FEP - ForeFront Endpoint Protection
FEP ist die Microsoft Lösung für Firmen zum Schutz von Clients gegen Viren und Netzwerkangriffe. Der Client ähnelt dem kostenfreien "Security Essentials"-Angebot. Es ist aber kein Schutz gegen Viren und Spam in E-Mails. Das hierzu passende Produkt von Microsoft heißt "Forefront für Exchange" bzw. Forefront online Protection für Exchange (FOPE)
Privatanwender können mit
SecurityEssentials arbeiten
http://windows.microsoft.com/de-DE/windows/products/security-essentials/download
Prüfen Sie ihren aktuellen Microsoft Lizenzvertrag. Es könnte nämlich sein, dass Sie berechtigt sind, Forefront Endpoint Protection einzusetzen und sich die Kosten für eine andere Antivirus-Software zu sparen. Aber wenn Sie tatsächlich eine Lizenz haben und etwas herum surfen, dann müssen Sie erkennen,. dass auch das kommerzielle Angebot von Microsoft ein paar Einschränkungen hat.
Die kleine Version in Form von "Microsoft Security Essentials", die für Privatanwender und kleine Firmen (<10 Client) komplett kostenfrei ist, benötigt in der Regel auch kein Management. Aber wer 10-500 Clients bedient, er möchte schon sicherstellen, dass alle Clients mit einem Virenscanner versorgt sind, das aktuelle Datenbank haben und erkannte Viren auch zentral gemeldet werden werden.
Und genau diese Funktion hatte zwar noch Microsoft Security Protection 2007, aber nicht mehr die Version 2010. Und auch die Version 2012 wird keine Verwaltungskonsole enthalten. Microsoft setzt dagegen darauf, dass die Firmen mit "System Center Configuration Manager" arbeiten. Nun haben aber Firmen eventuell schon andere Produkte zur Softwareverteilung und Management und für kleinere Firmen ist es gar nicht möglich SCCM zu betreiben. Was dann ?
SIM317- Planning and Deploying
Microsoft Forefront Endpoint
http://media.ch9.ms/teched/na/2011/ppt/SIM317.pptx
Sehr anschauliche Darstellung der Komponenten und wie diese zusammen greifen
Beachten Sie bitte, dass es wie für jede Malware-Schutzlösung auch ab und an Updates gibt.
- Forefront Endpoint
Protection 2010 Update Rollup 1
http://blogs.technet.com/b/forefront/archive/2011/06/29/forefront-endpoint-protection-2010-update-rollup-1.aspx
http://blogs.technet.com/b/clientsecurity/archive/2011/06/28/forefront-endpoint-protection-2010-update-rollup-1.aspx - Microsoft Forefront Endpoint
Protection (FEP) 2010 Update
Rollup 1 Tools
http://www.microsoft.com/download/en/details.aspx?id=26613 - Update Rollup 1 für Forefront Endpoint Protection
2010
http://www.forefront-blog.de/Trackback.aspx?guid=d76c1810-56ac-4dda-a083-f5f4a77840bf - Microsoft Forefront Endpoint
Protection 2010 Update Rollup
1 verfügbar
http://jwintech.wordpress.com/2011/07/05/microsoft-forefront-endpoint-protection-2010-update-rollup-1-verfgbar/
Verteilung
Erste Frage ist natürlich: "Wie bekomme ich die Software auf die Desktops". für FEP gibt es das mehrere Wege:
Prüfpunkt | Arbeitsschritt |
---|---|
|
|
|
FEPInstall.exe /s /q |
|
- Setup Switches
http://technet.microsoft.com/en-us/library/gg398035.aspx - Prerequisites für Deploying
Forefront Endpoint Protection on
a Client
http://technet.microsoft.com/en-us/library/ff823900.aspx - How to Deploy the FEP 2010
Client Via OSD and Test
Deployment
http://social.technet.microsoft.com/wiki/contents/articles/how-to-deploy-the-fep-2010-client-via-osd-and-test-deployment.aspx
Das EXE packt sich natürlich zuerst einmal aus. Der Inhalt zeigt aber schon, dass es nicht "nur" FEP" ist, sondern dass mit dem Paket auch noch das ein oder andere Update mitkommt
Insofern ist es vielleicht keine gute Idee, das FEPCLIENT.MSI aus dem Paket einfach zu verteilen. Übrigens kann FEP natürlich auch auf Servern installiert werden (2003- 2008 R2), was mit der Security Essentials verwehrt ist. Trotzdem müssen Sie die Installation überwachen, denn FEP erkennt, wenn ein anderer Virenscanner installiert ist und fragt nach. Diese Nachfrage konnte ich aber sogar bei Security Essentials als auch einer vorher installierten FEP Evaluierungsversion nachvollziehen:
Protokollname: Application
Quelle:
Microsoft Security Client Setup
Ereignis-ID: 100
Aufgabenkategorie:Keine
Ebene:
Fehler
Schlüsselwörter:Klassisch
Benutzer:
MSXFAQ\fcarius
Computer:
NAWNBFC.netatwork.de
Beschreibung:
HRESULT:0x8004FF52
Description:Microsoft Forefront Endpoint
Protection 2010 installation error. One or more
programs on your
computer conflict with Forefront Endpoint
Protection.To install Forefront Endpoint
Protection, you must
remove the following programs and then run the
installation wizard again.
Error code:0x8004FF52. Programs: Microsoft
Security Essentials
Auf einem Terminal Server hatte ich sogar die Meldung dass "Windows Defender" ein Problem hätte. Normalerweise deaktiviert sowohl Microsoft Security Essentials als auch Forefront Endpoint Protection den Windows Defender, da die Funktion in beiden Produkten enthalten ist.
Anscheinend schreibt nicht jede Version eine solche "Setup-Meldung". Bei mehreren Servern habe ich keine entsprechende Meldung im Eventlog gefunden.
Wer den Client per Imaging im Rahmen eines neuen Rollout verteilen will, muss vor dem Erstellen des Master Images ein paar Registrierungsschlüssel entfernen.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft
Antimalware\InstallTime
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft
Antimalware\Scan\LastScanRun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft
Antimalware\Scan\LastScanType
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft
Antimalware\Scan\LastQuickScanID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft
Antimalware\Scan\LastFullScanID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT\GUID
Konfiguration
FEP speichert und liest wie jedes Windows-Programm seine Einstellungen aus der Registrierung und lässt sich so sehr einfach zentral verwalten.
Prüfpunkt | Arbeitsschritt |
---|---|
|
|
|
|
|
|
Wie jedes "gute" Windows Programm nutzt FEP auch die Gruppenrichtlinien, um Einstellungen zentral zu erhalten.
Sie müssen allerdings die ADMX-Datei sich erst separat herunter laden und in die Verwaltungskonsole für die Gruppenrichtlinien einbinden.
Die ADMX-Dateien sind
Bestandteil der
Forefront Endpoint Protection 2010-Tools
http://www.microsoft.com/downloads/de-de/details.aspx?FamilyID=04F7D456-24A2-4061-A2ED-82FE93A03FD5
Danach stehen ihnen aber umfangreiche SteuerungsMöglichkeiten zur Verfügung:
- Gruppenrichtlinien
- Konfiguration kann auch per
GPO erfolgen
http://technet.microsoft.com/en-us/library/gg398034.aspx - FEP ADMX Reference
http://technet.microsoft.com/en-us/library/gg412481.aspx
Updaten
Virenscanner sind nur so effektiv wir ihr Wissen über Schädlinge. Daher ist es essentiell, dass Sie Forefront regelmäßig aktualisieren. Und auch dazu gibt es drei Optionen:
Arbeitsschritt | Erledigt |
---|---|
|
|
|
|
|
|
Mittlere und kleinere Firmen werden vermutlich darauf verzichten, die Updates über einen Prozess auf einen lokalen Share herunter zu laden, sondern die Clients einfach über das Internet die Updates ziehen lassen. Das geht natürlich nicht, wenn die Richtlinie z.B. Server keinen Zugriff auf das Internet haben.
- Planning für Definition Updates
http://technet.microsoft.com/en-us/library/gg477001.aspx
Melden und Berichten
Kommerzielle Antivirenschutzprodukte können nicht voraussetzen, dass der Kunde eine Überwachungslösung hat und liefern daher mehr oder minder umfangreiche Managementprodukte mit, die neben Verteilung auch das Berichtswesen und Alarmierung enthalten. Microsoft macht sich dies einfacher indem FEP einfach nur Eventlogs schreibt.
Arbeitsschritt | Erledigt |
---|---|
|
|
|
|
|
|
Die Überwachung ist in mehrfacher Hinsicht interessant:
- Erkennen, ob FEP installiert ist
- Erkennen ob FEP aktiv und aktuell ist
- Erkennen, ob FEP die aktuelle Konfiguration nutzt.
- "Push-"Verteilen von Updates
- Einsammeln von "Virenberichten".
An der Stelle fehlt wirklich eine zentrale Konsole. Im Client gibt es anscheinend nicht mal einen minimalen Prozess, der eine Aktion auf einem zentralen IIS ausführt (z.B. ein einfacher GET). Insofern wird eine Überwachung immer über eine Art "Agent" auf dem Client erfolgen müssen.
Wer neuere Versionen von Windows einsetzt, kann über den Taskmanager z.B. entsprechende Events hinterlegen, die eine Aktion anstoßen, wenn ein Eintrag im Eventlog erscheint (z.B. Update erfolgt, Virus gefunden) und diesen meldet. Seit Windows Vista/2008 können Sie auch Eventlog Forwarder konfigurieren, die bestimmte Meldungen an einen zentralen Server weiter geben. FEP selbst hat aber eben keine eigene selbständige Konsole. Es gibt aber erste Ansätze, dass hier jemand etwas dazu entwickelt, wenn eine Firma zwar FEP aber eben nicht SCCM/SCOM einsetzen will, z.B.
Installation
FEP ist relativ schnell und einfach installiert. Hier meine persönlich "Schritt für Schritt"-Anleitung ohne die Integration von SCCM, SCOM und WSUS
Arbeitsschritt | Erledigt |
---|---|
Gruppenrichtlinien einrichten. Der erste Schritt ist aus meiner Ansicht die Konfiguration des FEP per Gruppenrichtlinien. Damit sind die Dienste nach der Installation gleich "richtig" konfiguriert"
|
|
Installationsquellen bereitstellen und verteilen Je nach Art der Verteilung muss dann die Installation des FEP-Clients auf den Zielsystemen erfolgen. Stellen Sie bitter sicher, dass kein anderes AV-Produkt installiert ist und einen Konflikt darstellen könnte. Forefront erkennt verschiedene Wettbewerber und einige Produkte werden auch automatisch deinstalliert. Danach ist FEP auf dem System installiert und sollte unten in der Taskleiste auch sichtbar sein. |
|
Update und Scan Nach der Installation sollten Sie erstmalig die Pattern-Dateien aktualisieren und einen Full-Scan laufen lassen. Wer weiß schon, welche "versteckten" Probleme auf dem Server sich in der Vergangenheit hinterlassen haben. |
|
Überwachung Für den Dauerbetrieb sollten Sie sicherstellen, dass ihre Überwachungslösung die FEP-Events auswerten und auf Events bzw. fehlende Events reagieren kann. Jeder Server sollte ab und an einen "2000"er für aktualisierte Pattern-Dateien melden und ein 1116-Eintrag für einen Vorfall sollten Sie eskalieren. |
|
Wer natürlich SCCM verwendet, kann ein andere Installation nutzen, um dann per SCCM den FEP-Client zu verteilen und wer mit SCOM seine Server und Clients überwacht, wird hier einfach auf dem SCOM-Server das FEP Management Pack installieren.
FEP Eventlog Einträge
Dreh und Angelpunkt ist das Eventlog und das Einsammeln dieser Daten. Performance Counter konnte ich keine entdecken.
Eventlog | Typ | Quelle | ID | Bedeutung |
---|---|---|---|---|
Application |
Information |
Microsoft Security Client Setup |
100 |
Installation erfolgreich |
Application |
Fehler |
Microsoft Security Client Setup |
100 |
Installation abgebrochen |
Application |
Information |
Microsoft Security Client |
1000 |
Richtlinie erfolgreich angewendet |
System |
? |
Microsoft Antimalware |
1001 |
Richtlinie konnte nicht angewendet werden |
System |
? |
Microsoft Antimalware |
1005 |
Malware-Scan ist auf einen Fehler gelaufen und wurde gestoppt |
System |
Information |
Microsoft Antimalware |
113 |
Verlauf wurde gelöscht |
System |
Warnung |
Microsoft Antimalware |
1116 |
Ereignis aufgetreten (Virus o.ä. gefunden) |
System |
Info |
Microsoft Antimalware |
1117 |
vorgesehene Aktion wurden ausgeführt |
System |
? |
Microsoft Antimalware |
1118 |
vorgesehene Aktion ist fehlgeschlagen |
System |
? |
Microsoft Antimalware |
1119 |
vorgesehene Aktion mit einem unkritischen Fehler abgeschlossen |
System |
Fehler |
Microsoft Antimalware |
2000 |
Update der Pattern ok |
System |
Fehler |
Microsoft Antimalware |
2001 |
Update der Pattern fehlgeschlagen |
System |
Information |
Microsoft Antimalware |
2002 |
Update der Engine OK |
System |
Information |
Microsoft Antimalware |
5007 |
Änderung der Konfiguration |
Hier mal ein Beispieleintrag eines gefundenen Virus
Als Entwickler muss ich natürlich den Kopf schütteln, warum die Installation und der Abbruch einer Installation die gleiche EventID nutzen und nur über den Schweregrad zu unterscheiden sind. Auch nutzt FEP leider nicht die Möglichkeiten eines eigenen Eventlogs. Zumindest hat Microsoft alles Events sauber dokumentiert.
- Events and Errors - FEP
Client
http://technet.microsoft.com/en-us/library/hh144989.aspx - Forefront Client Security -
Event IDs
http://technet.microsoft.com/en-us/library/bb643195.aspx
Mit dem Einsatz des Configuration Manager sieht das dann anders aus
- FEP Alert Timing
http://technet.microsoft.com/en-us/library/gg675286.aspx
Hier wäre also noch Platz für ein Tool, wenn jemand FEP ohne SCCM/SCOM betreibt, um die FEP-spezifischen Events einzusammeln und an eine zentrale Stelle zu berichten. Leider hat der FEP-Client keine Komponente mehr, die Events selbst irgendwie irgendwo hin meldet. Sie sind also auf andere Produkte angewiesen, die lokale Events einsammeln und in einer zentralen Console anzeigen. Durch die Microsoft Brille ist dies natürlich System Center Configuration Manager, zumal die CAL in der "Core CAL Suite" (http://www.microsoft.com/calsuites/en/us/products/default.aspx) schon enthalten ist.
Windows Vista/7/2008 Eventlog Forwarding
Nun ist es aber so, dass Windows Vista, 2008, 7, 2008R2 mittlerweile selbst schon eine Funktion anbieten, um Eventlogs zu "sammeln. Sie können auf dem Client schon alleine mit Bordmitteln dafür sorgen, alle Eventlogs an einen anderen Server zu übertragen. Damit könnten Sie im Eventlog des zentralen Servers dann die Meldungen der Clients einsehen. Aber ein echtes "Reporting" ist dies natürlich nicht
- Überwachung Eventlog
- Ereignisabonnements
http://technet.microsoft.com/de-de/library/cc749183.aspx - Einrichten von Computern zum
Weiterleiten und Sammeln von
Ereignissen
http://technet.microsoft.com/de-de/library/cc748890.aspx - Konfigurieren erweiterter
Abonnementeinstellungen
http://technet.microsoft.com/de-de/library/cc749167.aspx
Vielen Firmen würde es aber sicher reichen, wenn der Client einfach eine Mail sendet, wenn etwas "nicht" geht. Auch das geht schon mit Windows Bordmitteln
- Wevtutil
http://technet.microsoft.com/en-us/library/cc732848(WS.10).aspx - Adding Actions to Events in
the Windows Event Viewer
http://www.ghacks.net/2011/03/15/adding-actions-to-events-in-the-windows-event-viewer/ - Event Trigger Example
(Scripting)
http://msdn.microsoft.com/en-us/library/aa446887(v=vs.85).aspx - How to send an email when a
Windows Event is logged
http://www.ee99ee.com/2011/01/16/how-to-send-an-email-when-a-windows-event-is-logged/
Das einzige, was dann noch fehlt ist die Information, wenn ein Client eben gar nicht zur Weiterleitung oder Alarmierung konfiguriert ist oder gar keinen Virenscanner installiert hat. Das ist durchaus eine ernste Fragestellung da viele Firmen tatsächlich keinen "Überblick" über ihre Clients haben und schon die Frage nach einer "aktuellen Liste", die man z.B. für die Verteilung von Updates und eben auch FEP und andere Produkte braucht, als unmöglich beantwortet wird. Das ist dann aber eine andere Aufgabenstellung, an deren Lösung wir natürlich gerne mitarbeiten.
FEP auf Exchange Servern
Ja, auch Exchange Server sollten eine Virenscanner für das System selbst haben und nicht nur einen Scanner für Exchange. Denn auch Exchange Server sind "Dateiserver" und welcher Administrator legt seine Hand dafür ins Feuer, dass er nicht selbst der Infektionsträger ist ?
Aber einfach mal so installieren ist keine gute Idee. Selbst Microsoft empfiehlt bestimmte Verzeichnisse und Prozesse statisch auszuschließen, weil der Virenscanner da eh nichts finden kann außer "False Positive" und der Schaden dann vielfach höher wäre. Microsoft rät dazu, folgende Verzeichnisse und Dateien auszuschließen.
- Exchange Server databases (.mdb and .stm files) and transaction log (.log) files (default location: \Exchsrvr\MDBData)
- Exchange Server .mta files (default location: \Exchsrvr\Mtadata)
- Exchange Server message tracking log files (default location: \Exchsrvr\Server_Name.log)
- Virtual server folders (default location: \Exchsrvr\Mailroot)
- Site Replication Service (SRS) files (default location: \Exchsrvr\Srsdata)
- Internet Information Service (IIS) system files (default location: \%SystemRoot%\System32\Inetsrv)
- Internet Mail Connector files (default location: \Exchsrvr\IMCData)
- The working folder that is used to store streaming temporary files that are used für message conversion. By default, this working folder is located at \Exchsrvr\MDBData
- A temporary folder that is used together with offline maintenance utilities, such as Eseutil.exe. By default, this folder is the location that you run the .exe files from, but you can configure this when you run the utility.
Die Liste alleine zeigt zum einen, dass man die Konfiguration unbedingt anpassen muss. Zudem sollten Sie die Pfade natürlich anpassen und Dienste, die es bei Exchange 2010 nicht mehr gibt (z.B. den SRS) entfallen lassen. Sie zeigt aber auch, dass dann der Betrieb eines Virenscanners auf dem Betriebssystems möglich ist.
- 943556 Recommended file and folder exclusions für Microsoft Forefront Client Security, Forefront Endpoint Protection 2010 or Microsoft System Center 2012 Endpoint Protection
- 328841 Exchange and antivirus software
- 245822 Recommendations für troubleshooting an Exchange Server computer with antivirus software installed
- Anti-Virus folder exclusions
have not been configured
http://technet.microsoft.com/en-us/library/aa997602(EXCHG.80).aspx - File-Level Antivirus
Scanning on Exchange 2010:
Exchange 2010 Help
http://technet.microsoft.com/en-us/library/bb332342.aspx - 943556 Recommended file and folder exclusions für Microsoft Forefront Client Security or Forefront Endpoint Protection 2010
Erkennungsleistung
Die Tatsache, dass ich seit dem Einsatz von Security Essentials bzw. nun FEP noch keinen echten Schaden hatte, ist natürlich weder repräsentativ noch hinreichend. Aber das ein oder andere Mal springt FEP schon an, wenn eine Webseite etwas installieren will oder ich meinen EICAR-Testvirus los lassen will.
Weitere Links
-
Forefront2010
Microsoft Lösung für Exchange Server - FEP Log Files
http://technet.microsoft.com/en-s/library/gg477022.aspx - Endpoint Protection Update
Rollup 1
http://technet.microsoft.com/en-us/library/ff823787.aspx - FEP Blog
http://blogs.technet.com/b/clientsecurity/ - FEP Capacity Planning
Worksheet
http://blogs.technet.com/b/clientsecurity/archive/2011/01/19/fep-capacity-planning-worksheet.aspx - Managing Microsoft Security
Essentials from the Command Line
http://www.verboon.info/index.php/2009/12/managing-microsoft-security-essentials-from-the-command-line/ - Microsoft Security
Essentials
hhttp://en.wikipedia.org/wiki/Microsoft_Security_Essentials - Using the MSCSupport tool to
collect data für troubleshooting
http://blogs.technet.com/b/clientsecurity/archive/2011/02/01/using-the-mscsupport-tool-to-collect-data-for-troubleshooting.aspx - Truesec LMS
http://lms.truesec.se/lms - http://www.forefrontblog.nl/2011/02/21/fep-2010-sccm/