<< Preview presentación técnica de MS Forefront en Hands On Lab en Madrid | MS Forefront será el protagonista en el Technet Security Day 2010 >>

MS Forefront Client Security: Creación y Aplicación de Políticas (I de IV)

by Admin 14. enero 2010 06:28

============================================================================
- MS Forefront Client Security: Creación y Aplicación de Políticas (I de IV)
- MS Forefront Client Security: Creación y Aplicación de Políticas (II de IV)
- MS Forefront Client Security: Creación y Aplicación de Políticas (III de IV)
- MS Forefront Client Security: Creación y Aplicación de Políticas (IV de IV)
============================================================================

Una vez que la solución MS Forefront Client Security se encuentra correctamente instalado, llega la hora de desplegar la política de funcionamiento que se desea aplicar a los clientes de la organización.
/> Utilizando la herramienta de administración se va a crear una política que se podrá aplicar, aprovechando los servicios de Active Directory, a una unidad organizativa, a un grupo de usuarios o a una GPO [Group Policy Object] ya existente. En este artículo se va a ver, paso a paso, como se crea una política y como se asigna a un grupo de equipos.

Creación de una política

El primer paso es, mediante el menú contextual, seleccionar la opción “Nueva política”. Automáticamente se abrirá la pestaña General del panel de configuración de políticas, en la que únicamente hay que seleccionar un nombre y una descripción que ayude a los administradores a guardar información relativa a ella.

Una vez asignada a algún elemento del Active Directory, aparecerá la lista de objetos a los que se aplica en el cuadro inferior. En el ejemplo de la Figura 1, se puede ver como esta política está aplicada a los Controladores y los Equipos del dominio, en este caso, el dominio se llama Empresa.

En esta pestaña también queda reflejado quién creo la política, quien ha hecho los últimos cambios y las fechas de creación y última modificación de la misma, que puede ayudar a detectar posibles fallos en configuraciones del sistema.

Figura 1: Pestaña General

En la pestaña Protección se deben configurar las opciones principales del servicio. En el primer grupo, “Protección contra Malware”, se define si se quiere que funcionen los servicios de Antivirus y/o Antispyware que forman el producto.

Figura 2: Pestaña Protección

En el grupo de opcioens “Examen en busca de malware” se define la política temporal de escaneo. Así, se puede activar la Protección en tiempo real, es decir, cada vez que un fichero está en uso; la planificación del escaneo completo del sistema, que debe realizarse a horas de poca carga de uso del equipo, como las horas de descanso, comidas o nocturnidad; y la periodicidad del escaneo rápido, es decir, de los archivos más importantes y servicios en ejecución.

Hay que tener especial cuidado a la hora de elegir esta política según los puestos de trabajo o los servidores. Un escaneo completo de un servidor demasiado intensivo puede generar una degradación en el rendimiento. Es por eso conveniente dividir las políticas de MS Forefront Client Security que afectan a equipos de sobremesa, portátiles, equipos antiguos y servidores.

Por último, utilizando MS Forefront Client Security se puede generar un informe del estado de seguridad que generará un informe de situación del equipo. Este informe recoge la configuración del sistema, las alertas generadas, la actualización de los parches, etc… que será enviado al servidor de alertas. Esta información podrá ser visualizada bajo demanda por el administrador del sistema desde la sesión del Informes. Es en el grupo de opciones inferior donde se define la política de generación de este informe.

En la pestaña Opciones Avanzadas se configuran cuatro grupos de características sobre el funcionamiento que va a tener el agente en la máquina cliente.

Figura 3: Pestaña Opciones Avanzadas

- Actualizaciones de las definiciones de malware: El motor antispyware y antivirus debe ser actualizado periódicamente y con este grupo de opciones se define cual va a ser el comportamiento de la actualización. Se puede actualizar antes de cada escaneo y/o con un intervalo predeterminado de tiempo. Además, como las firmas se actualizan desde el servidor WSUS, si este no estuviera se puede configurar el uso de los servidores de Microsoft Update directamente. Esto garantizaría que, tanto si se utiliza WSUS como si se usan los servicios de Microsoft Update, la base de datos de firmas está actualizada cuando se desea.

- Opciones de examen en busca de malware: Con este grupo se definen tres características especiales.
o Examinar archivos de almacenamiento: El motor inspeccionará los archivos metidos dentro de ficheros comprimidos.
o Usar método heurístico: Si se utiliza esta opción el análisis será un poco más lento pero más exhaustivo. Se analizarán no sólo la firma del fichero sino la estructura del mismo y ciertos patrones típicos en malware. Permite detectar malware no firmado.
o Eliminar archivos en cuarentena: Los archivos que se depositan en cuarentena se dejan ahí para un análisis posterior. Si no se ha revisado durante un tiempo, la política puede forzar su eliminación.

- Excepciones de los exámenes en busca de malware: Este grupo permite generar una lista de ubicaciones o de extensiones de ficheros que no van a ser analizados por el motor antimalware. Suele configurarse para proteger herramientas de administración que puedan confundirse con malware y den falsos positivos.

- Opciones del cliente: El primer grupo de opciones definirá si el usuario en la máquina cliente podrá abrir la herramienta del agente de MS Forefront Client Security o por el contrario sólo podrá actuar con la herramienta mediante los mensajes que muestre el agente. Su única herramienta será la visualizacion del icono en la barra de estado que mostrará mensajes. En segundo lugar, independientemente del grado de interación que se deje con el usuario, se podrá restringuir que acciones se le permiten al usuario. Estas acciones podrán ser realizadas mediante las opciones de la herramienta cliente o mediante opciones que le serán mostradas en los mensajes de alerta. Así se le podrá permitir cambiar la configuración a los usuarios administradores, agregar exclusiones o cambiar el comportamiento del motor mediante invalidaciones en situaciones de excepción e incluso tomar o no decisiones ante ficheros no reconocidos.
============================================================================
- MS Forefront Client Security: Creación y Aplicación de Políticas (I de IV)
- MS Forefront Client Security: Creación y Aplicación de Políticas (II de IV)
- MS Forefront Client Security: Creación y Aplicación de Políticas (III de IV)
- MS Forefront Client Security: Creación y Aplicación de Políticas (IV de IV)
============================================================================