Kaspersky Endpoint Security 10 para Windows

Presentación del tema: "Kaspersky Endpoint Security 10 para Windows"— Transcripción de la presentación:

1 Kaspersky Endpoint Security 10 para Windows
Guía de implementación

2 Introducción

3 Red corporativa tradicional
Servidores de Red Gateway Escritorios Internet Начнем с краткого обзора основных этапов построения АВ-защиты Прежде всего это анализ объекта защиты, описание того что вы собираетесь защищать. Как правило, это локальная сеть предприятия (ЛВС). Необходимо изучить основные узлы сети (на слайде): рабочие станции, сетевые и почтовые сервера (какое программное и аппаратное обеспечение используется), выделить основные информационные потоки (почта, интернет, локальная сеть, сменные носители). На основе полученных данных строится некая модель защищаемого объекта (представлена на слайде). Servidores de Correo Portable media

4 Vías de intrusion de Malware
Virus Worms de red Trojanos Riskware / adware Advertisements Ataques de Hacker Worms de red Trojanos Ataques de Hacker Virus Worms de Red Trojanos Riskware / adware Servidores de Red Escritorios Gateway Internet Далее на полученную модель накладываются наиболее вероятные вирусные угрозы (почтовые, интернет черви, вирусы, троянцы – см.слайд) и оценивается риск заражения. Как правило пути проникновения вирусов совпадают с основными информационными потоками (почтовый, интернет, локальный сетевой, поток со сменных носители). Отсюда возникает первое требование к проектируемой системе АВ –защиты – каждый информационный поток прежде чем достигнуть конечных узлов должен быть подвергнут антивирусной проверке. Таким образом: Почтовые поток может быть проверен антвирусом на почтовом шлюзе + антивирусом в почтовой системы Интернет – антивирусом для шлюза Локальный сетевой обмен и данные со сменных носителей на сетевом уровне не отфильтровать никак, вдобавок возникают ситуации, когда защищенный периметр, непроходимый физически, может быть преодолен логически: социальные атаки, почтовые приложения в зашифрованных архивах с паролем в теле письма. \ Таким образом появляется второе требование к проектируемой антивирусной защите – все узлы корпоративной сети должны быть защищены локально антивирусным средством. Virus Worms de red Trojanos Spam Phishing Publicidad Portable devices Virus Trojanos Riskware / adware Servidores de Correo

5 Protección del Gateway
Kaspersky Gateway Security Kaspersky Anti-Virus 8.5 para MS ISA / paraefront TMG Kaspersky Anti-Virus 8.0 para MS ISA / TMG Standard Edition Kaspersky Anti-Virus 5.5 para Proxy Server

6 Protección de sistemas de correo electrónico
Kaspersky Security para Mail Servers Kaspersky Security 8.0 para MS Exchange Server Kaspersky Security 8.0`para Linux Mail Servers Kaspersky Security 5.5 para MS Exchange Server 2003 Kaspersky Ant-Virus para Mail Servers Kaspersky Anti-Virus 5.5 para MS Exchangе 2000/2003 Kaspersky Security 6.0 para MS Exchange Server 2007 Kaspersky Anti-Virus 8.0 para Lotus Notes/Domino

7 Protección de servidores y escritorios
Kaspersky Endpoint Security Kaspersky Endpoint Security 10 para Windows Kaspersky Endpoint Security 8.0 para Linux Kaspersky Endpoint Security 8.0 para Mac Kaspersky Security 10 para dispositivos moviles Kaspersky Anti-Virus 8.0 para Windows Servers Enterprise Edition Kaspersky Anti-Virus 8.0 para Linux File Servers Kaspersky Anti-Virus 5.7 para Novell NetWare Management Server Kaspersky Security Center 10 Данный курс посвящен антивирусному комплексу рабочих станций и серверов Windows. Он объединяет в себе следующие продукты: Антивирус Касперского для рабочих станций Windows Антивирус Касперского для серверов Windows Средство централизованного управления Kaspersky Administration Kit Акцент данного курса сосредоточен не на описании составляющих комплекса, а представляет собой краткое руководство по развертыванию и первоначальной настройке антивирусного комплекса. 7

8 Renovación de línea de producto

9 Renovación de Línea de producto
Protección de Escritorios Windows y servidores Kaspersky Endpoint Security 10 para Windows Management Server Kaspersky Security Center 10 Лаборатория Касперского объявляет о выпуске обновленных приложений линейки продуктов Open Space Security для защиты рабочих станций и файловых серверов под управлением Windows, а также новую версию системы администрирования Kaspersky Administration Kit 8.0

10 Servidor de Gestión. ¿Que hay de nuevo?
Kaspersky Security Center 10 Captura y despliegue de imágenes de sistemas operativos  Funcionalidad para disponer de controles para las restricciones de licencias Control del acceso de dispositivos a la red de la organización – NAC Servidor Exchange ActiveSync para dispositivos móviles Servidor iOS MDM para dispositivos móviles Funcionalidad para el envió de mensajes SMS a usuarios móviles. Instalación remota de aplicaciones de forma centralizada para dispositivos móviles Reparación automática de vulnerabilidades de aplicación Soporte a encriptación de datos para Kaspersky Endpoint Security 10 para Windows Publicación de paquetes aislados en un web server integrado con la administración central.

11 Kaspersky Security Center 10
Servidor de Gestión. ¿Que hay de nuevo? Kaspersky Security Center 10 Panel informativo del estado de actualización de los agentes  Gestión centralizada de listas de usuarios Especificación distribuida de las configuraciones de un agente actualizado: instalación de paquete, actualización, o ambos Despliegue de información a cerca del volumen de datos almacenado en la base de datos del servidor de administración y volumen de datos de los eventos almacenados. Funcionalidad para la especificación de una base de datos en blanco para el servidor de administración durante la instalación. Opciones para la gestión de tareas y políticas de Kaspersky Security Center vía consola web Funcionalidad para la exclusión de subdivisiones desde las búsquedas de Active Directory

12 Gestión de dispositivos móviles (MDM)
Apple MDM Server Exchange ActiveSync plug-in

13 Protección de Endpoint ¿Que hay de nuevo?
Kaspersky Endpoint Security 10 Encriptación a nivel de Archivo (FLE)  Encriptación de archivos en discos locales de computadoras Encriptación de archivos en medios de almacenamiento removibles Encriptación de archivos creados o modificados por una aplicacion espesifica Reglas para el acceso a datos encriptados por la aplicación Encriptación de disco (FDE) Encriptación de discos total Encriptación total de dispositivos de almacenamiento removibles. Gestión de los privilegios de usuario para arrancar el sistema operativo en computadoras con discos encriptados Recuperación de dispositivos encriptados.

14 Implementación del Anti-Virus

15 Prerrequisitos

16 Mejoras en la seguridad de redes Microsoft
Uso de Active Directory Gestión Centralizada Mecanismo de grupo de políticas (GPO) Actualizar el sistema Fácil de desplegar un antivirus complejo Deshabilitar la funcionalidad de Autorun para todos los discos Limite en la cantidad de dispositivos externos (Almacenamiento, modems,,.. ) Políticas de contraseñas (largo, complejidad, vida útil, etc.) Limite en cuentas a usuarios Limite en carpetas compartidas ( cantidad, privilegios) Если мы говорим о сетях Windows, то перво-наперво рекомендуется использовать доменную структуру. Это позволяет, прежде всего, получить общую центральную точку управления сетью. Механизм групповых политик, в свою очередь, позволяет унифицировать и повысить безопасность дефолтных настроек Windows. И что самое главное с точки зрения нашего курса, развертывание антивирусного комплекса на доменную структуру значительно проще и менее ресурсоемко по сравнению с плоскими сетями (рабочими группами). Имея в своем распоряжении Active Directory, а точнее групповые политики вы можете перейти к созданию безопасной конфигурации Windows. Что она из себя представляет: Прежде всего отключенный автозапуск на всех носителях. Как вы знаете, по умолчанию данная настройка включена и большинство современных вирусов активно используют данный механизм. Яркий пример – червь Kido. Причем хочу отметить, что блокировка автозапуска до недавнего времени отрабатывалась не полностью: отключался только автозапуск устройства, но при открытии и просмотре устройства файл autorun.inf продолжал обрабатываться. И лишь в феврале 2009 года Microsoft выпустил патч (KB Win XP, 2003 / – Vista, 2008 ) заблокировав данную уязвимость полностью. Так что перед тем как отключить механизм автозапуска убедитесь что данный патч установлен в вашей системе. Следующий момент – политика паролей. Большинство современных вирусов имеют простейшие механизмы брутфорсинга (маленькие словари паролей, простейший перебор). Таким образом аккаунты с простым паролем и тем более пустым быстро захватываются вирусом и он начинает действовать в сети от их имени. В случае локальной учетной записи все не настолько страшно, но будь это доменная уч. запись, а тем более запись доменного администратора –последствия могут быть ужасающими. Опять же возвращаясь к «последнему герою», червю KIDO, подобный функционал был в нем реализован и учетные записи с паролями sex, god, qwerty123 –легко захватывались и использовались для дальнейшего заражения. И только строгая парольная политика может противостоять данному механизму (длина не меньше 8 символов; сложность – специальные символы, цифры, большие буквы; срок действия –менять его раз в два –три месяца; уникальность позволяет паролю не повторяться и наконец установленное минимальное время жизни в 1 месяц и более не позволит пользователю быстро вернуться к старому изученному паролю). Весь этот функционал реализован в групповых политиках в одноименном разделе. Один из самых важных моментов безопасности вашей корпоративной сети – ограничение привилегий пользователей или так называемый «принцип минимума привилегий» предполагает предоставлять пользователям ровно столько прав, сколько им необходимо для выполнения своих служебных обязанностей и не более того. Что это дает? Пользователь с ограниченными привилегиями на компьютере в большинстве случаев просто неинтересен вирусам. Даже инфицировав такой компьютер он не сможет закрепиться в системе: прописать себя в реестр или автозапуск в результате после перезагрузки просто умирает. Еще один важный момент – папки общего доступа. Забытые, полностью открытые, папки общего доступа – серьезная брешь в вашей сети. Часто встречается ситуация, когда Вася скинул Пете фильм и для этого расшарил папку с фильмом, после чего успешно про нее забыл. Открыл он ее, конечно, с дефолтными настройками или даже хуже «всем на все операции», дабы Петя лишний раз не беспокоил. В каждой компании таких Вась оказывается несколько десяткова иногда и сотен, что приводит к огромному количеству папок просто весящих в сети. Вирус помещает в эти папки свой исполняемый код и далее уже ссылается на него, назначая, например, задание или подменяя ссылку. Какой можно сделать вывод? Необходимо сократить и постоянно следить за общими ресурсами сети. Оставлять только те, что действительно необходимы. И далее для них уже ограничивать права доступа пользователям в соответствии с назначением папки. Например, папка для просмотра информации – право только на чтение, для файлового обмена – запись и чтение, и только в крайних случаях активировать право на запуск, без него ни один код из папки не будет запущен. Еще один источник размножения вируса в сети – «забытые виртуальные машины». Кто-то что-то протестировал и забыл машинку в сети. Она ничем не защищена, никто про нее не знает. Машина инфицируется и дальше атакует все остальные узлы сети. В этом случае только одно решение: внимательно следить за тестовыми ресурсами и по возможности выводить их из корпоративной сети. 16

17 Corporate Update System
Productos Microsoft (Windows, Exchange, Office, ISA, MS SQL) WSUS (Microsoft Windows Server Update Services) Kaspersky Security Center 10 Software de otros proveedores Built-in Update tools Utilizando herramientas GPO (semi-automático) Implementación de listas de software autorizado Vista de actualizaciones de parches Descargar actualizaciones de paquetes Despliegue vía GPO (Instalación de Software) Utilizando Kaspersky Security Center 10 Búsqueda regular de vulnerabilidades por Kaspersky Endpoint Security Descarga de actualizaciones de paquetes Despliegue remoto vía Security Center Система обновления. Сложно переоценить ее значение в деле антивирусной защиты. Ни для кого не секрет, что подавляющее большинство успешных вирусных атак использует уязвимости в наиболее распространенных программных продуктах – сейчас в топ листе продукты Microsoft и Adobe. И можно установить самый лучший антивирус, и не один, но пока у вас в сети остаются уязвимости, вы под угрозой. Поэтому организация эффективной системы обновления является приоритетной задачей антивирусной защиты. Как ее организовать: для продуктов Microsoft все просто - WSUS (Microsoft Windows Server Update Services) – бесплатная служба обновлений которая может быть легко развернута в вашей сети. Она позволяет централизованно получать и распространять обновления для все продуктов Microsoft: Windows, Exchange, Office, ISA, MS SQL Для продуктов других вендоров возможно два варианта: либо встроенная система обновления (если есть), например, реализованная в продуктах ЛК, позволяющая автоматически отслеживать и загружать последние обновления программных модулей. Для продуктов, не имеющих такой системы, коих, наверное, большинство, необходимо реализовать искусственную полуавтоматическую систему обновлений. Первое что вам для этого необходимо – список легитимного ПО, то есть четкий список программ, которые используются в вашей компании, все остальные должны быть запрещены к использованию и блокироваться. Далее, имея такой список, вы можете отслеживать уязвимости вашего легитимного ПО, скачивать последние заплатки, обновления. И уже далее распространять полученные обновления можно средствами, все той же групповой политики, раздел Software Install, автоматическая установка на выбранные компьютеры сети.

18 Kaspersky AV- Despliegue complejo

19 Kaspersky AV- Esquema complejo
Network Agent Kaspersky Endpoint Security Servidor Web Consola Web SQL Server Consola de Gestión Servidor de Gestión

20 Plan de acción Examinacion de la red
Instalación el servidor de administración Kaspersky Security Center 10 Creación de red lógica Despliegue de aplicaciones de cliente Network Agent 10 Kaspersky Endpoint Security 10 para Windows Configuración del servidor de administración

21 Examinación de red Que informacion recopila Permisos de acceso
Plataformas de Hardware Sistemas Operativos Políticas de seguridad Permisos de acceso Topología de red Workgroup Active Directory Firewall Local Red Herramientas de despliegue (Microsoft System Center, Tivoli, …)

22 Instalación de Kaspersky Security Center

23 Pasos para la instalación del Security Center
Servidor de Administración Consola de gestión Consola de gestión web

24 Requerimientos para la instalación del Security Center
SQL server instalado Cumple con los requisitos de sistema Cuenta con los privilegios adecuados Administrador local (workgroup) Administrador de dominio (active directory) Sin agentes de Kaspersky instalado

25 Tipos de SQL Soportados
Microsoft SQL Server Standard/Enterprise/Express(freeware ) Edition Microsoft SQL Server 2008 (x32/x64) Standard/Enterprise/Express(freeware) Edition Microsoft SQL Server 2008 R2 (x32/x64) Standard/Enterprise/Express(freeware) Edition Microsoft SQL Server 2012 (x32/x64) Standard/Enterprise/Express(freeware) Edition MySQL Enterprise Server ,

26 SQL Server. Enterprise o edición gratuita?
MS SQL 2005/2008 Express Edition Tamaño máximo de base de datos: 4 GB Limitaciones de Hardware : 1CPU, 1 GB RAM MS SQL 2008R2/2012 Express Edition Tamaño máximo de base de datos : 10 GB Debido a las limitaciones no se recomienda la utilización del SQL Express para implementaciones de mas de 1000 clientes

27 Security Center: Requerimientos de software
Sistemas Operativos Microsoft Windows XP Professional SP2+ * Microsoft Windows Server 2003 * Microsoft Windows Vista (SP1+) * Microsoft Windows Server 2008 (SP1+) * / R2 (Core) Microsoft Windows Server 2012 Microsoft Windows 7 * Microsoft Windows 8 * * 32/64 bits Software adicional Microsoft.NET Framework 2.0 SP1* Microsoft Data Access Components (MDAC) 2.8* or higher Windows DAC 6.0* Microsoft Internet Explorer 8.0 or higher Windows Installer 4.5 para Windows Server 2008/ Windows Vista *Software instalado automáticamente

28 Tipo de Sistema Operativo: Cliente o Servidor?
Microsoft Windows XP / Vista / 7 / 8 Limitaciones en la conexión Win XP: 10 Win 7, 8: 20 Sistema Operativo de Cliente: Diseñado para usabilidad pero no con el propósito de obtener el mejor desempeño. Microsoft Windows Server 2003 / 2008 / R2 / 2012 Diseñado para funciones de servicio (Alto rendimiento, disponibilidad y fiabilidad) El numero de procesos redundantes y módulos es mínima.

29 Security Center: Requerimientos de Hardware
Mínimo Intel Pentium 1.4 GHz processor 4 GB of RAM 10 GB of free hard drive space Sufficient para 1000 computadoras Intel Pentium 2.8 GHz processor +1 GB of extra RAM *Ver guía de instalación para mayor detalle

30 Pasos para la instalación del Security Center
Servidor de Administración Consola de gestión Consola de gestión web 30

31 Consola de Gestión: Requerimientos de Software
Sistemas Operativos MS Windows XP Professional (SP 2+) * MS Windows Server 2003 (SP 1+) * Microsoft Windows Vista (SP1+) * Microsoft Windows Server 2008 (SP1+) * / R2 (Core)/ 2012 Microsoft Windows 7 * Microsoft Windows 8 * * 32/64 bis Software Adicional Microsoft.NET Framework 2.0 SP1* Microsoft Management Console 2.0 o superior Microsoft Internet Explorer 8.0 o superior Windows Installer 4.5 para Windows Server 2008/ Windows Vista *Software instalado automaticamente

32 Consola de gestión: Requerimientos de Hardware
Mínimo Intel Pentium 1.4 GHz processor 512 MB de RAM libre 1 GB de espacio libre en disco.

33 Pasos para la instalación del Security Center
Servidor de Administración Consola de gestión Consola de gestión web 33

34 Consola Web: Requerimientos de software
Servidor Web server Apache o superior, 32 bit (Windows) Apache o superior, 32/64 bit (Linux) Cliente Sistema Operativo Cualquier OS que soporte los siguientes navegadores. Web browser Microsoft Internet Explorer 7 o superior Mozilla Firefox 16 o superior Apple Safari 4 o superior

35 Demo: Instalación de Security Center

36 Ventana Inicial

37 Ventana Inicial Agregar Licencia Acuerdo KSN Scan de red
Configuración de notificaciones Scan de vulnerabilidades y resolución Configuración inicial de Kaspersky Endpoint Security Políticas de grupo Tareas de grupo Tareas Kaspersky Security Configuración del servidor Proxy

38 Demo: Ventana inicial

39 Kaspersky Security Center Implementación de red lógica

40 Implementación de red lógica
Creación de grupos de administración Asistente de estructura de grupos Manual Asignación de computadoras Automática

41 Demo: Implementación de red lógica

42 Instalación remota del Anti-Virus

43 KES 10: Requerimientos de Hardware
Windows 7/ 8 /Vista / 2003/ 2008/ 2008R2/ 2012 Processor Intel Pentium 2.0 GHz or equivalent 1024 MB de memoria disponible 1GB de espacio en disco disponible Windows XP 512 MB de memoria disponible

44 Pasos para el despliegue de aplicaciones
Creacion de instalacion de paquetes Instalación remota de agentes de red Chequeo de compatibilidad Reporte de aplicaciones incompatibles Detección de aplicaciones desinstaladas Remoto desde Security Center (recomendado) Automático por el paquete de instalación Instalación remota de Kaspersky Anti-Virus Instalación de modulo de encriptación Distribución de licencia

45 Métodos de instalación remota
Métodos de envió de la instalación Utilizando herramientas de Windows (Basadas en RPC) Utilizando agentes de red Métodos de instalación adicionales (Dilatados) Métodos basados en Active-directory Instalación utilizando políticas del Active Directory Utilizando la ayuda de los usuarios Utilizando paquetes de instalación

46 Instalación utilizando Windows (RPC)
Los archivos de instalación son copiados a la carpeta compartida Admin$ (\\target\admin$) La instalación es invocada vía RPC El éxito en la instalación depende de varios factores. Este método esta totalmente automatizado en Kaspersky Security Center

47 Requerimientos de instalación RPC
Windows NT como OS (excepto para Home Editions) Disponibilidad de red Física Validar LAN Lógica Firewall (Windows) Apagarlos Permitir compartir archivos (TCP 139, 445, UDP 137, 138) Acceso a la carpeta Admin$ Servicio para compartir archivos activo (Servidor) Privilegios de administrador local Acceso a invitados deshabilitado (Problema en grupos de trabajo) “Simple file sharing” disabilitado Políticas de seguridad locales (secpol.msc) Acceso de red: Sharing and security model para local accounts (Classic) Contraseñas en blanco Cuentas: Limitar cuentas locales a utilizar contraseñas en blanco a la consola de logon solamente (Deshabilitado) Windows Vista, 7, 8, 2008/R2, 2012 Control de cuentas de usuario (UAC) deshabilitado o cuenta de administrador es utilizada (workgroups) Permitir el compartir impresoras y archivos para el perfil de red. (work\home, public, domain) Privilegios administrativos para la instalación

48 Demo: Instalación remota del Anti-Virus

49 Configurando el Security Center

50 Configurando el servidor de Administración
Políticas Kaspersky Endpoint Security Encriptación total del disco Controles de inicio de aplicación Control Web Agente de red Tareas Actualizacion Kaspersky Security Center Scan total para Kaspersky Endpoint Security Copia de respaldo Kaspersky Security Center

51 Demo: Configuración del Security Center

52 MUCHAS GRACIAS