Speaker name Title Group Microsoft Corporation

Présentation au sujet: "Speaker name Title Group Microsoft Corporation"— Transcription de la présentation:

1 Speaker name Title Group Microsoft Corporation

2 Agenda L’environnement Sécurité
Présentation de la gamme de produits de sécurité Microsoft Microsoft Forefront™ Microsoft Forefront Client Security In today’s great presentation, we will begin by taking a broad look at the current security environment before providing an introduction to the Microsoft Forefront family of products. We will then present Microsoft Forefront Client Security, which is our software solution that delivers unified malware protection for business desktops, laptops and server operating systems that is easier to manage and control. We will examine in detail how this solution delivers unified protection, simplified administration, and critical visibility & control, before wrapping up with some final thoughts.

3 Un environnement de sécurité en perpétuelle évolution
Les menaces sont plus dangereuses que jamais Segmentation des technologies de sécurité Difficiles à utiliser, à déployer et à gérer Plus complexes Motivées par l’argent Plus fréquentes Orientées Applications Trop de produits uniques Pauvre interopérabilité Manque d’intégration Consoles multiples Rapports et analyses d’événements non coordonnés Coûteux et complexes Nécessité de Solutions de Sécurité Les menaces sont plus dangereuses que jamais : Motivées par l’argent et plus évoluées Plus fréquentes avec moins de temps pour l’hésitation Les attaques ont monté d’un cran pour s’attaquer aux applications Fragmentation : Trop de produits clefs qui n’interagissent pas Des consoles de gestion séparées pour chaque produit Des produits différents empêchent un journal d’événement unifié et analytique Difficultés: Difficulté de gestion et d’achat Manque d’intégration qui entraine une amplification de la complexité Travaux couteux et complet pour un déploiement efficace à travers le réseau. Natalie Lambert: Client Antivirus And Firewall Adoption In 2006 “THE CLIENT SECURITY SUITE PENDULUM IS SWINGING « Alors que la majorité des entreprises préfèrent déployer la sécurité des postes clients comme produits uniques, le marché des suites de sécurité des postes client gagne en attrait. Alors que seulement 30% des entreprises optent actuellement pour des suites sécurité, il y a eu une augmentation depuis les 24% qui en utilisait en Pourquoi les entreprises regardent elles ces suites ? La plupart site la gestion simplifiée, vu que ces solutions intègrent une console de gestion pour toutes les technologies installées. Les interrogés citent aussi les coûts moindres et la sécurité additionnelle comme raison les poussant à se tourner vers ces solutions. Notre recommandation ? Il est temps de réévaluer les décisions et de se tourner vers les suites. Les suites offrent une protection supplémentaire pour une léger surcoût, avec un axe d’intégration qui améliore leur gestion et les journaux d’événements. Les entreprises qui favorisent la diversification en déployant diverses technologies de sécurité client de distributeurs différents vont commencer à sacrifier la sécurité avec un surplus de difficulté d’administration. » Natalie Lambert and Michael Speyer: The State of Security in SMBs and Enterprises September 21, 2005 « Alors que 82% des entreprises notent que l’intégration de l’infrastructure est un axe important, 95% des services financiers des entreprises nous apprennent que cette intégration est importante pour leur achat de technologie de sécurité. Intégration et gestion simplifée sont des axes importants lors d’achats en sécurité. 34% des entreprises nord américaines ont qualifié la simplification de la gestion comme point très important. » Natalie Lambert & David Friedlander: The Forrester Wave™: Client Security Suites, Q2 2005 « Près de 65% des entreprises ont opté pour un déploiement des meilleurs outils du jour, Forrester s’attend à ce que le marché change rapidement pour se tourner vers les suites de sécurité vu que les distributeurs leaders proposent des fonctionnalités supplémentaires dans des domaines clefs. Les suites offrents aux client une approche plus structurée sur la sécurité client plutôt que d’utiliser un antivirus, ce qui offre une protection contre: les codes mal-intentionnés connus avec une technologie signée reconnue; les codes mal-intentionnés non connus ou les attaques basés sur des technologies heuristiques comme HIPS; et les attaques réseaux et trafics supplémentaires à travers des applications mal intentionnées et se servant des firewalls client. Citation : Understanding the Nine Protection Styles of Host-Based Intrusion Prevention, by Neil MacDonald, Mai Ceci est une partie d’une citation plus importante: « Toutes les structures de sécurité devraient intégrer une approche compréhensive et par étape pour se protéger des intrusions. Utilisez notre structure basée sur les 9 outils de prévention pour comprendre quel style ou quel combinaison est la meilleure pour protéger vos serveurs et vos ordinateurs. » Complètes Intégrées Simplifiées

4 Principes de la gamme de produits de sécurité Microsoft
Complètes Intégrées Simplifiées Protection de l’information et contrôle des accès sur : Système d’Exploitation Applications Serveurs Périphérie Réseau Contenu Hétérogénéité Produits tiers Sécuriser les applications maison Réactivité 24h/24, 7j/7 Intégration Inter-Produit Produits sécurité MS Applications serveurs MS S’intègre avec les infrastructures IT Microsoft existantes AD, SQL, MOM, etc. Intégration avec un écosystème de partenaires et les applications maison Vision unifiée et analytique Réduit le nombre de console de management Déploiement simplifié Appliances Conseils techniques et industriels Licensing simplifié Compréhensif Général : « est-ce crédible venant de Microsoft » Faire comprendre que c’est « nécessaire mais pas suffisant », mais là ou nous tirons le plus de bénéfice c’est en soulignant les grands problèmes lié à l’intégration et à la gestion Hétérogénéité Modèles et approches pour développer des modèles, e.g. Etendons-nous le concept multi-moteur d’Antigen à d’autres produits ? Si oui, devons nous licencer de tels moteurs ou créer un système ouvert (APIs?) pour qu’ils s’intègrent avec ? Discuter des efforts autour de WS-Management et des standards relatifs Adoption au sein de Microsoft Comment encourageons/demandons nous l’adoption par l’écosystème partenaires ? Licensing Stratégie pour vendre et packager les suites

5 La gamme complète de produits de sécurité d’entreprise Microsoft Forefront vous aide à améliorer votre protection grâce à une intégration profonde et une gestion simplifiée Périphérie Applications Serveurs Systèmes clients et serveurs The Microsoft Forefront comprehensive family of business security products provides greater protection and control over the security of your network infrastructure. Microsoft Forefront security products easily integrate with each other, with your organization’s IT infrastructure, and can be supplemented through interoperable third-party solutions, enabling end-to-end, defense-in-depth security solutions. Simplified management, analysis, and deployment enable you to more efficiently protect your organization’s information resources and secure access to applications and servers. Products included in the Microsoft Forefront family are: Microsoft Forefront Client Security: The focus of the rest of today’s presentation Antigen Products: Solutions that help businesses worldwide improve protection of their messaging and collaboration servers from viruses, worms, and spam. Whale: An Intelligent Application Gateway (IAG) and Application Optimizers that provide secure remote access, deep content inspection and policy-based access control for a wide variety of line-of-business resources, (such as SAP, IBM, EMC and others), from more locations and devices, including unmanaged Internet kiosks, PCs and mobile devices. ISA Server: An application layer firewall, VPN, and web cache solution that adds advanced application-layer firewall protection for Microsoft Exchange Server and other Microsoft applications, providing greater security than most traditional hardware firewalls. Network Access Protection (NAP): A policy enforcement platform built into the Microsoft Windows Vista and Windows Server "Longhorn" operating systems that allows you to better protect network assets from unhealthy computers by enforcing compliance with network health policies.  With highly responsive protection supported by Microsoft technical guidance, Microsoft Forefront helps you confidently meet ever-changing threats and increased business demands. For more information about Microsoft Forefront, please visit:

6 Windows Live™ Safety Center
L’offre de protection des postes clients Pour les utilisateurs Pour les professionnels Microsoft Forefront™ Client Security Windows® Defender Windows Live™ Safety Center Windows Live OneCare™ MSRT Efface les virus les plus présents Retire tous les virus connus Antivirus temps-réel Efface tous les spyware connus Anti-spyware temps-réel Microsoft has developed several anti-malware offerings to protect business and consumer PCs. Protection for consumer and individual user PCs is provided by the following offerings: Malicious Software Removal Tool (MSRT): A tool that complements traditional antivirus technologies by helping to identify and remove the most prevalent viruses and worms from customer computers. It is available at no charge to licensed Windows users. Microsoft releases an updated version of this tool on the second Tuesday of each month. Windows Defender (Beta 2): A free program that helps protect your computer against pop-ups, slow performance, and security threats caused by spyware and other unwanted software. Windows Live Safety Center: A free web service that individuals can use to help ensure the health of their PC.  In addition to checking for and removing viruses, Windows Live Safety Center includes tools for improving PC performance. Windows OneCare Live: A robust subscription service designed to help protect consumer PCs from viruses and spyware. OneCare is a comprehensive PC Care service that helps protect and maintain consumer PCs with antivirus, firewall, antispyware, PC performance tune-ups, and file backup and restore functionality. OneCare is designed to protect up to 3 PCs. OneCare is not currently designed to protect servers. If you have a server, you can use OneCare on the desktop computers and laptops within your network, but you will need additional protection for your server. Microsoft Forefront Client Security provides unified malware protection for business desktops, laptops and server operating systems that is easier to manage and control. A key difference between Forefront Client Security and the individual user offerings is the Forefront Client Security management infrastructure components that enable central reporting and alerting, customization, and IT infrastructure integration. Rapports et alertes centralisés Paramétrages Intégration à l’infrastructure IT

7 Administration Simplifiée
Une protection contre les codes malveillants pour les postes de travail et les serveurs de fichiers; facile à contrôler et à gérer. Protection Unifiée Une solution unifiée pour la protection contre virus et spyware Basée sur une technologie de protection utilisée par des millions de personnes dans le monde Réponse efficace aux menaces Complémentaire aux autres produits sécurité de Microsoft Administration Simplifiée Une console pour simplifier l’administration de la sécurité Définit une politique pour gérer les paramètres de l’agent de protection client Déploie les signatures et les logiciels plus rapidement S’intègre avec votre infrastructure existante De nos jours, l’infection par des codes malveillants est un problème coûteux pour les professionnels. Gartner a estimé qu’entre 20 et 40% des appels vers les helpdesks sont liés au spyware et dans un récent sondage Forrester sur les risques de sécurité informatique, on constate que les décideurs technologiques sont 73% à avoir placé en top priorité la question des virus et des vers. Microsoft Forefront Client Security apporte une protection unifiée contre les codes malveillants et les virus pour les desktops professionnels, les portables et les serveurs système. Cette protection est aussi plus simple à contrôler et à gérer. Basée sur la même technologie de protection Microsoft, reconnue et déjà utilisée par des millions de personnes dans le monde, Forefront Client Security aide à se protéger contre les menaces émergentes comme le spyware et les rootkits, ainsi que les menaces traditionnelles comme les virus, vers et chevaux de Troie. En apportant une gestion simplifiée et centralisée ; et en apportant une visibilité critique sur les menaces et les vulnérabilités, Forefront Client Security vous aide à protéger votre entreprise avec plus de confiance et une grande efficacité. Forefront Client Security s’intègre à votre infrastructure logicielle actuelle, comme par exemple Active Directory, et fonctionne en complément des autres technologies Microsoft pour une meilleure protection et un meilleur contrôle. Protection Unifiée Microsoft Forefront Client Security apporte une protection unifiée contre les malware actuels et émergents, donc vous pouvez garder la certitude que vos systèmes professionnels sont mieux protégés contre un large éventail de menaces. Avec un seul agent, Microsoft Forefront Client Security apporte une détection en temps-réel et la suppression de spyware, rootkits, et autres menaces émergentes, ainsi que la suppression des attaques traditionnelles comme les virus et les vers Les avantages de la protection unifiée de Microsoft Forefront Client Security sont : Une technologie de protection utilisée par des millions de gens dans le monde Forefront Client Security emploie la même technologie de protection Microsoft réputée et utilisée dans des produits comme Windows Live™ OneCare, Windows® Defender et Windows Live Safety Center. Réponse efficace contre les menaces Forefront Client Security apporte une réponse efficace grâce à des analyses automatisées des sources de données multiples, soutenues 24h/24, 7j/7, par un centre de recherche mondial en sécurité. L’analyse de sécurité approfondie de Microsoft est apportée par une multitude de sources de données, y compris Dr. Watson, Hotmail®, Microsoft Exchange Hosted Services, les technologies de protection Microsoft, Web crawlers, les apports des communautés et la collaboration de l’industrie. Défense en profondeur, parti intégrante d’une solution de sécurité complète Forefront Client Security apporte une défense en profondeur lorsqu’il est combiné avec d’autres solutions de sécurité comme Microsoft Antigen, Microsoft Internet Security & Acceleration (ISA) Server et Microsoft Exchange Hosted Services. Administration simplifiée Microsoft Forefront Client Security apporte une administration simplifiée par sa gestion centralisée, afin que vous puissiez protéger votre environnement professionnel avec une grande efficacité. Avec une seule console pour une administration de sécurité cliente simplifiée, Microsoft Forefront Client Security vous fait gagner du temps et réduit la complexité. En utilisant une interface familière aux autres outils Microsoft, la console peut être utilisée pour les accès locaux et à distance vers les fonctions d’administration et de configuration, de mises à jours de signatures, de reporting et d’alerte. Microsoft Forefront Security simplifie les possibilités d’administrations en vous permettant de : Définir une politique pour gérer les paramètres de l’agent de protection cliente Forefront Client Security vous aide à augmenter votre efficacité à travers une seule politique qui configure l’anti-spyware, l’antivirus et les technologies de vérification d’état pour un ou plusieurs ordinateurs protégés. Les nouvelles politiques sont crées avec des paramètres préétablis qui peuvent être modifiés en fonction des besoins de votre environnement. Les politiques incluent aussi des paramètres de niveau d’alertes qui peuvent être aisément modifiés pour spécifier le type et le volume d’alertes et d’événements générés par les différents groupes de machines protégées. Les politiques peuvent être déployées via Active Directory® ou n’importe quel logiciel de distribution système avec lequel vous êtes familier. Déployer plus rapidement les logiciels et les fichiers de signatures Forefront Client Security permet le déploiement accéléré des logiciels et des fichiers de signatures vers les desktops, portables et serveurs opérants. Le produit est optimisé pour la distribution de signatures à travers Windows Server™ Update Services (WSUS) ; cependant les administrateurs sécurité peuvent aussi utiliser n’importe quel logiciel de distribution système pour déployer les signatures ou Forefront Client Security. Le logiciel Forefront Client Security est conçu pour déployer un simple package client qui contient toutes les fonctions de gestion et de protection. S’intégrer avec votre infrastructure existante Forefront Client Security vous donne un meilleur contrôle sur votre sécurité client en s’intégrant avec votre infrastructure logicielle existante. Microsoft SQL Server est utilisé par le système de reporting et d’événements Forefront Client Security. Active Directory® Group Policy ou n’importe quel autre logiciel de distribution système peut être utilisé pour déployer les paramètres de l’agent Client Security. Visibilité Critique et Contrôle Microsoft Forefront Client Security produit des rapports perspicaces et priorisés, donc vous gardez la visibilité et le contrôle sur les menaces des malware. Une seule capture de votre actuel état de sécurité vous aide à déterminer les actions à prendre. Les possibilités de contrôle et de visibilité critique de Microsoft Forefront Client Security vous permettent de : Voir des rapports perspicaces Forefront Client Security vous aide à hiérarchiser votre temps et de vous concentrer sur ce qui est le plus important au temps « t » grâce aux rapports perspicaces. Les rapports Forefront Client Security vous donnent la possibilité d’examiner les données en temps-réel et les tendances émergentes. Chaque rapport dispose d’hyperliens qui permettent la liaison directe aux informations critiques. Le système de reporting au sein de Forefront Client Security vous permet d’obtenir à volonté plus de détails sur les résumés de rapports ; ainsi que de fournir des rapports exécutifs qui apportent l’information essentielle au senior management. Rester informé sur l’état des scans et des alertes de sécurité Forefront Client Security apporte les outils nécessaires pour se concentrer sur les menaces principales et les vulnérabilités potentielles dans votre entreprise. Les comptes rendu de scans vous permettent de déterminer quelle machines gérées par Forefront Client Security ont besoin de patchs ou sont configurées de façon peu sécurisé. Quand les menaces sont identifiées, l’information nécessaire et priorisée est délivrée par des alertes de sécurité, ce qui élimine le besoin de chercher dans de grands volumes de données. Microsoft Forefront Client Security est conçu pour les clients professionnels qui veulent une solution pour une détection temps-réel et la suppression des spyware, rootkits et autres menaces émergentes, ainsi que la protection contre les attaques traditionnelles comme les virus, vers et chevaux de Troie. Une première version beta de Microsoft Forefront Client Security a été livrée à des clients sélectionnés. Microsoft prévoie de rendre la version beta publique de Microsoft Forefront Client Security au quatrième trimestre Le produit est prévu pour une sortie en première moitié de l’année 2007. Microsoft Forefront Client Security sera disponible à l’achat dans les programmes Microsoft Volume Licensing. En plus, Forefront Client Security sera inclus dans le prochain produit Forefront Security Suite et Enterprise CAL Suite. D’autres informations sur le licensing, le prix, et les détails additionnels des avantages des programmes Microsoft VL seront annoncés à une date ultérieure. Plus d’informations sur l’achat des produits de sécurité Forefront sont disponibles sur : Microsoft Forefront Client Security était auparavant connu sous l’appellation Microsoft Client Protection. Visibilité et Contrôle Un tableau pour une visibilité des menaces et des failles Voir des rapports prévisionnels Rester informé sur l’état des scans et les alertes de sécurité

8 The logical architecture diagram on this slide shows how all of the Microsoft Forefront Client Security system components fit together. There are two primary components. The first is the malware protection agent—installed on business desktops, laptops and servers—that provides real-time protection of and scheduled scanning for threats such as spyware, viruses and rootkits.  The second component is a central management system, which enables administrators to easily manage preconfigured or customized malware protection agents, update agents with the latest protection signatures and generate reports and alerts on the security status of their environment. Microsoft Forefront Client Security provides simplified administration and critical visibility and control to administrators through two server based sub-components of the central management system: the management server and the reporting and alerting servers. The management server runs a central console. <click 1> From there, the administrator can select preconfigured settings or change client settings, to tailor the solution to their environment. Settings include: scan schedule, real-time protection enabled and disabled, default actions to specific threats and alerting and reporting level. To simplify distribution of settings to client computers, Microsoft Forefront Client Security is optimized for the use of Active Directory Group Policy. Customers can also choose to use any existing software distribution system. <click 2> Malware definition updates are distributed from Microsoft Update. Microsoft Forefront Client Security simplifies the distribution of definition updates to client computers through optimization with Windows Server Update Services (WSUS). WSUS enables administrators to auto-approve the latest signatures, or test and approve every update. Customers can also use any existing software distribution system in their environment. <click 3> Events that occur on client machines are reported to the reporting and alerting server. This server generates alerts for high-value events, such as ‘malware outbreak’ or ‘failed to remove a threat.’ This server also generates reports which are accessible through the console. The Microsoft Forefront Client Security event logging and alerting system is built on Microsoft Operation Manager 2005’s award winning technology. Required MOM components are embedded into Microsoft Forefront Client Security to simplify deployment and use.   Forefront Client Security uses database and reporting systems from Microsoft SQL Server Note to presenter: Microsoft SQL Server is a software prerequisite for Forefront Client Security. The servers shown depict the scaled out, 4 server topology (WSUS, Management Server, 2 Reporting Servers). In smaller organizations these functions can be consolidated on fewer servers. <Optional speaking point> We are optimizing the product to deliver a seamless end-to-end experience for customers in the upper mid-market to midrange enterprise.  We are currently working on the exact scalability parameters of this range. As of this time, we know that it will depend on factors such as complexity of network topology, amount of network bandwidth and number of remote locations.   While upper mid-market to midrange enterprise is the focus for this first version, we expect customers outside this range will be able to successfully use Microsoft Forefront Client Security with some additional steps required for implementation. We will provide further details on this as we complete formal testing of the product. Clients, portables et systèmes d’exploitation serveur fonctionnant avec Forefront Client Security

9 Protection face à plusieurs types de menaces
Protection Unifiée Protection face à plusieurs types de menaces Un moteur pour la protection contre les virus et spyware Utilisé également dans Windows® Defender, OneCare, Antigen, MSRT, etc. Déploiement et administration simplifiée Réduction des conflits lors de détection de menace aveugle Capacité de détection et de suppression comprenant: Détection et suppression : à la demande, programmée ou en temps-réel Système complet pour nettoyer les virus et les spyware, avec des vérifications pour garantir l’intégrité du système après désinfection Scan de différents type d’archives et de packageurs Utilisation des signature ‘tunneling’ qui surpasse les rootkits utilisateurs Emulation de code pour l’analyse comportemental et les virus polymorphes Détection heuristique pour les nouveaux codes malveillants et leurs variantes Forefront Client Security includes a unified engine for virus and spyware protection. Portions of this engine are already in use in a variety of technologies across Microsoft. For example, the antispyware functionality is used in Windows Defender and OneCare, while the antivirus functionality is used in the OneCare, Antigen, and the Malicious Software Removal Tool. The use of this antimalware engine in a variety of different technologies has helped create an enterprise-class engine that protects customers from emerging threats including new breeds of blended threats, or threats that use a variety of different mechanisms to infect a machine. The capabilities of the antimalware engine in Client Security include the following: Provides real-time and scheduled detection of malware. With the Client Security console, administrators can define the schedule of both full and quick scans that occur on machines in their environment. In certain circumstances, an administrator may decided to launch an on-demand scan of systems in the environment. The console also has the capability to perform this action, either by selecting a specific machine to scan or all managed machines in the environment. Helps ensure the system is functioning after the removal of malware. As threats become more complex, it is important that an antimalware engine contain the necessary functionality to ensure not only that the system is clean, but also that the system is functioning after removal of malware. The Microsoft antimalware engine includes cleaning scripts to help ensure that the machine is still in a usable state. Able to remove malware from archives and packers. Archives and packers are a common way for malware authors to try to hide from antimalware technologies, but the engine is able to look inside archives and packers and remove infected files. Additional protection mechanisms. The engine also includes additional protection mechanisms to find user mode rootkits, polymorphic viruses and heuristic detection mechanisms that finds new malware and variants.

10 Modèle d’administration
Définissez l’état d’écoute sécurité Spécifiez le comportement de sécurité de mes PC clients Gardez les systèmes à jour Assurez que les clients disposent des derniers fichiers de signature Regardez les rapports Déterminez l’état de sécurité à l’instant t et à travers le temps Réponse aux alertes Quels sont les événements critiques qui nécessitent votre attention ? There are 4 key tasks an administrator must take when using Forefront Client Security to ensure that systems are protected from the latest threats: Define security steady state – This includes the definition of client security policy for systems in the environment Keep systems up to date – Ensuring that the distribution systems are in place to receive signatures from Microsoft Update and to then distribute those signatures to the systems in the environment View Reports – Understanding what is the security state of the environment and whether it has improved or worsened over time Respond to Alerts – Quickly identifying what are the critical events to which the administrator must respond in order to get the environment back to its baseline.

11 Administration Simplifiée
Définir un état de sécurité stable Une console pour une administration sécurité simplifiée Une politique pour gérer les paramètres de l’agent de protection client : Choix entre 3 méthodes de déploiement de profils de politique: Microsoft Forefront Client Security Console (avec AD/GP) ADM file (avec AD/GP) Export vers un fichier pour ensuite utiliser le logiciel de distribution système habituel Action contre les menaces inconnues Niveau d’alerte Paramètres d’événements et de connexion Activation/Désactivation des rapports SpyNet Niveau d’interface pour l’utilisateur final Planification d’analyse Activation/Désactivation de la protection temps-réel Fréquence des mises à jour des signatures Prédominances des signatures Anti-spyware Paramètres d’état de sécurité Microsoft Forefront Client Security provides simplified administration through central management, so you can protect your business with greater efficiency. With one console for simplified client security administration, Microsoft Forefront Client Security saves time and reduces complexity. Using familiar interfaces similar to those found in other Microsoft tools, the console can be used for both local and remote access to all administrative functions including configuration, signature updates, reporting and alerting. Microsoft Forefront Client Security simplified administration capabilities enable you to: Define one policy to manage client protection agent settings Forefront Client Security helps increase your efficiency through a single policy that configures the anti-spyware, anti-virus and state assessment technologies for one or more protected computers. New policies are created with preconfigured settings that can be easily tailored to the needs of your environment. Policies also include alert level settings that can be easily configured to specify the type and volume of alerts and events generated by different groups of protected machines. Choice of 3 integrated policy profile deployment methods Forefront Client Security allows customers to use from 3 different methods for profile deployment. Microsoft Forefront Client Security console (AD/GP) – within the console there is the option of selecting machines for targeting based on domains, sites, and organization units with the added ability to make exceptions to policy based on security groups. This allows for granular targeting to fit customers needs. When targeting using the console, Client Security will work in the background to create a Group Policy object and target the container selected. Using this preferred option simplifies administration, while providing for the level of control needed to ensure systems are protected. ADM File – If so desired, an ADM file can be used along with the Group Policy Management console for advanced targeting and customization. Use existing software distribution systems – The third choice is to use an existing software distribution. Within the console there is an option to export a desired policy to a file. Once exported, the file can be used to apply those settings through the software distribution system.

12 Administration Simplifiée
Définir un état de sécurité stable Serveur de gestion Politique de déploiement de consoles à travers le Group Policy Objects d’Active Directory® Granularité au niveau OU-level avec gestion d’exceptions en utilisant la sécurité de groupe Création de GPO par les consoles, envoi à Sysvol, déploiement de profile par GP Politique appliquée aux hôtes en fonction des paramètres AD READ, SAVE GPO Forefront Client Security takes advantage of existing infrastructure for distribution of policies in the environment. With integration into Active Directory and Group Policy Objects, customers can reduce the amount of security infrastructure in use. Targeting of Client Security policies can be at the domain or organization unit level. Exceptions can then be created using security groups. For example, a policy can be created that targets an Organization Unit called Europe, and then an exception is created that only targets the File Servers security groups. This allows for flexible targeting of policies to target machines. When a policy is created within the console, Client Security will create a Group Policy object and then use existing AD methods to distribute that policy to machines. First the console will create a GPO and apply it to the target selected. This includes sending the Group Policy object to the sysvol directory on a domain controller in the environment. AD will then replicate the sysvol directory to the other domain controllers in the environment. Systems will receive their policies either at login to the domain or at scheduled check-in with AD, which by default is 90 minutes. Serveur de reportage et d’alertes

13 GPMC, avec un fichier ADM
Administration Simplifiée Options* de déploiement des profils Logiciel de Dist. Système existant Console de Sécurité Client GPMC SW dist system Infrastructure utilisée AD/GP AD/GP Création et édition de politique GPMC, avec un fichier ADM Fichiers exportés Par Console Granularité ciblée Machine unique Machine unique OU-level Client Security Console When using the Client Security console, customers will benefit from having a single place to create and deploy policy to their environment. The key differentiating benefit is the ability to see profile compliance reports, which allow for verifying that systems have the latest version of the policy that has been deployed to them. GPMC GPMC allows for greater targeting granularity since a single machine can be targeted for policy deployment. Nonetheless, since the Client Security console has no knowledge of policies that have been created with GPMC, it will not be able to show policy compliance information which is the ability to ensure that systems have the correct and most up to date policy applied to them. Existing SW Distribution system Once policies are exported using the Client Security console, the exported file can be used to deploy policies to systems. Using existing software distribution systems, customers can take advantage of single machine targeting, but since the Client Security console has no knowledge of policies that have been deployed with the software distribution system, it will not be able to show policy compliance information, which is the ability to ensure that systems have the correct and most up to date policy applied to them. Politique d’exceptions Groupe de Sécurité Illimitée Illimitée Autorise les politiques de rapport Oui Non Non *Agents déployés via les logiciels de distribution système existants (?)

14 Administration Simplifiée
3/26/2017 3:57 PM Administration Simplifiée Garder les systèmes à jour Données approfondies Analyse rigoureuse Solution intégrée Données de sources multiples pour permettre l’analyse détaillées des menaces Equipe dédiée, automatisation des analyses et des tests Intégration profonde avec les leaders de l’industrie « MSRC response process » Laboratoire de recherche sur la sécurité Identifie les codes malveillants et créé les définitions de signature Développe Windows Defender (25+ millions d’utilisateurs) et MSRT Récompense VB 100% award, certification West Coast Labs & ICSA Pour l’implémentation du moteur de protection dans Windows Live OneCare Livre blanc MSRT : Panorama détaillé sur les codes mal intentionnés Unified Protection It is widely understood by the industry and customers alike that successful security analysis & response is a critical component to protecting companies from malicious and unwanted software. The intelligent global malware research system that supports Microsoft Forefront Client Security consists of ongoing security research powered through volumes of data collected and submitted by the community, combined with advanced automated analysis techniques, to help discover new threats faster. This system is backed by a dedicated, experienced analysis & response team (the Antimalware Team) responsible for researching malicious and other potentially unwanted software.  This team supplies malware definition updates to Microsoft Forefront Client Security, Windows Live OneCare, Windows Live Safety Center Beta, and Microsoft Antigen. The team is also responsible for the delivery and maintenance of Windows Defender and the Windows Malicious Software Removal Tool. Extensive Data Ongoing security research is powered through volumes of data collected from a variety of different sources including: Released products:  Windows Live OneCare, Windows Malicious Software Removal Tool, Windows Defender (voting community), Windows Live Messenger, Windows Live Safety Center Beta, and the Exchange Hosted Services (formerly Frontbridge) Internal sources:  PSS, OTG servers, Watson/OCA, Hotmail, web crawling, and Microsoft Security Response Center data. In addition, Microsoft partners with external industry organizations to share information and trends, such as VirusTotal, AV-Test.org, KISA, VIA, and others. By using multiple data sources, we are able to get a comprehensive perspective on the malware landscape and identify emerging threats.  For example, we recently published a white paper which provided an in-depth perspective of the malware landscape based on the anonymous data collected by the Malicious Software Removal Tool (MSRT).  This tool is designed to help identify and remove prevalent malware from customer computers and is available at no charge to licensed Windows users.  Since the initial release of the MSRT, the tool has been executed approximately 2.7 billion times by at least 270 million companies.  In addition to having a significantly positive impact on reducing the impact of malware on our customers, the tool is one of a number of comprehensive data sources we use for getting advanced telemetry and insight on current and emerging threats worldwide.  This insight allows us to respond quickly to protect our customers. The Windows Defender voting network (otherwise known as SpyNet) offers another example of the way in which the Antimalware Team, our dedicated group of malware researchers, are able to get advanced insight into emerging threats.  Individual users of Windows Defender can choose to participate in the worldwide network of users who help discover and report new threats.  For those users who choose active involvement in SpyNet, they can respond to requests for spyware samples from the Antimalware Team as well as submit generically or heuristically detected files.  Through the data collected in SpyNet, the Antimalware Team is able to detect changes in the malware landscape and collect previously-unknown spyware samples.  More information about the Windows Defender voting network is available at: Rigorous Analysis The team performs rigorous analysis on collected data through a combination of automation, security expertise and testing processes to identify the latest malware threats.  Microsoft’s approach involves significant investment in automation capabilities to efficiently use analyst resources and deliver rapid response.  An examples of this automation involves the handling of malware submissions.  The systems in place perform automatic malware submission storage and retrieval, resolving of duplicate submissions, grouping of submissions, and prioritization of sample analysis to reduce analysis time.  In addition, a pluggable infrastructure allows for reduction of manual steps and ease of insertion of additional sample data. These capabilities assist in automating the process of analyzing malware activity, including and its associated impact on files, the registry and network events. By automating repetitive tasks and quickly analyzing large data sets, we are able to quickly identify malware and deliver signatures to our customers. As an example of a specific automation project, members of the Antimalware Team presented a paper on a technique called “Behavioral Classification” at this year’s European Institute for Computer Antivirus Research (EICAR) conference. The project is focused on automatic classification of malware samples into a specific malware family to assist with prioritization and analysis. The preliminary tests, conducted among 3 to 11 malware families, with total over 700 malware variants, showed fairly high classification accuracy (up to 84%). The results of the team’s analysis is made available through an online encyclopedia system, leveraged by such current applications as Windows Live OneCare and Windows Live Safety Center Beta. Integrated Response To help ensure uniformity in Microsoft’s response capabilities, the organization is tightly integrated with the industry leading MSRC response process, also known as SSIRP.  The result is an integrated communications approach that is able to quickly respond to issues and provide actionable customer guidance, with the goal of staying up to date on security issues simpler for customers. Team Background This research organization is also responsible for several technologies across Microsoft, which allows for broad information sharing and the benefits of the expertise that comes along with securing millions of computers worldwide.  The team is responsible for the release and maintenance of the Windows Malicious Software Removal Tool (which has run on at least 270 million unique computers since release) and Windows Defender (which is currently used on over 25 million computers and will be included as part of Windows Vista).  This team also supplies the core antimalware technology (including the scanning engine and malware definition updates) to Windows Live OneCare, Windows Live Safety Center Beta, Microsoft Antigen, and the upcoming Microsoft Forefront Client Security release.  The team has achieved certification for Windows Live OneCare by ICSA Labs as an effective solution to combat viruses and other forms of malicious code as well as providing a quality firewall service. ICSA Labs, an independent division of global information security specialist Cybertrust, is recognized as the global standard for security product certification.  OneCare has also achieved West Coast Labs’ Checkmark certification, meeting the lab’s criteria for protection against viruses and Trojans. West Coast Labs’ Checkmark certification system has become recognized as a leading global standard for anti-malware certification and testing to real-world standards.   OneCare has also received a VB 100% award from the Virus Bulletin organization, which means that their anti-virus capability detected all “in the wild” viruses during both on-demand and on-access scanning, as well as generating no false positives. The broad capabilities of the Antimalware Team allow for expertise across a variety of different segments (consumer, business) and threats (virus, spyware, rootkit, etc.) and will support the Microsoft Forefront Client Security product. 14 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

15 Garder les systèmes à jour
Administration Simplifiée Garder les systèmes à jour Recherche de code malveillant Déploiement optimisé des signatures pour Windows Server Update Services (WSUS) Utilisation avec n’importe quel logiciel de distribution système Approbation automatique ou manuelle des définitions Client Security installe un service d’Update Assistant pour : Augmenter la fréquence de synchronisation des définitions entre WSUS et Microsoft Update (MU) Support des utilisateurs mobiles Switch entre WSUS et Microsoft Update pour les clients peu connectés au server WSUS. Mise à jour Microsoft Sync WSUS + Update Assistant Forefront Client Security is optimized for use with Windows Server Update Services. In typical Client Security environments, a local WSUS Server will be responsible for downloading antimalware definitions from Microsoft Update. Once those definitions are locally housed on the WSUS Server, systems running the Client Security agent can obtain their definitions from WSUS, rather than each making an individual Microsoft Update (MU) request. WSUS allows administrators to approve updates, which helps customers who want to test updates with a targeted group of machines before broad deployment. Because antimalware definitions are critical in nature, the antimalware definitions category will be automatically set to approve, which means that when WSUS receives new antimalware definitions, those definitions can immediately be retrieved by systems running the Client Security agent. Optionally, the administrator could select to manually approve definitions. When Client Security is installed, an Update Assistant for WSUS is also installed. This Update Assistant will increase the sync frequency between WSUS and MU to an hourly basis allowing for quick synchronization of available updates. Additionally, the Update Assistant will check in with WSUS on an hourly basis for any available antimalware definitions. For systems which are often disconnected from the corporate environment and without access to the WSUS Server, the client agent can be configured to failover directly to Microsoft Update. This helps ensure that disconnected systems such as those of a remote sales force are always up to date. Sync Clients, Portables et Serveurs

16 Visibilité et Contrôle renforcés
Savoir où il faut agir Une interface pour visionner les menaces et les vulnérabilités Rapports prévisionnels et détaillés Restez informés avec les alertes de sécurité et les analyses d’états Microsoft Forefront Client Security produces insightful prioritized security reports, so you have visibility and control over malware threats. A single dashboard snapshot of your current security status helps you understand where action is required. Microsoft Forefront Client Security critical visibility and control capabilities give you the ability to: View insightful reports Forefront Client Security helps you prioritize your time and focus on what’s most important now through easy to use insightful reports. Forefront Client Security reports give you the ability to examine real-time data and emerging trends. Each report is hyperlinked to enable you to connect directly to critical information. The reporting system within Forefront Client Security allows you to drill down from the summary dashboard to more detail as required, and to deliver executive reports that crisply communicate status to senior management. Stay informed with state assessment scans and security alerts Forefront Client Security provides the tools necessary to focus on key threats and potential vulnerabilities throughout your business. State assessment scans help you to determine which Forefront Client Security managed machines need patches or are configured insecurely. When threats are identified, insightful, prioritized information is delivered through security alerts that eliminate the need to search through volumes of data.

17 Visibilité et Contrôle renforcés
Détails du rapport Permet de se concentrer sur les menaces et vulnérabilités potentielles Les analyses d’états déterminent quelles machines : Ont besoin d’être patchées Sont configurées de manière peu sécurisée Catégories présentes dans le rapport : Basé sur la technologie de MOM 2005 Utilise les services de reporting SQL Menace(s) de codes malveillants Résumé de vulnérabilité Résultats des analyses Information d’historique Résumé du rapport Déploiement Alertes Ordinateurs Microsoft Forefront Client Security produces insightful prioritized security reports, so you have visibility and control over malware threats. A single dashboard snapshot of your current security status helps you understand where action is required. Microsoft Forefront Client Security capabilities in critical visibility and control include the ability to run state assessment scans. These scans provide information that can be difficult to gather and consolidate in a central location. Examples of the type of information delivered to the administrator through state assessment scans include which machines: Are secured with a weak local administrator password Have the guest account turned on, or Do not have Windows Firewall turned on. This information, combined with malware information, provides a centralized view into the security risk of the organization. Forefront Client Security includes a variety of different reports aimed at providing administrators the information they need to understand the security state of their environment. As previously mentioned, Client Security is built on MOM 2005 technology and uses SQL Reporting Services, which enable the product’s visibility & control capabilities to be delivered through technologies and interfaces with which Microsoft customers may be familiar.

18 Visibilité et Contrôle renforcés
Résumé de rapport Let’s take a closer look at some of the Forefront Client Security reports. The Summary Report provides the key information on security state for taking action against threats, together with a snapshot of the top trends and issues in the environment. It is also a key launch point for other reports, allowing the administrator to drill down into details as much as needed.

19 Visibilité et Contrôle renforcés
Résumé de rapport In the summary report, an administrator can readily get a quick snapshot of the security state of their environment. Within the reporting console, administrators can choose to have reports such as this Security Summary Report ed to them on a regular basis. With this report they can review things such as: Deployment Status: How many machines are up to date or not up to date with the latest signatures Top issues and issue history: Information about the top issues in their environment categorized by type along with the history of issues over time This snapshot information allows the administrator to quickly see the top issues as well as provide measurement of their security baseline, to get a good understanding of how the environment is doing over time.

20 Visibilité et Contrôle renforcés
Résumé de rapport By scrolling further down the summary report, administrators can also see detail that includes: Top Threats and threat history: List of the top threats that have impacted the environment and the trend in whether machines have been cleaned or have had issues while being cleaned. Within the threat information, administrators will be able to see the types of threats as well as their severity and how many machines a specific threat has affected. This provides the administrator useful information of the impact of threats. Top vulnerabilities and vulnerability history: In addition to threat information, the report also highlights vulnerabilities through security state assessment checks. This will highlight the top vulnerabilities as well as history of vulnerabilities over time. The end benefit of this is the ability to review the state of malware in addition to the underlying security state of machines in the environment. Top alerts and alert history: Information about the key alerts impacting their environment (with the ability to drill down into more information), along with the history of alerts over time

21 Savoir lorsque des menaces apparaissent
Visibilité et Contrôle renforcés Savoir lorsque des menaces apparaissent La configuration d’alerte est spécifique à la politique Des alertes préviennent l’administrateur d’incidents à haut risque, par exemple : Détection de code malveillant Echec dans la suppression d’un code malveillant Apparition d’un nouveau code malveillant Protection contre les codes mal intentionnés désactivée Forefront Client Security alerts help identify threats as they appear. Client Security policies can have different alert settings, which is especially important since administrators may want to configure alerts based on the assets that are being protected. For example, an administrator can use the easy slider bar within the console to select Alert Level 5 for mission critical servers or executive systems – in this way, the administrator can see all of the alerts for those systems. On the other hand, the administrator might select Alert Level 1 for the general desktops in the environment. At Alert Level 1, the administrator will not see alerts unless there is a critical issues occurring on a large percentage of the systems in the environment. Using the simple controls in Client Security helps administrators to save time by selecting the level of alerts that they want to see from different types of machines, rather than digging through and triaging alerts across their environment. Contrôle du niveau de déclenchement d’alertes et volume généré Problèmes critiques uniquement, Low Value Assets Données Riches, High Value Assets 1 2 3 4 5 Outbreak Echec dans la suppression d’un code malveillant Echec de la mise à jour des signatures Code malveillant détecté et effacé Echec de la mise à jour des signatures (par min.)

22 Disponibilité Actuellement en version Beta privée pour des clients sélectionnés Version Beta publique planifiée pour Q4 CY2006 Version RTM planifiée pour 1H CY2007 An early beta version of Microsoft Forefront Client Security has been made available to select customers. Microsoft plans to make the public beta version of Microsoft Forefront Client Security available in Q4 of CY The product is targeted for release to manufacture in the first half of CY2007. Microsoft Forefront Client Security will be available for purchase through Microsoft’s volume licensing programs. In addition, Forefront Client Security will be included in the upcoming Forefront Security Suite and Enterprise CAL Suite. Further pricing and licensing information, including further details of Microsoft volume licensing program benefits, will be announced at a later date. More information about how to buy Forefront security products is available at: Microsoft Forefront Client Security is being designed to protect Windows 2000, Windows XP, Windows Server 2003 and Windows Vista systems.

23 Résumé Protection unifiée et facile à gérer contre les codes malveillants; à destination des systèmes d’exploitation clients, portables et serveurs. Protection unifiée Administration simplifiée Visibilité critique et Contrôle Partie intégrante de Microsoft Forefront™ Pour plus d’informations, visitez : pour en apprendre davantage sur Forefront Client Security et vous inscrire pour les informations sur la version Beta pour découvrir les autres offres de la gamme Microsoft Forefront Microsoft Forefront Client Security is an integral part of the Microsoft Forefront security product line for business customers, which provides greater protection and control over the security of your network infrastructure. For more information please visit: to learn more about Microsoft Forefront Client Security and register for beta information to learn how Microsoft Forefront helps you confidently meet ever-changing threats and increased business demands.

24 © 2006 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.