НОУ ИНТУИТ | Технологии и продукты Microsoft в обеспечении информационной безопасности. Лекция 7: Технический обзор возможностей Microsoft Forefront Client Security

Учитесь и получайте официальные документы БЕСПЛАТНО. Вы можете поддержать наш проект.

Регистрация Вход

Твой путь к знаниям!

Опубликован: 25.06.2010 | Уровень: специалист | Доступ: свободно

|

Вам нравится? Нравится 28 студентам

| Поделиться |

Поддержать

| Скачать электронную книгу

Аннотация: В рамках лабораторной работы рассматриваются такие практические вопросы, как применение функций отчетов Forefront Client Security для управления средой безопасности, использование оповещений и их настройка для обнаружения рисков безопасности, а также проверка систем с помощью Forefront Client Security

Ключевые слова: ПО, Microsoft Forefront Client Security, пароль, политика безопасности, безопасная система, инсталляция, client, FCS, рабочий стол, двойной щелчок, Windows Server, windows xp, антивирус, пользовательский интерфейс, элементы управления, security management, развертывание, групповая политика, tab, agent, clicking, панель инструментов, dialog box, appearance, assessment, WS-I, организационные единицы, подразделения, всплывающая подсказка, operations management, текстовый файл, запрос подтверждения, сохранение изменений, MOMS, мониторинг, навигация, полоса прокрутки, уязвимость

Цель занятия

Приобрести навыки практического использования ПО Microsoft Forefront Client Security, обеспечивающего защиту от вирусов и программ-шпионов для промышленных компьютеров, портативных компьютеров и серверных систем

Имена компьютеров, используемых в рамках этой лабораторной работы:

Пароль к учетной записи администратора: P@ssw0rd

Краткие итоги

В результате выполнения лабораторной работы студенты научились:

Производить инсталляцию ПО Microsoft Forefront Client Security,
Создавать и развертывать политику безопасности
Настраивать политику оповещений
Запускать генерацию отчетов о безопасности системы и анализировать результаты

Упражнение 1 Проверка параметров установки

Сценарий

В этом упражнении мы проконтролируем наличие компонентов односерверной инсталляции Forefront Client

Security ( FCS ), а также выполнение условий, необходимых для его работы. Мы рассмотрим компоненты не только сервера, но и клиента.

Задача	Инструкции
Следующие задания выполняются на компьютере 1. Проверьте наличие компонентов сервера	Примечание: Для корректной работы системы Forefront Client Security Server (FCS) должен выполняться ряд условий, в т.ч. должны быть запущены нексколько сервисов. В данном упражнении мы увидим взаимосвязь этих условий. Примечание: Это упражнение выполняется на машине SEA-DCFCS-01 a.На рабочем столе выполните двойной щелчок по ярлыку Shortcut to Add or Remove Programs. b.Появится окно Add or Remove Programs. Разверните это окно до максимального размера. Примечание: Необходимо, чтобы на сервере был установлен компонент Microsoft .NET Framework 2.0, т.к. Forefront работает поверх этой программной платформы. Версия 2.0 была выпущена в ноябре 2005 г и доступна на сайте Microsoft для бесплатной загрузки. c.Убедитесь, что в списке есть Microsoft .NET Framework 2.0. Примечание: FCS использует Internet Information Services (IIS) как платформу для Web-сервисов. Windows Server Update Services (WSUS) и модуль FCS для генерации отчетов используют IIS как Web-сервер. d.Нажмите на кнопку Add or Remove Windows Components. e.Появится мастер установки Windows Components Wizard. Выберите Application Server и нажмите на кнопку Details. f.Появится диалоговое окно Application Server. Выберите ASP.NET. Примечание: Перед установкой FCS убедитесь в том, что в параметрах установки IIS активированы ASP.NET и FrontPage 2002 Server Extensions. g.Выберите Internet Information Services и нажмите на кнопку Details. h.Появится диалоговое окно Internet Information Services (IIS). Убедитесь, что в списке есть FrontPage 2002 Server Extensions. Примечание: Мы уже позаботились о том, чтобы это условие работы FCS было выполнено. i.Трижды нажмите Cancel. j.Закройте окно Add or Remove Programs. Примечание: Чтобы автоматически передавать политику на клиентские компьютеры, FCS использует консоль Group Policy Management Console (GPMC). GPMC обладает простым и удобным интерфейсом для распространения, редактирования и сохранения резервных копий групповых политик, а также генерации отчетов по в рамках домена. Наличие GPMCпозволяет автоматизировать управление групповыми политиками с помощью скриптов. Примечание: При администрировании Forefront непосредственной работы с консолью GPMC не предполагается. Используются предоставляемые GPMC возможности автоматизации. Примечание: Как мы увидим далее, Forefront использует GPMC для развертывания политик на клиенте, хотя то же самое можно сделать, экспортировав политику в файл и применив любой инструмент для развертывания программного обеспечения. Примечание: При наличии установленной консоли GPMC можно осуществлять администрирование политик на уровне описанных в Active Directory организационных единиц. k.Нажмите Start -> Administrative Tools -> Group Policy Management. Примечание: Чтобы получать и развертывать обновления для системы безопасности, FCS использует систему Windows Server Update Services. Даже в автономном режиме WSUS позволяет администратору автоматически устанавливать последние обновления на компьютеры под управлением Windows 2000, Windows Server 2003 и Windows XP с использованием Active Directory. WSUS позволяет администратору осуществлять полный контроль за распространением обновлений с сайта Microsoft Update. Примечание: Чтобы избежать необходимости подключения каждой пользовательской машины к Microsoft Update для загрузки обновлений, WSUS скачивает всего одну копию, затем определяет, на какие компьютеры требуется установить загруженное обновление и предоставляет администратору выбор: выполнить установку, отказаться от установки или удалить загруженное обновление с клиентских машин. l.Закройте окно Group Policy Management. m.На рабочем столе выполните двойной щелчок по ярлыку Microsoft Windows Server Update Services. Примечание: На сервер было установлено обновление в виде Microsoft Management Console 3.0 - улучшенная версия консоли, необходимая для запуска Forefront Security console. Примечание: Консоль MMC сама по себе является не инструментом для администрирования, а платформой для интеграции таких инструментов. Непосредственно администрирование выполняется при помощи подключаемых компонентов (таких, как консоль Microsoft Forefront Security). Примечание: MMC 3.0 обладает более дружественным интерфейсом и лучшей стабильность по сравнению с версией MMC 2.0. n.Закройте Windows Server Update Server Update Services. o.На рабочем столе выполните двойной щелчок по ярлыку Microsoft Forefront Client Security Console. В открывшемся окне Microsoft Forefront Client Security нажмите на кнопку Scan Now. В открывшемся окне Scan Now нажмите на кнопку Scan Now. В диалоговом окне Microsoft Forefront Client Security нажмите Yes. Сканирование займет около двух минут.
Следующие задания выполняются на компьютере 2. Проверьте наличие компонентов клиента	Примечание: Первым основным требованием для работы клиентского сервиса FCS является Microsoft Windows GDI+. Это API-интерфейс, позволяющий приложениям графику и форматированный текст как на мониторе, так и на принтере. Приложения на базе Microsoft Win32 API используют графические аппаратные возможности не напрямую, а через GDI+. В операционных системах Windows XP и Windows Server 2003 компонент GDI+ предустановлен, но в машинах на базе Windows 2000 может потребоваться выполнить установку вручную. Инсталлятор GDI доступен на сайте Microsoft. Примечание: Это упражнение выполняется на машине SEA-WS-02. a.На рабочем столе выполните двойной щелчок по ярлыку Shortcut to Add or Remove Programs. b.Откроется окно Add or Remove Programs. Убедитесь, что в списке есть Windows Installer 3.1. Примечание: Для корректной инсталляции FCS-клиента на машине должен быть установлен Windows Installer 3.1. Как правило, на компьютерах, периодически обновляемых через Microsoft Update или Windows Server Update Services , этот компонент, как и Windows Update Agent 2.0, уже установлен. c.Закройте окно Add or Remove Programs. Примечание: На компьютерах-клиентах FCS источник обновлений должен быть изменен (по умолчанию: Microsoft Update) на имя соответствующего WSUS сервера. d.Правой кнопкой мыши вызовите контекстное меню на ярлыке My Computer и выберите опцию Properties. e.В открывшемся окне перейдите на вкладку Automatic Updates. Примечание: Если клиент использует WSUS -сервер, локальная политика обновлений определяется через групповые политики, а не панель управления на клиенте. f.Обратите внимание, что опции управления обновлениями на вкладке Automatic Updates недоступны для изменения. g.Закройте окно Properties. Примечание: Необходимо, чтобы планировщик задач (сервис Task Scheduler) был должным образом сконфигурирован и запущен на момент развертывания Client Security на клиентских компьютерах. В том случае, если запланированные задачи в окне Scheduled Tasks были остановлены вручную, сервис останавливается и при следующем запуске компьютера не инициализируется автоматически. h.На рабочем столе выполните двойной щелчок по ярлыку Services. i.Прокрутите страницу вниз и выберите Task Scheduler. Примечание: Сервис может не запускаться, если в его конфигурации не установлен параметр запуска под учетной записью локальной системы. По умолчанию во всех версиях Windows Task Scheduler настроен на запуск под локальной системой, поэтому проблемы могут возникнуть только в тому случае, если установка по умолчанию была изменена. j.Убедитесь, что в графе Log on as напротив Task Scheduler установлено значение Local System. k.Убедитесь, что в списке есть MOM. Примечание: система Microsoft Operations Manager (MOM) - одна из составляющих Forefront Client Security. Агент MOM устанавливается при инсталляции MOM. Прежде чем развертывать клиента, отключите все запущенные антивирусные и антишпионские программы Примечание: Помимо этого на клиентских машинах Microsoft Forefront запущены сервисы Microsoft Forefront Client Security Antimalware Services и Microsoft Forefront Client Security StateAssessment Service. l.Убедитесь, что в списке есть Microsoft Forefront Client Security Antimalware Service и Microsoft Forefront Client Security State Assessment Service.
Следующие задания выполняются на компьютере 1. Изучите пользовательский интерфейс	Примечание: Администрирование Forefront Client Security осуществляется посредством консоли Microsoft Forefront Client Security Management. В этом упражнении мы более подробно рассмотрим инструменты и возможности консоли. Прямо сейчас мы уделим внимание пользовательскому интерфейсу. Примечание: Это упражнение выполняется на машине SEA-DCFCS-01 a.На рабочем столе выполните двойной щелчок по ярлыку Microsoft Forefront Client Security Примечание: интерфейс в виде панели позволяет получить обзор состояния сети. Можно видеть процентное соотношение количества нормально работающих компьютеров к числу машин с обнаруженными проблемами. В верхнем левом углу отображается количество управляемых компьютеров. b.Определите местонахождение элемента управления managed computers. Примечание: этот элемент позволяет мгновенно увидеть долю (в %) компьютеров, которые сообщают об ошибках / сообщают об отсутствии ошибок / не отвечают на запрос. c.Определите местонахождение таблиц Reporting Issues, Reporting No Issues и Not Reporting. d.Определите местонахождение таблицы Issues. Примечание: Таблица Issues сообщает о количестве неразрешенных проблем, вызванных наличием троянских программ, уязвимостей, устаревших политик и предупреждений. e.Определите местонахождение таблицы 14-Day History. Примечание: 14-дневная история позволит выявить тенденции (например, рост числа угроз со стороны троянских программ). f.Определите местонахождение таблицы Summary Reports. Примечание: Из этой консоли можно получить доступ ко всем предупреждениям и отчетам. Позже мы ознакомимся с ними более подробно. g.Перейдите на вкладку Policy Management. Примечание: вкладка Policy Management позволяет создавать новые и редактировать существующие политики, а также развертывать их на клиентских машинах. h.Вернитесь на вкладку Dashboard. Примечание: Сообщения соответствуют новым и активным предупреждениям MOM. Встроенные ссылки позволяют открывать консоль Microsoft Operations Manager Operator. i.На панели Notifications выберите There are 1 new Client Security Alerts in Microsoft Operations Manager. Примечание: может отображаться > 1 Client Security Alert или 0 Alert. Примечание: как мы уже упоминали, FCS использует MOM как платформу для выдачи предупреждений. Мы можем ограничить просмотр предупреждений, задав конкретную машину. j.Откроется окно Microsoft Operations Manager 2005 - Operator Console - ForefrontClientSecurity. Определите местонахождение окна Alerts. Примечание: если предупреждение повторяется, MOM не добавляет новую строку в таблицу, расположенную в окне Alerts. Вместо этого исходная строчка обновляется в соответствии с новой информацией о событии. В консоли MOM Operator можно просматривать информацию о предупреждениях, включая время возникновения первого и последнего события из одной и той же категории. k.Двойным щелчком кликните по непустой строчке в окне Alerts. l.На вкладке Properties найдите строчку Time of Last Event. Примечание: более подробно MOM будет рассмотрен в другом упражнении. m.Закройте Microsoft Operations Manager 2005 - Operator Console - ForefrontClientSecurity.

Задача

Инструкции

Следующие задания выполняются на компьютере

1. Проверьте наличие компонентов сервера

Примечание: Для корректной работы системы Forefront Client Security Server (FCS) должен выполняться ряд условий, в т.ч. должны быть запущены нексколько сервисов. В данном упражнении мы увидим взаимосвязь этих условий.

Примечание: Это упражнение выполняется на машине SEA-DCFCS-01

a.На рабочем столе выполните двойной щелчок по ярлыку Shortcut to Add or Remove Programs.

b.Появится окно Add or Remove Programs. Разверните это окно до максимального размера.

Примечание: Необходимо, чтобы на сервере был установлен компонент Microsoft .NET Framework 2.0, т.к. Forefront работает поверх этой программной платформы. Версия 2.0 была выпущена в ноябре 2005 г и доступна на сайте Microsoft для бесплатной загрузки.

c.Убедитесь, что в списке есть Microsoft .NET Framework 2.0.

Примечание: FCS использует Internet Information Services (IIS) как платформу для Web-сервисов. Windows Server Update Services (WSUS) и модуль FCS для генерации отчетов используют IIS как Web-сервер.

d.Нажмите на кнопку Add or Remove Windows Components.

e.Появится мастер установки Windows Components Wizard. Выберите Application Server и нажмите на кнопку Details.

f.Появится диалоговое окно Application Server. Выберите ASP.NET.

Примечание: Перед установкой FCS убедитесь в том, что в параметрах установки IIS активированы ASP.NET и FrontPage 2002 Server Extensions.

g.Выберите Internet Information Services и нажмите на кнопку Details.

h.Появится диалоговое окно Internet Information Services (IIS). Убедитесь, что в списке есть FrontPage 2002 Server Extensions.

Примечание: Мы уже позаботились о том, чтобы это условие работы FCS было выполнено.

i.Трижды нажмите Cancel.

j.Закройте окно Add or Remove Programs.

Примечание: Чтобы автоматически передавать политику на клиентские компьютеры, FCS использует консоль Group Policy Management Console (GPMC). GPMC обладает простым и удобным интерфейсом для распространения, редактирования и сохранения резервных копий групповых политик, а также генерации отчетов по в рамках домена. Наличие GPMCпозволяет автоматизировать управление групповыми политиками с помощью скриптов.

Примечание: При администрировании Forefront непосредственной работы с консолью GPMC не предполагается. Используются предоставляемые GPMC возможности автоматизации.

Примечание: Как мы увидим далее, Forefront использует GPMC для развертывания политик на клиенте, хотя то же самое можно сделать, экспортировав политику в файл и применив любой инструмент для развертывания программного обеспечения.

Примечание: При наличии установленной консоли GPMC можно осуществлять администрирование политик на уровне описанных в Active Directory организационных единиц.

k.Нажмите Start -> Administrative Tools -> Group Policy Management.

Примечание: Чтобы получать и развертывать обновления для системы безопасности, FCS использует систему Windows Server Update Services. Даже в автономном режиме WSUS позволяет администратору автоматически устанавливать последние обновления на компьютеры под управлением Windows 2000, Windows Server 2003 и Windows XP с использованием Active Directory. WSUS позволяет администратору осуществлять полный контроль за распространением обновлений с сайта Microsoft Update.

Примечание: Чтобы избежать необходимости подключения каждой пользовательской машины к Microsoft Update для загрузки обновлений, WSUS скачивает всего одну копию, затем определяет, на какие компьютеры требуется установить загруженное обновление и предоставляет администратору выбор: выполнить установку, отказаться от установки или удалить загруженное обновление с клиентских машин.

l.Закройте окно Group Policy Management.

m.На рабочем столе выполните двойной щелчок по ярлыку Microsoft Windows Server Update Services.

Примечание: На сервер было установлено обновление в виде Microsoft Management Console 3.0 - улучшенная версия консоли, необходимая для запуска Forefront Security console.

Примечание: Консоль MMC сама по себе является не инструментом для администрирования, а платформой для интеграции таких инструментов. Непосредственно администрирование выполняется при помощи подключаемых компонентов (таких, как консоль Microsoft Forefront Security).

Примечание: MMC 3.0 обладает более дружественным интерфейсом и лучшей стабильность по сравнению с версией MMC 2.0.

n.Закройте Windows Server Update Server Update Services.

o.На рабочем столе выполните двойной щелчок по ярлыку Microsoft Forefront Client Security Console. В открывшемся окне Microsoft Forefront Client Security нажмите на кнопку Scan Now. В открывшемся окне Scan Now нажмите на кнопку Scan Now. В диалоговом окне Microsoft Forefront Client Security нажмите Yes. Сканирование займет около двух минут.

Следующие задания выполняются на компьютере

2. Проверьте наличие компонентов клиента

Примечание: Первым основным требованием для работы клиентского сервиса FCS является Microsoft Windows GDI+. Это API-интерфейс, позволяющий приложениям графику и форматированный текст как на мониторе, так и на принтере. Приложения на базе Microsoft Win32 API используют графические аппаратные возможности не напрямую, а через GDI+. В операционных системах Windows XP и Windows Server 2003 компонент GDI+ предустановлен, но в машинах на базе Windows 2000 может потребоваться выполнить установку вручную. Инсталлятор GDI доступен на сайте Microsoft.

Примечание: Это упражнение выполняется на машине SEA-WS-02.

a.На рабочем столе выполните двойной щелчок по ярлыку Shortcut to Add or Remove Programs.

b.Откроется окно Add or Remove Programs. Убедитесь, что в списке есть Windows Installer 3.1.

Примечание: Для корректной инсталляции FCS-клиента на машине должен быть установлен Windows Installer 3.1. Как правило, на компьютерах, периодически обновляемых через Microsoft Update или Windows Server Update Services , этот компонент, как и Windows Update Agent 2.0, уже установлен.

c.Закройте окно Add or Remove Programs.

Примечание: На компьютерах-клиентах FCS источник обновлений должен быть изменен (по умолчанию: Microsoft Update) на имя соответствующего WSUS сервера.

d.Правой кнопкой мыши вызовите контекстное меню на ярлыке My Computer и выберите опцию Properties.

e.В открывшемся окне перейдите на вкладку Automatic Updates.

Примечание: Если клиент использует WSUS -сервер, локальная политика обновлений определяется через групповые политики, а не панель управления на клиенте.

f.Обратите внимание, что опции управления обновлениями на вкладке Automatic Updates недоступны для изменения.

g.Закройте окно Properties.

Примечание: Необходимо, чтобы планировщик задач (сервис Task Scheduler) был должным образом сконфигурирован и запущен на момент развертывания Client Security на клиентских компьютерах. В том случае, если запланированные задачи в окне Scheduled Tasks были остановлены вручную, сервис останавливается и при следующем запуске компьютера не инициализируется автоматически.

h.На рабочем столе выполните двойной щелчок по ярлыку Services.

i.Прокрутите страницу вниз и выберите Task Scheduler. Примечание: Сервис может не запускаться, если в его конфигурации не установлен параметр запуска под учетной записью локальной системы. По умолчанию во всех версиях Windows Task Scheduler настроен на запуск под локальной системой, поэтому проблемы могут возникнуть только в тому случае, если установка по умолчанию была изменена.

j.Убедитесь, что в графе Log on as напротив Task Scheduler установлено значение Local System.

k.Убедитесь, что в списке есть MOM.

Примечание: система Microsoft Operations Manager (MOM) - одна из составляющих Forefront Client Security. Агент MOM устанавливается при инсталляции MOM. Прежде чем развертывать клиента, отключите все запущенные антивирусные и антишпионские программы

Примечание: Помимо этого на клиентских машинах Microsoft Forefront запущены сервисы Microsoft Forefront Client Security Antimalware Services и Microsoft Forefront Client Security StateAssessment Service.

l.Убедитесь, что в списке есть Microsoft Forefront Client Security Antimalware Service и Microsoft Forefront Client Security State Assessment Service.

Следующие задания выполняются на компьютере

1. Изучите пользовательский интерфейс

Примечание: Администрирование Forefront Client Security осуществляется посредством консоли Microsoft Forefront Client Security Management. В этом упражнении мы более подробно рассмотрим инструменты и возможности консоли. Прямо сейчас мы уделим внимание пользовательскому интерфейсу.

Примечание: Это упражнение выполняется на машине SEA-DCFCS-01

a.На рабочем столе выполните двойной щелчок по ярлыку Microsoft Forefront Client Security

Примечание: интерфейс в виде панели позволяет получить обзор состояния сети. Можно видеть процентное соотношение количества нормально работающих компьютеров к числу машин с обнаруженными проблемами. В верхнем левом углу отображается количество управляемых компьютеров.

b.Определите местонахождение элемента управления managed computers.

Примечание: этот элемент позволяет мгновенно увидеть долю (в %) компьютеров, которые сообщают об ошибках / сообщают об отсутствии ошибок / не отвечают на запрос.

c.Определите местонахождение таблиц Reporting Issues, Reporting No Issues и Not Reporting.

d.Определите местонахождение таблицы Issues. Примечание: Таблица Issues сообщает о количестве неразрешенных проблем, вызванных наличием троянских программ, уязвимостей, устаревших политик и предупреждений.

e.Определите местонахождение таблицы 14-Day History.

Примечание: 14-дневная история позволит выявить тенденции (например, рост числа угроз со стороны троянских программ).

f.Определите местонахождение таблицы Summary Reports. Примечание: Из этой консоли можно получить доступ ко всем предупреждениям и отчетам. Позже мы ознакомимся с ними более подробно.

g.Перейдите на вкладку Policy Management. Примечание: вкладка Policy Management позволяет создавать новые и редактировать существующие политики, а также развертывать их на клиентских машинах.

h.Вернитесь на вкладку Dashboard.

Примечание: Сообщения соответствуют новым и активным предупреждениям MOM. Встроенные ссылки позволяют открывать консоль Microsoft Operations Manager Operator.

i.На панели Notifications выберите There are 1 new Client Security Alerts in Microsoft Operations Manager.

Примечание: может отображаться > 1 Client Security Alert или 0 Alert.

Примечание: как мы уже упоминали, FCS использует MOM как платформу для выдачи предупреждений. Мы можем ограничить просмотр предупреждений, задав конкретную машину.

j.Откроется окно Microsoft Operations Manager 2005 - Operator Console - ForefrontClientSecurity. Определите местонахождение окна Alerts.

Примечание: если предупреждение повторяется, MOM не добавляет новую строку в таблицу, расположенную в окне Alerts. Вместо этого исходная строчка обновляется в соответствии с новой информацией о событии. В консоли MOM Operator можно просматривать информацию о предупреждениях, включая время возникновения первого и последнего события из одной и той же категории.

k.Двойным щелчком кликните по непустой строчке в окне Alerts.

l.На вкладке Properties найдите строчку Time of Last Event.

Примечание: более подробно MOM будет рассмотрен в другом упражнении.

m.Закройте Microsoft Operations Manager 2005 - Operator Console - ForefrontClientSecurity.

Дальше >>

Технологии и продукты Microsoft в обеспечении информационной безопасности