Microsoft Forefront Endpoint Protection 2010 — достаточно ли хорош антивирус Microsoft

Введение

Microsoft выпустила Forefront Endpoint Protection (FEP) 2010 в декабре 2010 года. Это второе предложение Microsoft в области антивирусной защиты, но первое, которое серьезно рассматривается корпоративными клиентами. Microsoft серьезно относится к антивирусному бизнесу? Следует ли вам рассмотреть возможность использования FEP в вашей организации, или ему все еще требуется больше времени «в духовке», прежде чем он будет готов к использованию в прайм-тайм?

Майкрософт и безопасность

За последние несколько лет Microsoft добилась больших успехов в области безопасности своих основных продуктов. Они вложили немало денег в жизненный цикл разработки безопасности (SDL), усилили безопасность настольных компьютеров и серверов Windows, SQL стал более безопасным, а также готовый к использованию Office. Однако «лучший в своем роде» подход к обеспечению безопасности всегда требует осторожности, чтобы не класть слишком много яиц в одну корзину. Многие считают, что балансируя риски между Microsoft (ОС) и другим поставщиком (например, Symantec, McAfee, Trend Micro) для обеспечения безопасности конечных точек, вы диверсифицируете свои возможности защиты.

Microsoft резко ворвалась в антивирусную сферу, выпустив Security Essentials в ноябре 2008 года. У них было несколько предыдущих предложений (Защитник Windows), но Security Essentials был первым, кто предложил полный антивирус и антивирусную защиту. бесплатное решение для шпионского ПО (Windows Live OneCare был недолговечным предшественником Security Essentials на основе подписки). Рекламируя себя как легкое, эффективное и точное решение для защиты от вредоносных программ, которое «держится в стороне», Security Essentials быстро завоевала долю потребительского антивирусного пространства. Microsoft утверждает, что Security Essentials не конкурирует с другими платными антивирусными программами, а ориентирована на 50-60% пользователей ПК, которые не имеют (или не будут платить) антивирусные и антивирусные программы. -защита от вредоносного ПО, по словам Эми Барздукас, старшего директора подразделения онлайн-сервисов и Windows в Microsoft. Ясно, что Microsoft делает что-то правильно; В феврале 2010 года мошеннический антивирусный пакет, называющий себя «Security Essentials 2010» и внешне почти идентичный Microsoft Security Essentials, попал в Интернет и заразил множество устройств по всему миру, маскируясь под популярный антивирусный продукт Microsoft. Легальный продукт можно получить здесь.

Forefront Endpoint Protection основывается на Security Essentials

Корпорация Майкрософт развила успех Security Essentials на предприятии, выпустив новый пакет Forefront Endpoint Protection 2010. Интерфейс Security Essentials показан на рис. 1. Философия Microsoft заключалась в том, чтобы инвестировать в разработку общего клиента между Security Essentials и Forefront Endpoint Protection. Таким образом, инновации и разработки между потребителем и корпоративными клиентами могут быть разделены, а общие функции могут быть легко интегрированы. Security Essentials и FEP также используют один и тот же модуль Microsoft Anti-Malware.

Рисунок 1: Клиент Microsoft Security Essentials.

По мере того, как все больше организаций оценивают свои контракты с различными поставщиками, продукты для обеспечения безопасности подвергаются все большему контролю. Специалисты по закупкам и финансовые отделы спрашивают: «Эй, если я могу иметь бесплатный антивирус на своем домашнем ПК, почему мы так много платим за него для наших корпоративных настольных компьютеров?» С FEP Microsoft обещает недорогое интегрированное антивирусное решение, которое сэкономит деньги и повысит эффективность. Это предложение действительно суммируется?

Структура FEP… Наряду с SCCM

Давайте углубимся в суть FEP: Forefront Endpoint Protection тесно интегрирован в System Center Configuration Manager (SCCM) 2007. Интерфейс FEP показан на рис. 2. Это отличная новость для пользователей SCCM. Теперь у вас есть интегрированное антивирусное решение, использующее агент SCCM, который вы уже развернули на своих настольных компьютерах или серверах. Если вы не используете SCCM, вам потребуется больше времени для обучения и больше инфраструктуры для развертывания. Обязательно ознакомьтесь с лицензионным соглашением Microsoft; вы можете владеть клиентскими лицензиями System Center Configuration Manager (CAL) и просто не использовать их. Это должно учитывать экономию средств на антивирусе.

Рис. 2. Консоль SCCM с интегрированным FEP

Итак, что дает вам использование SCCM с антивирусом? Подход Microsoft заключается в интеграции управления и безопасности в единую среду. Рассматривая антивирус как еще одну рабочую нагрузку (наряду с управлением исправлениями, распространением приложений, управлением конфигурацией и т. д.), компании теперь могут использовать единую консоль для управления антивирусом, одновременно интегрируя свою инфраструктуру для управления и безопасности. Идея развертывания антивирусного решения без дополнительной инфраструктуры может быть очень привлекательной, особенно на стороне клиента. FEP использует клиент SCCM для обновлений и связи клиент-сервер. Существующие точки распространения SCCM используются для распространения обновлений механизма, обновлений определений и обновлений самому клиенту. SCCM синхронизирует обновления определений из каталога Центра обновления Майкрософт, поэтому, если ваш клиент находится за пределами корпоративной сети, вы можете настроить его для проверки обновлений определений непосредственно из Центра обновления Майкрософт. Это позволяет клиентам оставаться в курсе последних событий и быть защищенными до тех пор, пока они подключены к Интернету.

Сам агент FEP довольно легковесен; когда ИТ-специалист развертывает FEP, можно даже использовать управляемый мастером интерфейс SCCM для автоматического удаления конкурирующих антивирусных решений (например, Symantec и McAfee) перед отключением агента FEP. Это обеспечивает довольно плавную миграцию, особенно при использовании целевых групп SCCM, которые, вероятно, уже созданы для распространения исправлений, упаковки приложений и т. д. FEP также поддерживает унифицированный рабочий процесс управления политиками, который позволяет создавать и применять политики из единого интерфейса. внутри SCCM.

С точки зрения масштабируемости интеграция с уже имеющейся инфраструктурой также выгодна. Традиционные антивирусные решения связаны с «затратами» на масштабирование (дополнительные серверы SQL, дополнительные узлы управления и т. д.). В настоящее время существуют развертывания SCCM, которые поддерживают более сотни тысяч клиентов. Это может быть неприменимо ко многим небольшим ИТ-средам, но знание масштабируемости помогает.

FEP использует ряд технологий в агенте для обнаружения вредоносного содержимого. В дополнение к традиционному механизму обнаружения на основе сигнатур существует поведенческий мониторинг, который обнаруживает аномальное поведение системы и анализирует данные о репутации для выявления потенциально неизвестных угроз. У FEP также есть так называемая «Система проверки сети», которая якобы блокирует использование уязвимостей на конечной точке, защищенной FEP, а также выполняет анализ сетевого трафика. Эти функции кажутся примерно сопоставимыми с возможностями обнаружения и предотвращения вторжений на основе антивируса и хоста, доступными в большинстве конкурирующих антивирусных продуктов.

FEP также позволяет управлять политикой брандмауэра Windows на основе хоста через интерфейс конфигурации политики SCCM, что позволяет настраивать безопасность конечных точек, а также разрешать или запрещать подключения. Пользовательский интерфейс для управления конфигурацией брандмауэра не так надежен, как в консоли управления групповыми политиками (GPMC), но базовую настройку можно выполнить с помощью SCCM.

Конфигурация агента FEP такая же, как и в других антивирусных клиентах, с «полным» и «быстрым» сканированием. Защита в реальном времени — это настраиваемый параметр, хотя его отключение не кажется хорошим вариантом для большинства корпораций. Подключенные диски можно сканировать, а исключения можно делать на основе имени файла, расширения файла и имени процесса. В общем, дает вам детальный контроль над агентом FEP. Обзор агента FEP можно увидеть на рисунке 3.

Рис. 3. Агент Forefront Endpoint Protection (FEP).

Резюме

Итак, каков вердикт? Если вы сегодня являетесь пользователем SCCM, вам следует тщательно изучить FEP. Понятно, что Microsoft потратила время на создание этого решения как интегрированной части SCCM, и эффективность управления антивирусом в этом интерфейсе может стоить того. Интеграция антивирусных обновлений в вашу инфраструктуру обновлений SCCM или WSUS, скорее всего, сократит использование полосы пропускания (точки распространения WSUS и SCCM используют протокол BITS для передачи обновлений). FEP также имеет интересную возможность «обновления дельта-определений», чтобы предоставить вашему клиенту только те определения, которые ему нужны, а не каждый раз загружать большой пакет определений. Если вы не используете SCCM, вы можете воздержаться от FEP (хотя технически возможно развернуть FEP без SCCM, управление и проблемы, такие как отсутствие отчетов и предупреждений, вероятно, не являются обязательными для большинства организаций). Тем не менее, при обсуждении цен с вашим текущим поставщиком антивирусных программ не помешает добиться наилучшей цены и рассмотреть возможность перехода от 3-летнего цикла обновления к 1-летнему циклу обновления, чтобы обеспечить большую гибкость, если вы захотите перейти на другое решение раньше, чем позже. Большой вопросительный знак, который, кажется, является консенсусом среди других, заключается в том, что FEP был выпущен только в течение 3 месяцев. В настоящее время он считается продуктом «2.0» (он следует за Forefront Client Security от Microsoft), только время покажет, является ли это решение «достаточно хорошим» для многих корпораций, чтобы оправдать экономию больших денег на антивирусе, или предприятие должно дождитесь выпуска версии 3.0 от Microsoft. Дополнительные сведения о FEP доступны на сайте Microsoft здесь.