Introdução ao System Center Endpoint Protection


A Microsoft adquiriu a alguns anos a Antigen, uma fabricante de antivírus que possuía uma proposta inovadora: trabalhar com diversos engines de antivírus com algoritmos capazes de escolher o melhor engine para cada ação. Foram lançados diversos produtos baseados no Antigen com o nome de Forefront para Exchange, SharePoint e Client Security.

O Forefront Client Security permitia integração com o SCCM 2007 com a instalação do Forefront Management Console, mas era um produto com administração em separado e que utilizada a estrutura do SCCM 2007 apenas para distribuição de pacotes, relatórios e acesso aos consoles.

No SCCM 2012 o produto passa a se chamar Endpoint Protection e é uma feature do SCCM, sendo administrado, distribuído e monitorado diretamente pelo console do SCCM.

Na seção de links no final do artigo é possível ver mais detalhes do produto.


Licenciamento

É importante salientar que apesar de estar dentro do SCCM 2012 e integrado ao cliente, a licença do Endpoint faz parte de um tipo de licença diferenciada chamada de Endpoint Protection Subscription como pode ser visto abaixo no quadro de licenças abaixo:



Configuração do Endpoint Protection

 

Instalação do Agente

A configuração do Endpoint é muito simples, sendo realizada pelas configurações do agente:



Nas configurações do agente é possível habilitar o produto, instalar automaticamente, remover versões anteriores, suprimir reinicio do computador caso já existe um cliente anterior ou o tempo máximo antes de reiniciar se necessário e, por fim, habilitar ou não o update de definições pelo Windows Update inicialmente, o que é útil para evitar que o agente do Endpoint se atualize pelo Windows Update fora dos padrões definidos pelo SCCM.


Assim que habilitado, o cliente do SCCM passa imediatamente a agendar as instalações, o que ele faz de maneira progressiva conforme os clientes recebem as novas configurações, por padrão 90 minutos:



Ao clicar no ícone é possível ver a interface do Endpoint que é a mesma do Windows Defender e do Security Essentials (gratuito para usuários domésticos):



Nas configurações pode ser notado que o administrador (SCCM) bloqueou alterações pelo usuário:


A instalação também pode ser manual, utilizando o agente citado no tópico de configuração da role a frente neste artigo.


Configuração do Agente Endpoint

A configuração do agente é realizada no menu Asset and Compliance em duas partes: Antimalware e Firewall.

A primeira parte das configurações envolve o tipo de proteção desejada, agendamento das varreduras completas e sua abrangência, o comportamento caso seja encontrado algum problema e outras, como pode ser visto abaixo:


  • Schedule scans – Agendamento de varreduras completas com as opções de limitar o uso de CPU e outros detalhes
  • Scan aettings – Define como será realizado o Scan e que locais serão escaneados
  • Default actions – Comportamento quando encontra um problema, reportando ou deletando
  • Real-time protection – Configurações da proteção em tempo real, ou seja, permanente em memória nos processos e programas
  • Exclusion settings – Diretórios e programas que não serão escaneados, útil em caso de servidores para não fazer scan nos processos, como por exemplo, o Hyper-V
  • Definition updatesDefinição de como será a atualização e a frequência


Note é possível ter várias politicas de proteção, que são vinculadas as cole��ões. Portanto, uma filial ou grupo de máquinas pode ter uma configuração de segurança diferente de outra filial ou maquinas.


A seguir é possível definir o comportamento do firewall do Windows pelo Endpoint, como mostra o exemplo abaixo:


A configuração que o Endpoint faz do firewall é muito similar ao que também pode ser realizada pelas GPOs do Active Directory, onde apenas habilitamos e configuramos o firewall para os perfis que o Windows possui e o comportamento em caso de bloqueio.


Diferente de uma GPO do Active Directory, não é possível configurar portas ou serviços no Endpoint. Mesmo assim é útil já que o SCCM 2012 pode gerenciar maquinas fora de um domínio enquanto uma GPO é limitada ao serviço de diretório e deixando de fora estações pessoais ou colocadas em uma DMZ.

 

Atualização das Definições de Segurança


As atualizações são integradas ao Software Updates (WSUS) trazendo como Definitions, como pode ser visto abaixo:


Portanto, quem utiliza o Endpoint Protection deve configurar o download de <<Definições>> e criar uma regra de Automatic Deployment para fazer a atualização dos agentes, definindo o updates e as opções de atualização.


Nas configurações do Software Update Point deve ser habilitado o Definition Updates:



Apesar de não obrigatório, é recomendado criar uma Automatic Deployment Rule para não ser necessário autorizar as definições para serem distribuídas, já que são diárias e em alguns casos mais de uma por dia:



Monitoração


A monitoração do Endpoint é integrada ao console do SCCM com relatórios ricos indicando problemas encontrados, tipo de alertas, gravidade de computadores, etc.

Porem o console possui um dashboard muito bom que resume todo o ambiente com um gráfico inteligente e com links para acesso aos relatórios, como mostrado abaixo:



Configuração da Role no Servidor


A única configuração possível na role do servidor é indicar se a empresa quer reportar os problemas de segurança para a Microsoft aprimorar o produto. Lembrando que estas configurações são anônimas e não representam problemas de confidencialidade:


No servidor que distribui os agentes, o Management Point, é possível encontrar o agente com o nome de scepinstall.exe que é o instalador do System Center Endpoint Protection.

 

Conclusão e Referências


Neste artigo abordamos como o System Center Configuration Manager agora é capaz de cuidar da segurança do ambiente, protegendo contra vírus e worms de forma eficiente e centralizada.


Referencias:

SCCM 2012 Introduction to Endpoint Protection in Configuration Manager
http://technet.microsoft.com/en-us/library/hh508781.aspx

MVA de SCCM 2012 em português: http://www.microsoftvirtualacademy.com/tracks/introducao-ao-system-center-configuration-manager-2012