Microsoft의 안티 바이러스 전략 및 소개
Download
Report
Transcript Microsoft의 안티 바이러스 전략 및 소개
Microsoft Anti Virus 제품
전략 및 소개
Jin Han Jung
Technical Account Manager
Techdata
목차
• 현재의 보안 위협과 보안 위협에
대비한 Microsoft 의 Security
Portfolio 소개
• Forefront Client Security 제품 소개
• Forefront Security 제품 소개
보안 위협에 대한 동향 (1)
• 금전적 이익을 노린 해킹 위협의 증가
• 특정 서비스 이용자를 대상으로 한 Troyjan 피해가
많아짐
– 특정 웹 게시판, 자료실 등에 은닉되어 유포
– ID와 비밀번호를 탈취
– 개인 정보 유출
보안 위협에 대한 동향 (2)
• Rootkit을 이용한 감염 사실 은폐
– 백신 프로그램에 의한 탐지 방지
– 파일, 프로세스, 레지스트리 숨김
• Worm+Virus+Bot+Spyware+Troyjan 융합
• 악성 코드 제작은 날로 쉬워짐
Microsoft 보안 포트폴리오
서비스
Edge
서버
콘텐트
클라이
ID 관리
언트 Federation
서비스
시스템
관리
가이던스
개발툴
3차원적인 Microsoft 보안 솔루션
안전한 클라이언트를 위한 3차원 접근
Forefront Client Security :
비즈니스 데스크톱, 랩톱 및 서버 운영체제에 대한 통합된 Malware 보호
솔루션
서버 및 도메인 격리 :
신뢰된, 관리되는 컴퓨터에 대한 네트워크 접근을 통제
Windows Vista :
다계층 보안 기능을 내장한 플랫폼
ForeFront Client Security
쉽게 관리하고 제어할 수 있는 기업용 데스크톱, 랩탑과 운영체제통합
악성 S/W 방어 제품
Spyware와 Virus를 차단 하기 위한 하나의 솔루션
내장된 차단기술은 많은 사용자에 의해 익숙한 기능
효율적인 위협 반응
간소화한 보안 관리를 위한 하나의 콘솔
하나의 정책으로 클라이언트 방어 Agent 환경설정을 할 수 있다
사용되고 있는 IT 기반구조와 통합
위협요소와 보안 취약점를 보이기 위한 하나의 Dashboard 기능
견식 있는 보고서 기능
결과 대상을 상태 평가 검색과 보안 경고 기능과 함께 알려줌
지원되는 제품버전
• Agent 역할로 동작 될 운영체제:
–
–
–
–
–
Windows 2000 SP4 이상
Windows XP SP2 이상
Windows Vista Business, Enterprise, Ultimate
Windows Server 2003 SP1 & R2 이상
x86과 x64 지원
• FCS 서버 시스템 요구조건:
– Windows Server 2003 SP1 또는 R2 이상
– SQL Server Standard 또는 Enterprise
– x86만 지원
FCS 설치를 위한 조건
•
Microsoft SQL Server 2005 Enterprise Edition SP1 이상
(including Database Services, Reporting Services, and Workstation
Components)
•
Microsoft .NET Framework 2.0
•
Microsoft Management Console 3.0
•
Microsoft Group Policy Management Console SP1 이상
•
Microsoft Windows Server Update Services 2.0 SP1 이상
•
FCS 에이전트 구성요소:
– Windows 2000의 경우: Update Rollup 1 and GDI+ installed
– Windows XP Service Pack 2의 경우: Filter manager rollup
package installed Windows Update Agent 2.0
System Center를 이용한 통합
•
서명 분배
– MIcrosoft Update와 WSUS를 위해 최적화됨
– 서명은 Microsoft.Com사이트에서 개인적으로 다운로드가 가능하다
•
정책 배포
– 그룹 정책/ Active Directory 위해 최적화됨
– 정책 설정을 파일,분배,로컬서버로 적용 하기 위해 추출할 수 있음
•
이벤트 수집 및 보고기능
– FCS서버는 지정된 MOM 2005와 결합되어 사용
– 클라이언트에는 MOM 2005 에이전트가 설치되어 있어야 함
FCS서버 토폴로지
• 4개의 논리적 서버 역할:
–
–
–
–
관리 (FCS 콘솔)
수집 (MOM + DB)
보고서 (MOM Reporting + SQL Server 보고서 서비스)
배포 (WSUS)
• 확장성 및 운영되고 있는 WSUS, SQL 서버의 재사용을
위한 다중 토폴로지
– 단일 서버 구성 – 하나의 서버로 모든 기능
– 2개 서버 구성 – DB의 보고서 기능 + 기타 모든 기능
– 4개 서버 구성 – 분리된 서버 별로 각각의 역할을 갖는 구성
– WSUS 배포 서버는 분리된 서버에 운영될 수 있음
FCS의 확장성
• 중소기업 부터 대기업 규모 고려하여 설계됨
• 하나의 FCS 서버는 10,000개의 FCS 클라이언트까지
조정할 수 있도록 설계
• FCS 서버 배포 시나리오
– 중견기업 규모 (<10,000 명 ): 단일 FCS 서버 배포
– 대기업 규모 (>10,000 명): 역할에 따른 FCS 서버 배포
• 각 서버는 10,000개 클라이언트까지 조정할 수 있음
• 개인 구분 또는 클라이언트 보안이 자체적으로 관리되고 있는
대기업규모 환경상의 도메인 (AD 인프라)
보안 위협으로부터의 방어 1
•
Virus와 Spyware를 방어 하기 위한 통합된 에이전트
– 공용 엔진이 Windows Defender, Onecare, Forefront Sever Security에서
사용된다
– 로컬 사용자 인터페이스가 Windows Defender의 기반을 가짐
– 커널 모드 미니필터를 통해서 실시간 접속 차단
–
사용자 모드 검색
–
Windows 필터 관리자 플랫폼에 내장됨
악성 S/W는 Anti Virus와 안티 Anti Spyware로 부터 차단됨
시스템 구성, IE에 추가 및 구성설치
IE 와 오피스 다운로드
서비스 및 드라이버
응용프로그램 실행 및 등록
일정가능 및 주문형 검색 지원
빠른 검색 – 메모리 프로세스에서 , 목표화된 디렉터리, 공용 악의적 소프트웨어
확장 가능점
전체 검색 – 빠른 검색 + 로컬 드라이브
보안 위협으로부터의 방어 2
• Agent 작용은 보안 관리자에 의한 통제될 수 있다
–
–
–
–
검색 일정이 자유롭다 (시간 및 시간차 검색)
주기적인 서명 업데이트, 이동 사용자의 전환기능
제외 기능 – 파일 확장명, 디렉터리
서명 우선순위
• 특별한 악성 소프트웨어에 의해서
• 악성 소프트웨어 카테고리에 의해서
– 로컬 사용자 인터페이스
• 정책 인식 – IE의 락다운 설정될 수 있다
• 완전한 락다운 사용자 인터페이스 방식
– SpyNet 보고기능
– Windows 보안 센터와 Vista NAP와 호환됨
• Anti Virus와 Anti Spyware 상태 – 켜기/끄기 및 서명 업데이트 기능
Anti Malware 서명 배포
•
•
서명 배포기능은 Windows Server Update
Services (WSUS)에 최적화 됨
배포 역할 업데이트 어시스턴트 서비스에
설치됨:
–
•
Microsoft
Update
®
Sync
WSUS와 MU(Microsoft Update)사이에서
주기적인 동기화의 증가 – 시간당 한번
WSUS +
Update
Assistant
이동 사용자를 위해 지원
–
Malware
Research
WSUS에서 MU(Microsoft Update)로 전환가능
Sync
Failover
Client and Servers
FCS 정책 관리
•
간소화된 보안 운영관리를 위한 하나의 콘솔
•
하나의 정책으로 FCS 클라이언트 설정을 할 수 있다
•
목표 정책은 Active Directory 조직단위와 보안 그룹에 기반을 두고 있다
‒
•
자동배포가 안 되는 클라이언트에 정책을 .reg파일로 추출할 수 있다
–
•
콘솔은 GPO를 AD에 정책 배포 설정을 위해 사용된다
FCS 로컬 정책 도구로 클라이언트에 적용가능
보고서는 구축된 인프라의 정책 응답의 보기 기능을 제공
주문형 검색기능
• 콘솔에서 실행
– 특정 컴퓨터 또는 모든 컴퓨터를 대상으로 검색
– 빠른 검색 또는 전체 검색 – 악성 소프트웨어를 찾음
• MOM의 런타임 태스크
– 콘솔에서 작업을 하며 MOM서버로 전달
– MOM서버는 대상 클라이언트에서 실행을 위해 태스크를 대기 행렬에
놓는다
• 사용법 시나리오:
– 서명 업데이트 수행 / Anti Malware 검색
– 새로운 보안 취약점의 존재 확인
보안 상태 평가
• SSA 호스트 에이전트:
– 실행은 보안 검사 정의로 된 것을 검색
– 정책을 통해서 예정대로 검색 또는 주문방식에 의해서 검색
• 보안 검사
– MU에서 보안 업데이트가 안된 것을 검출
– Security Best Practice를 사용하여 시스템 구성을 비교
• Registry,파일 시스템,WMI,IIS 메타베이스,SQL 서버 등의 데이터를 시험
– MU에서 새로운 보안 이슈와 최상의 보안 구성상태에서 업데이트 할
부분이 있는지를 검사
• MBSA + SMS 비교:
– 중앙 집중화 된 보고서
– 새로운 보안 검사 항목을 확장 시킬 수 있다. – 보안 게시판에서
적용하기 위해서 검사
보안 상태 평가 – 보고서
“
security
best practices로 검사
했나요?”
“취약점이 노출 되는
때는 주로 언제 입니까?”
“우리 회사의 보안상태는
어떻습니까?”
Demo
ForeFront Security Client 작동 데모
Forefront Security for Application
Server 제품
Forefront Security 3종류의 버전
다중 엔진에 의한 바이러스 대책
Microsoft Operations Manager에 의한 일원 감시
상기를 특징으로 한, 완전히 새로운 바이러스 대책의 솔루션
Anti-Virus 애플리케이션 서버
•Internet
• 분산된 보호
•Gartner Magic Quadrant for
•E-Mail Security Boundary 2006 *
• 성능 튜닝
• 컨텐츠 필터링
• 중앙 관리
•Exchange Server/
Windows-based
SMTP Server
•A
•B
•C
•D
•E
•* Magic Quadrant for E-Mail Security Boundary, 2006. Peter Firstbrook, Arabella Hallawell
Publication Date: 25 September 2006/ID Number: G00142431
Anti Virus스캔 엔진
• Forefront Security For Application Server 제품 – Microsoft와 멀티
벤더의 다중 엔진 제공
• 동시 5 개까지 엔진 구동 가능
Microsoft Anti-malware Engine
Ahn Labs
Authentium
CA VET
CA InoculateIT
•
Kaspersky
Norman Data Defense
Sophos
Virus Buster
고객 혜택
–
–
새로운 위협의 빠른 대응가능 및 중단 없는 보호
다양한 안티 바이러스 엔진의 최대 보호
정의 파일이나 엔진의 갱신
Forefront Security 상에서
동작하는 바이러스 대책 협력사
A
C
B
D
http://forefrontdl.microsoft.com
정의 파일이나 엔진
Forefront Security로 보호된 서버
Forefront for Exchange Server `
Microsoft® Forefront™ Security for Exchange Server는 보안선도기업의
다중엔진을 포함하며, 바이러스, 웜, 스팸으로부터 비즈니스를 보호하는
일원화된 솔루션
포괄적인
보호
• 다중 Anti Virus 탑재 및 관리
• Exchange 2007 상의 다계층 보호
• 파일 필터링과 프리미엄 Anti Spam 보호
성능
최적화
• Exchange Server 와 심층적인 통합
• 스캔 혁신 & 성능 제어
• 서비스 uptime 과 성능최적화
단순화된
관리
• 손쉬운 설정관리와 운영
• 자동화된 signature 업데이트
• 리포팅, 알림, 경고
Forefront for Exchange의 구성
Exchange Server 2007상에서 동작하는 게이트웨이형 Anti Virus 제품
엣지 전송 서버
사서함 서버
허브 전송 서버
Transport Scanning Scenarios
Inbound Email
I
N
T
E
R
N
E
T
Edge Server
Hub Role
Mailbox Role
SCAN and
STAMP
NO SCAN
NO SCAN
• Mail 스캔은 Edge단에서만 한번 이루어짐
• Hub와 Mailbox servers 에 부하를 줄이게 됨
Client
Transport Scanning Scenarios
Outbound Email
I
N
T
E
R
N
E
T
Edge Server
Hub Role
Mailbox Role
NO SCAN
SCAN and
STAMP
NO SCAN
• Mailbox server 에서의 Proactive 스캔은
디폴트로 꺼져 있음
• 스캔은 Hub 전송 서버에서 이뤄짐
• Edge와 Mailbox server의 부하를 줄여줌
Client
Transport Scanning Scenarios
Internal Email
I
N
T
E
R
N
E
T
Edge Server
NO SCAN
Hub Role
SCAN and
STAMP
Mailbox Role
NO SCAN
Mailbox Role
• Internal mail 은 Hub 전송 서버를
통하게 되어 있음
• Mailbox server 에서의 Proactive
스캔은 디폴트로 꺼져 있음
• Mailbox server의 부하를 줄여줌
NO SCAN
Client
Transport Scanning Scenarios
Crash Protection and Added Security
I
N
T
E
R
N
E
T
Edge Server
Hub Role
Mailbox Role
SCAN
FAILURE!
No stamp.
SCAN and
STAMP
NO SCAN
• Edge 전송 서버에서의 스캔을 실패하면,
Hub 전송 서버에서 스캔 하게 됨
• Mailbox 는 계속 보호받게 됨
Client
Forefront for Share Point Server
Microsoft Forefront Security for SharePoint integrates 는 백신선도업체에 의해
Microsoft Office SharePoint 2007 와 Windows SharePoint Services 3.0 를 다중
엔진과 컨텐츠 제어를 통해 악성코드, 기밀정보, 부적절한 코드 등으로 비즈니스
보호한다
포괄적인
보호
• 다중 Anti Virus 엔진 탑재 & 관리
• 파일 & Contents Filtering
• Open XML & IRM-protected 문서 지원
성능
최적화
• SharePoint Server 와 통합
• 스캔 혁신, 성능 조절
• 서비스 Uptime 관리와 성능 최적화
단순화된
관리
• 손쉬운 구성과 운영
• 자동화된 Signature 관리
• 리포트, 알림, 경고
Demo
ForeFront Security for Exchange 작동 데모