Forefront Client Security – Configuring

By Vitalie Ciobanu - Last updated: Friday, February 26, 2010 - Save & Share - Leave a Comment

Acum că am instalat FCS, să-l configurăm în așa fel încât să instaleze clientul de antivirus pe stațiile din domeniu. Nu uitați să instalați ultimele actualizări Microsoft, în special FCS Service Pack 1 și cele câteva actualizări pentru FCS.

Deschidem consola Forefront Client Security și selectăm tabul Policy Management.

image 

Selectăm New pentru a crea o politică nouă.

Îi dăm un nume și introducem un comentariu, ca să știm și peste 2 ani ce face politica respectivă 🙂

image

În tabul Protection selectăm dacă dorim protecție antivirus și/sau antispyware.

Selectăm când și cum să se scaneze calculatoarele (Full sau Quick) și dacă dorim scanare de tipul Security State Assessment.

Practic, SSA scanează unele aplicații, servicii, parole care nu expiră, utilizatorul Guest activat, actualizări neinstalate etc., ceva gen Microsoft Baseline Security Analyzer.

Mai multe detalii despre Security State Assessment găsiți aici http://technet.microsoft.com/en-us/library/bb418876.aspx, inclusiv lista cu tot ce se scanează.

image

În tabul Advanced configurăm când calculatoarele verifică dacă sunt definiții noi și, foarte important, putem alege dacă permitem verificarea de definiții de pe Microsoft Updates când calculatoarele nu au acces la WSUS.

Jos, la Client options, selectăm dacă permitem utilizatorilor să modifice setările făcute sau dacă au acces la consola antivirusului sau văd doar iconița acestuia în task bar.

image

În tabul Overrides specificăm ce se întâmplă dacă un virus anume este găsit sau o vulnerabilitate dintr-o anumită clasificare.

image

În tabul Reporting specificăm nivelul de raportare. Din experiența mea, nivelul 3 pare a fi cel mai ok.

image

După ce am creat politica, aceasta trebuie trimisă la clienți (calculatoare). Selectăm Deploy.

image

Metoda de deployment diferă în funcție de infrastructura fiecăruia. În cazul meu, toate serverele sunt într-un OU, deci metoda cea mai simplă pentru mine va fi să creez politica pe OUul respectiv.

 image  

Dacă ne uităm acum in Group Policy Management Console, o să vedem politica creată pe OUul specificat de mine. Politica ia un nume ciudat dar ar fi bine să nu-i schimbăm numele.

image

Dacă din consola Forefront modificăm politica, obligatoriu trebuie să-i dăm din nou Deploy.

 

Să vedem cum arată clientul de antivirus pe un server care a primit și a instalat deja FCS folosind WSUSul.

image

image

Două lucruri mai trebuie făcute pentru a avea o infrastructură funcțională 100%:

  1. Crearea unui group policy pentru Windows Update. Acesta trebuie configurat să permită instalarea automată a actualizărilor care nu deranjează utilizatorii și nici nu cer restart (Allow Automatic Updates immediate installation) și specificarea serverului de WSUS (Specify intranet Microsoft update service location).
  2. În consola WSUS, la OptionsAutomatic Approvals, trebuie creată o regulă care va aproba și instala definițiile pentru FCS.
    image

Cam atât pentru o configurație minimă a produsului Forefront Client Security.

Posted in Forefront • Tags: Top Of Page

Write a comment