Al enige tijd is de Beta van Forefront Endpoint Protection 2010 (FEP) te downloaden. Tijd om er eens wat aandacht aan te besteden.
Forefront Client Security
FCS bestaat al een tijdje en is de Microsoft Antivirus & Antimalware oplossing. Deze oplossing werkt op basis van Microsofts eigen Antivirus engine. Hij maakt gebruik van WSUS voor zijn updates, Active Directory voor de policy’s en MOM voor monitoring. Vooral de laatste zorgt voor nogal wat commentaar, want één van de eisen voor FCS was een eigen MOM installatie. Je kunt FCS niet op een bestaande MOM installatie installeren.
Forefront Endpoint Protection 2010
FEP is de opvolger van FCS. FEP wordt, net als FCS, gebruikt als Antivirus & Antimalware client op servers en werkplekken. FEP heeft de volgende kernmerken:
- Integratie met de bestaande infrastructuur
- Eenvoudig te distribueren
- Eenvoudig in gebruik
Integratie
FCS was de eerste antivirus client van Microsoft. Het feit dat FCS zijn eigen MOM server nodig had werd gezien als een groot nadeel. De ontwikkelaars van FEP (en FCS) hebben dan ook eens goed nagedacht over welk console ze zouden gaan gebruiken voor de client. Nu is SCOM de opvolger van MOM en zou dus de logische opvolger zijn. Er zit een groot nadeel aan SCOM, deze is bedoeld voor monitoring. Je zult dus naast SCOM nog een andere tool moeten hebben voor Distributie en Management van de client. In de System Center family is er een speciale tool voor juist deze taken, System Center Configuration Manager 2007. Er is dan ook gekozen om SCCM te gebruiken als console. Hier zitten een aantal voordelen aan:
- In SCCM heb je een collectie van al je clients, je kunt dus nu eenvoudig FEP aan zo een collectie toewijzen
- SCCM is gemaakt voor software distributie. FEP is niks anders dan een software pakket
- WSUS kent ook een integratie met SCCM, dus je kunt ook de updates voor FEP vanuit SCCM doen.
- SCCM kent integratie met NAP
- SCCM heeft rapportage mogelijkheden.
Distribueren
Virussen en malware zijn iets waar elke organisatie vroeg of laat (of allebei) mee te maken krijgt. Er is dan ook geen organisatie die geen antivirus oplossing heeft. Als je dus kiest voor een nieuw antivirus client zul je dus moeten gaan nadenken hoe je de ene client weghaalt en de andere installeert. Je hebt dan twee opties:
- Je installeert de nieuwe en verwijdert daarna de oude, je hebt nu geen window waarin je risico’s loopt, maar de oude antivirus client kan de installatie van de nieuwe in de weg zitten.
- Je verwijderd de oude en installeert de nieuwe. Je hebt nu niet dat de oude de nieuwe in de weg zit, maar je hebt wel een window waarin je systeem tijdelijk niet beschermd is.
Bij de distributie van FEP zal de FEP client zelf eerst de oude client verwijderen en daarna zichzelf installeren. Hierdoor heb je een minimale window waarin je systeem onbeschermd is. Als je voor kiest om dit proces buiten kantooruren plaats te laten vinden is het risico bijna te verwaarlozen.
FEP kan niet alle antivirus clients verwijderen. Een overzicht van de clients die automatisch verwijderd worden vindt je terug op:
http://technet.microsoft.com/en-us/library/ff823842.aspx
Gebruik
Naast dat FEP SCCM gebruikt voor distributie kun je ook vanuit SCCM de policy’s bepalen. Eerst maak je binnen SCCM een policy aan en daarna wijs je deze toe aan een collectie. Vervolgens kun je vanuit SCCM de distributie van deze policy monitoren, maar ook een eventuele virus uitbraak wordt bekent gemaakt binnen SCCM.
Samenvatting
FEP is de opvolger van FCS, maar is veel eenvoudiger in het beheer. Alles doe je vanuit één console, het console van SCCM. Het is ook niet langer nodig om een speciaal SCCM server neer te zetten voor FEP. Deze integreert met de bestaande SCCM. Hierdoor is het dus mogelijk om bestaande collecties te gebruiken voor FEP
In een volgende BLOG ga ik in op de installatie van FEP.