El pasado 28 de Junio el equipo de Forefront Endpoint Security anunció la disponibilidad del primer Update Rollup para Forefront Enpoint Protection 2010. Este paquete, además de solucionar y aglutinar todos los parches conocidos, incluye tres características principales:



- Soporte para Windows Embedded 7 y Windows Server 2008 Server Core: Con esta nueva actualización es posible instalar clientes de MS FEP 2010 en este tipo de sistemas operativos optimizados, que antes no era posible.

- Actualización de firmas a través de System Center Configuration Manager 2007 Software Update: Con esta actualización es posible que la herrmainta Signature Update Automation Tool de FEP 2010 se sincronice a través del módulo de Software Update de SCCM 2007.

- Nuevas plantillas de servidores: FEP 2010 permite utilizar plantillas para ajustar la configuración del agente en los diferentes servidores de Microsoft, con esta actualización se añaden dos nuevas para servidores Microsoft Forefront Threat Management Gateway 2010 y Microsoft Lync 2010.
 

Haciendo uso de Package it! hemos recogido toda la información que hay publicada en Technet de Forefront Endpoint Protection 2010, en la que es posible encontrar las Guías de Planifiación, de Instalación o de Migración desde Forefront Client Security. No es la versión en Español, debido a que cuenta con más páginas de información, pero más adelante recogeremos la información disponible en español.



Puedes descargar la guía desde: Forefront_Endpoint_Protection_2010.chm (339,92 kb)
 

Dentro de las funcionalidad aportadas por MS System Center Configuration Manager 2010, el agrupar máquinas en colecciones en base a consultas sobre la información recopilada en los clientes, constituye una opción muy interesante. Aprovechando esta funcionalidad, en el proceso de instalación de MS Forefront Endpoint Protection 2010, se genera un conjunto de colecciones que permiten que un administrador pueda conocer diferentes situaciones de forma rápida sin necesidad de tener que recurrir a la generación de informes.

Todas las colecciones de MS FEP 2010 se encuentran agrupadas a través del objeto FEP Collections. Esto permite que las tareas de gestión puedan ser delegadas fácilmente dando permisos a quien se considere correspondiente a este objeto y por herencia al resto. La siguiente imagen muestra este elemento a través de la consola de MS SCCM 2007.


Figura: Colecciones de MS FEP 2010

Resulta muy interesante en este sentido la comprobación del estado de firmas o en los procesos iniciales del despliegue del motor, cuantas máquinas no lo tienen instalado. Dentro del estado del despliegue puede resultar muy útil conocer a través de la colección Locally Removed, si algún usuario con privilegios de administrador local sobre su máquina ha desinstalado la solución antimalware.

La información que se presenta no solamente es útil en tiempo real, si no que permite a través de las funcionalidades de las colecciones realizar determinadas tareas como las relativas a operación. Por ejemplo equipos que no tengan las firmas actualizadas, forzar a través de la operación correspondiente, la actualización de las mismas.

Hacer un seguimiento de las políticas o el estado de seguridad de las máquinas, son elementos significativos que pueden seguirse a través de las colecciones. Hay que tener en cuenta no obstante que la membresía en una colección, viene determinado por un procedimiento programado, que implica la pertenencia a la misma. De forma predeterminada el proceso de actualización para cada una de las colecciones es de una hora. No obstante cuando se vaya a realizar un análisis en el que la información es crítica, máxime cuando se quiere evaluar un estado muy reciente, será posible realizar el procedimiento de actualización de la membresía bajo demanda. La siguiente imagen muestra la forma de solicitar manualmente la actualización de la colección.


Figura: Forzar la actualización de la membresía en una colección

A menudo, al realizar una actualización de las definiciones de la solución antimalware, ésta se eterniza y siempre queda la duda de que es lo que está descargando nuestro antivirus para tardar tanto tiempo. En el caso de Forefront Endpoint Protection, existen cuatro diferentes paquetes de descarga. Estos son:

- Completo (alrededor de 55 Mb): Se descarga el set completo de firmas, denominado por Microsoft como base, junto a aquellas firmas desplegadas desde el último motor antivirus publicado. Este set de definiciones se suele descargar después de la primera instalación del software antimalware o en el caso de que las definiciones sean anteriores a, por lo menos, el despliegue de dos actualizaciones del motor antivirus. Microsoft genera una nueva base una vez al mes en un proceso denominado re-base.

- Delta (Tamaño de 200 KB a 5 Mb): Contiene las firmas generadas desde el despliegue del último motor. A este paquete se le denomina rebase. Este paquete suele ser descargado en el caso de tener el motor actualizado pero la antigüedad de las definiciones es mayor de 36 horas.

- Binary Delta Engine (BDE) (tamaño desde 2Mb a 15Mb): Contiene los binarios que hayan sido actualizados desde la versión base previa, o el motor actualizado para la última base o el motor actualizado más el incremental del paquete delta. Descargado si las firmas y el motor esta desactualizado.

- Binary Delta Delta (BDD) (Desde 100Kb a 1Mb): Contenido diferencial desde la última release. Se descarga si el motor esta actualizado y la antigüedad de las definiciones son menores de 36 horas.


Figura: Tamaño en Megabytes de las descargas

Estos tres últimos paquetes están disponibles a través de Microsoft Update, mientras que la versión completa únicamente es posible descargarla desde el centro de descarga de Microsoft. La lógica interna de FEP 2010 hará que se descargue el paquete más pequeño que se ajuste a sus necesidades, de modo que cuanto más actualizado este el producto, más pequeña será la descarga a realizar.

Para revisar los paquetes descargados, en Windows 7 será necesario acudir a la ruta:
     \ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\Backup.
 

La semana que viene, del 11 al 15 de Abril, tendremos una calendario de eventos online dedicados a tecnologías Forefront que no te debes perder si quieres conocer en profundidad la familia de productos Forefront, ya que habrá sesiones dedicadas a Forefront Identity Manager 2010, Forefront Threat Management Gateway 2010, Forefront Unified Access Gateway 2010 y Forefront Endpoint Protection 2010. Toma nota.

El martes 12 comenzará un track de Virtual Hands On Lab, impartidos por Juan Luís G. Rambla, premiado como Most Valuable Professional en tecnologías Forefront por Microsoft, y autor del libro Forefront TMG 2010, en el que abordará el siguiente calendario:

VHOL-FOR11 Seguridad de una organización con Microsoft Forefront
Martes, 12 de Abril en horario de 09:00 a 14:00
A través de este laboratorio el asistente habrá adquirido los conocimientos para plantear estrategias de protección con la línea de productos Forefront. Conocerá diferentes arquitecturas para una defensa en profundidad de servicios y aplicaciones. Garantizará un uso correcto en el acceso a los sistemas a la vez que dispondrá de los mecanismos para evaluar el estado de seguridad de una organización.
Precio 90 €. [Información y Registro]

VHOL-FOR14 Microsoft Forefront Endpoint Protection 2010
Martes 12 y miércoles 13 de Abril en horario de 16:00 a 19:00
Al finalizar el laboratorio el asistente conocerá los fundamentos para la instalación e integración de la nueva solución de antimalware de Microsoft con SCCM 2007. Aprenderá y manejará las nuevas capacidades de protección que aporta. Conocerá los fundamentos para el despliegue de agentes y los procedimientos para llevar a cabo una gestión centralizada de las políticas. Evaluará como se gestiona la seguridad con FEP 2010 y se establecen las notificaciones en base a las amenazas recibidas.
Precio 90 €. [Información y Registro]

VHOL-FOR12 Microsoft Forefront Protection 2010 for Exchange Server
Miércoles 13 de Abril en horario de 09:00 a 14:00
Al finalizar el Virtual Hands On Lab el asistente conocerá los fundamentos para instalar, configurar y administrar el servicio de Forefront Protection for Exchange Server. Conocerá la integración de sistemas en escenarios de Ms Exchange Server 2010 aplicando diferentes estrategias para la protección con malware y correo no deseado. Podrá realizar análisis de las amenazas recibidas y gestionar el sistema de forma avanzada a través de PowerShell.
Precio 90 €. [Información y Registro]

VHOL-FOR05 Microsoft Forefront TMG 2010 (Threat Management Gateway). Instalación y Configuración
Jueves 14 de Abril en horario de 09:00 a 14:00
A través de este laboratorio, el asistente conocerá e implementará la nueva solución Firewall de Microsoft heredera de ISA Server. Conocerá la arquitectura del producto y las nuevas funcionalidades que aporta a una organización. Se plantearán funcionalidades para gestionar la seguridad de las comunicaciones, protegiendo especialmente los servidores de una empresa. Se evaluarán los sistemas de administración y monitorización del producto.
Precio 90 €. [Información y Registro]

Por su parte, esta semana será completada por un track de Webcasts gratuidos dedicados a Forefront Identity Manager 2010 que impartirán desde Colombia. Si vas a asistir a estos Webcasts, es recomendable que antes visualices el Webcast grabado de Forefront Identity Manager 2010: Escenarios Básicos. Después, puedes apuntarte a:

FIM 2010: Identity and Access Management - Gestión de identidades y acceso
Miércoles, 13 de abril de 2011 14:00 (GMT -5) Hora de Madrid: 20:00
Ponente: Enrique Dutra
Idiomas: Español.
Productos: Microsoft Forefront, Microsoft Forefront Client Security, Microsoft Forefront Identity Manager, Microsoft Office SharePoint Server.
Público: Generalista de IT.
Usted podrá ver en este Webcast, un análisis detallado de los aspectos básicos que conforman la solución de identidad y acceso de Microsoft. El componente clave es el centro de Active Directory (AD). El el laboratorio se analiza cómo la UAG, AD FS con AD utilizan SharePoint para permitir a los usuarios acceder a la información. Este anuncio se maneja con Forefront Identity Manager (FIM) de 2010.

FIM 2010: Extender FIM 2010 – Soluciones para escenarios avanzados
Jueves, 14 de abril de 2011 14:00 (GMT -5) Hora de Madrid: 20:00
Ponente: Enrique Dutra
Idiomas: Español.
Productos: Microsoft Forefront, Microsoft Forefront Client Security, Microsoft Forefront Identity Manager, Microsoft Office SharePoint Server.
Público: Generalista de IT.
Forefront Identity Manager 2010 cubre muchos escenarios estándar clave fuera de la caja. Para cubrir requerimientos más avanzados, FIM2010 ofrece una extensión y personalización fuerte para construir sus propias extensiones. Analizaremos escenarios como Gestionar roles, Informes, Suministro de servicio y escenarios de aprobación avanzados y le mostraremos ejemplos de implementación. Además, esta charla cubrirá una descripción de socios FIM2010 ISV, como soluciones de valor agregado de ofertas Omada, BHold y Passlogix en la parte superior de FIM 2010.

Como puedes ver, una semana que no puedes perderte si estás interesado en ser un profesional de seguridad en tecnologías Microsoft.