Forefront Client Security – Implementare
Pe această pagină
Dupa instalarea software-ului necesar descris in articolul precedent, Planning & Prerequisites, putem trece la instalarea propriu-zisă a Forefront Client Security.
Dacă ați ales să faceți repartizarea rolurilor pe două servere, va trebui să rulați întâi wizard-ul de instalare pe primul (S1) și după terminarea instalarii pe S1, treceți pe S2 pentru instalarea numai a rolului de Distribution. Nu uitați să debifați celelalte roluri!
Valy Greavu, SysAdmin, KTB Infonet, ne povestește de implementarea Forefront Client Security la Facultatea de Economie și Administrarea afacerilor din cadrul UAIC Iași
Victor: Poate fi folosit cu succes deployment-ul pe 1 server în produție?
Valy: Da. Instalarea de ForeFront folosește modulul de MOM 2005 care este optimizat pentru reporting și management centralizat al clienților de ForeFront.
Victor: Ce hardware are server-ul?
Valy: x86 2xXenon 2.2 Ghz, 2 Gb Ram, HDD 100 Gb SCSI.
Victor: Care sunt punctele slabe ale FCS?
Valy: Nu sunt de neglijat problemele de instalare dacă nu ai mai făcut lucrul acesta. Sunt ceva probleme de integrare între Reporting-ul din MOM 2005 și Reporting-ul din ForeFront dar, cu puțină atenție și insistență se trece peste ambele. Alt minus este acela că nu suportă deployment pe Windows 2008 al niciunui rol.
Victor: Dar puncte forte?
Valy: Dacă ar fi să încerc să spun ceva, ar fi faptul că este prea simplu de administrat. Mă asteptam la ceva mult mai complex dar încerc să mă obișnuiesc cu simplitatea. Simplitate cum ar fi:
- instalează clientul pe toate calculatoarele din rețea, OK, Finish
- scanează toate calculatoarele din rețea, Click, Next, Finish
E de-a dreptul plictisitor să nu vezi 100 de ferestre 3 mesaje de unknown error și să scrii 100 de -force parameter.
Victor: Vis-à-vis de engine-ul de scanare?
Valy: Antivirusul merge perfect. Senzațional este că până acum studenții nu veneau cu stick-ul de acasă de teamă să nu se infecteze, acum vin cu el la școală ca să le dezinfecteze. De asemenea, mi-am dat seama că aveam destul de mulți viruși în rețea pe care nu îi puteam repera. Un alt aspect extraordinar este modul în care face scanarea și faptul că consumă mult prea puțina memorie. Update-ul definițiilor se face prin WSUS diminuînd foarte mult traficul de internet pentru update-uri.
Victor: Câte stații client aveți și câte servere?
Valy: 400 de stații client și 20 de servere. Deployment-ul este încă la început și momentan avem 190 de stații pe care rulează FCS.
Înainte de începerea instalării, va trebui să definiți trei tipuri de username-uri. Recomandarea ar fi să folosiți un singur cont de domeniu cu privilegii suficiente pentru toate tipurile:
| • | Action account: este folosit de către Collection server pentru a rula script-uri în collection db. Acest cont trebuie să aibă privilegii de db_owner în collection db și să fie administrator local pe Collection server. |
| • | DAS (Data Access Server) Account: Similar cu action account, folosit tot pentru accesul la collection db. |
| • | DTS (Data Transformation Services) Account: Folosit pentru comunicarea dintre collection db și reporting db printr-un task în Windows Scheduler (numit DTS job). |
| • | Reporting account: Acest cont este folosit de către reporting server pentru a accesa reporting db și collection db. |
Posibile erori la instalare
Deși înainte de instalare, wizard-ul va verifica toate datele și setările, este posibil ca installer-ul să nu reușească să instaleze o componentă sau mai multe. SetupLog-ul e destul de invuitiv și în funcție de ce component a dat eroarea, puteți vedea log-urile mai detaliate în F:\Microsoft Forefront\Client Security\Server\Logs.
De cele mai multe ori erorile sunt cauzate fie de neacordarea corespunzătoare a privilegiilor pentru cont-ul/cont-urile folosite, fie spațiu insuficient pe disc. Pentru deployment-ul pe 2 servere am rezervat o partiție de 80GB pentru S1 și o partiție de 40GB pentru S2 (însă folosesc WSUS numai pentru update-urile în engleza, pentru Forefront, XP și Vista). Dacă alegeți să folosiți un singur server, atunci va trebui să rezervați minim 100GB pentru Forefront.
Putem instala rolurile lui FCS pe: Windows Server 2003 SP1+ și pe Windows Server 2008 (numai 32 bits și cu aplicarea FCS Service Pack 1). Stațiile client pot fi orice de la Windows 2000 Sp4 până la XP, 2008, 2003 și, bineînteles, Vista. Pentru stațiile client există suport pentru 64 bits.
Instalarea agentului Forefront Client Security pe stațiile client
După terminarea instalării pe S1 și S2 veți putea accesa Forefront Client Security Console punctul central de monitorizare și configurare al Forefront Client security. Va trebui să introduceți încă o dată coordonatele server-ului de reports și collection și ați terminat cu partea de server!
Pentru client nu există cerințe speciale, nici software, nici hardware. Va trebui să vă asigurați că aveți instalat Microsoft Windows Installer 3.1, Microsoft Update Agent 2.0 și serviciul Task Scheduler este setat să pornească automat și să ruleze sub LocalSystem.
Pentru stațiile client există două modalități de a face deployment-ul: fie prin server-ul de distribuție WSUS, fie prin Group Policy Software Installation (GPSI).
Orice metodă ați alege, trebuie întâi să creați o politică de securitate în Forefront Client Security Console. În tab-ul Policy Management puteți crea o nouă politică și să setați lucruri ca:
După ce ați creat politica, trebuie să alegeți căror obiecte se aplică. Pentru că Forefront se folosește de AD pentru politici puteți să aplicați o politică unui: OU, security group sau puteți să o exportați într-un fișier.
După aceea, pot vedea politica în GPMC.
Binenteles, se recomandă crearea mai multor politici FCS, pentru a asigura nivelul crescut de securitate care îl cer unele OU-uri și respectarea politicii generale de securitate.
Pe server-ul de WSUS va trebui să aprobați pentru instalare ultima versiune a pachetului Client Update for Microsoft Forefront Client Security. După expirarea intervalului de refresh din group policy, clienții vor prelua politica nou creată în Forefront management console iar WSUS va distribui pachetul aprobat cliențiilor care se află sub incidenta politicii.
Metoda relativ mai ușoara este cea care foloseste Group Policy Installation Services cu folosirea pachetelor din folder-ul CLIENT de pe cd-ul de instalare Forefront Client Security.
Dacă totul este setat corespunzător, în scurt timp veți vedea clienții în Forefront Client Security Console. Valy ne arată ce vede el în consola lui:
Mai multe despre cum să folosim eficient consola Forefront și despre alte detalii de configurare, în articolul următor.
Până atunci, vă invit să descărcați trial-ul de Forefront Client Security de aici și să vă spuneți părerea despre el pe blog-ul meu. Dacă l-ai încercat deja, spune-ne despre implementarea pe care ai făcut-o și ai șansa să câștigi un premiu și publicarea poveștii tale în următorul buletin Technet.