System Center 2012, Endpoint Protectionの運用

SCCMによる
System Center Endpoint Protectionの運用
株式会社ソフィアネットワーク
国井傑 (くにいすぐる)

自己紹介
Copyright 2013 Sophia Network Ltd.2
Microsoft MVP for Directory Services
(2006～2014)
マイクロソフト認定トレーナー
(1997～)
ブログ
Always on the clock
＠sophiakunii
株式会社ソフィアネットワーク所属
ブログ + 連載

リリースされました
System Center 2012 Configuration Manager Service Pack 1
評価ガイド - System Center 2012 Endpoint Protection 管理編
http://bit.ly/16pOC0g

System Center Endpoint Protection (SCEP) とは?
マイクロソフトが提供するクライアント向けマルウェア対策ソフトウェアで、
かつてはForefrontのブランドで提供されていた
現在では、System Center Configuration Manager 2012の
コンポーネントとして提供されている
定義ファイルはマイクロソフト(Microsoft Update)から提供
2005年
2007年
2010年 2012年

「SCEPって本当に使えるのですか?」

AVTest.comによるテスト結果

マルウェアの現状
米国の戦略国際問題研究所(CSIS: Center for Strategic and
International Studies)が2013年2月に発表した調査報告書では、
マルウェアの現状について次のような報告がなされている
成功したセキュリティ侵害の90%以上は最も基本的なテクニックのみ使用
難しい／高価な対策でなければ防げないセキュリティ侵害はたったの3%
96%のセキュリティ侵害は単純または中程度の管理策の実施により防げた
75%の攻撃は公開された脆弱性を利用しており、日々のパッチ作業で防げた
参考元：Raising the Bar for Cybersecurity
http://csis.org/publication/raising-bar-cybersecurity

SCEPの構成と基本設定
まずは、基本の確認

SCEP使用時のSCCMのシステム構成

【参考】定義ファイルの取得～マルウェアスキャンの流れ

【参考】マルウェアの検出～レポートの確認の流れ

SCEPクライアントの初期設定

SCEPクライアントの通常運用時の設定

PowerShellから集中管理

SCEPクライアントのユーザーインターフェイス
ホーム
スキャンの実行
スキャン状況の確認
更新
定義ファイルの取得
最後に取得した定義ファイルの日時
履歴
マルウェア検出の状況と対応
設定
SCEPの設定
ポリシー管理下では一部設定の変更は不可

SCEPクライアントからの操作
クライアントから行った操作は
コンソールから実行結果と共に
確認が可能
問題のある操作を確認した
場合、コンソールから操作を
キャンセルできる

SCEPの運用を考える
今日の本題

SCEPの運用を考える
一般的なマルウェア対策ソフトのライフサイクルから、
どのような運用を行うべきかについて考えてみましょう。
(他社製品での運用方法も参考にしながら)
1 2 3 4

1．インストール
SCCMクライアントをインストールすると、
SCEPクライアントのセットアップ
プログラムが自動的にコピーされる
ため、SCEPが必要であれば、
ポリシー経由でいつでも自由に
インストールが可能
Windows / MacOS / Linux
へのインストールが可能
他のウイルス対策ソフトが
インストールされている場合、
アンインストールを自動的に行う

ユーザーインターフェイス
SCCMから管理を行うよう設定すると、
クライアントのUIは無効化され、
操作ができなくなる
サーバーからの一元管理を
考えると適切な管理方法
クライアントでしか設定できない
項目はないため、ポリシーによる
完全な一元管理が可能
ユーザーによる操作ができない
ようにポリシーを設定してから
SCEPクライアントをインストール

SCCMを利用しないでSCEPを利用することは可能？
技術的には可能
SCEPInstall.exeを手動でインストールすればよい
SCCMではEndpoint Protectionポイントを実装することで、
SCEPをサイト階層内で利用することを宣言したとみなされる
 「管理外クライアント」と呼ばれる、サーバーによって
管理されないクライアントを実装することは可能
 管理外検出などの機能によって管理外クライアント
を発見する機能を用意

2．定義ファイルの取得
定義ファイルは1日平均3回提供される
Microsoft Update経由で提供されるが、通信の効率化を図るため、
次の方法での取得が可能
配布ポイント
WSUS
ファイルサーバー

Microsoft Update-サイトシステム間の定義ファイルの取得
ソフトウェアの更新ポイントの設定
取得するカタログの種類や間隔を定義
自動展開規則
Microsoft UpdateとForefront
Endpoint Protection 2010の
コンテンツ(定義ファイル)の
同期する間隔を定義
展開パッケージ
定義ファイルを配置する配布ポイントを定義
ソフトウェア更新プログラムグループ
定義ファイルを配布するコレクションを定義

【参考】定義ファイル取得の設定

取得する定義ファイルのデータサイズ
(当然のことながら)差分のデータを取得
1回に取得する定義ファイルの差分
3日以上定義ファイルを取得しなかったときに取得する差分
31日以上定義ファイルを取得しなかったときに取得するフルアップデート

定義ファイルの構成
C:¥ProgramData¥Microsoft¥Microsoft Antimalware¥Definition Updatesフォルダーに保存
定義ファイル説明
MpAvBase.vdm
ファイルには、ウイルス対策の基本定義モジュールが含まれます。このファイルは通常はマイクロソフトによって月に 1
回だけ更新され、差分定義の作成に使用される基本ウイルス情報が含まれます。
MpAvDlta.vdm
ファイルには、ウイルス対策の差分定義モジュールが含まれます。このファイルは通常はマイクロソフトによって 1 日に
何回も更新され、最後のウイルス対策ベースが作成されてから発生したすべての変更が含まれます。
MpAsBase.vdm
ファイルには、スパイウェア対策の基本定義モジュールが含まれます。このファイルは通常はマイクロソフトによって月に
1 回だけ更新され、差分定義の作成に使用される基本のスパイウェアソフトウェア情報および他の迷惑を及ぼす
可能性のあるソフトウェアの情報が含まれます。
MpAsDlta.vdm
ファイルには、スパイウェア対策の差分定義モジュールが含まれます。このファイルは通常はマイクロソフトによって 1
週間に何回も更新され、最後のスパイウェア対策ベースが作成されてから発生したすべての変更が含まれます。
MpEngine.dll
ファイルには、マイクロソフトのマルウェア対策エンジンが含まれます。前記の .vdm ファイルは、マルウェア対策エンジ
ンがシステムリソースでマルウェアを検索するときに参照されます。システムリソースとしては、ファイル、プロセス、レジ
ストリキーなどがあります。このファイルは、通常は月に 1 回だけ更新されます。
サポート技術情報 KB977939より※このほか、Network Inspection Systemのシグネチャがあります。

手動で定義ファイルを取得
Malware Protection Centerサイトより取得可能
http://www.microsoft.com/security/portal/definitions/howtoforefront.aspx
データはアンチマルウェア用とNetwork Inspection System(NIPS)用を用意
一般的な運用例

定義ファイルのロールバック
ロールバック方法は用意されていない？
Backupフォルダーに1世代前の定義ファイルを保存している
定義ファイルはSCEPクライアントによって排他制御されているため、
手動でのファイルの削除・上書きは不可
(私の考える) 現実的な運用方法
更新プログラムの運用のように、テストマシンに更新プログラムをインストールし、
問題ないことが確認できてから定義ファイルを展開する
Movefile (Sysinternalsツール) を使用して手動で最新のファイルを削除予約
 サーバーのコンソール画面から、
いつのバージョンに戻すか選択できる
 ただし、バージョン管理するためには定義ファイルを
ロールバックできる形で保存しておかなければならない

3．マルウェアスキャン
スキャンのタイミング
リアルタイム保護
スケジュールスキャン
手動スキャン
スキャン領域
クイックスキャン
フルスキャン
カスタムスキャン
ヒューリスティックスキャン
(振る舞い検出)
レピュテーションリスト?

【参考】ダイナミックトランスレーション
ヒューリスティックスキャン技法のひとつで
実行プログラムをエミュレーターで実行し、プログラムのビヘイビアから
マルウェアの判断を行う
Real Time
Protection
Driver
Intercepts
Potential
Malware
Execution attempt
on the system
VIRTUALIZED
RESOURCES
Safe
Translation
Using DT
Malware
Detected
Malicious
File Blocked

クライアント/サーバー種類に応じたスキャン設定

その他、マルウェアスキャンの考慮事項
ネットワークドライブのスキャンは？
ネットワークドライブへのスキャンは多重スキャンになるので、必ずOffにする
スキャン開始時間にSCEPクライアントが起動していない場合
次回起動時にさかのぼってスキャンを開始
スキャンの強制終了
スキャン中にシャットダウンするとスキャンジョブは取り消し、または完了とみなしてしまう
スキャンの終了時刻は指定できない
重複スキャンへの対応は？
複数回のスキャンジョブをスタックしておく機能は「おそらく」ない
スキャン実行をSCCM以外で制御したい
%Program Files%¥Microsoft Security Clients¥mpcmdrun.exeで実行可能

マルウェア対策ソフトを強制終了しようとする動きへの対応
SCEPはMsMpEng.exe(サービス名:Microsoft Antimalware
Service)によってリアルタイムスキャン等の動作を行っている
Administratorによるサービス停止・プロセス終了の操作は不可
アンインストールに対する制御機能はない
C:¥Program Files¥Microsoft Security Client¥Setup.exe /x
を実行させない、または監視するように構成
グループポリシーのアプリケーション実行制御で実行させないように構成
コンプライアンス設定(構成項目&構成基準)で監視
ソフトウェアインベントリでソフトウェア構成の変化を確認
構成項目での設定例

アウトブレイク対応
新種のマルウェアが大流行している場合、定義ファイルを今すぐ取得し、
すべてのコンピューターでマルウェアスキャンを今すぐ開始したい

セキュアブート
Windows 7 BIOS
OS Loader
(Malware)
3rd Party Drivers
(Malware)
Anti-Malware
Software Start
Windows Logon
Windows 8 Native UEFI
Windows 8
OS Loader
Anti-Malware
Software Start
3rd Party Drivers Windows Logon
• マルウェアはWindows起動前に起動が可能
• マルウェアは検出される前に自身を隠す動作が可能
• マルウェア対策ソフトが起動する前に感染してしまう
• セキュアブートはブート時にマルウェア対策ソフトを起動可能
• Early Load Anti-Malware (ELAM) ドライバによって実現
• サードパーティのドライバが実行される前にマルウェア対策ソフトを起動し、
ELAM ドライバ経由でマルウェアスキャンを実行

Measured ブート
Windows 8 UEFI
Windows 8
OS Loader
Windows
Kernel &
Drivers
Anti-Malware
Software
3rd Party
Drivers
Remote
Attestation
Windows 7 BIOS
MBR & Boot
Sector
OS Loader
Kernel
Initialization
3rd Party
Drivers
Anti-Malware
Software Start
• 起動中のブートプロセスの改ざんはBitLocker + TPMを
有効にしていたときだけチェックできていた
• TPMに起動コンポーネントを格納し、起動時に前回起動時と
起動コンポーネントが異なるかチェック
• すべての起動コンポーネントが対象

仮想マシンに対するマルウェアスキャン
集約率が高いほど、マルウェアスキャンストームが起きやすい
一般的な解決策
各仮想マシンでスキャンする時刻を分散する
他の仮想マシンでスキャンしたファイルと同じファイルをスキャンしない

4．マルウェア発見時の対応
クライアントの対応
警告レベルに合わせて、あらかじめポリシーで定められた処理を自動的に実行
誤検知時にファイルを削除すると困るので、削除アクションは使わないこと
検疫の場合、既定で30日後に削除される

マルウェア発見時のサーバー側の対応
アラート
あらかじめ用意されたしきい値に達したときに管理者に[アクティブなアラート]
またはメールで通知

レポート
監視/Endpoint Protectionのステータス(レポート概要)から確認

詳細レポート
監視/レポート/Endpoint Protectionから確認

クラウドクリーンストア
Windowsフォルダー内の
システムファイルがマルウェア感染
した場合、新しいバイナリを
自動的にSymbol Storeサイトから
ダウンロードし、感染したファイルと置換
必要に応じて再起動が必要
Microsoft Symbol Store
System file
compromise
detected (RTP
or scan)
Compromised
file replaced
Request new
file
1
2 3
4
Download
replacement
file

MAPS (Microsoft Active Protection Service)
マイクロソフトが提供するサービスで
PCで発見したマルウェアのサンプル
をマイクロソフトへ提供し、その内容に
基づいて新たな定義ファイルを作成する
動作概要
1. ヒューリスティックスキャンの結果、
悪質「と思われる」プロセスを検出
2. MAPSからサンプルを要求
3. MAPSへサンプルを提出
4. サンプルをもとにシグネチャを作成・提供
(定義ファイル取得のタイミングを待たずに
リアルタイムで取得可能)
RESEARCHERS REPUTATION
REAL-TIME
SIGNATURE
DELIVERY
BEHAVIOR
CLASSIFIERS
Microsoft Active
Protection Service
Properties/
Behavior
Real-time
signature
Sample
request
Sample
submit
1 2 3 4

まとめ
確かにSCEP自体、至らない点はある
しかし、運用でカバーできる点、他のテクノロジーと組み合わせて
強固なセキュリティを実装できることも確認できた
(セキュリティの基本は「多層防御」だったではないか！)
使えるか/使えないか?ではなく、どのように使うべきか?を議論したい
実装は評価ガイドでチェック
http://bit.ly/16pOC0g

Microsoft Confidential45
We don’t even have to try,
It’s always a good time.
from “good time” by owl city & carly rae jepsen

System Center 2012, Endpoint Protectionの運用

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (16)

Similar to System Center 2012, Endpoint Protectionの運用

Similar to System Center 2012, Endpoint Protectionの運用 (20)

Recently uploaded

Recently uploaded (7)

System Center 2012, Endpoint Protectionの運用