FEP - ForeFront Endpoint Protection

FEP ist die Microsoft Lösung für Firmen zum Schutz von Clients gegen Viren und Netzwerkangriffe. Der Client ähnelt dem kostenfreien "Security Essentials"-Angebot. Es ist aber kein Schutz gegen Viren und Spam in E-Mails. Das hierzu passende Produkt von Microsoft heißt "Forefront für Exchange" bzw. Forefront online Protection für Exchange (FOPE)

Privatanwender können mit SecurityEssentials arbeiten
http://windows.microsoft.com/de-DE/windows/products/security-essentials/download

Prüfen Sie ihren aktuellen Microsoft Lizenzvertrag. Es könnte nämlich sein, dass Sie berechtigt sind, Forefront Endpoint Protection einzusetzen und sich die Kosten für eine andere Antivirus-Software zu sparen. Aber wenn Sie tatsächlich eine Lizenz haben und etwas herum surfen, dann müssen Sie erkennen,. dass auch das kommerzielle Angebot von Microsoft ein paar Einschränkungen hat.

Die kleine Version in Form von "Microsoft Security Essentials", die für Privatanwender und kleine Firmen (<10 Client) komplett kostenfrei ist, benötigt in der Regel auch kein Management. Aber wer 10-500 Clients bedient, er möchte schon sicherstellen, dass alle Clients mit einem Virenscanner versorgt sind, das aktuelle Datenbank haben und erkannte Viren auch zentral gemeldet werden werden.

Und genau diese Funktion hatte zwar noch Microsoft Security Protection 2007, aber nicht mehr die Version 2010. Und auch die Version 2012 wird keine Verwaltungskonsole enthalten. Microsoft setzt dagegen darauf, dass die Firmen mit "System Center Configuration Manager" arbeiten. Nun haben aber Firmen eventuell schon andere Produkte zur Softwareverteilung und Management und für kleinere Firmen ist es gar nicht möglich SCCM zu betreiben. Was dann ?

SIM317- Planning and Deploying Microsoft Forefront Endpoint
http://media.ch9.ms/teched/na/2011/ppt/SIM317.pptx
Sehr anschauliche Darstellung der Komponenten und wie diese zusammen greifen

Beachten Sie bitte, dass es wie für jede Malware-Schutzlösung auch ab und an Updates gibt.

Verteilung

Erste Frage ist natürlich: "Wie bekomme ich die Software auf die Desktops". für FEP gibt es das mehrere Wege:

Prüfpunkt Arbeitsschritt

  • SCCM oder andere Softwareverteilung
    Wer System Center Configuration Manager hat, kann das problemlos über die Paketverteilung durchführen. Aber auch für andere Verteil-Programme gibt es eine Lösung, da es sich bei SCOM einfach per Kommandozeile installieren lässt.
  • Gruppenrichtlinien
    Die Installationsquellen bestehen aus einer EXE, welche Wer also etwas pfiffig ist, kann FEP sogar per Gruppenrichtlinien mit einer ZAP-Datei installieren.

FEPInstall.exe /s /q

  • Manuell
    Zuletzt können Sie natürlich bei einer kleinen Zahl von Servern und Systemen die Installation auch manuell durchführen. Wer mag kann die Installationsquelle natürlich per Freigabe bereitstellen und mit Sysinternals "RemoteCMD" das Setup mit den passenden Kommandozeilen auf den Servern starten.

Das EXE packt sich natürlich zuerst einmal aus. Der Inhalt zeigt aber schon, dass es nicht "nur" FEP" ist, sondern dass mit dem Paket auch noch das ein oder andere update mitkommt

Insofern ist es vielleicht keine gute Idee, das FEPCLIENT.MSI aus dem Paket einfach zu verteilen. Übrigens kann FEP natürlich auch auf Servern installiert werden (2003- 2008 R2), was mit der Security Essentials verwehrt ist. Trotzdem müssen Sie die Installation überwachen, denn FEP erkennt, wenn ein anderer Virenscanner installiert ist und fragt nach. Diese Nachfrage konnte ich aber sogar bei Security Essentials als auch einer vorher installierten FEP Evaluierungsversion nachvollziehen:

Protokollname: Application
Quelle:        Microsoft Security Client Setup
Ereignis-ID:   100
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      NETATWORK\fcarius
Computer:      NAWNBFC.netatwork.de
Beschreibung:
HRESULT:0x8004FF52
Description:Microsoft Forefront Endpoint Protection 2010 installation error. One or more programs on your
computer conflict with Forefront Endpoint Protection.To install Forefront Endpoint Protection, you must
remove the following programs and then run the installation wizard again.
Error code:0x8004FF52. Programs: Microsoft Security Essentials

Auf einem Terminal Server hatte ich sogar die Meldung dass "Windows Defender" ein Problem hätte. Normalerweise deaktiviert sowohl Microsoft Security Essentials als auch Forefront Endpoint Protection den Windows Defender, da die Funktion in beiden Produkten enthalten ist.

Anscheinend schreibt nicht jede Version eine solche "Setup-Meldung". Bei mehreren Servern habe ich keine entsprechende Meldung im Eventlog gefunden.

Wer den Client per Imaging im Rahmen eines neuen Rollout verteilen will, muss vor dem Erstellen des Master Images ein paar Registrierungsschlüssel entfernen.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\InstallTime
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanRun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanType
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastQuickScanID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastFullScanID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT\GUID

Konfiguration

FEP speichert und liest wie jedes Windows-Programm seine Einstellungen aus der Registrierung und lässt sich so sehr einfach zentral verwalten.

Prüfpunkt Arbeitsschritt

  • Gruppenrichtlinien
    Auch wer FEP mit SCCM verteilt wird feststellen, dass die Konfiguration per GPOs erfolgt. Dies ist aber auch ein gut bekannter, stabiler und effektiver Weg, so dass es daran nichts auszusetzen gibt.
  • Manuell oder REG-Datei
    Ohne Gruppenrichtlinien können Sie natürlich über die GUI ebenfalls verschiedene Einstellungen vornehmen. für ganz einzelne Systeme ist dies möglich aber es skaliert nicht und stellt keine Konfiguration sicher. Wer aber keine GPOs einsetzen kann, kann natürlich auch manuell oder per Import/Export einer REG-Datei die Einstellungen übertragen.
  • SCCM-Addon
    Es soll auch ein AddOn im System Center Configuration Manager geben, mit dem eine Konfiguration erstellt und verteilt werden kann. Gesehen und genutzt habe ich das noch nicht. Ich könnte mir aber vorstelle, dass dieses Modul auch nur eine GPO einrichtet oder eine REG-Datei als Installationspaket versendet.

Wie jedes "gute" Windows Programm nutzt FEP auch die Gruppenrichtlinien, um Einstellungen zentral zu erhalten.

Sie müssen allerdings die ADMX-Datei sich erst separat herunter laden und in die Verwaltungskonsole für die Gruppenrichtlinien einbinden.

Die ADMX-Dateien sind Bestandteil der
Forefront Endpoint Protection 2010-Tools  
http://www.microsoft.com/downloads/de-de/details.aspx?FamilyID=04F7D456-24A2-4061-A2ED-82FE93A03FD5

Danach stehen ihnen aber umfangreiche SteuerungsMöglichkeiten zur Verfügung:

Updaten

Virenscanner sind nur so effektiv wir ihr Wissen über Schädlinge. Daher ist es essentiell, dass Sie Forefront regelmäßig aktualisieren. Und auch dazu gibt es drei Optionen:

Arbeitsschritt Erledigt
  • Microsoft update / Windows update
    Wenn Sie nichts konfigurieren, dann versucht FEP sein update aus dem Internet zu beziehen. für Clients funktioniert das meist, weil Sie direkt ober über einen Proxy die Updates beziehen dürfen. Viele Server kommen aber z.B.: gar nicht in das Internet und wer will schon, dass viele Clients alle die gleichen Informationen redundant herunter laden. Ein HTTP-Proxy kann hier zumindest entlasten. für Außendienstler ist es aber von Vorteil, wenn diese auch unterwegs oder zuhause neuere Patterns direkt bekommen.

  • WSUS
    Für die Verteilung von Updates hat Microsoft schon länger den kostenfreien "Windows update Server" für Firmen bereit gestellt, welcher sich zentral Updates von Microsoft holt und im internen LAN bereit stellt. Dieser kann auch FEP-Updates verteilen. Nebenbei haben Sie hier dann ein Basis-Reporting und sehen, welche Updates auf welchem Clients fehlen.
  • SMB-Share
    Nicht über die GUI aber per Gruppenrichtlinien ist auch einstellbar, dass FEP seine Updates von einer Dateifreigabe zieht. Das ist für Intern durchaus ein möglicher Weg. Sie müssen dann hier aber die Daten bereit stellen und sie haben auf dem Server keine "Reporting"-Funktionen wie bei WSUS

Mittlere und kleinere Firmen werden vermutlich darauf verzichten, die Updates über einen Prozess auf einen lokalen Share herunter zu laden, sondern die Clients einfach über das Internet die Updates ziehen lassen. Das geht natürlich nicht, wenn die Richtlinie z.B. Server keinen Zugriff auf das Internet haben.

Melden und Berichten

Kommerzielle Antivirenschutzprodukte können nicht voraussetzen, dass der Kunde eine Überwachungslösung hat und liefern daher mehr oder minder umfangreiche Managementprodukte mit, die neben Verteilung auch das Berichtswesen und Alarmierung enthalten. Microsoft macht sich dies einfacher indem FEP einfach nur Eventlogs schreibt.

Arbeitsschritt Erledigt
  • Eventlog - Manuell
    Nicht praktikabel ist die manuelle Kontrolle des Eventlogs. Aber es ist eine Möglichkeit auf einem Server sich z.B. die Eventlogs der letzten Wochen und Monate anzuschauen.

  • SCOM /SCCM
    In der "CoreCalSuite" ist nicht umsonst auch die SCCM-CAL mit drin und für SCOM gibt es auch das entsprechende Management-Paket. Insofern ist dieses Gespann natürlich optimal für die Überwachung von FEP geeignet.
  • 3rd Party
    Die Meldungen im Eventlog sind bekannt, so dass auch Drittprodukte diese natürlich auslesen und melden können. Es ist nicht besonders schwer, mit Nagios oder anderen Lösungen die Eventlogs zu überwachen und entsprechende Berichte zu erstellen.

Die Überwachung ist in mehrfacher Hinsicht interessant:

  • Erkennen, ob FEP installiert ist
  • Erkennen ob FEP aktiv und aktuell ist
  • Erkennen, ob FEP die aktuelle Konfiguration nutzt.
  • "Push-"Verteilen von Updates
  • Einsammeln von "Virenberichten".

An der Stelle fehlt wirklich eine zentrale Konsole. Im Client gibt es anscheinend nicht mal einen minimalen Prozess, der eine Aktion auf einem zentralen IIS ausführt (z.B. ein einfacher GET). Insofern wird eine Überwachung immer über eine Art "Agent" auf dem Client erfolgen müssen.

Wer neuere Versionen von Windows einsetzt, kann über den Taskmanager z.B. entsprechende Events hinterlegen, die eine Aktion anstoßen, wenn ein Eintrag im Eventlog erscheint (z.B. Update erfolgt, Virus gefunden) und diesen meldet. Seit Windows Vista/2008 können Sie auch Eventlog Forwarder konfigurieren, die bestimmte Meldungen an einen zentralen Server weiter geben. FEP selbst hat aber eben keine eigene selbständige Konsole. Es gibt aber erste Ansätze, dass hier jemand etwas dazu entwickelt, wenn eine Firma zwar FEP aber eben nicht SCCM/SCOM einsetzen will, z.B.

Installation

FEP ist relativ schnell und einfach installiert. Hier meine persönlich "Schritt für Schritt"-Anleitung ohne die Integration von SCCM, SCOM und WSUS

Arbeitsschritt Erledigt

Gruppenrichtlinien einrichten.

Der erste Schritt ist aus meiner Ansicht die Konfiguration des FEP per Gruppenrichtlinien. Damit sind die Dienste nach der Installation gleich "richtig" konfiguriert"

  • ADMX/ADML einspielen
    z.B. auf den zentralen PolicyTemplate-Store
  • GPO anlegen
    Hier müssen Sie überlegen, ob sie z.B. für Ausschlüsse (Pfade, Extensions, Prozesse) eigene GPOs für verschiedener Server (z.B. Exchange, SQL, DC) machen.
  • GPO den Servern über OUs bzw. Gruppen zuweisen
    Nun gilt es die vorgegebenen Einstellungen an die Computerkonten zu binden

Installationsquellen bereitstellen und verteilen

Je nach Art der Verteilung muss dann die Installation des FEP-Clients auf den Zielsystemen erfolgen.

Stellen Sie bitter sicher, dass kein anderes AV-Produkt installiert ist und einen Konflikt darstellen könnte. Forefront erkennt verschiedene Wettbewerber und einige Produkte werden auch automatisch deinstalliert.

Danach ist FEP auf dem System installiert und sollte unten in der Taskleiste auch sichtbar sein.

Update und Scan

Nach der Installation sollten Sie erstmalig die Pattern-Dateien aktualisieren und einen Full-Scan laufen lassen. Wer weiß schon, welche "versteckten" Probleme auf dem Server sich in der Vergangenheit hinterlassen haben.

Überwachung

Für den Dauerbetrieb sollten Sie sicherstellen, dass ihre Überwachungslösung die FEP-Events auswerten und auf Events bzw. fehlende Events reagieren kann. Jeder Server sollte ab und an einen "2000"er für aktualisierte Pattern-Dateien melden und ein 1116-Eintrag für einen Vorfall sollten Sie eskalieren.

Wer natürlich SCCM verwendet, kann ein andere Installation nutzen, um dann per SCCM den FEP-Client zu verteilen und wer mit SCOM seine Server und Clients überwacht, wird hier einfach auf dem SCOM-Server das FEP Management Pack installieren.

FEP Eventlog Einträge

Dreh und Angelpunkt ist das Eventlog und das Einsammeln dieser Daten. Performance Counter konnte ich keine entdecken.

Eventlog Typ Quelle ID Bedeutung
Application Information Microsoft Security Client Setup 100 Installation erfolgreich
Application Fehler Microsoft Security Client Setup 100 Installation abgebrochen
Application Information Microsoft Security Client 1000 Richtlinie erfolgreich angewendet
System ? Microsoft Antimalware 1001 Richtlinie konnte nicht angewendet werden
System ? Microsoft Antimalware 1005 Malware-Scan ist auf einen Fehler gelaufen und wurde gestoppt
System Information Microsoft Antimalware 113 Verlauf wurde gelöscht
System Warnung Microsoft Antimalware 1116 Ereignis aufgetreten (Virus o.ä. gefunden)
System Info Microsoft Antimalware 1117 vorgesehene Aktion wurden ausgeführt
System ? Microsoft Antimalware 1118 vorgesehene Aktion ist fehlgeschlagen
System ? Microsoft Antimalware 1119 vorgesehene Aktion mit einem unkritischen Fehler abgeschlossen
System Fehler Microsoft Antimalware 2000 Update der Pattern ok
System Fehler Microsoft Antimalware 2001 Update der Pattern fehlgeschlagen
System Information Microsoft Antimalware 2002 Update der Engine OK
System Information Microsoft Antimalware 5007 Änderung der Konfiguration

Hier mal ein Beispieleintrag eines gefundenen Virus

Als Entwickler muss ich natürlich den Kopf schütteln, warum die Installation und der Abbruch einer Installation die gleiche EventID nutzen und nur über den Schweregrad zu unterscheiden sind. Auch nutzt FEP leider nicht die Möglichkeiten eines eigenen Eventlogs. Zumindest hat Microsoft alles Events sauber dokumentiert.

Mit dem Einsatz des Configuration Manager sieht das dann anders aus

Hier wäre also noch Platz für ein Tool, wenn jemand FEP ohne SCCM/SCOM betreibt, um die FEP-spezifischen Events einzusammeln und an eine zentrale Stelle zu berichten. Leider hat der FEP-Client keine Komponente mehr, die Events selbst irgendwie irgendwo hin meldet. Sie sind also auf andere Produkte angewiesen, die lokale Events einsammeln und in einer zentralen Console anzeigen. Durch die Microsoft Brille ist dies natürlich System Center Configuration Manager, zumal die CAL in der "Core CAL Suite" (http://www.microsoft.com/calsuites/en/us/products/default.aspx) schon enthalten ist.

Windows Vista/7/2008 Eventlog Forwarding

Nun ist es aber so, dass Windows Vista, 2008, 7, 2008R2 mittlerweile selbst schon eine Funktion anbieten, um Eventlogs zu "sammeln. Sie können auf dem Client schon alleine mit Bordmitteln dafür sorgen, alle Eventlogs an einen anderen Server zu übertragen. Damit könnten Sie im Eventlog des zentralen Servers dann die Meldungen der Clients einsehen. Aber ein echtes "Reporting" ist dies natürlich nicht

Vielen Firmen würde es aber sicher reichen, wenn der Client einfach eine Mail sendet, wenn etwas "nicht" geht. Auch das geht schon mit Windows Bordmitteln

Das einzige, was dann noch fehlt ist die Information, wenn ein Client eben gar nicht zur Weiterleitung oder Alarmierung konfiguriert ist oder gar keinen Virenscanner installiert hat. Das ist durchaus eine ernste Fragestellung da viele Firmen tatsächlich keinen "Überblick" über ihre Clients haben und schon die Frage nach einer "aktuellen Liste", die man z.B. für die Verteilung von Updates und eben auch FEP und andere Produkte braucht, als unmöglich beantwortet wird. Das ist dann aber eine andere Aufgabenstellung, an deren Lösung wir natürlich gerne mitarbeiten.

FEP auf Exchange Servern

Ja, auch Exchange Server sollten eine Virenscanner für das System selbst haben und nicht nur einen Scanner für Exchange. Denn auch Exchange Server sind "Dateiserver" und welcher Administrator legt seine Hand dafür ins Feuer, dass er nicht selbst der Infektionsträger ist ?

Aber einfach mal so installieren ist keine gute Idee. Selbst Microsoft empfiehlt bestimmte Verzeichnisse und Prozesse statisch auszuschließen, weil der Virenscanner da eh nichts finden kann außer "False Positive" und der Schaden dann vielfach höher wäre. Microsoft rät dazu, folgende Verzeichnisse und Dateien auszuschließen.

  • Exchange Server databases (.mdb and .stm files) and transaction log (.log) files (default location: \Exchsrvr\MDBData)
  • Exchange Server .mta files (default location: \Exchsrvr\Mtadata)
  • Exchange Server message tracking log files (default location: \Exchsrvr\Server_Name.log)
  • Virtual server folders (default location: \Exchsrvr\Mailroot)
  • Site Replication Service (SRS) files (default location: \Exchsrvr\Srsdata)
  • Internet Information Service (IIS) system files (default location: \%SystemRoot%\System32\Inetsrv)
  • Internet Mail Connector files (default location: \Exchsrvr\IMCData)
  • The working folder that is used to store streaming temporary files that are used für message conversion. By default, this working folder is located at \Exchsrvr\MDBData
  • A temporary folder that is used together with offline maintenance utilities, such as Eseutil.exe. By default, this folder is the location that you run the .exe files from, but you can configure this when you run the utility.

Die Liste alleine zeigt zum einen, dass man die Konfiguration unbedingt anpassen muss. Zudem sollten Sie die Pfade natürlich anpassen und Dienste, die es bei Exchange 2010 nicht mehr gibt (z.B. den SRS) entfallen lassen. Sie zeigt aber auch, dass dann der Betrieb eines Virenscanners auf dem Betriebssystems möglich ist.

  • 943556 Recommended file and folder exclusions für Microsoft Forefront Client Security, Forefront Endpoint Protection 2010 or Microsoft System Center 2012 Endpoint Protection
  • 328841 Exchange and antivirus software
  • 245822 Recommendations für troubleshooting an Exchange Server computer with antivirus software installed
  • Anti-Virus folder exclusions have not been configured
    http://technet.microsoft.com/en-us/library/aa997602(EXCHG.80).aspx
  • File-Level Antivirus Scanning on Exchange 2010: Exchange 2010 Help
    http://technet.microsoft.com/en-us/library/bb332342.aspx
  • 943556 Recommended file and folder exclusions für Microsoft Forefront Client Security or Forefront Endpoint Protection 2010

Erkennungsleistung

Die Tatsache, dass ich seit dem Einsatz von Security Essentials bzw. nun FEP noch keinen echten Schaden hatte, ist natürlich weder repräsentativ noch hinreichend. Aber das ein oder andere Mal springt FEP schon an, wenn eine Webseite etwas installieren will oder ich meinen EICAR-Testvirus los lassen will.

Weitere Links