La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France

Présentations similaires


Présentation au sujet: "Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France"— Transcription de la présentation:

1 Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France

2 Introduction Les défis en terme de sécurité & daccès Vue densemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

3 Introduction Les défis en terme de sécurité & daccès Vue densemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

4 Menaces en constante évolution Plus sophistiquées Volume en augmentation Motivées par le profit Sécurité des SI plutôt fragmentée De nombreux produits Faible interopérabilité Manque dintégration Administration et déploiements difficiles Consoles multiples Faible coordination entre le reporting et lanalyse Coût et complexité souvent élevés

5 Protection du périmètre ISA Server 2006 Intelligent Application Gateway 2007 Protection des serveurs de collaboration Forefront Security for Exchange Forefront Security for SharePoint Forefront Security for OCS Forefront Management Console Protection des systèmes Forefront Client Security Antivirus Antispyware + évaluation de sécurité Antivirus (multi moteurs) & Filtrage de contenu Proxy Web Reverse Proxy VPN

6 Protection du périmètre Forefront Threat Management Gateway Forefront Unified Access Gateway Protection des serveurs de collaboration Forefront Security for Exchange v11 Forefront Security for SharePoint v11 Protection des systèmes Forefront Client Security v2 Et surtout

7 Introduction Les défis en terme de sécurité & daccès Vue densemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

8 Permettre une protection unifiée de votre Système dInformation Quelques exemples pour illustrer tout ça

9 Protection périmétrique WEB Pirate WEB Serveur Web Serveur de stockage IIS oublié, pas à jour Descente doutils de hacking Code dexploitation dIIS connu Utilisation du serveur pour distribuer des logiciels illégaux Téléchargement de logiciel illégal

10 Protection périmétrique WEB Pirate WEB Serveur WebServeur de stockage IIS oublié, pas à jour Descente doutils de hacking Code dexploitation dIIS connu Utilisation du serveur pour distribuer des logiciels illégaux Forefront Client Security NAP Active Directory Quarantaine Bloquer Bloquer Réinitialiser le compte Administrateur de la sécurité Canal dévaluations de sécurité ( Security Assessments Channel ) Vulnérable Ordinateur IIS- OLD Fidélité Elevée Gravité Elevée Expiration : Mer Stirling Core Compromission Ordinateur IIS- OLD Fidélité Elevée Gravité Elevée Expiration: Mer Compromission Utilisateur: IIS- Admin Fidélité Moyenne Gravité Elevée Expiration : Mer Compromission Ordinateur IIS- OLD Fidélité Elevée Gravité Elevée Expiration : Mer Compromision Ordinateur Storage-Server Fidélité Elevé Gravité Moyenne Expire: Mer Alerte Forefront Server for: Exchange, SharePoint OCS Analyses antimalware fréquentes FCS marque lutilisateur sur le serveur IIS comme compromis FCS détecte que le serveur IIS nest pas à jour FCS détecte de multiples logiciels malveillants sur le serveur IIS TMG détecte une exploitation ciblant la machine IIS Forefront TMG détecte une utilisation excessive du réseau sur la machine de stockage Téléchargement de logiciel illégal

11 Problème (ex: machine compromise) Fidélité élevée Fidélité moyenne Fidélité basse Gravité élevée Alerte (priorité haute) Analyse complète FCS Blocage de laccès Internet TMG Alerte (priorité moyenne) Analyse rapide FCS Restriction daccès TMG Analyse rapide FCS Gravité moyenne Alerte (priorité basse) Restriction daccès TMG Analyse rapide FCS Augmentation de laudit de TMG Gravité faible Augmentation de laudit de TMG Alerte Audit Analyse Protection

12 Objectifs avec Forefront Stirling : Automatiser un processus manuel souvent existant Accélérer lapplication du processus Faire une abstraction du niveau de détails et se concentrer sur lévènement/alerte en terme de : Fidélité Gravité Une politique de réponse par défaut est présente et modifiable

13 Un serveur avec une console dadministration centralisée et de supervision le serveur Core Forefront Stirling Les prochains produits de la gamme Forefront Antimalware pour la protection des systèmes Antimalware pour la messagerie Antimalware pour portail collaboratif Passerelle de sécurité Des serveurs assurant la conformité des postes Serveurs de mise à jour Serveurs de politique réseau

14 Dans la version actuelle (beta 2) Forefront Threat Management Gateway Forefront Security for Exchange v11 Forefront Security for SharePoint v11 Forefront Client Security v2 Actuellement il ny a pas encore dintégration pour Forefront Security for Office Communication Service Forefront Unified Access Gateway

15 Protection des systèmes (postes et serveurs) Protection des applications serveurs Protection du périmètre « v2 » Remontée et partage dinformations Réponse Dynamique (en fonction de la gravité et la fidélité) Administration / Supervision

16 2 usages principaux Gestion des stratégies Stirling Surveillance et gestion de rapports Autres usages Investigation

17 Modèle de gestion par stratégies Définition de stratégies de sécurité uniques qui sappliquent sur plusieurs cibles Un seul moteur de règles Calcul du résultat dapplication des politiques à laide dun outil RSOP dans la console Découverte centralisée Utilisateurs depuis lActive Directory Machines depuis System Center Operations Manager Gestion simplifiée des biens (assets : machines ou utilisateur protégés par un logiciel Forefront) Regroupement flexible Recherche sur critères multiples et dynamique des cibles

18 Asset = ordinateur ou utilisateur Un groupe dAssets est défini par une requête écrite en GDL (Group Definition Language) le contenu dun groupe est donc dynamique Exemples de requêtes Fsys.ServerRole=Exchange Fsys.ADOU=OU=pcportables, DC=mondomaine,DC=com

19 Attribute Input typeDescriptionMultivaluedDiscovered FSys.NetbiosName StringNom NetBIOS dThe NetBIOS name of the asset.NoYes FSys.IsManaged Boolean Whether or not there is a Stirling agent installed on the asset and managed by the Stirling server. Value can be either True or False. NoYes FSys.AssetId Int64 Stirling asset identifier. This read-only attribute is automatically created for the asset. No FSys.DnsFqdn String The Domain Name System (DNS) FQDN for the asset. Yes FSys.IPv4 StringThe TCP/IP V4 address of the asset.YesNo FSys.ADDomain String The Active Directory domain to which the asset belongs. NoYes FSys.ADOU String The Active Directory organizational unit (OU) in which the asset resides. Yes FSys.ADGroup Sid (string) An Active Directory group of which the asset is a member. YesNo FSys.SID Sid (string)The SID (security identifier) of the asset.No FSys.GroupBy String or integer Custom multivalued attribute that can contain any string value. Limited to 256 characters/integers. YesNo FSys.ServerRole String Stirling server roles discovered on the asset by the Stirling agent. Yes Yes (Only Exchange 2007 is discovered) FSys.AssetCriticality Int32The criticality of the asset.No

20 Création dun groupe

21 Les stratégies Stirling permettent de définir les paramètres ou configuration à déployer pour les postes managés ou des utilisateurs Une stratégie est constituée de une ou plusieurs unités de stratégies (policy unit) Il existe des unités de stratégies relatives à FCS v2, au pare-feu Windows, à NIS, à NAP… Une fois une stratégie définie, il faut la lier à un ou plusieurs groupes (requête GDL) Une machine ou un utilisateur peuvent donc être concernés par plusieurs politiques. Il existe une notion de priorité des stratégies

22

23 Dans « Forefront Stirling » la vérification et application de la conformité des cibles seffectue sur : La vérification de services indésirables La présence de DEP (Data Execution Prevention) La présence de NTFS ou de partages réseaux Les erreurs de configuration sur IIS, SQL Les erreurs sur les comptes (Autologin, expiration de mots de passe … ) Sécurité des macros sur Office Le paramétrage dInternet Explorer La configuration de lUAC

24 Forefront Stirling distribue ses stratégies aux ordinateurs en leur envoyant un fichier de règles (Management Pack) SCOM 2007 Répertoire C:\Program Files\System Center Operations Manager 2007\Health Service State\Management Packs Stratégies Stirling vs Stratégies de groupes Active Directory Vitesse dapplication bien plus rapide sur Stirling GPO Active Directory : 90 minutes par défaut Stratégies Stirling via SCOM 2007 R2 : quelques minutes

25

26

27

28

29

30 La console Stirling sappuie à 100% sur PowerShell Tout ce qui est visible sur linterface graphique est scriptable Permet dautomatiser les tâches dadministration de la sécurité Plus de 100 Cmdlets disponibles Gestion des groupes (création, modification, suppression) Génération de rapports…

31 PowerShell

32 Introduction Les défis en terme de sécurité & daccès Vue densemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

33 FCS v2 est le successeur de Forefront Client Security FCS v2 fonctionne avec Forefront Stirling pour : Le déploiement des stratégies de configuration La surveillance La génération de rapports FCS v2 ne dispose pas de console dadministration spécifique, il nécessite la console Forefront Stirling

34 Technologies déjà présentes en version 1 Antimalware (AM) – antivirus et antispyware Security State Assessment (SSA) Contrôle de conformité (SHA NAP) Nouvelles fonctionnalités Configuration du pare-feu de Windows Network Inspection System (NIS) « Sorte dIPS » sappuyant sur un système de modélisation des vulnérabilités connues Système de gestion des logiciels autorisés (ASM) Aide à la constitution de listes vertes Intégration avec Stirling

35

36 Network Inspection System (NIS) Aide à la protection contre les Zero-day Blocage, suppression des logiciels malveillants Antivirus/ Antispyware Pare feu personnel Restriction des actions applicatives Réduction des surfaces dattaque Évaluation des vunérabilités (SSA) Collaboration avec les autres produits Forefront Forefront Stirling Réponse Dynamique Forefront Stirling Réponse Dynamique Aide à la protection contre les Zero-day Authorized Software Management (ASM) Proactif Réactif

37 Détection à base de signatures de trafic malveillant Basé sur un projet de recherche Microsoft (GAPA) Generic Application Protocol Analyzer Distribue des signatures de vulnérabilités (ex: MS08- 33), et non des signatures dexploits (type Snort) A chaque sortie de bulletin de sécurité on aura La mise à jour de sécurité ET les signatures NIS associées Permet de faire gagner du temps aux responsables sécurité lors de la mise à disposition de nouveaux correctifs (« Tuesday Patch »…) Disponible sur Forefront TMG et FCS v2

38 Stratégie(s) SIGNATURE, UPDATES Microsoft Update Stratégie(s) Evènements Network Access Protection (NAP) Forefront Client Security v2 Infrastructure nécessaire Rapports Groupes

39 Par défaut, FCS v2 permet à lutilisateur de modifier la configuration de la protection Ladministrateur peut restreindre linterface de lutilisateur de manière centralisée grâce à une stratégie Stirling

40

41 SCOM 2007 Agent Seulement un véhicule de "transport" Reçoit les politiques de sécurité et les demandes de tâches Envoie des évènements vers la console Stirling Sur le poste client on retrouve des infos sur les mises à jours Dans le journal des événements Dans le répertoire cité dans un slide précédemment Forefront System Agent (aka Stirling Agent) Cest un "dispatcher" Il coordonne les communications entre le serveur Stirling Core et les technonologies de protection Il communique avec lagent SCOM et les APTs (Asset Protection Technology) Asset Protection Technology Ils font le travail Forefront Host Protection (FCS) Pare-feu Windows Stratégie de groupe (GPO)…

42 Introduction Les défis en terme de sécurité & daccès Vue densemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

43 Antivirus et antispyware Quelques changements dans le nombre de moteurs Nouveau : gestion de lanti spam Rappel : la v10 ne fait que lantivirus et le filtrage de contenu Intégration avec Exchange Hosted Filtering Solution hébergée de filtrage (antivirus, anti spam, filtrage de contenu) Solution avec niveaux de services contractuels

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58 Support de la prochaine version de SharePoint et de la version actuelle Nouvelle interface dadministration Intégration avec Forefront Stirling… … et probablement plein dautres nouveautés Mais non divulguées pour linstant

59

60

61

62

63 Introduction Les défis en terme de sécurité & daccès Vue densemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

64 Successeur dISA Server 2006 Fonctionne sur Windows Server bits 3 utilisations Proxy Web : accès sécurisés vers Internet Reverse Proxy : accès distants Web depuis Internet Passerelle VPN : nomade ou site à site Plein de nouveautés Intégration avec Forefront Stirling Network Inspection System Antimalware sur HTTP Inspection SSL… 1 heure sur le sujet, en fin daprès-midi à la session sur Forefront TMG ;-)

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79 Introduction Les défis en terme de sécurité & daccès Vue densemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

80 Protection unifiée Protection à plusieurs niveaux dans lentreprise Technologies de protection qui partagent les informations Administration rationnalisée Une seule console Définition dune seule stratégie de sécurité à travers plusieurs technologies (Forefront TMG, FCSv2, prochaine version Forefront Security for Exchange, Forefront Security for SharePoint…) Déploiement rapide des signatures, stratégies et logiciels Intégration dans linfrastructure existante SCOM, SQL, WSUS, AD, NAP, SCCM Supervision Connaître et suivre létat de sécurité Rapports complets Identifier et corriger les risques de sécurité

81 Blog de Stanislas Dans ce blog, cliquez Forefront Stirling, Forefront TMG, Forefront Security Client… dans la zone de tags pour accéder à toutes les informations complémentaires et les liens vers les documents de références.

82 14 – 15 avril 2010, CICG

83 Classic Sponsoring Partners Premium Sponsoring Partners

84


Télécharger ppt "Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France"