W dobie Internetu komputery są wystawione na niezliczone niebezpieczeństwa, dlatego jednym z obowiązków każdego administratora jest zabezpieczenie oddanej pod jego opiekę infrastruktury. Producenci oprogramowania, widząc potrzebę rynku, zaczęli wypuszczać całe rodziny produktów mające na celu ochronę użytkowników przed atakami z sieci. Jednym z kluczowych elementów tego procesu jest zapobieganie zainfekowaniu złośliwym oprogramowaniem (malware).
W poprzedniej części tekstu zapoznaliśmy się z wymaganiami sprzętowymi i systemowymi Forefront Client Security. Po ich spełnieniu można przejść do rozdziału zatytułowanego:
Instalacja
Ustawiwszy WSUS-a i zweryfikowawszy działanie Reporting Services (przez wpisanie w pasku adresu przeglądarki http://computername/reportserver, gdzie computername jest nazwą serwera FCS), można rozpocząć wdrażanie. Jako, że nasza testowa topologia będzie mała, to decydujemy się na umieszczenie wszystkich komponentów środowiska na jednej maszynie (nazwanej zgodnie z rolą „FCS”).
Po włożeniu płyty ukaże nam się ekran powitalny, na którym wybieramy opcję „Run the Setup Wizard”.
Rys. 1. Ekran powitalny instalatora FCS-a.
Następnie wpisujemy nasze dane i po przeczytaniu umowy licencyjnej akceptujemy ją.
Rys. 2. Ekran nr 1 instalatora FCS-a.
Rys. 3. Umowa licencyjna Microsoft Forefront Client Security.W końcu wybieramy komponenty, które chcemy zainstalować (w tym przypadku wszystkie). Dla zapominalskich: na tej stronie od razu znajdują się skrócone specyfikacje różnych topologii i link do bazy TechNet opisującej proces instalacji.
Rys. 4. Wybór komponentów FCS-a.Teraz dochodzimy do ważnego momentu. Wybór nazwy Management Group dla komputerów chronionych przez FCS-a (wskazane, żeby ta nazwa była jednym wyrazem), oraz loginu i hasła dla konta DAS (Data Access Server). Przy wyborze tego drugiego trzeba się kierować paroma przesłankami:
- musi to być konto domenowe,
- musi należeć do lokalnej grupy zabezpieczeń (security) o nazwie MOM Administrators - w przypadku instalacji na Windows Server 2003 program instalacyjny zmieni członkostwo za nas, lecz na Windows Server 2008 UAC mu na to nie pozwoli i trzeba tą zmianę wprowadzić ręcznie,
- trzeba pamiętać, że Collection Server używa tego konta do dostępu do bazy danych, tutaj instalator na Windows Server 2003 znów nas wyręcza i nadaje odpowiednie uprawnienia dla danego konta.
Na następnym ekranie konfigurujemy rolę Collection Database. Wybieramy instancję SQL Server 2005, na której ma zostać utworzona baza danych OnePoint, jaki ma mieć rozmiar i w kontekście jakiego użytkownika serwer FCS ma się podłączać do baz (OnePoint i Reporting)
Trzeba w tym miejscu podkreślić. Instalator utworzy pliki bazy danych w lokalizacji domyślnej dla instancji SQL Server-a. Jest to o tyle ważne, że na Windows Server 2008 mechanizm UAC nie pozwoli programowi instalacyjnemu utworzyć plików w katalogu %Program Files%.
Rys. 6. Konfiguracja roli Collection Database.Miejsce konfiguracji domyślnych ścieżek SQL Server-a przedstawia następujący obrazek:
Rys. 6.1. Konfiguracja domyślnych ścieżek SQL Servera.Kolejny ekran zbiera informacje do skonfigurowania raportów FCS-a. Pojawiające się tutaj konto DTS (Data Transformation Services) służy do uruchamiania zadania (Scheduled Task) przenoszącego dane operacyjne do bazy OnePoint do SystemCenterReporting
Rys. 7. Konfiguracja Reporting Database.Oprócz bazy do raportowania potrzebne są także Reporting Services (URL-e są standardowo wypełnione domyślne):
Rys. 8. Konfiguracja Reporting Server.I ostatnie już konto do zdefiniowania: Action Account, czyli konto akcji. W jego kontekście wykonywane są skrypty po stronie serwera FCS, oraz Skany Szacowania Zabezpieczeń komputera (Security State Assessment Scan). Uwaga: konto to musi mieć uprawnienia administratora lokalnego na serwerze FCS.
Rys. 9. Konfiguracja Action Account.Kolejnym krokiem jest wskazanie ścieżki, gdzie FCS umieści swoje pliki
Rys. 10. Ścieżka instalacji.W końcu instalator weryfikuje nasze ustawienia (w tym przypadku ostrzega, że wymagania sprzętowe zostały niespełnione).
Rys. 11. Weryfikacja ustawień.Gdy wszystko jest w porządku, instalacja przebiega bez problemu.
Rys. 12. Podsumowanie instalacji.Bardziej spostrzegawczych czytelników może zastanowić brak opcji konfiguracji roli Distribution Server. To nie jest błąd. Tę funkcję pełni zawsze serwer WSUS, który już wcześniej przygotowaliśmy (Część 1).
W ten oto sposób zainstalowaliśmy system antywirusowy. Pozostała nam jeszcze...
Konfiguracja wstępna
Pierwszą rzeczą, którą FCS zrobi, kiedy klikniemy „Close”, jest zaktualizowanie sygnatur wirusów i wersji silnika skanującego. Niestety nie wszystkie poprawki zostaną wprowadzone automatycznie. Ponieważ FCS wykorzystuje mechanizm Windows Update do aktualizacji, Service Pack 1 doinstalowujemy za pomocą mechanizmu Automatic Updates.
Rys. 13. Zasobnik Systemowy (tray) po instalacji FCS.W tym miejscu znów parę wskazówek:
- W celu wymuszenia sprawdzania aktualizacji w cmd należy użyć komendy: wuauclt /detectnow.
- Jeśli aktualizacje nie zostały wykryte, to należy uzbroić się w cierpliwość, lub zweryfikować konfigurację WSUS-a.
- Nie korzystać z wbudowanego w FCS-ie mechanizmu aktualizacji, ponieważ przeniesie on nas do Windows Update Catalog, co spowoduje, że nie będziemy mieć pewności, że prawidłowo skonfigurowaliśmy serwer WSUS i GPO.
Rys. 14. Wygląd okna FCS-a tuż po instalacji.Szczególnie ważną poprawką jest wspomniany już SP1, bez którego Forefront nie działa wcale na Windows Server 2008.
Rys. 15. Aktualizacja FCS-a do wersji SP1.W ten oto sposób mamy w pełni zabezpieczony serwer i możemy się zająć ochroną pozostałych stacji w organizacji.
Rys. 16. Poprawnie działający klient FCS.W tym miejscu chciałbym jeszcze zauważyć, że przy pierwszym uruchomieniu konsola FCS-a poprosi o parametry konfiguracji:
Rys. 17. Uruchomienie konsoli FCS.Po wypełnieniu wszystkich pól prawidłowymi danym (takimi samymi jak w czasie instalacji) powinien nam się ukazać ekran podsumowujący:
Rys. 18. Posumowanie konfiguracji końcowej konsoli FCS.Po restarcie serwera ukazuje się nam działająca przystawka do zarządzania infrastrukturą:
Rys. 19. Działająca konsola FCS-a.
Podsumowanie
Na tym kończymy drugą część artykułu dotyczącą instalacji Forefront Client Security. W części trzeciej skonfigurujemy system tak, aby chronił naszą organizację, oraz przyjrzymy się mechanizmowi raportowania.
Inne części artykułu:
Forefront Client Security - Część 1 - Informacje ogólne i przygotowanie środowiska
Forefront Client Security - Część 3 - Konfiguracja i raportowanie
Autor:
Daniel Stefaniak
(MCT, MCITP, MCTS, MCSA, MCP, CCNA)
Administrator, trener i asystent w Polsko-Japońskiej Wyższej Szkole Technik Komputerowych. Członek SEClub oraz jeden z liderów Polskiej Grupy System Center. Aktywnie pisze na blogach http://www.w-files.pl oraz http://blogs.technet.com/plsc/