Feeds:
Entradas
Comentarios

Posts Tagged ‘System Center Endpoint Protection’

¿Qué tal, cómo están?

Les comparto que hace unos días se liberó el curso que genere para Microsoft Virtual Academy (MVA), sobre la solución de System Center Endpoint Protection (SCEP), los invito a que lo tomen y a que me den su feedback.

System Center 2012: Introducción a EndPoint Protection

En esta carrera podrán revisar los diferentes módulos los cuales nos ayudaran a conocer las principales características técnicas y como implementarlas de System Center Endpoint Protection y cómo hacer la implementación junto con System Center Configuration Manager. Revisaremos también las diferentes herramientas que se involucran en un proyecto de Implementación, Administración, Distribución a los clientes, y la Migración de versiones anteriores o de otras soluciones de antivirus.

http://www.microsoftvirtualacademy.com/training-courses/system-center-2012-introduccion-a-endpoint-protection

Espero lo tomen, lo acrediten y les sea de utilidad.

thcao6nuvt_thumb

Anuncios

Read Full Post »

Bueno pues después de instalar y configurar, me encontré con algunos errores en ciertos momentos de la configuración por lo que les comparto aquí algunas opciones para hacer Troubleshooting durante la instalación y la configuración de SCEP.

  • Cuando detecten que el cliente de SCCM, no se llega a instalar en sus equipos después de que hacen la Distribución (Deploy) les recomiendo buscar dentro del log llamado ccm.log que lo encuentran en la ruta de la instalación de SCCM \…\Microsoft Configuration Manager\Logs.
  • Problema al instalar System Center Configuration Manager 2012 cuando nos indica que la computadora donde esta el SQL no tiene privilegios, tendremos que darle permisos a la computadora en donde se instalara el SCCM en el SQL.

 

Instalacion  instalacion2instalacion3

 

  • Problemas al actualizar definiciones, en caso de que tengamos problemas con las actualizaciones, podemos realizar la búsqueda de forma manual, desde el cliente de System Center Endpoint Protecion al mismo tiempo que revisamos el log de actualizaciones que se encuentra en C:\ProgramData\Microsoft\Microsoft Antimalware\Support y se llamada MPLog-<fecha>-<hora>.log, ahí podrán encontrar información de las actualizaciones y el porque no se han realizado, cabe mencionar que la carpeta esta oculta y tendrán que hacer el procedimiento para poder visualizarla. O bien podrían descargar las actualizaciones manuales en un caso muy extremo y hacer la instalación de forma manual haciendo la descarga desde aquí.

Espero que estos les sean de utilidad en cuanto encuentre otras formas de hacer Troubleshooting las añadiré.

Read Full Post »

Bien una vez que tenemos instalado el rol de System Center Endpoint Protection (SCEP), lo que haremos será distribuir el cliente y las políticas para que se puedan instalar en los equipos, para esto tendremos que realizar lo siguiente.

  • Lo primero que tendremos que realizar es la distribución del cliente de SCCM, para esto nos vamos a la pestaña de Administración (Administration) y dentro de Resumen (Overview) seleccionamos la opción Configuración de Sitio (Site Configuration) y posteriormente seleccionamos Sitios (Sites).

1

  • En el Ribbon seleccionamos la opción de Configuración de la instalación de cliente (Client Installation Settings) y seleccionamos Instalación Remota de cliente (Client Push Installation).

2

    • En la pestaña de General activamos las casillas para habilitar la instalación remota y para instalar el cliente en Server y Workstations.

3   

    • En la pestaña de Cuentas (Accounts) le damos clic al botón para agregar la cuenta con la que se instalara el cliente en los equipos, esta cuenta debe de tener permisos de administrador por lo menos para poder hacer las instalaciones.

4

Con esto hemos realizado la configuración para poder hacer la implementación del cliente, pero ahora tendremos que especificarle al cliente las políticas de lo que configurara y administrara así como hacer la distribución de estas, para esto realizaremos lo siguiente.

  • En la pestaña de Administración (Administración) debajo de Resumen (Overview) y de Configuración de Sitios (Site Configuration) seleccionaremos Configuraciones de Cliente (Client Settings).

1

  • En el Ribbon seleccionaremos la opción Crear Configuraciones Personalizadas para el Cliente (Create Custom Client Device Settings).

2

  • En la ventana del Asistente (Wizard) de la configuración en General le pondremos un nombre para identificarla y seleccionamos la opción de Endpoint Protection en el listado.

3   4

  • De lado derecho seleccionamos Endpoint Protection y configuramos las opciones para el dispositivo y presionamos el botón de OK, una vez cerrada la venta damos clic sobre la Configuración realizada anteriormente y le damos botón derecho y seleccionamos la opción de Distribuir (Deploy) y seleccionamos la Colección (Collection) en donde queremos distribuir el cliente.

5   6

 

Con esto ya habremos hecho la distribución del cliente de SCCM y de SCEP a los equipos. Posteriormente tendríamos que realizar la configuración de las Políticas de SCEP para la operación de la solución, para realizar esto tendremos que hacer lo siguiente

  • En la pestaña de Activos y Cumplimientos (Assets and Compliance), dentro de Resumen (Overview), seleccionamos la opción de Endpoint Protection y debajo de esta Políticas de Antimalware (Antimalware Policies).

1

  • En el Ribbon seleccionamos Crear Política Antimalware (Create Antimalware Policy).
  • En la pestaña de General, le asignamos un nombre y posteriormente tendremos que hacer las configuraciones para Escaneos Programados (Scheduled scans), Opciones de Escaneo (Scan settings), Acciones por default (Default actions), Protección en tiempo real (Real-time protection), Opciones de Exclusión (Exclussion settings), Avanzadas (Advanced), Anulaciones de Amenazas (Threat overrides), MAPS y Actualización de Definiciones (Definition updates).

2   34   56   78   910

  • Una vez realizado esto damos clic en el botón de OK, y posteriormente seleccionamos la política que acabamos de generar y le damos clic con el botón derecho y seleccionamos Distribuir (Deploy) y la distribuimos a la Colección (Collection) que requerimos, cabe mencionar que podemos generar varias políticas y distribuirlas dependiendo de las colecciones que tenemos para una mejor administración

11

Una vez realizado esto hemos distribuido el cliente de SCCM, SCEP y políticas de administración, para verificar esto podemos seleccionar debajo de Resumen  (Overview) la opción de Dispositivos (Devices) y seleccionamos uno y en el Detalle (Summary) nos debe de aparecer la información de Endpoint Protection.

12

 

Espero que les sea de utilidad.

Read Full Post »

El reporteo adicional a las configuraciones de políticas, actualizaciones de definiciones, es otra parte vital para poder tener nuestro ambiente libre de virus.7

El reporteo es otra tarea importante, ya que gracias a él podemos identificar amenazas, vulnerabilidades comunes, lo cual nos permitirá ser proactivos como administradores de la solución de antivirus.

En SCEP tenemos la posibilidad de poder construir reportes con SCCM 2012 y Microsoft SQL Report Builder 3.0.

Al momento de activar SCEP podemos encontrar seis reportes para SCEP que pueden ser clasificados en dos categorías: Reportes Centrados en el Usuario y Reportes Centrados en Sistema.

Reportes Centrados en el Sistema.

Una de las mejoras que encontramos en SCEP, es la consolidación de las Bases de Datos, a diferencia de Forefront Endpoint Protection (FEP), que guardaba los datos en dos bases de datos diferentes, una para SCCM y otra para FEP, SCEP comparte la misma base de datos con SCCM.

Esto nos ayuda ya que no tendremos que esperar un periodo de tiempo a que los datos sean movidos de una base de datos a otra antes de que los eventos de malware se vieran reflejados en un reporte. En FEP el tiempo aproximado para que los eventos de malware se vieran reflejados en un reporte podía tomar hasta 45 minutos, mientras que en SCEP un reporte de este tipo puede ser reflejado casi al instante, una vez que el mensaje es recibido por el Servidor de SCCM, cabe mencionar, que esto depende de la configuración que tengamos en la comunicación con el cliente, por default son cinco minutos.

Entre los reportes que podemos encontrar están que nos permitan obtener detalles de un grupo de computadoras o de una sola computadora como por ejemplo:

  • Detalle del malware por computadora.
  • Reporte de actividades contra malware.
  • Computadoras infectadas.

Estos reportes pueden ser accedidos desde la consola de SCCM y/o un web browser y nos dan una muestra de detalles relevantes como la versión del engine y la versión de las definiciones de actualizaciones, así como un histórico de todos los eventos de tipo malware, adicionalmente estos reportes pueden ser exportados a varios formatos para poder compartirlos con otras áreas de trabajo de forma informativa.

Reportes Centrados en el Usuario.

Este segundo grupo de reportes tiene como foco solo el usuario, como sabemos en SCCM 2012 también podemos visualizar el tema de los usuarios, ya que los usuarios, son una pieza importante ya que ellos, son los que realmente ponen a prueba las aplicaciones de seguridad, al momento de realizar la descarga de aplicaciones o documentos de sitios web, o al encontrarse navegando dentro de estos sitios.

Afortunadamente el motor de SCEP es tan poderoso que puede llegar a realizar el bloqueo y establecer la seguridad en estos campos, ya que SCEP recolecta los datos que se hayan presentado de cualquier malware así como la información del usuario que se encontraba firmado en ese equipo.

thcao6nuvt_thumb

Read Full Post »

Una vez que esta implementado SCEP, tendremos ahora que realizar el trabajo del día con día, que es, la parte de la administración, ahora tendremos que saber cuáles son los procedimientos para realizar estas tareas de una mejor forma.

Aquí podremos las herramientas que están dentro de la consola de SCCM y que nos ayudan a tener una mejor administración de nuestro SCEP.

Actualizaciones.

Para poder revisar este tema de las actualizaciones debemos activar el rol de Software Update Point de nuestro SCCM CAS, es el primer paso para evitar que nuestros clientes de SCEP sufran de una infección.

Software Update Point, ¿Cómo funciona?, el componente de Software Updates utiliza Windows Server Update Services (WSUS) el cual es un prerrequisito para la instalación de SCCM, para sincronizar las actualizaciones con el servicio de Microsoft Updates a través de internet.

Los beneficios de utilizar este rol, son que:

· Centralizamos las descargas de actualizaciones, ya que solo SCCM ira a buscar las actualizaciones de los productos seleccionados y las distribuirá a los equipos, mejorando el uso de banda ancha.

· Existe un catálogo de productos Microsoft del cual podemos hacer la sección para hacer la descarga de forma centralizada.

· Existe un catálogo de clasificaciones para realizar las descargas de los paquetes por ejemplo solo descargar actualizaciones críticas, sin importar el producto de esta actualización.

· Las actualizaciones se pueden aprobar automáticamente para realizar la instalación de forma automatizada.

Tareas Operacionales.

Las tareas operaciones en un tema de una solución de antivirus, generalmente se refieren a las acciones o tareas que no tenemos programadas pero que nos ayudan a realizar algún proceso en respuesta de una detección de malware o de una epidemia de malware, entre estas tareas podemos encontrar, escaneos completos o rápidos no programados, forzar una descarga de actualizaciones hacia un equipo en especio o varios equipos.

Este es uno de los componentes de SCEP y se debe a la integración que hay entre SCEP y SCCM 2012, ya que estas tareas las podemos encontrar en el menú secundario (botón derecho) de los equipos que se encuentran dentro de las collections.

Reportes.

Estos reportes nos ayudar a verificar que los comandos o tareas realizadas por los clientes de SCEP se hayan completado con éxito.

Adicional podremos encontrar reportes para verificar que la implementación de las actualizaciones se ha realizado sin inconvenientes.

La simplificación de los reportes nos permite observar desde un solo reporte como el de Computer Malware Details, el estatus de un cliente.

SCEP Dashboard.

Un buen diseño de un Dashboard nos permitirá observar datos dentro de una locación muy simple, y nos puede dar la posibilidad de obtener detalles desde una vista muy sencilla para tomar acciones de forma más rápida.

SCEP cuenta con dos Dashboards, uno integrado a la consola de SCCM y el otro es accesible desde SQL Reporting Services (visible desde un web browser); el primer Dashboard es el más utilizado ya que permite realizar acciones sobre la información que contiene ej. Acciones de remediación.

Comando Remoto MpCmdRun.

Posiblemente existan ocasiones en las que por un ataque de virus en la red, no podamos entrar a la consola de administración de SCCM y tengamos que realizar tareas de remediación sin ingresar a ella, sería un momento crítico para el administrador, tener que realizar una tarea y no poder ingresar a la consola.

Afortunadamente SCEP cuenta con un proceso llamado MpCmdRun para poder ejecutar tareas remotas como escaneos, forzar una actualización y la podemos integrar a una solución gratuita de Microsoft llamada PsExec para completar la administración de SCEP sin la consola de SCCM.

MpCmdRun.exe es un ejecutable que podemos encontrar en cualquier maquina o servidor que tenga instalado el cliente de SCEP.

Para verificar los comandos que podemos ejecutar con MpCmdRun.exe podemos utilizar este comando MpCmdRun.exe, el cual nos permitirá conocer todas las opciones disponibles para este comando.

thcao6nuvt_thumb

Read Full Post »

Gracias a la integración con System Center Configuration Manager 2012 (SCCM), al momento que realizamos la instalación de System Center Endpoint Protection (SCEP), podemos realizar y utilizar las herramientas y configuraciones que tenemos en la consola de SCCM.

Cuando la activación del rol de System Center Endpoint Protection (SCEP) está finalizada, podremos observar los siguientes componentes en la consola de SCCM.

En la pestaña de Assets and Compliance, si seleccionamos un dispositivo podemos realizar ciertas tareas y encontrar información como:

Detalles (Sumary): En esta pestaña adicional a que podemos encontrar información del dispositivo seleccionado, encontraremos información sobre Endpoint Protection Deployment Information y Endpoint Protection Remediation Information, donde podremos observar detalles como la versión del cliente de SCEP instalado y si las acciones que están pendientes por realizar en el equipo para una remediación, respectivamente.

Detalles de Malware (Malware Detail): Donde los usuarios podrán verificar si el equipo seleccionado tiene alguna amenaza de seguridad.

Políticas Antimalware (Antimalware Policies): En esta pestaña podremos observar las políticas que están aplicando al dispositivo.

1  2

Ahora bien en la pestaña de Inicio (Home), podemos encontrar tareas que podemos realizar sobre el dispositivo seleccionado, de la misma forma obtenemos estas acciones si damos clic derecho sobre el dispositivo seleccionado.

3

En la misma pestaña de Assets and Compliance, podremos encontrar una carpeta que se llama Endpoint Protection, en esta, es donde vamos a poder configurar las políticas de Endpoint Protection y de Windows Firewall.

4

En la pestaña de Monitoreo (Monitoring), podremos encontrar Endpoint Protection Status, aquí podremos obtener información de cómo se encuentra el estado de seguridad en cuanto a la protección de SCEP.

Utilizando el apartado de System Center 2012 Endpoint Protection Status, podremos observar el detalle de cómo esta nuestro sistema y podemos hacer el filtrado por Collection.

En Malware Detectado (Malware Detected) podemos ver el detalle de las amenazas que se fueron detectando, así como un Dashboard donde podremos encontrar información de SCEP.

5   6

Read Full Post »

En ocasiones hemos visto que algunas soluciones de antivirus, tienen una interfaz para el usuario algo compleja, y pudiera ser que ni el administrador de la red le entienda a esta.

Dependiendo de las políticas de configuración que tenga SCEP, nosotros como administrador podemos definir si queremos que el usuario tenga interacción con la solución o en caso contrario que no tenga interacción con ella.

Pero mientras lo decidimos conozcamos esta interfaz de usuario que es muy simple, de hecho, si el usuario cuenta con Microsoft Security Essentials (MSE) o Windows Defender (para Windows 8), instalado en la computadora de su casa, se sentirá más identificado con la consola, ya que las consolas son muy parecidas tanto de Windows Defender (para Windows 8), Microsoft Security Essentials (MSE) y System Center Endpoint Protection (SCEP).

Empecemos por el icono de la barra de tareas:

Este icono se mostrara en forma de un escudo blanco con un fondo que puede variar dependiendo de tres aspectos:

  • Verde: si el sistema se encuentra en correcto estado, es decir, sin virus, con las últimas actualizaciones del antivirus y con el trabajo de escaneo realizado.
  • Amarillo: si el sistema se encuentra con amenazas como alertas, archivos en cuarentena o no se han realizado los trabajos de escaneo programados.
  • Rojo: si el sistema se encuentra infectado o bien no se tienen las actualizaciones de definiciones al día.

1

Ahora bien naveguemos dentro de la aplicación, al momento que la abrimos lo que encontraremos es una pantalla en donde habrá cuatro pestañas llamadas Inicio (Home), Actualizaciones (Update), Historial (History) y Configuración (Settings).

Inicio (Home).

En esta pestaña podemos ver el detalle de cómo se encuentra nuestro equipo, nos dirá si el equipo está protegido, si cuenta con la protección en tiempo real activada y si esta actualizado.

Del lado derecho podemos encontrar las opciones de escaneo para realizar un trabajo bajo demanda y podemos selección la opción de escaneo rápido, completo o personalizado en caso de querer escanear una sola unidad o carpeta de nuestro equipo, y en la parte inferior encontraremos la información de cuándo fue la última vez que se realizó el trabajo de escaneo del equipo.

2

Actualizaciones (Update).

En la parte central podemos encontrar las fechas de creación y actualización de las firmas de definiciones, esto con el fin de poder identificar si ha salido alguna actualización importante durante el lapso del día, por alguna amenaza mundial existente. También podemos encontrar la versión de las definiciones de Virus y de Spyware que se encuentran instaladas dentro del equipo, así como, un botón para realizar la actualización de las definiciones bajo demanda.

3

Histórico (History).

Aquí podremos observar tres filtros para identificar los archivos o amenazas que por las políticas de definición o por la decisión del usuario se hayan enviado a la cuarentena un sitio en donde se quedan almacenados estos de forma segura, para no infectar el sistema, mientras se libera alguna actualización de definiciones que ayude a eliminarla o bien el usuario decida eliminarla por cuenta propia.

También podremos identificar los archivos que se detectaron como posible amenaza y se les permitió la ejecución y por último el filtro que nos permite ver todos los archivos detectados, tanto aquellos que se mandaron a cuarentena o aquellos a los que se les permitió la ejecución dentro del sistema.

De igual forma podemos tomar acciones dentro de esta pestaña como eliminar todos los archivos ahí enlistados, eliminar solo uno de los ahí listados o bien restaurar el archivo seleccionado en caso de que se haya tratado de algún falso positivo.

4

Configuraciones (Settings).

En esta opción podremos encontrar varias configuraciones que podremos realizar como:

  • La programación de trabajos de escaneo, aquí podremos seleccionar la frecuencia con que se estará escaneando nuestro sistema, así como las opciones de cuanto porcentaje del procesador ocupara la solución al momento de escanear nuestro equipo, o bien que el trabajo de escaneo solo inicie cuando la computadora este prendida pero no en uso, con lo que nos ayudara a evitar que la computadora se llegue a alentar mientras realiza los procedimientos de escaneo.

5

  • Acciones por default, en esta sección podremos seleccionar las acciones que realizara SCEP al momento de detectar alguna amenaza dependiendo siempre del nivel de esta, por default las acciones que toma dependen de la acción que viene definida dentro de las definiciones de actualizaciones. Pero podemos determinar si la acción a realizar será eliminar la amenaza, permitirla o enviarla a cuarentena.

6

  • Protección en tiempo real: como toda solución de antivirus debemos de tener la protección en tiempo real encendida ya que es la que está verificando constantemente que es lo que está pasando en nuestro sistema y si llega a detectar algún archivo que este teniendo algún comportamiento raro poder notificarlo y dependiendo del nivel de amenaza tomar alguna acción pertinente. También podemos seleccionar si escaneamos los archivos que descargamos de internet y que vienen adjuntos en el correo y habilitar opciones como Inspección del sistema de Red esto por si algún equipo que este dentro de nuestra red quiere enviarnos la infección, con esta opción la podemos bloquear.

7

Exclusiones: podemos realizar tres tipos de exclusiones, por:

  • Tipo de archivos que es cuando no queremos que SCEP escanee los archivos con extensiones especificas por ejemplo un .ZIP.

8

  • Por archivos y locaciones, cuando tenemos una carpeta que no queremos que escanee por que puede ser muy delicada o algún nombre especifico de un archivo.

9

  • Exclusión de procesos, esto es muy útil cuando tenemos SCEP en un servidor de aplicaciones por ejemplo un SQL y no queremos que realice escaneo de todo lo que esté utilizando SQL para funcionar, pero como sabemos SQL ocupa muchos archivos de diferentes tipos y tendríamos que estar investigando cuales son estos, para hacerlo de una forma mucho más sencilla podemos utilizar este nivel de exclusión en lo que lo único que tenemos que hacer es decirle que tenemos que excluir el proceso de SQL y SCEP se encargara de no escanear los archivos que SQL utilice para estar en ejecución.

10

Avanzadas: aquí podemos realizar una configuración más avanzada de nuestra solución por ejemplo decirle que escanee dispositivos removibles (USB), que escanee archivos compresos, la creación de puntos de restauración y si permitiremos que los usuarios puedan ver la lista de los Históricos, así como, definir por cuantos estarán estos en la lista.

11

Microsoft Active Protection Service (MAPS) lo que anteriormente se llamaba SpyNet, que es el servicio con el cual nosotros reportamos automáticamente todo el malware o software de amenaza potencial que se encontró dentro de nuestro equipo a los laboratorios de Seguridad de Microsoft, con lo cual MAPS nos podrá ayudar a una mejor protección de nuestros equipos.

Podemos seleccionar entre el reporteo Básico o Avanzado, la diferencia es que en el avanzado se reporta un poco más de información para ayudar a los laboratorios de Microsoft a crear las nuevas definiciones de una mejor forma y así proteger nuestros equipos.

12

Por último la opción de Ayuda, esta nos permite ver información referente al producto, donde podemos ver la versión del producto y de las definiciones, o bien, hacer un envío de un archivo que nosotros sentimos es un virus, a los laboratorios de Microsoft para su evaluación, cuando nosotros realizamos esto y el archivo, en efecto, contenía un virus que aún no se encontraba en las definiciones, Microsoft nos manda en respuesta y en agradecimiento la actualización de las definiciones que nos ayudaran a eliminar este virus.

13

Como pueden ver la consola es muy amigable para el usuario, cabe mencionar que, si el administrador realizo políticas de configuración el usuario final no podrá modificarlas.

Read Full Post »

Older Posts »