Технический обзор возможностей Microsoft Forefront Client Security

Примечание: Политики можно обновлять и переустанавливать в любое время, однако в идеале стоит создать их до развертывания клиентов, с тем чтобы клиенты при запуске стартовали под специализированными политиками, а не политиками с установками по умолчанию. Если до инсталляции агентов на клиентские машины специализированные политики не были созданы, то при первоначальном сканировании они будут проигнорированы.

Примечание: Это упражнение выполняется на машине SEA-DCFCS-01

a.В окне Forefront Client Security выберите вкладку Policy Management.

Примечание: Создание политики до установки клиентских модулей на машины позволяет указать настройки, которые не будут конфликтовать с существующими программными продуктами для обеспечения бизнес-потребностей и безопасности, а также гарантировать, что сканирование на наличие троянов и других проблем с безопасностью будет производится с нужной периодичностью и покрывать требуемую область памяти.

Примечание: Политики могут применяться к организационным единицам (OU), группам безопасности или целому домену. К одному компьютеру нельзя применить несколько политик. К компьютерам, не покрывающимся ни одной специализированной политикой, применяется политика, заданная по умолчанию.

b.Нажмите New.

c.Появится диалоговое окно New Policy. В поле Name введите Contoso Domain Policy.

Примечание: Параметры защиты клиентских машин устанавливаются на вкладке Protection . Включение и выключение антивирусной и антишпионской защиты затрагивает как работу в режиме реального времени, так и запланированное сканирование.

d.Перейдите на вкладку Protection.

e.Найдите элемент Virus Protection

f. В выпадающем списке выберите опцию User Controlled.

Примечание: При выставлении значения User Controlled для защиты от вирусов или шпионского ПО пользователь получает возможность активировать и отключать сканирование в режиме реального времени, а также устанавливать режим запланированных проверок.

g.Найдите элемент Spyware Protection

h. В выпадающем списке выберите опцию On.

i. Найдите элемент Malware scanning.

Примечание: на вкладке Protection можно отключить сканирование в режиме реального времени или изменить периодичность запланированных проверок

Примечание: Можно настроить запуск быстрого сканирования, требующего меньших ресурсов и проверяющего только области, подвергающиеся наибольшему риску заражения

k.Установите флаг напротив Run a Quick Scan at set interval (hours).

l.Нажмите Scan at this time.

m.Определите местонахождение элемента If scan was not run when scheduled, run it as soon as possible.

Примечание: Оценка безопасности системы всегда контролируется администратором. Можно произвести настройки, позволяющие запускать сканирование как можно быстрее в том случае, если в запланированное время его выполнить не удалось (например, с том случае, когда в установленное для сканирования время компьютер был выключен).

n.Перейдите на вкладку Advanced tab.

Примечание: Вкладка Advanced позволяет управлять настройками сканирования. Например, можно указать, должен ли клиент перед началом сканирования запрашивать обновления, а также задать периодичность регулярных запросов обновлений.

o.Определите местонахождение элемента Malware definition updates.

p.Найдите элемент Check for updates on Microsoft Update when WSUS is unavailable.

Примечание: В случае недоступности сервера WSUS клиенты могут напрямую обращаться к сайту Microsoft Update за последними обновлениями.

q.Найдите элемент Malware scan options.

Примечание: Механизм поиска вредоносного ПО может использовать и эвристические методы для обнаружения подозрительных файлов, сигнатуры которых не содержатся в базе описаний вредоносного ПО.

Примечание: из-за наличия ложных срабатываний предусмотрена возможность настройки "степени доверия" к результатам работы эвристических методов: "оптимистический" подход (считать подозрительные файлы безвредными) и "пессимистический" (считать зараженными)

r.В выпадающем списке выберите опцию Infected.

Примечание: При наличии файлов или директорий, которые не нужно подвергать сканированию, их имена можно указать в списке исключений.

s.Найдите элемент File and folder paths и нажмите Add.

t.В диалоговом окне Exclude Path введите C:\data\special\.

u.Нажмите OK.

v.Найдите элемент User can change settings, schedule scans, start scans, view scan results, and respond to prompts.

Примечание: Можно расширить возможности пользователя по конфигурированию FCS. Для этого в области Client optionsнужно выбрать уровень контроля за работой программы Microsoft Forefront Client Security Agent и ее видимости для пользователей на их машинах. Устанавливая уровень доступа, будем исходить из следующего: обычный пользователь должен иметь возможность менять некоторые установки, запускать и останавливать сканирование, просматривать его результаты и отвечать на предупреждения.

w.Найдите элемент User can view system tray icon and associated status messages.

Примечание: Минимальный уровень доступа блокирует попытки пользователя изменить установки FCS. Пользователи видят только иконку в области пиктограмм панели задач и статусные сообщения, сгенерированные FCS. Они не могут менять установки сканирования и просматривать отчеты о результатах.

x.Поставьте флажок в поле Allow access to administrators only.

Примечание: При установке флажка Allow access to administrators only пользователи с правами администраторов будут иметь доступ к возможностям FCS. Эта опция будет работать по-разному в зависимости от того, какой установлен уровень пользовательского доступа (стандартный или минимальный). В случае стандартного доступа установка этого флага приведет к тому, что доступ к интерфейсу FCS смогут получить только пользователи с административными привилегиями (фактически они будут иметь минимальный уровень доступа). В случае стандартного доступа установка флага позволит пользователям с правами администратора вмешиваться в работу Client Security Agent исключительно посредством редактирования реестров, но не через пользовательский интерфейс.

y.Найдите элемент Allow users to add exclusions and overrides.

Примечание: в случае установки флажка "Allow users to add exclusions and overrides "пользователи получают возможность исключать определенные программы из сканирования и в некоторых случаях подменять заданные по умолчанию действия при обнаружении вредоносного ПО.

Примечание: описания угроз от вредоносного ПО в Client Security сопровождаются перечнем действий, которые должны быть предприняты в случае их возникновения. Как правило, эти предписания являются приемлемыми, но предусмотрена возможность поменять заданную по умолчанию реакцию на определенные угрозы (в т.ч. учитывая уровень опасности и категорию угрозы).

z.Перейдите на вкладку Overrides.

aa.В области Overrides based on malware threat нажмите кнопку Add.

bb.Нажмите < Select threat >.

cc.Нажмите Unknown.

Примечание: Реакция по умолчанию на угрозу этого типа - игнорирование. Однако мы можем переопределить ее и потребовать помещать файлы, несущие неизвестный тип угрозы, в карантин.

dd.Нажмите < Select action >.

ee.Нажмите Quarantine.

Примечание: В области Overrides based on category and severity мы можем переопределять заданную по умолчанию реакцию для вредоносного ПО, с которым связан определенный уровень угрозы или определенный тип.

ff.В области Overrides based on category and severity, click Add.

gg.Нажмите < Select classification >.

hh.Нажмите Category.

Примечание: к примеру, чтобы немедленно удалять файлы "adware", нужно добавить новую запись, указав в качестве категории adware и в качестве действия Remove from the Override Response Примечание: В том случае, когда к определенному экземпляру вредоносного ПО относится переопределенный алгоритм действий при обнаружении любого вредоносного ПО и переопределенный алгоритм действий при обнаружении вредоносного ПО определенной категории или уровня угрозы, приоритет имеет первый алгоритм.

ii.Нажмите < Select value >.

jj.Нажмите Adware.

kk.Нажмите < Select Action >.

ll.Нажмите Remove.

Примечание: FCS позволяет администратору получать доступ к критической информации, не отвлекаясь на маловажные предупреждения. Количество предупреждений, отображаемых FCS сервером, может быть настроено вручную

mm.Перейдите на вкладку Reporting.

nn.Перетащите ползунок Alert level на уровень Alert Level 4 - High.

Примечание: степень угрозы возрастает с порядковым номером, уровень 4 - второй по критичности.

Примечание: Создана политика, которую можно разворачивать на клиентских машинах.

oo.Нажмите OK.

pp.Убедитесь в наличии строки Contoso Domain Policy.

Примечание: Наша вновь созданная политика еще не развернута. До тех пор, пока это не сделано, политика не оказывает никакого виляния на клиентские машины.

Примечание: Это упражнение выполняется на машине SEA-DCFCS-01

a.Выберите строку Contoso Domain Policy.

b.Нажмите кнопку Deploy на панели инструментов

Примечание: С использованием Active Directory политика может быть развернута на уровне либо организационных единиц, либо групп безопасности. Также есть возможность экспортировать политику в файл и установить на компьютер с использованием программы FCSLocalPolicytool. Экспортированная политика представляет собой набор записей в реестре, сохраненных в файле .reg

c.Появится диалоговое окно Deploy. Нажмите Add OU.

d.Появится диалоговое окно Active Directory dialog box appears. Click Contoso.

Примечание: Чтобы добавить или заменить политику на уровне домена, используйте команду "Add OU" и выберите домен.

e.Нажмите OK.

f.Нажмите Deploy.

Примечание: Теперь можно установить FCS на клиентских машинах. Для этого используется инсталлятор clientsetup.exe. В этом упражнении мы установим FCS простым локальным запуском инсталлятора на клиентской машине.

Примечание: Это упражнение выполняется на машине SEA-WS-01

a.На рабочем столе выполните двойной щелчок по ярлыку Command Prompt.

b.Появится окно командной строки Command Prompt. Разверните это окно до максимального размера.

Примечание: есть возможность передавать инсталлятору Clientsetup.exe параметры с использованием ключей. Мы будем использовать ключ /CG, чтобы указать группу управления MOM, к которой будет принадлежать этот клиент. Ключ /MS позволяет указать сервер FCS , к которому будет подключаться клент.

Примечание: Кроме того, clientsetup имеет 2 необязательных параметра. Ключ /I переопределяет заданную по умолчанию директорию установки. Ключ /L указывает имя директории, куда будут помещены лог-файлы, сгенерированные во время инсталляции.

Примечание: Clientsetup устанавливает на компьютер новые сервисы. Во-первых, это MOM Agent, который позволяет клиенту взаимодействовать с MOM сервером, отправляя периодические контрольные сообщения и статусную информацию, а также обеспечивая MOM-серверу доступ к журналу событий и предупреждениям на стороне клиента. Кроме того, устанавливаются два FCS-агента. Функциями агента Microsoft Forefront Client Security являются сканирование и работа с сигнатурами FCS вредоносного ПО. Microsoft Forefront Client Security State Assessment Service предназначен для создания отчетов о безопасности системы. На сервере эта информация будет отображаться в агрегированном виде от всех клиентов на инструментальной панели FCS.

Примечание: Три агента реализованы в виде сервисов и могут быть удалены с помощью интерфейса Add or Remove Programs на панели управления.

d.Введите Clientsetup /CG forefrontclientsecurity /MS SEA-DCFCS-01 и нажмите клавишу ENTER.

Примечание: установка займет около двух минут. Примечание: для развертывания агентов на клиентских машинах в больших сетях существуют различные возможности ( к примеру, подойдет программа Systems Management Server , или SMS). Другой вариант - групповые политики. Однако в данном случае инсталлятор имеет формат исполняемого файла (.exe), а не MSI, поэтому пришлось бы написать скрипт.

e.Дождитесь появления сообщения " Installation Completed Successfully".

Примечание: по завершении инсталляции в области пиктограмм панели задач появится иконка FCS

f.Убедитесь в наличии иконки Microsoft Forefront Client Security в области пиктограмм панели задач

Примечание: Чтобы закончить процесс установки, выполните перезагрузку компьютера.

g.Перезагрузите SEA-WS-01.

Примечание: В данный момент машина SEA-WS-01 работает под политикой Contoso, развернутой на уровне всего домена. FCS позволяет более тонко настраивать области действия политик. Мы развернем новую политику в рамках одной организационной единицы - финансовой группы. Примечание: Это упражнение выполняется на машине SEA-DCFCS-01

a.В окне Microsoft Forefront Client Security перейдите на вкладку Policy Management.

Примечание: Это позволяет указать настройки, которые не будут конфликтовать с существующими программными продуктами для обеспечения бизнес-потребностей и безопасности, а также гарантировать, что сканирование на наличие троянов и других проблем с безопасностью будет производится с нужной периодичностью и покрывать требуемую область памяти.

Примечание: Политики могут применяться к организационным единицам (OU), группам безопасности или целому домену. К одному компьютеру нельзя применить несколько политик. К компьютерам, не покрывающимся ни одной специализированной политикой, применяется политика, заданная по умолчанию.

b.Нажмите New.

c.Появится диалоговое окно New Policy. В поле Name введите Finance Policy.

Примечание: наша цель - разрешить пользователям из группы Finance доступ к пользовательскому интерфейсу FCS. Они получат возможность выполнять на своих компьютерах мгновенное сканирование и изменять некоторые настройки.

d.Перейдите на вкладку Advanced.

e.Установите флаг для опции User can change settings, schedule scans, start scans, view scan results, and respond to prompts.

Примечание: Политика создана и готова для развертывания.

f.Нажмите OK.

g.Убедитесь, что в таблице появилась новая строка - Finance Policy.

Примечание: Политика Finance, которую мы только что создали, еще не развернута. Нам нужно указать организационную единицу (OU) или группу безопасности, к которой она будет применяться. Примечание: Это упражнение выполняется на машине SEA-DCFCS-01

a.Выберите Finance Policy.

b.На панели инструментов нажмите на кнопку Deploy.

Примечание: Политика применим к организационной единице Finance OU. На всех машинах, входящих в данное организационное подразделение, при обновлении групповых действие заданной на уровне домена политики Constoso будет отменено.

c.Появится диалоговое окно Deploy. Нажмите Add OU.

d.Появится диалоговое окно Active Directory. Разверните Contoso и выберите Finance.

Примечание: теперь можно развертывать политику.

e.Нажмите OK.

f.Нажмите Deploy.

g.Нажмите Continue.

Примечание: обновление и развертывание групповых политик происходит согласно заданной частоте обновлений. Как правило, перезагрузка компьютера при этом не требуется.

Примечание: Это упражнение выполняется на машине SEA-WS-01

a.Зайдите на машину SEA-WS-01 под учетной записью Contoso\Administrator

b. В области пиктограмм панели задачдвойным щелчком кликните по иконке Forefront Client Security.(обратите внимание, что открыть Forefront Client Security вы не можете)

Примечание: SEA-WS-01 входит в группу Finance. В данный момент действует политика по умолчанию на уровне домена. Она не позволяет пользователю взаимодействовать с Forefront. При осуществлении щелчка на пиктограмме Forefront Client Security пользователь получает сообщение о том, что работой программы управляет системный администратор.

c.Ознакомьтесь с всплывающей подсказкой Microsoft Forefront Client Security

Примечание: Поскольку политика была развернута на уровне организационной единицы, для принудительного обновления групповой политики можно использовать GPUpdate /force. При развертывании политики на уровне группы безопасности можно перезагрузить компьютер или подождать, пока политика обновится автоматически согласно заданной частоте обновлений. Команда "gpupdate /force" не позволяет обновлять политики на уровне групп безопасности.

d.На рабочем столе выполните двойной щелчок по ярлыку k Command Prompt.

f.В командной строке наберите GPUpdate /force и нажмите клавишу ENTER.

Примечание: политика Finance отличается от заданной по умолчанию и обеспечивает пользователю доступ к интерфейсу FCS клиента. Как только политика вступила в силу, возможность открыть приложение стала доступна.

g.Закройте окно Command Prompt.

h. В области пиктограмм панели задачдвойным щелчком кликните по иконке Forefront Client Security.

i.Откроется окно Microsoft Forefront Client Security Разверните это окно до максимального размера.

Примечание: Пользователь может инициировать сканирование безопасности по своему усмотрению.

j.Нажмите Scan.

k.Дождитесь появления сообщения Scanning your computer.