System Center 2012, Endpoint Protectionの運用

SCCMによるSystem Center Endpoint Protectionの運用

株式会社ソフィアネットワーク

国井傑 (くにいすぐる)

自己紹介

Copyright 2013 Sophia Network Ltd.2

Microsoft MVP for Directory Services (2006～2014)

マイクロソフト認定トレーナー(1997～)

ブログAlways on the clock

＠sophiakunii

株式会社ソフィアネットワーク所属

ブログ + 連載

http://gravatar.com/e1fb8058e63b3ba2706f7ac43a43fc47

http://www.takashimedia.com/blog/wp-content/uploads/2011/11/twitter-logo.jpg

https://www.computerworld.jp/

リリースされましたSystem Center 2012 Configuration Manager Service Pack 1 評価ガイド - System Center 2012 Endpoint Protection 管理編

http://bit.ly/16pOC0g


System Center Endpoint Protection (SCEP) とは?マイクロソフトが提供するクライアント向けマルウェア対策ソフトウェアで、かつてはForefrontのブランドで提供されていた

現在では、System Center Configuration Manager 2012のコンポーネントとして提供されている

定義ファイルはマイクロソフト(Microsoft Update)から提供


2005年2007年

2010年 2012年

「SCEPって本当に使えるのですか?」


AVTest.comによるテスト結果


マルウェアの現状

米国の戦略国際問題研究所(CSIS: Center for Strategic and International Studies)が2013年2月に発表した調査報告書では、マルウェアの現状について次のような報告がなされている

成功したセキュリティ侵害の90%以上は最も基本的なテクニックのみ使用

難しい／高価な対策でなければ防げないセキュリティ侵害はたったの3%

96%のセキュリティ侵害は単純または中程度の管理策の実施により防げた

75%の攻撃は公開された脆弱性を利用しており、日々のパッチ作業で防げた

参考元：Raising the Bar for Cybersecurityhttp://csis.org/publication/raising-bar-cybersecurity


SCEPの構成と基本設定

まずは、基本の確認


SCEP使用時のSCCMのシステム構成


【参考】定義ファイルの取得～マルウェアスキャンの流れ


【参考】マルウェアの検出～レポートの確認の流れ


SCEPクライアントの初期設定


SCEPクライアントの通常運用時の設定


PowerShellから集中管理


SCEPクライアントのユーザーインターフェイスホーム

スキャンの実行

スキャン状況の確認

更新

定義ファイルの取得

最後に取得した定義ファイルの日時

履歴

マルウェア検出の状況と対応

設定

SCEPの設定

ポリシー管理下では一部設定の変更は不可


SCEPクライアントからの操作クライアントから行った操作はコンソールから実行結果と共に確認が可能

問題のある操作を確認した場合、コンソールから操作をキャンセルできる


SCEPの運用を考える

今日の本題


SCEPの運用を考える一般的なマルウェア対策ソフトのライフサイクルから、どのような運用を行うべきかについて考えてみましょう。(他社製品での運用方法も参考にしながら)


1 2 3 4

1．インストールSCCMクライアントをインストールすると、SCEPクライアントのセットアッププログラムが自動的にコピーされるため、SCEPが必要であれば、ポリシー経由でいつでも自由にインストールが可能

Windows / MacOS / Linuxへのインストールが可能

他のウイルス対策ソフトがインストールされている場合、アンインストールを自動的に行う


ユーザーインターフェイスSCCMから管理を行うよう設定すると、クライアントのUIは無効化され、操作ができなくなる

サーバーからの一元管理を考えると適切な管理方法

クライアントでしか設定できない項目はないため、ポリシーによる完全な一元管理が可能

ユーザーによる操作ができないようにポリシーを設定してからSCEPクライアントをインストール


SCCMを利用しないでSCEPを利用することは可能？技術的には可能

SCEPInstall.exeを手動でインストールすればよい

SCCMではEndpoint Protectionポイントを実装することで、SCEPをサイト階層内で利用することを宣言したとみなされる


「管理外クライアント」と呼ばれる、サーバーによって管理されないクライアントを実装することは可能

管理外検出などの機能によって管理外クライアントを発見する機能を用意

2．定義ファイルの取得定義ファイルは1日平均3回提供される

Microsoft Update経由で提供されるが、通信の効率化を図るため、次の方法での取得が可能

配布ポイント

WSUS

ファイルサーバー


Microsoft Update-サイトシステム間の定義ファイルの取得ソフトウェアの更新ポイントの設定

取得するカタログの種類や間隔を定義

自動展開規則

Microsoft UpdateとForefrontEndpoint Protection 2010のコンテンツ(定義ファイル)の同期する間隔を定義

展開パッケージ

定義ファイルを配置する配布ポイントを定義

ソフトウェア更新プログラムグループ

定義ファイルを配布するコレクションを定義


【参考】定義ファイル取得の設定


取得する定義ファイルのデータサイズ(当然のことながら)差分のデータを取得

1回に取得する定義ファイルの差分

3日以上定義ファイルを取得しなかったときに取得する差分

31日以上定義ファイルを取得しなかったときに取得するフルアップデート


定義ファイルの構成C:¥ProgramData¥Microsoft¥Microsoft Antimalware¥Definition Updatesフォルダーに保存


定義ファイル説明

MpAvBase.vdmファイルには、ウイルス対策の基本定義モジュールが含まれます。このファイルは通常はマイクロソフトによって月に 1 回だけ更新され、差分定義の作成に使用される基本ウイルス情報が含まれます。

MpAvDlta.vdmファイルには、ウイルス対策の差分定義モジュールが含まれます。このファイルは通常はマイクロソフトによって 1 日に何回も更新され、最後のウイルス対策ベースが作成されてから発生したすべての変更が含まれます。

MpAsBase.vdmファイルには、スパイウェア対策の基本定義モジュールが含まれます。このファイルは通常はマイクロソフトによって月に1 回だけ更新され、差分定義の作成に使用される基本のスパイウェアソフトウェア情報および他の迷惑を及ぼす可能性のあるソフトウェアの情報が含まれます。

MpAsDlta.vdmファイルには、スパイウェア対策の差分定義モジュールが含まれます。このファイルは通常はマイクロソフトによって 1 週間に何回も更新され、最後のスパイウェア対策ベースが作成されてから発生したすべての変更が含まれます。

MpEngine.dllファイルには、マイクロソフトのマルウェア対策エンジンが含まれます。前記の .vdm ファイルは、マルウェア対策エンジンがシステムリソースでマルウェアを検索するときに参照されます。システムリソースとしては、ファイル、プロセス、レジストリキーなどがあります。このファイルは、通常は月に 1 回だけ更新されます。

サポート技術情報 KB977939より※このほか、Network Inspection Systemのシグネチャがあります。

手動で定義ファイルを取得Malware Protection Centerサイトより取得可能

http://www.microsoft.com/security/portal/definitions/howtoforefront.aspx

データはアンチマルウェア用とNetwork Inspection System(NIPS)用を用意

一般的な運用例


定義ファイルのロールバックロールバック方法は用意されていない？

Backupフォルダーに1世代前の定義ファイルを保存している

定義ファイルはSCEPクライアントによって排他制御されているため、手動でのファイルの削除・上書きは不可

(私の考える) 現実的な運用方法

更新プログラムの運用のように、テストマシンに更新プログラムをインストールし、問題ないことが確認できてから定義ファイルを展開する

Movefile (Sysinternalsツール) を使用して手動で最新のファイルを削除予約


サーバーのコンソール画面から、いつのバージョンに戻すか選択できる

ただし、バージョン管理するためには定義ファイルをロールバックできる形で保存しておかなければならない

3．マルウェアスキャンスキャンのタイミング

リアルタイム保護

スケジュールスキャン

手動スキャン

スキャン領域クイックスキャン

フルスキャン

カスタムスキャン

ヒューリスティックスキャン(振る舞い検出)

レピュテーションリスト?


【参考】ダイナミックトランスレーションヒューリスティックスキャン技法のひとつで実行プログラムをエミュレーターで実行し、プログラムのビヘイビアからマルウェアの判断を行う


Real Time Protection

Driver Intercepts

Potential

Malware Execution attempt

on the system

VIRTUALIZED

RESOURCES

Safe

Translation

Using DT

Malware Detected

Malicious

File Blocked

クライアント/サーバー種類に応じたスキャン設定


その他、マルウェアスキャンの考慮事項ネットワークドライブのスキャンは？

ネットワークドライブへのスキャンは多重スキャンになるので、必ずOffにする

スキャン開始時間にSCEPクライアントが起動していない場合次回起動時にさかのぼってスキャンを開始

スキャンの強制終了スキャン中にシャットダウンするとスキャンジョブは取り消し、または完了とみなしてしまう

スキャンの終了時刻は指定できない

重複スキャンへの対応は？複数回のスキャンジョブをスタックしておく機能は「おそらく」ない

スキャン実行をSCCM以外で制御したい

%Program Files%¥Microsoft Security Clients¥mpcmdrun.exeで実行可能


マルウェア対策ソフトを強制終了しようとする動きへの対応SCEPはMsMpEng.exe(サービス名:Microsoft Antimalware Service)によってリアルタイムスキャン等の動作を行っている

Administratorによるサービス停止・プロセス終了の操作は不可

アンインストールに対する制御機能はない

C:¥Program Files¥Microsoft Security Client¥Setup.exe /xを実行させない、または監視するように構成

グループポリシーのアプリケーション実行制御で実行させないように構成

コンプライアンス設定(構成項目&構成基準)で監視

ソフトウェアインベントリでソフトウェア構成の変化を確認


構成項目での設定例

アウトブレイク対応新種のマルウェアが大流行している場合、定義ファイルを今すぐ取得し、すべてのコンピューターでマルウェアスキャンを今すぐ開始したい

セキュアブート


Windows 7 BIOSOS Loader

(Malware)

3rd Party Drivers

(Malware)Anti-Malware

Software StartWindows Logon

Windows 8 Native UEFIWindows 8

OS Loader

Anti-Malware

Software Start3rd Party Drivers Windows Logon

• マルウェアはWindows起動前に起動が可能• マルウェアは検出される前に自身を隠す動作が可能• マルウェア対策ソフトが起動する前に感染してしまう

• セキュアブートはブート時にマルウェア対策ソフトを起動可能• Early Load Anti-Malware (ELAM) ドライバによって実現• サードパーティのドライバが実行される前にマルウェア対策ソフトを起動し、

ELAM ドライバ経由でマルウェアスキャンを実行

Measured ブート


Windows 8 UEFIWindows 8

OS Loader

Windows

Kernel &

Drivers

Anti-Malware

Software

3rd Party

Drivers

Remote Attestation

Windows 7 BIOSMBR & Boot

SectorOS Loader

Kernel

Initialization

3rd Party

Drivers

Anti-Malware

Software Start

• 起動中のブートプロセスの改ざんはBitLocker + TPMを有効にしていたときだけチェックできていた

• TPMに起動コンポーネントを格納し、起動時に前回起動時と起動コンポーネントが異なるかチェック

• すべての起動コンポーネントが対象

仮想マシンに対するマルウェアスキャン集約率が高いほど、マルウェアスキャンストームが起きやすい

一般的な解決策

各仮想マシンでスキャンする時刻を分散する

他の仮想マシンでスキャンしたファイルと同じファイルをスキャンしない


4．マルウェア発見時の対応クライアントの対応

警告レベルに合わせて、あらかじめポリシーで定められた処理を自動的に実行

誤検知時にファイルを削除すると困るので、削除アクションは使わないこと検疫の場合、既定で30日後に削除される


マルウェア発見時のサーバー側の対応アラート

あらかじめ用意されたしきい値に達したときに管理者に[アクティブなアラート]またはメールで通知


マルウェア発見時のサーバー側の対応レポート

監視/Endpoint Protectionのステータス(レポート概要)から確認


マルウェア発見時のサーバー側の対応詳細レポート

監視/レポート/Endpoint Protectionから確認


クラウドクリーンストアWindowsフォルダー内のシステムファイルがマルウェア感染した場合、新しいバイナリを自動的にSymbol Storeサイトからダウンロードし、感染したファイルと置換

必要に応じて再起動が必要


Microsoft Symbol Store

System file compromise

detected (RTP or scan)

Compromised file replaced

Request new file

1

2 3

4

Download replacement

file

MAPS (Microsoft Active Protection Service)マイクロソフトが提供するサービスでPCで発見したマルウェアのサンプルをマイクロソフトへ提供し、その内容に基づいて新たな定義ファイルを作成する

動作概要

1. ヒューリスティックスキャンの結果、悪質「と思われる」プロセスを検出

2. MAPSからサンプルを要求

3. MAPSへサンプルを提出

4. サンプルをもとにシグネチャを作成・提供(定義ファイル取得のタイミングを待たずにリアルタイムで取得可能)


RESEARCHERS REPUTATIONREAL-TIME SIGNATURE DELIVERY

BEHAVIOR CLASSIFIERS

Microsoft Active Protection Service

Properties/Behavior

Real-time signature

Samplerequest

Samplesubmit

1 2 3 4

まとめ確かにSCEP自体、至らない点はある

しかし、運用でカバーできる点、他のテクノロジーと組み合わせて強固なセキュリティを実装できることも確認できた(セキュリティの基本は「多層防御」だったではないか！)

使えるか/使えないか?ではなく、どのように使うべきか?を議論したい

実装は評価ガイドでチェックhttp://bit.ly/16pOC0g


Microsoft Confidential45

We don’t even have to try,It’s always a good time.

from “good time” by owl city & carly rae jepsen

Technology

System Center 2012, Endpoint Protectionの運用