Hayatımıza yeni giren forefront ailesininde yeni sürümü olan stirling içerisindeki tüm ürünleri denemek istiyorsanız aÅŸağıdaki linkte toplam 16gb’lık bir VHD bulunuyor.Bu VHD içerisinde;
Forefront for exchange
Forefront Thread Management Gateway
Forefront Code Name Stirling
Vista Client
Forefront for Sharepoint
makinaları hazır olarak gelmekte.Harika bir lab ortamı oluÅŸturabilirsiniz.VHD’leri download için
Sisteminizde Forefront Client Security kullanıyor olabilirsiniz.Bu yeni teknolojileri yakından  takip ettiÄŸiniz anlamına gelir.Çünkü FCS yeni bir ürün sayılır.O zaman Server 2008 ile birlikte duyurulan NAP(Network Access Protection)’da size yabancı gelmeyecektir.Nap ile ilgili aÅŸağıdaki yazı inceleyebilirsiniz.
http://www.anilerduran.com/index.php/2007/nap-network-access-protection/
O zaman güvenliği en üst düzeyde sağlamak için şöyle birşey aklımıza gelsin.
“Hem forefront Client Security ile koruma saÄŸlarken,NAP ile bu korumayı monitor etmek aynı zamanda bu koruma için çeÅŸitli health policyler hazırlamak istiyorum.”
Yayınlanan bu ıntegration kit içerisinde bulunan System Health Validator (SHV) ile, FCS tarafından yönetilen bilgisayarlarınız için policy oluşturabilirsiniz.Örneğin FCS, xxx bilgisayarında yüklü olmalı,aynı zamanda çalışıyor olmalı,birde tarama motorlarının signatureları güncel olmalı.Ancak bu özelliği sağlayabilen bilgisayarlar networküme girebilsin.
EÄŸer FCS ve NAP’ı birlikte kullanarak arttırılmış bir güvenlik düşünüyorsanız buradaki adresten download sayfasına ulaÅŸabilirsiniz.
Forefront Security For Exchange Server ile ilgili birkaç makale yayınladım.Aynı şekilde devamda edicek.Yalnız kurulum ile ilgili bir yönergenin blogumda bulunmadığını anladım.Çok ayrıntıya girmeden kısaca forefront for Exchange server kurulumunu inceleyelim.
Öncelikle http://technet.microsoft.com/tr-tr/bb738109(en-us).aspx adresinden SP1′li versiyonu indirerek setup.exeyi çalıştırırız.
Forefront güvenlik ailesi ile birlikte sunulan ürünlerden biride Forefront Security For Exchange Server’dır.Server Security kategorisi altında sharepoint ve exchange koruması için ürretilmiş ürünlerden birisi olan Forefront For Exchange ile aynı anda güvenilirliğini kanıtlamış birden fazla tarama motorunu kullanabilir,gerçek zamanlı ve zamanlanmış taramalar oluşturabilir,farklı kriterlere göre filtrelemeler yaparak Exchange güvenliğinde bir adım önde olabiliriz.
Bu yazımıda Forefront Security for Exchange ürünü içerisinde bulunan filtering özelliğini inceleyeceğiz. Temel olarak filtering mekanizması tarafımızdan hazırlanan listeler yardımıyla işlev görmektedir.5 ana başlık altında filter listler hazırlayabiliriz.İsterseniz her bir filtering mekanizmasını örnek uygulamalarla inceleyelim.
FILE FILTERING
Forefront Security For Exchange Server file filtering özelliği sayesinde mailler ile birlikte gelen attachmentleri boyutlarına,ismine yada türüne göre ayırabilir ve belirli kısıtlamalar getirebiliriz.Bu kısıtlamalar için standart actionlar yerine farklı farklı actionlarda tanımlayabiliriz.Örneğin varolan ekli dosyanın direk silinmesi,rapor edilmesi yada karantiye alınması gibi.Bunun dışında File filtering özelliği sadece maillerden değil aynı zamanda Outlook içindeki diğer componentlerden de (tasks/schedules) sorumludur.Şimdi örnek bir uygulama için bir file filtering oluşturup clientlar üzerindeki yansımalarına bakalım.
File filtering oluÅŸturmak için Devamini oku »
Bildiğimiz gibi artık Microsoft ,Forefront ismi altında farklı güvenlik çözümlerini biraraya getirerek sunuyor.Farklı güvenlik çözümlerinin neler olduğuna bakarsak;
-Forefront Client Security
-Forefront Server Security
-ForeFront Security for Exchange
-ForeFront Security for SharePoint
-Antigen
Forefront Edge Security
-Internet Security and Acceleration Server 2006
-IAG (Internet Application Gateway)
Görüldüğü gibi Microsoft piyasa sürdüğü bu aile ile eksiksiz bir güvenlik ağı oluÅŸturuyor.Bu yazımızda Kurumsal masaüstü ve dizüstü bilgisayarlar ve sunucu iÅŸletim sistemleri için yönetimi ve kullanımı kolay birleÅŸtirilmiÅŸ virüs ve casus yazılım koruması olan Forefront Client Security ürününün kurulumunu ve temel konfigurasyonlarını inceleyeceÄŸiz. Devamini oku »
Forefront Security For Exchange ile birçok konfigurasyon gerçekleştirebiliriz.Örneğin filter listler oluşturabilir,çeşitli templateler yaratabilir,notificationlar ayarlayabiliriz.Bu kadar zahmete girip ayarları kaydettikten sonra varolan konfigurasyonun bir yedeğini almak akıllıca olacaktır.Bu amaçla konsolu incelediğimde herhangi bir arayüze rastlayamadım.Yalnız aşağıdaki dizine gidersek;
\Program Files\Microsoft Forefront Security \ Exchange Server \ Data folder
burada .fdb dosyalarını görebiliriz.
İşte buradaki .fdb dosyalarının yedeğini alarak conf. yedeğini almış oluruz.
Bildiğimiz gibi Forefront ailesinin Exchange güvenliğinden sorumlu üyesi Forefront Security for exchange,sahip olduğu 8 tarama motoru ile etkin bir çözüm olarak önümüzde.Bu motorlar;
CA Vet, Microsoft Antimalware Engine, Norman Virus Control, Sophos Virus Detection Engine, Kaspersky Antivirus Technology, Authentium Command Antivirus Engine, AhnLab Antivirus Scan Engine, ve VirusBuster Antivirus Scan Engine
Yalnız bu motorların hepsini aynı anda kullanamıyoruz.Bunlardan seçtiğimiz 4 tanesi ve Microsoft Antimalware motoru ile 5 tane seçim hakkımız bulunuyor.Kurulum sırasında bu 4 motor rastgele seçilmiş olarak karşımıza geliyor.Kurulumdan sonrada bu seçimi değiştirme olanağımız var.
Hal böyleyken update işlemleride her bir motor için ayrı ayrı olmak zorunda tabiki.
Forefront for Security’de update mantığı ÅŸu ÅŸekilde.Kurulumdan sonra tarama motorları için updateler otomatik olarak gerçekleÅŸiyor.Varsayılan olarak FSCController servisi baÅŸladıktan 5 dakika sonra baÅŸlar.Ve 5 dakika aralıklarda devam eder.Yani interval deÄŸerimiz 5 dakika.Ve update indirildikten sonra otomatik olarak yükleme iÅŸlemide gerçekleÅŸtiriyor.Burada ÅŸunu sorabiliriz.Update iÅŸlemi sırasında Forefront devre dışımı?Hayır yalnızca update olan motor devre dışı.O birkaç saniyelik update iÅŸlemi sırasından da seçilen diÄŸer motorlar aktif olarak görev yapmakta.
Peki updatelerin ne zaman ne kadar sıklıkla ,hangi kaynaklardan yapılacağına nasıl karar verebiliriz? (kaynak olarak HTTP olarak windowsa baÄŸlanaibldiÄŸi gibi organizasyon içerisindeki baÅŸka bir exchanden’de updateleri çekebilir)
Bunun için konsole ekranında settings altındaki Scanner Updates bölümünü kullanabiliriz.Burada herhangi bir motoru seçerek gerekli ayarları gireriz.Örneğin aşağıdaki bölümü inceleyelim.
Burada bir motoru seçtiğimizde aşağıdaki kısımda Primary ve Secondary update pathlerini görebiliriz.Forefront birinci update kaynağından updatei alamazsa ikincisine otomatik olarak geçer.Bu kısıma aynı zamanda updateleri çeken başka bir exchange serverın UNC pathinide yazabiliriz.
Görüldüğü gibi Forefront for exchange için primary path
http://forefrontdl.microsoft.com/server/scanengineupdate adresidir.
Bunun dışında bu ekranda yine update işlemi için seçilen motorlara scheduling işlemini gerçekleştirebiliriz.Ve bu ayarı günlük haftalık yada aylık olarak ayarlayabiliriz.
Forefront Client Security ile ilgili birkaç yazıdan sonra birazda Forefront Security For Exchange üzerine konuşmamız faydalı olacaktır.
Forefront for exchange bildiÄŸimiz gibi forefront ailesinin server security kısmında yer alıyor.Yapımızdaki Exchange server’ın güvenliÄŸinden sorumlu olan bu yapı kullandığı çoklu tarama motorları ve filtering özellikleriyle baÅŸarılı iÅŸler çıkarıyor.Bu yazıda sadece ufak bir bölümünden söz edelim.ÖrneÄŸin yapımızda keyword filtering yapmak istiyoruz.Yani mail içeriÄŸinde belirli kelimelere rastlandığında FSE’nin belirli actionlar gerçekleÅŸtirmesini istiyoruz.Bunun için yapacağımız iÅŸlem aÅŸağıda adım adım belirtilmiÅŸtir.Öncelikle Forefront Server Security Administrator konsoluna gireriz.
-Burada solda bulunan filtering bölümünü seçerek Filter list altında keywords’a gelerek add deriz.
Şimdi kendimize bir filter list oluşturucaz.Tabiki içerisinde keywordler barındıran bir list olucak bu.
Add dedikten sonra listemize bir isim vererek edit’e basarız.
Burada yine add’i kullanarak istediÄŸimiz kelimeleri ekleriz.Yukarıda benim biraz anlamsız list’imi görüyorsunuz=)
Aynı zamanda bu ekranda import ve export işlemlerinizide gerçekleştirebilirsiniz.Import ile hazırladığınız listeleri içeri alabilir,export ilede burada hazırladığınız listeleri dışarıya aktarabilirsiniz.Sol tarafa filtrelemede kullanılacak kelimeleri,sağ tarafa ise filtrelemeden bağımsız olan kelimeleri ekleyeibliyoruz.
Buradaki işlemlerinizi yaptıktan sonra OK diyerek çıkalım.Şimdi sol taraftaki filtering bölümünden Keyword kısmını seçtiğimizde Transport Scan Job altında oluşturduğumuz listeyi görebiliriz.
Yalnız görüldüğü gibi sağ tarafta filtre disable edilmiş durumda.Filtrenin aktif olabilmesi için Burayı enable hale getiririz.Action bölümünde ise 3 adet seçeneğimiz var.
Identify:Tag Message: Bu ayar seçilirse e-mail alıcıya ulaşır fakat subject kısmı SUSPECT şeklinde taglanir.
Skip:Detect Only:Burada bir action gerçekleşmez.Sadece durumu monitor ederek ileriye dair fikirler oluşturabiliriz.
Purge:Eliminate Message:Bu ayarda da tahmin edileceği üzere mail yokedilir.Alıcı kendisine bir mail gönderildiğinden haberdar olmaz.
Bunun yanında alt kısımdaki send notifications kısmıda işaretlenirse ,maili gönderen kişiye mailinin Forefront tarafından filtrelendiği belirtilir.
Şimdi clientların birinden diğerine yukarıda belirttiğimiz kelimeleri kullanarak bir mail atalım.Ben action olarak mesajın subject kısmını taglamesini seçtim.Maili gönderdiğimde mail alıcıya ulaşır ancak aşağıdaki şekilde subject kısmı düzenlenir.
Aynı şekilde dosya bazlı filtrelemeyide birdahaki yazımızda inceleyeceğiz.
Eğer Forefront Client Security Evaluation versiyonu deneyip kullanmaya karar verdiyseniz retail versiyona upgrade işlemini gerçekleştirmeniz gereklidir.Öncelikle varolan Client Security yüklemesinin Evaluation versiyon olduğunu doğrulamak için;
-Collection Server üzerinde regedite girerek : HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Operations Manager\2.0\Setup dizini altına ineriz.
-Burada InstalledServerSKU anahtarı bizim için önemli.Eğer evaluation versiyon kullanıyorsak bu anahtarın değeri Eval olacaktır.
EÄŸer upgrade iÅŸlemine karar verdiysek öncelikle Client Security Installation Tool’u indiririz. http://go.microsoft.com/fwlink/?LinkId=93631
Bu msi dosyası bir upgrade dosyası oluşturarak gerekli dosyaları buraya kopyalayacaktır.Upgarde işlemini gerçekleştirmek için önceliğimiz 3 component olacak.Bunlar Collection Database,collection ve management server.Yani bunların dışındaki componentleri değiştirmemize gerek yok.Sırasıyla gidersek;
Collection Database’i upgrade etmek için run’a gelerek aÅŸağıdaki komutu gireriz.
Msiexec /i kaynak\server\momserver.msi
Buradaki kaynak değişkeni bizim Retail yükleme dosyasının dizini olucaktır.Açılan sihirbazla varsayılan değerleri kullanarak kurulumu tamamlarız.
Collection Server’ı upgrade etmek için öncelikle upgrade dosyası oluÅŸturduÄŸumuz dizindeki FCScs-kb939366-x86-enu.msi dosyasını collection servera taşıyarak çalıştırırız ve hotfixi yükleriz.Ardından aynı ÅŸekilde yukarıdaki momserver.msi dosyasını çalıştırırız.Kurulum bittiÄŸinde ekstra olarak
sourcefilelocation\server\Q913801.msp komutunu run’dan çalıştırırız.
Management Server upgrade işlemi için Upgrade dosyasından FCSInstall.exe dosyasını servera kopyalarız.Sonra aynı şekilde momserver.msi dosyasını çalıştırıp sihirbazı tamamladıktan sonra komut satırına inerek aşağıdaki komutu gireriz.
FCSInstall.exe fcsms.msi
Böylece upgrade işlemini sancısız ve kayıpsız bir biçimde gerçekleştirmiş olduk.
Forefront Client Security kurulumundan sonra bir başka sorun ile karşı karşıya kalabilirsiniz.FCS konsolunu açtığınızda karşınıza hiçbir veri gelmeyebilir ve şöyle bir hata mesajı ekrana çıkabilir.
An error has occurred while establishing a connection to the server. When connecting to SQL Server 2005, this failure may be caused by the fact that under the default settings SQL Server does not allow remote connections
Hatadanda anlayacağımız gibi SQL üzerinde uzaktan bağlantılara izin verilmediği için bu hatayla karşılaşıyoruz.Temelde 3 adımı kontrol etmeliyiz
-SQL üzerinde uzak bağlantıları tekrardan kontrol ederiz.
-SQL Browser servisi çalışıyormu bir bakarız.
-Son olarakda güvenlik duvarını kontrol ederiz.Eğer açık ise gerekli ayrıcalıkları tanırız.
Bu 3 adımla ilgili aşağıdaki makaleyi inceleyebilirsiniz.
Forefront Client Security deployment işleminden sonra yönetebileceğimi client sayısı 10000 olarak belirlenmiş.Peki biraz daha ileri gidersek ne olacak?
ÖrneÄŸin farklı farklı alanlarda toplamda 60000 clientımız var ve bunları tek bir konsoldan yönetmek istiyoruz.Ä°ÅŸte bu amaçla yayınlanan bir yönetim aracı var.Forefront Client Security Enterprise Manager ile 10 adet client security topolojisinden bilgileri yönetebiliriz.Buda tam anlamıyla 100000 client bilgisayar demek.Burada client bilgisayar derken sadece istemciler aklınıza gelmesin.Daha öncedende bahsettiÄŸimiz gibi forefront’ta client kavramı geniÅŸ tutulmuÅŸ.Yani organizasyondaki sunucularda istemcilerde forefront için birer client.
Enterprise Manager ile tek bir konsoldan yönetebileceÄŸimiz client sayısını önemli ölçüde arttırmış oluyoruz.Yalnız dikkat edilmesi gereken bazı noktalar var.Kurulumdaki topoloji one-server yada two-server ÅŸeklinde olmalı.Sistem gereksinimleri standart FCS kurulumu ile aynı.Yalnızca 10 adet farklı FCS’den 100000 client bilgisi gelebileceÄŸini düşünürek disk alanı konusunda biraz daha cömert olmamız gerekiyor.
Raporlama işlemindede pek bir değişiklik görülmüyor.FCS ile web üzerinden raporları görüntüleyebiliyorduk.Aynı şey enterprise manager içinde geçerli.Fakat tabikide bu raporlar varolan tüm FCS deploymentlarındaki raporlar olacak.
Eklene bir diğer özellikte status bar benzeri bir alan.Bu alanda örneğin network ile ilgili bir sorun olduğunda ve enterprise manager diğer FCS lere ulaşamadığında bizi bilgilendiriyor.
Yönetim alanında ise FCS de bulunan dashboard ve Policy Management tablarında herhangi bir deÄŸiÅŸiklik bulunmuyor.EÄŸer sizde Enterprise Management’ı (yöneteceÄŸiniz 100000 bilgisayar olmasada) denemek istiyorsanız aÅŸağıdaki linkten indirip kurulumunu gerçekleÅŸtirebilirsiniz.
Henüz Forefront ailesi ile yeni tanışmışken Microsoft yeni nesil Forefront ailesini tanıttı.2009 baÅŸlarında piyasaya sürülmesi planlanan bu sürümün kod ismi “stirling”
Forefront stirling ile birlikte birçok yenilikte bizi bekliyor.Aynı ÅŸekilde Client security server security ve edge security partları korunuyor.Fakat ISA 2006′nın geliÅŸtirilmiÅŸ versiyonu olarak Forefront Threat Management Gateway sunuluyor.Eminim çoÄŸu kiÅŸi henüz forefront ailesi ile tanışmamış olsada aÅŸağıdaki adresten deneme sürümünü indirip kullanmaya baÅŸlayabilirsiniz.
http://technet.microsoft.com/tr-tr/evalcenter/cc339029(en-us).aspx
Forefront kurulumunda karşılaÅŸabileceÄŸiniz bir hata daha farkettim.EÄŸer sunucunuz üzerinde SQL Server’ı kurduktan sonra suncunuzun bilgisayar ismini deÄŸiÅŸtirdiyseniz Forefront Client Security kurulumu devam etmeyecektir.Yalnız loglara baktığınızda size sebebini söylemiyor.Sebebini ise şöyle anlıyoruz.Cd’nin içerisindeki MOMServer,msi dosyasını çalıştırdığımızda kurulum baÅŸlamadan hata oluÅŸtuÄŸunu söyleyecek ve sebep olarak yukarıdaki isim deÄŸiÅŸkliÄŸini bildiricek.
EÄŸer böyle bir durumla karşı karşıyaysak SQL Server’ı reinstall etmemiz gereklidir.
Forefront Client Security kurulumu sırasında iki hata ile karşılaştım.Çözümleri oldukça kolay olan bu hataların ikiside reporting server yani sql üzerinde kaynaklanan hatalar.
Forefront Client Security kurulumu için toplojiyi belirleyip ilgili değerleri girdiğimizde kuruluma başlamadan önce tüm bu ayarları ve gereksinimleri kontrol eden bir pencere gelir.
Bu pencerede hataların ilki “Verifying URL’s for reports” kısmında idi.Sql server kurulumu sırasında eriÅŸim izinlerini vermiÅŸ olmama raÄŸmen raporlar için kullanacağı adreslere eriÅŸemediÄŸini söylüyor.Hata metni ÅŸu ÅŸekilde:
The report server cannot open a connection to the report server database. A connection to the database is required for all requests and processing.
Bu durumda iki aşamalı bir çözüm kullandım.İlk önce rsconfig aracı ile(Program files/Microsoft Sql server/80/Tools/Binn) aşağıdaki komutu gireriz.
rsconfig -c -iMSSQLSERVER -s localhost -dReportServer -aWindows
Ardından hatamız şu şekile döndü.
The report server cannot decrypt the symmetric key used to access sensitive or
encrypted data in a report server database
Bu hatayı gidermek için Start/Programs/Sql server/Configuration Tools/Reporting Service Configuration konsolunu açarız.Burada Encryption Keys bölümüne gelerek Delete’e basarız ve içeriÄŸi sileriz.
Bu işlemden sonra setup sihirbazına kontrol işlemini tekrar yaptırdığımızda sorunsuz ilerleyecektir.
Forefront Client Security dağıtımını yapmadan önce topolojimizi iyi belirlememiz gerekiyor.Bunun için Gökhan güzel bir yazı hazırlamış.
http://mshowto.org/index.php?option=com_content&task=view&id=328&Itemid=35
Buradan ilgili deployment planını seçtikten sonra ise eğer her bölüm için ayrı sunucular kullanacaksak bunlar arasındaki trafiğin sorunsuz olması için gerekli iletişim portlarının herhangi bir firewall tarafından engellenmemesi gereklidir.Aşağıdaki tabloda FCS için kullanılan tüm bağlantıların portları verilmiştir.
| Component | Bağlantı | Topoloji | Port (protocols) | Notlar |
|---|---|---|---|---|
| Collection server | collection database ‘e doÄŸru | 5-server ve 6-server | 1433 (TCP ve UDP) | Yok |
| Management server | collection server’e doÄŸru | 4-server, 5-server ve 6-server | 445 (TCP ve UDP), 135 (TCP), ve DCOM port aralığı | Bu iki sunucu arasında bir firewall kullanılması tavsiye edilmiyor. |
| Management server | collection database’e doÄŸru | 4-server, 5-server ve 6-server | 1433 (TCP) ve 1434 (UDP) | Yok |
| reporting server’e doÄŸru | 3-server, 4-server, 5-server ve 6-server | 80 (TCP) veya 443 (TCP) | HTTP için Port 80 , HTTPS için port 443 gereklidir. | |
| collection database’e doÄŸru | 3-server, 4-server, ve 6-server | 1433 (TCP) ve 1434 (UDP) | Bu iki sunucu arasında bir firewall kullanılması tavsiye edilmiyor. | |
| Reporting server | collection database’e doÄŸru | 4-server, 5-server ve 6-server | 1433 (TCP) ve 1434 (UDP) | Yok |
| reporting database’e doÄŸru | 3-server, 5-server ve 6-server | 1433 (TCP) ve 1434 (UDP) | Yok | |
| Distribution server | Microsoft Update’e doÄŸru | Tümü | 80 (TCP) veya 443 (TCP) | Microsoft Update’den ilgili güncellemeleri almak için 80 ve 443 portları açık olmalıdır. |
Forefront Client Security çözümünde client bilgisayarlar üzerine Client Security Componentlerini yüklemeliyiz.Bu işlemi ileride makale olarak ayrıntılı görücez.Şimdi ise deploy işlemini nasıl gerçekleştirebilirizona bakalım.Öncelikle componentleri dağıtacağımız pclerin
işletim sistemlerinden birine sahip olmaları gerekiyor.Aynı zamanda 64bit teknolojisi desteklenirken Itanıum desteklenmemektedir.Bunun yanında Client bilgisayarlarda
kurulu olması gerekmektedir.
Temel olarak iki yöntemimiz var.Bunlar otomatik ve manuel.
WSUS KULLANARAK DAÄžITMA:
EÄŸer organizasyonumuzda WSUS var ise dağıtım iÅŸlemini merkezi bir ÅŸekilde Active Directory ile tümleÅŸik olarak gerçekleÅŸtirebiliriz.Bunun için Client Security Policy’sini ilgili OU lara atamamız yeterli.Client bilgisayarın bu policy’i WSUS ile alabilmesi için Automatic Updates özelliÄŸinin WSUS kullanacak ÅŸekilde ayarlanması gerekmektedir.Bunu Group Policy kullanarak yapabiliriz.Burada dikkat etmemiz gereken konu policy refresh süresi.Yani client bilgisayar ilgili policy’i yani Client Security componentini ancak standar refresh rate sırasında alacaktır.Buda gerçek zamanlı koruma saÄŸlamayabilir.Bu durumda gpupdate /force komutu ile anlık policy güncellemesi yapabiliriz.wuauclt.exe /detectnow komutuylada WSUS server ile senkronizasyon gerçekleÅŸtirmesini tetikleriz.
MANUEL DAÄžITMA:
Eğer yapımızda WSUS yoksa manuel dağıtabiliriz bu componentleri.Bu fazla management pc olmadığı durumlarda kolay olabilir.Ama sayı arttıkça iş yüküde artıcaktır.Çünkü her pcde ilgili setup dosyasını çalıştırmamız gereklidir.
Forefront ile birlikte Microsoft en yeni güvenlik çözüm paketini sundu.Genel anlamda Server Security,Client Security ve Edge Security olarak sınıflandırabileceğimiz yapı ile organizasyonumuzdaki güvenlik altyapısını en üst seviyeye çıkarabiliriz.
Forefront Client Security , ismi itibariyle sadece client yani istemci workstationlar üzerinde görev yapmıyor.Aynı zamanda varolan sunucularımızda birer istemci olarak algılandığı için kapsama alanımıza giriyor.
Forefront Client Security, işletmenizdeki sistemleri virus ve casus yazılımlara karşı korurken aynı zamanda sağladığı merkezi yönetim ile birlikte ayrıntılı raporlar oluşturmanızı sağlıyor. Kurulum aşamasında farklı deploy seçenekleri karşımıza çıkıyor.Bununla ilgili aşağıdaki makaleyi inceleyebilirsiniz.
http://technet.microsoft.com/tr-tr/library/bb418915(en-us).aspx
Görüldüğü gibi varolan yapımızı gözönünde buludurarak deÄŸiÅŸik deployment planları yapabiliriz.Bunun dışında önemli bir konuda Forefront Client Security’nin SQL 2005 kullanıyor olması.Client Security ÅŸu veritabanlarını aktif olarak kullanır:
Bu databaselerin boyutları tabiki organizasyona göre farklılık gösterebilir.Örneğin eğer bir işletme tüm güncelleştirmelerini yapmıyor ise sisteme sızan birçok malware yüzünden oldukça fazla event oluşacaktır.Buda daha fazla veritabanı gereksinimi doğurur.Default olarak FCS içerisindeki database boyutları aşağıdaki tabloda gösterilmiştir.
Şimdi kullanacağımız bu veritabanları için boyutları gözden geçirelim.
Collection - reporting database boyutları:
Resimde gördüğümüz gibi Collection ve reporting database boyutlarını FCS kurulumu sırasında belirliyoruz.FCS ile yönettiÄŸimiz tüm bilgisayarla belirli kısa aralıklarla Collection Server’a bilgi gönderir.Buradadan ise ,daha uzun süre saklanacağı Reporting Database’e aktarılır.Bu aktarılma iÅŸlemi hergün 01:00 ‘da gerçekleÅŸir.Bu birazcık zaman alabilir.Tabiki buda yapımıza baÄŸlı.ÖrneÄŸin 395 gün tutulma sınırı varsa ve 2000 management edilen computer varsa bu süre yaklaşık 2 saattir.Ama yönetilen pc sayısı 10000′ çıkarsa aktarılma iÅŸlemide yaklaşık 6 saat sürecektir.Dikkat etmemiz gerekn nokta bu sürenin sahip olduÄŸumuz donanımla alakalı olması.ÖrneÄŸin 8GB ramli ve üzerinde AWE etkin olan bir sunucu önemli bu süreyi önemli ölçüde hızlandıracaktır.(AWE ile ilgili bilgi için tıklayın)
Biz kurulum sırasında buradaki veritabanı boyutunu belirtirken birkaç noktaya dikkat etmeliyiz.Öncelikle kullandığımız SQL server sürümü önemlidir.Varolan yapısı nedeniyle SQL Server Standart daha fazla yer kaplayacaktır.Bunun dışında:
gibi faktörleride ,veritabanı boyutumuzu belirlerken göz önünde bulundurmalıyız.Aslında database boyutunu oluşturan yukarıdaki olayların oluşturduğu event sayısı.Ne kadar çok event oluşuyorsa veritabanı boyutu o derece artacaktır.Örneğin temel birkaç işlemin oluşturduğu event sayısı:
| EYLEM | EVENT SAYISI |
|---|---|
| Antimalware scan | Tarama sırasında 2 adet |
| Threat detected | Tehdit bulunduÄŸunda 2 adet |
| Security state assessment (SSA) scan | 1 adet |
| SSA vulnerability detected | 1 adet |
| Definition update | 1 adet |
| Policy update | 1 adet |
| State summary | 1 adet |
Mesela Scan Now butonuna basıp tarama başlattığımızda yularıdaki tabloya göre 4 adet event oluşur.2 tanesi Antimalware scan için, 1 event SSA için, 1 event ise definition update için.
Bunun yanında kullandığımız alert’lerde veritabanında yer tutacaktır.Bunların boyutları eventlardan çok daha büyüktür fakat eventlar kadar sık kullanılmadığı için çok fazla sıkıntı yaratmazlar.
Reporting Database içerisinde bilgileri ne kadar tutarsak o kadar fazla büyüme olucaktır.Yani buradaki konfigurasyon bize bağlı.Eventlar alertler deploy edilen client security agentları buradaki büyümeyi oluşturuyor.Varsayılan olarak reporting databasede bilgilerin tutulacağı süre 395 gündür.Yani 1 sene + 1 ay.Bu süre doldıktan sonra silme işlemi gerçekleşir.Bu süreyi kendimize göre ayarlayabiliriz.Bunun için herhangi bir arayüz bulunmuyor.Biz MOM 2005 Reporting componentini yüklediğimizde SystemCenterReporting database altına p_updategroomdays isimli bir procedure oluşur.Bu precedure üzerinde oynama yaparak 395 olan değeri değiştirebiliriz.Bunun için:
1. Microsoft SQL Server konsolunu açarak Query Analyzer’ı tıklarız.
2. Ä°lgili logon bilgilerini gireriz.
3. Toolbardaki SystemCenterReporting butonuna basarız.
4. Query - ServerName - Untitled1 bölümüne aÅŸağıdaki komutu girip Query ve ardından Execute’a basarız.
exec p_updategroomdays ‘Tabloismi’, istenilengunsayısı
Örneğin aşağıdaki gibi bir komut ile SC_AlertFact tablosu için sınırı 300 gün yapabiliriz.
exec p_updategroomdays ‘SC_AlertFact_Table’, 300
SQL Server tempdb database
Bu veritabanı ise SQL Server tarafından kullanılan sistem veritabanıdır.Yani databse üzerinde işlemler yapılırken sorgular çalıştırılırken kullanılan geçici depodur.Bu veritabanı otomatik olarak max 2Gb kullanacak şekilde ayarlanmıştır.
