2011/01/07

Forefront Endpoint Protection 2010 ってどう!? (その2)

Microsoft Forefront Endpoint Protection (FEP) 2010 のすべての機能を利用するには、System Center Configuration Manager (SCCM) 2007 R2 または R2 が必要です。ですが、スタンドアロンのマルウェア対策ツールとしても機能します。

マルウェア対策エンジンの動作設定については、Active Directory のグループポリシーを利用して集中管理できます。FEP 2010 のポリシー ファイル (.xml) を直接、クライアントに適用する方法もあります。マルウェア定義の更新には、Windows Server Update Services (WSUS) や Microsoft Update を使用できます。

この投稿の (その1) はこちら

FEP 2010 のメディアにある FEPInstall.exe (x64\Client\FEPInstall.exe と x86\Client\FEPInstall.exe は同じもののようです) を実行してインストールすれば、FEP 2010 はスタンドアロンのマルウェア対策ツールとして機能します。

SCCM のパッケージの指定にならって、無人インストールのコマンドラインは、FEPInstall.exe /s /q /policy ポリシー ファイル名.xml  を SCCM 以外のソフトウェア配布ソリューションやバッチファイルで実行し、既定の設定とともに展開することも簡単です。 

マルウェア対策エンジンとしての機能強化点は?

FEP 2010 の UI は、前バージョンの Forefront Client Security (FCS) 1.0 や、無償の Microsoft Security Essentials (MSE)、間もなく登場する Windows Intune のマルウェア対策ツールと同様。コアのエンジンも共通です。昨年の12月中旬に FEP 2010 が RTM しましたが、同日、MSE 2.0 も公開されました。実は、MSE 2.0 のコンポーネントと FEP 2010 のコンポーネントの大部分は同じものです。スタンドアロンのマルウェア対策ツールとしての機能差はまったくありません(たぶん)。

FEP 2010 にはスケジュールされたスキャンをコンピューターのアイドル時間に実行する機能や、CPU 使用率の指定した上限内でスキャンする機能があり、ユーザーやサーバーの動作を邪魔しないようになっています。

また、マルウェア対策、スパイウェア対策 (Windows Defender 相当) に加えて、ネットワーク検査システム (NIS) が追加され、ネットワーク トラフィックの解析とエクスプロイトのブロックに対応します。NIS は、Forefront Threat Management Gateway (TMG) にも実装されているセキュリティ機能で、未パッチ状態のゼロデイ リスクを軽減してくれるそうです。

この他、ビヘイビア モニター (動作の監視) や Web の悪質なスクリプトのブロック、フル スキャン実行時にリムーバブル メディアの検査を含める機能など機能強化されています。

これらの機能は、MSE 2.0 にも実装されています。両者の UI を比較すると一目瞭然。パッと見ですが、製品名称以外の違いを見分けることはできません。両者の UI の実行ファイル msseces.exe は、ファイルサイズも、タイムスタンプも、デジタル署名もまったく同じです。

FEP 2010 と MSE 2.0 の違いはライセンスの違い (FEP 2010 は企業向けサブスクリプションライセンス、MSE 2.0 は個人利用目的または10台以下の小規模ビジネスにのみ許可) と、SCCM ベースの大規模展開と集中管理機能ということになります。

Windows Server 2008 R2 Server Core の保護も可能

FEP 2010 のシステム要件はこちらで確認できます。クライアントは、Windows XP SP3 以降のデスクトップ OS と、Windows Server 2003 SP2 以降のサーバー OSです。Windows Server 2008 R2 の Server Core インストールにも対応しているのが注目点です。

Server Core 環境に実際にインストールしてみました。C:\Program Files\Microsoft Security Client\msseces.exe を実行すれば、FEP 2010 の UI を開いて、操作することができます。

ちなみに、マルウェアを検出したときは、右の画面のように通知されます。Server Core の場合 (フルインストールの場合もそうですが)、管理者が常にコンソールを見ているわけではないので、既定の動作として駆除するように構成するか、あるいは SCCM や OpsMgr で監視してその都度対処するかになるでしょう。


FEP 2010 の設定をグループポリシーで管理するには?

SCCM の代わりに、Active Directory のグループポリシーを使用して、FEP 2010 のエンジンの設定を集中管理することができます。それには、以下のサイトで公開されている FEP グループ ポリシー ツール (fep2010grouppolicytools-ja-jp.exe) を利用します。

Forefront Endpoint Protection 2010 ツール
http://www.microsoft.com/downloads/details.aspx?FamilyID=04f7d456-24a2-4061-a2ed-82fe93a03fd5&displayLang=ja


FEP グループ ポリシー ツール (fep2010grouppolicytools-ja-jp.exe) を実行すると、FEP 2010 用の管理用テンプレート (FEP2010.admx および FEP 2010.adml) が展開されるので、これらのファイルをドメインコントローラーの次の場所 (セントラル ポリシーを構成している場合はその場所) にコピーします。

C:\Windows\PolicyDefinitions\FEP2010.admx
C:\Windows\PolicyDefinitions\ja-jp\FEP2010.adml


管理用テンプレートをコピーすると、グループ ポリシー エディターの「コンピューターの構成\ポリシー\管理用テンプレート\システム\Forefront Endpoint Protection 2010」でポリシーを編集できるようになります。


FEP グループ ポリシー ツール (fep2010grouppolicytools-ja-jp.exe) を実行すると、もう 1 つ FEP2010GPTool.exe という実行ファイルが展開されます。このツールは、上記のサイトからダウンロードできる グループ ポリシーで使用する FEP サーバー ロール ポリシー (fepserverrolepoliciesforusewithgpo.exe) で提供されるポリシー ファイル (.xml) をグループポリシーの GPO に展開したり、あるいは GPO でのポリシー設定をポリシー ファイル (.xml) にエクスポートする機能を提供します。

FEP 2010 の設定をポリシー ファイル (.xml) で管理するには?

FEP 2010 のポリシー ファイル(.xml) を、クライアントに直接適用することもできます。インストールと同時にポリシーを適用するには、次のコマンドラインでインストールします。

FEPInstall.exe /policy ポリシーファイル名.xml

インストール後にポリシーを適用するには、次のコマンドラインを使用します。このコマンドラインは、SCCM でポリシーを配布する際に使用されるものです。

C:\Program Files\Microsoft Security Client\ConfigSecurityPolicy ポリシーファイル名.xml

なお、ポリシーを適用すると、FEP 2010 の UI から一部の設定が変更できなくなります。ポリシーの管理下にあるとして、「保護目的のため、一部の設定はセキュリティ管理者が管理します。」と表示されます。適用されているポリシーは、C:\Program Files\Microsoft Security Client に移動して、CleanUpPolicy.xml を適用することで無効化できます。


cd C:\Program Files\Microsoft Security Client
ConfigSecurityPolicy CleanUpPolicy.xml

0 件のコメント: