測試實驗室準備
本部分描述必需的操作系統和設置,以創建用于測試和評估 Forefront Client Security 所必需的最基本配置。例如,所使用的每種操作系統必須至少有一臺客戶端計算機(工作站或服務器)。此外,務必謹慎對待配置有關鍵業務部門應用程序(例如,會計、庫存等)的系統,以確保 FSC 代理不會負面影響應用程序功能或性能。
設置此類擴展客戶端測試配置可以讓您熟悉 Forefront Client Security 操作和功能。通過使用多個操作系統,您可以:
◆檢查 FCS 在那些操作系統上的特定軟件要求。
◆注意到操作系統版本之間的功能差異。
◆熟悉每種操作系統版本的“安全狀態評估”結果。
◆了解如何從環境中受 FCS 管理的系統獲得警報信息。
◆了解如何在需要時生成摘要報告和有關特定事件的報告。
2.1Active Directory 設置
Microsoft Forefront Client Security 要求所有客戶端都在同一個 AD 林中,并且所有客戶端域都具有雙向可傳遞信任,以便從中央控制臺進行管理。Forefront Client Security 使用 Active Directory 來實現:
訪問安全性 – FCS 使用許多域用戶帳戶來控制組件和對系統的管理訪問。
發現 – “MOM 發現”用于根據 AD 成員關系填充所管理系統的 FCS 資源庫。
策略部署 - Active Directory GPO 用于將注冊表設置和 Forefront 策略部署到所管理的系統。GPO 基于 Active Directory 組織單位 (OU) 或安全組 (SG) 成員關系應用于客戶端系統。
2.1.1帳戶配置
這些帳戶應該在安裝 Forefront Client Security 應用程序之前創建。請注意用于單服務器和多服務器拓撲的帳戶類型區別。
|
帳戶 |
類型 |
描述 |
安裝 |
|
SQL Server 代理帳戶 |
對于多服務器拓撲,此帳戶必須是域用戶。對于單服務器拓撲,此帳戶可以是本地帳戶。 |
SQL Server 代理在此帳戶下運行 |
在 SQL 安裝期間指定。 |
|
MOM 數據訪問服務器 (DAS) |
域用戶。在單服務器拓撲上,DAS 帳戶必須與管理服務器屬于同一個域。 |
DAS 帳戶查詢數據并將其添加到收集數據庫。 |
在 Client Security Server 安裝向導運行過程中指定。 |
|
MOM 報告帳戶 |
域用戶。 |
SQL Server Reporting Services 使用此帳戶連接到報告數據庫。 |
在 Client Security Server 安裝向導運行過程中指定。 |
|
MOM 代理帳戶 |
域用戶。 |
MOM 代理在客戶端計算機上運行時所使用的帳戶。此帳戶不應該擁有客戶端計算機上的管理員權限。 |
|
|
MOM DTS 帳戶 |
如果 MOM 數據庫和 MOM 報告數據庫在單獨的計算機上,此帳戶必須是域用戶帳戶。 |
此 DTS 帳戶用于運行將 MOM 數據傳輸到報告數據庫的計劃任務。 |
|
表 2:Forefront Client Security - Active Directory 帳戶
2.1.2 組織單位和安全組
FCS 要求創建一個或多個 OU 或 SG 以進行策略應用。為了使策略生效,必須將策略部署到一個或多個目標 OU 或 SG。
注意:
一個 OU 或 SG 只能分配一個 Client Security 策略。如果分配另一個策略,則它將取代以前分配的任何設置。
必須為創建的每個單獨策略創建一個 OU 或安全組。例如,一個“便攜式計算機”OU,用于使用 FCS_PortableSystem 策略的系統,以及一個“桌面”OU,用于使用 FCS_Desktop 策略的系統。強烈建議 Contoso 對 FCS 相關策略和 OU/SG 使用一致的命名模式,以便能夠容易地將它們相互關聯。例如,將策略 FCS_NY_DesktopsOU 分配給 AD 中的 NY_Desktops OU。將 FCS_NY_LaptopsSG 分配給 AD 中的 NY_Laptops 安全組,以此類推。
注意:
當客戶端系統同時在分配了 FCS 策略的 OU 和安全組中時,將應用安全組策略。應該小心確保不要將計算機分配到分配了 FCS 策略的多個安全組,因為所應用的策略結果將是不可預測的。
2.1.3 ADM 文件
有些 FCS 功能參數無法使用 FCS 管理控制臺進行設置,例如,從“實時保護”中排除進程。必須使用組策略對象 ADM 文件集中管理 FCS 客戶端上的這些設置。特定于客戶端的參數保存在以下注冊表項中:
HKLM\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\<ver>\
其中 <ver> 是 FCS 服務的版本(當前為 1.0)
反病毒和反間諜軟件設置在 AM (防惡意軟件) 子項中。若要從“實時保護”中排除某個進程,必須向 AM\Exclusions\Processes 子項添加一個值。DWORD 值名稱等于可執行文件的完整路徑;DWORD 數據必須設置為零。例如:
AM\Exclusions\Processes\"C:\WINDOWS\system32\CCM\CcmExec.exe"=dword:00000000
附錄 A 中包含了一個實現這種排除的示例 ADM 腳本。
2.1.4 發現
可以使用上面創建的 OU 來篩選 FCS MOM 發現過程,使其僅查找 FCS 所管理空間中的計算機。
2.2 測試文件 CD
創建一張光盤,其中包含以下惡意軟件和可執行文件,以便于客戶端安裝和測試。
◆來自 www.eicar.org/anti_virus_test_file.htm 的 EICAR 反病毒測試文件
●文本和可執行文件 - Sample-A.txt、Sample-B.com、Sample-C.com、Sample-D.com、Sample-E.com
●ZIP 或 CAB 文件中的文本和可執行文件 – eicar_com.zip
●壓縮 ZIP 文件中的文本和可執行文件 – eicarcom2.zip
◆來自 www.spycar.org 的 Spycar 反間諜軟件測試文件
●注冊表更改可執行文件
●IE 設置更改可執行文件
●Hosts 文件更改可執行文件
◆Netmon 安裝文件
◆FCSLOCALPOLICYTOOL.EXE
◆可選
●SMSTrace(用于查看日志文件)
●AdventureWorks 報告示例(SQL Reporting Services 測試)
●所需的其它工具
