Das erste Update Rollup für Forefront Endpoint Protection 2010 (FEP) ist nun verfügbar und bringt interessante oder lang ersehnte Neuerungen:

• Unterstützung für Systeme mit Windows Embedded 7 und Windows Server 2008 Server Core
• Automation-Tool für die Verteilung von Signatur-Updates über die System Center Configuration Manager 2007 (SCCM) Infrastruktur *
• Neue Richtlinienvorlagen für Forefront Threat Management Gateway 2010 und Lync Server 2010 *

* Download in den FEP 2010 Update Rollup 1 Tools.

Seit diesem Montag ist die erste Beta-Version von Microsoft Forefront Endpoint Protection 2012 (FEP 2012) zum Download verfügbar. Basierend auf System Center Configuration Manager 2010 (Beta 2) gibt es einige Neuerungen, wie das Forefront Team Blog berichtet:

• Improved real time alerts and reports
• Role-based management
• User-centric reports (post beta)
• Easy migration from FEP 2010/ConfigMgr 2007
• Support for FEP 2010 client agents

Mehr Details zu FEP 2012 auf den Produktseiten und auch im TechNet. Und wie schon beim Vorgänger gibt es auch dieses Mal ein so genanntes Community Evaluation Program (CEP) für FEP 2012 für die Evaluierung mit Unterstützung durch das Produktteam und der Community (Hinweis: FEP 2012 im SCCM 2012 CEP enthalten).

Mit dem kostenfreien Microsoft Safety Scanner gibt es nun auch von Microsoft einen "Download-and-Run-Scanner", der nach Viren, Spyware und sonstiger Schadsoftware sucht und diese entfernt.

Das Tool ist ist mit vorhandener (installierter) bestehenden Antivirensoftware kompatibel und in mehreren Sprachen verfügbar. Die Software läuft automatisch nach zehn Tagen ab und muss dann einfach neu heruntergeladen werden, um mit neuesten Signaturen wieder auf die Suche gehen zu können.

Um dauerhaft geschützt zu bleiben, empfiehlt sich natürlich, ein Werkzeug mit umfangreichem Echtzeitschutz zu installieren - wie das für Endkunden und Kleinstunternehmen kostenlose Microsoft Security Essentials oder Forefront Endpoint Protection 2010 für Unternehmenskunden. 

In den Infrastructure Planning and Design Guide Series gibt es nun einen Link zur Beta-Version des IPD Guide for Malware Response auf Connect, der Administratoren von Unternehmensnetzwerken bei der richten Auswahl von Reaktion un Strategie bei Vorfällen mit Malware unterstützen soll.

Der Guide enthält unterschiedliche Ansätze für die Erkennung und Untersuchung von Outbreaks und beschreibt die primären Methoden für eine schnelle und kosteneffektive Wiederherstellung von Systemen.

Der Name lässt es schon vermuten: Microsoft BitLocker Administration and Monitoring (MBAM) wird das neue Werkzeug für das einfachere, zentrale Management von BitLocker von Windows 7-Clients, d.h. Provisioning und Deployment, sowie Abbildung von Compliance und Reporting.

Eine erste öffentliche Beta soll im März 2010 verfügbar sein. Interessierte können sich bei Connect anmelden. MBAM wird später ein Bestandteil von Microsoft Desktop Optimization Pack (MDOP) sein.

Die Standardvariante für die Bereitstellung des Security-Clients von Forefront Endpoint Protection 2010 (FEP 2010) dank Integraion in System Center Configuration Manager 2007 (SCCM 2007) ist die Verteilung als Softwarepaket.

Die Verteilung per Operating System Deployment (OSD) in SCCM ist dabei auch möglich. Ein Artikel im TechNet Wiki zeigt, welche Schritte ausgeführt werden müssen.

Wird das Setup für die Installation des Forefront Endpoint Protection 2010 (FEP 2010) Clients ausgeführt, wird automatisch überprüft, ob eines der folgenden Produkte bereits auf dem System vorhanden ist und deinstalliert es:

• Symantec Endpoint Protection Version 11
• Symantec Corporate Edition Version 10
• McAfee VirusScan Enterprise Version 8.5 und Version 8.7 mit Agent
• TrendMicro OfficeScan Version 8 und Version 10
• Forefront Client Security Version 1 und Operations Manager Agent

Kleiner Hinweis: Gemäß den Release Notes von FEP 2010 wird Symantec Antivirus Corporate Edition auf 64 Bit-Systemen dabei nicht automatisch deinstalliert.

Ist Forefront Endpoint Protection 2010 (FEP 2010) oder Security Essentials (MSE) installiert, kann man per Windows Explorer bequem mit der rechten Maustaste auf eine Datei klicken, um Sie auf Malware überprüfen zu lassen.

Wer das gerne per Kommandozeile z.B. automatisiert per Script tun möchte, der kann auf "MpCmdRun.exe" im Programme-Ordner "Microsoft Security Client" gem. folgender Syntax zurückgreifen: MpCmdRun.exe -Scan -ScanType 3 -File PfadUndDateiname

Wurde keine Malware gefunden, wird als Return Code "0" zurückgeliefert, andernfalls "1". Eventuelle Fehler werden in "%TEMP%\MpCmdRun.log" aufgezeichnet.

Sieht man bei Forefront Endpoint Protection 2010 (FEP 2010) genauer hin, wird auf Collections oft eine Policy mit dem Namen "FEP Service Policy" erstellt und zugewiesen, die aber keine Einstellungen enthält. Grund für diese Aktion ist, dass ein Mechanismus angestossen wird, damit Clients wieder die Policy mit der höchsten Priorität anwenden, wenn:

• Eine zugewiesene Policy gelöscht,
• eine Policy-Zuweisung aufgehoben oder
• die Rangfolge von Policies geändert wird.

Alle aktuellen Forefront Endpoint Protection 2010 Tools gibt es im Download Center gesammelt in einem Link:

• FEP Group Policy Tools (fep2010grouppolicytools-en-us.exe)
• FEP Server Role Policies for Use with System Center Configuration Manager (fepserverrolepoliciesforusewithconfigmgrui.exe)
• FEP Server Role Policies for Use with Group Policy (fepserverrolepoliciesforusewithgpo.exe)
• Microsoft Security Support tool
• FEP 2010 Best Practice Analyzer

Nun ist es endlich soweit: Forefront Endpoint Protection 2010 (FEP) ist RTM und steht bereits als Evaluierungsversion im Download Center bereit. Auch das Management Pack für System Center Operations Manager 2007, besser bekannt als Forefront Endpoint Protection Server Management Pack (FEP-S) ist dort ebenfalls erhältlich.

FEP 2010 kann in Umgebungen mit System Center Configuration Manager 2007 SP2 R2 oder R3 installiert werden (System Requirements), ist ab 01.01.2010 auf den Preislisten zu finden und für Kunden im Microsoft Volume Licensing Service Center verfügbar.

Nach kurzer Beta-Phase ist nun der Relese Candidate von Forefront Endpoint Protection 2010 (FEP 2010) zum Download (EN oder DE) verfügbar. FEP 2010 wird direkt in System Center Configuration Manager 2007 (R2 oder R3) installiert und ermöglich somit den Betrieb von Security und das Management von Clients und Servern in einer einzigen Infrastruktur.

Der Download enthält auch 16 vorgefertigte Policies (z.B. für Exchange, SQL, SharePoint, Hyper-V oder auch File-, DNS- uind DHCP-Server), sowie Tools zur Verteilung von Policies per Active Directory (inkl. Import/Export).

Ausserdem ist nun auch das Forefront Endpoint Protection Server Management Kit (FEP-S) für System Center Operations Manager 2007 enthalten, was die Echtzeitüberwachung und -Remediation von Servern (oder auch VIP-Clients) mit FEP 2010 ermöglicht.

Last not least: Ein vorgefertigtes Excel-Pivot macht ein einfaches Reporting und Analyse von FEP-Daten auch in Excel möglich.

Das Finale Produkt ist im Dezember 2010 verfügbar. Mehr Informationen dieses Mal im System Center Blog und natürlich auch auf der TechEd in Berlin.

Der Nachfolger von Forefront Client Security (FCS) mit dem Namen Forefront Endpoint Protection 2010 (FEP) ist ab sofort als Beta zum Download verfügbar.

Die nun auf System Center Configuration Manager 2007 R2 (SCCM) basierende Lösung ermöglicht so ein einheitliches und einfacheres Bereitstellen und Verwalten der Sicherheitslösung aller Clients im Unternehmensnetzwerk. FEP 2010 spart sich so durch die Integration eine komplett eigene Infrastruktur und bietet auf der anderen Seite somit eine zentrale und gemeinsame Sicht auf Management und Security ("Single pane of glass").

Die neuen Features aus dem Forefront Team Blog Announcement:

• New Antivirus Engine
  Highly accurate and efficient threat detection protects against the latest malware and rootkits with low false positive rate.
• New behavioral threat detection
  Protection against "unknown" or "zero day" threats provided through behavior monitoring, emulation, and dynamic translation.
• Windows Firewall management
  Ensures Windows Firewall is active and working properly on all endpoints, and allows administrators to more easily manage firewall protections across the enterprise.
• Dynamic Cloud Updates
  On-demand signature updates from the cloud for suspicious files and previously unknown malware.

FEP 2010 unterstützt Client-seitig Windows ab XP bzw. Server 2003 und erfordert Infrastruktur-seitig SCCM 2007 SP2 R2. Für einen schnellen Start kann man sich im Übrigen der vorgefertigten SCCM 2007 R2 Eval VHD bedienen. Nach Upgrade auf SP2 R2 und Vervollständigung der vorhandenen SQL Server-Installation lassen sich alle Management-Komponenten von FEP 2010 in die virtuelle Maschine installieren, die sowohl unter Hyper-V als auch Virtual PC funktioniert. Für die ersten Schritte hilft die TechNet Dokumentation.

Auch von Microsoft Security Essentials (MSE), der kostenfreien Antimalware-Lösung für Endkunden, steht die Beta der Nachfolgeversion Microsoft Security Essentials 2010 in Kürze auf dem Connect-Portal zum Download bereit. 

Die virtuelle Demoumgebung zur Microsoft Business Ready Security-Strategie gibt es nun aktualisiert als Version 3.0b zum Download.

Mithilfe von 13 virtuellen Maschinen können in verschiedenen Szenarien die Funktionen rund um Produkte, wie Microsoft Forefront oder Active Directory Rights Management Services selbst getestet werden:

Wer gerne wissen möchte, welche Art Definition Updates und welche Dateien in einem Update bei Forefront Client Security (FCS) enthalten sind, der wird im KB-Artikel 977939: Description of Forefront Client Security definition updates fündig.

Grundsätzlich wird einmal pro Monat ein "Definition Rebase" durchgeführt. Also die Kombination des gesamten Deltas seit dem letzten Base plus das letzte Base ergeben ein Neues Set. Dies geschieht jeweils für die Antivirus- und die Antispyware Definitions. Gleichzeitig werden auch Aktualisierungen an der Antimalware-Engine mit aufgenommen.

Für FCS gibt es im ganzen vier verschiedene Definition Updates:

• Full Installation
  Komplettes Paket mit aktueller Engine, Bases und Deltas. Für neu installierte Clients oder Clients, die sich seit mehr als einem Monat nicht mehr aktualisiert haben. Die Größe des Pakets variiert zwischen 20 und 60 MB. (Größe am 24.02.2010: ~53 MB) 
• Delta Installation
  Paket mit Deltas seit dem letzten Rebas. Für Clients, die bereits die aktuelle Engines und aktuellen Base Dateien verwenden, aber nicht auf einem aktuellen Delta-Stand sind. Die Größe variiert zwischen 1 und 8 MB.
• Differential Delta
  Paket mit einem binären Delta (Delta Compression API) der Definitionen zwischen zwei Versionsabschnitten, um Aktualisierungen so klein wie möglich zu halten und einen Client mit aktuellen Base Files und Defitions (Delta) so schnell wie möglich auf den aktuellen Stand zu bringen. Die Größe variiert zwischen 50 und 2048 KB.
• Binary Delta of Engine
  Paket mit einem binären Delta der Engine für Clients, welche die Base- und Engine-Dateien des Vormonats einsetzen. Die Größe variiert zwischen 1 und 45 MB.

Das Prinzip wird übrigens gemäß KB-Artikel auch für die Nachfolgeversion Forefront Endpoint Protection 2010 gelten.

Die aktuellste Version der Definitions ist immer im Microsoft Malware Protection Center (http://www.microsoft.com/mmpc/) publiziert und auch über einen festen, direkten Link zum Download verfügbar (Full Installation):

• 32 Bit: http://go.microsoft.com/fwlink/?LinkID=87342&clcid=0x409 
• 64 Bit: http://go.microsoft.com/fwlink/?LinkID=87341&clcid=0x409 
• 32 Bit (Beta): http://go.microsoft.com/fwlink/?LinkID=94108&clcid=0x409 
• 64 Bit (Beta): http://go.microsoft.com/fwlink/?LinkID=94112&clcid=0x409 

Gestern Abend, 08.10.2009, gab es ein kleines, aber wichtiges Annoucment auf dem Forefront Team Blog: Schedule and Strategy Update for Forefront Endpoint Protection

Darin wird angekündigt, dass Sich die Veröffentlichung von Forefront Endpoint Protection 2010 (FPE) um etwa ein halbes Jahr auf die 2. Jahreshälfte 2010 verschieben wird und sich die darunterliegende Architektur von System Center Operations Manager 2007 R2 (SCOM) auf System Center Configuration Manager 2007 (SCCM) ändert. Hintergrund dieser Änderung sind primär die Rückmeldungen aus Marktanalysen und auch das Feedback und die Erkenntnisse aus den bisherigen Beta-Phasen und Deplyments der TAP-Kunden.

Aus diesem Grund wird auch die erste Version des Forefront Protection Managers 2010 (FPM) auch vorerst keine Unterstützung zu FEP 2010 enthalten und zunächst nur für das zentrale Management von Forefront Protection 2010 for Exchange (FPE) und Forefront Protection 2010 for SharePoint (FPSP) fungieren.

Alle weiteren Produkte der bleiben aber im Zeitplan:

• Forefront Protection 2010 for Exchange Server (FPE), Forefront Online Protection for Exchange (FOPE), Forefront Threat Management Gateway 2010 (TMG) und Forefront Unified Access Gateway 2010 (UAG) im 4. Quartal 2009
• Forefront Protection 2010 for SharePoint (FPSP), Forefront Identity Manager 2010 (FIM) im 1. Halbjahr 2010

Nach nur knapp drei Monaten Beta-Phase steht nun Microsoft Security Essentials (http://www.microsoft.com/security_essentials/ bzw. http://www.microsoft.de/mse/) als finale Version in den gängisten Sprachen zum Download bereit. Jeder, der eine legitime Windows XP (ab SP 2), Windows Vista oder auch Windows 7-Version hat kann sich MSE kostenfrei herunterladen.

MSE schützt vor Malware, wie Trojaner, Viren und Rootkits und baut auf der selben Grundtechnologie wie sein großer Forefront Client Security (FCS) für den Einsatz in Unternehmensnetzwerken. Genauer gesagt, beinhaltet MSE auch schon neuere Technologien, die erst in Forefront Endpoint Protection 2010 (FEP) zu sehen sein werden, wie beispielsweise die Nutzung des Dynamic Singature Service (DSS). Über diesen Dienst kann MSE in Echtzeit online auf verdächtig erkannte Bedrohungen prüfen, für dies es aber noch kein Signatur-Update gab.

Frei nach dem Prinzip "Install and Forget" sucht MSE nach der Installation nach Updates, führt schnell noch einen Scan durch und legt sich anschließend im Hintergrund auf die "Lauer", so dass man eigentlich nur selten etwas von MSE bemerken sollte...

Seit der Weltweiten Partnerkonferenz von Microsoft in New Orleans (WPC09) stehen nun die endgültigen Namen der neuen Forefront-Produkte fest, die bisher unter dem Codenamen Forefront „Stirling“ (aktuell als Beta 2) entwickelt wurden.

Forefront Protection Suite - Nachfolger der Forefront Security Suite:

• Forefront Protection Manager 2010 - bisher die Forefront „Stirling“ Console
• Forefront Protection 2010 for Exchange - Nachfolger von Forefront Security for Exchange
• Forefront Protection 2010 for SharePoint - Nachfolger von Forefront Security for SharePoint
• Forefront Endpoint Protection 2010 – Nachfolger von Forefront Client Security
• Forefront Threat Management Gateway Web Security Service - Subscription zu Threat Management Gateway, wie z.B. Anti-Malware
• Und: Forefront Online Protection for Exchange – Nachfolger von Forefront Online Security for Exchange bzw. Exchange Hosted Filtering

Gestern wurde es nun endlich offiziell: Die Beta 2 von Forefront Codename "Stirling" steht bereit (PressPass).

Besonders interessant ist dabei die Ankündigung, dass zukünftig Partner eigene Lösungen entwickeln können, die die Funktionalität von Forefront "Stirling" erweitern werden. Die ersten Partner sind: Brocade, Guardium, Imperva, Juniper Networks, Kaspersky, Q1 Labs, StillSecure, Sourcefire Inc., Tipping Point und RSA

Und ganz nebenbei noch ein paar "Annährerungen": Der Identity Lifecycle Manager (ILM) heisst zukünftig Forefront Identity Manager (FIM) und die Exchange Hosted Services Filtering (EHS-F) nennen sich seit 1. April Forefront Online Security for Exchange (FOSE).

Auch das TechCenter zu Forefront "Stirling" wurde zeitgleich aktualisiert und bietet zahlreiche Informationen und Material:

• Video zur Funktionsweise von Dynamic Response und Security Assessment Sharing
• System Reqirements und Beta 2 als Download* bzw. Beta 2 als VHD
• Deployment Guide

*=Stand heute fehlen hier noch die Downloads für die "Stirling" Console und Forefront Client Security (FCS).
Beide Produkte sind jedoch im Beta 2 VHD-Download vorinstalliert enthalten.

Ein paar Punkte zu den Features und dem Funktionsumfang in Forefront "Stirling" Beta 2:

• Forefront Codename “Stirling“ Console
  • Zentrales Richtlinien-Management für FCS, FSE, FOSE und FSSP
  • Reporting Services und Portal mit SQL Reporting Server für TMG
  • Enterprise Security Assessment und Remediation
    • Security-Status in Echtzeit
    • Investigation und Remediation für Sicherheitsvorfälle
    • Gemeinsame Erkennung von Angriffen im gesamten Netzwerk
    • Koordinierte Responses um die Angriffe zu adressieren
• Forefront Client Security (FCS)
  • Nächste Generation der Microsoft Anti-Malware
  • Zusätzlicher Schutz des Clients durch:
    • Erkennung von Buffer Overruns die eingehend an den Client gerichtet sind
    • Integration mit NAP durch einen integrierten System Health Agent (SHA)
• Forefront Security for Exchange (FSE)
  • Premium On Premise Antispam-Schutz mit Cloudmark-Engine
  • Premium Cloud Antispam-Schutz mit Forefront Security for Exchange (FOSE)
  • Integration in Stirling
  • Unterstützung für Exchange 2007 (E12) und Exchange 2010 (E14)
• Forefront Security for SharePoint (FSSP)
  • Integration in Stirling
  • Höhere Scanning Performance bei geplanten Scans
• Forefront Threat Management Gateway (TMG)
  • Integration in Stirling
  • Intrusion Prevention
  • Email Protection “Preview”

Nach langer Pause gibt es wieder Neuigkeiten zur nächsten Generation der Forefront Produkte, die ja bekanntlich derzeit noch unter dem Codename "Stirling" geführt werden.

Gemäß dem Forefront Team Blog gilt folgender Zeitplan für das Erscheinen der Produkte von Forefront "Stirling":

• Forefront Security for Exchange (Version 11) und Forefront Threat Management Gateway (Nachfolger von ISA 2006) in Q4 2009
• Forefront Security for SharePoint (Version 11), Forefront Client Security (Version 2) und Forefront Stirling Management Console in H1 2010

Primäre Gründe für die leichte Verschiebung im Zeitplan sind neue Anforderungen, die über das Feedback von Kunden im Technology Adoption Program (TAP) in derzeitigen Beta-Phase gegeben wurden. Dazu gehört die Interoperabilität mit Produkten von Drittherstellern in Bezug auf das Security Assessment Sharing (SAS) und das Behavior Monitoring (BM), um das Netzwerk und den Endpoint noch besser vor so genannten Zero-Day-Attacken schützen zu können.

Vor dem Release von Forefront Stirling wird übrigens in Kürze noch eine Beta 2 und auch ein Release Candidate erwartet.

Für eine unmanaged Installation des Forefront Client Security (FCS) Agenten wird in der aktuellen Generation FCS v1.0 der Parameter "NOMOM" verwendet (genauer "ClientSetup.exe /NOMOM"). Mit Forefront Stirling steht nun die nächste Version von FCS v2.0 ins Haus und in der derzeitigen Beta-Version bleibt "NOMOM" jedoch ohne Wirkung.

Der Grund? Derzeit ist die Funktion noch nicht implementiert. Sollte aber bis zum Release (RTM) wieder "funktionieren"...