23.06.2010

»спользование Forefront Client Security без консоли управлени€

image

¬ данной статье € предложу вариант, который позволит установить Forefront Client Security без консоли управлени€ и при этом сохранить как можно больше функций по управлению клиентами.

јвтор: Alexey Bogomolov

—истема Forefront Client Security (FCS) обеспечивает простую в управлении единую защиту от вредоносного ѕќ дл€ настольных ѕ , переносных ѕ  и серверных операционных систем в организаци€х. Forefront Client Security очень надежно и эффективно защищает работу бизнес-систем благодар€ упрощенному администрированию, централизованному управлению и нагл€дному представлению угроз и у€звимостей системы. †FCS рассчитан на организации среднего и крупного размера в св€зи с этим дл€ небольших компаний (при небольшой количестве клиентов) его стоимость оказываетс€ достаточно высокой и не может конкурировать с антивирусными решени€ми других производителей.

ѕримечание: Ќужно заметить, что стоимость самого антивируса заметно ниже конкурентов, но вот цена консоли управлени€ оказываетс€ достаточно высокой. ƒело все в том, что дл€ полноценной работы консоли управлени€ необходим SQLServerStandard (Express не подойдет!), следовательно, к нему необходимо приобретать клиентские лицензии в количестве равном числу пользователей, у которых установлен FCS, а это не дешевое удовольствие. ≈сть другой вариант Ц приобрести консоль управлени€ со встроенным SQLServer, но она тоже €вл€етс€ достаточно дорогим продуктом и при лицензировании до 100 клиентских компьютеров, совместна€ стоимость владени€ заметно проигрывает решени€м других антивирусных разработчиков.

¬ данной статье € предложу вариант, который позволит установить Forefront Client Security без консоли управлени€ и при этом сохранить как можно больше функций по управлению клиентами.

”становка Forefront Client Security через GPO

ƒл€ того чтобы установить FCS на компьютер, у которого нет MOM агента, необходимо запустить clientsetup.exe с ключом /NOMOM:

clientsetup.exe /nomom

Ќо, как известно, дл€ установки ѕќ через GPO можно использовать только *.msi пакеты. —ледовательно, нам нужно перепаковать clientsetup.exe /nomom в msi-пакет. я этого делать не буду, т.к. если проанализировать содержимое папки с дистрибутивом, то можно пон€ть, что пакет †MP_AMBITS.msi и есть установщик FCS, т.к. ещЄ два пакета там Ц это компоненты ћќћ`а, а FCSSSA.msi Ц это Security State Assessment agent software (ѕрограмму сканировани€ соответстви€ шаблонам безопасности), остальное же Ц это пакеты локализации и то только дл€ Win XP.

ƒл€ установки FCS на клиентские компьютеры необходимо сделать следующее:

  • —копировать дистрибутив в сетевую папку на файловом сервере;
  • —оздать OU в Active Directory;
  • —оздать объект групповой политики и св€зать его с OU;
  • ¬ объекте GPO зайти в  онфигураци€ компьютера Ц ѕолитики Ц  онфигураци€ программ Ц ”становка программ Ц —оздать Ц ѕакет;
  • ¬ыбрать файл MP_AMBITS.msi в сетевой папке;
  • ”казать метод развертывани€ Ц Ќазначенный.

–ис.1: ƒобавление пакета MP_AMBITS.msi в GPO.

“очно таким же образом можно развернуть Security State Assessment Service через пакет FCSSSA.msi.

ƒалее перезагружаем компьютер, вход€щий в указанную выше OU, и если все было сделано правильно наблюдаем в трее значок Forefront Client Security.

”правление Forefront Client Security через GPO

”становить FCS Ц это пол дела, им нужно как-то управл€ть. ≈сли вы раньше пользовались Windows Defender`ом, то возможно вы были в курсе, что дл€ этого продукта есть специальный ADM шаблон†дл€ GPO (http://support.microsoft.com/kb/927367/en-us ), через который можно было управл€ть настройками Defender`a. ƒл€ FCS также есть подобный шаблон, и скачать его можно по этой ссылке.

„тобы импортировать шаблон в групповые политики нужно:

  • ќткрыть нужный объект групповой политики Ц  онфигураци€ компьютера;
  • Ќажать правой кнопкой мыши на пункте јдминистративные шаблоны;
  • ¬ыбрать ƒобавление или удаление шаблоновЕ
  • ƒалее нажимаем кнопку ƒобавить и выбираем скачанный шаблон forefront.adm.

–ис.2: ƒобавление шаблона forefront.adm в GPO.

≈сли шаблон был успешно добавлен, то его политики можно будет найти в разделе јдминистративные шаблоны Ц  лассические административные шаблоны (ADM) Ц Windows Components Ц Microsoft Forefront:

–ис.3: –едактирование параметров Forefront Client Security

 ак видно из рис.3, настроек достаточно много дл€ удаленного конфигурировани€ клиентов FCS.

ћодификаци€ ADM шаблона

≈сли предложенных настроек не достаточно, то вы можете самосто€тельно модифицировать данный шаблон. ѕараметры реестра, управл€ющие работой FCS можно вз€ть в библиотеке TechNet по этому адресу (http://technet.microsoft.com/en-us/library/bb418783.aspx). ƒалее, необходимо открыть ADM шаблон в блокноте и добавить в раздел категории (после ключа CATEGORY !!ForeFrontCat) политику, например так:

POLICY !!RemovableDriveScanning_Name
	KEYNAME "SOFTWARE\Policies\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Scan"
	EXPLAIN !!RemovableDriveScanning_Explain
	;; Note that instead of disabling a disable we flip-flop the logic to make it proactive
	VALUENAME DisableRemovableDriveScanning
	VALUEON NUMERIC 0
	VALUEOFF NUMERIC 1
END POLICY

ј после ключа [strings] Ц параметры этой политики, например такие:

	FCSCategory="Microsoft Forefront Client Security"
	RemovableDriveScanning_Name="Enabling removable drive scanning"
	RemovableDriveScanning_Explain="This setting instructs the FCS antimalware client to scan removable drives during full scans"  

ƒанна€ настройка управл€ет сканированием съемных дисков при проведении полного сканировани€. јналогично можно настроить другие параметры.

«аключение

¬ результате проделанных выше действий мы установили Forefront Client Security на компьютеры определенной OU и получили возможность централизовано управл€ть его настройками.

“аким образом, можно сказать, что использование FCS без консоли управлени€ дл€ небольших организаций обойдетс€ значительно дешевле антивирусов других производителей, но при этом придетс€ отказатьс€ от функционала мониторинга.

или введите им€

CAPTCHA