Forefront Client Security – Planificare și cerințe
Pe această pagină
 | Management, Collection & Reporting |
| Distribution |
După cum poate ați auzit, Microsoft a lansat de curând o suită de produse de securitate pentru business-uri:
| • | Forefront Codename Stirling; |
| • | Forefront Client Security; |
| • | Forefront Edge Security (ISA & IAG); |
| • | Forefront Server Security (Forefront for Exchange & Forefront for Sharepoint). |
Astăzi o să ne concentrăm asupra pregătirii unui deployment ForefrontClientSecurity. Acesta ne va oferi protecție anti-malware pe toate stațiile client din rețea și o interfață de administrare care ne va permite controlul și remedierea problemelor. Aveți aici o prezentare generală a produsului Forefront Client Security.
Mai întâi de toate, să vedem rolurile care trebuiesc îndeplinite:
| • | Management; |
| • | Distribution; |
| • | Collection role + collection DB; |
| • | Reporting role + reporting DB. |
În funcție de numărul de clienți pe care îi avem o să alegem cum distribuim rolurile de mai sus pe servere. Avem posibilitatea să reunim toate rolurile într-un singur server, să separăm Distribution pe un alt server sau, varianta aleasă de MS în demonstrații: 1 server cu rolurile de Management, Collection, Reporting role+DB, 1 server Collection Db și ultimul server are rolul de Distribution.
Trebuie să reținem, atunci când separăm rolurile, nici un rol din deployment-ul de FCS nu poate fi instalat pe Domain controller.
Putem instala rolurile lui FCS pe: Windows Server 2003 SP1+ și pe Windows Server 2008 (numai 32 bits și cu aplicarea FCS Service Pack 1). Stațiile client pot fi orice de la Windows 200 Sp4 până la XP, 2008, 2003 și,bineînteles, Vista. Pentru stațiile client există suport pentru 64 bits.
Trebuie deasemenea să luăm în considerare ce conturi de utilizator folosim. Recomandarea este să folosim un singur cont din domeniu căruia să-i acordăm privilegiile necesare la bazele de date. Mai multe detalii aici.
Management, Collection & Reporting
O să instalez aceste roluri pe un singur server, un Windows 2008 Enterprise. Trebuie să am:
| • | .Net Framework 2.0+ (dacă separați rolurile trebuie să aveți .net framework 2.0+ pe toate serverele); |
| • | GPMC; |
| • | MMC 3.0; |
| • | SQL Server 2005 Standard sau Enterprise (Sql 2008 nu merge) instalat cu Database, Reporting și Integration; |
| • | IIS 6.0+ cu Frontpage server extension și Asp.net; |
Install-ul de SQL 2005 pe Windows 2008 nu o să meargă în varianta default. Dacă o să încercați să instalați pur și simplu nu o să vă detecteze IIS7 și nu o să puteți să instalați Reporting Services. Așa că trebuie să adăugați câteva features în plus la install-ul de IIS7, și anume:
După aceea o să puteți instala fără probleme Reporting Service. Nu uitați să instalați SP2 după. Trebuie deasemenea să porniți SQL Server Agent și să îl setați să pornească automat.
Distribution
Aveți nevoie de un WSUS de cel puțin 2.0 cu SP1. Eu îl am instalat pe un Win2003R2 și tocmai l-am adus la zi la 3.0 cu SP1. Față de configurările default, trebuie să faceți următoarele configurări pentru deployment-ul de FCS:
| • | Când îl instalați, trebuie neapărat pus pe un site nou pe port-ul 8530, altfel nu o să fie detectat de FCS; |
| • | Setare opțiune "store files locally"; |
| • | Setare opțiune "automatically approve" pentru security updates și definitions (care oricum vă va fi setat când instalați FCS distribution role). |
Dacă nu o aveți făcută încă, va trebui să creați o politică în AD pentru a redirecționa clienții către site-ul intern de update. Opțiunile le găsiți în Windows Components/Windows Updates și ar trebui să le setați cam așa:
Este obligatorie prima setare "Allow automatic updates immediate installation" care va permite update-urilor de definiții să fie instalate automat pe stațiile client.
Rolurile trebuie instalate în ordine iar cerințele vor fi verificate la fiecare instalare de către un Wizard așa că dacă uitați ceva, nu o să puteți să treceți la instalare. Mai mult, wizard-ul ne oferă sfaturi pentru a remedia problema.
