한 울타리 안의 친구들~

우선 Forefront Client Security 라고 하면, 
아~ 클라이언트에 설치되는 클라이언트 PC용 바이러스 엔진인가보다 라고 
간단하게 생각하기가 쉬운 것 같습니다.. ^^

저 역시도 처음 Forefront 제품이 출시가 된다고 했을 때, 
그렇게 착각을 했었던 적이 있었고요.. ^^

Forefront Client Security 제품 줄여서 FCS는 
기존에 우리가 잘 알고 있는 방식으로 
클라이언트에 설치가 되는 바이러스 엔진의 형태는 아닙니다.

Forefront Client Security의 동작 원리

FCS 제품에 대한 이해를 돕기 위해서 그림 한 장을 추가 하였는데요.

이 그림을 통해서 FCS의 동작 원리를 간략하게 설명을 드리면, 
FCS가 기존의 클라이언트용 바이러스 엔진 제품과 
어떤 차별성이 있는지를 아실 수 있을 듯하네요.. ^^  

FCS의 구동 방식을 간략하게 말씀을 드리면,

FCS를 Management 하는 서버에서 Anti Malware, Anti Virus에 대한 
검사 정책을 적용 받도록 Active Directory의 그룹정책을 이용하여 
AD에 조인이 되어 있는 클라이언트들에게 정책을 배포 할 수가 있습니다.
물론 AD를 사용하지 않는 경우의 시나리오도 있으나, AD 환경을 기준으로하여...
(그림 중 Setting이라고 되어 있는 파란색 화살표)

그렇게, 배포된 그룹 정책을 따라서 클라이언트들은

Windows Update Site 또는, WSUS를 통해서 보안위협 요소에 대한 
Forefront Client Security에 대한 서명을 업데이트를 받고,

그룹정책을 통해 설정 된 FCS 정책에 따라 바이러스 검사를 수행하게 됩니다.
(그림 중 Definitions라고 되어 있는 녹색 화살표)
 

클라이언트들은 FCS 서명 업데이트 내용 및 보안 위협 요소들에 대한 감시 결과 
그리고, 자신의 보안 상태에 대한 보고를 Microsoft Operation Management 서버인 
MOM 서버에 전달을 하게 됩니다.
(그림 중 Event라고 되어 있는 보라색 화살표) 

클라이어트로 부터 보고된 각종 상태 데이타들은 MOM 서버에서 사용하는 
SQL 서버 DB에 저장이 됩니다.  
SQL 서버에 저장된 클라이언트의 상태 데이타들은 다시 FCS를 Management하는 
서버의 FCS Managemet Console을 통해서, 클라이언트에 대한 정책 적용 결과, 보안 위협 요소, 서명 업데이트 내역 등의 데이타들을 리포트 형식으로 볼 수 있으며, 
즉시 위협 요소에 대한 보안 설정 등의 작업 역시도 중앙의 FCS Management Console에서 가능 합니다. .

(그림 중 Report라고 되어 있는 보라색 화살표)

즉, Anti Malware, Anti Virus에 대비한 보안 인프라가 구축이 된다고 할 수 있습니다.
 

'전산 인프라가 구축이 되었다.'라고 하는 것이, 
그저 서버나 클라이언트가 물리적으로만 존재하고 있는 상황을 
전산 인프라가 구축이 되었다고 말하기는 조금 힘들 것 같다는 생각이 듭니다.

 

물리적인 요소들인 서버나 클라이언트들이 배포되어 있는 형태에서,

서버와 클라이언트들을 위한 운영 계획을 수립하고, 
그에 따른 정책을 입안하고, 배포하고, 구성하고, 모니티링 하여 결과를 분석하고,

다시 계획하는 일련의 연속성 있는 운영이 지속될 수 있는 구조를 
정확하게 인프라가 구축이 되었다고 볼 수 있지 않을까? 라는 생각을 하며,
 

그러한 관점에서 본다고 하면, Forefront Client Security 제품은 
Anti Malware와 Anti Virus를 위한 각각의 롤을 가진 서버들의 역할을 통해서
Anti Malware와 Anti Virus에 대한 계획, 정책, 배포, 구성, 모니터링, 결과 분석 등의 
일련의 연속성을 가진 보안 운영의 틀을 만들어 주는, 
보안 인프라를 구성하고 있다고 말씀을 드릴 수 있을 것 같습니다.

 

아래와 같이 작업 만들기를 선택합니다.

 

MOM 에이전트가 설치된 컴퓨터에 명령어를 실행 할 것이므로 에이전트 관리 컴퓨터와 명령줄을 선택합니다.

이제 실행될 프로그램 위치와 프로그램명을 입력합니다. 여기에 입력하는 프로그램은 어느 컴퓨터에서나 같은 위치에 있어야 합니다.

여기는 각 프로그램의 스위치를 입력하는 부분입니다. 그룹 정책을 즉시 적용 할 것 이므로 작업 명령줄에 /force라고 입력합니다.

MOM 운영자 콘솔을 실행 하시면 방금 만드신 작업이 오른쪽 작업창에 나타남을 확인 할 수 있습니다.

그룹정책을 업데이트할 컴퓨터들을 선택한 후 오른쪽 그룹 정책 업데이트를 클릭합니다.

작업을 적용할 컴퓨터를 선택합니다.

마침을 누른 후 이벤트 뷰어를 확인해 보면 아래와같이 MOM 에이전트에 작업이 예약된 것을 확인 할 수 있습니다. 조금 지난 후 명령이 모두 실행되면 클라이언트는 작업 결과를 MOM 서버에 보고를 합니다.

그룹 정책이 정상적으로 완료 된 것을 확인 할 수 있습니다.

위와 같이 MOM 관리 콘솔을 이용하면 MOM 에이전트가 설치된 클라이언트에 간단하게 작업을 실행 시킬 수 있습니다. 이제 방법을 아셨으니 응용하는 건 여러분이… Good Luck. 

Solution Accelerators Forefront Integration Kit for NAP의 기술적 깊이를 위해 Dan Griffin이 작성한 글을 소개하려합니다.

이 블로그는 두가지의 목적이 있습니다.
첫번째는 간단하게 다음 질문에 대한 답입니다. : NAP이 적합하지 않은(Non-Compliance) 클라이언트들에 대해 어떻게 작동하는가? 다른 말로, 건강한 컴퓨터들과 건강하지 않은 컴퓨터들이 어떻게 구분이 되는가?
두번째는 Solution Accelerators의 새로운 Forefront/NAP 통합 킷을 가지고 무엇을 할 수 있는가? 에 대한 답입니다.

위 두가지를 설명함에 앞서 NAP에 대해 약간 설명을 해드리겠습니다.
NAP에는 5가지 시나리오(802.1X, DHCP, Ipsec, Terminal Server Gateway, VPN)가 있습니다. 이 글에서는 DHCP에 대해서 설명합니다. 그러나 DHCP는 몇가지 보안상 문제가 있습니다.
첫번째로, DHCP 구성에서 적합하지 않은 클라이언트는 제한된 네트워크에 놓여집니다. 그러나 네트워크가 기본 라우터가 있는 정말 간단한 구성으로 되어있을 경우 그리고, 기본 게이트웨이가 몇 개 안될 경우, 컴퓨터를 조금 알고있는 사용자는 제한되지 않는 네트워크로 우회할 수 있습니다.
두번째로, DHCP 표준의 제한된 속성 때문에 서버인증이나 메시지 무결성을 제공하지 않습니다. 이 것은 같은 LAN환경에 있는 누군가가 악의적으로 클라이언트나 서버가 알 수 없게 DHCP 트레픽을 수정할 수 있다는 말입니다.
그러나, 인증서 기반의 Ipsec을 이용해서 NAP을 배포할 때에는 위 두가지에 대한 문제를 해결할 수 있습니다. 예를들어 Ipsec 클라이언트와 서버는 상호간에 인증되고 네트워크 트레픽의 암호화와 암호화된 체크섬에 의해 보호됩니다.

그러나 NAP을 배우기 위한 목적이고, 테스트환경에서 POC(Proof of Concept)를 진행하기 위해서는 DHCP로 구성하는게 덜 복잡하고 보다 빠르게 다른 시나리오들을 진행할 수 있습니다. 방법은 다음 Step-by-Step 가이드를 참고해 주시기 바랍니다.

FCS/NAP 아키텍쳐
자세한 설치 절차는 제외하고 NAP이 DHCP로 구성되어있다고 가정하겠습니다. 클라이언트 컴퓨터는 NAP에 의해 적합하지 않을 경우 사내 네트워크 접근 권한을 박탈당하게 됩니다.
첫번째 단계로, NAP 에이전트가 실행되고있는 클라이언트는 SOH(Statement of Health)신호를 DHCP서버에 전송합니다. 아래 그림에서 클라이언트는 왼쪽 아래의 노트북 그림 둘 중 한 개 일 수 있습니다. 아래 큰 동그라미 그림에서 서버는 DHCP와 NPS 역할을 합니다.
 

DHCP서버는 클라이언트로부터 DHCP 요청을 받습니다. 그리고 SOH신호를 추출해서 NPS서버로 보냅니다. NPS는 이 신호를 분석합니다. 그런데요 한가지 궁금증이 생기네요. 한 서버에서 서비스끼리 통신이 가능할까요? ^^
만약 SOH가 적합하다고 판단되면 DHCP서버는 사용할 수 있는 IP 정보를 보냅니다. 만약 SOH가 적합하지 않다면 DHCP서버는 제한된 네트워크의 IP정보를 보내줍니다.
그러면 FCS/NAP 솔루션은 어떻게 동작할까요? SOH에 어떤 정보가 포함이 될까요? 그리고 NPS에서 어떻게 평가가 되어질까요? FCS/NAP은 두개의 플러그인으로 구성되어있습니다. 그건 SHA(System Health Agent)와 SHV(System Health Validator) 입니다.

데이터 흐름
클라이언트 SHA는 Forefront관련 정보를 SOH에 추가하고 SHV에 의해 평가가 됩니다. SOH에는 미리 정의된 질문들에 대한 답을 가지고 있습니다. 예를들어 "Forefront Client가 현재 실행 중인가"(아래 그림에서 화살표 2번입니다.) 다른 질문은 "백신 업데이트 버전이 최신인가?"(화살표 1, 3)
 
FCS/NAP의 SHV가 SOH(그림 5)를 받을 때 설정된 Health 정책과 맞는지 검사합니다. 예를 들어 만약 "Forefront가 실행중인가"에 대한 대답이 "아니오"일 경우 SHV는 현재의 정책이 Forefront가 항상 실행 되어야만 하는지 아닌지를 검사합니다.

SOH의 모든 대답에 대해 평가가 끝나면 SHV는 다음 둘 중 한가지 상태를 NPS서버로 보고합니다.
1. 클라이언트가 건강/적합 하다
2. 클라이언트가 건강하지 않음/부적합 하다
후자의 경우 SHV는 사용자에게 부적합한 이유를 설명해줍니다. 예를들어 "Forefront 클라이언트가 실행중이 아닙니다." 또는 "백신 업데이트 버전이 최신이 아닙니다.". 등등. 이런 메시지는 내장된 napstat.exe나 netsh.exe프로그램을 통해서 보여지게 됩니다.

설정시 주의할 점
위 그림에는 나타나있지 않지만, 추가적인 몇가지 NAP 설정 시나리오들이 있습니다.

첫번째는 "보고(Reporting)" 모드 입니다. "보고" 모드에서 NAP은 적합하지 않은 클라이언트들을 격리하진 않습니다. 간단하게 건강상태만 보고하기 때문입니다. 이것은 NAP을 운영하거나 평가중인 고객에게 아주 좋은 설정입니다. "보고"모드는 SHV의 효과가 동작하지 않습니다. 그러나 이것은 위에서 설명한것과 같이 동작합니다.
두번째 시나리오는 NAP "적용(enforcement)" 모드입니다. 부적합한 클라이언트들은 격리됩니다. 그리고 자동 치료(auto-remediation) 옵션이 있습니다. 이것은 어떤 효과가 있고 SHV는 어떻게 동작할까요?
자동치료 옵션이 활성화 되어있지 않다면 SHV는 위에서 설명한 것과 무엇이 잘못 되었는지 알려주기만 합니다.
그러나 자동치료 옵션이 활성화 되어있고 클라이언트가 적합하지 않을 때 SHV는 SOH 응답에 다른 정보를 넣어야만 합니다. 자동치료는 두 가지로 구성된 정보로 응답합니다.
1. 사용자가 수동(Instructive)으로 올바른 행동을 할 수 있는지와 SHA(informative)에 의해 자동으로 올바른 상태로 돌아가게 할 것인지에 대한 시나리오들의 차이를 두기 위해 다른 문자열이 사용됩니다. 후자가 자동치료입니다.
2. SOH응답은 SHV에서 SHA로, 지정된 자동 치료 행동에 관한 프로그램에 의한 명령들이 포함되어야 합니다. 예를들어 정책상 Forefront 서비스가 실행되어있어야 하는데 실행되어있지 않다면, SHV는 SOH에 SHA가 자동으로 서비스를 시작해야한다는 비트마스크를 설정할 것입니다.

[참고 Article]
NAP and FCS
http://blogs.technet.com/clientsecurity/archive/2008/06/18/nap-and-fcs.aspx

우선 정책을 생성해 보겠습니다.

 

[FCS 관리 콘솔] – [정책 관리] – [새로 만들기]를 클릭합니다.

이름과 설명을 입력합니다.

멜웨어를 어느 수준까지 예방 할 것 인지의 설정과 실시간 보호 유/무 그리고, 자동검사 시간등을 지정합니다.

엔진 업데이트 정책과 사용자가 Agent의 옵션을 설정 하게 할 것 인지의 권한을 설정합니다.

만약, 사내에 WSUS가 중지가 되었거나 없을 때 Microsoft Update 사이트에서 다운 받을 수 있게 하는 옵션도 있습니다. 그럼 FCS설치시 WSUS가 없어도 운영이 가능하다는 말일까요? 테스트는 안해봤지만 필수 구성요소는 아닌거 같네요. 나중에 테스트 해서 결과 알려드리겠습니다. ^^

만약 사내 중요한 프로그램이 FCS에서 바이러스로 인지가 된다면 재정의를 통해서 실행하게 하거나 심각도에 따라 FCS에서의 자동 조치 기능을 재 정의 할 수 있습니다. 예를 들어 FCS에서 심각도가 심각한 멜웨어에 대해 제거를 하게되는데 이 동작을 격리나 무시로 재 정의 할 수 있다는 말입니다. 활용도는 관리자에게 달렸습니다. ^^

클라이언트에서의 경고 발생 수준을 지정할 수 있습니다.

위와 같이 하면 기본적인 정책 배포 설정은 다했습니다.

이제 [정책 관리] – [배포]를 클릭합니다. 도메인의 특정 OU, 그룹에 배포를 할 수 있습니다. 배포 옵션 중 "파일 추가"가 있는데 이것은 FCS 정책을 파일로 내보내기 할 때 사용합니다. 이를 가능하게 하는 이유는 FCS의 모든 정책은 레지스트리값 변경을 통해 이루어 지기 때문입니다. 적당한 배포 대상을 선택했으면 "배포" 버튼을 클릭합니다.

"배포" 버튼을 클릭하면 AD의 구룹정책에 등록이 됩니다. GPMC에서 정책을 확인해 보시면 아래와 같이 등록되있는 것을 확인 하실 수 있습니다 

이제 클라이언트에서 정책을 받아가기를 기다리시면 됩니다. AD에서 정책을 원하는 시간에 강제 배포할 수 가 없어서 아쉽기는 아지만 위와 같이 하면 기본적인 정책 배포는 준비가 완료 된 것 입니다.

 

테크넷에는 정책 배포 방법이 이렇게 나와있네요.

 

! 즉시 적용하려면 각 클라이언트 컴퓨터를 다시 시작하라니...ㅜㅜ 한두대가 아니라면... 혹시, 이 글을 읽으시는 분들 중 Third-Party를 이용하지 않고, 중앙에서 그룹정책을 강제로 배포하는 방법을 알고 계시는 분은 좀 알려주세요 ^^

 

오늘은 그림이 많아서 지면이 길어졌네요. 내용은 많아 보이지만 정책 배포가 그렇게 어렵지 않음을 아실 수 있을겁니다. 모두들 기회가 되시면 사내에 조금씩 적용해 보시고 FCS의 기능을 느껴 보시는 것도 그리 나쁘진 않을거라 생각이 되네요. 그럼 전 다음주에 뵙겠습니다.

 

모두 좋은 한 주 되세요~ ^^

1. PMS를 이용한 배포
2. IE에서 Active X를 이용한 설치
3. 공유 폴더
4. FTP

AD와 Non-AD에서 가장 쉽게 공통적으로 사용할 수 있는 방법으로 [공유 폴더+E-mail]을 이용하는 방법이 무난해 보입니다.

공유 폴더를 제외한 나머지 방법은 개발이나 인프라가 구성되어있어야 하기 때문에 추가적으로 돈이 든다는 단점이 있습니다만 [공유 폴더+E-mail]은 관리자와 사용자가 조금만 수고해 주시면 배포하는데 크게 어려움이 없을거라 생각이 됩니다.

그러나, 회사내의 사용자가 전~혀 컴퓨터에 무지하거나, 배포할 클라이언트가 너~무 많으면 파일서버의 네트워크 부하도 생각해야하니 PMS를 이용하는 방법이 가장 좋을 것 같네요. ^^

우선 배포를 위해 관리자는 적당한 위치에 Agent 설치 파일을 복사합니다.(FCS 설치 CD 안에 보시면 [Client]라는 폴더가 있습니다. 전체 복사를 합니다.

그리고, 클라이언트는 Agent를 설치하기 전에 현재 설치된 백신 프로그램을 제거를 합니다. (이 부분이 어렵네요. 이 부분 때문에 계획적으로 부분 배포를 하면서 관리자가 확인 해 야 할 사항 중 하나입니다. 또는, 배포 솔루션 중 Active X를 이용하는 방법을 이용하시면 이건 좀 쉬울 수 있습니다. 대표적으로 MS 파트너사인 비전파워에 관련 솔루션이 있습니다.)

클라이언트는 관리자가 지정한 공유 폴더에 접근을 해서 아래의 명령어를 이용해서 설치를 진행합니다.

ClientSetup.exe /CG ForefrontClientSecurity /MS fcs.gundam.com
/CG : MOM 관리 그룹의 이름 지정 디폴트는 "ForefrontClientSecurity"
/MS : Collection 서버의 FQDN

좀 더 쉽게 설치를 하시려면 관리자가 같은 폴더에 아래와 같이 배치파일로 생성해 놓으시고, 이 배치 파일의 링크를 메일로 사원들에게 보내면 좀 더 쉽게 배포를 하실 수 있겠죠?

이제 배치 파일을 실행하면 Mom Agent + FCS Agent가 설치 되게 됩니다.

그리고, 설치가 정상적으로 끝나면 화면에 아래와 같은 아이콘을 보실 수 있습니다.
 

이제 클라이언트를 승인해 주는 일만 남았습니다. MOM 서버에서 관리자 콘솔을 실행하면 보류 중인 작업으로 클라이언트 컴퓨터가 보이실 겁니다. 안보이시면 조금 기다리시면 됩니다. 나타난 클라이언트는 약 1시간 후에 기본적으로 자동 승인이 되지만 바로 적용하시기 위해선 직접 승인 해 주셔야 합니다.

 

제가 앞서 설명을 안해 드렸는데 클라이언트를 배포하시기 전에 FCS정책을 생성하신 다음 배포하시기를 권장합니다. 이유는 클라이언트 설치 하신 후 정책을 배포하시면 사내에 정책 적용되는 시간을 또 기다려야하기때문입니다. 그러나 이미 정책을 배포해 놓으신 상태에서 클라이언트를 배포하면 바로 적용 되겠죠? ^^

그럼 다음에는 정책 배포하는 방법에 대해 설명해 드리겠습니다.

 
1 FCS 아키텍쳐


1. FCS 중앙관리 콘솔에서 FCS Agent 정책을 OU 또는그룹별로 배포를 합니다.
 

FCS 에서 배포한 정책은 AD의 그룹정책 중 컴퓨터 정책으로 생성이 됩니다. AD는 각 해당 컴퓨터에 정책을 배포 합니다.
 

2. 각 클라이언트는 컴퓨터를 검사하기전 또는 주기적으로 FCS Agent의 엔진 업데이트를 검사합니다. 이 때 사내의 WSUS나 윈도우 업데이트 사이트를 찾습니다.

3. 클라이언트는 주기적으로 컴퓨터의 보안 상태를 보고하거나, 바이러스 발생시 FCS 컬렉션 서버에 보고를 합니다. 그리고, FCS 콘솔에서는 이렇게 모인 DB정보를 이용해서 리포트를 작성하거나 관리자에게 사내의 보안 상태를 리포팅합니다.


FCS의 구성요소를 설치하면 서버에는 MOM 2005 Server가 설치가 되고, 클라이언트에는 FCS Agent와 더불어 MOM Agent도 같이 설치가 됨을 확인 할 수 있습니다.

여기에서 FCS Agent는 FCS서버의 정책에 의해 Kernal Mode와 User Mode에서 AS(Anti-Spyware), AV(Anti-Virus) 작업을 진행합니다. 그리고 MOM Agent는 클라이언트에서 발생한 이벤트, 경고, 상태등을 MOM Server에 보고합니다.

아래 그림을 보시면 MOM Agent의 데이터 흐름을 쉽게 이해하실 수 있습니다.

 
2 FCS 데이터 흐름

1. (AM)Anti-Malware와 VA(Vulnerability Assessment) 서비스가 System Log에 경고를 기록합니다.

2. MOM Agent는 System Log에 있는 경고를 읽습니다.

3. MOM Agent는 이 로그 데이터(Event, Alerts, State Table)를 MOM Server DB에 보냅니다.
4-5, 만약 관리자가 보고(아이콘 모양 )를 클릭하면, SQL 리포팅 서비스가 리포트를 생성합니다. 이 리포는 XML(.rdl) 파일로 생성됩니다.
 

6. 이 생성한 파일은 웹 브라우저에서 보여지게 됩니다.


FCS는 6개의 역할 서버로 구성이 되지만 데이터 흐름을 보면 그렇게 복잡하지만은 않습니다.

FCS관리자 콘솔에서는 이미 다양한 리포팅을 제공하고 있습니다. 어차피 SQL DB의 내용을 쿼리해오는 것일 뿐입니다. 관리자가 다른 내용의 리포팅을 원하시면 SQL Report 기능을 이용해서 쿼리문을 만든다면 좀 더 다양하고 입맞에 맞는 리포트를 생성하실 수 있을거라 생각이 됩니다.
물론 전 SQL 엔지니어가 아니기때문에 다양한 쿼리 구문을 생성하진 못해봤지만 제가 SQL을 좀 더 공부해서 MOM DB를 이용 리포팅을 커스터마이징 하는 방법도 블로깅해보도록 하겠습니다.

5월 어린이날, 석가탄신일등을 이용해서 연휴 즐기시는 분들이 많으신데요, 공부도 공부지만 가정을 한번쯤 돌아보고, 몸과 마음을 충전하는 한달이 됐으면 좋겠습니다. 그럼, 전 다음주에 뵙겠습니다.

웹 서버의 해킹도 문제지만 이제는, 이로인해 바이러스에 노출 됐을 경우 이에 대한 대처방법도 준비를 해야만 안전하게 인터넷을 사용할 수 있게 되었습니다.

그래서, MS에서는 PC 보호를 위한PC보안 강화 4단계를 제시하고 있습니다.
1단계 : 인터넷 방화벽 설정
2단계 : 윈도우즈 업데이트
3단계 : 안티 바이러스 설치
4단계 : 안티 스파이웨어 설치

이중 3, 4단계, 즉 악성코드들(Malware)로 부터 클라이언트 보호를 위해서 MS는 여러 가지 툴을 제공하고 있습니다.

종류별로는 개인 사용자용과 기업용 버전이 있습니다.

Windows Defender, Windows Live Safety Center, MSRT(악성 소프트웨어 제거 도구)는 무료 툴이고,

Windows Live OneCare, Microsoft Forefront Client Security 는 유료 툴입니다.

MSRT(Malicious Software Removal Tool)(무료) : Windows 2000, Windows XP(X86, X64), Windows Vista(X86, X64), Windows Server 2003(X86, X64)을 지원, 최근 잘 알려진 약 100여개의 악성코드(Blaster, Sasser, Mydoom 포함)를 제거하는 툴입니다. 매달 두번째 주 화요일 새로운 버전이 업데이트 됩니다. 이 프로그램은 사용자가 MSRT를 다운받은 후 직접 실행시켜야 합니다.




Windows Defender(무료) : Windows XP with SP2(X86, X64), Windows 2003 with SP1(X86, X64) 이상 설치 가능 만약 윈도우즈가 정품이 아니면 심각한 위협만 제거, Windows Vista(X86, X64)는 기본적으로 설치되어있습니다. 스파이웨어로부터 클라이언트 PC를 실시간 보호하고, 부가기능으로 시작프로그램을 관리할 수 있습니다. 그리고 윈도우 업데이트를 통해 엔진 업데이트를 할 수 있습니다.




Windows Live Safety Center(무료) : 웹(http://onecare.live.com/site/ko-kr/default.htm)에서 바이러스, 스파이웨어 검사 및 제거 할 수 있는 무료 툴입니다.




Windows Live OneCare(유료) : 2007년 말 국내 출시 예정이었으나 미국, 일본을 포함 7개국에 출시, 현재 국내에는 출시되지 않았습니다. 외국에서 약 €50에 구매할 수 있습니다. 1 License로 가정내 3대의 PC에 설치해서 사용할 수 있습니다.

Microsoft Forefront Client Security(유료) : 기업용 Forefront 보안 솔루션 중 클라이언트 보안 솔루션입니다. 각각의 클라이언트에 FCS Agent를 설치하고 중앙에서 업데이트, 실시간 검사 그리고, Reporting할 수 있습니다. FCS Agent는 Windows 2000 with SP4 이상의 클라이언트를 지원합니다.

실시간 감시 기능 테스트 할 수 있는 사이트 :
http://www.eicar.org/