Skräddarsy säkerhetsrapporter från Endpoint Protection

Posted on 7 maj, 2013 by

Forefront Endpoint Protection och System Center Endpoint Protection och dess centrala övervakning i System Center Configuration Manager ger möjligheten att genera en hel del rapporter med fördefinierade inställningar för vilken data den skall hämta. En viss del av den här informationen kan även exporteras till Excel och dylikt vilket är tillräckligt i det flesta fall.
Dock kan det finnas verksamheter som har specifika krav både på vilken data de vill ha rapporter på och i vilket format. Tack vare att all data från Endpoint Protection sparas i en SQL kan vi använda SQL reporting service och SQL Report Builder för att skräddarsy exakt det data vi vill ha ut.
Med hjälp av rätt SQL querys kan vi även hitta samband för att identifiera mönster hur maskinerna blir smittade, exempelvis mellan identifierade virus och version av operativsystem.

Här kommer en guide och ett exempel på hur man kan använda SQL 2008 R2 Report Builder. I mitt fall använder jag FEP 2010 och Configuration Manager 2007, då den här version har minst antal färdiga rapporter by default.

Börja med att surfa till den SQL reporting server som du använder för Endpoint Protection:

Gå mot sökväg http://<sqlserver>/reports

image

Klicka på ”Report Builder”

image

Klicka på New Report -> Table or Matrix Wizard

Välj next (Create a dataset)

Välj next (Data source skall vara markerad med automatik)

Design a query

Välj vilken data du vill använda.

image

Vill du ha mer än en tabell behöver du sätta upp en relation mellan dessa för att koppla samman tabellerna.

Klicka på Add Relationship (1) och välj de två tabeller som du vill knyta ihop på ”Left Table” (2) respektive ”Right Table” (3) och dubbelklicka på ”Join Fields” (4).

Klicka på ikonen ”Add Field” (5) och välj de två fälten du vill knyta ihop.

image

I mitt fall ville jag ha ut all skadlig kod som på träffats, detaljer om eventuella filer/sökvägar finns samt vilka datorer som har blivit smittade och vilka användare som har varit inloggade vid tidpunkten.

Jag har jag kopplat ihop tre tabeller

  • dtFEP_AM_ComputerInfectionStateContributor
    För att få reda på detekterad skadlig kod, sökväg, process, detektionstid

  • dtFEP_AM_TreatMetadata
    För att få ut namnet på malwaret

  • dtFEP_Common_Computer
    För att få information om datorn där malwaret påträffats med information om Domän, Operativsystem och klient version

  • dtFEP_Common_User
    För att få ut information om användaren som var inloggad vid tidpunkten som malwaret påträffades

image

Nästa steg handlar om att välja ut vilka fält du vill bygga upp dina tabeller med och hur de vill sortera dessa. I mitt fall vill jag sortera detta på skadlig kod och namnet på denna.

image

Nästa steg väljer vi vilket utseende tabellen skall ha och klickar sedan på Finish

image

Vår rapport öppnas då i Microsoft SQL Server Report Builder
Här kan vi ange valfri rubrik och finslipa på utseendet av rapporten

image

När du är nöjd generar du rapporten

image

Den här rapporten kan du generera hur många gånger som helst för att hämta in ny data och vill du konvertera till exempelvis Excel eller annat format så kan du enkelt få ut motsvarande information i det formatet du önskar.

Publicerat i Forefront, System Center Endpoint Protecion | Lämna en kommentar

Endpoint Protection information

Posted on 8 april, 2013 by

Utvecklingen av Microsofts anti-malware(antivirus) fortsätter och imorgon kommer bl.a. en uppdatering med nya funktioner till Forefront Endpoint Protection 2010 och System Center 2012 Endpoint Protection. På System Center team-bloggen kan vi läsa om följande tre nyheter:

  1. Anti-tampering improvements
    Det här är en funktion som enkelt förklarat skyddar mot att vilande programkod inte manipuleras/förändras och den här har nu förbättrats ytterligare för att ge ett bättre skydd.
  2. Ny malware remedition functionalitet
    Redan idag är standardåtgärderna för skadlig kod i virusdefinitionen för att på sätt kunna avgöra om filen kan raderas eller bör placeras i karantän för att inte påverka något verksamhets kritiskt. Exakt vad den här nyheten innebär skall bli intressant att se.
  3. Improve overall performance
    Trots att Microsofts är ett av de antimalware som tar minst prestanda så fortsätter man optimera produkten för att den skall påverka prestandan så lite som möjligt.

Om du kör Endpoint Protection stand-alone kan du ladda ner nya versionen imorgon via Microsoft Update.

System Center 2012 Endpoint Protection på Mac eller Linux

SCEPMAC

I och med System Center Configuration Manager 2012 Service Pack 1 fick vi även stöd för att köra System Center 2012 Endpoint Protection på Linux/Unix system och Mac OSX. Det är dock inte supporterat och möjligt att köra Endpoint Protection på alla plattformar eller versioner från Apple eller Linux/Unix. En beskrivande kb-artikel över vilka plattformar som suppertas i dagsläget finns nu framtagen i kb nummer 2798547

Publicerat i System Center Endpoint Protecion | Märkt | 1 kommentar

File Access i UAG efter Service Pack 3

Posted on 1 mars, 2013 by

De som publicerar ett file share i Forefront UAG kan få problem att nå sharet från en klient som sitter med Internet Explorer.

image

Det här har att göra med endpoint kontrollen som verifierar vilken webbläsare en klient använder.
För att lösa det här problemet behöver man göra en förändring i filen Default.asp som finns under
%ProgramFiles%\Microsoft Forefront Unified Access Gateway\von\FileAccess

Det finns en del förslag på ändringar runt om på olika forum och bloggar men den korrekta ändringen som jag fått av Erez Ben-Ari som är Support Escalation Engineer på Microsoft skall vara att ändra rad 20 i Default.asp till följande:
ver = parseInt(lowerAgent.substr(lowerAgent.indexOf(”msie”)+5,2))
Istället för tidigare:
ver = CInt(lowerAgent.substr(lowerAgent.indexOf(”msie”)+5,2))

Genomför ändringen och aktivera sedan konfiguration via UAG konsolen.

Publicerat i Forefront UAG | Märkt , , | Lämna en kommentar

Forefront UAG är nu kompatibelt med Windows 8 och IE 10

Posted on 20 februari, 2013 by

Här kommer roliga nyheter direkt från Microsofts huvudkontor i Seattle där jag nu befinner mig.

Äntligen så har Service Pack 3 till Forefront Unified Access Gateway (UAG) nu släppts till allmänheten.
Vi på Onevinn har fått fördelen att testa betan av SP3 under en tid, vilket har varit väldigt lyckat.

Absolut största och viktigaste nyheten som de flesta har längtat efter är att få klientstöd för

  • Windows 8
  • Internet Explorer 10
  • RDP 8.0 klienten.

Det fungerar nu utan problem att köra från din Windows 8 klient mot UAGn och nå alla resurser du behöver.
Även fast det har fungerat att köra DirectAccess från Windows 8 mot UAGn så är det först nu i Service Pack 3 som det är fullt supporterat.

UAGSP3IE10

Det är heller inga problem att köra från en Windows 8 RT platta, dock så behöver du köra IE 10 i desktop läge för att få stöd för ActiveX för exempelvis RDP funktionalitet.

UAGmetro

UAG SP3 innehåller även nya mallar för att publicera Exchange 2013 och SharePoint 2013

image

Så gör dina Windows 8 -användare riktigt lyckliga och uppgradera din Forefront UAG.
Service Pack 3 finner du här: http://www.microsoft.com/en-us/download/details.aspx?id=36788

Det har även publicerats en artikel om UAG SP3 som beskriver UAG funktioner med alternativa tekniska lösningar istället för UAG. Dock har det blivit en del missuppfattningar att dessa funktioner inte längre finns eller är supporterade med SP3. Mer information finns på Onevinns blogg: http://blogg.onevinn.se/2013/02/28/service-pack-3-for-uag-ytterligare-information/

Publicerat i Forefront UAG | Märkt | Lämna en kommentar

JOBBA HEMMA-DAGEN

Posted on 6 februari, 2013 by

Idag är det ”jobba hemma-dagen” där många företag är med och sponsrar att anställda skall ges möjlighet att jobba hemma och kanske till och med stänga ner kontoret.

clip_image001

Microsoft skriver bland annat:
Vi som stöder den är företag som vill förändra synen på arbete – från en plats man går till, till något man gör. Vi ser det som vårt ansvar att gå i bräschen för en kultur där medarbetare är medmänniskor, där vi värdesätter prestation framför närvaro. Där vi erbjuder teknik som gör att vi kan arbeta när, var och hur vi vill. Så att människor får mer tid och naturen lite andrum.
http://www.microsoft.com/sverige/dna/jobba-hemma-dagen/default.aspx

Vilken teknik erbjuder då Microsoft för att jobba hemifrån eller från andra platser än själva kontoret?

Det gäller att hitta en balansgång att kunna jobba på distans så enkelt och smidigt som möjligt med hög säkerhet. Alternativen är många då det finns flera lösningar från Microsoft att kunna jobba på distans, och så gott som alla har redan produkter och licenser på plats för att få till en säker lösning för distansarbete.
Några exempel på dessa lösningar finner ni här

DirectAccess

image

Det absolut bästa alternativet om man har många klienter som jobbar på distans mot företagsnätverket är DirectAccess. Många ser den stora fördelen att klienten alltid är ansluten mot företaget och når de resurser den behöver så länge det finns Internetanslutning. Självklart underlättar ju detta för användaren men rent krasst går detta att åstadkomma med traditionell VPN också.
Den absolut största fördelen är att företaget alltid kan hantera sina klienter vart de än befinner sig och ha kontroll över maskiner som aldrig är på det fysiska företagsnätverket. Det är viktigt att inte glömma bort vikten av att ha kontroll över sin maskinpark och särskilt över de klienter som oftast är anslutna till Internet utanför företaget och dess säkerhetslösningar.
Det enda som behövs för att få upp en fungerande Direct Accesslösning är klienter med Windows 7 (Ultimate, Enterprise) eller Windows 8 (Enterprise) och antingen Forefront UAG eller Windows Server 2012.  Så har du detta är det inget att fundera på! Kör hårt ;)

VPN

clip_image002

Traditionell VPN är även det en bra metod att nå sitt företagsnätverk och med tanke på att alla Windows operativ har en inbyggd VPN klient krävs heller ingen installation på klienterna. Rekommenderade VPN-servrar är antingen Windows Server 2012, Forefront UAG eller Forefront TMG. Vill man automatisera anslutningen till företaget kan man antingen konfigurera så att klienten kopplar upp sig vid inloggning i Windows eller första gången man startar webbläsaren.
I många fall vill man att klienterna skall följa surfpolicyn även på hemmaplan och att webbläsaren då kopplar upp till TMGn och surfar ut den vägen mot Internet för att skydda klientens internet access vart den än befinner sig.
Ett alternativ för utökad säkerhet är att använda smart card för användarna, det finns även andra lösningar för flerfaktorsautentisering med tredjepartsprodukter såsom PointSharp ID.

 

RDP (Remote Desktop Protocol)/Fjärrskrivbord

image

Det är skrämmande vanligt att köra ren RDP rakt över Internet för att nå interna servrar. Relativt förståeligt då RDP protokollet med fjärrskrivbord är ett grymt användarvänligt och smidigt sätt att jobba på en server eller en klient från distans. Beroende på vilka säkerhetskrav man har på företaget så kan det här faktiskt vara ett helt ok sätt att jobba på distans.

Här kommer några råd på vägen om du använder dig av RDP.

Först och främst, använd enbart detta på nyare operativsystem som har stöd för NLA, vilket står för Network Layer Authentication, som påtvingar en autentisering som måste bli godkänd innan RDP-sessionen etableras. Utan NLA sätts RDP sessionen igång innan autentisering har skett vilket gör att maskinen är mer sårbar mot DoS attacker med mera. 

Dock är RDP fortfarande en relativt osäker metod och det blir en hel del begränsningar att nå flera maskiner bakom en brandvägg.

En bra lösning som både höjer säkerheten och ger mer flexibilitet är TS Gateway (Terminal Services Gateway) som kom i Windows Server 2008 och som i Windows Server 2012 heter RD Gateway (Remote Desktop Gateway).
Med den här tekniken löser du många problem, bland annat tunnlas trafiken över HTTPS (TCP 443) istället för standard porten 3389 vilket krypterar trafiken på ett bättre sätt och även ger möjlighet att köra RDP bakom en brandvägg som bara släpper igenom HTTP/HTTPS trafik. För att höja säkerheten kan och bör du placera din TS/RD Gateway bakom till exempel en Forefront TMG för att få till pre-autentisering så enbart autentiserad trafik kommer fram till gatewayen och därifrån kan du då styra vem som får nå vilka servrar/datorer på insidan.

clip_image003
Inställningar för en konfigurerad RDP klient som ansluter mot en RD Gateway

Hälsovalidera klienterna med NAP

clip_image004

För att komplettera säkerheten är Network Access Protection (NAP) en grym funktion där du kan hälsovalidera klienterna och då kontrollera om klienten har ett aktivt och uppdaterat antimalware, brandvägg påslagen eller de senaste windowsuppdateringarna installerade. Det går även att anpassa NAP-klienten för att kontrollera i stort sett vad som helst på en klient. Det fungerar även att kontrollera om realtidsskydd är aktiverat med de senaste definitionerna med de flesta stora antimalwareprodukterna och alltså inte bara med Microsofts egna.
Genom att kombinera NAP med någon av de ovanstående teknikerna kan du ställa krav på klienten enligt IT-policyn, så när klienten ansluter med RDP, VPN eller DA så aktiveras den lokala brandväggen med automatik och realtidsskydded slås på. Vid VPN och DA kan du även ge en begränsad access om klienten inte är godkänd enligt NAPs säkerhetskrav så klienten når antimalwareservrar och andra manageringsservrar för att bli godkänd och då med automatik flyttas ut från karantän och få tillgång till det som den behöver efter att det som saknades åtgärdats.

Här visar jag hur det kan se ut med en Windows 8 som ansluter mot en TMG med NAP: http://itsäkerhetsguiden.se/2012/06/25/demo-av-windows-8-som-vpn-klient-mot-tmg/

 

Portal

image
När vi behöver nå företagsresurser från alla typer av enheter så brukar ju den gemensamma faktorn vara att man har en webbläsare av något slag.
Med Forefront Unified Access Gateway (UAG) kan du publicera de flesta interna tjänsterna inklusive fjärrskrivbord, filutdelningar med mera som då nås via din webbläsare.
En stor fördel med UAGn är att du kan publicera de olika tjänsterna i webbportalen och ge olika typer av behörighet baserat på vem som loggar in och ifrån vilken klient. På det sättet kan du ge olika behörighet för en användare om han surfar från en företagsdator, iPad/Android-platta eller kanske från ett internetcafe i Thailand.

Läs mer om Forefront UAG på ITSäkerhetsguiden.se/UAG

Publicerat i Microsoft Event | Märkt , , | Lämna en kommentar

Forefrontbloggen blir nu IT-säkerhetsguiden!

Posted on 30 januari, 2013 by

Microsoft fortsätter att utveckla säkerhetslösningar. Men för att istället som tidigare, när man paketerat det i säkerhetssviten Forefront, är det mer integrerat i befintliga produkter och plattformar. Både en för- och nackdel, det är klart att det blev enkelt när säkerhetsprodukterna var samlade inom en svit, men samtidigt spänner sig säkerhetsfunktionerna över alla produkter och tjänster från Microsoft, så oavsett vad man använder så finns säkerheten där.
Självklart skall säkerhetsfunktionerna konfigureras utefter verksamheten för att nå rätt säkerhetsnivå och det är precis guider för detta du finner på denna webbplats.
Forefront TMG och UAG kommer fortfarande ligga i fokus då det är den brandvägg och (reverse) proxy som är aktuell idag.
Det kommer också bli mycket om de nya säkerhetsfunktionerna i Windows Server 2012, Windows 8 och naturligtvis Active Directory.
Redan nu finns även en flik för AD RMS som handlar om informationsskydd.

Hur hittar man hit?
Den nya adressen är itsäkerhetsguiden.se (Japp, det fungerar faktiskt med ä, men anger du itsakerhetsguiden.se så fungerar även detta).
Är du lat finns det också en förkortad URL med adressen: itsg.se

Det finns fler säkerhetsfunktioner än de flesta vet om!
Det är fortfarande många som är omedvetna om all säkerhetsfunktionalitet som Microsoft levererar och som de flesta företag också redan betalar för i sina licensavtal. De flesta företag och myndigheter har dubbla licenser och betalar dyra och onödiga pengar till tredjepartsleverantörer, allt ifrån antivirus och brandväggar till diskkryptering och VPN-lösningar, trots att de kan få minst lika hög säkerhet, bättre användarupplevelse och förenklad administration med Microsoftlösningar.
Ett klassiskt exempel är klientoperativet Windows. Alla senare Windowsoperativ har en inbyggd VPN klient, lokal brandvägg, diskkryptering (beroende på licensavtal), webbfilter och Windows 8 kommer nu även med förinstallerat Antivirus/Antimalware. Sedan finns det många fler säkerhetsfunktioner som tillsammans gör att klienten når de säkerhetskrav som verksamheten kräver.

Den här bilden illustrerar några av de säkerhetsfunktioner som finns idag.

clip_image001[6]

Publicerat i Okategoriserade | Märkt | 1 kommentar

Nyheter i Endpoint Protection i Configuration Manager 2012 Service Pack 1

Posted on 18 januari, 2013 by

image

Det finns både för och nackdelar med att man hanterar Endpoint Protection lokalt via System Center Configuration Manager. En av de absolut största fördelarna är att man har en och samma konsol för all hantering av klienter och servrar och att man då också kan få mer specifika antimalwareåtgärder baserat på alla den information som Configuration Manager har av klienterna. Exempelvis om man vill påtvinga en fullscan av alla klienter som har en vissa applikation installerad osv.

En nackdel är dock att Endpoint Protection är beroende utav samma förvaltningsrutiner som finns för övrig hantering av miljön och då de tidsbegränsningarna som finns i Configuration Manager. Dessa tidsbegränsningarna har dock minskat för varje ny version av Configuration Manager sedan Forefront blev integrerat i Configuration Manager 2007 och vi har nu riktigt trevliga nyheter som nu har kommit i Service Pack 1 till system Center Configuration Manager 2012.

Vi har nu en hel del antimalwarerelaterade åtgärder som genomförs i så gott som realtid på klienterna. Inom någon sekund så kommer följande åtgärder vidtas av Endpoint Protection när de aktiveras från Configuration Manager:

  • Köra en full scan av en maskin för att göra en djup genomsökning av skadlig kod
  • Köra en quick scan av en maskin att bekämpa skadlig kod på de vanligaste lokationerna utan att ta någon märkvärd prestanda av maskinen
  • Trigga en kontroll för att ladda hem de senaste antimalwaredefinitionerna
  • Återställa filer som hamnat i karantän

image

Vi har också fått en nyhet som förenklar för våra konfigurationpolicies till Endpoint Protection.
Tidigare har man fått skapa en konfigurationspolicy per maskin där man t.ex. använt färdiga policymallar för standard undantag för bl.a. en SQL server eller IIS server och om man då haft en server med båda dessa roller har man fått skapa en egen policy för de maskinerna.
En nyheter i Service Pack 1 är att man nu kan applicera flera policys till samma maskin och istället för tidigare (där man gick efter policyns prioritetsordning) så slår numera alla policys och dess undantag på maskinen. Det här både underlättar för administrationen och minskar antal policys och ger bättre översikt i gränssnittet.
Om det finns andra inställningar än just undantag för t.ex. schemalagda scanningar i flera policies som slagit på en och samma maskin så är det fortfarande prioriteringsordningen som avgör vilken inställning som slår.

En annan nyheter har att göra att man numera centralt kan avgöra åtgärdsordning när flera typer av skadlig kod påträffas.
Via konsolen redovisas vilka virus och annan skadlig kod som påträffats och därifrån kan man enkelt definiera vilket malware som skall hanteras först och då också vilken åtgärd som skall tas, exempelvis om man vill vidta fördefinierad åtgärd som radering eller karantänplacering eller helt enkelt markerar den som oskadlig.

Det kom en viktig uppdatering till Service Pack 1 dagen efter dess release som är väldigt viktig att lägga på. Service Pack 1 till ConfigMgr 2012 finns att ladda hem från TechNet/MSDN och volymlicenssidan. Läs mer om SP1 och även om nyheterna i Windows Intune på produktbloggen

Ladda hem viktig fix vid installation av SP1 från kb2801987

Publicerat i System Center Endpoint Protecion | Märkt | Lämna en kommentar