Forefront Client Security - uprawnienia i planowanie zasad
 |
Zawartość strony
Uprawnienia
Client Security używa kont użytkowników zarówno do uruchamiania usług potrzebnych Client Security oraz aby udzielić dostępu do danych wewnątrz baz danych Client Security. Niniejszy artykuł zawiera informacje oraz łącza do informacji o tych rodzajach kont.
Konta usług
Konta usług to konta użytkowników, których usługi Windows używają w celu uwierzytelnienia na lokalnym komputerze lub w Active Directory. Konta te są używane, aby udzielić usługom dostępu do zasobów (takich jak dostęp do sieci lub plików) na lokalnym komputerze lub na komputerach należących do domeny Active Directory.
Na przykład podczas instalacji Client Security, instalator żąda kont użytkowników dla różnych składników wdrożenia Client Security. Te konta użytkowników używane są przez różne składniki Client Security w celu uzyskania dostępu do zarządzanych komputerów, baz danych Client Security oraz uruchamiania różnych usług.
Szczegółowe informacje o kontach usług wymaganych przez Client Security można znaleźć na stronie Creating installation and service accounts (j.ang.) przewodnika Client Security Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=89013).
Więcej informacji planowaniu kont usług można znaleźć na stronie Services and Service Accounts Security Planning Guide (j.ang.) (http://go.microsoft.com/fwlink/?LinkId=89014).
Role użytkowników
Wiele organizacji dzieli zadania administracyjne między administratorów. Ta metoda administracji polega na skategoryzowaniu tych zadań oraz uprawnień i praw potrzebnych do ich wykonywania i utworzeniu ról użytkowników.
W przypadku wdrożenia Client Security może wystąpić potrzeba oddzielenia możliwości przeglądania raportów od innych zadań administracyjnych. Konieczne może być również zezwolenie jedynie administratorom zasad grupy w domenie na zarządzanie zasadami Client Security.
Informacje o rolach użytkowników Client Security można znaleźć na stronie Working with user roles (j.ang.) przewodnika Client Security Administrator's Guide (http://go.microsoft.com/fwlink/?LinkID=86555).
Domyślne ustawienia zasad
Wszystkie poniższe opcje są dostępne w oknach dialogowych New Policy i Edit Policy w konsoli Client Security. Więcej informacji o tych ustawieniach i dlaczego warto je włączyć lub wyłączyć można znaleźć w przewodniku Client Security Administration Guide (j.ang.) (http://go.microsoft.com/fwlink/?LinkID=88221). Dodatkowe opcje są dostępne jedynie jako klucze rejestru. Więcej informacji ustawieniach kluczy rejestru można znaleźć w przewodniku Client Security Technical Reference Guide (j.ang.) (http://go.microsoft.com/fwlink/?LinkID=86991).
Domyślne ustawienia karty Ogólne
| Opcja | Domyślne ustawienie | Uwaga | ||||||||
Nazwa |
| Identyfikuje zasadę. Wymaga unikatowej nazwy. | ||||||||
Komentarze |
| Opcjonalna. Zalecane jest użycie tej opcji do opisania:
Komentarze mogą zawierać około 32 000 znaków. |
Domyślne ustawienia karty Ochrona
| Obszar | Domyślne ustawienie | Uwaga | ||||||
Ochrona przed złośliwym oprogramowaniem |
| Gdy te ustawienia nie są włączone, Client Security nie będzie skanować w poszukiwaniu wirusów i oprogramowania szpiegowskiego ani identyfikować ich przy użyciu ochrony w czasie rzeczywistym (wyświetlonej jako RTP na karcie Ochrona). | ||||||
Skanowanie w poszukiwaniu złośliwego oprogramowania |
| Pełne skanowania uzupełniają ochronę w czasie rzeczywistym. Pełne skanowanie może wykryć nieznane złośliwe oprogramowanie, którego nie wykrywa ochrona w czasie rzeczywistym po aktualizacji pliku definicji identyfikującego dany złośliwy program. Pełne skanowania przeszukują cały komputer oprócz plików, folderów i rozszerzeń plików, które wykluczy użytkownik. | ||||||
Ocena stanu zabezpieczeń |
| Skanowanie w poszukiwaniu luk to prewencyjna metoda pomagająca w identyfikacji komputerów zagrożonych infekcją przez złośliwe oprogramowanie. |
Domyślne ustawienia karty Zaawansowane
| Obszar | Domyślne ustawienie | Uwaga | ||||||
Aktualizacje definicji złośliwego oprogramowania |
| Client Security korzysta z aktualnych definicji w celu efektywnej identyfikacji nowego oprogramowania szpiegowskiego. Dzięki umożliwieniu komputerom klienckim przeglądania witryny Microsoft Update gdy WSUS nie jest dostępne, użytkownicy zdalni zachowują aktualne definicje nawet gdy nie są połączeni z siecią wewnętrzną. Do czasu zapisania zasady pozwalającej na szukanie aktualizacji w Microsoft Update gdy WSUS nie jest dostępne, ta opcja jest domyślnie wyłączona. | ||||||
Opcje skanowania w poszukiwaniu złośliwego oprogramowania |
| Zezwolenie na skanowanie archiwów daje pewność, że zostaną one przeskanowane w poszukiwaniu złośliwego oprogramowania. Skanowania heurystyczne pomagają w ochronie przed złośliwym oprogramowaniem, które nie zostało jeszcze zidentyfikowane w pliku definicji. Wyłączenie tej opcji sprawia, że komputery są bardziej narażone na nowe złośliwe oprogramowanie. Dzięki nieusuwaniu plików poddanych kwarantannie można przywrócić te z nich, które zostały poddane kwarantannie przez pomyłkę. | ||||||
Wyjątki od skanowania w poszukiwaniu złośliwego oprogramowania |
| Opcjonalne ustawienia, których można użyć do wykluczenia określonych plików, folderów i rozszerzeń plików spod skanowań. | ||||||
Opcje klienta |
| Dzięki zablokowaniu interfejs użytkownika na komputerze klienckim ma się pewność, że ustawienia nie zostaną zmienione. |
Domyślne ustawienia karty Zastępowanie
| Obszar | Domyślne ustawienie | Uwaga | ||
Zastępowanie w zależności od rodzaju zagrożenia |
| Opcjonalne ustawienia, których można użyć, aby zmienić reakcję Client Security na wykrycie określonych złośliwych programów lub fałszywe wykrycie zaufanych aplikacji. | ||
Zastępowanie w zależności od kategorii lub ważności |
| Opcjonalne ustawienia, których można użyć, aby zmienić reakcję Client Security na wykrycie szkodliwych programów należących do określonej kategorii lub o określonym stopniu zagrożenia. |
Domyślne ustawienia karty Raportowanie
| Obszar | Domyślne ustawienie | Uwaga | ||||
Poziom alertu |
| Poziomy alertu określają, czy określone zdarzenie lub zestaw zdarzeń (na przykład pomyślne usunięcie infekcji złośliwego oprogramowania) generuje alert. | ||||
Rejestrowanie |
| Brak. | ||||
SpyNet |
| Brak. |
Dostosowanie ustawień zasad
Można dostosować wszystkie ustawienia opisane w powyższych tabelach do swoich zasad. Podczas dostosowywania ustawień zasad należy rozważyć poniższe kwestie związane z komputerami, do których stosowane są te zasady:
| • | Jak ważne jest bezpieczeństwo tych komputerów? Na przykład komputer dyrektora może wymagać dodatkowych zabezpieczeń, a rzadko używany komputer bez dostępu do Internetu może wymagać ich mniej. |
| • | Jak ważne jest powiadamianie administratora o potencjalnych problemach z bezpieczeństwem? Serwery pocztowe i bazodanowe wymagać zwykle będą wyższego poziomu alertu niż standardowe komputery. |
| • | Czy skanowania w poszukiwaniu złośliwego oprogramowania mają duży wpływ na wydajność komputera? Jest kilka ustawień, które można zmodyfikować, aby zmniejszyć wpływ Client Security na wydajność komputera klienckiego. |
| • | Jak często komputery powinny sprawdzać, czy dostępne są aktualizacje i czy powinny używać Microsoft Update, gdy serwer dystrybucji Client Security jest niedostępny? |
| • | Czy Client Security błędnie identyfikuje jako złośliwe oprogramowanie programy, które używane mają być na komputerach? |
Poniższe sekcje omawiając ustawienia zasad, które można zmienić w odpowiedzi na te pytania.
Więcej informacji o tych ustawieniach można znaleźć w przewodniku Client Security Administration Guide (j.ang.) (http://go.microsoft.com/fwlink/?LinkID=88221).
Ustawienia zasad dla skanowania
Dla większości komputerów-klientów domyślne ustawienia skanowania powinny być odpowiednie lub wymagać niewielu zmian; występują jednak często scenariusze wymagające zmiany ustawień zasad mających wpływ na skanowanie w poszukiwaniu złośliwego oprogramowania i SSA.
Ustawienia dla komputerów z wysokimi wymaganiami zabezpieczeń
W użyciu mogą być komputery wymagające wysokiego poziomu ochrony, takie jak serwery bazodanowe lub komputery, na których uruchomione są krytyczne aplikacje. Oprócz tego komputery używane przez ważnych użytkowników mogą wymagać dodatkowej ochrony.
Domyślne ustawienia zasad Client Security odzwierciedlają konserwatywne podejście do zabezpieczeń, na przykład planowane codzienne pełne skanowania; podczas konfiguracji zasad Client Security dla komputerów wymagających większej ochrony, należy rozważyć następujące zmiany w domyślnych ustawieniach.
| Karta | Obszar | Zalecane ustawienie | Uwaga | ||||||||||||||||
Ochrona | Skanowanie w poszukiwaniu złośliwego oprogramowania |
| Włączenie szybkich skanowań co określony, krótki okres czasu, na przykład co cztery godziny, daje pewność, że następujące obszary komputera są sprawdzane kilka razy dziennie:
| ||||||||||||||||
Zaawansowane | Aktualizacje definicji złośliwego oprogramowania |
| Jeśli na karcie Ochrona włączone zostaną szybkie skany co pewien krótki okres czasu i użyte zostaną domyślne ustawienia dla sprawdzania, czy są dostępne aktualizacje przed skanem, warto rozważyć wyłączenie szukania aktualizacji co określony czas.
| ||||||||||||||||
Raportowanie | Poziom alertu |
| Określenie wyższego poziomu alertu niż domyślny poziom 3 skutkuje większą ilością zdarzeń, co daje pewność, że użytkownik ma dokładniejsze informacje o stanie zabezpieczeń komputera. Więcej informacji o poziomach alertów można znaleźć na stronie Policy setting for alert level (j.ang.). |
Ustawienia dla komputerów z niskimi wymaganiami zabezpieczeń
W użyciu mogą być komputery z mniejszymi wymaganiami zabezpieczeń, np. komputery bez dostępu do Internetu. Podczas konfiguracji zasad Client Security dla komputerów wymagających mniejszej ochrony, należy rozważyć następujące zmiany w domyślnych ustawieniach.
| Karta | Obszar | Zalecane ustawienie | Uwaga | ||||
Ochrona | Skanowanie w poszukiwaniu złośliwego oprogramowania |
| Cotygodniowe pełne skanowanie jest odpowiedni dla komputerów o niskim ryzyku infekcji; zalecane jest jednak użycie domyślnych ustawień dla ochrony w czasie rzeczywistym i szukania aktualizacji. Zamiast codziennych pełnych skanowań rozważyć można codzienne szybkie skanowania, czyli szybkie skanowania o interwale wynoszącym 24 godziny. | ||||
Ochrona | Ocena stanu zabezpieczeń |
| Dwadzieścia cztery godziny to najdłuższy interwał, jaki można skonfigurować dla skanowań SSA. Zalecane jest pozostawienie skanowań SSA włączonych, aby raporty SSA pokazywały potencjalne luki w komputerach chronionych tą zasadą. | ||||
Raportowanie | Poziom alertu |
| Określenie niższego poziomu alertu niż domyślny 3 poziom skutkuje mniejszą liczbą zdarzeń, co jest pożądane w przypadku mniej ważnych komputerów. |
Ustawienia poprawiające wydajność komputerów
W użyciu mogą być komputery, na których pożądane jest zminimalizowanie wpływu skanowań na wydajność. Podczas konfiguracji zasad Client Security w celu poprawy wydajności komputera, należy rozważyć następujące zmiany domyślnych ustawień.
| Karta | Obszar | Zalecane ustawienie | Uwaga | ||||
Ochrona | Skanowanie w poszukiwaniu złośliwego oprogramowania |
| Ze wszystkich funkcji Client Security pełne skanowania mają największy wpływ na wydajność. Zmniejszenie częstotliwości do cotygodniowej powinno znacząco zmniejszyć wpływ Client Security na wydajność komputera.
Warto rozważyć optymalizację pory dnia, o której wykonywany jest pełny skan. Domyślnie wykonywany jest on o godzinie 02:00; jeśli jednak czas ten nachodzi na inne zaplanowane zadania, takie jak tworzenie kopii zapasowych, warto zmodyfikować zasadę tak, aby używała innego czasu. | ||||
Zaawansowane | Opcje skanowania w poszukiwaniu złośliwego oprogramowania |
| Warto rozważyć wyłączenie skanowania plików archiwów. Więcej informacji o tym ustawieniu można znaleźć na stronie Determining whether to scan archive files (j.ang.) (http://go.microsoft.com/fwlink/?LinkId=88928). | ||||
Zaawansowane | Wyjątki od skanowań w poszukiwaniu złośliwego oprogramowania |
| Jeśli na skanowanych komputerach są duże pliki, można ominąć je podczas skanowań.
|
Ustawienia poprawiające oceny w raportach SSA
Skanowania SSA szukają potencjalnych luk przy użyciu testów SSA, które opisują aspekty systemu operacyjnego i powszechnych aplikacji, które mogą być lepiej skonfigurowane w celu lepszej ochrony komputera. Komputery-klienci mogą pojawić się w raportach Client Security SSA ze względu na konfigurację oprogramowania, która jest pożądana z wielu różnych powodów, ale którą skanowanie SSA wykrywa jako potencjalną lukę.
Na przykład test SSA dotyczący wygasania hasła skanuje w poszukiwaniu lokalnych kont użytkowników z hasłami, które nie wygasają. Client Security przydziela tej luce średni poziom ważności i rejestruje zdarzenie, jeśli komputer kliencki zezwala kontom użytkowników na niewygasające hasła. W raportach zapisana zostanie informacja o luce o średnim poziomie ważności, co nie jest pomocne, jeśli administrator chce pozwolić lokalnym kontom użytkowników na niewygasające konta.
Zasady Client Security dają jedynie możliwość włączenia skanowań SSA przy użyciu wszystkich testów. Nie można też skonfigurować tego, jak Client Security określa oceny podczas testów SSA.
W celu zmniejszenia liczby raportów o celowych konfiguracjach, zalecane jest użycie zasad grupy do wymuszenia ustawień zezwalających na tę konfigurację. Zwykle kiedy ustawienia badane przez test SSA skonfigurowane są przez zasady grupy, ocena wynikowa podawana jest tylko w celach informacyjnych, co wyklucza ją z raportów SSA Client Security. Zakłada się, że konfiguracje wymuszone przez zasady grupy są zgodne ze standardami danej organizacji i są wprowadzone celowo.
Ustawienia zasad dla poziomu alertu
Zasadę Client Security skonfigurować można z jednym z pięciu poziomów alertu. Zależnie od tego, jak ważne są komputery, na których stosowana jest dana zasada, należy wybrać odpowiedni poziom alertu. Na przykład otrzymywanie alertu o każdym wykryciu złośliwego oprogramowania na serwerach baz danych, sieci Web i poczty e-mail może być pożądane, ale niepożądane na standardowych komputerach.
| Karta | Obszar | Ustawienie | Uwaga | ||
Raportowanie | Poziom alertu |
| Informacje o poziomach alertu można znaleźć w poniższej tabeli. |
Poniższa tabela opisuje pięć poziomów alertów.
| Poziom alertu | Opis |
5 | Ten poziom skutkuje najwyższą liczbą alertów. Alerty na tym poziomie są stosowne dla komputerów dyrekcji i kierownictwa, krytycznych serwerów danych i aktywów oraz krytycznych serwerów operacyjnych wymagających dużej dostępności lub zawierających kluczowe dane. |
4 | Ten poziom skutkuje wysoką liczbą alertów. Alerty na tym poziomie są stosowne dla najważniejszych serwerów operacyjnych, serwerów z danymi i ważnych komputerów. |
3 | Ten poziom jest domyślnym ustawieniem i skutkuje średnią liczbą alertów. Alerty na tym poziomie są stosowne dla najważniejszych komputerów. |
2 | Ten poziom skutkuje niską liczbą alertów. Alerty na tym poziomie są stosowne dla typowych komputerów użytkowych. |
1 | Ten poziom skutkuje najniższą liczbą alertów. Tylko globalne zagrożenia i masowe ataki wywołują alerty na tym poziomie. Alerty na tym poziomie są stosowne dla komputerów z mniej krytycznymi danymi. Na przykład można ustawić ten poziom dla zasady przeznaczonej dla zestawu komputerów, który jest bardzo duży albo nie zawiera komputerów wymagających natychmiastowej reakcji. |
Ustawienia zasad kontrolujące możliwości użytkowników końcowych
Można określić, co użytkownicy końcowi mogą zrobić w ramach interfejsu użytkownika agenta Client Security. Jako że zasady Client Security stosują się do komputerów, a nie do użytkowników, ustawienia określające możliwości użytkowników końcowych mają wpływ na wszystkich użytkowników danego komputera.
Informacje o tych ustawieniach można znaleźć na stronie Controlling the end-user experience (j.ang.) (http://go.microsoft.com/fwlink/?LinkID=86661).
Ustawienia pozwalające użytkownikom końcowym na uruchamianie skanowania
Ustawienia okien dialogowych Nowa zasada lub Edycja zasady opisane w poniższej tabeli pozwalają użytkownikom końcowym na uruchamianie skanowań bez zmiany pozostałych ustawień.
| Karta | Obszar | Ustawienie | Uwaga | ||||
Ochrona | Skanowanie w poszukiwaniu złośliwego oprogramowania |
| Określając zaplanowane i okresowe skanowania można upewnić się, że użytkownicy nie będą w stanie ich konfigurować, mimo że będą mieli dostęp do interfejsu użytkownika agenta Client Security. | ||||
Zaawansowane | Opcje klienta |
| Pozwala to użytkownikom na otworzenie interfejsu użytkownika agenta Client Security i uruchomienie skanowania. |
Ustawienia odmawiające użytkownikom końcowym dostępu do interfejsu użytkownika agenta Client Security
Domyślne ustawienie zasady to odmowa dostępu do interfejsu użytkownika agenta Client Security UI dla użytkowników końcowych. Poniższa tabela pokazuje ustawienia kontrolujące to, czy użytkownicy mają dostęp do interfejsu użytkownika agenta Client Security. Użytkownicy wciąż widzą komunikaty o stanie i ikonę Client Security w obszarze powiadomień.
| Karta | Obszar | Ustawienie | Uwaga | ||
Zaawansowane | Opcje klienta |
| Uniemożliwia to użytkownikowi otworzenie interfejsu agenta Client Security i uruchamianie skanowań. |
Ustawienia powiadamiania użytkowników o niesklasyfikowanym oprogramowaniu
Można skonfigurować Client Security tak, aby powiadamiał użytkowników końcowych, gdy agent Client Security wykryje niesklasyfikowane oprogramowanie, czyli oprogramowanie, które nie jest bezpośrednio zidentyfikowane ani jako złośliwe oprogramowanie, ani jako zaufany program.
| Uwaga: |
Wysoce zalecane jest użycie środowiska testowego w celu określenia, czy Client Security wykrywa podejrzane działania aplikacji, które są powszechne i niegroźne w danej organizacji. Aby zapobiec powiadamianiu użytkownika o tych wykryciach, należy wyłączyć je spod skanowań w zasadach określających, czy agent Client Security ma powiadamiać użytkowników o niesklasyfikowanym oprogramowaniu. |
Poniższa tabela pokazuje ustawienia służące do włączenia powiadomień o niesklasyfikowanym oprogramowaniu oraz do konfiguracji wyjątków.
| Karta | Obszar | Ustawienie | Uwaga | ||||
Zaawansowane | ` |
| Po włączeniu tego ustawienia, agent Client Security wyświetla komunikat, gdy wykryje niesklasyfikowane oprogramowanie. | ||||
Advanced | Wyjątki od skanów w poszukiwaniu złośliwego oprogramowania |
| Wykluczenie niesklasyfikowanego pliku zapobiega powiadomieniom w przypadku wykrycia go przez Client Security. |
Więcej informacji o ustawieniach wyjątków można znaleźć na stronie Excluding files, folders, and file types from scans (j.ang.) (http://go.microsoft.com/fwlink/?LinkId=88609).
Ustawienia zasad wykluczające pliki, foldery i typy plików
Można skonfigurować zasadę tak, aby skanowania w poszukiwaniu złośliwego oprogramowania omijały konkretne pliki, foldery i typy plików (według rozszerzenia pliku). Jest to szczególnie użyteczne jeśli Client Security błędnie wykrywa zaufane oprogramowanie jako złośliwe.
| Uwaga: |
Wysoce zalecane użycie środowiska testowego w celu określenia, czy Client Security wykrywa podejrzane działania aplikacji, które są powszechne i niegroźne w danej organizacji. Identyfikacja takich problemów przed wdrożeniem Client Security w środowisku produkcyjnym może pomóc zmniejszyć liczbę błędnych raportów i frustrację użytkowników. |
Poniższa tabela pokazuje ustawienia służące do włączenia powiadomień o niesklasyfikowanym oprogramowaniu oraz do konfiguracji wyjątków.
| Karta | Obszar | Ustawienie | Uwaga | ||||
Zaawansowane | Wyjątki od skanowań w poszukiwaniu złośliwego oprogramowania |
| Wykluczenie niesklasyfikowanego programu zapobiega powiadomieniom w przypadku wykrycia go przez Client Security. |
Więcej informacji o ustawieniach wyjątków można znaleźć na stronie Excluding files, folders, and file types from scans (j.ang.) (http://go.microsoft.com/fwlink/?LinkId=88609).
Kiedy Client Security wykrywa dopuszczalne oprogramowanie jako złośliwe, warto wysłać próbkę oprogramowania do firmy Microsoft, aby mogło one zostać zaaprobowane jako znana i prawidłowa aplikacja w przyszłych definicjach złośliwego oprogramowania. Więcej informacji można znaleźć na stronie Sending malware samples to Microsoft (j.ang.) (http://go.microsoft.com/fwlink/?LinkId=89635).
Ustawienia zasad dla Microsoft Update
Ważne jest, aby wszystkie komputery klienckie były w stanie niezawodnie otrzymywać aktualizacje, jako że pliki definicji złośliwego oprogramowania są często aktualizowane w celu ochrony komputerów przed nowymi zagrożeniami.
Można zabezpieczyć się przed niedostępnością serwera WSUS, konfigurując ustawienie zasad Client Security dotyczące Microsoft Update. To ustawienie pozwala komputerom klienckim na kontakt z Microsoft Update, jeśli nie będą w stanie połączyć się z serwerem WSUS. To ustawienie jest szczególnie ważne w przypadku komputerów przenośnych, jako że mogą one zostać odłączone od sieci danej organizacji i wciąż otrzymywać aktualizacje przez Internet poza siecią obwodową.
| Karta | Obszar | Ustawienie | Uwaga | ||
Zaawansowane | Aktualizacje definicji złośliwego oprogramowania |
| To ustawienie pozwala komputerom-klientom na otrzymywanie aktualizacji gdy WSUS nie jest dostępny. Użycie Microsoft Update wymaga połączenia z Internetem. |
Więcej informacji o tym ustawieniu można znaleźć na stronie Configuring fallback for updates (j.ang.) (http://go.microsoft.com/fwlink/?LinkId=88590).