測試實(shí)驗(yàn)室準(zhǔn)備

本部分描述必需的操作系統(tǒng)和設(shè)置，以創(chuàng)建用于測試和評(píng)估 Forefront Client Security 所必需的最基本配置。例如，所使用的每種操作系統(tǒng)必須至少有一臺(tái)客戶端計(jì)算機(jī)（工作站或服務(wù)器）。此外，務(wù)必謹(jǐn)慎對(duì)待配置有關(guān)鍵業(yè)務(wù)部門應(yīng)用程序（例如，會(huì)計(jì)、庫存等）的系統(tǒng)，以確保 FSC 代理不會(huì)負(fù)面影響應(yīng)用程序功能或性能。

設(shè)置此類擴(kuò)展客戶端測試配置可以讓您熟悉 Forefront Client Security 操作和功能。通過使用多個(gè)操作系統(tǒng)，您可以：
◆檢查 FCS 在那些操作系統(tǒng)上的特定軟件要求。
◆注意到操作系統(tǒng)版本之間的功能差異。
◆熟悉每種操作系統(tǒng)版本的“安全狀態(tài)評(píng)估”結(jié)果。
◆了解如何從環(huán)境中受 FCS 管理的系統(tǒng)獲得警報(bào)信息。
◆了解如何在需要時(shí)生成摘要報(bào)告和有關(guān)特定事件的報(bào)告。

2.1Active Directory 設(shè)置

Microsoft Forefront Client Security 要求所有客戶端都在同一個(gè) AD 林中，并且所有客戶端域都具有雙向可傳遞信任，以便從中央控制臺(tái)進(jìn)行管理。Forefront Client Security 使用 Active Directory 來實(shí)現(xiàn)：

訪問安全性 – FCS 使用許多域用戶帳戶來控制組件和對(duì)系統(tǒng)的管理訪問。

發(fā)現(xiàn) – “MOM 發(fā)現(xiàn)”用于根據(jù) AD 成員關(guān)系填充所管理系統(tǒng)的 FCS 資源庫。

策略部署 - Active Directory GPO 用于將注冊(cè)表設(shè)置和 Forefront 策略部署到所管理的系統(tǒng)。GPO 基于 Active Directory 組織單位 (OU) 或安全組 (SG) 成員關(guān)系應(yīng)用于客戶端系統(tǒng)。

2.1.1帳戶配置

這些帳戶應(yīng)該在安裝 Forefront Client Security 應(yīng)用程序之前創(chuàng)建。請(qǐng)注意用于單服務(wù)器和多服務(wù)器拓?fù)涞膸纛愋蛥^(qū)別。

表 2:Forefront Client Security - Active Directory 帳戶

2.1.2 組織單位和安全組

FCS 要求創(chuàng)建一個(gè)或多個(gè) OU 或 SG 以進(jìn)行策略應(yīng)用。為了使策略生效，必須將策略部署到一個(gè)或多個(gè)目標(biāo) OU 或 SG。

注意：
一個(gè) OU 或 SG 只能分配一個(gè) Client Security 策略。如果分配另一個(gè)策略，則它將取代以前分配的任何設(shè)置。

必須為創(chuàng)建的每個(gè)單獨(dú)策略創(chuàng)建一個(gè) OU 或安全組。例如，一個(gè)“便攜式計(jì)算機(jī)”O(jiān)U，用于使用 FCS_PortableSystem 策略的系統(tǒng)，以及一個(gè)“桌面”O(jiān)U，用于使用 FCS_Desktop 策略的系統(tǒng)。強(qiáng)烈建議 Contoso 對(duì) FCS 相關(guān)策略和 OU/SG 使用一致的命名模式，以便能夠容易地將它們相互關(guān)聯(lián)。例如，將策略 FCS_NY_DesktopsOU 分配給 AD 中的 NY_Desktops OU。將 FCS_NY_LaptopsSG 分配給 AD 中的 NY_Laptops 安全組，以此類推。

注意：
當(dāng)客戶端系統(tǒng)同時(shí)在分配了 FCS 策略的 OU 和安全組中時(shí)，將應(yīng)用安全組策略。應(yīng)該小心確保不要將計(jì)算機(jī)分配到分配了 FCS 策略的多個(gè)安全組，因?yàn)樗鶓?yīng)用的策略結(jié)果將是不可預(yù)測的。

2.1.3 ADM 文件

有些 FCS 功能參數(shù)無法使用 FCS 管理控制臺(tái)進(jìn)行設(shè)置，例如，從“實(shí)時(shí)保護(hù)”中排除進(jìn)程。必須使用組策略對(duì)象 ADM 文件集中管理 FCS 客戶端上的這些設(shè)置。特定于客戶端的參數(shù)保存在以下注冊(cè)表項(xiàng)中：
HKLM\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\<ver>\

其中 <ver> 是 FCS 服務(wù)的版本（當(dāng)前為 1.0）

反病毒和反間諜軟件設(shè)置在 AM (防惡意軟件) 子項(xiàng)中。若要從“實(shí)時(shí)保護(hù)”中排除某個(gè)進(jìn)程，必須向 AM\Exclusions\Processes 子項(xiàng)添加一個(gè)值。DWORD 值名稱等于可執(zhí)行文件的完整路徑；DWORD 數(shù)據(jù)必須設(shè)置為零。例如：  
AM\Exclusions\Processes\"C:\WINDOWS\system32\CCM\CcmExec.exe"=dword:00000000

附錄 A 中包含了一個(gè)實(shí)現(xiàn)這種排除的示例 ADM 腳本。

2.1.4 發(fā)現(xiàn)

可以使用上面創(chuàng)建的 OU 來篩選 FCS MOM 發(fā)現(xiàn)過程，使其僅查找 FCS 所管理空間中的計(jì)算機(jī)。

2.2 測試文件 CD

創(chuàng)建一張光盤，其中包含以下惡意軟件和可執(zhí)行文件，以便于客戶端安裝和測試。

◆來自 www.eicar.org/anti_virus_test_file.htm 的 EICAR 反病毒測試文件
●文本和可執(zhí)行文件 - Sample-A.txt、Sample-B.com、Sample-C.com、Sample-D.com、Sample-E.com
●ZIP 或 CAB 文件中的文本和可執(zhí)行文件 – eicar_com.zip
●壓縮 ZIP 文件中的文本和可執(zhí)行文件 – eicarcom2.zip

◆來自 www.spycar.org 的 Spycar 反間諜軟件測試文件
●注冊(cè)表更改可執(zhí)行文件
●IE 設(shè)置更改可執(zhí)行文件
●Hosts 文件更改可執(zhí)行文件

◆Netmon 安裝文件

◆FCSLOCALPOLICYTOOL.EXE

◆可選
●SMSTrace（用于查看日志文件）
●AdventureWorks 報(bào)告示例（SQL Reporting Services 測試）
●所需的其它工具