Forefront Client Security

В этой статье расскажем об антивирусном продукте Microsoft, ориентированном на защиту рабочих станций и серверов в корпоративных сетях — Forefront Client Security. Этот продукт нацелен в первую очередь на корпоративные сети, в которых требуется централизованное развертывание, обновление и мониторинг антивирусной защиты.

 

Будут рассмотрены следующие темы:

Описание возможностей

Этот продукт нацелен в первую очередь на корпоративные сети, в которых требуется централизованное развертывание, обновление и мониторинг антивирусной защиты.

Client Security состоит из клиентской и северной частей.

Клиентская часть называется Forefront Client Security Agent и состоит из трех легких компонент:

  • Antimalware Service — антивирусное ядро
  • State Assessment Service — средство проверки текущего состояния безопасности
  • Microsoft Operations Manager (MOM) 2005 Agent — агент для связи с сервером управления

Агент Client Security заточен на быстрое развертывание и централизованное управление, поэтому для конечного пользователя предоставляет только необходимый минимум функций, таких как

  • сканирование по требованию
  • расписание автоматического сканирования
  • проверка обновлений
  • настройка исключений
  • отключение сканирующих модулей

Серверная часть называется Forefront Client Security Management Console, представляет собой панель управления, на которой отображается текущее состояние системы, настраиваются политики безопасности и представлены возможности для формирования разнообразных отчетов. Консоль управления для своей работы использует следующие технологии:

  • Active Directory для централизованного распространения настроек (политик безопасности)
  • Windows Server Update Services (WSUS) для централизованного распространения программных модулей и обновления антивирусных баз
  • Microsoft Operations Manager 2005 (подпиленная версия) для сбора данных о состоянии клиентов
  • SQL Server 2005 Database Engine для хранения базы данных
  • SQL Server 2005 Reporting Services для формирования отчетов

Сильные и слабые стороны

Сильные стороны продукта:

  • Высокая эффективность: авторитетные независимые тесты (Virus Bulletin, AV-Comparatives) неоднократно давали максимальный рейтинг этому антивирусу. Продукт сертифицирован для государственного применения.
  • Производительность: антивирусный агент, работающий на клиентах, потребляет сравнительно немного памяти и не содержит ненужных в корпоративной среде модулей, такие как «оптимизаторы» ОС, брандмауэры и т. п.
  • Широкая совместимость с платформами: агент поддерживает клиентские и серверные ОС начиная с Windows 2000 и заканчивая Windows 7 / Server 2008 R2.
  • Централизованное управление и мониторинг: позволяет централизованно контролировать все настройки антивирусов, в соответствии с гранулярно создаваемыми политиками. Информация о состоянии контролируемых систем централизованно собирается и анализируется.
  • Интеграция со службами Microsoft: продукт по полной использует технологии Microsoft, которые позволяет сравнительно легко внедрять его в существующую инфраструктуру. Это очень важно для больших сетей.
  • Масштабируемость: одиночный сервер управления может поддерживать работу порядка десяти тысяч клиентов, а сами серверы управления можно централизованно объединить с помощью Client Security Enterprise Manager.
  • Низкая стоимость: одна лицензия клиента стоит около 13 зелёных в год. Лицензия на сервер управления — около 2,5 тысяч зелёных в год, что сравнительно недорого, в случае больших инсталляций.

Все слабые стороны относятся к серверным компонентам и вытекают из сильных сторон…

  • Специфические требования к инфраструктуре: для серверных компонентов поддерживаются только 32-х разрядные операционные системы, причем официально — только Windows Server 2003. Полная установка продукта довольно сложна, требует выполнения многих предварительных условий в текущей информационной инфраструктуре. Все серверные компоненты Forefront Client Security можно установить на одну ОС, однако чем-либо дополнительным эту систему лучше не нагружать.
  • Высокие системные требования: в моей инсталляции на 50 клиентов сервер управления начинает нормально работать с 2 гигабайтами памяти и весьма неслабым двухъядерным процессором, занимая 50 гигабайт места на диске.
  • Общая громоздкость системы: так как серверная часть продукта состоит из многих компонентов, которые могут быть распределены по разным компьютерам, общая надежность системы понижается из-за возможности отказов отдельных компонентов.
  • Требование платной версии SQL Server 2005: продукт не может использовать БД Windows Internal Database, у которой нет ограничения на размер баз данных.

Я считаю, слабые стороны в основном проявляют себя в небольших инсталляциях, а на целевом рынке продукта, корпоративных сетях средних и крупных размеров, эти особенности оправданы.

Установка серверных компонентов Forefront Client Security

Процедура развертывания системы описана на русском языке в документации на TechNet, однако она довольно громоздка, уныла и местами устарела… Текст далее призван помочь установить и настроить Forefront Client Security без выкуривания официальных мануалов.

Management Console состоит из нескольких ролей, которые можно разносить по разным серверам:

  • Management Server — сервер управления
  • Collection Server — сервер сбора данных (MOM)
  • Collection Database — база данных (SQL Server 2005 Database Engine)
  • Reporting Server and Database — сервер отчетов (SQL Server 2005 Reporting Services)
  • Distribution Server — сервер распространения (WSUS)

Требования к этим ролям описаны в документации на TechNet. Следует обратить особое внимание на то, что в качестве платформы для всех ролей официально поддерживается только 32-битная Windows Server 2003. На деле же, WSUS прекрасно работает и на Windows Server 2008 64 bit, также на эту платформу можно установить и 64-битную редакцию SQL Server 2005. Также я успешно устанавливал все серверные компоненты Forefront Client Security на Windows Server 2008 32 bit, особых подводных камней, помимо отмеченных далее, не заметил.

В этой записи я рассмотрю процесс установки всех ролей, кроме WSUS, на 32-битный Windows Server 2003. Сервер должен быть членом домена, на нем должны быть установлены следующие стандартные компоненты: IIS, ASP.NET, .Net Framework 2.0 (для Reporting Services и WSUS). Дополнительно необходим Group Policy Management Console (для Management Console), и желательно обновить .Net Framework до последней версии.

Теперь можно перейти к установке SQL Server 2005. Тут меня ждала огромная неприятность и разочарование: необходима платная редакция SQL Server 2005, не ниже Standard. Казалось бы, в бесплатном SQL Server 2005 Express Edition with Advanced Services имеются все компоненты, заявленные в официальных требованиях (конечно кроме ограничения на объем БД, что, в общем-то, можно обойти созданием нескольких баз). Если следовать такой логике, то в процессе установки серверных компонентов Forefront Client Security обнаруживается, что не хватает компонента Integration Services, который входит в поставку SQL Server 2005, начиная с редакции Standard…

Устанавливая SQL Server 2005 Standard необходимо выбрать компоненты Database Engine, Reporting Services и проклятые Integration Services, необходимость которых мне не ясна. Стандартная версия SQL Server 2005 распространяется на дисках и на текущий момент уже устарела, поэтому сразу после её установки необходимо установить SP3. Чтобы избежать перезагрузки системы, на последней странице диалоговых окон установщика SP3 (где предлагается отравлять отчет об установке в Microsoft) нужно остановить службы SQL Server и SQL Server Reporting Server.

Чтобы проверить, корректно ли установились Reporting Services, пробуем зайти IE (с отключенным режимом Enhanced Security) на адрес http://localhost/Reports/. Если ошибок нет, то продолжаем. Если есть, пишите в комментарии. До начала установки Client Security настраиваем службу SQL Server Agent на запуск автоматически и запускаем (проверяется при установке).

В Active Directory создаём пользователя и наделяем его административными правами (группа Domain Admins) на всех компьютерах, на которых будут работать любые компоненты Forefront Client Security.

Наконец, настало время запустить установку серверных компонентов Forefront Client Security. Нас спросят ввести данные для учетной записи DAS, от имени которой будет работать система на всех компьютерах — это именно тот пользователь, которого мы создавали в AD. Обратите внимание на настройки начальных размеров баз данных! Не изменяйте их в меньшую сторону, иначе скоро у вас начнутся проблемы, подтверждено моим горьким опытом. Если предполагается работа с тысячами агентами, обязательно ознакомьтесь со статьями «Размеры баз данных» и «Влияние на системные ресурсы сервера». Если все предыдущие шаги проделаны правильно, дальнейших проблем возникнуть не должно. Установка долгая, что типично для продуктов Microsoft.

По окончании установки предложат пройти Configuration Wizard (также доступно в меню Action → Configure из консоли Forefront Client Security), делаем это обязательно. Затем в консоли Forefront Client Security переходим на вкладку Policy Management и создаем политику.

Настройки, конечно, на ваш вкус, но я рекомендую создать отдельные политики для клиентских компьютеров и серверов предприятия. Затем делаем Deploy свежесозданных политик на нужные OU либо группы безопасности, в которые включены необходимые компьютеры.

Развертывание клиентских компонентов Forefront Client Security

Созданные групповые политики вносят в реестр целевых систем значения, необходимые для установки и настройки клиентских компонентов.

Все клиентские компоненты и описания вирусов распространяются через WSUS. Если в вашей сети такая служба не развернута, то позор вам, быстрее разворачивайте. На компьютере, на котором установлена последняя версия WSUS (на момент написания статьи 3.0 SP2), запускать установку роли Distribution Server не нужно, так как эта роль быларассчитана на работу с WSUS версии 2.0.

Вместо установки роли Distribution Server проделайте следующие шаги в консоли WSUS:

  • в Options → Products and Classifications включить Forefront Client Security, на вкладке Classifications должны быть отмечены как минимум Critical Updates, Definition Updates и Updates
  • произвести синхронизацию WSUS
  • найти поиском последнюю версию обновления «Client Update for Microsoft Forefront Client Security» и сделать Approve for installation для нужных групп компьютеров.
  • создать правило Automatic Approvals для продукта Forefront Client Security с классификацией Definition Updates
  • настроить автоматическую синхронизацию минимум пару раз в день

Всё, приведенных действий достаточно для того, чтобы групповая политика распространилась на компьютеры, которые затем по указанию этой политики в ближайшем цикле автообновления запросят клиентские компоненты Forefront Client Security у WSUS и установят их. В процессе установки осуществиться регистрация на сервере MOM, затем загрузятся последние обновления определений вирусов.

Советы и хитрости

Ускорение развёртывания Forefront Client Security

Процесс распространения групповых политик, проверки обновлений и их установки может затянуться. Для ускорения этого процесса используйте следующие команды на клиентских компьютерах:

gpupdate /forceдля немедленного применения групповой политики
wuauclt /detectnowдля немедленной проверки обновлений

О том, как запускать команды по сети на группе компьютеров, я недавно написал.

В зависимости от настроек Windows Update в вашей групповой политике, клиентские компоненты Forefront Client Security могут установиться мгновенно, могут быть запланированы на установку в определенное время, а могут и просто быть предложены пользователю.

После установки обновления агент MOM регистрируется на сервере MOM и какое-то время висит в его очереди на утверждение, бездействуя. Чтобы ускорить этот процесс, клиентов можно утверждать вручную в Administrator Console сервера MOM, в узле Administration → Computers → Pending Actions.

Объём базы данных Forefront Client Security

Если изначального объема баз данных перестанет хватать, в журнале событий приложений будут периодически сыпаться ошибки

Source: DataTransformationServices
Type: Error
Event ID: 81

Чтобы избавиться от причин этих ошибок, увеличьте размеры БД, используя средство SQL Server Management Studio. Рекомендуемые размеры даны в статье «Влияние на системные ресурсы сервера».

Исключения для серверов

Если вы установили антивирус на сервера, в основном нагруженные каким-то определенным сервисом (таким как сервер БД, виртуальные машины, IIS, резервное копирование), то советую добавить исполняемые файлы сервера и/или области действия в файловой системе в исключения антивируса, чтобы не тормозило лишний раз. Более подробно рекомендую почитать в статье KB943556. Менее подробно, но более сжато и понятно — в этой записи блога Алексея Максимова.

Обновление

Для серверных компонентов Forefront Client Security выпущен Service Pack 1 и несколько обновлений. Не забудьте в своём WSUS одобрить эти обновления, либо загрузите их через Microsoft Update.

Развертывание Forefront Client Security на компьютеры рабочей группы (вне домена)

Все, что нужно для корректной установки Forefront Client Security на клиентский компьютер — это сформированные групповой политикой записи в реестре. Если нет возможности распространять настройки на компьютеры через групповую политику, то можно в Management Console сделать Deploy политики в файл. Затем скопировать этот файл и программу cslocalpolicytool.exe из дистрибутива FCS на клиентские компьютеры и выполнить команду

fcslocalpolicytool.exe /f /i имя_файладля применения политики.

После этого клиенты сами запросят и установят агент Forefront Client Security через WSUS. Также можно и просто запустить ClientSetup с диска, но зачем? Без правильного получения обновлений от WSUS вам все равно не получится пользоваться этим программным продуктом полноценно.

Установка Forefront Client Security без сервера управления

Такой вариант тоже возможен, если вы захотели установить агент Forefront Client Security на домашнем компьютере. Достаточно запустить

ClientSetup /NOMOM

Установится локальный агент, затем нужно получить обновления агента с Windows Update, после чего загрузятся обновления антивирусных баз.

Но есть и другой путь! Microsoft недавно выпустила бесплатный антивирус Microsoft Security Essentials, который представляет собой тот же агент Forefront Client Security, только лишенный централизованного управления. Для дома — самое то!

Ручная локальная установка обновлений Forefront Client Security

И такое возможно. Следуйте ссылкам в статье KB935934 для соответствующей разрядности ОС. Для локального обновления антивирусных баз агента Forefront Client Security достаточно просто запустить загруженный файл.

Принудительное обновление антивирусных баз Forefront Client Security

Можно форсировать установку обновлений с WSUS помимо стандартного цикла автообновления следующей командой:

"%ProgramFiles%\Microsoft Forefront\Client Security\Client\Antimalware\MpCmdRun.exe" -SignatureUpdate

Полезные ссылки

Надежные источники сообщают, что новая версия продукта, которая будет называться Forefront Endpoint Protection 2010, запланирована к выпуску во второй половине 2010 года и будет основана на System Center Configuration Manager.

Статья планировалась как сборник советов по избеганию «подводных камней» при установке и развертыванию продукта, но от желания превратить получившиеся в связный текст получился вот такой букварь…

PS: Я часто использую полное название Forefront Client Security не потому, что плохо владею синонимами, а для облегчения поиска роботами. Слава роботам 😉

37 ответов к «Forefront Client Security»

  1. Aw, this was a really nice post. In idea I want to put in writing like this additionally ?taking time and precise effort to make a very good article?however what can I say?I procrastinate alot and not at all appear to get one thing done.

  2. My spouse and i got very glad that Jordan managed to complete his researching by way of the precious recommendations he got out of the weblog. It’s not at all simplistic just to find yourself offering points that the others could have been selling. We understand we now have you to give thanks to for this. Most of the explanations you have made, the easy blog menu, the relationships you can make it possible to create — it is everything remarkable, and it’s really facilitating our son in addition to the family reason why this content is exciting, and that’s wonderfully essential. Thanks for the whole thing!

  3. I am commenting to make you understand of the remarkable experience my friend’s girl gained browsing yuor web blog. She mastered many things, including how it is like to have an awesome giving mindset to have the mediocre ones very easily have an understanding of a number of complex subject areas. You undoubtedly did more than people’s expected results. Many thanks for supplying these informative, safe, revealing and in addition unique thoughts on the topic to Julie.

  4. A lot of thanks for all of the hard work on this website. My niece enjoys setting aside time for internet research and it is obvious why. Most of us learn all about the compelling form you offer informative solutions through this web site and therefore foster participation from other people on the point plus our favorite girl is truly becoming educated a lot. Take advantage of the rest of the new year. You’re the one doing a first class job.

  5. I have to show my thanks to the writer just for rescuing me from such a matter. Just after surfing around through the the net and obtaining solutions which were not helpful, I assumed my entire life was done. Being alive minus the strategies to the difficulties you’ve resolved as a result of this website is a serious case, and those which could have badly affected my career if I hadn’t discovered your website. That ability and kindness in playing with all areas was invaluable. I am not sure what I would’ve done if I had not come across such a stuff like this. I can at this moment look forward to my future. Thanks a lot so much for this reliable and effective guide. I will not think twice to endorse your blog to anybody who ought to have support about this area.

  6. I wanted to create you one tiny observation so as to say thanks a lot over again regarding the exceptional advice you have shared on this page. It has been quite incredibly open-handed of you to allow unreservedly just what many of us could have advertised for an e book to end up making some bucks for their own end, even more so given that you might well have done it if you considered necessary. Those concepts as well served as the good way to fully grasp that other people have similar keenness just as my own to grasp much more with respect to this matter. I’m certain there are many more pleasant moments ahead for individuals that read through your site.

  7. I precisely desired to appreciate you once again. I’m not certain the things that I would have worked on without the actual information shared by you relating to my theme. It was before a traumatic setting for me, however , coming across this skilled strategy you solved it made me to jump for gladness. I am happier for your service and then sincerely hope you find out what an amazing job that you’re putting in educating the others thru your web page. I know that you have never encountered any of us.

  8. I enjoy you because of all of the efforts on this site. Kim takes pleasure in making time for research and it is easy to understand why. My spouse and i hear all of the compelling manner you create precious things on this blog and encourage participation from others on this area of interest plus my princess has been becoming educated so much. Enjoy the rest of the year. You are conducting a fabulous job.

  9. I simply wished to thank you very much yet again. I’m not certain the things I would have worked on without these secrets provided by you relating to that theme. It had been a real difficult situation in my circumstances, but being able to view the very skilled mode you dealt with it forced me to weep for happiness. I am happier for your information and as well , trust you comprehend what a great job that you are putting in teaching other individuals through the use of a blog. Most probably you have never come across any of us.

  10. Thanks for every one of your effort on this website. Kate really loves getting into investigations and it is obvious why. Many of us notice all of the compelling medium you give informative solutions through the web site and therefore foster contribution from visitors on that subject matter plus our daughter is always becoming educated a lot of things. Take advantage of the rest of the year. You have been conducting a fabulous job.

  11. My husband and i have been really contented when Raymond managed to finish up his researching by way of the ideas he made through the web page. It’s not at all simplistic to just choose to be offering tips and tricks which usually a number of people might have been making money from. We really grasp we have the writer to appreciate for that. All the explanations you have made, the easy web site navigation, the relationships you can aid to foster — it is many extraordinary, and it’s really making our son in addition to our family reason why this content is awesome, which is seriously mandatory. Thank you for the whole lot!

  12. Thank you a lot for giving everyone a very splendid possiblity to read from this site. It is often so fantastic and as well , packed with a great time for me personally and my office colleagues to visit your site at the least thrice in one week to study the newest items you will have. And lastly, I’m also actually satisfied with the dazzling secrets served by you. Some 1 facts in this post are without a doubt the most efficient I have had.

  13. I discovered your weblog website on google and check a number of of your early posts. Continue to keep up the very good operate. I simply extra up your RSS feed to my MSN News Reader. Looking for ahead to reading extra from you later on!?

  14. There are definitely a variety of particulars like that to take into consideration. That is a nice level to carry up. I provide the ideas above as normal inspiration however clearly there are questions like the one you bring up where a very powerful factor will likely be working in trustworthy good faith. I don?t know if greatest practices have emerged round issues like that, however I’m sure that your job is clearly identified as a good game. Both boys and girls really feel the influence of only a second抯 pleasure, for the rest of their lives.

  15. An interesting dialogue is worth comment. I think that you must write more on this topic, it may not be a taboo subject however typically people are not enough to speak on such topics. To the next. Cheers

  16. This site is mostly a stroll-by for the entire data you needed about this and didn抰 know who to ask. Glimpse here, and also you抣l positively discover it.

  17. There are some attention-grabbing time limits in this article but I don抰 know if I see all of them center to heart. There’s some validity however I will take hold opinion until I look into it further. Good article , thanks and we wish extra! Added to FeedBurner as effectively

  18. I am often to running a blog and i really admire your content. The article has actually peaks my interest. I’m going to bookmark your web site and maintain checking for new information.

  19. Howdy! I simply wish to give a huge thumbs up for the great information you have got right here on this post. I shall be coming back to your blog for more soon.

  20. There are definitely a whole lot of particulars like that to take into consideration. That may be a nice level to deliver up. I supply the ideas above as normal inspiration however clearly there are questions just like the one you convey up the place crucial factor will be working in sincere good faith. I don?t know if greatest practices have emerged round things like that, however I am sure that your job is clearly identified as a fair game. Each girls and boys feel the impression of just a moment抯 pleasure, for the remainder of their lives.

  21. I抦 impressed, I have to say. Actually not often do I encounter a blog that抯 both educative and entertaining, and let me let you know, you’ve gotten hit the nail on the head. Your thought is excellent; the issue is one thing that not sufficient persons are speaking intelligently about. I am very blissful that I stumbled across this in my seek for something referring to this.

  22. Once I originally commented I clicked the -Notify me when new comments are added- checkbox and now every time a remark is added I get four emails with the identical comment. Is there any manner you’ll be able to remove me from that service? Thanks!

  23. Oh my goodness! a tremendous article dude. Thank you Nonetheless I am experiencing subject with ur rss . Don抰 know why Unable to subscribe to it. Is there anybody getting similar rss problem? Anybody who is aware of kindly respond. Thnkx

  24. Nice post. I learn one thing more difficult on totally different blogs everyday. It’ll at all times be stimulating to learn content from other writers and observe a bit of one thing from their store. I抎 want to use some with the content material on my weblog whether or not you don抰 mind. Natually I抣l offer you a hyperlink on your web blog. Thanks for sharing.

  25. Hello! I just wish to give a huge thumbs up for the good info you may have right here on this post. I might be coming again to your weblog for more soon.

  26. Youre so cool! I dont suppose Ive learn anything like this before. So good to search out anyone with some original ideas on this subject. realy thanks for beginning this up. this web site is one thing that’s needed on the net, someone with slightly originality. useful job for bringing one thing new to the web!

  27. Nice post. I study something more challenging on completely different blogs everyday. It’s going to at all times be stimulating to read content material from other writers and follow a bit of something from their store. I抎 favor to make use of some with the content material on my blog whether you don抰 mind. Natually I抣l provide you with a link in your web blog. Thanks for sharing.

  28. Thank you a lot for giving everyone an extremely brilliant chance to read in detail from here. It’s usually very awesome and also full of a lot of fun for me personally and my office peers to search your site at the very least thrice in a week to see the fresh items you have got. Of course, I’m so always motivated considering the cool hints you give. Selected 2 points in this posting are basically the most impressive we have all ever had.

  29. I and my guys have already been going through the excellent guides found on your web site while suddenly I got a horrible feeling I had not thanked you for those strategies. All of the women were definitely totally thrilled to see them and now have pretty much been enjoying them. We appreciate you simply being quite considerate and for selecting this kind of wonderful information most people are really desperate to be informed on. My personal sincere regret for not saying thanks to sooner.

  30. I’m commenting to make you know what a useful discovery my child experienced checking yuor web blog. She picked up many things, which included what it is like to have an amazing giving heart to let many others without difficulty thoroughly grasp specified advanced matters. You really surpassed my expectations. Thanks for presenting the effective, trusted, educational and as well as fun thoughts on the topic to Tanya.

  31. I definitely wanted to compose a brief note so as to appreciate you for those fantastic tricks you are placing on this website. My extended internet research has at the end of the day been honored with beneficial information to write about with my great friends. I ‘d point out that most of us website visitors are undoubtedly lucky to exist in a very good site with very many special professionals with insightful guidelines. I feel really lucky to have used your entire web page and look forward to tons of more cool minutes reading here. Thank you once more for a lot of things.

  32. My wife and i were absolutely thankful when Edward could deal with his inquiry from your precious recommendations he was given using your web page. It’s not at all simplistic to simply choose to be giving away solutions that others might have been selling. We remember we have the website owner to appreciate because of that. The entire illustrations you made, the easy web site menu, the friendships you make it easier to create — it’s everything wonderful, and it’s aiding our son and our family understand this matter is brilliant, and that is extraordinarily mandatory. Thank you for all the pieces!

  33. I precisely needed to say thanks again. I’m not certain the things I would have implemented without the actual advice shown by you about my theme. Certainly was a real fearsome problem in my circumstances, nevertheless finding out a new skilled tactic you treated that took me to cry over gladness. I am grateful for your service and thus hope you find out what an amazing job that you are doing training people using a web site. More than likely you have never encountered any of us.

  34. I together with my buddies were actually digesting the nice ideas found on your site and so instantly I got a horrible feeling I never thanked the web blog owner for them. Those women became as a consequence very interested to see them and now have definitely been loving them. Appreciate your really being really thoughtful and then for obtaining varieties of fine information most people are really desperate to understand about. My very own sincere apologies for not expressing appreciation to sooner.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *