Bij een klant van ons met zo’n 200 clients en 40 servers hebben we een upgrade / implementatie gedaan van Sophos naar Forefront Client Security Beta 2 alias Stirling. Het eindresultaat bestaat uit een nieuwe wsus server, System Center Operations Server R2 met daarop de Stirling consoles. Ook SQL 2005 is op deze server lokaal gehouden omdat de huidige scom server voorzien was van SQL 2008 en deze nog niet wordt ondersteund door Stirling. Momenteel worden zo’n 200 client systemen (windows xp sp2 en windows vista), 5 domain controllors, 3 exchange servers en 30 tal overige servers nauwlettend gescanned door Stirling.

Hoewel Forefront Client Security 2 nog niet officieel uit is, hebben we er toch voor gekozen om deze bij de klant in te gaan zetten. Dit zodat er gebruik gemaakt kan worden van System Center Operations Server R2 en de laatste Forefront Scan Engine.

Stirling is een anti-virus en een mallicious software scanner. Kort samen gevat: antimalware.

 
Installatie
We hebben gekozen voor een Single Server Deployment. Dit is een Deployment waarbij alles, behalve wsus, op één server draaid. Het is zeker aan te raden de installatiestappen zoals deze in de handleiding (Technet) staan exact te volgen. Afwijkingen hierin kunnen leiden tot problemen met de werking van Stirling.

Er zijn behoorlijk wat prerequisites welke nodig zijn voor de installatie van Stirling, maar nadat deze gedaan zijn, is de installatie recht toe. Databases worden automatisch gecreeerd op Microsoft SQL 2005.

Op de WSUS server moet de client handmatig worden toegevoegd. Er wordt met Stirling een tool meegeleverd welke het mogelijk maakt deze pakketten handmatig toe te voegen. Natuurlijk is het ook mogelijk om de updates van internet te halen en de uitrol op een andere manier te doen. De client bestaat uit twee pakketjes. Eén is de antimalware scanner zelf, de andere is de communication agent (is een scom agent). Deze twee software pakketten moeten de install status krijgen op de wsus server. Hierdoor wordt Stirling nog niet uitgerold naar pc’s, dus kan rustig aan alle computers worden toegekent.

 
Configuratie
Configuratie vind plaats op drie belangrijke machines. De WSUS server, een domain controller en de Stirling server zelf.

Op de WSUS server stellen we automatic approval in voor alle Microsoft Forefront Client security updates zodat alle updates vanzelf uitgerold worden naar de werkplekken.

Wanneer een client geen verbinding kan krijgen met de WSUS server is het mogelijk (in te stellen door een policy) dat de client de updates binnen haald via Windows Update.

Om te zorgen dat Stirling op een computer wordt geinstalleerd, moet een policy worden ingesteld (de .adm file wordt meegeleverd). Deze policy wijst naar de stirling/SCOM server.

Op de Stirling server configureren we verschillende policies voor verschillende computergroepen. Wanneer je de console van Stirling opend, ziet het er voor de SCOM gebruikers al snel vertrouwd uit. Het zal beheerders zeker aanspreken omdat de dashbords zelf op te bouwen zijn zodat je in een oogopslag kunt zien wat voor jou belangrijk is.

Met deze console beheer je de Stirling omgeving. Bij Server Configuration kunnen verschillende rollen worden toegekend aan gebruikers. Voor helpdesk medewerkers is het bijvoorbeeld handig wanneer zij ‘limited administrator’ rechten hebben, maar ook een ‘view only administrator’ behoord tot de mogelijkheid. Taken kunnen worden aangemaakt zodat, buiten de policies om, bijvoorbeeld een full-scan gestart kan worden.

Een administrator kan een ‘Investigation’ starten waardoor het makkelijker wordt events van een gebruikers, computer of een ipadres bij te houden. Op deze manier kan er makkelijk gergistreerd worden wanneer en hoe vaak een event zich voordoet zodat de ‘bedreiging’ makkelijk gevonden kan worden.

Groepen kunnen worden gecreerd voor gebruikers en computers. Aan deze groepen kunnen policies worden gekoppeld. Een computer kan meerdere policies krijgen. Deze worden simpelweg bij elkaar opgeteld. Groepen kunnen worden gemaakt op basis van vele voorgedifineerde queries. Of je kan een advanced query maken.

Met policies is te regelen wat er wel en niet gescanned moet worden. De on-access scanner zal zowel on-read als on-write scannen en is op dit moment nog niet af te vangen. Wellicht dat dit een puntje is wat in de ‘officiele’ versie zal veranderen.

Wanneer een policy wordt gewijzigd zal deze automatisch op een client worden doorgevoerd.

 
Conclusie
Stirling is een volwassen Microsoft product dat de portfolio van Microsoft producten ten goede komt. Het werkt zeer nauw samen met System Center Operations Server R2 waardoor het gebruik hiervan ook gestimuleerd zal worden. Hoe het gaat werken met licenties is nog onduidelijk en er zullen in de loop van de tijd nog wat wijzigingen plaatsvinden in de modules voordat de final release zal verschijnen.

No Comments »

No comments yet.

RSS feed for comments on this post.

Leave a comment

Name (required)

Mail (will not be published) (required)

Website

Anti-spam word: (Required)*