Le futur de la gamme de produits de sécurité ForefrontStanislas Quastana, CISSPArchitecte InfrastructureMicrosoft Francehttp://blogs.technet.com/stanislas

Agenda

IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront

Forefront StirlingLes autres produits Forefront

Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway

SynthèseRessources utiles

Agenda

IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront

Forefront StirlingLes autres produits Forefront

Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway

SynthèseRessources utiles

Sécurité & accès, les défis actuels

Menaces en constante évolutionPlus sophistiquéesVolume en augmentationMotivées par le profit

Sécurité des SI plutôt fragmentéeDe nombreux produitsFaible interopérabilitéManque d’intégration

Administration et déploiements difficiles

Consoles multiplesFaible coordination entre le reporting et l’analyseCoût et complexité souvent élevés

Vue d’ensemble de la gamme Microsoft Forefront aujourd’huiProtection du périmètre

ISA Server 2006Intelligent Application Gateway 2007

Protection des serveurs de collaboration

Forefront Security for ExchangeForefront Security for SharePointForefront Security for OCSForefront Management Console

Protection des systèmes Forefront Client Security

AntivirusAntispyware+ évaluation de sécurité

Antivirus(multi moteurs)& Filtrage de contenu

Proxy WebReverse ProxyVPN

Évolution de la gamme Forefront(les petits nouveaux qui arrivent)Protection du périmètre

Forefront Threat Management GatewayForefront Unified Access Gateway

Protection des serveurs de collaboration

Forefront Security for Exchange v11Forefront Security for SharePoint v11

Protection des systèmes Forefront Client Security v2

Et surtout

Agenda

IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront

Forefront StirlingLes autres produits Forefront

Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway

SynthèseRessources utiles

Objectif de Forefront Stirling

Permettre une protection unifiée de votre Système d’Information

Quelques exemples pour illustrer tout ça

Exemple 1 : situation actuelle(ou presque vu qu’IIS est plutôt robuste depuis sa version 6.0 ;-) )

Protection périmétrique

WEB

Pirate

WEB

Serveur Web

Serveur de stockage

IIS oublié, pas à jour

Descente d’outils

de hacking

Code d’exploitati

on d’IIS connu

Utilisation du

serveur pour

distribuer des

logiciels illégaux

Téléchargement de logiciel

illégal

Exemple 2 : avec Stirling

Protectionpérimétrique

WEB

Pirate

WEB

Serveur Web

Serveur de stockage

IIS oublié, pas à jour

Descente d’outils

de hacking

Code d’exploitatio

n d’IIS connu

Utilisation du

serveur pour

distribuer des

logiciels illégaux

ForefrontClient

Security NAPActive

Directory

Quarantaine

Bloquer Email

Bloquer

Réinitialiser le compte

Administrateurde la sécurité

Canal d’évaluations de sécurité (Security Assessments Channel)

VulnérableOrdinateur IIS-OLDFidélité ElevéeGravité ElevéeExpiration : Mer

Stirling

Core

CompromissionOrdinateur IIS-OLDFidélité Elevée Gravité ElevéeExpiration: Mer

CompromissionUtilisateur: IIS-AdminFidélité MoyenneGravité ElevéeExpiration : Mer

CompromissionOrdinateur IIS-OLDFidélité ElevéeGravité ElevéeExpiration : Mer

CompromisionOrdinateur Storage-ServerFidélité ElevéGravité MoyenneExpire: Mer

Alerte

Forefront Server for:Exchange, SharePoint

OCSAnalyses antimalware fréquentes

FCS marque l’utilisateur sur le serveur IIS

comme compromis

FCS détecte que le serveur IIS

n’est pas à jour

FCS détecte de multiples logiciels

malveillants sur le serveur IIS

TMG détecte une exploitation

ciblant la machine IIS

Forefront TMG détecte une

utilisation excessive du réseau sur la

machine de stockage

Téléchargement de logiciel

illégal

Problème (ex: machine compromise)

Fidélité élevée Fidélité moyenne

Fidélité basse

Gravité élevée

Alerte (priorité haute)Analyse complète FCSBlocage de l’accès Internet TMG

Alerte (priorité moyenne)Analyse rapide FCSRestriction d’accès TMG

Analyse rapide FCS

Gravité moyenne

Alerte (priorité basse)Restriction d’accès TMG

Analyse rapide FCSAugmentation de l’audit de TMG

Gravité faibleAugmentation de l’audit de TMG

Réponse dynamique définie par stratégie

Alerte Audit AnalyseProtectio

n

Réponse dynamique définie par stratégie

Objectifs avec Forefront Stirling :Automatiser un processus manuel souvent existantAccélérer l’application du processus

Faire une abstraction du niveau de détails et se concentrer sur l’évènement/alerte en terme de :

FidélitéGravité

Une politique de réponse par défaut est présente et modifiable

Forefront « Stirling » est une infrastructure comprenant…

Un serveur avec une console d’administration centralisée et de supervision

le serveur Core Forefront Stirling

Les prochains produits de la gamme Forefront

Antimalware pour la protection des systèmesAntimalware pour la messagerieAntimalware pour portail collaboratifPasserelle de sécurité

Des serveurs assurant la conformité des postes

Serveurs de mise à jourServeurs de politique réseau

Produits Forefront intégrés avec Forefront Stirling

Dans la version actuelle (beta 2)Forefront Threat Management GatewayForefront Security for Exchange v11Forefront Security for SharePoint v11Forefront Client Security v2

Actuellement il n’y a pas encore d’intégration pour

Forefront Security for Office Communication ServiceForefront Unified Access Gateway

Forefront Stirling : principe

Protection des systèmes (postes et serveurs)

Protection des applications

serveurs

Protection du périmètre

« v2 »

Remontée et partaged’informations

RéponseDynamique(en fonction de la gravité et la fidélité)

Administration / Supervision

Console Forefront Stirling

2 usages principaux Gestion des stratégies StirlingSurveillance et gestion de rapports

Autres usagesInvestigation

Modèle de gestion unifiéeModèle de gestion par stratégies

Définition de stratégies de sécurité uniques qui s’appliquent sur plusieurs ciblesUn seul moteur de règlesCalcul du résultat d’application des politiques à l’aide d’un outil “RSOP” dans la console

Découverte centralisée Utilisateurs depuis l’Active DirectoryMachines depuis System Center Operations Manager

Gestion simplifiée des biens (assets : machines ou utilisateur protégés par un logiciel Forefront)

Regroupement flexibleRecherche sur critères multiples et dynamique des cibles

Assets et groupes dans Stirling

Asset = ordinateur ou utilisateur

Un groupe d’Assets est défini par une requête écrite en GDL (Group Definition Language)

le contenu d’un groupe est donc dynamique

Exemples de requêtesFsys.ServerRole=ExchangeFsys.ADOU=‘OU=pcportables, DC=mondomaine,DC=com’

GDL – attributs StirlingAttribute Input

type Description

Multivalued

Discovered

FSys.NetbiosName StringNom NetBIOS dThe NetBIOS name of the asset.

No Yes

FSys.IsManaged Boolean

Whether or not there is a Stirling agent installed on the asset and managed by the Stirling server. Value can be either True or False.

No Yes

FSys.AssetId Int64Stirling asset identifier. This read-only attribute is automatically created for the asset.

No No

FSys.DnsFqdn StringThe Domain Name System (DNS) FQDN for the asset.

Yes Yes

FSys.IPv4 String The TCP/IP V4 address of the asset. Yes No

FSys.ADDomain StringThe Active Directory domain to which the asset belongs.

No Yes

FSys.ADOU StringThe Active Directory organizational unit (OU) in which the asset resides.

Yes Yes

FSys.ADGroup Sid (string)An Active Directory group of which the asset is a member.

Yes No

FSys.SID Sid (string) The SID (security identifier) of the asset. No No

FSys.GroupBy String or integer

Custom multivalued attribute that can contain any string value. Limited to 256 characters/integers.

Yes No

FSys.ServerRole StringStirling server roles discovered on the asset by the Stirling agent.

Yes

Yes (Only Exchange 2007 is discovered)

FSys.AssetCriticality

Int32 The criticality of the asset. No No

Stratégies Stirling

Les stratégies Stirling permettent de définir les paramètres ou configuration à déployer pour les postes managés ou des utilisateurs

Une stratégie est constituée de une ou plusieurs unités de stratégies (policy unit)Il existe des unités de stratégies relatives à FCS v2, au pare-feu Windows, à NIS, à NAP…

Une fois une stratégie définie, il faut la lier à un ou plusieurs groupes (requête GDL)

Une machine ou un utilisateur peuvent donc être concernés par plusieurs politiques.Il existe une notion de priorité des stratégies

Stratégies Stirling

Déploiement des stratégies

Forefront Stirling distribue ses stratégies aux ordinateurs en leur envoyant un fichier de règles (Management Pack) SCOM 2007

Répertoire C:\Program Files\System Center Operations Manager 2007\Health Service State\Management Packs

Stratégies Stirling vs Stratégies de groupes Active Directory

Vitesse d’application bien plus rapide sur Stirling

GPO Active Directory : 90 minutes par défautStratégies Stirling via SCOM 2007 R2 : quelques minutes

PowerShell dans Stirling

La console “Stirling” s’appuie à 100% sur PowerShell

Tout ce qui est visible sur l’interface graphique est “scriptable”Permet d’automatiser les tâches d’administration de la sécurité

Plus de 100 Cmdlets disponibles Gestion des groupes (création, modification, suppression)Génération de rapports…

Agenda

IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront

Forefront StirlingLes autres produits Forefront

Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway

SynthèseRessources utiles

Forefront Client Security v2

FCS v2 est le successeur de Forefront Client Security

FCS v2 fonctionne avec Forefront Stirling pour :

Le déploiement des stratégies de configurationLa surveillanceLa génération de rapports

FCS v2 ne dispose pas de console d’administration spécifique, il nécessite la console Forefront Stirling

Nouveautés FCS v2

Technologies déjà présentes en version 1Antimalware (AM) – antivirus et antispywareSecurity State Assessment (SSA)Contrôle de conformité (SHA NAP)

Nouvelles fonctionnalitésConfiguration du pare-feu de WindowsNetwork Inspection System (NIS)

« Sorte d’IPS » s’appuyant sur un système de modélisation des vulnérabilités connues

Système de gestion des logiciels autorisés (ASM)

Aide à la constitution de “listes vertes”

Intégration avec “Stirling”

Network Inspection

System (NIS)

Aide à la protection contre les Zero-day

Blocage, suppression des logiciels malveillants

Antivirus/Antispyware

Pare feu personn

el

Restriction des actions applicatives

Réduction des surfaces d’attaqueÉvaluation des vunérabilités

(SSA)

Collaboration avec les autres produits Forefront

Forefront “Stirling”Réponse

Dynamique

Aide à la protection contre les Zero-day

Authorized Software

Management (ASM)

Protection unifiée : couverture

Proactif

Réactif

Network Inspection System (NIS)

Détection à base de signatures de trafic malveillant

Basé sur un projet de recherche Microsoft (GAPA)

Generic Application Protocol Analyzer

Distribue des signatures de vulnérabilités (ex: MS08-33), et non des signatures d’“exploits” (type Snort)A chaque sortie de bulletin de sécurité on aura

La mise à jour de sécurité ET les signatures NIS associées

Permet de faire “gagner du temps” aux responsables sécurité lors de la mise à disposition de nouveaux correctifs (« Tuesday Patch »…)

Disponible sur Forefront TMG et FCS v2

Stratégie(s)

SIGNATURE, UPDATES

MicrosoftUpdate

Architecture FCS v2

Stratégie(s)

Evèn

em

en

ts

Network AccessProtection (NAP)

Forefront Client Security v2

Infrastructure nécessaire

Rapports

Groupes

Gestion centralisée

Par défaut, FCS v2 permet à l’utilisateur de modifier la configuration de la protection

L’administrateur peut restreindre l’interface de l’utilisateur de manière centralisée grâce à une stratégie Stirling

Agents présents sur le clientSCOM 2007 Agent

Seulement un véhicule de "transport"Reçoit les politiques de sécurité et les demandes de tâches

Envoie des évènements vers la console Stirling

Sur le poste client on retrouve des infos sur les mises à joursDans le journal des événements

Dans le répertoire cité dans un slide précédemment

Forefront System Agent (aka Stirling Agent)C’est un "dispatcher"

Il coordonne les communications entre le serveur Stirling Core et les technonologies de protection

Il communique avec l’agent SCOM et les APTs (Asset Protection Technology)

Asset Protection TechnologyIls font le “travail”

Forefront Host Protection (FCS)

Pare-feu Windows

Stratégie de groupe (GPO)…

Agenda

IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront

Forefront StirlingLes autres produits Forefront

Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway

SynthèseRessources utiles

Forefront Security for ExchangeVersion 11Antivirus et antispyware

Quelques changements dans le nombre de moteurs

Nouveau : gestion de l’anti spamRappel : la v10 ne fait que l’antivirus et le filtrage de contenu

Intégration avec Exchange Hosted FilteringSolution hébergée de filtrage (antivirus, anti spam, filtrage de contenu)Solution avec niveaux de services contractuels

Forefront Security for SharePointVersion 11Support de la prochaine version de

SharePoint et de la version actuelleNouvelle interface d’administrationIntégration avec Forefront Stirling…

… et probablement plein d’autres nouveautés

Mais non divulguées pour l’instant

Agenda

IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront

Forefront StirlingLes autres produits Forefront

Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway

SynthèseRessources utiles

Forefront Threat Management Gateway (TMG)Successeur d’ISA Server 2006

Fonctionne sur Windows Server 2008 64 bits3 utilisations

Proxy Web : accès sécurisés vers InternetReverse Proxy : accès distants Web depuis InternetPasserelle VPN : nomade ou site à site

Plein de nouveautésIntégration avec Forefront StirlingNetwork Inspection SystemAntimalware sur HTTP Inspection SSL…

1 heure sur le sujet, en fin d’après-midi à la session sur Forefront TMG ;-)

Plan de réponse avec TMG, FCSv2…

Suivi des incidents

Agenda

IntroductionLes défis en terme de sécurité & d’accèsVue d’ensemble de la gamme Forefront

Forefront StirlingLes autres produits Forefront

Forefront Client Security v2Forefront Security for ServersForefront Threat Management Gateway

SynthèseRessources utiles

Synthèse

Protection unifiéeProtection à plusieurs niveaux dans l’entrepriseTechnologies de protection qui partagent les informations

Administration rationnaliséeUne seule consoleDéfinition d’une seule stratégie de sécurité à travers plusieurs technologies (Forefront TMG, FCSv2, prochaine version Forefront Security for Exchange, Forefront Security for SharePoint…)Déploiement rapide des signatures, stratégies et logicielsIntégration dans l’infrastructure existante SCOM, SQL, WSUS, AD, NAP, SCCM

SupervisionConnaître et suivre l’état de sécuritéRapports completsIdentifier et corriger les risques de sécurité

Ressources utiles

Blog de Stanislas

http://blogs.technet.com/stanislas

Dans ce blog, cliquez Forefront Stirling, Forefront TMG, Forefront Security Client… dans la zone de tags pour accéder à toutes les informations complémentaires et les liens vers les documents de références.

Save the date for tech·days next year!

14 – 15 avril 2010, CICG

Classic Sponsoring Partners

Premium Sponsoring Partners