W dobie Internetu komputery są wystawione na niezliczone niebezpieczeństwa, dlatego jednym z obowiązków każdego administratora jest zabezpieczenie oddanej pod jego opiekę infrastruktury. Producenci oprogramowania, widząc potrzebę rynku, zaczęli wypuszczać całe rodziny produktów mające na celu ochronę użytkowników przed atakami z sieci. Jednym z kluczowych elementów tego procesu jest zapobieganie zainfekowaniu złośliwym oprogramowaniem (malware).
W dobie Internetu komputery są wystawione na niezliczone niebezpieczeństwa, dlatego jednym z obowiązków każdego administratora jest zabezpieczenie oddanej pod jego opiekę infrastruktury. Producenci oprogramowania, widząc potrzebę rynku, zaczęli wypuszczać całe rodziny produktów mające na celu ochronę użytkowników przed atakami z sieci. Jednym z kluczowych elementów tego procesu jest zapobieganie zainfekowaniu złośliwym oprogramowaniem (malware). Firma Microsoft®, zauważywszy ten trend, wprowadziła produkt Microsoft Forefront Client Security (FCS) chroniący przed: wirusami, trojanami, wszelkiego rodzaju programami szpiegującymi (spyware) oraz rootkitami. Poniższy artykuł stanowi wstęp do FCS-a i opisuje kroki niezbędne go jego wdrożenia w organizacji.
Informacje podstawowe
Forefront Client Security spełnia trzy podstawowe funkcje:
- ochrona – FCS oferuje pojedyncze zintegrowane rozwiązanie, zaprojektowane, aby chronić przed zagrożeniami. Dzięki opcji skanowania pamięci i systemu plików identyfikuje malware oraz kontroluje stan zabezpieczeń (Security State Assessment Scan/Service), sprawdzając typowe luki w zabezpieczeniach: wykrywając brak aktualizacji, konta z niewygasającymi hasłami itp.;
- kontrola – FCS zapewnia administratorom definiowanie na stacjach klienckich ustawień zabezpieczeń, takich jak: częstotliwość i rodzaj skanowania, standardowa odpowiedź na zagrożenie danego typu, sygnalizacja błędów, oraz poziom kontroli ustawień przez użytkownika;
- raportowanie – FCS kategoryzuje zagrożenia i problemy, ustala hierarchię ich ważności, a następnie przedstawia je w formie czytelnych raportów, które zawierają dane historyczne oraz trendy dotyczące zagrożeń, stopnia podatności na nie i szczegółowe dane komputera.
Wszystkie funkcje zostały tak zaprojektowane, aby wpisywały się w istniejącą infrastrukturę.
Przygotowanie do instalacji FCS-a
Zanim rozpoczniemy instalację systemu antywirusowego, warto byśmy się zapoznali z jego wymaganiami sprzętowymi. Najczęstszym scenariuszem instalacji jest umieszczenie wszystkich ról serwerowych FCS-a (o nich później) na jednej maszynie. Jest to zalecany sposób wdrażania FCS-a dla środowisk do 3000 endpointów (stacji klienckich, serwerów).
Według informacji umieszczonej w dokumentacji rozkład wymagań sprzętowych dla topologii „Single-server” wygląda następująco:
- do 1000 użytkowników: dwa procesory x86 (32-bitowe) taktowane zegarami 2 GHz, 2 GB pamięci operacyjnej (RAM), dyski IDE – osobne na system operacyjny, dane bazy danych i logi bazy danych,
- od 1000 do 3000 użytkowników: dwa procesory x86 (32-bitowe) taktowane zegarami 2 GHz, 4 GB pamięci operacyjnej (RAM), dyski SCSI -osobne na system operacyjny, dane bazy danych i logi bazy danych.
Pozostałe przypadki zostały omówione w odpowiednim artykule TechNet na http://technet.microsoft.com/en-us/library/bb418915.aspx. Jednakże dobrą praktyką jest umieszczanie komponentów bazodanowych (Collection Database + Reporting) na osobnych maszynach.
Jeśli już wspominamy bazy danych w kontekście FCS-a, warto powiedzieć, z jakich baz Forefront korzysta:
- Collection Database – baza nazwana standardowo OnePoint,
- Reporting Database – baza nazwana standardowo SystemCenterReporting,
- tempdb – baza tymczasowa instancji SQL Server-a.
Przy planowaniu ilości miejsca dla dwóch pierwszych baz należy wziąć pod uwagę parę czynników:
- liczbę chronionych końcówek
- częstotliwość występowania złośliwego oprogramowania
- liczbę wykrytych podatności przez Security State Assessment (SSA)
- liczbę wykonywanych skanowań
Standardowo baza OnePoint ma wielkość 15 GB, a SystemCenterReporting -1 GB, z tym że żadna z nich nie wspiera automatycznego powiększania (autogrow). Collection Database w naszej konfiguracji może przetrzymywać dane z około dziesięciu dni, zanim zostaną przeniesione do bazy raportującej. W przypadku, gdy w jednej z nich zacznie się kończyć miejsce, zostanie wygenerowany odpowiedni alert powiadamiający o tym fakcie administratora
Wstępne wymagania instalacji
Infrastrukturę FCS-a możemy podzielić na cztery role (z czego dwie mają swoje dwie role podrzędne):
- Management Server – zarządza infrastrukturą i konsoliduje zarządzanie wszystkimi rolami;
- Distribution Server – odpowiada za instalację FCS-a na końcówkach i dystrybucję aktualizacji;
- Collection Server – baza operacyjna (OnePoint):
- z bazą danych na tej samej maszynie,
- z bazą danych na zdalnej maszynie,
- Reporting Server – baza raportująca (SystemCenterReporting):
- z bazą danych na tej samej maszynie,
- z bazą danych na zdalnej maszynie.
Wymagania dla każdej z ról:
| Rola |
Wymagane |
| Management Server |
Windows Server 2003 SP2 lub nowszy Standard lub Enterprise (wersja x86)
Windows Server 2008 lub nowszy Standard lub Enterprise (wersja x86)
Microsoft .NET Framework 2.0
Group Policy Management Console (GPMC) z SP1
Microsoft Management Console (MMC) 3.0 |
| Distribution Server |
Windows Server 2003 SP2 lub nowszy Standard lub Enterprise (wersja x86)
Windows Server 2008 lub nowszy Standard lub Enterprise (wersja x86)
Microsoft .NET Framework 2.0
IIS 6.0/7.0 i ASP.NET
Windows Server Update Services (WSUS) 3.0 z SP1 lub nowszy (wymagania bazy danych WSUS opisane są na stronie: http://go.microsoft.com/fwlink/?LinkId=77980) |
| Collection Server |
Windows Server 2003 SP2 lub nowszy Standard lub Enterprise (wersja x86)
Windows Server 2008 lub nowszy Standard lub Enterprise (wersja x86)
SQL Server 2005 SP1 lub nowszy (Database Services i Workstation components) |
| Reporting Server |
Windows Server 2003 SP2 lub nowszy Standard lub Enterprise (wersja x86)
Windows Server 2008 lub nowszy Standard lub Enterprise (wersja x86)
SQL Server 2005 SP1 lub nowszy (Database Services, Integration Services, Reporting Services i Workstation components) |
Słowo podsumowania: należy zapomnieć o instalacji FCS-a na platformie 64-bitowej (x64) i/lub SQL Server 2008.
Konfiguracja WSUS
Przygotowanie środowiska pod Forefront Client Security jest w przeważającej części zadaniem prostym. Warto jednak poświęcić chwilę uwagi odpowiedniemu ustawieniu WSUS-a. Przede wszystkim należy zadbać, żeby aktualizacje bazy definicji szkodliwego oprogramowania były synchronizowane i automatycznie aprobowane do instalacji. Obrazkowa instrukcja poniżej:
Rys. 1. Dodanie nowej klasyfikacji produktu we WSUS -Forefront Client Security.
Rys. 2. Dodanie nowej klasyfikacji produktu we WSUS - Aktualizacje Definicji.
Rys. 3. Dodanie nowej zasady automatycznej aprobaty aktualizacji.
Rys. 4. Dodanie nowej zasady automatycznej aprobaty aktualizacji.
Większość aktualizacji FCS-a nie wymaga ingerencji użytkownika, dlatego warto sprawdzić, czy mamy odpowiednio ustawione GPO:
Rys. 5. Ustawienia GPO dla FCS-a.
Podsumowanie
Na tym kończymy część traktującą o przygotowaniu infrastruktury do instalacji FCS-a. Forefront Client Security to system, który świetnie integruje się ze środowiskiem domenowym, co dało się zauważyć już podczas wstępnej konfiguracji. W drugiej części przyjrzymy się szczegółowo procesowi instalacji, w trzeciej skoncentrujemy się na konfiguracji poinstalacyjnej.
Kolejne części artykułu:
Forefront Client Security - Część 2 - Instalacja
Forefront Client Security - Część 3 - Konfiguracja i raportowanie
Autor:
Daniel Stefaniak
(MCT, MCITP, MCTS, MCSA, MCP, CCNA)
Administrator, trener i asystent w Polsko-Japońskiej Wyższej Szkole Technik Komputerowych. Członek SEClub oraz jeden z liderów Polskiej Grupy System Center. Aktywnie pisze na blogach http://www.w-files.pl oraz http://blogs.technet.com/plsc/