Le futur de la gamme de produits de sécurité Forefront Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France http://blogs.technet.com/stanislas © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Agenda Introduction Forefront Stirling Les autres produits Forefront Les défis en terme de sécurité & d’accès Vue d’ensemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

Agenda Introduction Forefront Stirling Les autres produits Forefront Les défis en terme de sécurité & d’accès Vue d’ensemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

Sécurité & accès, les défis actuels Menaces en constante évolution Plus sophistiquées Volume en augmentation Motivées par le profit Sécurité des SI plutôt fragmentée De nombreux produits Faible interopérabilité Manque d’intégration Administration et déploiements difficiles Consoles multiples Faible coordination entre le reporting et l’analyse Coût et complexité souvent élevés

Vue d’ensemble de la gamme Microsoft Forefront aujourd’hui Protection du périmètre ISA Server 2006 Intelligent Application Gateway 2007 Protection des serveurs de collaboration Forefront Security for Exchange Forefront Security for SharePoint Forefront Security for OCS Forefront Management Console Protection des systèmes Forefront Client Security Proxy Web Reverse Proxy VPN Antivirus (multi moteurs) & Filtrage de contenu Antivirus Antispyware + évaluation de sécurité

Évolution de la gamme Forefront (les petits nouveaux qui arrivent) Protection du périmètre Forefront Threat Management Gateway Forefront Unified Access Gateway Protection des serveurs de collaboration Forefront Security for Exchange v11 Forefront Security for SharePoint v11 Protection des systèmes Forefront Client Security v2 Et surtout

Agenda Introduction Forefront Stirling Les autres produits Forefront Les défis en terme de sécurité & d’accès Vue d’ensemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

Objectif de Forefront Stirling Permettre une protection unifiée de votre Système d’Information Quelques exemples pour illustrer tout ça 

Téléchargement de logiciel illégal Exemple 1 : situation actuelle (ou presque vu qu’IIS est plutôt robuste depuis sa version 6.0 ;-) ) WEB Téléchargement de logiciel illégal Protection périmétrique Code d’exploitation d’IIS connu Descente d’outils de hacking WEB Utilisation du serveur pour distribuer des logiciels illégaux Serveur Web Serveur de stockage Pirate IIS oublié, pas à jour

Exemple 2 : avec Stirling Canal d’évaluations de sécurité (Security Assessments Channel) Exemple 2 : avec Stirling Administrateur de la sécurité Vulnérable Ordinateur IIS-OLD Fidélité Elevée Gravité Elevée Expiration : Mer Compromission Ordinateur IIS-OLD Fidélité Elevée Gravité Elevée Expiration: Mer Compromission Utilisateur: IIS-Admin Fidélité Moyenne Gravité Elevée Expiration : Mer Compromission Ordinateur IIS-OLD Fidélité Elevée Gravité Elevée Expiration : Mer Compromision Ordinateur Storage-Server Fidélité Elevé Gravité Moyenne Expire: Mer Alerte WEB FCS détecte que le serveur IIS n’est pas à jour FCS détecte de multiples logiciels malveillants sur le serveur IIS Stirling Core TMG détecte une exploitation ciblant la machine IIS FCS marque l’utilisateur sur le serveur IIS comme compromis Forefront TMG détecte une utilisation excessive du réseau sur la machine de stockage ForefrontClient Security Code d’exploitation d’IIS connu Bloquer Email Bloquer Réinitialiser le compte Protection périmétrique Analyses antimalware fréquentes Quarantaine Forefront Server for: Exchange, SharePoint OCS NAP Active Directory Téléchargement de logiciel illégal Descente d’outils de hacking WEB Serveur Web Serveur de stockage Utilisation du serveur pour distribuer des logiciels illégaux Pirate IIS oublié, pas à jour

Réponse dynamique définie par stratégie Problème (ex: machine compromise) Fidélité élevée Fidélité moyenne Fidélité basse Gravité élevée Alerte (priorité haute) Analyse complète FCS Blocage de l’accès Internet TMG Alerte (priorité moyenne) Analyse rapide FCS Restriction d’accès TMG Gravité moyenne Alerte (priorité basse) Augmentation de l’audit de TMG Gravité faible Alerte Audit Analyse Protection

Réponse dynamique définie par stratégie Objectifs avec Forefront Stirling : Automatiser un processus manuel souvent existant Accélérer l’application du processus Faire une abstraction du niveau de détails et se concentrer sur l’évènement/alerte en terme de : Fidélité Gravité Une politique de réponse par défaut est présente et modifiable

Forefront « Stirling » est une infrastructure comprenant… Un serveur avec une console d’administration centralisée et de supervision le serveur Core Forefront Stirling Les prochains produits de la gamme Forefront Antimalware pour la protection des systèmes Antimalware pour la messagerie Antimalware pour portail collaboratif Passerelle de sécurité Des serveurs assurant la conformité des postes Serveurs de mise à jour Serveurs de politique réseau © 2007 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 13

Produits Forefront intégrés avec Forefront Stirling Dans la version actuelle (beta 2) Forefront Threat Management Gateway Forefront Security for Exchange v11 Forefront Security for SharePoint v11 Forefront Client Security v2 Actuellement il n’y a pas encore d’intégration pour Forefront Security for Office Communication Service Forefront Unified Access Gateway

Forefront Stirling : principe Administration / Supervision Réponse Dynamique (en fonction de la gravité et la fidélité) Remontée et partage d’informations Protection des systèmes (postes et serveurs) Protection des applications serveurs Protection du périmètre « v2 »

Console Forefront Stirling 2 usages principaux Gestion des stratégies Stirling Surveillance et gestion de rapports Autres usages Investigation

Modèle de gestion unifiée Modèle de gestion par stratégies Définition de stratégies de sécurité uniques qui s’appliquent sur plusieurs cibles Un seul moteur de règles Calcul du résultat d’application des politiques à l’aide d’un outil “RSOP” dans la console Découverte centralisée Utilisateurs depuis l’Active Directory Machines depuis System Center Operations Manager Gestion simplifiée des biens (assets : machines ou utilisateur protégés par un logiciel Forefront) Regroupement flexible Recherche sur critères multiples et dynamique des cibles

Assets et groupes dans Stirling Asset = ordinateur ou utilisateur Un groupe d’Assets est défini par une requête écrite en GDL (Group Definition Language) le contenu d’un groupe est donc dynamique Exemples de requêtes Fsys.ServerRole=Exchange Fsys.ADOU=‘OU=pcportables, DC=mondomaine,DC=com’

GDL – attributs Stirling Attribute Input type Description Multivalued Discovered FSys.NetbiosName String Nom NetBIOS dThe NetBIOS name of the asset. No Yes FSys.IsManaged Boolean Whether or not there is a Stirling agent installed on the asset and managed by the Stirling server. Value can be either True or False. FSys.AssetId Int64 Stirling asset identifier. This read-only attribute is automatically created for the asset. FSys.DnsFqdn The Domain Name System (DNS) FQDN for the asset. FSys.IPv4 The TCP/IP V4 address of the asset. FSys.ADDomain The Active Directory domain to which the asset belongs. FSys.ADOU The Active Directory organizational unit (OU) in which the asset resides. FSys.ADGroup Sid (string) An Active Directory group of which the asset is a member. FSys.SID The SID (security identifier) of the asset. FSys.GroupBy String or integer Custom multivalued attribute that can contain any string value. Limited to 256 characters/integers. FSys.ServerRole Stirling server roles discovered on the asset by the Stirling agent. Yes (Only Exchange 2007 is discovered) FSys.AssetCriticality Int32 The criticality of the asset.

demo Forefront "Stirling" Création d’un groupe 3/30/2017 11:00 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Stratégies Stirling Les stratégies Stirling permettent de définir les paramètres ou configuration à déployer pour les postes managés ou des utilisateurs Une stratégie est constituée de une ou plusieurs unités de stratégies (policy unit) Il existe des unités de stratégies relatives à FCS v2, au pare-feu Windows, à NIS, à NAP… Une fois une stratégie définie, il faut la lier à un ou plusieurs groupes (requête GDL) Une machine ou un utilisateur peuvent donc être concernés par plusieurs politiques. Il existe une notion de priorité des stratégies

Stratégies Stirling

SSA Dans « Forefront Stirling » la vérification et application de la conformité des cibles s’effectue sur : La vérification de services indésirables La présence de DEP (Data Execution Prevention) La présence de NTFS ou de partages réseaux Les erreurs de configuration sur IIS, SQL Les erreurs sur les comptes (Autologin, expiration de mots de passe … ) Sécurité des macros sur Office Le paramétrage d’Internet Explorer La configuration de l’UAC

Déploiement des stratégies Forefront Stirling distribue ses stratégies aux ordinateurs en leur envoyant un fichier de règles (Management Pack) SCOM 2007 Répertoire C:\Program Files\System Center Operations Manager 2007\Health Service State\Management Packs Stratégies Stirling vs Stratégies de groupes Active Directory Vitesse d’application bien plus rapide sur Stirling GPO Active Directory : 90 minutes par défaut Stratégies Stirling via SCOM 2007 R2 : quelques minutes

PowerShell dans Stirling La console “Stirling” s’appuie à 100% sur PowerShell Tout ce qui est visible sur l’interface graphique est “scriptable” Permet d’automatiser les tâches d’administration de la sécurité Plus de 100 Cmdlets disponibles Gestion des groupes (création, modification, suppression) Génération de rapports…

demo Forefront "Stirling" PowerShell 3/30/2017 11:00 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Agenda Introduction Forefront Stirling Les autres produits Forefront Les défis en terme de sécurité & d’accès Vue d’ensemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

Forefront Client Security v2 FCS v2 est le successeur de Forefront Client Security FCS v2 fonctionne avec Forefront Stirling pour : Le déploiement des stratégies de configuration La surveillance La génération de rapports FCS v2 ne dispose pas de console d’administration spécifique, il nécessite la console Forefront Stirling

Nouveautés FCS v2 Technologies déjà présentes en version 1 Antimalware (AM) – antivirus et antispyware Security State Assessment (SSA) Contrôle de conformité (SHA NAP) Nouvelles fonctionnalités Configuration du pare-feu de Windows Network Inspection System (NIS) « Sorte d’IPS » s’appuyant sur un système de modélisation des vulnérabilités connues Système de gestion des logiciels autorisés (ASM) Aide à la constitution de “listes vertes” Intégration avec “Stirling”

Protection unifiée : couverture Réactif Antivirus/ Antispyware Blocage, suppression des logiciels malveillants Network Inspection System (NIS) Aide à la protection contre les Zero-day Forefront “Stirling” Réponse Dynamique Collaboration avec les autres produits Forefront Évaluation des vunérabilités (SSA) Réduction des surfaces d’attaque Pare feu personnel Restriction des actions applicatives Aide à la protection contre les Zero-day Authorized Software Management (ASM) Proactif

Network Inspection System (NIS) Détection à base de signatures de trafic malveillant Basé sur un projet de recherche Microsoft (GAPA) Generic Application Protocol Analyzer Distribue des signatures de vulnérabilités (ex: MS08-33), et non des signatures d’“exploits” (type Snort) A chaque sortie de bulletin de sécurité on aura La mise à jour de sécurité ET les signatures NIS associées Permet de faire “gagner du temps” aux responsables sécurité lors de la mise à disposition de nouveaux correctifs (« Tuesday Patch »…) Disponible sur Forefront TMG et FCS v2

Infrastructure nécessaire Architecture FCS v2 Infrastructure nécessaire Microsoft Update Stratégie(s) SIGNATURE, UPDATES Groupes Stratégie(s) Rapports Network Access Protection (NAP) Evènements Forefront Client Security v2

Gestion centralisée Par défaut, FCS v2 permet à l’utilisateur de modifier la configuration de la protection L’administrateur peut restreindre l’interface de l’utilisateur de manière centralisée grâce à une stratégie Stirling

Agents présents sur le client SCOM 2007 Agent Seulement un véhicule de "transport" Reçoit les politiques de sécurité et les demandes de tâches Envoie des évènements vers la console Stirling Sur le poste client on retrouve des infos sur les mises à jours Dans le journal des événements Dans le répertoire cité dans un slide précédemment Forefront System Agent (aka Stirling Agent) C’est un "dispatcher" Il coordonne les communications entre le serveur Stirling Core et les technonologies de protection Il communique avec l’agent SCOM et les APTs (Asset Protection Technology) Asset Protection Technology Ils font le “travail” Forefront Host Protection (FCS) Pare-feu Windows Stratégie de groupe (GPO)…

Agenda Introduction Forefront Stirling Les autres produits Forefront Les défis en terme de sécurité & d’accès Vue d’ensemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

Forefront Security for Exchange Version 11 Antivirus et antispyware Quelques changements dans le nombre de moteurs Nouveau : gestion de l’anti spam Rappel : la v10 ne fait que l’antivirus et le filtrage de contenu Intégration avec Exchange Hosted Filtering Solution hébergée de filtrage (antivirus, anti spam, filtrage de contenu) Solution avec niveaux de services contractuels

Forefront Security for SharePoint Version 11 Support de la prochaine version de SharePoint et de la version actuelle Nouvelle interface d’administration Intégration avec Forefront Stirling… … et probablement plein d’autres nouveautés Mais non divulguées pour l’instant 

Agenda Introduction Forefront Stirling Les autres produits Forefront Les défis en terme de sécurité & d’accès Vue d’ensemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

Forefront Threat Management Gateway (TMG) Successeur d’ISA Server 2006 Fonctionne sur Windows Server 2008 64 bits 3 utilisations Proxy Web : accès sécurisés vers Internet Reverse Proxy : accès distants Web depuis Internet Passerelle VPN : nomade ou site à site Plein de nouveautés Intégration avec Forefront Stirling Network Inspection System Antimalware sur HTTP Inspection SSL… 1 heure sur le sujet, en fin d’après-midi à la session sur Forefront TMG ;-)

Intégration à "Stirling"

TMG état de connectivité

Plan de réponse avec TMG, FCSv2…

Suivi des incidents

Implémentation (Limit/Block Access)

Agenda Introduction Forefront Stirling Les autres produits Forefront Les défis en terme de sécurité & d’accès Vue d’ensemble de la gamme Forefront Forefront Stirling Les autres produits Forefront Forefront Client Security v2 Forefront Security for Servers Forefront Threat Management Gateway Synthèse Ressources utiles

Synthèse Protection unifiée Administration rationnalisée Supervision Protection à plusieurs niveaux dans l’entreprise Technologies de protection qui partagent les informations Administration rationnalisée Une seule console Définition d’une seule stratégie de sécurité à travers plusieurs technologies (Forefront TMG, FCSv2, prochaine version Forefront Security for Exchange, Forefront Security for SharePoint…) Déploiement rapide des signatures, stratégies et logiciels Intégration dans l’infrastructure existante SCOM, SQL, WSUS, AD, NAP, SCCM Supervision Connaître et suivre l’état de sécurité Rapports complets Identifier et corriger les risques de sécurité

Ressources utiles Blog de Stanislas http://blogs.technet.com/stanislas Dans ce blog, cliquez Forefront Stirling, Forefront TMG, Forefront Security Client… dans la zone de tags pour accéder à toutes les informations complémentaires et les liens vers les documents de références.

Save the date for tech·days next year! 3/30/2017 11:00 AM Save the date for tech·days next year! 14 – 15 avril 2010, CICG © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Premium Sponsoring Partners 3/30/2017 11:00 AM Premium Sponsoring Partners Classic Sponsoring Partners © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

3/30/2017 11:00 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.