Microsoft Forefront Client Security

Soluciones de Seguridad
Chema Alonso
Microsoft MVP Windows Security
Informática64
Agenda

9:30 – 9:45
Registro

9:45 – 10:30
Protección de infraestructuras: Forefront

10:30 – 11:00 Descanso

11:00 – 11:15 SEIN Productos GFI

11:15 – 12:00 Forefront ISA Server 2006 – IAG 2007
2
Microsoft Forefront ofrece un alto nivel de
protección y control sobre la seguridad de la
infraestructura de red de su empresa con gestión
integrada y sencilla
5
4x1
caching
publicación
de aplicaciones
proxy y gestión
de contenidos
FW avanzado de aplicación
VPNs
Protección de aplicación
• 2ª capa de defensa
• Complemento a los FW existentes
• Protección a nivel de Aplicación
Filtrado de contenidos
Protección de Exchange y
Servidores Web
• Mail remoto, ej: OWA
• Protección en el perímetro
• Inspección de Web + SSL
Delegaciones
• La plataforma es ISA server
• Reduce coste de caching en Red
• Integración AD y políticas flexibles
• Mejora la productividad de usuario
• Alianzas; SurfControl y WebSense
• Integración de VPN y FW de app
VPN





2ª capa de defensa,
FW nivel aplicación,
VPN firewalled a nivel aplicación,
Redes de cuarentena,
Segmentación de la Red multiple,
Internet
DMZ_1
ISA 2006
CorpNet_1
Red de área
local
CorpNet_n
Red A
DMZ_n
WiFi
Cualquier topología, cualquier política
Protección del acceso Internet
Nuevo
Aumento de la protección
contra gusanos
Nuevo
Alertas y reacciones
exhaustivas
Nuevo
Nuevo
Aumento de la protección
contra ataques DoS/DDoS
Acceso seguro y rápido
Gestión Eficiente
Seguridad Integrada
Aumento del control de los
recursos para situaciones de
ataque
Web Site
Externo
Extranet
Web
Server
OFICINA
CENTRAL
DMZ
Atacante
Internal
Network
Internet
Administrador

MS Exchange





Servidores Web


ActiveSync,
RPC/HTTP
OWA
OMA
Conversión de links absolutos,
Autenticación de usuarios

Anónimos, básicos, integrados AD, Certificados, Radius, SecureID, Formularios
Publicación de aplicaciones en modo seguro
Single sign-on para acceso a
múltiples recursos
Nuevo
Mejoras en la administración
de certificados
Nuevo
Nuevo
Delegación de Autenticación
(NTLM, Kerberos)
Herramientas de publicación
para Exchange y SharePoint
Nuevo
Nuevo
Autenticación LDAP para
Active Directory
Balanceo de carga en
publicación Web
Nuevo
Nuevo
Customized logon forms for
most devices & apps
Nuevo
Nuevo
Smartcards & one-time
password
Acceso seguro y rápido
Gestión Eficiente
Seguridad Integrada
Traducción Automática de
links internos embebidos
Exchange
External
Web
Server
ISA 2006
Appliance
Usuario
Intranet
Web
Server
DMZ
Internal
Network
Internet
SharePoint
OFICINA
CENTRAL
Administrador
Active
Directory








Web Caché (distribuido ó jerarquico),
Mejora de la productividad,
VPN+FW aplicación
Compresión HTTP,
Priorización de tráfico (DIFFSERV),
Microsoft Updates caching (BITS),
Trabaja con Windows Software Updates Services,
SMS, Windows Update/MS Update,
Array de delegaciones,


Unica aplicación de politica corporativas,
Politicas particulares para cada delegación,
Única solucion con FW, VPN y Web Caché
Como gateway en la Oficina remota
Gestión Eficiente
Seguridad Integrada
Nuevo
Aumento en la administración
de certificados
Compresión de tráfico HTTP
y caching
Nuevo
Propagación rápida de
políticas
Nuevo
Nuevo
Nuevo
BITS caching para acelerar el
despliegue de
actualizaciones de software
Acceso seguro y rápido
Configuración de DiffServ IP
para una mejor utilización del
ancho de banda
Exchange
External
Web
Server
Usuario
Intranet
Web
Server
OFICINA
REMOTA
DMZ
S2S
VPN
Internal
Network
Internet
ISA 2006
Appliance
Array
Usuario
Administrador
Active
Directory
OFICINA
CENTRAL
CSS
SharePoint
Demo Forefront ISA Server
2006
Intelligent Application
Gateway
Manufacturing &
General
Financial &
Insurance
Healthcare &
Education
Energy
Government
Forefront
Security Server
Las soluciones de seguridad Antigen para el correo electrónico permiten a las empresas proteger
sus servidores de correo frente a virus, gusanos, spam y contenido inadecuado.
Protección
avanzada
Disponibilidad
y control
Protección
del contenido
Múltiples motores (hasta 9) de análisis a distintos
niveles a través de la infraestructura de correo mejoran
el nivel de protección frente a las amenazas.
Una estrecha integración con Microsoft Exchange,
Sharepoint y Live Communication y los servidores
SMTP basados en Windows maximiza la disponibilidad y
el nivel de control.
Permite proteger y limitar el lenguaje inadecuado y
adjuntos peligrosos o no deseados en el flujo de las
aplicaciones de colaboración.

Framework tecnológico con integración en E2K3, SPS, LCS,

Forefront Security NO ES UN MOTOR DE ANTIVIRUS,

Integración TOTAL con el entorno, mismo fabricante Correo y Seguridad,

9 motores de antivirus de fabricantes distintos analizando simultáneamente,

2 Tecnologías de filtrado de Spam y Phishing diferentes analizando a la vez,

Gestión de Contenidos, cualquier punto, cualquier regla,

Coste “0” de administración, solución autómata (TCO),

Totalmente transparente y flexible para el usuario,

Hasta 5 veces más rápido que soluciones convencionales MONOMOTOR,
¡Soporte dedicado desde Microsoft
para la solución de Seguridad del
entorno de Colaboración!

Análisis de los mensajes ANTES de ser almacenados en
Exchange 2003,

Análisis real en Memoria,


De los mensajes,

De los adjuntos,

De los archivos comprimidos.
Análisis de;

Tráfico SMTP (entrada y salida),

Bases de almacenamiento (Stores Groups),

Tráfico MTA de todo tipo,

Análisis bajo demanda o programado de los Store Groups,

Análisis de las Carpetas Públicas.
Productos individuales
de E-mail Antigen
Nuevo!
Microsoft Antivirus
Sophos
CA VET
CA InoculateIT
Suite de seguridad para
correo electrónico
Los motores estándar más:
Kaspersky Lab
AhnLab
Authentium
VirusBuster
Norman
Total motores: 5
Total motores: 9
6
5
Motor A
4
Motor B
3
Motor C
2
Motor D
Motor E
1
2/
28
/2
00
6
3/
1/
20
06
3/
2/
20
06
3/
3/
20
06
3/
4/
20
06
3/
5/
20
06
3/
6/
20
3/ 06
7/
20
06
3/
8/
20
06
3/
9/
20
0
3/
10 6
/2
00
3/
11 6
/2
00
3/
12 6
/2
00
3/
13 6
/2
00
6
0
Virus detectados
en 14 días:





Motor A: 5
Motor B: 23
Motor C: 9
Motor D: 16
Motor E: 7
Virus detectados solamente por
(excluyendo virus en el cuerpo de mensajes)
2/28
3/1
3/2
3/3
3/4
3/5
3/6
3/7
3/8
3/9
3/10
3/11
3/12
3/13
Motor A
1
1
1
0
0
0
1
1
0
0
0
0
0
0
Motor B
3
1
1
2
1
2
5
3
0
1
2
1
1
0
Motor C
0
1
1
0
0
0
0
1
2
1
1
0
0
2
Motor D
3
2
2
3
0
1
1
0
4
0
0
0
0
0
Motor E
1
2
2
0
0
0
1
0
0
1
0
0
0
0
Nodo activo
Nodo pasivo
Punto de comprobación
de clave del Registro
BD de motores
Antigen
Exchange Virtual Server (EVS)
Espacio de disco compartido

Todos los archivos críticos, información del registro y bases de datos se mantienen en
sincronización entre los nodos del cluster usando el EVS y replicación de claves

Soporte para modo Activo/Pasivo, A/A/…/P

Utiliza la clave de registro DatabasePath para conocer la ubicación del disco
compartido
Demo
Forefront for Exchange Server
FOR INDIVIDUAL USERS
MSRT
Windows
Defender
Windows Live
Safety Center
FOR BUSINESSES
Microsoft
Windows Live Forefront Client
Security
OneCare
Remove most
prevalent viruses
Remove all
known viruses
Real-time
antivirus
Remove all known
spyware
Real-time
antispyware
Central reporting
and alerting
Customization
IT Infrastructure
Integration
27
Malicious Software Removal Tool

Objetivos



Distribución




Reducir el Impacto del malware en usuarios Windows
Entender las tendencias del malware
Windows Update
Centro de Descargas
Sitio Web
Reporte disponible públicamente
http://www.microsoft.com/downloads/details.aspx?displaylang=
es&FamilyID=47DDCFA9-645D-4495-9EDA-92CDE33E99A9
Actividad de MSRT
3.000.000.000
2.250.000.000
1.500.000.000
750.000.000
0
2.7 billones de
ejecuciones
270 millones de equipos
Resultados MSRT
(millions)
16
5,7
Resultado Acumulado
Infecciones desde Enero '05
Equipos desde Junio '05
16 millones de infecciones
5.7 millones de equipos infectados
1 infección cada 311
Reducción del Impacto
50-74%; 12
25-49%; 7
Decremento; 50
0-24%; 6
Incremento; 3
75-100%; 25
Entender las tendencias
Tipo de Malware (miles de equipos)
3.538
1.151
592
238
Instant
Messaging
Worm
641
781
372
Virus
Exploit
Worm
P2P Worm
Rootkit
Mass
Mailing
Worm
Backdoor
Trojans
Troyanos de puerta trasera son la amenaza mas
significante y mas creciente
Los Rootkits son una amenaza emergente
Ingeniería Social 35%
Windows Defender





Monitorización
Detección
Limpieza
Software Explorer
SpyNet
Windows Defender: Monitorización



Automatic Startup Entry Points (ASEPs)
Configuración del Sistema
Internet Explorer







Configuracion
Add-ons
Descargas
Servicios y Drivers
Ejecución de Aplicaciones
Registro de Aplicaciónes
Windows Add-ons
Windows Defender: Detección


Motores compartidos
Formatos de ficheros




Contenedores (zip, rar, etc)
Empaquetadores de Ficheros (upx, aspack)
Muchos formatos estándar
Metodos de Detección






Hash simple de fichero( MD5, SHA1, CRC)
Multi-CRC
Firmas de Rootkits en modo usuario
Detección genérica
Emulación
Heurística
Windows Defender: Limpieza





Scripting language
Claves del registro
Ficheros
Modificación del fichero Host
Software Explorer:




En ejecución
Programas de Inicio
Servicios
Drivers
SpyNet


Ayuda a priorizar la creación de firmas
Se envía información
Información del fichero
Engine / signature versions
Voting data
Información Demografica



Cifrado de datos
Basico vs Avanzado – PII
Opcional
Demo
Windows Defender. Software
Explorer
Protección unificada contra malware para
puestos, portátiles, y SO servidor
de fácil gestión y control
Confiable
Eficiente
Control
39

Una única solución para la protección spyware y virus

Tecnología de protección utilizada en millones de puestos

Respuesta efectiva ante amenazas

Complementario a otros productos de seguridad de
Microsoft
40
Múltiple fuentes de
datos para recogida
de amenazas

Equipo dedicado al
análisis y testeo de
procesos
automatizados
Fuerte integración
con MSRC y otros
procesos de
soporte
Entrega de actualizaciones de definiciones para:

Forefront Client Security, Forefront Server Security

Windows Live OneCare, Windows Defender

Desarrollo unificado del motor antimalware en Forefront and
OneCare™

Desarrollo de Windows Malicious Software Removal Tool

Una única consola para la gestión de la seguridad

Definición de políticas de protección

Despliegue de firmas y software rápido

Integrable con la infraestructura ya existente
November 2006
42

Un panel para visión rápida de
amenazas, alertas y
vulnerabilidades

Visualización de informes intuitivos

Permanecer informado con el
estado de análisis y alertas de
seguridad
43
44

Protección unificada para Virus & Spyware

Administración integrada y simple

Visibilidad y Control

Parte integrada de Microsoft Forefront™

Mejor integrado con Windows Vista™
¡Descargalo YA!
http://www.microsoft.com/clientsecurity
45
Viruses
Worms
Spam
Microsoft
TM
Forefront
Security Server
IM and Live
Communications
Viruses
Worms
Spyware
Windows®
SMTP
Servers
SharePoint
Exchange
File/Print
Applications
Applications
© 2006 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
47