550 likes | 705 Vues
ISKUSTVO MIGRACIJE SA SOPHOSA NA ENDPOINT PROTECTION U HZMO-u. Petra Kostanjevac , dipl. ing. mat. HZMO. Sadržaj. O Zavodu Informatički sustav Zavoda Postojeći SC 2012 CM … … sada i SC 2012 EP Implementacija serverskih komponenti Konfiguracija postavki Upravljanje sustavom
E N D
ISKUSTVO MIGRACIJESA SOPHOSA NA ENDPOINT PROTECTION U HZMO-u Petra Kostanjevac, dipl. ing. mat. HZMO
Sadržaj • O Zavodu • Informatički sustav Zavoda • Postojeći SC 2012 CM … • … sada i SC 2012 EP • Implementacija serverskih komponenti • Konfiguracija postavki • Upravljanje sustavom • EP korisničko sučelje • DeploymentEP klijenta • Pitanja i odgovori
Hrvatski zavod za mirovinsko osiguranje • Pravna osoba s pravima, obavezama i odgovornošću utvrđenom Zakonom o mirovinskom osiguranju • Sjedište u Zagrebu, A. Mihanovića 3 • Utemeljen je i započeo svoje djelovanje prije 91 godinu kao Središnji ured za osiguranje radnika
Djelatnosti • Provedba obaveznog mirovinskog osiguranja (I. stup mirovinskog osiguranja) u okviru kojega se: • prikupljaju i čuvaju podaci iz razdoblja trajanja osiguranja, odnosno radnog odnosa • na temelju načela solidarnosti i uzajamnosti osiguravaju prava za slučaj starosti, invalidnosti i tjelesnog oštećenja, a članovima njihovih obitelji prava za slučaj smrti osiguranika odnosno korisnika mirovine. • Provedba postupka za ostvarivanje prava na doplatak za djecu
Unutarnje ustrojstvo • Jedinstvena stručna služba koja obavlja poslovanje u: • 1 Središnjoj službi u Zagrebu • 5 područnih službi • 15 područnih ureda • 91 ispostavi. • Zaposlenih: 3 009
Kroz vrijeme 1968. osnovana skupina za prijelaz na AOP 1969. osnovan Centar za AOP u SS implementirano računalo IBM 360/M40 s periferijom i 50-tak strojeva za unos podataka 1973. početak AOP-a: isplata mirovina
Kroz vrijeme 1982. početak izgradnje informatičke mreže s distribuiranom obradom na 6 računala i 100 terminala instaliranih na 20-tak lokacija, sve povezano na mainframe i međusobno 1987. nabava prvih osobnih računala 1988. aplikacija Transfer mirovina za inozemstvo izvodi se na operatingenvironmentWindows 1.0 … Kontinuirana nadogradnja i poboljšanje -> kvalitetan, složen i razgranat informatički sustav!
Sadašnjost • Složen ICT sustav s jedinstvenim informatičkim centrom: • 110 umreženih lokacija • 2 600 (osobnih i prijenosnih) računala s WinXP i Win7 • 380 IBM terminala • 90 (fizičkih i virtualnih) servera s Win2003 i Win 2008 (R2). • Na 24 veće lokacije: • implementirana do 2 Winservera • funkcija – jednostavni pomoćni poslovni procesi – sistemsko upravljanje računalima.
Mainframe računalo IBM zEnterprise Podrška za temeljne poslovne procese Zavoda Aplikacije razvijene u HZMO-u koje pokrivaju 85% poslovne djelatnosti
Kroz vrijeme 2000. implementacija SMS 2.0 … kontinuirani upgrade/migracija na aktualne verzije 2012.07. migracija na SC 2012 CM 2013. pripreme zanadogradnju na SC 2012 CM SP1 Uvijek na raspolaganju podrška MS PremierSupporta i partnera!
SC 2012 CM arhitektura SS - CM standaloneprimary site - site server sa svim potrebnim site systemrolama i jedinstvenom CM bazom PS/PU - 24 x 1 server sa site system rolom - distribution point
Stvarno produkcijsko korištenje: • Deployment os-a sa svim potrebnim aplikacijama (image capture/deployment, userstatemigartion, tasksequence) • Patchmanagment • Distribucija aplikacija/sw(non-MS sw!) • Inventura hw/sw • Swmetering • Različiti custom i predefinirani izvještaji • …
Kroz vrijeme 2000. računala i servere s Win os kontinuirano štitimo Sophos AV/AM/AS rješenjima 2012.01. planiranje, upoznavanje i implementacija EP zaštite 2012.01.23. na 2 700 računala i servera uspostavljena EP zaštita i uklonjeno SophosAV/AM rješenje 2012.1/2 implementacija novih funkcionalnosti dostupnih sa SC 2012 CM SP1
Razmišljanja o AM migraciji: • Izazovno vrijeme -> potrebna je štednja • Zavod je potpisnik Ugovora koji MS ima s Vladom RH • AM zaštita (SC 2012 EP) sastavni je dio SC 2012 CM • Poznato MS SystemCenter sučelje • Postojeća kvalitetna implementacija SC 2012 CM • 2 700 funkcionalnih SC 2012 CM klijenata (računala i serveri) • Želja za bolju iskoristivost postojećih resursa • Podrška kojoj iskustveno vjerujemo MS PremierSupporti partneri • …
Poboljšanja • Korištenje Sophoszaštite: • obuhvatna zaštita i visoka kvaliteta • VELIKA očekivanja od EP. • Implementacija EP zaštite unutar postojeće SC 2012 CM infrastrukture donijela je značajna poboljšanja: • centralizirano i ujednačeno sistemsko upravljanje klijentima • jednostavnije (i jeftinije!) održavanje zaštite klijenata • bolju iskoristivost postojećih implementacija i resursa • dodavanje vrijednosti uloženom. • Jednostavno, nije se moglo bolje sve posložiti!!
FEP 2010 „on top” SCCM 2007 KLIJENTI SERVERI CM CLIENT FEP SERVICE EP CLIENT na CM Site Server MANAGEMENT POINT FEP DW FEP DB CM DB CM SITE SERVER EP CLIENT FEP DEPLOYMENT FEP OPERATIONS FEP POLICY DISTRIBUTION POINT FEP EXTENSIONS EXCEL PREDLOŠCI IZVJEŠTAJI
SC 2012 EP „outofthe box” u SC 2012 CM KLIJENTI SERVERI CM CLIENT MANAGEMENT POINT EP SITE ROLE EP CLIENT na CM Site Server Pre-Packaged EP CLIENT CM DB CM SITE SERVER DISTRIBUTION POINT EXCEL PREDLOŠCI IZVJEŠTAJI
CM arhitektura, SUP • Poznavanje SC 2012 CM arhitekture • Provjera SUP konfiguracije: • site systemrola na CM serveru na kojem je i WSUS • omogućuje, korištenjem WSUS-a, sinkronizaciju s MS Windows Updateprema definiranom ponavljajućem rasporedu • osigurava, korištenjem ADR-a, automatiziranu zaštitu EP klijenta sa zadnje dostupnim EP swupdates.
Uključivanje EP role • Nije klasična instalacija -> sve potrebno već postoji na site serveru! • Postupak: • SystemRole Selection : EndpointProtectionpoint • EULA • MS ActiveProtectionService • Completion. • Tijekom postupka „instalira” se i EP klijent na EP rola site serveru
Definiranje ADR-a za EP swupdate • Automatic deploymentrule - nova funkcionalnost SC 2012 CM • Korištenjem SUP-a izvodi se automatski download željenih swupdatesana CM klijente kroz distributionpoints • Nije potrebno svaki swupdatemanualno odobriti unutar WSUS-a -> ne podliježu ljudskoj pogrešci • Osim za EP swupdate, koristi se za ažuriranje i drugog MS swkroz CM swupdatedeployment • 1 ADR -> deploy -> 1 collection
Kreiranje role-base EP administratora Važna sigurnosno – administratorska novost Omogućuje kreiranje različitih delegiranih administratora EP Manager rola ima sljedeća prava: Kreiranje, mijenjanje i brisanje AM policies Deploy AM policies na kolekcije Kreiranje i mijenjanje alerata za kolekcije Konfiguriranje pretplate (subscription) za važne EP događaje Nadgledanje statusa EP klijenata (dashboard, …)
Konfiguracija postavki Implementirali smo sve potrebne serverske komponente! Potrebno je obaviti još 2 post-instalacijske konfiguracije postavki: Customclientdevicesettings za EP zaštitu na klijentima Antimalwarepolicieskoje će zadovoljiti raznovrsnost koju štitimo
Clientsettings • Definiranje postavki ponašanja CM klijenta (devicei user) za različite akcije • DefaultClientSettings • Predefiniran s defaultdevice i user postavkama koje možemo izmijeniti prema željenoj konfiguraciji CM klijenata • EP postavke su isključene • CustomClientDeviceSettings • Definiramo novi deviceclientsettings isključivo za EP zaštitu • „Instalacija” i opcije „instalacijskog” tijeka EP klijenta, uklanjanje postojećeg podržanog AV/AM klijenta
Customclientdevicesettings za EP zaštitu MANAGE EP CLIENT ON CLIENT COMPUTERS True – upravljanje (postojećim i budućim) EP klijentima INSTALL EP CLIENT ON CLIENT COMPUTERS True – „instalacija” i enableEP klijenta gdje još nije uključen
Antimalwarepolicy • Vjerojatno najkritičniji AM administratorski task! • Zahtjevi: • pouzdana zaštita od malware • održavanje optimalne razine performansi sustava. • Postavke AM policy: • PRETOLERANTNE -> povećani rizik od zaraze s malwareom • PRERESTRIKTIVNE -> smanjena radna učinkovitost korisnika. • 1 ili više AM policy -> deploy -> 1 ili više kolekcija • Pozorno konfigurirati priorityorder primjene za AM policy • Merge2 ili više AM policies • Server policytemplate
AM policy – Scheduledscans Postavke on-demand skeniranja: SCAN TYPE Quickscan: Skeniranje najčešće zaraženih komponenti: procesi učitani u memoriju datoteke u hijerarhiji direktorija – userprofiles, desktop, systemfolder, program files definitionupdates (koji osiguravaju prijavu EP klijenta na pojavu malwarea). Fullscan: Skeniranje svih datoteka i aktivnih procesa Vremenski dulje traje Hwresursno zahtjevniji – CPU i memorija
AM policy – Scansettings Općenite postavke skeniranja: ALLOW USERS TO CONFIGURE CPU USAGE DURING SCANS USER CONTROL OF SCHEDULED SCANS No control Scantime only Fullcontrol
AM policy– Defaultactions Akcije EP klijenta s obzirom na kategoriju pronađenog malwarea: Svaki pojedinačni malware je kategoriziran -> vidi se u MalwareProtectionCenteru Npr. Severe kategoriziran malware: veoma rasprostranjen maliciozni program, sličan virusi ili crvu iznimno negativno utječe na privatnost i sigurnost čitavog računala. Moguće akcije: Recommended- primjena MS preporuke koja je navedena u definiciji pojedinačnog malwarea Remove- najčešće recommendedakcija za severei highkategorije malwarea Quarantine Allow
AM policy– Real-time protection Postavke zaštite računala u svakom trenutku: MONITOR FILE AND PROGRAM ACTIVITY ON YOUR COMPUTER True - nadgledanje programa (s pripadajućim datotekama) kada započne sa svojim radom ENABLE BEHAVIOR MONITORING True - prepoznavanje prijetnji na temelju neuobičajenih obrazaca ponašanja računala/datoteka
AM policy– Exclusionsettings Navođenje iznimaka iz skeniranja: EXCLUDED FILES AND FOLDERS EXCLUDED FILE TYPES EXCLUDED PROCESSES Korištenje server policytemplate dolazi najviše do izražaja Iz postupka skeniranja su već isključene datoteke, direktoriji i procesi koji su specifični za konkretan serverski workload
AM policy– Advanced Dodatne postavke skeniranja: CREATE A SYSTEM RESTORE POINT BEFORE COMPUTERS ARE CLEANED MS STANDALONE SYSTEM SWEEPER Sada dostupan kao Windows DefenderOnline Jednostavan portabilan AM alat za „boot & rescue” problematičnih računala Tijekom instalacije .exedownloadaju se raspoložive AM definicije i datoteke za kreiranje bootabilnog USB, CD, DVD i .iso(cca 250 MB veličine)
AM policy– Threatoverrides Definiranje remediation akcija za svaki detektirani threat ID:
AM policy– MAPS MS ACTIVE PROTECTION SERVICE (bivši SpyNet) Komunikacijski kanal ugrađen u EP klijent za automatsko sakupljanje i slanje informacija o detektiranom „promiskuitetnom” swu MS Do notjoin MAPS Basicmembership(MS preporuka): razmjena osnovnih informacija neobavještavanje o aktivnostima sw koji još nije prijavljen kao maliciozan. Advancedmembership: razmjeni detaljnijih informacija obavještavanje o aktivnostima sw koji još nije prijavljen kao maliciozan.
AM policy– Definitionupdates Postavke dobivanja EP swupdates: IF CM IS USED AS A SOURCE FOR DEFINITION UPDATES, CLIENTS WILL ONLY UPDATE FROM ALTERNATIVE SOURCES IF DEFINTION IS OLDER THAN
Admin konzola SC 2012 CM Grafičko sučelje za AM taskove kroz različite workspace Ne postoji zasebna AM konzola odvojena od konzole CM EP Dashboard Prikaz EP security i operationalinformacija o EP/CM klijentima Dostupna SQL ReportingServices verzija MpCmdRun.exe MpCmdRun.exe [command] [- options] Omogućuje obavljanje svih AM taskovabez grafičkog sučelja Povećanje funkcionalnosti udruživanjem s PsExec alatom
SC 2012 EP klijent • Aplikacija za pregled stanja malware i korisničku interakciju • Najlakše dostupan kao systemtrayikona: EP klijent je „zdrav” • Korisničko sučelje nezavisno od CM klijenta • Informacije o EP klijentu korištenjem WMI statemessagesvia CM klijent ->(5 min!) pripadajući CM site server
Vrijeme je za razmišljanje o deploymentu MS je napravio fantastičan posao: brzo, jednostavno, transparentno, … Priprema i planiranje prije samog početka deploymenta! Tijek instalacije EP klijenta Tijek instalacije EP klijenta Konfiguracija AM politika Konfiguracija AM politika EP klijent dobiva EP swupdates „Instalacijski medij”za EP već unutar CM klijenta Konfiguracija EP unutar CM konzole. Započinje instalacija EP klijenta Pozadinsko uklanjanje postojeće AV/AM zaštite Tijek instalacije EP klijenta Konfiguracija AM politika