測試實驗室準備
本部分描述必需的操作系統(tǒng)和設(shè)置,以創(chuàng)建用于測試和評估 Forefront Client Security 所必需的最基本配置。例如,所使用的每種操作系統(tǒng)必須至少有一臺客戶端計算機(工作站或服務(wù)器)。此外,務(wù)必謹慎對待配置有關(guān)鍵業(yè)務(wù)部門應(yīng)用程序(例如,會計、庫存等)的系統(tǒng),以確保 FSC 代理不會負面影響應(yīng)用程序功能或性能。
設(shè)置此類擴展客戶端測試配置可以讓您熟悉 Forefront Client Security 操作和功能。通過使用多個操作系統(tǒng),您可以:
◆檢查 FCS 在那些操作系統(tǒng)上的特定軟件要求。
◆注意到操作系統(tǒng)版本之間的功能差異。
◆熟悉每種操作系統(tǒng)版本的“安全狀態(tài)評估”結(jié)果。
◆了解如何從環(huán)境中受 FCS 管理的系統(tǒng)獲得警報信息。
◆了解如何在需要時生成摘要報告和有關(guān)特定事件的報告。
2.1Active Directory 設(shè)置
Microsoft Forefront Client Security 要求所有客戶端都在同一個 AD 林中,并且所有客戶端域都具有雙向可傳遞信任,以便從中央控制臺進行管理。Forefront Client Security 使用 Active Directory 來實現(xiàn):
訪問安全性 – FCS 使用許多域用戶帳戶來控制組件和對系統(tǒng)的管理訪問。
發(fā)現(xiàn) – “MOM 發(fā)現(xiàn)”用于根據(jù) AD 成員關(guān)系填充所管理系統(tǒng)的 FCS 資源庫。
策略部署 - Active Directory GPO 用于將注冊表設(shè)置和 Forefront 策略部署到所管理的系統(tǒng)。GPO 基于 Active Directory 組織單位 (OU) 或安全組 (SG) 成員關(guān)系應(yīng)用于客戶端系統(tǒng)。
2.1.1帳戶配置
這些帳戶應(yīng)該在安裝 Forefront Client Security 應(yīng)用程序之前創(chuàng)建。請注意用于單服務(wù)器和多服務(wù)器拓撲的帳戶類型區(qū)別。
|
帳戶 |
類型 |
描述 |
安裝 |
|
SQL Server 代理帳戶 |
對于多服務(wù)器拓撲,此帳戶必須是域用戶。對于單服務(wù)器拓撲,此帳戶可以是本地帳戶。 |
SQL Server 代理在此帳戶下運行 |
在 SQL 安裝期間指定。 |
|
MOM 數(shù)據(jù)訪問服務(wù)器 (DAS) |
域用戶。在單服務(wù)器拓撲上,DAS 帳戶必須與管理服務(wù)器屬于同一個域。 |
DAS 帳戶查詢數(shù)據(jù)并將其添加到收集數(shù)據(jù)庫。 |
在 Client Security Server 安裝向?qū)н\行過程中指定。 |
|
MOM 報告帳戶 |
域用戶。 |
SQL Server Reporting Services 使用此帳戶連接到報告數(shù)據(jù)庫。 |
在 Client Security Server 安裝向?qū)н\行過程中指定。 |
|
MOM 代理帳戶 |
域用戶。 |
MOM 代理在客戶端計算機上運行時所使用的帳戶。此帳戶不應(yīng)該擁有客戶端計算機上的管理員權(quán)限。 |
|
|
MOM DTS 帳戶 |
如果 MOM 數(shù)據(jù)庫和 MOM 報告數(shù)據(jù)庫在單獨的計算機上,此帳戶必須是域用戶帳戶。 |
此 DTS 帳戶用于運行將 MOM 數(shù)據(jù)傳輸?shù)綀蟾鏀?shù)據(jù)庫的計劃任務(wù)。 |
|
表 2:Forefront Client Security - Active Directory 帳戶
2.1.2 組織單位和安全組
FCS 要求創(chuàng)建一個或多個 OU 或 SG 以進行策略應(yīng)用。為了使策略生效,必須將策略部署到一個或多個目標 OU 或 SG。
注意:
一個 OU 或 SG 只能分配一個 Client Security 策略。如果分配另一個策略,則它將取代以前分配的任何設(shè)置。
必須為創(chuàng)建的每個單獨策略創(chuàng)建一個 OU 或安全組。例如,一個“便攜式計算機”O(jiān)U,用于使用 FCS_PortableSystem 策略的系統(tǒng),以及一個“桌面”O(jiān)U,用于使用 FCS_Desktop 策略的系統(tǒng)。強烈建議 Contoso 對 FCS 相關(guān)策略和 OU/SG 使用一致的命名模式,以便能夠容易地將它們相互關(guān)聯(lián)。例如,將策略 FCS_NY_DesktopsOU 分配給 AD 中的 NY_Desktops OU。將 FCS_NY_LaptopsSG 分配給 AD 中的 NY_Laptops 安全組,以此類推。
注意:
當客戶端系統(tǒng)同時在分配了 FCS 策略的 OU 和安全組中時,將應(yīng)用安全組策略。應(yīng)該小心確保不要將計算機分配到分配了 FCS 策略的多個安全組,因為所應(yīng)用的策略結(jié)果將是不可預(yù)測的。
2.1.3 ADM 文件
有些 FCS 功能參數(shù)無法使用 FCS 管理控制臺進行設(shè)置,例如,從“實時保護”中排除進程。必須使用組策略對象 ADM 文件集中管理 FCS 客戶端上的這些設(shè)置。特定于客戶端的參數(shù)保存在以下注冊表項中:
HKLM\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\<ver>\
其中 <ver> 是 FCS 服務(wù)的版本(當前為 1.0)
反病毒和反間諜軟件設(shè)置在 AM (防惡意軟件) 子項中。若要從“實時保護”中排除某個進程,必須向 AM\Exclusions\Processes 子項添加一個值。DWORD 值名稱等于可執(zhí)行文件的完整路徑;DWORD 數(shù)據(jù)必須設(shè)置為零。例如:
AM\Exclusions\Processes\"C:\WINDOWS\system32\CCM\CcmExec.exe"=dword:00000000
附錄 A 中包含了一個實現(xiàn)這種排除的示例 ADM 腳本。
2.1.4 發(fā)現(xiàn)
可以使用上面創(chuàng)建的 OU 來篩選 FCS MOM 發(fā)現(xiàn)過程,使其僅查找 FCS 所管理空間中的計算機。
2.2 測試文件 CD
創(chuàng)建一張光盤,其中包含以下惡意軟件和可執(zhí)行文件,以便于客戶端安裝和測試。
◆來自 www.eicar.org/anti_virus_test_file.htm 的 EICAR 反病毒測試文件
●文本和可執(zhí)行文件 - Sample-A.txt、Sample-B.com、Sample-C.com、Sample-D.com、Sample-E.com
●ZIP 或 CAB 文件中的文本和可執(zhí)行文件 – eicar_com.zip
●壓縮 ZIP 文件中的文本和可執(zhí)行文件 – eicarcom2.zip
◆來自 www.spycar.org 的 Spycar 反間諜軟件測試文件
●注冊表更改可執(zhí)行文件
●IE 設(shè)置更改可執(zhí)行文件
●Hosts 文件更改可執(zhí)行文件
◆Netmon 安裝文件
◆FCSLOCALPOLICYTOOL.EXE
◆可選
●SMSTrace(用于查看日志文件)
●AdventureWorks 報告示例(SQL Reporting Services 測試)
●所需的其它工具
