennung von Buffer Overruns die eingehend an den Client gerichtet sind
- Integration mit NAP durch einen integrierten System Health Agent (SHA)
- Forefront Security for Exchange (FSE)
- Premium On Premise Antispam-Schutz mit Cloudmark-Engine
- Premium Cloud Antispam-Schutz mit Forefront Security for Exchange (FOSE)
- Integration in Stirling
- Unterstützung für Exchange 2007 (E12) und Exchange 2010 (E14)
- Forefront Security for SharePoint (FSSP)
- Integration in Stirling
- Höhere Scanning Performance bei geplanten Scans
- Forefront Threat Management Gateway (TMG)
- Integration in Stirling
- Intrusion Prevention
- Email Protection “Preview”
Nach langer Pause gibt es wieder Neuigkeiten zur nächsten Generation der Forefront Produkte, die ja bekanntlich derzeit noch unter dem Codename "Stirling" geführt werden.
Gemäß dem Forefront Team Blog gilt folgender Zeitplan für das Erscheinen der Produkte von Forefront "Stirling":
- Forefront Security for Exchange (Version 11) und Forefront Threat Management Gateway (Nachfolger von ISA 2006) in Q4 2009
- Forefront Security for SharePoint (Version 11), Forefront Client Security (Version 2) und Forefront Stirling Management Console in H1 2010
Primäre Gründe für die leichte Verschiebung im Zeitplan sind neue Anforderungen, die über das Feedback von Kunden im Technology Adoption Program (TAP) in derzeitigen Beta-Phase gegeben wurden. Dazu gehört die Interoperabilität mit Produkten von Drittherstellern in Bezug auf das Security Assessment Sharing (SAS) und das Behavior Monitoring (BM), um das Netzwerk und den Endpoint noch besser vor so genannten Zero-Day-Attacken schützen zu können.
Vor dem Release von Forefront Stirling wird übrigens in Kürze noch eine Beta 2 und auch ein Release Candidate erwartet.
Für eine unmanaged Installation des Forefront Client Security (FCS) Agenten wird in der aktuellen Generation FCS v1.0 der Parameter "NOMOM" verwendet (genauer "ClientSetup.exe / NOMOM"). Mit Forefront Stirling steht nun die nächste Version von FCS v2.0 ins Haus und in der derzeitigen Beta-Version bleibt "NOMOM" jedoch ohne Wirkung.
Der Grund? Derzeit ist die Funktion noch nicht implementiert. Sollte aber bis zum Release (RTM) wieder "funktionieren"... 
Ach ja, einfach mal das Setup von den Forefront Client Security (FCS) Komponenten direkt von einer Freigabe im Netzwerk aufrufen? Geht nicht. Siehe "Known Issues" in Release Notes im Microsoft TechNet:
Setup cannot be run from a network share
You cannot install Client Security from a network share unless you have granted permission to the application. For more information, see How to deploy a .NET Framework application to run from a network location (http://go.microsoft.com/fwlink/?LinkID=87921). Instead of granting permission, you can copy Client Security to your local server before installing it.
Das bei manchen lang ersehnte Service Pack 1 für Forefront Client Security (FCS) ist ab sofort (per Windows Update) verfügbar und enhält neben den üblichen Hotfixes jetzt auch die folgenden Features bzw. Support:
- Unterstützung für die Server-Rollen (Management Console) von FCS unter Windows Server 2008 (außer Server Core)
- Unterstützung für die Server-Rollen (Management Console) von FCS unter Hyper-V
- Schutz durch den FCS-Agenten auf Windows Server 2008 und Hyper-V
- Schutz durch den FCS-Agenten auf Cluster Servern
- Schutz durch den FCS-Agenten auf den Home Editionen von Windows Vista
Mehr Informationen dazu auch im KB Artikel 951951 Issues that are fixed in Forefront Client Security Service Pack 1. Entsprechend gibt es auch im FCS TechCenter natürlich auch Anleitungen zum unter Windows Server 2008, wie beispielsweise Installing a one-server topology on Windows Server 2008.
Auf der Open Source-Plattform Codeplex von Microsoft steht seit letzter Woche ein interessantes Werkzeug für das Deployment von Forefront Client Security (FCS) kostenlos bereit: Das Forefront Client Security Deployment Tool ermöglicht Administratoren die Clients im Netzwerk nach vorhandenen Antimalware-Lösungen zu scannen, diese zu deinstallieren und den FCS-Agent auf diesen zu installieren.
Unterstützt wird die automatische Deinstallation von Symantec Version 8-11, Trend Micro Version 7-8 und alle aktuellen McAfee Virusscan-Versionen.
Besonders für Umgebungen im Small Business-Bereich ist dies bestimmt interessant: Bei Forefront Client Security (FCS) kann man auch nur die FCS-Agents für die zu schützenden Windows-Server & -Clients auf Basis einer Nutzer- oder Geräte-AL (Abonnement-Lizenz) lizenzieren.
Eine FCS Management Console ist nicht unbedingt erforderlich. Allerdings fehlen dann im Netzwerk neben der zentralen Konfiguration und Verwaltung auch die komplette Alerting- und Notification-Infrastruktur und das umfangreiche Reporting. Die FCS-Agents müssen daher auch dann mittels "ClientSetup.exe /NOMOM" installiert und jeder Client manuell konfiguriert werden.
Microsoft Partner finden diese Informationen auch im Partner Portal als Addendum Forefront Client Security Licensing and Pricing for Small and Medium Businesses.
Zum Thema Sicherheit und auch speziell zu den Produkten der Microsoft Forefront-Familie gibt es inzwischen zahlreiche interessante Webcasts, die zwar bereits stattgefunden haben, aber man sich jederzeit "On demand" ansehen kann. Außerdem stehen für die nächsten Wochen weitere interessante Webcasts an, die vor allem tiefere Einblicke in die Forefront-Produkte ermöglichen (mit einem * gekennzeichnet).
Forefront Client Security:
Forefront Server Security:
Forefront Edge Security:
Forefront Stirling:
Sicherheit Allgemein:
Viel Spaß! 
Microsoft stellt die Beta-Version des Microsoft Forefront Integration Kit for Network Access Protection nach einer kurzen Anmeldung im Connect-Portal zur Verfügung. Mithilfe dieses Kits kann Forefront Client Security (FCS) in eine Windows Server 2008 Network Access Protection (NAP) Infrastruktur integriert werden.
Das Kit enhält die für NAP erforderlichen Komponeten System Health Validator (SHV) und System Health Agent (SHA). Der SHA dient dabei für die Durchsetzung der NAP-Richtlinien, wie beispielsweise dass FCS auf dem Clients aktiviert und auf dem aktuellsten Stand sein muss, während der SHV für die Überwachung des den Zustands in Echtzeit zuständig ist. Erkennt der SHA ein Problem, was die Richtlinien verletzt, wird der Netzwerkzugriff des Clients eingeschränkt und erst nach entsprechender Beseitigung der Probleme wieder freigegeben. Mehr Informationen zu NAP und die Integration in eine Windows Server 2008-Infrastruktur im englischsprachigen Portal unter Microsoft Forefront & Windows Server 2008.
Richtlinien in Forefront Client Security (FCS) mit den Einstellungen für die Agents werden über die Forefront Client Security Console erstellt. Die Bereitstellung für die Clients erfolgt dabei meist auf Organisationseinheiten oder Sicherheitsgruppen, indem durch die Console Gruppenrichtlinienobjekte in Active Directory erzeugt und verlinkt werden.
Möchte man sich die Gruppenrichtlinien mithilfe des Gruppenrichtlinenobjekt-Editors ansehen oder verändern (nicht alle Einstellungen können über die Console konfiguriert werden), ist die entsprechende Vorlage (ADM-Datei) erforderlich. Diese Vorlage befindet sich im Verzeichnis... So sollte die eigentliche Antwort sein, aber für FCS 1.0 ist derzeit leider keine ADM-Datei verfügbar. :-(
Nur der Forefront Client Security Enterprise Manager (FCSEM) enthält eine Vorlagendatei fcsem.adm in %Programme%\Microsoft Forefront\Client Security\Server, die allerdings nicht für die Definition von Richtlinieneinstellungen verwendet werden kann.
Als Erinnerung: Forefront Client Security (FCS) ermöglicht, Clients im Unternehmensnetzwerk vor Malware (Viren, Spyware, Rootkits, etc.) zu schützen. Unter dem Begriff Clients können dabei alle Computer zusammengefasst werden, die Windows 2000 ab SP4 ausführen. Also Windows-Client- und Server-Betriebsysteme. Das bedeutet aber auch, das auch Server, die beispielsweise schon Forefront Server Security verwenden, trotzdem auf Betriebsystemebene zusätzlich geschützt werden sollten.
Dabei ist nicht unbedingt ratsam, pauschal auf jedem System im Netzwerk den Forefront Client Security Agent ohne weitere Konfiguration zu installieren. Auf Clientsystemen ist dies noch relativ problemlos. Aber auf Serversystemen kann es schnell zu Problemem führen, wenn beispielsweise der Agent versucht, die Datenbankdateien von Exchange oder SharePoint Server zu überprüfen. Abgesehen davon, das dieser Vorgang oft kein Ergebnis bringen kann, kann es hier auch zu enromen Performance-Einbußen kommen. Neben Datenbankdateien gibt es noch zahlreiche weitere Dateien und Ordner, die eigentlich von FCS nicht überprüft werden müssen und auch nicht überprüft werden sollten.
Um Ihnen die Konfiguration der FCS-Richtlinien zu erleichtern, listet Microsoft in der Knowledge Base in einem Sammelartikel 943556: Recommended Forefront Client Security file and folder exclusions for Microsoft products weitere Artikel auf, die Informationen über die auszunehmenden Dateien und Ordnern beim Einsatz eines Virenscanners enthalten:
- Domain-Controller
- Microsoft Exchange Server
- Internet Information Server (IIS)
- Microsoft Internet Security and Acceleration (ISA) Server
- Microsoft SharePoint Portal Server
- Microsoft SQL Server
- Microsoft Systems Management Server (SMS)
- Microsoft Virtual Server 2005 or Microsoft Virtual PC 2004
- Windows-Betriebssystemen
Man kann ihn leicht übersehen: Seit Oktober 2007 "versteckt" sich im Technet der Forefront Client Security Best Practices Analyzer (FCSBPA). Dieses Tool ermöglicht Administratoren den Zustand der Komponenten von Forefront Client Security (FCS) zu ermitteln und unterstützt bei der Suche nach Problemen einer FCS-Installation. Wie es sich für einen Best Practices Analyzer gehört wird auch die Konfiguration der Forefront Client Security-Installation überprüft, ob Sie den vorgegebenen Mindestanforderungen und Empfehlungen für einen einwandfreien Betrieb entspricht.
Neben der für FCS implementierten Topologie prüft der FCSBPA auch die für den Betrieb notwendigen Windows-Accounts, die Authentifizierung bei MOM und die Taugleichkeit von SQL Server. Um den FCSBPA auszuführen, muss das Tool lokal auf einem Server installiert werden. In einer FCS-Umgebung mit verteilten Rollen also auf jedem Server, der eine FCS-Rolle bereitstellt.
Auch für größere Umgebungen mit mehr als 10.000 Clients gibt es jetzt eine zentrale Console für die Verwaltung von Forefront Client Security (FCS): Forefront Client Security Enterprise Manager (FCSEM)
Mithilfe des Enterprise Managers können die FCS-Richtlinien an einer Stelle konfiguriert und die Daten und Alerts aus den einzelnen FCS-Installationen aggregiert und zusammengefasst ausgewertet werden. Auch ein zetrales Auslösen eines Enterprise-weiten AV-Scans ist mit dem FCSEM möglich.
Wermuthstropfen für "richtig große Installationen" : FCSEM kann maximal 10 down-level Installationen von Forefront Client Security zusammenfassen. Macht in der Summe: Maximal 100.000 Clients.
Es kann durchaus auch anderen mal passieren: Im aktuellen VB100-Test von VirusBulletin sind unter anderem die AV-Produkte von Sophos, Trend Micro und Kaspersky durchgefallen.
Tred Micro ging dabei schon zum vierten Mal in nur fünf Testläufen baden. Grund für die Knock-Outs war die mangelnde Erkennung von nicht mehr ganz so aktuellen Viren ("outdated viruses"). Weitere Produkte, die den Test nicht bestanden haben, waren u.a. Norman Virus Control und Spyware Doctor von PC Tools.
In einer Richtline bei Forefront Client Security (FCS) kann der Grad des Alerting Levels über den MOM Server in fünf Stufen eingestellt werden. Alerts benachrichtigen über Bedrohungen oder Probleme und enthalten stets weitere Informationen, die Ihnen bei der Behebung des Problems helfen. Die nachfolgende Tabelle beschreibt die Alerts, die in den jeweiligen Levels abgesetzt werden.
| Alert |
Level 5 |
Level 4 |
Level 3 |
Level 2 |
Level 1 |
Global |
|
Computer Infected - Failed Response |
Ja |
Ja |
Ja |
- |
- |
Nicht zutreffend |
|
Computer Infected - Successful Response |
Ja |
Ja |
- |
- |
- |
Nicht zutreffend |
|
Malware On Network - Failed Response |
Ja |
Ja |
Ja |
Ja |
- |
Nicht zutreffend |
|
Malware On Network - Successful Response |
Ja |
Ja |
Ja |
- |
- |
Nicht zutreffend |
|
Protection Turned Off |
Ja |
- |
- |
- |
- |
Nicht zutreffend |
|
Re-Infected Computer |
Ja |
Ja |
Ja |
Ja |
- |
Nicht zutreffend |
|
Scanning Failed |
Ja |
Ja |
Ja |
- |
- |
Nicht zutreffend |
|
Security State Assessment Failed |
Ja |
Ja |
Ja |
- |
- |
Nicht zutreffend |
|
Service Update Failed |
Ja |
Ja |
Ja |
- |
- |
Nicht zutreffend |
|
Definition Update Failed |
Ja |
Ja |
Ja |
- |
- |
Nicht zutreffend |
|
Very Infected Computer |
Ja |
Ja |
Ja |
Ja |
- |
Nicht zutreffend |
|
Malware Outbreak - RTP |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
|
Malware Outbreak - Scan |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
|
Flooding Machine Detected |
Ja |
Ja |
Ja |
Ja |
Ja |
Nicht zutreffend |
Über den globalen Level werden sogenannte "Malware Outbreak" Alerts gemeldet. Ein Outbreak Alert wird durch einen Malware Alert verursacht, der bei vielen Computern im Netzwerk aufgetreten ist, unabhängig von den Richtlinien und den darin eingestellten Alert Levels. Beispiele für einen Outbreak Alert sind die explosionsartive Verbreitung einer Malware über das Internet oder eines Wurms innerhalb des Unternehmensnetzwerks.
Forefront Client Security (FCS) basiert nicht nur aus speziell entwickelten Modulen, sondern nutzt sehr viele Komponenten aus der Microsoft-Produktpalette, wie beispielsweise Active Directory für den Rollout der Richtlinien, WSUS für die Aktualisierungen der Client-Agenten oder MOM 2005 und SQL 2005 für das Management und Reporting.
Diese Vorgehensweise macht selbstverständlich Sinn, da nicht das Rad ständig neu erfunden werden muss: Bestehende IT-Investments können weiter genutzt werden, es müssen keine neuen Strukturen ausgerollt oder neue Produkte bzw. Technologien implementiert werden. Auf der anderen Seite sollte man diese Tatsache nicht nur bei der Evaluierung und Installation berücksichtigen, sondern auch die FCS-Infrastruktur in einen einen entsprechenden Desaster Recovery-Prozess einbinden, der alle diese Faktoren abgedeckt.
Das Forefront Client Security TechCenter enthält dazu im Abschnitt Operations einen eigene Sektion zu Desaster Recovery, die viele Tipps zu Fehlertoleranz, Verfügbarkeit und Strategien zur Sicherung der gesamten Installation und Wiederherstellung nach einem Problemfall zu FCS bereit hält:
- Backup und Restore des Client Security Management Pack for MOM
- Backup und Restore des SQL Server-Daten
- Backup und Restore der WSUS-Daten
- Backup und Restore der Gruppenrichtlinienobjekte (Group Policy Objects)
Microsoft hat auf der hauseigenen Open Source Plattform Codeplex unter dem Titel Forefront Client Security Competitive Tools einige Sample-Scripts bereitgestellt, um die Installation von und die Migration auf Forefront Client Security (FCS) zu erleichtern.
Neben Scripts für die Installation von FCS selbst und die Bereitstellung des bei XPSP2-Hotfixes gibt es auch Removal-Scripts zum Entfernen vorhandener Anti-Spyware-Applikationen und folgender Anti-Virus-Produkte: eTrust, McAfee, Sophos, Symantec und Trend.
Bei der Definition einer Richtlinie in Forefront Client Security (FCS) gibt es auf der Registerkarte Advanced (Erweitert) die Einstellung Check for updates before starting a scan (Vor dem Starten eines Scans auf Updates prüfen). Diese Option bedeutet, dass der FCS-Agent vor einem geplanten Scan nach Aktualisierungen sucht.
Dies triff jedoch nicht zu, wenn der Benutzer einen manuellen Scan startet. Für einen manuellen Scan muss der Benutzer selbst im Client (sofern durch die Richtlinie zugelassen) nach Aktualisierungen suchen lassen oder sich auf die in der Richtline festgelegten Einstellung Check for updates at set interval (hours) (In festgelegtem Intervall auf Updates prüfen (Stunden)) stützen.
Führt der Administrator in der Management Console im Dashboard einen manuellen Scan über Scan now... (Jetzt scannen...) aus, prüft hier der Client vor dem Scan, ob Aktualisierungen vorliegen. 
Eine oft gestellte Frage bei der Kapazitätsplanung von Forefront Client Security (FCS) ist: Wieviel Traffic erzeugt eigentlich dier MOM-Agent auf den mit FCS-geschützten Clients pro Tag? Die Antwort hängt dabei natürlich von vielen verschiedenen Faktoren ab: Wieviele Scans werden durchgeführt? Wie viele Malware-Threats wurden gefunden (Alerts)? Wieviele SSA-Checks werden gemacht? Etc...
Geht man im Durchschnitt von einem Anti-Malware-Scan und einem SSA-Check pro Tag aus, entsteht einschliesslich Heartbeat etwa ein ein Traffic von 50-100 KB.
Nachtrag: Die Größe eines Alerts ist etwa 8 KB. Pro Tag wird von etwa 20 Alerts ausgegangen.
Die von AV-Test in Magdeburg regelmässig durchgeführte Untersuchung der Erkennungsleistung von AV-Produkten verschiedenster Hersteller wurde dieses Mal mit 29 Virenscannern und 875.000 Schädlingen durchgeführt.
Mit dem Aktualisierungsstand 10. August 2008 konnte sich Microsoft bei diesem Testlauf mit seiner Engine (enthalten in Windows Live OneCare, Forefront Client Security und Forefront Server Security) von Rang 23 im Mai auf Rang 10 vorarbeiten.
Die standardmäßige Aufbewahrungsfrist der Daten bei Forefront Client Security (FCS) in der MOM-Datenbank für das Reporting beträgt 395 Tage (13 Monate). Ist dieser Zeitraum zu groß, kann er durch Stored Procedures, die durch den MOM Server der SQL-Datenbank hinzugefügt werden, heruntergesetzt werden. Eine entsprechende Anleitung liefert der KB-Artikel 887016: How to modify the number of days to retain data in the SystemCenterReporting database in Microsoft Operations Manager 2005.
Natürlich lässt sich der Zeitraum für die Aufbewahrung der Daten auch vergrößern. Allerdings sollte man dabei neben der möglichen Datenbankgröße vor allem die Ausführungsdauer des DTS-Jobs für die Übertragung der Daten aus der Collection- in die Reporting-Datenbank im Auge behalten. Weitere Hinweise, sowie Empfehlungen zu den Datenbank-Ressourcen und Informationen zum Tuning durch Aktivierung von Address Windowing Extensions (AWE), findet man im Forefront Client Security TechCenter.
Richlinien bei Forefront Client Security (FCS) werden im Normalfall als Gruppenrichtlinien in Active Directory an die FCS-Clients ausgerollt. Neben der manuellen Variante, die Aktualisierung per gpupdate /force manuell auf dem Client zu erzwingen, aktuallisieren sich die Richlinen ab Windows 2000 im laufenden Betrieb automatisch etwa alle 90 Minuten bzw. alle 5 Minuten bei Domänen-Controllern.
Wem die Intervalle für die automatische Aktualisierung zu groß sind, kann diese Einstellung wiederum durch Gruppenrichtlinie verändern. Der KB-Artikel 203607 How to modify the default Group Policy refresh interval zeigt, wie es funktioniert.
Auch wenn Forefront Security for Exchange (FSE) auf dem Exchange Server 2007 installiert ist, sollte auch das Betriebssystem des Servers vor Malware mit Forefront Client Security (FCS) geschützt werden. Leider genügt es nicht, einfach nur die Verzeichnisse von Exchange in einer FCS-Richtline auszuschliessen.
Der TechCenter Artikel File-Level Antivirus Scanning on Exchange 2007 liefert deshalb viele wertvolle Informationen, was alles bei der Nutzung eines Virenscanners, wie FCS, berücksichtigt werden muss, um nicht die Performance des Servers zu beeinträchtigen und vielen Problemen vorbeugen zu können. Allgemeinere Informationen liefert übrigens auch der KB-Artikel 328841 Exchange and antivirus software.
Per Richtlinie lässt sich bei Forefront Client Security (FCS) konfigurieren, dass der Agent vor einem Scan beispielsweise bei WSUS auf die Verfügbarkeit von aktuellen Updates prüfen soll ("Check for Updates before starting a scan" auf der Registerkarte "Advance").
Wer einen FCS-Client ohne einen Quick, Full oder Custom Scan ausführen zu müssen auf den aktuellen Stand bringen möchte, muss nicht beim FCS-Agent, sondern den Windows Update-Agent klingeln: wuauclt.exe /detectnow
Möchte man bestimmte Prozesse bei Forefront Client Security (FCS) vom Scan durch die Anti-Malware-Engine ausschliessen, wird man in den möglichen Einstellungen einer Richtlinie in der Forefront Client Security Management Console nicht fündig. Dort gibt es nur leider die Möglichkeit Verzeichnispfade und Dateierweiterungen anzugeben. Auszuschliessende Prozesse kann man derzeit nur direkt in der Registry oder per GPO (ADM) hinterlegen.:
Für jeden Prozess wird dazu unter HKLM\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Exclusions\Processes ein neuer DWORD-Eintrag mit dem vollständigen Verzeichnisnamen des Prozesses (z.B. "C:\WINDOWS\system32\Dienstname.exe") angelegt. Der Wert dieser Einträge ist immer 0.
Wenn Forefront Client Security (FCS) Pro-User lizenziert wurde, darf der Client Agent beispielsweise auch auf den Home-PCs der Angestellten installiert werden.
Dazu wird auf diesen "unmanaged"-Clients das Installationsprogramm der FCS-CD mit der Option "/NOMOM" aufgerufen: clientsetup.exe /NOMOM
(Unter Windows Vista ggf. über eine als Administrator gestartete Eingabeaufforderung.)
Da diese unmanaged-Clients für gewöhnlich den WSUS des Unternehmens nicht erreichen, müssen die Updates für den FCS-Agent über Microsoft Update bezogen werden. Diese "Teilnahme" erfolgt durch einen manuellen Opt-In des Clients mit einem Besuch auf der Microsoft Update-Website.
Mehr Informationen zu dieser Prodzedur im TechCenter unter Protecting home computers.
Entgegen der Informationen Verifying your system requirements im TechCenter ist der Betrieb von Forefront Client Security nur mit SQL Server 2005 in der 32 Bit-Version (x86) möglich.
Ausserdem ist die Installation von FCS auf einem SQL-Cluster ebenfalls nicht möglich und in einer Virtual Server-Umgebung nicht unterstützt. Eine kleine, aber Wichtige "Fußnote" in obigem Artikel.
Gleich als Nachtrag zum heutigen Eintrag Forefront Client Security scannt Alternate Data Streams: Forefront Client Security (FCS) kann im On-Access-Modus auch EFS-verschlüsselte und NTFS-komprimierte Dateien scannen.
Das Durchleuchten von NTFS-komprimierten Dateien erfolgt transparent, da der Schutz bei FCS durch einen im Betriebssystem verankerten Mini-Filter implementiert ist. Aus dem gleichen Grund ist somit auch der Scan von EFS-verschlüsselten Dateien bei der Realtime-Protection kein Problem, die notwendigen Zertifikatsinformationen durch den zugreifenden Benutzers vorhanden sind.
Eine Installation der Trial-Version von Forefront Client Security (FCS) lässt sich relativ einfach auf eine Retail-Version upgraden. Dies ist besonders hilfreich, wenn man beispielsweise nach Ablauf des Testzeitraums die Testinstallation produktiv einsetzen möchte, ohne die komplette Management-Infrastruktur neu installieren zu müssen.
Die erforderlichen Schritte findet man als Anleitung Upgrading from the evaluation version to the retail version TechCenter.
Das dazu gehörende Tool Microsoft Forefront Client Security Installation Tool für den Upgrade ist in Englisch verfügbar. Weitere Sprachversionen sollten in Kürze folgen.
Forefront Client Security (FCS) bietet umfassenden Schutz vor jeglichem Schadcode durch sogenannte On-Access und Real-Time Protection. Dabei werden Dateien in Echtzeit gescannt, bevor Sie geöffnet werden. Wurde Malware erkannt, wird der Zugriff auf die Datei gesperrt. Implementiert wird dies durch den Windows Filter Manager in Form eines sogenannten Mini-Filter, der im Kernel Mode ausgeführt wird.
Mehr Informationen hierzu liefert das Whitepaper Understanding Anti-Malware Technologies von Microsoft.
Sehr häufig kommt die Frage auf: Ist die Scan-Engine von Forefront Client Security (FCS) gleich der Engine mit dem Namen "Microsoft", die als eine der acht (bishr neun) Engines in Forefront Server Security for Exchange (FSE) oder SharePoint (FSSP) ausgewählt werden kann?
Kurz und bündige Antwort: Ja
Alternate Data Streams (ADS), sind eine spezielle Funktion des NTFS-Dateisystems, die ab Windows 2000 zur Verfügung steht. Mit ADS können Daten unsichtbar an eine Dateien und Ordner gebunden werden.
Windows verwendet ADS beispielsweise zur Speicherung von Vorschaubildern und zur Speicherung der in der Eigenschaftseite jeder Datei verfügbaren Metadaten. Seit Windows XP (ab Service Pack 2) wird außerdem ein sogenannter Zone Identifier gespeichert, der es jederzeit ermöglicht, aus dem Internet heruntergelade Dateien zu erkennen.
Da ADS in erster Linie unsichtbar sind, können noch nicht alle Antivirenprogramme ADS überprüfen. Forefront Client Security (FCS) kann ADS erkennen und nach Malware durchsuchen.
Werden die Rollen des Management-Servers bei Forefront Client Security (FCS) auf mehrere Server verteilt, muss eine entsprechende Kommunikation zwischen den Komponenten (Rollen) möglich sein. Die nachfolgende Tabelle zeigt die erforderlichen Netzwerk-Ports und -Protokolle, die zwischen den Servern zugelassen werden muss:
| Server |
Verbindung zu |
Server-Topologien* |
Ports (Protokolle) |
Bemerkungen |
| Collection |
Collection-DB |
5,6 |
1433 (TCP und UDP) |
|
| Management |
Collection-Server |
4,5,6 |
445 (TCP und UDP), 135 (TCP), sowie DCOM-Port Range |
Der Einsatz einer Firewall zwischen diesen beiden Servern wird nicht unterstützt. Der Microsoft Operations Manager (MOM) Administrator und die Operator-Console auf dem Management Server erfordern eine Verbindung zum Collection-Server. |
| Management |
Collection-DB |
4,5,6 |
1433 (TCP) und 1434 (UDP) |
|
| Management |
Reporting-Server |
3,4,5,6 |
80 (TCP) oder 443 (TCP) |
|
| Management |
Collection-DB |
3,4,6 |
1433 (TCP) und 1434 (UDP) |
Der Einsatz einer Firewall zwischen diesen beiden Datenbanken wird nicht unterstützt. |
| Reporting |
Collection-DB |
4,5,6 |
1433 (TCP) und 1434 (UDP) |
|
| Reporting |
Reporting-DB |
3,5,6 |
1433 (TCP) und 1434 (UDP) |
|
| Distribution |
Microsoft Update
oder Upstream-WSUS |
Alle |
80 (TCP) oder 443 (TCP) |
| * Mehr Informationen zu den möglichen Server-Topologien im Forefront Client Security TechCenter.
Kommunikation der FCS-Clients: Für die Kommunikation der Clients (Agents) mit dem Management Server (MOM) ist ausgehend Port 1270 (TCP und UDP) erforderlich. Nicht zu vergessen auch den Port (TCP) für die Kommunikation des Clients mit dem WSUS-Server (z.B. Port 80).
Inzwischen hat es sich mit Sicherheit herumgesprochen, dass sich zwar der Forefront Client Security (FCS)-Agent auf 64 Bit-Clients (zum Schutz von Client- als auch Server-Betriebssystemen) installieren lässt, nicht aber der FCS-Management-Server auf 64 Bit-Hardware.
Wer sich deshalb jetzt die Frage nach dem Grund stellt - hier ist er: Es gibt derzeit keine 64 Bit-Version der Group Policy Management Console (GPMC), die für den Rollout der FCS-Richtlinien auf dem Management-Server erforderlich ist...
Forefront Client Security (FCS) überprüft bei einem Full Scan standardmässig die gängigsten Archiv-Dateien. Im Detail sind dies:
- ACE, ARC, ARJ, CAB, CHM, CPIO, CPT, HAP, InstallShield packages, ISO, LHA, LHZ, LZH, Nullsoft installer packages, OLE2, PDF, Q (Quantum), RAR, SIT (but not SITX), TAR, Wise Installer packages, ZIP, ZOO
Microsoft addressiert die "Pain Points" der aktuellen Forefront-Protoktpalette, wie beispielsweise die fehlende Integration der Forefront-Produkte untereinander, die unterschiedlichen Verwaltungs-Konsolen und -Techologien, sowie den etwas schlechten Überblick über den Sicherheitszustand im gesamten Netzwerk über die Produkte hinweg - und kündigt deshalb Forefront Codename "Stirling" an.
Forefront Codename "Stirling" ist ein ganzheitliches Produkt für ein sogenanntes "Unified Security Management" für den umfangreichen Schutz von Clients, Servern und dem Perimeter. Optimiertes und einfaches Management bietet dabei die tiefe Integration in bestehende Strukturen (und Investitionen), wie Active Directory oder die System Center-Produkte.
"Stirling" soll noch dieses Jahr als Customer Technology Preview (CTP) erscheinen, gefolgt von einer Public Beta im ersten Halbjahr 2008. Das entgültige Produkt soll in der ersten Hälfte 2009 verfügbar sein.
Nachfolgend einige Informationen von der englischen Website:
What Are the Key Benefits of Microsoft Forefront codename “Stirling”?
- Comprehensive Protection: By providing integrated protection technologies across clients, server applications, and the network edge, and dynamic responses to emerging threats, IT pros will be able to proactively protect their organization from emerging threats.
- “Stirling” integrates comprehensive protection technologies, including anti-malware, anti-spam, content filtering, host firewall, multi-engine protection for messaging and collaboration systems, network edge protection, and other technologies to be announced at a later date.
- “Stirling” technologies will act as a distributed system, sharing information with each other, allowing for correlation of security information to identify complex threats. Protection technologies included in “Stirling” can be set to dynamically respond to these threats, making it easier for the IT administrator to address new threats.
- Integration with Network Access Protection ensures administrators can control network access based on user and machine authorization as well as adherence to the company’s security policy for endpoint protection.
- Unified Management: “Stirling” provides a single management console across client, server, and network edge security.
- IT professionals can easily define their corporate security policy and “Stirling” will automatically configure the relevant protection technologies and ensure compliance to those policies.
- “Stirling” deploys configuration settings to existing groups of machines or users in Active Directory.
- IT professionals can use existing Microsoft Windows Server Update Services (WSUS) infrastructure to deploy updates for “Stirling.”
- Critical Visibility: Critical visibility into the security state, including insights into threats and vulnerabilities through one central console that easily communicates where action is required.
- “Stirling” collects security information from client, server, and network edge devices and provides both comprehensive reports as well as the ability to drill down and perform investigations on specific security incidents, all in one place.
- “Stirling” allows IT professionals to obtain real-time security state or identify emerging trends based on historical data.
How Does Microsoft Forefront codename “Stirling” Work?
Microsoft Forefront codename “Stirling” builds on Microsoft’s commitment to deeper integration of security and systems management, with a centralized management infrastructure to manage corporate security policies, view reports of the overall security state, and identify and protect against emerging threats. Through its integration with Microsoft System Center, IT administrators have more extensive control of alerts, enabling more complete management of the security lifecycle.
“Stirling” will utilize multiple technologies and approaches to help protect IT environments against unknown threats. For example, by enabling centralized control of software that is allowed to run on a machine along with advanced protection technologies to keep malware off systems, administrators can more easily protect systems from new threats.
“Stirling” integrates a comprehensive set of protection technologies, including anti-malware, anti-spam, content filtering, host firewall, multi-engine protection for messaging and collaboration systems, network edge protection and others to be announced at a later date.
In addition to protection provided by individual technologies, “Stirling” technologies act as a distributed system by sharing information with each other, allowing for correlation of security information to identify complex threats. Protection technologies included in “Stirling” can be set to dynamically respond to these threats through a variety of remediation techniques, making it easier for the IT administrator to address new threats.
Integration with Network Access Protection ensures administrators can control network access based on user and machine authorization, as well as adherence to the company’s security policy for endpoint protection.
|
|
Zusätzlich zur kürzlich erhaltenen West Coast Labs Checkmark Certification hat Forefront Client Security (FCS) jetzt auch den Virus Bulletin VB100 Award erhalten. Diese Auszeichnung bestätigt, dass Forefront Client Security 100% der "in the wild" befindlichen Viren zuverlässig und ohne "False-Positives" erkennt.
Mehr Informationen auf den Seiten von Virus Bulletin.
Die aktuellen Ergebnisse der Test-Läufe zum VB100 Award kann man sich dort auch nach kostenloser Registrierung im Archiv ansehen. |
Das Symbol des Forefront Client Security Agents in der Taskbar ändert sich automatisch, je nach Zustand des Agents oder bei entsprechenden Ereignissen, wie die Erkennung von Malware. Die nachfolgende Tabelle listet die möglichen Symbole und deren Bedeutung:
| Symbol |
Beschreibung |
|
|
Der Client Security Agent hat derzeit keine Nachricht für den Anwender.
Der Kreis rotiert, wenn der Client Security Agent derzeit eine der folgenden Aktionen ausführt:
- Scannen nach Malware.
- Überprüfung auf neue Updates oder Herunterladen von Updates.
- Säubern von Malware, die vom Echtzeitschutz (Real-Time Protection) gefunden wurde.
|
|
|
Der Client Security Agent hat einen Scan-Vorgan beendet und keine ungewünschte oder gefährliche Software gefunden.
Die Signatur-Dateien (Definitions) sind auf dem aktuellsten Stand.
Der Client Security Agent hat derzeit keine Nachricht für den Anwender. |
|
|
Der Client Security Agent meldet eine als niedrig oder mittel eingestufte Warnung.
Dies kann die Erkennung bekannter Malware mit nidriger oder mittlerer Bedrohung sein. Es kann auch bedeuten, dass der Agent keine neuen Signatur-Updates in den letzen 14 Tagen erhalten hat oder dass ein Signatur-Update fehlgeschlagen ist. |
|
|
Der Client Security Agent meldet eine als hoch einzustufende Warnung.
Dies kann die Erkennung bekannter Malware hoher Bedrohung sein. |
|
|
Der Client Security Agent meldet eine Warnung über mögliche Malware, kann die Software jedoch nicht identifizieren. In den meisten Fällen bedeutes dies, dass die erkannte Software nicht bedrohend ist. |
Die Scan-Jobs von Forefront Client Security (FCS) können auch manuell mit folgenden Befehlen gestartet werden:
- Security State Assesment:
%ProgramFiles%\Microsoft Forefront\Client Security\Client\Ssa\FcsSas.exe
- Quick Scan:
%ProgramFiles%\Microsoft Forefront\Client Security\Client\Antimalware\mpcmdrun.exe –scan –scantype 1
- Full Scan:
%ProgramFiles%\Microsoft Forefront\Client Security\Client\Antimalware\mpcmdrun.exe –scan –scantype 2
Ein Preview des Microsoft Malware Protection Center ist unter http://www.microsoft.com/security/portal/ erreichbar. Das Portal bietet umfangreiche Informationen rund um das Thema Malware, Top 10 Listen und eine Enzyklopädie zum Nachschlagen. Ab dem offiziellen Launch im Juli wird auch eine Funktion für die Einreichung von möglicher Malware angeboten werden.
Beispielsweise für die Erstinstallation von Forefront Client Security (FCS) kann es durchaus sinnvoll sein, die aktuellsten Anti-Malware-Definitions zur Hand zu haben. Der KB-Artikel 935934 enthält die direkten Download-Links für die 32- und 64-Bit Clients. Auch im Technet sind die aktellsten Definition-Downloads aufgeführt.
Forefront Client Security wird bereits in den unterschiedlichsten Branchen aller Größen eingesetzt. Auf dem amerkianischen Portal findet man dazu einige interessante Case Studies.
Auch steht ein neues Download-Paket mit der Dokumentation zu FCS mit Stand Mai 2005 zur Verfügung:
- Microsoft Forefront Client Security Getting Started Guide
- Microsoft Forefront Client Security Deployment Guide
- Microsoft Forefront Client Security Administrator's Guide
- Microsoft Forefront Client Security Performance and Scalability Guide
- Microsoft Forefront Client Security Disaster Recovery Guide
- Microsoft Forefront Client Security Security Guide
- Microsoft Forefront Client Security Troubleshooting Guide
- Microsoft Forefront Client Security Technical Reference Guide
Werden die Windows Server Update Services (WSUS) als Distributionsserver im Netzwerk verwendet, erhalten alle Computer, die bereits mit einer FCS-Richtline ausgestattet wurden, automatisch die Client-Komponenten durch den WSUS. Voraussetzung auf dem WSUS ist, dass das aktuellste "Client Update for Microsoft Forefront Client Security" für die Installation freigegeben wurde.
Leicht kann man sich durch die besondere "Beziehung" zwischen Forefront Client Security (FCS) und dem mitgelieferten Microsoft Operations Management 2005 SP1 Server-Komponenten (MOM) durcheinander bringen lassen, wenn es darum geht, ob man den gemanagten Client in eine bestehende MOM 2005- oder SCOM 2007-Infrastruktur (System Center Operations Manager 2007) aufnehmen kann und/oder sich mit dem FCS MOM 2005 andere Clients managen lassen. Hier die Auflösung:
- Forefront Client Security bringt einen "eigenen", speziell für FCS optimierten MOM 2005 Server mit. Auf allen zu managenden Clients durch das FCS Client-Setup der entsprechende MOM-Agent installiert. Ist bereits ein MOM-Agent auf dem Client vorhanden, wird er durch das Setup entsprechend multihomed konifguriert. Genauso kann der MOM-Agent von einem FCS-Client auch auf multihomed konfiguriert werden, um ihn in eine "normale" MOM-Infrastruktur zu bringen.
- Der mit FCS gelieferte MOM 2005 kann nur für Forefront Client Security genutzt werden. Um den selben Client komplett zu verwalten ist daher eine separate MOM-Infrastruktur erforderlich.
- Zwischen dem FCS MOM und einem "normalen" MOM kann Alert-Forwarding genutzt werden, um ein zentralisierten Verwaltungsansatz zu erreichen.
- SCOM 2007 kann ebenfalls nicht den von FCS mitgelieferten MOM 2005-Server ersetzen.
Heute wurde in den USA das von uns lange ersehnte Forefront Client Security und System Center Essentials 2007 gelauncht.
Die zentral verwaltmare Anti-Malware-Lösung von Microsoft ist ab 1. Juli 2007 über das Microsoft Volumenlizenzen erhältlich und unterstützt folgende Betriebssysteme:
- Windows 2000 Service Pack 4
- Windows XP Service Pack 2 (x86 oder x64)
- Windows Vista Business, Enterprise oder Ultimate Edition (x86 oder x64)
- Windows Server 2003 Service Pack 1 und 2 (x86 oder x64)
- Windows Server 2003 R2 (x86 oder x64)
- Longhorn Server (RTM-Version)
Alle Clients setzen Windows Installer 3.1 und Windows Update Agent 2.0 voraus. Das bisher bei XP SP2 erforderliche Filter Manager Rollup Package ist jetzt im Setup enthalten.
Eine Zusammenfassung liefert das aktuelle Press Release - mehr Informationen zu Forefront Client Security (FCS) natürlich in diesem Blog.
Ganz nebenbei: Sowohl Windows Live OneCare als auch Forefront Client Security haben die ICSA Antivirus Certification und West Coast Labs Checkmark Certification.
Drei neue E-Learning-Kurse (Dauer je 2 Stunden) zeigen, wie Microsoft Forefront Client und Server Security im Netzwerk verwaltet werden. Neben dem Deployment bei beiden Produkten stehen bei Forefront Client Security der Einsatz der Reporting-Funktionen, die Verwendung von Alerts und die Erkennung von Sicherheisrisiken im Vordergund:
Neu im Download-Center das Microsoft Forefront and System Center Demonstration Toolkit. Eine VM-Demo-Umgebung, mit der Sie folgende Funktionalitäten von Microsoft Forefront und System Center zeigen können:
- System Center Configuration Manager pushing Forefront Client Security signatures to keep a client machine updated
- Forefront Security for Exchange Server blocking viruses in emails received in Outlook 2007
- System Center Operations Manager monitoring the health of servers and clients in the environment
- Intelligent Application Gateway adapting user access to SharePoint 2007 based on end-point policy detection
- Forefront Client Security performing Real-time Protection against malware.
Mit dem Demo-Kit wird wider eine Start-Demo.hta mitgeliefert, die das Szenario erklärt und ein komfortables Umschalten zwischen den virtuellen Maschinen erlaubt.
Eine in letzter Zeit häufig aufkommende Frage ist: Wann läuft die Public Beta von Forefront Client Security (FCS) ab? Die entsprechende Antwort findet sich neben Informationen zu den weiteren Eval-Komponenten in der Readme-Datei zum Download von FCS:
Once activated, the Public Beta (formerly called "Beta 2") release of Client Security will function fully until June 30, 2007.
Thirty days before the expiration date, you will start receiving expiration reminder messages indicating the date that the trial will expire. The reminder messages will appear each time you open the Client Security console. A message that lists the expiration date will also appear at the top of each report generated from Client Security.
Microsoft Windows Server™ 2003 R2 and Microsoft SQL Server 2005 included with the Public Beta version of Client Security are evaluation copies and will expire 180 days after installation.
Kann ein Client nicht über die Forefront Client Security Management Console verwaltet werden (unmanaged Client), weil er sich beispielsweise nicht in einer Domäne befindet, kann eine Richtlinie (Policy) auch manuell auf diesen Client ausgerollt werden. Dazu wird die Policy beim Deployment in eine .reg-Datei gespeichert und beim Client mithilfe des Tools fcslocalpolicytool.exe angewendet, das sich auf der Forefront Client Security CD befindet:
- Legen Sie auf dem Client die Client Security CD ein
- Öffnen Sie eine (unter Vista: administrative) Eingabeaufforderung
- Wechseln Sie auf der CD in das Verzeichnis \Client
- Führen Sie folgenden Befehl aus: fcslocalpolicytool.exe /f /i [filename]
[filename] entspricht der als .reg-Datei exportierten Policy, die auf dem Client angewendet werden soll.
Der Parameter /f erzwingt die Anwendung der neuen Policy auf dem Client. Eventuell auf dem Client vorhandene FCS-Policies werden überschrieben.
Microsoft Forefront Client Security (vormals bekannt als Microsoft Client Protection) steht seit Kurzem als Public Beta zum Download bereit. Forefront Client Security (FCS) bietet einen einheitlichen, einfach zu verwaltenden und zu überwachenden Schutz gegen Schadsoftware für alle Clients und Server in Unternehmensnetzwerken.
Forefront Client Security schützt vor Spyware, Rootkits, Viren, Würmer und Trojanern. Neben zentraler Verwaltung und Reporting integriert sich Forefront Client Security einfach in vorhandene Infrastrukturen integrieren und ergänzt andere Microsoft-Technologien zur Verwirklichung noch größerer Sicherheit und Kontrolle.
Die Sicherheitstechnologie in Forefront Client Security basiert auf derselben Technologie, die in Produkten wie Microsoft Windows Live OneCare, Windows Defender und Windows Live Safety Center eingesetzt wird. Forefront Client Security verwendet eine erweiterte Version der Antivirentechnologie, die 2003 im Rahmen der Akquise von GeCAD übernommen wurde. Der Spywareschutz basiert auf einer Technologie, die 2004 durch die Übernahme von GIANT Company Software in den Besitz von Microsoft übergegangen ist.
Unterstützt werden Windows 2000-, Windows XP-, Windows Server 2003- und Windows Vista-Systeme. Das finale Produkt wird voraussichtlich im zweiten Quartal 2007 bereit stehen.
|