Os produtos Forefront oferecem um alto nível de proteção e controle através da integração com a infra-estrutura de TI.  Com esses produtos, a distribuição, o gerenciamento e a análise da segurança em uma rede é simplificada. Além disso os produtos Forefront oferecem segurança em várias camadas e foi desenvolvido para proteger as informações e controlar o acesso aos recursos críticos de uma empresa.

 

O Forefront é formado pelos seguintes produtos:

• Forefront Client Security – Esse produto é responsável pela proteção contra vírus, worms, rootkits, spywares e trojan horses em estações de trabalhos, laptops e servidores.
• Forefront Server Security – Formado pelos seguintes produtos: Forefront Security for Exchange e Forefront Security for Sharepoint. O Forefront Server Security é responsável pela proteção contra vírus, worms, spams e conteúdos indesejáveis em servidores Exchange Server 2007, Office Sharepoint Server 2007 e Sharepoint Services 3.0.
• Forefront Edge Security – Formado pelos seguintes produtos: Microsoft Internet Security and Acceleration (ISA) Server 2006 e Microsoft Intelligent Application Gateway (IAG) 2007. O Forefront Edge Security oferece uma maior segurança para as redes de borda, protegendo o acesso a Internet, acesso remoto seguro e refornçando a segurança na comunicação entre escritórios.

 

Todos esses produtos são facilmente integrados entre si e com a infra-estrutura de TI de uma empresa, suportando também a integração com alguns produtos de terceiros, o que permite uma maior segurança contra as ameaças sobre aplicações e servidores.

 

O Forefront é o produto chave da estratégia da Microsoft que visa oferecer segurança end-to-end para os negócios de seus clientes. As informações são protegidas através de um gerenciamento digital robusto de direitos que protegem os documentos contra acesso não autorizado, reforçando assim a conformidade com a política de segurança da empresa.

 

Os relatórios do Forefront são baseados no SQL Server 2005. As soluções Forefront para clientes e servidores utilizam o SQL Server Reporting Services e o Analysis Services.

 

O gerenciamento da segurança e dos relatórios é feito centralizadamente. O Forefront é integrado facilmente com o Microsoft Operations Manager (MOM), Microsoft Systems Management Server (SMS), e Microsoft Windows Server Update Services (WSUS).

 

O Forefront auxilia as organizações a centralizar o gerenciamento da segurança, prevenindo e identificando configurações incorretas, fazendo a avaliação do estado da segurança e aplicando a segurança persistentemente.

 

Segue abaixo os principais benefícios oferecidos pelo Forefront:

 

• Abrangente – O Forefront fornece uma linha de produtos abrangentes que protegem as informações e o controle de acesso aos sistemas operacionais, aplicações e servidores, fazendo com que as organizações estejam protegidas contra ameaças. O Forefront é customizado para proteger servidores de aplicação baseados nos sistemas operacionais da Microsoft através de uma estratégia de defesa que incorpora um controle de acesso robusto, inspeção de aplicações e protocolos e varias ferramentas anti-malware configuradas para proteger aplicações especificas. O Forefront utiliza tecnologias de firewall, VPN’s e criptografia para garantir que as informações serão acessadas somente por usuários que tenham acesso.
• Integrado – O produtos do Forefront foram desenvolvidos de tal forma que sejam facilmente integrados entre si e com a infra-estrutura de TI existente, incluindo GPO’s, Active Directory, SMS e WSUS. Com essa integração a segurança pode ser gerenciada centralizadamente.
• Simplificado – Os produtos do Forefront são simples de implementar e gerenciar. Com o Forefront, a visibilidade do estado de segurança de uma rede é obtida facilmente, o que pode ajudar na mitigação de ameaças. Com um número reduzido de consoles de administração, o tempo e complexidade também são diminuídos, e conseqüentemente, os custos são diminuídos.

 

Arquitetura do Forefront Client Security

 

O Forefront Client Security possui dois componentes: o Security Agent e o Central Management Server.

 

 

Requisitos de hardware e software para o Forefront Client Security

Antes da implementação do Forefront Client Security em servidores, estações de trabalho e notebooks, é necessário verificar se o ambiente possui os requisitos mínimos de hardware e software.

 

Os requisitos podem variar de acordo com os fatores abaixo:

• Número de computadores clientes na rede.
• Requisitos de performance do ambiente.
• Freqüência e tipo de scan que será implementado.
• Quantidade de dados que serão armazenados para os relatórios.
• Requisitos de backup dos dados.
• Orçamento de hardware e software.
• Infraestrutura de rede, servidores e clientes existente.

Segue a tabela com os requisitos básicos para o Forefront Client Security:

 

 

Considerações para a topologia de servidores apropriada

 

Após a verificação dos requisitos de software e hardware, é necessário escolher a topologia de servidores que será utilizada. Segue abaixo algumas considerações:

• Escalabilidade – Devem ser realizados vários testes para verificar a capacidade de escalabilidade da rede. Inicialmente a infra-estrutura do Forefront Client Security deve suportar os servidores e clientes existentes.
• Infra-estrutura existente – Deve ser verificado se a estrutura atual pode ser aproveitada na implementação do Forefront Client Security. Servidores SQL e MOM já existentes podem fazer parte da infra-estrutura do Forefront Client Security. Caso uma performance melhor seja um requisito, é interessante utilizar um outro servidor SQL.
• Arquitetura – A velocidade dos links entre sites pode afetar a quantidade e tipos de servidores que serão instalados em outros sites. Recomenda-se implementar servidores WSUS em cada localidade para evitar um grande tráfego na rede.
• Redundância – Deve-se verificar se a infra-estrutura do Forefront Client Security estará disponível mesmo se um dos servidores estiverem indisponíveis.

 

Implementando o Forefront Client Security

 

Existem vários tipos de topologias que podem ser utilizadas na implementação do Forefront Client Security. A topologia utilizada dependerá dos requisitos da empresa. Após o Forefront Client Security ser implementado, podemos implementar as políticas de segurança para configurar o antispyware, antivírus e as opções do State Assesment para os computadores clientes. Além disso, o Forefront Client Security suporta a administração remota, incluindo configurações, atualizações de assinatura, relatórios e alertas.

 

Caso algum produto de segurança já exista na organização, é recomendado que o Forefront Client Security seja implementado, e após sua implementação o produto existente deve ser removido. Isso deve ser feito primeiramente em um ambiente de testes. Após a validação dos testes, o Forefront Client Security pode ser implementado no ambiente de produção. Recomenda-se também que inicialmente um grupo de usuários seja selecionado para que a estratégia de implementação seja definida e os treinamentos sejam iniciados. Após verificar a estabilidade do produto nesse grupo de usuários, pode-se iniciar a implementação em todo o ambiente de produção. O ideal é que essa implementação seja feita em horários não críticos. Após a implementação ser concluída, possíveis servidores de antivírus existentes podem ser removidos da rede.

 

 

Implementando o Forefront Client Security em vários servidores

 

Após a topologia ser definida precisamos verificar como essa topologia será integrada com a infra-estrutura de TI atual da empresa. Por exemplo, caso a empresa já possua um servidor SQL instalado, depedendo da utilização desse servidor, não será necessário a instalação de um novo servidor SQL para o Forefront Client Security. A mesma lógica pode ser aplicada para o MOM.

 

A topologia single-server possui uma escalabilidade limitada. Caso a empresa ainda não possua um servidor SQL e um servidor MOM é recomendado que a topologia multiserver seja utilizada.

 

O procedimento para a instalação do Forefront Client Security em uma topologia multiserver é basicamente o mesmo utilizado na instalação em uma topologia single-server. A principal diferença é que determinadas funções serão instaladas em um servidor, e determinadas funções serão instaladas em outro servidor. Portanto, em uma topologia multiserver, durante a instalação do Forefront Client Security definimos quais funções serão instaladas no servidor. As funções podem ser distribuídas em 3, 5 ou 6 servidores.

 

 

Topologia com 3 servidores

 

Nesse tipo de topologia, as funções management, collection e reporting são instaladas em um servidor. A reporting database é instalada no segundo servidor e a função distribution é instalada no terceiro servidor. Observe que a collection database é instalada no servidor que possui as funções management, collection e reporting.

 

 

Topologia com 5 servidores

 

Nesse tipo de topologia, as funções management, collection, reporting e distribution são instaladas em servidores diferentes. Observe que a collection database e a reporting database são instalados no mesmo servidor, o qual é chamado de database server.

 

 

Topologia com 6 servidores

 

Nesse tipo de topologia, as funções management, collection, reporting, distribution, collection databases e reporting databases são instaladas separadamente, sendo uma função por servidor.

 

 

Métodos de distribuição do Forefront Client Security nos clientes

 

Antes de instalar o Forefront Client Security no computadores clientes é necessário verificar se os computadores possuem todos os pré-requisitos instalados. O pré-requisitos podem variar dependendo do sistema operacional. É necessário também configurar os clientes para obterem as atualizações (Automatic Updates) do distribution server e remover outros softwares de antivírus e anti-spyware que estejam instalados nos clientes.

 

Os métodos para distribuição do Forefront Client Security para os clientes são:

• Diretamente em cada computador cliente – Nesse tipo de instalação o Forefront Client Security é instalado individualmente em cada servidor. Não é a melhor opção para ambientes grandes pois consome muito tempo dos especialistas.
• Remotamente, utilizando scripts – Nesse tipo de instalação é necessário a criação de um script.
• Remotamente, utilizando scripts em GPO – Nesse tipo de instalação é necessário a criação de um script e associar esse script em uma GPO. Como o Forefront Client Security agent é um arquivo executável, não pode ser distribuído diretamente via GPO.
• Agente SMS – Nesse tipo de instalação um pacote de instalação é criado no SMS e o SMS agent é utilizado para distribuir esse pacotes para os clientes.

 

Verificando a instalação do Forefront Client Security

 

Após a instalação e configuração do Forefront Client Security, distribuição das Client Security policies, e distribuição do Forefront Client Security agent, podemos visualizar os relatórios para verificar se o Forefront Client Security está funcionando corretamente.

 

O console do Forefront Client Security possui links para vários relatórios relacionados ao estado e segurança da rede. Através desses relatórios pode-se verificar se o Forefront Client Security está distribuindo as Security policies corretamente, realizando scans e distribuindo as definições. Pode-se verificar também se os alertas e eventos estão sendo coletados. Tenha certeza de que os clientes possuem as Security policies corretas e estão reportando corretamente para o collection server.

 

Os seguintes relatórios possuem informações sobre a implementação do Forefront Client Security:

• Security Summary – Esse relatório exibe o status da distribuição das policies, o status da conectividade e os resultados dos scans de malware e security state assessment.
• Deployment Summary – Esse relatório exibe quais grupos de computadores possuem as últimas atualizações de policies e definições dos scans de malware e security state assessment.

 

Introdução as Client Security Policies

 

Uma Client Security policy é uma coleção de configurações que podem ser aplicadas em um grupo de computadores. Para aplicar uma política nos computadores clientes, os seguintes passos são necessários:

• Criação da política.
• Definição de qual computador cliente receberá a política.
• Determinação do método de distribuição.
• Distribuição da política.

A utilização de Group Policy é altamente recomendada pois facilitada a distribuição das políticas. Através da Group Policy é possível implementar configurações em grupos de usuários e computadores facilmente. Podem ser implementadas políticas baseadas no Registro e políticas de segurança. As políticas baseadas no Registro utilizam Administrative Templates para modificar as configurações do Registro.

 

Através do console do Forefront Client Security podemos gerenciar as políticas. Na aba Policy Managemet é possível criar, editar, copiar e deletar políticas.

 

Caso a empresa não utilize Group Policy, pode-se utilizar o Forefront Client Security para distribuir as políticas no formato de arquivos de registro. Este método exige que os arquivos de registros criados estejam disponíveis para os clientes. É necessário também executar um pequeno aplicativo em todos os computadores clientes que receberão as políticas. Esse aplicativo garante que as políticas serão aplicadas corretamente nos clientes.

 

 

Métodos de distribuição das Client Security Policies

 

Cada computador cliente pode ter apenas uma política aplicada. Através das GPO’s podemos aplicar as políticas em Unidades Organizacionais (OU’s) e em grupos de segurança (SG’s). Como já explicado anteriormente, caso a empresa não utilize GPO’s, podemos distribuir as políticas através de arquivos de registro. Seguem abaixo os detalhes de cada métodos de distribuição da políticas:

• GPO e OU – Caso as políticas sejam distribuídas via GPO e aplicadas em uma OU, os computadores clientes devem ser reiniciados ou o seguinte comando dever ser executado para que a política seja aplicada efetivamente: gpupdate /force. Caso contrário, a política será aplicada no próxima atualização da GPO.
• GPO e SG – Caso as políticas sejam distribuídas via GPO e aplicadas em um grupo de segurança, o computador deve ser reiniciado para que a política seja aplicada imediatamente. O comando gpupdate /force não funciona nesse tipo de distribuição de política. Outra opção é aguardar a próxima atualização da GPO para que a política seja aplicada.
• Arquivo de Registro – Outra opção para o distribuição das políticas é a utilização dos arquivos de registro. Este método exporta a política para um arquivo .reg, o qual deverá ser distribuído para o computadores clientes. A distribuição desse arquivo não é feita automaticamente pelo Forefront Client Security. O ideal é que esse arquivo seja armazenado em um compartilhamento no qual todos os computadores clientes tenham acesso. Para aplicar o arquivo de registro nos computadores clientes é necessário utilizar a ferramenta fcslocalpolicytool.exe. Essa ferramenta esta localizada no CD de instalação do Forefront Client Security. Essa ferramenta também deve estar armazenada em um compartilhamento no qual todos os computadores clientes tenham acesso.

Através do relatório Deployment Summary podemos verificar quais computadores possuem a política aplicada através de arquivos de registro.

 

Quando você deletar ou interromper a aplicação de uma política que foi distribuída via arquivo de registro, o console exibirá as alterações, porém o Client Security não removerá o arquivo de registro. A política deve estar acessível para os computadores clientes nos quais a ferramenta fcslocalpolicytool.exe não foi executada para que o arquivo de registro da política seja desatribuída. Após ter certeza de que nenhum cliente está utilizando a política baseada no arquivo de registro em questão, o arquivo pode ser removido.

 

 

Conclusão

 

É isso pessoal. Espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicado neste site, entre em contato através do e-mail Este endereço de e-mail está protegido contra SpamBots. Você precisa ter o JavaScript habilitado para vê-lo.