2011/01/06

Forefront Endpoint Protection 2010 ってどう!? (その1)

Microsoft Forefront Client Security (FCS) 1.0 の後継バージョン、Microsoft Forefront Endpoint Protection (FEP) 2010 (開発コード名 "Stirling") が昨年の12月中旬に RTM しました。今年早々にも販売が開始されると思います。評価版は既に入手可能で、こちらからダウンロードできます。

さて、評価しようと思っても、この製品、System Center Configuration Manager (SCCM) 2007 R2 または R3 に統合されるように作られていて、すべての機能を評価するには SCCM 2007 R2 または R3 が必要になることでやる気を無くすかもしれません。でもご安心を。Active Directory のグループポリシーで構成を管理することもできますし、スタンドアロンで利用することもできます。

SCCM 2007 R2 または R3 のサイト サーバーに FEP 2010 のサーバー コンポーネントをインストールすると、FEP 2010 を管理するための拡張が行われます。

FEP 2010 のクライアント コンポーネント (マルウェア対策エンジン) は、SCCM のソフトウェア配布機能を利用します。そのための展開パッケージ(FEP - Deployment) は最初から用意されているので、このパッケージを選択してコレクションに対して配布するだけです。パッケージを配布すると、ご丁寧に既にインストールされている FCS 1.0 や競合他社のマルウェア対策ソフトを削除してから、クライアント コンポーネントを無人インストールし、既定のポリシーを適用します (FEPInstall.exe /s /q /policy 既定のポリシー ファイル名.xml を実行) 。削除してくれる競合他社製品を知りたい方は、こちらでご確認を。

コンポーネントをインストールクライアント コンポーネントの配布を含め、サーバーとクライアントのやり取りには、SCCM の基盤が利用されるため、FEP 2010 専用の管理用エージェントはありません。SCCM のエージェントがその役割を担います。ちなみに、前バージョンのFCS 1.0 では、MOM 2005 のエージェントがクライアントに展開されていました。


クライアントが展開されたコンピューターは、FEP コレクション (FEP コレクション\展開状態\展開に成功\展開されたサーバー|展開されているデスクトップ) として検出され、SCCM の管理コンソールで作成したポリシーは、FEP - Policies というパッケージで、ソフトウェア配布機能でコレクションに展開されます。クライアントで実行したいアクションは、FEP - Operations というパッケージで、これまたソフトウェア配布機能で特定のクライアント上で実行されます。FEP - Operations には、フル スキャンの実行 (Full Scan)、クイック スキャンの実行 (Quick Scan)、マルウェア対策定義更新の実行 (Update Definitions) が含まれます。エンジンの定義の更新には、もちろんソフトウェアの更新機能が利用されます。クライアントの状態の監視は、SCCM の必要な構成管理を利用して収集されます。セキュリティに関するさまざまなレポートは、SCCM のレポート機能と統合されています。

マルウェア対策エンジンの動作設定を、中央で一元管理できることは、企業向けのマルウェア対策製品の必須要件と言ってよいでしょう。FEP 2010 の場合は、SCCM の管理コンソールでデスクトップおよびサーバー用の既定のポリシーを編集することで、FEP コレクション内のデスクトップおよびサーバー コンピューターにそれぞれのポリシーを適用できます。右の画面はドメイン コントローラー用のポリシー (FEP_Default_DC.xml) の定義済みのファイル除外設定です。

既定のポリシーとは別にカスタム ポリシーを作成して、任意のコレクションに配布して既定のポリシーとマージすることもできます。こちらから、Windows Server の各種サーバーの役割(ファイルサーバー、IIS、Hyper-V、ドメイン コントローラー、ターミナルサービスなど) と、マイクロソフトのサーバー製品 (Exchange Server、SharePoint Server、SQL Server SCCM、OpsMgr) の動作に最適な定義済みのポリシー (.xml) を入手して、インポートすることもできます。例えば、右の画面は、ドメインコントローラー用のプロセスの除外設定です。ファイルやプロセスの除外設定が非常に参考になると思います。ポリシー ファイルは誰でもダウンロードでき、XML ファイルなので解析は簡単。他のマルウェア対策製品を利用する場合に参考にするとよいかも。

追記:
2010/01/05 に以下のサポート技術情報が公開されていました。このような設定を企業内のすべてのマルウェア対策に適用するのは大変です。FEP 2010 のサーバー ロールのポリシーを利用すれば一発というわけです。
現在サポートされているバージョンの Windows を実行しているエンタープライズ コンピューターでウイルス スキャンを行う場合の推奨事項
http://support.microsoft.com/kb/822158/ja?sd=rss&spid=14134


FEP 2010 は、SCCM の基盤に統合されるため、最大 100,000 クライアントという、途方もない SCCM のスケーラビリティ (詳しくはこちら) を利用した、大規模展開ができるというメリットがあります。FEP 2010 のために SCCM を入れるというのは本末転倒ですが、既に SCCM の基盤がうまく回っていれば、統一したマルウェア対策を簡単に全社展開できるでしょう。

さて、SCCM の基盤を利用するとなると、動作状況の報告までのタイムラグが気になるかもしれません。FEP 2010 には System Center Operations Manager (OpsMgr) 用の管理パック (FEP セキュリティ管理パック) が同梱 (こちらからもダウンロード可能) されているので、OpsMgr を利用したリアルタイム監視にも対応できます。

つまり、System Center ファミリーで管理された、Windows ベースの IT インフラストラクチャを持つ企業や組織にとってはうれしい製品です。そうでない企業や組織にとっては ???

おっと、グループポリシーの機能について書くつもりが製品紹介になっちゃいました。続きはまた今度。

続きはこちら

0 件のコメント: