Microsoft heeft een allesomvattend tienjarenplan waarbij alle producten in verband met beveiliging en netwerk- en systeembeheer van a tot z vernieuwd, op elkaar afgestemd en geïntegreerd worden. Onder de noemer Forefront vallen alle producten die met beveiliging te maken hebben, inclusief authenticatie en toegangscontroles. Wij stellen u Forefront Security voor en testen het onderdeel Client Security en met name of en hoe succesvol het u beschermt tegen malware.

Het zal al lang geen nieuws meer voor u zijn dat beveiliging een ernstig pijnpunt vormt voor alle Windows-gebaseerde netwerken. Daar bestaat wel software voor, maar alles is zwaar gefragmenteerd. U gebruikte beveiligingssoftware voor specifieke beschermingsdoelen en die was mogelijk niet netwerkgevoelig of gebruikt met zekerheid een eigen systeem om de genetwerkte beveiliging te beheren. Dat betekent dat een systeem- of netwerkbeheerder meerdere beheerinterfaces moet kennen en dat er zelden sprake is van een echte geünificeerde rapportage. Het is wel mogelijk om individuele beveiligingspakketten rapporten te laten genereren, maar die kaderen niet in een groter geheel en kunnen (en zullen!) qua vorm en inhoud zwaar afwijken van elkaar en van overkoepelende structuren (voor zover er die al zijn, natuurlijk). Forefront is Microsofts oplossing daarvoor. Daartoe heeft Microsoft eerst de nodige beveiligingssoftware verworven via allerlei bedrijfsovernames en die dan ook ter beschikking gesteld van zijn klanten. Nu is echter de eerste fase van het unificatieproces klaar en vandaar de ‘rebranding’ van al die losse producten onder het vaandel van Microsoft Forefront. Ook nu nog bestaat Forefront uit een zestal producten die elkaar aanvullen en ook daar komt nog een grotere unificatie tot stand, die van Microsoft de codenaam ‘Stirling’ kreeg. Onder Stirling zal alle beveiliging één geheel vormen en zal het beheer volledig in System Center geïntegreerd zijn. System Center is voor beheer wat Forefront voor beveiliging is en dat bespreken we dan ook in aparte artikels (System Center Essentials verscheen in DN29 van 21 september en System Center Operations in DN28 van 14 september).

Forefront producten

Microsoft Forefront kent momenteel vier deelproducten: Forefront Client Security, Forefront Security for Exchange Server, ForeFront Security for SharePoint en om alles te beheren is er Forefront Server Security Management Console. De basis van de eigenlijke beveiligingssystemen wordt gevormd door Microsoft Antigen (de antimalware-engine overgenomen van Sybari), Microsoft ISA Server 2006 en Intelligent Application Gateway 2007. Zoals u ziet omvat Forefront ook toegangscontrole en applicatietoegangsoptimalisatie. Forefront Client Security biedt de pure antimalwarebescherming voor Windows desktops, laptops en servers. We praten dus over detectie en real-time eliminiatie van virussen en parasieten met een centraal-beheersysteem waarvoor een volledige integratie in System Center voorzien is, en een statusbeoordelingssysteem dat ervoor zorgt dat de door Client Security beschermde computers voorzien zijn van alle benodigde patches en updates, en geen onveilige instellingen aan boord hebben. Forefront Security for Exchange Server is – zoals de naam al aangeeft – de beveiliging voor de Exchange Server 2007 mailserver. Naast de Antigen malwaredetectie omvat dit dus ook een spamfilter. Microsoft gaat er prat op dat Forefront zwaar in Exchange geïntegreerd is, waar andere beveiligingsoplossingen op of naast Exchange draaien. Dat heeft, aldus Microsoft, beperkingen inzake prestaties en mogelijk ook interoperatibiliteit (hoe zeker bent u dat uw antimalwareoplossing niet interfereert met de werking van Exchange?). Forefront Security for SharePoint beveiligt de hele omgeving waarin documenten en andere bestanden gedeeld worden. De nadruk ligt hier niet alleen op malware, maar ook op autorisatie via DRM. Forefront kan overigens werken met meerdere antimalware-engines naast Antigen, maar dat vereist dan wel dat de producenten van die engines daar de benodigde connectoren voor geschreven hebben: Microsoft doet dat dus niet zelf. De Forefront Server Security Management Console biedt u een centraal beheer voor het hele Forefront-systeem, wat de uniforme interface en het allesomvattend rapportagesysteem als voordelen biedt.

Forefront Client Security

We hebben niet de ruimte om alle Forefront-producten aan een onderzoek te onderwerpen en dus kozen we voor de basis: Client Security. Dat zal de concurrentie moeten aangaan met zowat alle netwerkantimalware-oplossingen op de markt. Allemaal bieden ze antimalwarebeveiliging voor desktops/laptops en servers met een centraal beheer met een bijgehorend distributiesysteem voor software en updates en uitgebreide rapportagemogelijkheden. Microsoft ziet het voordeel van Client Security in de veel betere integratie in Windows en de unificatie die alle andere Forefront-beveiligingen samenbrengt en met elkaar integreert, ook inzake een veel beter gestructureerde rapportering. Forefront Client Security gebruikt een Windows 2003 server met SQL Server 2005 als beveilingsserver van waaruit alles gecoördineerd wordt. De installatie start dan ook vanuit dit systeem. De centrale beheerinterface kan uiteraard ook op een gewone Windows XP pc draaien, zodra de Client Security server (en/of andere Forefront diensten) volledig in de lucht is. In feite bestaat Client Security uit vier serverrollen en twee databases. De vier serverrollen, die u op eenzelfde of op meerdere fysieke servers kunt installeren, zijn: beheerserver, distributieserver, collectieserver en rapportageserver. Die twee laatste hebben ook een aan hen gekoppelde database (en dat zijn dan meteen de twee voormelde databases). De installatieprocedure kan wat ons betreft nog altijd een stuk beter. Microsoft biedt een lijst van vereisten aan die wel vermelden wat er ontbreekt, maar geen enkele hulp bieden bij het te pakken krijgen (in de zin van automatisch downloaden of eventueel links naar meer uitleg of eventueel te bestellen software) van ontbrekende software.

Beheer

U beheert het hele beveiligingssysteem vanuit de Forefront Client Security Management Console. Die heeft maar twee tabbladen. Standaard is het eerste tabblad gekozen: Dashboard. Dat geeft u een onmiddellijk grafisch overzicht van de toestand in uw netwerk inzake beveiliging met een goed uitziend historisch grafiekje van de laatste twee weken. U kunt vanuit dit scherm ook een scan laten uitvoeren van alle beheerde computers. De tweede tab is het policybeheer. Daarmee maakt u malwarereglementen aan die u kunt distribueren naar de beheerde computers toe. U kunt aparte regels aanmaken voor virussen en voor parasieten, voor scans, intervals en tijdstippen daarvan, maar ook voor updates en hoe en wanneer en hoe vaak die moeten gebeuren. Gebruikers kunnen meer of minder rechten hebben om zelf instellingen te zien of te wijzigen.

Praktijk

Aan de clientzijde ziet de bediening van Forefront Client Security er exact hetzelfde uit als Windows Defender, Microsoft’s alleenstaande antimalwareproduct dat standaard in Windows Vista is geïnstalleerd en als optie verkrijgbaar is voor XP. Er is een snelle en een volledige scan. De snelle scan duurt zo’n 40 seconden en onderzoekt alleen de meest kwetsbare locaties voor parasietinfecties. De volledige scan duurde op ons testsysteem zo’n zes en een halve minuut en doorzoekt alle bestanden van alle lokale schijven. U kunt een aangepaste scan kiezen, en die geeft u de mogelijkheid om een schijfstation en directory aan te wijzen om te scannen. Na de installatie volgt een snelle scan en Forefront Client Security probeert ook om zijn parasietinformatiedatabase bij te werken. Forefront Client Security biedt geen noodhersteloplossing. Als het product er dus niet in slaagt uw systeem weer schoon te krijgen, zult u dus een back-up moeten terugzetten. Hebt u geen back-up, dan kan Forefront Client Security u ook niet meer helpen.

Bij onze test blokkeert Forefront Client Security de overgrote meerderheid van de parasieten al tijdens hun infectiepoging. Niettemin meldt het systeem ons echter dat de pc herstart moet worden. Braaf als we zijn doen we dat. Als we vervolgens een volledige systeemscan laten uitvoeren, blijkt er toch nog parasieten actief te zijn. Als we die laten verwijderen, verklaart Forefront Client Security bij hernieuwde scans het systeem schoon. Een manuele controle achteraf onthulde toch nog achtergebleven sporen zoals enkele bestanden en registersleutels, maar ook nog enkele parasieten die Forefront Client Security kennelijk niet ontdekt had. Dat moet dus nog steeds beter, Microsoft!

Conclusie

Vanuit een beheeroogpunt biedt Forefront Security zeker voordelen, nu alles meer geïntegreerd is en er een verrijkte beheerinterface geboden wordt. De detectie en bestrijding van malware is echter niet zo goed als die van andere beveiligingsproducten die we in het verleden getest hebben.

Johan Zwiekhorst