Windows Server 2008 ile birlikte sunulan bir diğer yeni özellikde Granular Password.
Peki nedir Granular Password.Bildiğimiz gibi Windows Server 2008 öncesi sistemlerde (Windows Server 2000/2003) varolan organizasyonumuz için sadece bir adet password policy oluşturabiliyorduk.Windows Server 2008 ile birlikte bu kısıtlama ortadan kaldırıldı.Artık domain içerisinde user yada OU bazlı password policy’leri oluşturabilirsiniz.Farklı administratorlar için farklı password tanımları yapabilirsiniz.
Windows Server 2008 üzerinde “Granular Password Settings” olarak sunulan bu ayarı gerçekleştirebilmeniz için Active Directory şeması üzerinde birkaç değişiklik yapmanız gerekmektedir.Şema üzerine adsiedit aracını kullanarak ekleyeceğimiz objeler ile Granular Password Settings özelliğini aktif hale getirebilirsiniz.Şimdi bu işlemleri sırası ile gözden geçirelim.
Schema üzerine objeleri eklemek için Adsiedit aracını kullanacağız.Windows Server 2008 ile birlikte tümleşik gelen bu aracı çalıştırmak için Başlat>Çalıştır>adsiedit.msc yazarız.
Şimdi adsiedit içerisinde SYSTEM dizinine inerek Password Settings Container ‘e sağ tıklayalım ve New>Object ‘i seçelim. Devamini oku »
Forefront güvenlik ailesi ile birlikte sunulan ürünlerden biride Forefront Security For Exchange Server’dır.Server Security kategorisi altında sharepoint ve exchange koruması için ürretilmiş ürünlerden birisi olan Forefront For Exchange ile aynı anda güvenilirliğini kanıtlamış birden fazla tarama motorunu kullanabilir,gerçek zamanlı ve zamanlanmış taramalar oluşturabilir,farklı kriterlere göre filtrelemeler yaparak Exchange güvenliğinde bir adım önde olabiliriz.
Bu yazımıda Forefront Security for Exchange ürünü içerisinde bulunan filtering özelliğini inceleyeceğiz. Temel olarak filtering mekanizması tarafımızdan hazırlanan listeler yardımıyla işlev görmektedir.5 ana başlık altında filter listler hazırlayabiliriz.İsterseniz her bir filtering mekanizmasını örnek uygulamalarla inceleyelim.
FILE FILTERING
Forefront Security For Exchange Server file filtering özelliği sayesinde mailler ile birlikte gelen attachmentleri boyutlarına,ismine yada türüne göre ayırabilir ve belirli kısıtlamalar getirebiliriz.Bu kısıtlamalar için standart actionlar yerine farklı farklı actionlarda tanımlayabiliriz.Örneğin varolan ekli dosyanın direk silinmesi,rapor edilmesi yada karantiye alınması gibi.Bunun dışında File filtering özelliği sadece maillerden değil aynı zamanda Outlook içindeki diğer componentlerden de (tasks/schedules) sorumludur.Şimdi örnek bir uygulama için bir file filtering oluşturup clientlar üzerindeki yansımalarına bakalım.
File filtering oluşturmak için Devamini oku »
Bildiğimiz gibi artık Microsoft ,Forefront ismi altında farklı güvenlik çözümlerini biraraya getirerek sunuyor.Farklı güvenlik çözümlerinin neler olduğuna bakarsak;
-Forefront Client Security
-Forefront Server Security
-ForeFront Security for Exchange
-ForeFront Security for SharePoint
-Antigen
Forefront Edge Security
-Internet Security and Acceleration Server 2006
-IAG (Internet Application Gateway)
Görüldüğü gibi Microsoft piyasa sürdüğü bu aile ile eksiksiz bir güvenlik ağı oluşturuyor.Bu yazımızda Kurumsal masaüstü ve dizüstü bilgisayarlar ve sunucu işletim sistemleri için yönetimi ve kullanımı kolay birleştirilmiş virüs ve casus yazılım koruması olan Forefront Client Security ürününün kurulumunu ve temel konfigurasyonlarını inceleyeceğiz. Devamini oku »
Forefront Security For Exchange ile birçok konfigurasyon gerçekleştirebiliriz.Örneğin filter listler oluşturabilir,çeşitli templateler yaratabilir,notificationlar ayarlayabiliriz.Bu kadar zahmete girip ayarları kaydettikten sonra varolan konfigurasyonun bir yedeğini almak akıllıca olacaktır.Bu amaçla konsolu incelediğimde herhangi bir arayüze rastlayamadım.Yalnız aşağıdaki dizine gidersek;
\Program Files\Microsoft Forefront Security \ Exchange Server \ Data folder
burada .fdb dosyalarını görebiliriz.
İşte buradaki .fdb dosyalarının yedeğini alarak conf. yedeğini almış oluruz.
Bildiğimiz gibi Forefront ailesinin Exchange güvenliğinden sorumlu üyesi Forefront Security for exchange,sahip olduğu 8 tarama motoru ile etkin bir çözüm olarak önümüzde.Bu motorlar;
CA Vet, Microsoft Antimalware Engine, Norman Virus Control, Sophos Virus Detection Engine, Kaspersky Antivirus Technology, Authentium Command Antivirus Engine, AhnLab Antivirus Scan Engine, ve VirusBuster Antivirus Scan Engine
Yalnız bu motorların hepsini aynı anda kullanamıyoruz.Bunlardan seçtiğimiz 4 tanesi ve Microsoft Antimalware motoru ile 5 tane seçim hakkımız bulunuyor.Kurulum sırasında bu 4 motor rastgele seçilmiş olarak karşımıza geliyor.Kurulumdan sonrada bu seçimi değiştirme olanağımız var.
Hal böyleyken update işlemleride her bir motor için ayrı ayrı olmak zorunda tabiki.
Forefront for Security’de update mantığı şu şekilde.Kurulumdan sonra tarama motorları için updateler otomatik olarak gerçekleşiyor.Varsayılan olarak FSCController servisi başladıktan 5 dakika sonra başlar.Ve 5 dakika aralıklarda devam eder.Yani interval değerimiz 5 dakika.Ve update indirildikten sonra otomatik olarak yükleme işlemide gerçekleştiriyor.Burada şunu sorabiliriz.Update işlemi sırasında Forefront devre dışımı?Hayır yalnızca update olan motor devre dışı.O birkaç saniyelik update işlemi sırasından da seçilen diğer motorlar aktif olarak görev yapmakta.
Peki updatelerin ne zaman ne kadar sıklıkla ,hangi kaynaklardan yapılacağına nasıl karar verebiliriz? (kaynak olarak HTTP olarak windowsa bağlanaibldiği gibi organizasyon içerisindeki başka bir exchanden’de updateleri çekebilir)
Bunun için konsole ekranında settings altındaki Scanner Updates bölümünü kullanabiliriz.Burada herhangi bir motoru seçerek gerekli ayarları gireriz.Örneğin aşağıdaki bölümü inceleyelim.
Burada bir motoru seçtiğimizde aşağıdaki kısımda Primary ve Secondary update pathlerini görebiliriz.Forefront birinci update kaynağından updatei alamazsa ikincisine otomatik olarak geçer.Bu kısıma aynı zamanda updateleri çeken başka bir exchange serverın UNC pathinide yazabiliriz.
Görüldüğü gibi Forefront for exchange için primary path
http://forefrontdl.microsoft.com/server/scanengineupdate adresidir.
Bunun dışında bu ekranda yine update işlemi için seçilen motorlara scheduling işlemini gerçekleştirebiliriz.Ve bu ayarı günlük haftalık yada aylık olarak ayarlayabiliriz.
.
Forefront Client Security ile ilgili birkaç yazıdan sonra birazda Forefront Security For Exchange üzerine konuşmamız faydalı olacaktır.
Forefront for exchange bildiğimiz gibi forefront ailesinin server security kısmında yer alıyor.Yapımızdaki Exchange server’ın güvenliğinden sorumlu olan bu yapı kullandığı çoklu tarama motorları ve filtering özellikleriyle başarılı işler çıkarıyor.Bu yazıda sadece ufak bir bölümünden söz edelim.Örneğin yapımızda keyword filtering yapmak istiyoruz.Yani mail içeriğinde belirli kelimelere rastlandığında FSE’nin belirli actionlar gerçekleştirmesini istiyoruz.Bunun için yapacağımız işlem aşağıda adım adım belirtilmiştir.Öncelikle Forefront Server Security Administrator konsoluna gireriz.
-Burada solda bulunan filtering bölümünü seçerek Filter list altında keywords’a gelerek add deriz.
Şimdi kendimize bir filter list oluşturucaz.Tabiki içerisinde keywordler barındıran bir list olucak bu.
Add dedikten sonra listemize bir isim vererek edit’e basarız.
Burada yine add’i kullanarak istediğimiz kelimeleri ekleriz.Yukarıda benim biraz anlamsız list’imi görüyorsunuz=)
Aynı zamanda bu ekranda import ve export işlemlerinizide gerçekleştirebilirsiniz.Import ile hazırladığınız listeleri içeri alabilir,export ilede burada hazırladığınız listeleri dışarıya aktarabilirsiniz.Sol tarafa filtrelemede kullanılacak kelimeleri,sağ tarafa ise filtrelemeden bağımsız olan kelimeleri ekleyeibliyoruz.
Buradaki işlemlerinizi yaptıktan sonra OK diyerek çıkalım.Şimdi sol taraftaki filtering bölümünden Keyword kısmını seçtiğimizde Transport Scan Job altında oluşturduğumuz listeyi görebiliriz.
Yalnız görüldüğü gibi sağ tarafta filtre disable edilmiş durumda.Filtrenin aktif olabilmesi için Burayı enable hale getiririz.Action bölümünde ise 3 adet seçeneğimiz var.
Identify:Tag Message: Bu ayar seçilirse e-mail alıcıya ulaşır fakat subject kısmı SUSPECT şeklinde taglanir.
Skip:Detect Only:Burada bir action gerçekleşmez.Sadece durumu monitor ederek ileriye dair fikirler oluşturabiliriz.
Purge:Eliminate Message:Bu ayarda da tahmin edileceği üzere mail yokedilir.Alıcı kendisine bir mail gönderildiğinden haberdar olmaz.
Bunun yanında alt kısımdaki send notifications kısmıda işaretlenirse ,maili gönderen kişiye mailinin Forefront tarafından filtrelendiği belirtilir.
Şimdi clientların birinden diğerine yukarıda belirttiğimiz kelimeleri kullanarak bir mail atalım.Ben action olarak mesajın subject kısmını taglamesini seçtim.Maili gönderdiğimde mail alıcıya ulaşır ancak aşağıdaki şekilde subject kısmı düzenlenir.
Aynı şekilde dosya bazlı filtrelemeyide birdahaki yazımızda inceleyeceğiz.
Eğer Forefront Client Security Evaluation versiyonu deneyip kullanmaya karar verdiyseniz retail versiyona upgrade işlemini gerçekleştirmeniz gereklidir.Öncelikle varolan Client Security yüklemesinin Evaluation versiyon olduğunu doğrulamak için;
-Collection Server üzerinde regedite girerek : HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Operations Manager\2.0\Setup dizini altına ineriz.
-Burada InstalledServerSKU anahtarı bizim için önemli.Eğer evaluation versiyon kullanıyorsak bu anahtarın değeri Eval olacaktır.
Eğer upgrade işlemine karar verdiysek öncelikle Client Security Installation Tool’u indiririz. http://go.microsoft.com/fwlink/?LinkId=93631
Bu msi dosyası bir upgrade dosyası oluşturarak gerekli dosyaları buraya kopyalayacaktır.Upgarde işlemini gerçekleştirmek için önceliğimiz 3 component olacak.Bunlar Collection Database,collection ve management server.Yani bunların dışındaki componentleri değiştirmemize gerek yok.Sırasıyla gidersek;
Collection Database’i upgrade etmek için run’a gelerek aşağıdaki komutu gireriz.
Msiexec /i kaynak\server\momserver.msi
Buradaki kaynak değişkeni bizim Retail yükleme dosyasının dizini olucaktır.Açılan sihirbazla varsayılan değerleri kullanarak kurulumu tamamlarız.
Collection Server’ı upgrade etmek için öncelikle upgrade dosyası oluşturduğumuz dizindeki FCScs-kb939366-x86-enu.msi dosyasını collection servera taşıyarak çalıştırırız ve hotfixi yükleriz.Ardından aynı şekilde yukarıdaki momserver.msi dosyasını çalıştırırız.Kurulum bittiğinde ekstra olarak
sourcefilelocation\server\Q913801.msp komutunu run’dan çalıştırırız.
Management Server upgrade işlemi için Upgrade dosyasından FCSInstall.exe dosyasını servera kopyalarız.Sonra aynı şekilde momserver.msi dosyasını çalıştırıp sihirbazı tamamladıktan sonra komut satırına inerek aşağıdaki komutu gireriz.
FCSInstall.exe fcsms.msi
Böylece upgrade işlemini sancısız ve kayıpsız bir biçimde gerçekleştirmiş olduk.
Forefront Client Security kurulumundan sonra bir başka sorun ile karşı karşıya kalabilirsiniz.FCS konsolunu açtığınızda karşınıza hiçbir veri gelmeyebilir ve şöyle bir hata mesajı ekrana çıkabilir.
An error has occurred while establishing a connection to the server. When connecting to SQL Server 2005, this failure may be caused by the fact that under the default settings SQL Server does not allow remote connections
Hatadanda anlayacağımız gibi SQL üzerinde uzaktan bağlantılara izin verilmediği için bu hatayla karşılaşıyoruz.Temelde 3 adımı kontrol etmeliyiz
-SQL üzerinde uzak bağlantıları tekrardan kontrol ederiz.
-SQL Browser servisi çalışıyormu bir bakarız.
-Son olarakda güvenlik duvarını kontrol ederiz.Eğer açık ise gerekli ayrıcalıkları tanırız.
Bu 3 adımla ilgili aşağıdaki makaleyi inceleyebilirsiniz.
http://support.microsoft.com/kb/914277
Server 2008 öncesinden de hatırladığımız gibi unattended modunu kullanarak hazırladığımız answer dosyaları ile istediğimiz kurulumları gerçekleştirebiliyorduk.Aynı özelliği Server 2008 üzerinde de kullanabiliriz.Konuyu Active Directory kurulumu olarak ele alsak dahi birçok seçenek önümüze çıkacaktır.Örneğin yeni bir foresta yeni bir domainmi yoksa varolan bir foresta bir adcmi, yada kurulum sırasındaki seçenekler,domain-forest functional leveller.Microsoft konuyla ilgili oldukça geniş seçenekler sunan bir makale hazırlamış.Server 2008 ‘de active directory kurulumu ile ilgili birkaç answer dosyasını aşağıda bulabilirsiniz.Yalnız unattended modeu kullanarak nasıl kurulumu gerçekleştireceğimizi hemen söyliyelim,aşağıdaki komutu kullanbiliriz.
dcpromo /unattend:<path of the answer file>
Additional DC kurulumu answer file
New Forest kurulumları answer file
Child Domain kurulumları answer file
RODC kurulumları answer file
Genel olarak parametreler tanıdık gelecektir.Yalnızca dikkat etmemiz gereken domain level ve forest level kodları.Bunları
• 0 = Windows 2000 Server
• 2 = Windows Server 2003
• 3 = Windows Server 2008
şeklinde kullanabiliriz.
Kurulumdan sonra bize başarılı olup olmadığına dair bir hata kodu dönecektir.
Forefront Client Security deployment işleminden sonra yönetebileceğimi client sayısı 10000 olarak belirlenmiş.Peki biraz daha ileri gidersek ne olacak?
Örneğin farklı farklı alanlarda toplamda 60000 clientımız var ve bunları tek bir konsoldan yönetmek istiyoruz.İşte bu amaçla yayınlanan bir yönetim aracı var.Forefront Client Security Enterprise Manager ile 10 adet client security topolojisinden bilgileri yönetebiliriz.Buda tam anlamıyla 100000 client bilgisayar demek.Burada client bilgisayar derken sadece istemciler aklınıza gelmesin.Daha öncedende bahsettiğimiz gibi forefront’ta client kavramı geniş tutulmuş.Yani organizasyondaki sunucularda istemcilerde forefront için birer client.
Enterprise Manager ile tek bir konsoldan yönetebileceğimiz client sayısını önemli ölçüde arttırmış oluyoruz.Yalnız dikkat edilmesi gereken bazı noktalar var.Kurulumdaki topoloji one-server yada two-server şeklinde olmalı.Sistem gereksinimleri standart FCS kurulumu ile aynı.Yalnızca 10 adet farklı FCS’den 100000 client bilgisi gelebileceğini düşünürek disk alanı konusunda biraz daha cömert olmamız gerekiyor.
Raporlama işlemindede pek bir değişiklik görülmüyor.FCS ile web üzerinden raporları görüntüleyebiliyorduk.Aynı şey enterprise manager içinde geçerli.Fakat tabikide bu raporlar varolan tüm FCS deploymentlarındaki raporlar olacak.
Eklene bir diğer özellikte status bar benzeri bir alan.Bu alanda örneğin network ile ilgili bir sorun olduğunda ve enterprise manager diğer FCS lere ulaşamadığında bizi bilgilendiriyor.
Yönetim alanında ise FCS de bulunan dashboard ve Policy Management tablarında herhangi bir değişiklik bulunmuyor.Eğer sizde Enterprise Management’ı (yöneteceğiniz 100000 bilgisayar olmasada) denemek istiyorsanız aşağıdaki linkten indirip kurulumunu gerçekleştirebilirsiniz.
http://www.microsoft.com/downloads/details.aspx?FamilyID=d9413461-9384-4b14-8a26-1e77e6d98182&DisplayLang=en
Henüz Forefront ailesi ile yeni tanışmışken Microsoft yeni nesil Forefront ailesini tanıttı.2009 başlarında piyasaya sürülmesi planlanan bu sürümün kod ismi “stirling”
Forefront stirling ile birlikte birçok yenilikte bizi bekliyor.Aynı şekilde Client security server security ve edge security partları korunuyor.Fakat ISA 2006′nın geliştirilmiş versiyonu olarak Forefront Threat Management Gateway sunuluyor.Eminim çoğu kişi henüz forefront ailesi ile tanışmamış olsada aşağıdaki adresten deneme sürümünü indirip kullanmaya başlayabilirsiniz.
http://technet.microsoft.com/tr-tr/evalcenter/cc339029(en-us).aspx
Forefront kurulumunda karşılaşabileceğiniz bir hata daha farkettim.Eğer sunucunuz üzerinde SQL Server’ı kurduktan sonra suncunuzun bilgisayar ismini değiştirdiyseniz Forefront Client Security kurulumu devam etmeyecektir.Yalnız loglara baktığınızda size sebebini söylemiyor.Sebebini ise şöyle anlıyoruz.Cd’nin içerisindeki MOMServer,msi dosyasını çalıştırdığımızda kurulum başlamadan hata oluştuğunu söyleyecek ve sebep olarak yukarıdaki isim değişkliğini bildiricek.
Eğer böyle bir durumla karşı karşıyaysak SQL Server’ı reinstall etmemiz gereklidir.
Forefront Client Security kurulumu sırasında iki hata ile karşılaştım.Çözümleri oldukça kolay olan bu hataların ikiside reporting server yani sql üzerinde kaynaklanan hatalar.
Forefront Client Security kurulumu için toplojiyi belirleyip ilgili değerleri girdiğimizde kuruluma başlamadan önce tüm bu ayarları ve gereksinimleri kontrol eden bir pencere gelir.
Bu pencerede hataların ilki “Verifying URL’s for reports” kısmında idi.Sql server kurulumu sırasında erişim izinlerini vermiş olmama rağmen raporlar için kullanacağı adreslere erişemediğini söylüyor.Hata metni şu şekilde:
The report server cannot open a connection to the report server database. A connection to the database is required for all requests and processing.
Bu durumda iki aşamalı bir çözüm kullandım.İlk önce rsconfig aracı ile(Program files/Microsoft Sql server/80/Tools/Binn) aşağıdaki komutu gireriz.
rsconfig -c -iMSSQLSERVER -s localhost -dReportServer -aWindows
Ardından hatamız şu şekile döndü.
The report server cannot decrypt the symmetric key used to access sensitive or
encrypted data in a report server database
Bu hatayı gidermek için Start/Programs/Sql server/Configuration Tools/Reporting Service Configuration konsolunu açarız.Burada Encryption Keys bölümüne gelerek Delete’e basarız ve içeriği sileriz.
Bu işlemden sonra setup sihirbazına kontrol işlemini tekrar yaptırdığımızda sorunsuz ilerleyecektir.
Geldi çattı.Haftaya vizeler başlıyor.Son sene son vize haftam olmasından ve biraz biriken dersler olmasından dolayı oldukça yoğun:)
5 günde toplam 19 sınav.Özellikle fizik ve yüksek matematik canıma okucak.Çetin bir kapışma.Haftaya cuma hala hayatta olurmuyum bilmiyorum.
4 nisan itibariyle 27. İstanbul film festivali başlamış bulunuyor.20.nisana kadar sürecek bu festivalde birbirinden özgün senaryolara sahip onlarca filmi izleme şansı bulucaz.Şimdiye kadar iki kere katıldım bu festivale.İkiside üniversiteye yeni başladığım yıllardaydı.Baya zaman geçti yani:) Ve hatırlıyorum 2 hafta boyunca okula gitmeyip aldığım kombine biletler sayesinde hergün taksimde seçtiğim bir filmi izliyodum.En güzel yanıda hiç ummadığınız bir anda yanınızda bir sanatçınında sabahın köründe o filmi izlemek için geldiğini görüyorsunuz.Benim şansıma gittiğim filmler hep ilk gösterimler olduğu için film sonrası yönetme ve oyuncular sahneye çıkar ve sorulan soruları yanıtlardı.O zamanlar kısa film çekme hayali ile yanıp tutuştuğum için bunlar benim için bulunmaz fırsatlardı:)Peki ne oldu kısa film.Çektim tabikide.3 arkadaş oturduk ve mistik bir kısa film çektik 1.sınıftayken.Amaç yarışmalara katılmaktı,ama filmin montajını vb herşeyini bitirdikten sonra dikkatlice izleyince baya bir kötü olduğumuzu anladık.Aslında konu güzeldi ama aceleyle çektiğimiz için o kadar berbat hatalar vardiki:)
Örneğin başrol oyuncusu sokağın köşesinden gelirken hava kapalı,neredeyse yağmur yağacak,fakat köşeyi dönüyo ve bir anda etraf günlük güneşlik:)Bunun sebebide ikii sahneyi 3er gün arayla çekmemiz ve dikkat etmememiz.
En yakın zamanda fragmanlarını buraya koyarım.Yönetmenlik kariyerim başladığı ve bittiği filmi:)
Forefront Client Security dağıtımını yapmadan önce topolojimizi iyi belirlememiz gerekiyor.Bunun için Gökhan güzel bir yazı hazırlamış.
http://mshowto.org/index.php?option=com_content&task=view&id=328&Itemid=35
Buradan ilgili deployment planını seçtikten sonra ise eğer her bölüm için ayrı sunucular kullanacaksak bunlar arasındaki trafiğin sorunsuz olması için gerekli iletişim portlarının herhangi bir firewall tarafından engellenmemesi gereklidir.Aşağıdaki tabloda FCS için kullanılan tüm bağlantıların portları verilmiştir.
| Component |
Bağlantı |
Topoloji |
Port (protocols) |
Notlar |
| Collection server |
collection database ‘e doğru |
5-server ve 6-server |
1433 (TCP ve UDP) |
Yok |
| Management server |
collection server’e doğru |
4-server, 5-server ve 6-server |
445 (TCP ve UDP), 135 (TCP), ve DCOM port aralığı |
Bu iki sunucu arasında bir firewall kullanılması tavsiye edilmiyor. |
| Management server |
collection database’e doğru |
4-server, 5-server ve 6-server |
1433 (TCP) ve 1434 (UDP) |
Yok |
|
reporting server’e doğru |
3-server, 4-server, 5-server ve 6-server |
80 (TCP) veya 443 (TCP) |
HTTP için Port 80 , HTTPS için port 443 gereklidir. |
|
collection database’e doğru |
3-server, 4-server, ve 6-server |
1433 (TCP) ve 1434 (UDP) |
Bu iki sunucu arasında bir firewall kullanılması tavsiye edilmiyor. |
| Reporting server |
collection database’e doğru |
4-server, 5-server ve 6-server |
1433 (TCP) ve 1434 (UDP) |
Yok |
|
reporting database’e doğru |
3-server, 5-server ve 6-server |
1433 (TCP) ve 1434 (UDP) |
Yok |
| Distribution server |
Microsoft Update’e doğru |
Tümü |
80 (TCP) veya 443 (TCP) |
Microsoft Update’den ilgili güncellemeleri almak için 80 ve 443 portları açık olmalıdır. |
Forefront Client Security çözümünde client bilgisayarlar üzerine Client Security Componentlerini yüklemeliyiz.Bu işlemi ileride makale olarak ayrıntılı görücez.Şimdi ise deploy işlemini nasıl gerçekleştirebilirizona bakalım.Öncelikle componentleri dağıtacağımız pclerin
- Microsoft Windows 2000 with SP4 and Update Rollup 1
- Windows XP with SP2
- Windows Server 2003 with SP1
- Windows Vista Business
işletim sistemlerinden birine sahip olmaları gerekiyor.Aynı zamanda 64bit teknolojisi desteklenirken Itanıum desteklenmemektedir.Bunun yanında Client bilgisayarlarda
- Windows Update Agent 2.0
- Windows Installer 3.1
kurulu olması gerekmektedir.
Temel olarak iki yöntemimiz var.Bunlar otomatik ve manuel.
WSUS KULLANARAK DAĞITMA:
Eğer organizasyonumuzda WSUS var ise dağıtım işlemini merkezi bir şekilde Active Directory ile tümleşik olarak gerçekleştirebiliriz.Bunun için Client Security Policy’sini ilgili OU lara atamamız yeterli.Client bilgisayarın bu policy’i WSUS ile alabilmesi için Automatic Updates özelliğinin WSUS kullanacak şekilde ayarlanması gerekmektedir.Bunu Group Policy kullanarak yapabiliriz.Burada dikkat etmemiz gereken konu policy refresh süresi.Yani client bilgisayar ilgili policy’i yani Client Security componentini ancak standar refresh rate sırasında alacaktır.Buda gerçek zamanlı koruma sağlamayabilir.Bu durumda gpupdate /force komutu ile anlık policy güncellemesi yapabiliriz.wuauclt.exe /detectnow komutuylada WSUS server ile senkronizasyon gerçekleştirmesini tetikleriz.
MANUEL DAĞITMA:
Eğer yapımızda WSUS yoksa manuel dağıtabiliriz bu componentleri.Bu fazla management pc olmadığı durumlarda kolay olabilir.Ama sayı arttıkça iş yüküde artıcaktır.Çünkü her pcde ilgili setup dosyasını çalıştırmamız gereklidir.
Forefront ile birlikte Microsoft en yeni güvenlik çözüm paketini sundu.Genel anlamda Server Security,Client Security ve Edge Security olarak sınıflandırabileceğimiz yapı ile organizasyonumuzdaki güvenlik altyapısını en üst seviyeye çıkarabiliriz.
Forefront Client Security , ismi itibariyle sadece client yani istemci workstationlar üzerinde görev yapmıyor.Aynı zamanda varolan sunucularımızda birer istemci olarak algılandığı için kapsama alanımıza giriyor.
Forefront Client Security, işletmenizdeki sistemleri virus ve casus yazılımlara karşı korurken aynı zamanda sağladığı merkezi yönetim ile birlikte ayrıntılı raporlar oluşturmanızı sağlıyor. Kurulum aşamasında farklı deploy seçenekleri karşımıza çıkıyor.Bununla ilgili aşağıdaki makaleyi inceleyebilirsiniz.
http://technet.microsoft.com/tr-tr/library/bb418915(en-us).aspx
Görüldüğü gibi varolan yapımızı gözönünde buludurarak değişik deployment planları yapabiliriz.Bunun dışında önemli bir konuda Forefront Client Security’nin SQL 2005 kullanıyor olması.Client Security şu veritabanlarını aktif olarak kullanır:
- SQL Server 2005 Reporting Services Report database
- Collection database
- Reporting database
- (Optionally) WSUS database
Bu databaselerin boyutları tabiki organizasyona göre farklılık gösterebilir.Örneğin eğer bir işletme tüm güncelleştirmelerini yapmıyor ise sisteme sızan birçok malware yüzünden oldukça fazla event oluşacaktır.Buda daha fazla veritabanı gereksinimi doğurur.Default olarak FCS içerisindeki database boyutları aşağıdaki tabloda gösterilmiştir.
Şimdi kullanacağımız bu veritabanları için boyutları gözden geçirelim.
Collection – reporting database boyutları:
Resimde gördüğümüz gibi Collection ve reporting database boyutlarını FCS kurulumu sırasında belirliyoruz.FCS ile yönettiğimiz tüm bilgisayarla belirli kısa aralıklarla Collection Server’a bilgi gönderir.Buradadan ise ,daha uzun süre saklanacağı Reporting Database’e aktarılır.Bu aktarılma işlemi hergün 01:00 ‘da gerçekleşir.Bu birazcık zaman alabilir.Tabiki buda yapımıza bağlı.Örneğin 395 gün tutulma sınırı varsa ve 2000 management edilen computer varsa bu süre yaklaşık 2 saattir.Ama yönetilen pc sayısı 10000′ çıkarsa aktarılma işlemide yaklaşık 6 saat sürecektir.Dikkat etmemiz gerekn nokta bu sürenin sahip olduğumuz donanımla alakalı olması.Örneğin 8GB ramli ve üzerinde AWE etkin olan bir sunucu önemli bu süreyi önemli ölçüde hızlandıracaktır.(AWE ile ilgili bilgi için tıklayın)
Biz kurulum sırasında buradaki veritabanı boyutunu belirtirken birkaç noktaya dikkat etmeliyiz.Öncelikle kullandığımız SQL server sürümü önemlidir.Varolan yapısı nedeniyle SQL Server Standart daha fazla yer kaplayacaktır.Bunun dışında:
- Yönetilen bilgisayar sayısı
- Kötü yazılım(Malware) olaylarının sıklığı
- Keşfedilen Security state assessment (SSA) vulnerability sayısı
- Yapılacak tarama sayısı ve çeşidi
gibi faktörleride ,veritabanı boyutumuzu belirlerken göz önünde bulundurmalıyız.Aslında database boyutunu oluşturan yukarıdaki olayların oluşturduğu event sayısı.Ne kadar çok event oluşuyorsa veritabanı boyutu o derece artacaktır.Örneğin temel birkaç işlemin oluşturduğu event sayısı:
| EYLEM |
EVENT SAYISI |
| Antimalware scan |
Tarama sırasında 2 adet |
| Threat detected |
Tehdit bulunduğunda 2 adet |
| Security state assessment (SSA) scan |
1 adet |
| SSA vulnerability detected |
1 adet |
| Definition update |
1 adet |
| Policy update |
1 adet |
| State summary |
1 adet |
Mesela Scan Now butonuna basıp tarama başlattığımızda yularıdaki tabloya göre 4 adet event oluşur.2 tanesi Antimalware scan için, 1 event SSA için, 1 event ise definition update için.
Bunun yanında kullandığımız alert’lerde veritabanında yer tutacaktır.Bunların boyutları eventlardan çok daha büyüktür fakat eventlar kadar sık kullanılmadığı için çok fazla sıkıntı yaratmazlar.
Reporting Database içerisinde bilgileri ne kadar tutarsak o kadar fazla büyüme olucaktır.Yani buradaki konfigurasyon bize bağlı.Eventlar alertler deploy edilen client security agentları buradaki büyümeyi oluşturuyor.Varsayılan olarak reporting databasede bilgilerin tutulacağı süre 395 gündür.Yani 1 sene + 1 ay.Bu süre doldıktan sonra silme işlemi gerçekleşir.Bu süreyi kendimize göre ayarlayabiliriz.Bunun için herhangi bir arayüz bulunmuyor.Biz MOM 2005 Reporting componentini yüklediğimizde SystemCenterReporting database altına p_updategroomdays isimli bir procedure oluşur.Bu precedure üzerinde oynama yaparak 395 olan değeri değiştirebiliriz.Bunun için:
1. Microsoft SQL Server konsolunu açarak Query Analyzer’ı tıklarız.
2. İlgili logon bilgilerini gireriz.
3. Toolbardaki SystemCenterReporting butonuna basarız.
4. Query – ServerName – Untitled1 bölümüne aşağıdaki komutu girip Query ve ardından Execute’a basarız.
exec p_updategroomdays ‘Tabloismi’, istenilengunsayısı
Örneğin aşağıdaki gibi bir komut ile SC_AlertFact tablosu için sınırı 300 gün yapabiliriz.
exec p_updategroomdays ‘SC_AlertFact_Table’, 300
SQL Server tempdb database
Bu veritabanı ise SQL Server tarafından kullanılan sistem veritabanıdır.Yani databse üzerinde işlemler yapılırken sorgular çalıştırılırken kullanılan geçici depodur.Bu veritabanı otomatik olarak max 2Gb kullanacak şekilde ayarlanmıştır.
ve 248 yorum bulunmaktadir.
