Dit is mijn derde blog over FEP. In mijn eerste blog heb ik een inleiding gegeven op Forefront Endpoint Protection. In mijn tweede blog ben ik ingegaan op de installatie van Forefront Endpoint Protection Policy's en mijn derde blog wil ik stilstaan bij de FEP policies. Policies Voordat je de FEP client gaat uitrollen naar alle clients en servers is het slim om stil te staan bij settings die je in de policy kan zetten. Je kunt er voor kiezen om blind de FEP client naar alle servers uit te rollen, maar dit kan serieus gevolgen hebben. Je wilt namelijk niet hebben dat een database van een Applicatie server zomaar gescaned wordt. Bijvoorbeeld voor Exchange: | Voor exchange maak je gebruik van een speciale anti virus client. Deze client werkt met de speciale VAPI’s voor Exchange. Bijna elke anti virus oplossing heeft daarom een speciale anti virus client voor exchange. Als een gebruiker een attachment mee wil sturen waar per ongeluk een virus in zit zal er via de VAPIs ingegrepen worden. Als er dan ook nog een lokale anti virus client is die gaat ingrijpen kan dit er voor zorgen dat de database corrupt raakt. De lokale client maakt namelijk geen gebruik van een VAPI en zal direct ingrijpen in de database. |
Je zult dus eerst een policy moeten maken voor Exchange voordat je exchange uitrolt. In mijn blog neem ik Exchange dan ook als voorbeeld. My first Exchange Policy In mijn eerste blog vertelde ik al dat je FEP volledig managed vanuit SCCM. Ook policy’s maak je vanuit SCCM. - Start SCCM manager console
- Ga naar Site Database ( SCCM)\Computer Management\Forefront Endpoint Protection 2010\Policies
- Onder action => New Policy
- General, Geef de Policy een naam en eventueel een beschrijving.
- Next
- Policy Type, kies de juiste template
| naam | Standaard settings | | Standaard, Deze policy is geschikt voor werkplekken. Voor terminal servers en file server is de CPU load te hoog. Deze waarde zul je moeten aanpassen. In dat geval is het verstandiger om CPU Limit op 20% of 30% te zetten. | Antimalware policy settings: Real-time protection: incoming and outgoing files Scheduled scan: quick scan every Sunday at 10:00 PM CPU limit: 50% load Windows Firewall: On Update antimalware definitions from the following sources: - Configuration Manager
- Microsoft Update
End user configuration: Real-time protection: off Scheduled scan time: off Client notifications on detected malware: off | | High, deze template is vooral intressant voor servers die een hoog risico lopen om besmet te raken, denk hierbij aan internet facing servers | Antimalware policy settings: Real-time protection: incoming and outgoing files Scheduled scan: daily quick scan at 2:00 AM and full scan every Sunday at 10:00 PM CPU limit: unlimited Windows Firewall: On Update antimalware definitions from the following sources: - Configuration Manager
- Microsoft Update
End user configuration: Real-time protection: off Scheduled scan time: off Client notifications on detected malware: off | | Performance, deze template is geschikt voor applicatie servers zoals Exchange of SQL. | Antimalware policy settings: Real-time protection: incoming and outgoing files Scheduled scan: quick scan every Sunday at 10:00 PM CPU limit: 30% load Windows Firewall:On Update antimalware definitions from the following sources: - Configuration Manager
- Microsoft Update
End user configuration: Real-time protection: off Scheduled scan time: off Client notifications on detected malware: off | - Ik kies voor de template Performance.
- Next
- Scheduled Scans, let er op dat de scan niet gelijk plaats vindt met een eventule backup of ander batch proces
- Scan Exclusions, dit is de belangrijkste settings. Nu moet ik alle locaties gaan excluden waar Exchange mail weg schrijft of inleest. Hieronder vallen de volgende zaken:
- De mailbox database + logfiles
- De mail queue directorys
- Update, kies de locatie waarvan je wilt updaten. Je kunt hierbij kiezen uit:
- Een share
- SCCM/WSUS
- Microsoft Update
De client zal alle locaties afgaan voor de updates. - Client Configuration Options,
- Real-time protection, elke file die wordt weggeschreven of ingelezen wordt gecontrolleerd op de aanwezigheid van een virus. Deze optie kost extra performance en ik laat hen daarom uitstaan. Gebruikers zullen niet direct deze server benaderen.
- Schedule scan time, eerder hebben we de schedule al aangegeven. Als je ook daadwerkelijk wilt dat hij gaat moet je het dus hier aanzetten. In het geval van mijn exchange server laat ik het uitstaan.
- Allow clients to receive notifications when malware is detected, je kunt aangeven of gebruikers feedback krijgen over eventuele gevonden virussen. Kies voor notifications zul je ook gebruikers moeten vertellen wat ze moeten doen als ze zo een melding krijgen. In mijn geval heeft het geen enkele zin om een notification te krijgen, want ik zit niet dagelijks achter het console van mijn server.
- Next
- Summary, overzicht van alle settings
- Next
Nu wordt de policy aangemaakt Policy aanpassen Nu je de policy hebt gedefineerd kun je hem verder gaan aanpassen. Niet alle settings heb je direct kunnen invoeren tijdens de wizard. - Selecteer de policy
- Onder actions => Properties
Je ziet nu vier verschillende tabbladen: | General | Hier vind je algemene informatie terug over de policy en kun je zien aan welke collectie de policy is toegewezen. | | Antimalware | Onder deze tab kun je de volgende settings doen: - Schedule scans, hier kun je de ‘Schedule Scan” configureren. Hieronder vallen de volgende settings
- Waarneer wordt er gescand
- Hoeveel CPU wordt er gebruikt
- Voorwaarde voor de scan
- Threat Handling, hoe moet de client omgaan als er een virus gevonden wordt
- Real-time Protection, hoe moet de client omgaan met binnenkomende en uitgaande bestanden. Op een file server wil je natuurlijk dat elke file die binnenkomt gescand wordt. Voor mijn exchange server geldt juist het tegenovergestelde. Als ik mijn server netjes beheer zal ik nooit iets direct downloaden op mijn server, maar op mijn werkplek.
- Exclude Files en Folders, welke bestanden en directories wil je niet gescanned hebben, bijvoorbeeld de exchange database
- Exclude File types, welke type bestanden wil je niet gescand hebben. Bijvoorbeeld alle exe files, maar of dat verstandig is?
- Exclude Processes, hier kun je alleen processen invullen die eindigen op cmd, bat, pif, scf, exe, com of scr. Voor exchange server kies ik er voor al mijn exchange en forefront processen te excluden.
- Additional Settings, hier vind je de overige settings zoals:
- Het wel of niet scannen van netwerk drives
- Het wel of niet scannen van removable storage
- Het aanmaken van een restore point
- Het gebruik maken van “behavior monitoring”
- Wanneer moeten bestanden uit het quarantine verwijderd worden
- Overrides, op dit tablad kun je aangeven wat er moet gebeuren bij een speciale “thread”. Hierbij is het belangrijk te vermelden dat elke thread al een standaard actie heeft mee gedefineerd. Vermeld je een thread niet dan zal de voor gedefineerde actie plaats vinden. Het is ook te adviseren om deze voor gedefineerde actie te blijven handhaven en niet zelf voor elke virus een eigen actie te bedenken.
- -Microsoft Spynet,je kunt er voor kiezen dat de client feedback geeft over gevonden software aan microsoft. Microsoft gebruikt deze informatie om de FEP client engine en FEP client database te verbeteren.
| | Updates | Net als elke anti virus client zal ook FEP regelmatig geupdate moeten worden. Op deze tabblad kun je instellen hoe de FEP client omgaat met Updates. | | Windows Firewall | Je kunt de FEP client de Windows Firewall laten beheren. Dit is wel basaal. Vanuit een GPO kun je meer settings zetten. | FEP Policy toewijzen Als je helemaal tevreden bent over de policy settings kun je hem gaan toewijzen aan een collectie. - Selecteer de Policy
- Onder Action => Assign Policy
Je krijgt een Add/Remove Collection scherm voor je. Selecteer de juiste collectie. In mijn geval heb ik een collectie gemaakt met daarin mijn exchange server Hierbij eindigt mijn blog over FEP policy. In mijn volgende blog wil ik ingaan op hoe je de FEP client distribueert naar de server of een werkplek. Martijn Bellaard |