|
Forefront Client Security (FCS),
Microsoft'un sunucu ve istemciler için virüslere ve zararlı yazılımlara karşı
hazırladığı, merkezi olarak yönetilebilen ve güncellenebilen anti virüs ve anti
spyware/malware çözümüdür. Bunun için FCS pek çok Microsoft teknolojisini bir
araya getirmektedir.
Bu makalede öncelikle FCS kulumu
için gereksinimler anlatılmıştır. Daha sonra FCS'nin nasıl çalıştığı,
yönetiminin nasıl gerçekleştirildiği, politikalarında hangi ayarların bulunduğu
ve politikaların nasıl uygulandığı anlatılmaktadır.
FCS Kurulumu İçin Gereksinimler:
1. Yazılım
Gereksinimleri
FCS aktif dizin altyapısını ve
pek çok diğer Microsoft teknolojisini kullandığı için bazı yazılımların önceden
yüklü olmasına ihtiyaç duyar.
1.1.
Ücretsiz yazılım gereksinimleri
IIS ve ASP.NET : FCS ile ilgili tanım
güncelleştirmelerinin dağıtılması ve raporlama işlemleri için .NET 2.0
altyapısı ve web servisi gereklidir
Group Policy Managemet Console (GPMC):
FCS ile ilgili ayarların etki alanında grup politikaları ile otomatik olarak
dağıtılması için GPMC SP1 gereklidir.
Microsoft Management Console (MMC) 3.0:
FCS yönetim arayüzü MMC 3.0 altyapısını kullanmaktadır.
Windows Server Update Services (WSUS):
FCS ile ilgili tanım güncelleştirmelerinin merkezi olarak dağıtılabilmesini
sağlar.
1.2.
Ücretli yazılım gereksinimleri
SQL Server 2005: FCS ile ilgili tüm
ayarlar, yapılan taramaların sonuçları, bulunan zararlı yazılımlar ve buna
benzer tüm bilgiler SQL Server 2005 veritabanlarında tutulur. FCS'nin çalışabilmesi
için SQL Server 2005 için en az SP1 kurulmuş olmalıdır.
SQL Server 2005 Reporting Services: FCS
her türlü raporlama işlemi için SQL Server 2005 Reporting Services
kullanmaktadır. Bu sayede her seviyede rapor kolayca üretilebilmekte ve çeşitli
şekillerde görüntülenebilmektedir.
1.3.
FCS ile yüklenen yazılımlar
Microsoft
Operations Manager (MOM) 2005 SP1: İstemcilerde çalışan yazılım bulduğu tüm
tehditler, açıklıklar ve bunlar için yaptığı tüm işlemler için olay günlüğüne
kayıt düşmektedir. FCS bütün bu kayıtların yönetilmesi ve merkezden verilen
komutların istemcilerde gerçekleştirilebilmesi için MOM alt yapısını
kullanmaktadır.
Microsoft
Operations Manager 2005 Reporting Services: Toplanan kayıtlarla ilgili
raporlama işlemlerinde MOM raporlama servisi kullanılmaktadır.
2. Kullanılacak
Hesaplar
FCS'nin kurulumunu yapmak ve
servislerini çalıştırmak için bazı hesaplara ihtiyaç vardır. Kurulum sırasında
servis hesaplarına gerekli haklar verilmektedir fakat gerekli tüm hakların
bilinmesi sorunların giderilmesinde faydalı olacaktır.
2.1.
Kurulum hesabı
Kurulumun
yapılacağı hesap tüm sunucular üzerinde yerel yönetici (local administrator)
olmalıdır.
2.2.
Servis hesapları
FCS ile kullanılması gereken servis hesapları, bu kullanıcı
hesaplarının tipleri ve sahip olması gereken haklar aşağıdaki tabloda
verilmiştir.
|
Servis kullanıcısı
|
Kullanıcı tipi
|
Açıklama
|
|
Data Access Server (DAS) hesabı
|
Etki alanı kullanıcısı, bazı durumlarda collection sunucusu
üzerinde yerel yönetici
|
Hareket hesabı olarak DAS
hesabı kullanılacaksa collection sunucusu üzerinde yerel yönetici hakları
verilmelidir.
Collection sunucusu
collection veritabanına ulaşmak için DAS hesabını kullanır. Kurulum sırasında
gerekli izinler otomatik olarak verilir.
|
|
Raporlama (Reporting) account
|
Etki alanı kullanıcısı
|
Reporting sunucusu reporting veritabanına ve collection
veritabanına bağlanırken bu hesabı kullanır.
|
|
Hareket (Action) hesabı
|
Etki alanı kullanıcısı ve collection server üzerinde
yerel yönetici
|
Hareket hesabı collection
sunucusu üzerinde yerel yönetici olmalıdır.
Sunucu tarafında kullanılan
betikler ve güvenlik denetlemeleri (security state assessment) bu hesap ile
yapılır.
|
|
Data Transformation Services (DTS) hesabı
|
Etki alanı kullanıcısı
|
Raporlama sunucu bu kullanıcı ile collection
veritabanından reporting veritabanına veri aktarım işlerini gerçekleştirir.
|
FCS Nasıl Çalışır?
Forefront Client Security,
yönetim sunucusu ile raporlama ve uyarı gönderme sunucuları olarak iki sunucu
tabanlı bileşen yoluyla kullanılır.
Yönetim sunucusu üzerinde çalışan
merkezi konsol ile tarama zamanlaması, gerçek zamanlı korumanın
etkinleştirilmesi ve devre dışı bırakılması, belirli tehditlere karşı
varsayılan eylemler ve uyarı gönderme ve raporlama seviyeleri gibi bütün
ayarlar yapılabilir. Ayarlar aktif dizin politikaları veya kayıt defteri
dosyaları ile istemcilere dağıtılır.
En son çıkan kötü amaçlı
yazılımlara karşı koruma sağlayabilmek için FCS Microsoft Windows Server Update
Services (WSUS) kullanır. FCS istemcisinin kullanacağı kötü amaçlı yazılım
tanımlarıyla ilgili güncelleştirmeler istemci bilgisayarlına WSUS ile
dağıtılır. Ayrıca istemci programı da WSUS ile dağıtılarak bilgisayarlara
otomatik olarak kurulabilir.
İstemci makinelerde meydana gelen
olaylar için Windows olay günlüğünde kayıtlar yaratılır. Bu kayıtlar MOM ajanı
tarafından raporlama ve uyarı gönderme sunucusuna aktarılır. Bu işlem için
gerekli tüm MOM bileşenleri FCS kurulumu ile yüklenmektedir.
Forefront Client Security,
Microsoft SQL Server'ın veritabanı ve raporlama sistemlerini kullanır. Bütün bu işlemler
aşağıdaki şekilde bir döngü olarak gösterilmektedir.
FCS'nin kullandığı
teknolojiler ve çalışma şekli
FCS Yönetimi
FCS yönetimi Forefront Client
Security Management Console üzerinden yapılmaktadır ve bu yönetim konsolu MMC
3.0 altyapısını kullanmaktadır. Konsolda iki sekme bulunmaktadır. Bunlardan
ilki olan "Dashboard" yönetilen bilgisayarların durumlarını özet olarak
gösteren bir arayüzdür. Ayrıca yönetilen istemciler için güvenlik taramaları
buradan başlatılabilmektedir.
FCS yönetim konsolunda
"Dashboard" sekmesi
Yönetim konsolunun diğer sekmesi FCS ile ilgili ayarların
yapılıp politikaların oluşturulduğu "Policy Management" sekmesidir. Burada yeni
politika oluşturulabilir, var olan politikalarda değişiklikler yapılabilir,
politikaların uygulanması veya kaldırılması işlemleri gerçekleştirilebilir.
Ayrıca bu bölümden politikalarla ilgili raporlara erişmek de mümkündür.
FCS yönetim konsolunda politika yönetim
sekmesi
FCS Politika Ayarları
FCS
politikalarının ayarlarının yapılabildiği pencerede beş farklı sekme
bulunmaktadır.
1. Genel
Ayarlar
"General" sekmesi ilgili
politikayla ilgili tanımları gösterir. Politika ismi, politikanın nereleri
uygulandığı ve politika ile ilgili yorumlar buradan görülebilir.
"General"
sekmesinde bulunan ayarlar
2. Koruma
Ayarları
"Protection"
bölümünde zararlı yazılımlardan korunma, yapılacak taramalar ve güvenlik
değerlendirmeleri ile ilgili ayarlar bulunur. Aşağıdaki şekilde de görüldüğü
gibi virüs koruması ve casus yazılım koruması ayrı ayrı devreye alınıp iptal
edilebilmektedir. Düzenli taramalarla ilgili ayarlar da buradan yapılabilir.
Ayrıca güvenlik durumu değerlendirmesi (security state assesment) ayarları da bu sekmede
bulunmaktadır. Güvenlik durum değerlendirmesi zararlı yazılımların dışında
istemcideki güvenlik ayarlarını ve yama eksikliklerini de denetler. İstemcide
bulduğu ayarları kendi tanımlarında bulunan ayarlarla karşılaştır ve bulduğu
açıklıklara yüksek,orta, düşük, bilgi ve hata değerlerinden birini atar. Bu
taramaların sonuçları daha sonra raporlar halinde görüntülenebilmektedir.
Yapılan tüm testler aşağıda verilmiştir:
-
Windows sürüm denetimi
- Otomatik güncelleme denetimi
- Güvenlik güncellemeleri denetimi
- Tamamlanmamış güncelleme denetimi
- Anonim erişim denetimi
- Dosya sistemi denetimi
- Otomatik oturum açma denetimi
- Mevcut paylaşımların denetimi
- Gereksiz servilerin denetimi
- Misafir hesabı denetimi
- Yöneticilerin denetimi
- Şifre sürelerinin denetimi
Güvenlik durum denetlemeleri ve diğer teknik
detaylarla ilgili daha geniş bilgi Forefront Client Security TechCenter, Technical
Reference sayfasından alınabilir.
"Protection"
sekmesinde bulunan ayarlar
3. Gelişmiş
Ayarlar
"Advanced" sekmesinde FCS istemcilerinin nasıl
davranacağını belirleyen önemli ayarlar bulunmaktadır. Zararlı yazılımlara
karşı koruma sağlayan programların başarılı olması için gerekli en önemli etkenlerden biri tarama motorunun ve
virüs tanımlama veritabanının güncel olmasıdır. Bu sekmede tanım güncellemeleri
ile ilgili önemli ayarlar bulunmaktadır. FCS tanım güncellemelerini istemcilere
dağıtmak için WSUS kullanılmaktadır. Tarama başlamadan önce tanımların
güncellemelerinin kontrol edilmesi seçeneği (Check for updates before starting
scan) işaretlendiğinde istemci WSUS sunucusuna bağlanıp yeni tanımları kontrol
edecektir. Burada önemli diğer bir ayar da WSUS sunucusuna ulaşılamadığında
internet üzerinden Microsoft Update kullanılmasına izin verilmesidir (Check for
updates on Microsoft Update when WSUS is unavailable). Bu seçenek
işaretlendiğinde istemci, kullandığı WSUS sunucuya erişemezse internet
üzerinden Microft Update sitesine bağlanıp tanım güncellemelerini kontrol
edecektir.
Bu sekmedeki diğer kritik ayarlar istemci seçenekleri
(Client options) altındaki ayarlardır. Burada kullanıcının programın hangi
ayarlarını değiştirebileceği belirlenmektedir. Zararlı yazılım korumasının
sürekli olarak sağlanması için kullanıcıların ayarları değiştirmesine ve
istisnalar eklemesini izin vermemek gerekir.
"Advanced"
sekmesinde bulunan ayarlar
4. Varsayılan
Ayarların Geçersiz Kılınması
"Overrides" sekmesi FCS istemcisinin tehditlere karşı
verdiği varsayılan tepkileri değiştirmek için kullanılan bir bölümdür. Buradan
bir tehdide karşı veya belirli bir sınıf tehdide karşı verilecek tepkiler
değiştirilebilir. Mevcut tehdit sınıfları, tipleri ve verilebilecek tepkiler
aşağıdaki tablodaki gibidir.
|
Sınıflandırma
|
Tip
|
Tepki
|
|
Severity (Önem derecesi)
|
Severe
High
Medium
Low
|
Default response
Remove
Quarantine
Ignore
|
|
Category (Kategori)
|
Adware
Browser modifer
Dialer
Email flooder
Joke program
Monitoring software
Password stealer
Potential unwanted software
Remote control software
Settings modifier
Software bundler
Spyware
Trojan downloader
|
Default response
Remove
Quarantine
Ignore
|
"Overrides"
sekmesinde bulunan ayarlar
5. Raporlama
Ayarları
"Reporting" sekmesi istemcilerde yapılan taramalar
sonucu üretilen uyarıların hangi seviyedekilerin raporlanacağının belirlendiği
sekmedir. Burada "Highest", "High", "Medium", "Low" ve "Lowest" olmak üzere 5
uyarı seviyesi bulunmaktadır. Bu uyarı seviyelerine göre istemciden oluşan
olaylar raporlama sunucusuna iletilmektedir.
"Reporting"
sekmesinde bulunan ayarlar
FCS Politikalarının uygulanması
Bir önceki bölümde belirtilen
ayarların hepsi birer Windows kütük ayarıdır. Bunun için hazırlanan
politikaların istemcileri uygulanması grup ilkeleri ve kütük dosyaları ile
yapılabilir. Bu yollardan merkezi yönetim açısından en kolay ve en sağlıklı
olanı grup ilkesi yöntemidir. FCS gerekli grup ilkelerini otomatik olarak
oluşturmakta ve istenilen yerlere otomatik olarak uygulamaktadır. Aşağıdaki
şekilden de görüleceği gibi FCS politikalarını içeren grup ilkesi aktif
dizindeki bir organizasyonel birime, bir gruba veya mevcut bir grup ilkesi
nesnesine uygulanabilmektedir.
Politika uygulama penceresinde politikaların bir
dosyaya aktarılması seçeneği de bulunmaktadır. Bu seçenek seçildiğinde FCS
gerekli ayarları içeren bir kütük dosyası yaratmaktadır. Bu ayarlar "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft
Forefront\Client Security\1.0" kütük anahtarı altındaki değerlerdir. FCS
ile ilgili tüm kütük değerleri, bu değerlerin ne işe yaradıkları ve bu
değerlere verilebilecek değerler Forefront Client Security TechCenter, Technical
Reference sayfasında bulunabilir.
Politika uygulama
seçenekleri
Sonuç
Microsoft Forefront Client Security tek bir noktadan koruma
sağlamayı hedefleyen, yönetimi ve güncellemesi kolay, raporlama yetenekleri
üstün bir üründür. Microsoft zararlı yazılımlarla mücadele pazarında kendi
ürünleriyle entegrasyon avantajını kullanarak FCS ile yer edinemeye
çalışacaktır.
Forefront Client Security ile ilgili planlama, kurulum,
işletme, teknik referans ve diğer tüm dokümantasyona Microsoft
Technet sayfasından ulaşılabilir.
 Favori olarak ekle (1) | Görüntüleme sayısı: 3045
Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun. |
