Gestern Abend, 08.10.2009, gab es ein kleines, aber wichtiges Annoucment auf dem Forefront Team Blog: Schedule and Strategy Update for Forefront Endpoint Protection

Darin wird angekündigt, dass Sich die Veröffentlichung von Forefront Endpoint Protection 2010 (FPE) um etwa ein halbes Jahr auf die 2. Jahreshälfte 2010 verschieben wird und sich die darunterliegende Architektur von System Center Operations Manager 2007 R2 (SCOM) auf System Center Configuration Manager 2007 (SCCM) ändert. Hintergrund dieser Änderung sind primär die Rückmeldungen aus Marktanalysen und auch das Feedback und die Erkenntnisse aus den bisherigen Beta-Phasen und Deplyments der TAP-Kunden.

Aus diesem Grund wird auch die erste Version des Forefront Protection Managers 2010 (FPM) auch vorerst keine Unterstützung zu FEP 2010 enthalten und zunächst nur für das zentrale Management von Forefront Protection 2010 for Exchange (FPE) und Forefront Protection 2010 for SharePoint (FPSP) fungieren.

Alle weiteren Produkte der bleiben aber im Zeitplan:

• Forefront Protection 2010 for Exchange Server (FPE), Forefront Online Protection for Exchange (FOPE), Forefront Threat Management Gateway 2010 (TMG) und Forefront Unified Access Gateway 2010 (UAG) im 4. Quartal 2009
• Forefront Protection 2010 for SharePoint (FPSP), Forefront Identity Manager 2010 (FIM) im 1. Halbjahr 2010

Das Microsoft TechNet in bekanntlich ja ein Paradies an Ressourcen zu sämtlichen Microsoft Produkten und Technologien. In einem separaten Abschnitt darin gibt es ausserdem die sogenannten Solution Accelerators: Guides und Tools, die bei der Planung, dem Deployment und dem Betrieb unterstützen sollen. Sie sind kostenlos und "voll supported".

Natürlich gibt es auch eigene Security Solution Accelerators, die rund um das Thema Sicherheit, entsprechende Unterstützung und Hinweise liefern:

• IT Compliance Management Guide
• Security Risk Management Guide
• Security Compliance Management Toolkit Series - enthält:
  • Windows Server 2008 Security Compliance Management Toolkit
  • Windows Server 2003 Security Compliance Management Toolkit
  • Windows Vista Security Compliance Management Toolkit
  • Windows XP Security Compliance Management Toolkit
  • 2007 Microsoft Office Security Compliance Management Toolkit
• Hyper-V Security Guide

Der Nachfolger des Identity Lifecycle Manager 2007 (ILM), Forefront Identity Manager 2010 (FIM) steht jetzt als Release Candidate 1 zum Download bereit.

FIM ist eine integrierte und umfassende Lösung für die Verwaltung des gesamten Lebenszyklus von Benutzeridentitäten und den dazugehörigen Berechtigungen, also Kombination von Identitätssynchronisierung, Zertifikats- und Kennwortverwaltung sowie Benutzerprovisionierung in einem Produkt.

Dank Self-Service-Funktionen für Endbenutzer, wie Password-Reset-Funktion, die Delegation der Verwaltung oder der Workflowerstellung für häufige Identitätsverwaltungsaufgaben können Kosten für die Adminstration deutlich reduziert werden.

Nach nur knapp drei Monaten Beta-Phase steht nun Microsoft Security Essentials (http://www.microsoft.com/security_essentials/ bzw. http://www.microsoft.de/mse/) als finale Version in den gängisten Sprachen zum Download bereit. Jeder, der eine legitime Windows XP (ab SP 2), Windows Vista oder auch Windows 7-Version hat kann sich MSE kostenfrei herunterladen.

MSE schützt vor Malware, wie Trojaner, Viren und Rootkits und baut auf der selben Grundtechnologie wie sein großer Forefront Client Security (FCS) für den Einsatz in Unternehmensnetzwerken. Genauer gesagt, beinhaltet MSE auch schon neuere Technologien, die erst in Forefront Endpoint Protection 2010 (FEP) zu sehen sein werden, wie beispielsweise die Nutzung des Dynamic Singature Service (DSS). Über diesen Dienst kann MSE in Echtzeit online auf verdächtig erkannte Bedrohungen prüfen, für dies es aber noch kein Signatur-Update gab.

Frei nach dem Prinzip "Install and Forget" sucht MSE nach der Installation nach Updates, führt schnell noch einen Scan durch und legt sich anschließend im Hintergrund auf die "Lauer", so dass man eigentlich nur selten etwas von MSE bemerken sollte...

Ist bereits eine System Center Configuration Manager 2007-Infrastruktur (SCCM) implementiert, kann der Agent von Forefront Client Security (FCS) direkt über SCCM bereitgestellt bzw. aktualisiert und die Konfiguration per Assessments im Rahmen von Desired Configuration Management (DCM) kontrolliert werden.

Updates der Definitionen von FCS können natürlich auch durch die selbe Infrastruktur erfolgen. Diese werden jedoch direkt über die unter SCCM liegende WSUS-Struktur bereitgestellt, die von den FCS-Agenten über den AU-Client angefordert werden.

Der im FCS TechNet als Community Content bereitgestellte Artikel Deploying FCS definition updates with a shared System Center Configuration Manager WSUS infrastructure zeigt, was zu konfigurieren ist:

Bei der Frage "Welche Version von FCS mit welcher Version von SCCM/WSUS?" hilft übrigens der KB-Artikel Supported configurations for using WSUS to distribute Forefront Client Security Definition updates within SCCM 2007 weiter...

Seit dem 31. August 2009 wird nun auch offiziell die Installation von Forefront Client Security (FCS) auf Systemem mit Windows 7 und Windows Server 2008 R2 unterstützt.

Das Annoucement in Form eines Eintrags auf dem Forefront Team Blog listet als unterstützte Versionen (notwendige Updates siehe KB-Artikel 974253):

• Windows 7 Business, Enterprise, Home und Ultimate
• Windows Server 2008 R2 Standard Server und Windows Server 2008 R2 Enterprise Server

Support für Windows Server 2008 R2 Core ist derzeit noch nicht gegeben, soll aber mit zukünftigen Updates nachgeliefert werden. Die vollständige Liste aller von FCS unterstützten Plattformen gibt es im FCS TechCenter.

Nachtrag: Das in obigen KB-Artikel genannte Update wird als "Definition Update for Microsoft Client Security (Security State Assessment 1.0.1710.103 Full)" z.B. in WSUS bereitgestellt.

Update: Unterstützung für Windows Server 2008 R2 Core Installationen ab Build 1973.0.

Der Nachfolger von Forefront Security for Exchange (FSE), Forefront Protection 2010 for Exchange Server (FPE) steht nun als Release Candidate zum Download bereit.

Nicht wundern, der Download wird noch nach dem bisherigen Benennung mit "Forefront Security 2010 for Exchange Server Release Candidate" gelistet. Wie in der Beta 2 unterstützt der Release Candidate die Installation auf Exchange Server 2007 SP1 und Exchange Server 2010. Außerdem steht die Integration für die Cloud-Services von Forefront Online Protection for Exchange (FOPE), bisher Forefront Online Security for Exchange (FOSE) auf der Downloadseite zur Verfügung, mit der eine entsprechende Hybrid Protection durch die Kombination mit den On-premise-Schutz von FSE abgebildet werden kann.

Seit der Weltweiten Partnerkonferenz von Microsoft in New Orleans (WPC09) stehen nun die endgültigen Namen der neuen Forefront-Produkte fest, die bisher unter dem Codenamen Forefront „Stirling“ (aktuell als Beta 2) entwickelt wurden.

Forefront Protection Suite - Nachfolger der Forefront Security Suite:

• Forefront Protection Manager 2010 - bisher die Forefront „Stirling“ Console
• Forefront Protection 2010 for Exchange - Nachfolger von Forefront Security for Exchange
• Forefront Protection 2010 for SharePoint - Nachfolger von Forefront Security for SharePoint
• Forefront Endpoint Protection 2010 – Nachfolger von Forefront Client Security
• Forefront Threat Management Gateway Web Security Service - Subscription zu Threat Management Gateway, wie z.B. Anti-Malware
• Und: Forefront Online Protection for Exchange – Nachfolger von Forefront Online Security for Exchange bzw. Exchange Hosted Filtering

Vermehrt taucht seit dem Erscheinen des Antigen 9 Service Pack 2 die Frage auf: Woher bekomme ich als lizenzierter Kunde den SP2? Denn im öffentlichen Download Center von Microsoft steht nur die Evaluierungsversion von Antigen 9 SP2 zum Download bereit.

Vorab, Antigen 9.0 SP2 ist ein vollständiges Produkt. Also kein inkrementelles Paket, welches ein vorhandenes Antigen 9.0 voraussetzen würde. Die lizenzierte Version gibt es im MVLS (Microsoft Volume Licensing Site) als Download und kann somit neu oder über eine vorhandene Version installiert werden.

Ein Update sollte übrigens auch mit Hilfe der Eval-Version möglich sein. Zuvor sollte man jedoch von der Lizenzdatei license.cfg in jedem Fall ein Backup erstellen.