Технический обзор возможностей Microsoft Forefront Client Security

Примечание: Предупреждения генерируются в зависимости от уровня опасности конкретной угрозы или обнаруженной уязвимости. Уровень критичности предупреждения, который может быть установлен для каждой политики, определяет условия выдачи предупреждений для группы машин. В предыдущем упражнении политика выдачи предупреждений на машине SEA-WS-01 была задана через групповую политику для организационной единицы Finance

Примечание: Это упражнение выполняется на машине SEA-WS-01

a.На рабочем столе выполните двойной щелчок по ярлыку My Computer.

b.Откроется окно My Computer. Разверните это окно до максимального размера.

c.Прейдите к папке C:\Technet Content\SEC-07\Demos\Demo Files.

Примечание: в данном упражнении мы будем использовать тестовый файл EICAR, который представляет собой безобидную текстовую строку, большинством антивирусных программ распознаваемую как вирус.

d.Правой кнопкой мыши вызовите контекстное меню на файле Readme.htm и выберите опцию Copy.

Примечание: Если удалить из этого файла первые три символа, он будет соответствовать по сигнатуре тестовому вирусу EICAR test virus.

g.Правой кнопкой мыши вызовите контекстное меню на файле Readme.htm и выберите опцию Edit.

h.Откроется окно Readme - Notepad. Разверните это окно до максимального размера.

i.Удалите в начале текстового файла комбинацию символов 123.

Примечание: При сохранении файла сканер FCS в режиме реального времени проверяет его по известной базе сигнатур злонамеренного ПО, а также эвристическими методами оценивает его поведение на соответствие шаблону поведения вредоносного ПО.

j.Закройте окно Readme - Notepad.

k.Появится диалоговое окно Notepad с запросом подтверждения сохранения изменений. Нажмите Yes.

Примечание: FCS мгновенно выявляет вирусную угрозу и, поскольку мы дали пользователю доступ к интерфейсу FCS, выводит предупреждение с предложением удалить файл.

l.Ознакомьтесь с всплывающей подсказкой Potentially harmful software detected

Примечание: Если пользователь не отреагирует на предупреждение, в соответствии с настройками администратора файл будет автоматически удален.

m.Правой кнопкой мыши вызовите контекстное меню на иконке Forefront Client Security в области пиктограмм панели задач и выберите опцию Open.

n.Откроется окно Microsoft Forefront Client Security. Разверните это окно до максимального размера.

o.Нажмите Review items detected by real-time protection.

p.Нажмите Apply actions.

Примечание: В этом упражнении мы более подробно рассмотрим возможности FCS по созданию отчетов.

Примечание: Это упражнение выполняется на машине SEA-DCFCS-01.

a.Перейдите на вкладку Dashboard.

b.Чтобы обновить отображаемую в консоли информацию, нажмите F5.

c.Убедитесь в появлении предупреждения Malware detected.

Примечание: Новые предупреждения отображаются на панели Notifications. Строка содержит ссылку на подробную информацию в Microsoft Operations Manager.

d.На панели Notifications выберите There are 1 new Client Security Alerts вокне Microsoft Operations Manager. Примечание: может отображаться > 1new Client Security Alert.

Примечание: интерфейс MOM включает инструменты на панели Task, позволяющие анализировать и разрешать проблемы, а также осуществлять подключение к удаленному рабочему столу и просмотр событий на компьютере, выдающем предупреждения.

e.Откроется окно Microsoft Operations Manager 2005 - Operator Console - ForefrontClientSecurity.. Разверните это окно до максимального размера.

f.На панели Alerts выполните двойной щелчок по строке с информацией о предупредении.

Примечание: предупреждения Microsoft Operations Manager хранятся в базе данных MOM и постоянно обновляются. MOM собирает информацию о компьютерах, генерирующих предупреждения.

Примечание: усовершенствованное средство мониторинга позволяет FCS отслеживать статус угроз в организации.

g.На панели Alert Details - 1 Alert на вкладке Properties найдите элемент Description.

Примечание: Поскольку угроза была ликвидирована, мы можем подтвердить получение предупреждения.

h.На панели Alerts правым щелчком вызовите контекстное меню на предупреждении и выберите опцию Set Alert Resolution State и в выпадающем меню второго уровня выберите Acknowledged.

Примечание: MOM включает несколько консолей. Операторская консоль предназначена для персонала, не занятого администрированием MOM, однако вовлеченного в процесс мониторинга действий, выполняемых администраторами Operations Manager. MOM 2005 распределяет управляемые компьютеры по группам, причем один и тот же компьютер может входить сразу в несколько групп. Группы создаются с использованием администраторской консоли MOM.

Примечание: Это упражнение выполняется на машине SEA-DCFCS-01.

a.Откройте выпадающий список Group на панели инструментов операторской консоли MOM и выберите Microsoft Forefront Client Security Agents.

Примечание: окно операторской консоли состоит из нескольких частей. Панель навигации, расположенная слева, используется для выбора действия.

b.Найдите элемент Alert Views

Примечание: выбор в древовидной структуре элемента представления данных Microsoft Forefront Client Security приведет к тому, что MOM будет отображать только те предупреждения, которые относятся к FCS.

c.На панели Alert Views разверните элемент Microsoft Forefront Client Security.

d.Кликните по дочернему элементу Alerts.

Примечание: панель вывода результатов, расположенная вверху по центру, отобразит результаты фильтрации после изменения критериев

e.На панели Alert выберите строку с информацией о предупреждении, появление которого мы вызвали в прошлой лабораторной работе.

Примечание: панель Details, расположенная под панелью отображения результатов, предоставляет доступ к более подробной информации о выбранном элементе. К примеру, если вы анализируете предупреждение, то на разных вкладках панели отобразится информация из базы знаний и история предупреждения.

f.На панели Alert Details выберите вкладку Product Knowledge.

Примечание: MOM - инструмент мониторинга уровня предприятия, позволяющий администраторам сохранять корпоративные знания о событиях в форме, доступной другим операторам.

g.Перейдите на вкладку Company Knowledge.

h.Нажмите Edit.

i.Откроется окно Company Knowledge Base.

Примечание: Можно сохранить произвольную информацию в базе данных MOM о зафиксированной попытке нарушения работоспособности системы. При повторном возникновении проблемы оператор сможет воспользоваться нашим опытом ее решения.

j.Выделите текст Enter your company-specific knowledge here… и наберите Outbreak caused by user installation of tryme.exe.

k.Нажмите OK.

Примечание: Справа расположена панель Tasks. С ее помощью можно выполнять скрипты, команды, SQL-операции и запускать другие приложения на контролируемом сервере.

l.Найдите панель Tasks в правой части экрана.

Примечание: FCS взаимодействует с MOM как пакет управления ("Management Pack"). "Management pack" представляет собой набор правил, задач, групп компьютеров, баз знаний и специализированных отчетов. Microsoft выпускает такие пакеты управления для разнообразных продуктов: SQL Server, Exchange Server, Active Directory. Независимые разработчики тоже создают пакеты управления MOM для таких продуктов, как VMWare, Citrix и HP StorageWorks.

Примечание: Обычно категории навигации каждой панели соответствуют элементам пакета управления. Чтобы увидеть подкатегорию, нужно пройти путь к ней, заданный установленными пакетами управления.

m.В панели навигации выберите Events.

Примечание: Представление данных State Monitoringотображает статус компьютеров, сервисов и компонентов MOM. Состояние агрегирует в себе все предупреждения, связанные с конкретным объектом.

n.На панели навигации выберите State.

Примечание: вид операторской консоли изменится: некоторые панели будут спрятаны и появятся новые панели.

o.В горизонтальном меню нажмите View -> Tasks pane.

Примечание: представление данных State Monitoring предоставляет быстрый высокоуровневый обзор "состояния здоровья" сети. Можно быстро оценить статус серверного диска, агента, операционной системы и запущенных сервисов.

p.В панели States выберите строчку SEA-WS-01.

q.Передвиньте горизонтальную полосу прокрутки, чтобы увидеть скрытые колонки

Примечание: Панель Details быстро обновляется, отображая информацию о предупреждениях, событиях или последних периодических контрольных сообщениях от агентов ("heartbeat").

r.Ознакомьтесь с содержимым панели State Details - Computer: SEA-WS-01, расположенной в самом низу окна по центру

Примечание: двойной щелчок на сервере приведет к отображению истории предупреждений на этом компьютере.

s.В панели отображения результатов выполните двойной щелчок на строчке SEA-WS-01.

t.Перейдите на панель Alert Details.

Примечание: События - более подробная подборка информации, чем предупреждения, однако при этом она содержит больше "шума". Как уже упоминалось, отображение информации подчиняется правилам управляющих пакетов.

u.В панели навигации выберите Events.

v.Перейдите на панель результатов

Примечание: Вкладка Performance предоставляет быстрый обзор показателей производительности сервера, в т.ч. индикаторов использования памяти и процессоров. Management Packs включают правила управления производительностью.

w.В панели навигации выберите Performance.

x.Если в древовидном элементе на панели Performance Views не развернут узел All: Performance Views выполните на нем щелчок и выберите дочерний элемент Performance.

y. На панели Performance нажмите Select Counters.

Примечание: просмотрите правила управления производительностью SQL Server 2000 для отслеживания количества подключений в секунду и обращений к кэшу для базы OnePoint.

z.На панели результатов отметьте галочкой Server Raw Bytes Transmitted.

aa.Нажмите кнопку Draw Graph на самом верху панели.

bb.Изучите диаграмму на панели результатов.

Примечание: Чтобы было удобнее рассматривать диаграмму, вам может потребоваться уменьшить панель Details.

Примечание: на вкладке Computers предупреждения сгруппированы по компьютеру. Это самый быстрый способ найти информацию о конкретном узле. Вкладка Computer Details Attributes отображает детали агентов и версии операционных систем, установленных на компьютере.

cc.На панели навигации выберите Computers and Groups.

dd.В древовидном элементе выберите элемент Computers.

ee. На панели отображения результатов выберите SEA-DCFCS-01.

ff.Изучите содержимое панели Detail, расположенной в самом низу окна по центру.

gg.Перейдите на вкладку Rule Groups.

Примечание: Можно видеть, какие группы правил применяются к компьютеру SEA-DCFCS-01

hh.Перейдите на вкладку Computer Groups.

Примечание: вкладка Computer Groups показывает, каким группам компьютеров принадлежит машина SEADCFCS-01. При развертывании пакетов управления происходит опрос агентов, и в случае удовлетворения заявленным критериям компьютер включается в группу.

ii.Перейдите на вкладку Roles.

Примечание: вкладка Roles соответствует не ролям Microsoft Windows, таким как DNS сервер, а ролям MOM. Поскольку мы рассматриваем MOM -сервер, то отображаются как агентские, так и серверные роли.

jj.Чтобы просмотреть все роли, передвиньте вертикальную полосу прокрутки вниз.

kk.На панели навигации выберите Diagram.

Примечание: представление Diagram - возможность, появившаяся в версии MOM 2005. Она полностью настраиваемая, динамическая и может быть экспортирована в Visio. Каждая иконка показывает "состояние здоровья" сервера. В нашем случае диаграмма примитивная, поскольку в сети всего два сервера. В более общем случае это представление оказывается полезным для мгновенной оценки статуса контролируемых систем.

ll.Перейдите на панель результатов.

Примечание: Представление может быть настроено в соответствии с потребностями и задачами пользователя. К примеру, можно отображать критические ошибки на компьютерах, входящих в группу Seattle.

Примечание: Специализированное представление может отображать любые элементы, видимые из панели навигации и соответствующие заданным условиям.

mm.На панели навигации нажмите на пиктограмму My Views, расположенную внизу.

nn. Правой кнопкой мыши вызовите контекстное меню на постом дереве и выберите опцию New -> Alerts View.

Примечание: Укажите параметры специализированного представления.

oo.Появится мастер Create New - Alerts View. В окне списка выберите вариант New Alerts from a specified source.

pp.Нажмите Next.

Примечание : Используя мастер, проверьте критерии просмотра. Мы создаем представление для предупреждений, которое должно отображать только критические ошибки.

qq.Уберите флажок напротив from a specified source.

rr.Поставьте флажок напротив with specified alert severity.

Примечание: Укажите критические ошибки. Для этого используется параметр уровня угрозы. Это важная особенность MOM, позволяющая исключить "шум" из информации, отображаемой для оператора. Создав представление, отображающее только критические ошибки, оператор избавит себя от необходимости "вручную" выбирать важную информацию из потока. Уровни угроз задаются в правилах.

ss.В поле View Description нажмите на выделенный синим цветом и подчеркнутый текст specified alert.

tt.Появится диалоговое окно Severity.Поставьте флажок напротив Critical Error.

uu.Нажмите OK.

Примечание: Specify new and acknowledged errors. As part of the workflow of MOM, an operator can see whether another operator has already identified an alert. This is another way MOM 2005 tunes alerts for relevance.

vv.В поле View Description нажмите на выделенный синим цветом и подчеркнутый текст New next to Resolution State.

ww.Появится диалоговое окно Resolution State.Обратите внимание, что флажок напротив New установлен по умолчанию.

xx.Поставьте флажок напротив Acknowledged и нажмите OK.

yy.Нажмите Next.

Примечание: Введите название и описание нового отображения. В поле View Name укажите "New Critical Errors". Операторы будут его использовать для просмотра только самых критических проблем.

zz.Появится страница Specify the name and description for this view. В поле View Name введите New Critical Errors.

aaa.Нажмите Finish.

Примечание: Если в сети обнаружены критические ошибки, вы сможете их моментально увидеть при помощи представления New Critical Errors.

bbb.Перейдите на панель New Critical Errors.

ccc.В навигационной панели выберите State.

Примечание: если на одной и более машинах выполняются запланированные процедуры обслуживания, вы можете перевести эти машины в режим обслуживания и указать, когда следует возобновить отслеживание состояния этих компьютеров. В период нахождения машины в режиме Maintenance с нее продолжает поступать информация о событиях, однако соответствующие записи автоматически переводятся в состояние resolved.

ddd.Правой кнопкой мыши вызовите контекстное меню на строчке SEA-WS-01 и выберите опцию Put Computer in Maintenance Mode.

eee.Появится диалоговое окно Maintenance Mode. Обратите внимание на поле Number of minutes,позволяющее задать период, в течение которого компьютер будет находиться в режиме Maintenance.

fff.Нажмите Cancel.