Forefront Client Security – Configuring
Acum că am instalat FCS, să-l configurăm în așa fel încât să instaleze clientul de antivirus pe stațiile din domeniu. Nu uitați să instalați ultimele actualizări Microsoft, în special FCS Service Pack 1 și cele câteva actualizări pentru FCS.
Deschidem consola Forefront Client Security și selectăm tabul Policy Management.
Selectăm New pentru a crea o politică nouă.
Îi dăm un nume și introducem un comentariu, ca să știm și peste 2 ani ce face politica respectivă 🙂
În tabul Protection selectăm dacă dorim protecție antivirus și/sau antispyware.
Selectăm când și cum să se scaneze calculatoarele (Full sau Quick) și dacă dorim scanare de tipul Security State Assessment.
Practic, SSA scanează unele aplicații, servicii, parole care nu expiră, utilizatorul Guest activat, actualizări neinstalate etc., ceva gen Microsoft Baseline Security Analyzer.
Mai multe detalii despre Security State Assessment găsiți aici http://technet.microsoft.com/en-us/library/bb418876.aspx, inclusiv lista cu tot ce se scanează.
În tabul Advanced configurăm când calculatoarele verifică dacă sunt definiții noi și, foarte important, putem alege dacă permitem verificarea de definiții de pe Microsoft Updates când calculatoarele nu au acces la WSUS.
Jos, la Client options, selectăm dacă permitem utilizatorilor să modifice setările făcute sau dacă au acces la consola antivirusului sau văd doar iconița acestuia în task bar.
În tabul Overrides specificăm ce se întâmplă dacă un virus anume este găsit sau o vulnerabilitate dintr-o anumită clasificare.
În tabul Reporting specificăm nivelul de raportare. Din experiența mea, nivelul 3 pare a fi cel mai ok.
După ce am creat politica, aceasta trebuie trimisă la clienți (calculatoare). Selectăm Deploy.
Metoda de deployment diferă în funcție de infrastructura fiecăruia. În cazul meu, toate serverele sunt într-un OU, deci metoda cea mai simplă pentru mine va fi să creez politica pe OUul respectiv.
Dacă ne uităm acum in Group Policy Management Console, o să vedem politica creată pe OUul specificat de mine. Politica ia un nume ciudat dar ar fi bine să nu-i schimbăm numele.
Dacă din consola Forefront modificăm politica, obligatoriu trebuie să-i dăm din nou Deploy.
Să vedem cum arată clientul de antivirus pe un server care a primit și a instalat deja FCS folosind WSUSul.
Două lucruri mai trebuie făcute pentru a avea o infrastructură funcțională 100%:
- Crearea unui group policy pentru Windows Update. Acesta trebuie configurat să permită instalarea automată a actualizărilor care nu deranjează utilizatorii și nici nu cer restart (Allow Automatic Updates immediate installation) și specificarea serverului de WSUS (Specify intranet Microsoft update service location).
- În consola WSUS, la Options – Automatic Approvals, trebuie creată o regulă care va aproba și instala definițiile pentru FCS.
Cam atât pentru o configurație minimă a produsului Forefront Client Security.