한 울타리 안의 친구들~

 
1 FCS 아키텍쳐


1. FCS 중앙관리 콘솔에서 FCS Agent 정책을 OU 또는그룹별로 배포를 합니다.
 

FCS 에서 배포한 정책은 AD의 그룹정책 중 컴퓨터 정책으로 생성이 됩니다. AD는 각 해당 컴퓨터에 정책을 배포 합니다.
 

2. 각 클라이언트는 컴퓨터를 검사하기전 또는 주기적으로 FCS Agent의 엔진 업데이트를 검사합니다. 이 때 사내의 WSUS나 윈도우 업데이트 사이트를 찾습니다.

3. 클라이언트는 주기적으로 컴퓨터의 보안 상태를 보고하거나, 바이러스 발생시 FCS 컬렉션 서버에 보고를 합니다. 그리고, FCS 콘솔에서는 이렇게 모인 DB정보를 이용해서 리포트를 작성하거나 관리자에게 사내의 보안 상태를 리포팅합니다.


FCS의 구성요소를 설치하면 서버에는 MOM 2005 Server가 설치가 되고, 클라이언트에는 FCS Agent와 더불어 MOM Agent도 같이 설치가 됨을 확인 할 수 있습니다.

여기에서 FCS Agent는 FCS서버의 정책에 의해 Kernal Mode와 User Mode에서 AS(Anti-Spyware), AV(Anti-Virus) 작업을 진행합니다. 그리고 MOM Agent는 클라이언트에서 발생한 이벤트, 경고, 상태등을 MOM Server에 보고합니다.

아래 그림을 보시면 MOM Agent의 데이터 흐름을 쉽게 이해하실 수 있습니다.

 
2 FCS 데이터 흐름

1. (AM)Anti-Malware와 VA(Vulnerability Assessment) 서비스가 System Log에 경고를 기록합니다.

2. MOM Agent는 System Log에 있는 경고를 읽습니다.

3. MOM Agent는 이 로그 데이터(Event, Alerts, State Table)를 MOM Server DB에 보냅니다.
4-5, 만약 관리자가 보고(아이콘 모양 )를 클릭하면, SQL 리포팅 서비스가 리포트를 생성합니다. 이 리포는 XML(.rdl) 파일로 생성됩니다.
 

6. 이 생성한 파일은 웹 브라우저에서 보여지게 됩니다.


FCS는 6개의 역할 서버로 구성이 되지만 데이터 흐름을 보면 그렇게 복잡하지만은 않습니다.

FCS관리자 콘솔에서는 이미 다양한 리포팅을 제공하고 있습니다. 어차피 SQL DB의 내용을 쿼리해오는 것일 뿐입니다. 관리자가 다른 내용의 리포팅을 원하시면 SQL Report 기능을 이용해서 쿼리문을 만든다면 좀 더 다양하고 입맞에 맞는 리포트를 생성하실 수 있을거라 생각이 됩니다.
물론 전 SQL 엔지니어가 아니기때문에 다양한 쿼리 구문을 생성하진 못해봤지만 제가 SQL을 좀 더 공부해서 MOM DB를 이용 리포팅을 커스터마이징 하는 방법도 블로깅해보도록 하겠습니다.

5월 어린이날, 석가탄신일등을 이용해서 연휴 즐기시는 분들이 많으신데요, 공부도 공부지만 가정을 한번쯤 돌아보고, 몸과 마음을 충전하는 한달이 됐으면 좋겠습니다. 그럼, 전 다음주에 뵙겠습니다.

웹 서버의 해킹도 문제지만 이제는, 이로인해 바이러스에 노출 됐을 경우 이에 대한 대처방법도 준비를 해야만 안전하게 인터넷을 사용할 수 있게 되었습니다.

그래서, MS에서는 PC 보호를 위한PC보안 강화 4단계를 제시하고 있습니다.
1단계 : 인터넷 방화벽 설정
2단계 : 윈도우즈 업데이트
3단계 : 안티 바이러스 설치
4단계 : 안티 스파이웨어 설치

이중 3, 4단계, 즉 악성코드들(Malware)로 부터 클라이언트 보호를 위해서 MS는 여러 가지 툴을 제공하고 있습니다.

종류별로는 개인 사용자용과 기업용 버전이 있습니다.

Windows Defender, Windows Live Safety Center, MSRT(악성 소프트웨어 제거 도구)는 무료 툴이고,

Windows Live OneCare, Microsoft Forefront Client Security 는 유료 툴입니다.

MSRT(Malicious Software Removal Tool)(무료) : Windows 2000, Windows XP(X86, X64), Windows Vista(X86, X64), Windows Server 2003(X86, X64)을 지원, 최근 잘 알려진 약 100여개의 악성코드(Blaster, Sasser, Mydoom 포함)를 제거하는 툴입니다. 매달 두번째 주 화요일 새로운 버전이 업데이트 됩니다. 이 프로그램은 사용자가 MSRT를 다운받은 후 직접 실행시켜야 합니다.




Windows Defender(무료) : Windows XP with SP2(X86, X64), Windows 2003 with SP1(X86, X64) 이상 설치 가능 만약 윈도우즈가 정품이 아니면 심각한 위협만 제거, Windows Vista(X86, X64)는 기본적으로 설치되어있습니다. 스파이웨어로부터 클라이언트 PC를 실시간 보호하고, 부가기능으로 시작프로그램을 관리할 수 있습니다. 그리고 윈도우 업데이트를 통해 엔진 업데이트를 할 수 있습니다.




Windows Live Safety Center(무료) : 웹(http://onecare.live.com/site/ko-kr/default.htm)에서 바이러스, 스파이웨어 검사 및 제거 할 수 있는 무료 툴입니다.




Windows Live OneCare(유료) : 2007년 말 국내 출시 예정이었으나 미국, 일본을 포함 7개국에 출시, 현재 국내에는 출시되지 않았습니다. 외국에서 약 €50에 구매할 수 있습니다. 1 License로 가정내 3대의 PC에 설치해서 사용할 수 있습니다.

Microsoft Forefront Client Security(유료) : 기업용 Forefront 보안 솔루션 중 클라이언트 보안 솔루션입니다. 각각의 클라이언트에 FCS Agent를 설치하고 중앙에서 업데이트, 실시간 검사 그리고, Reporting할 수 있습니다. FCS Agent는 Windows 2000 with SP4 이상의 클라이언트를 지원합니다.

실시간 감시 기능 테스트 할 수 있는 사이트 :
http://www.eicar.org/

기억에 오래 남는게 경험만큼 좋은게 없지만, 말하고 글쓰고 이해하고 토론하는 것도 기억에 오래 남는 거라 생각됩니다.
제가 쓴글에 대해 몇분이나 읽고 답글을 달아주시고 의견을 주실지 궁금합니다. 제가 글을 잘 쓰진 못하지만 진실되게는 써보겠습니다.
블로그가 개인적인 공간이라는 장점을 최대한 살리고, 점점 굳어지는 머리를 위해 오늘부터 매주 1개 이상씩 글을 써 보려 합니다.

그리고, 제 관심 분야는 윈도우 보안과 네트워크입니다.
윈도우에서 보안이 약하다고들 하시는데 어느 부분이 약하고 그 약한 부분은 어떤 솔루션과 방법으로 보완하는지에 대해 이야기 해보겠습니다.

마이크로 소프트는 자사 제품의 보안을 강화하기 위한 방법으로 Forefront라는 제품군이 있습니다.
우선은 Forefront위주로 글을 쓸 써볼까 합니다.

이제까지 인터넷상에 여러 글을 펌 하기만하고 좀비 블로그를 배출해낸 장본인 이지만,
이제 여기 IT 한울랑에 정착하며 공감이 가고 의미 있는 글을 게시하도록 하겠습니다. 꼭!!! ^__________^

Never Sotp Growing Up IT 한울랑! Forever!