测试实验室准备
本部分描述必需的操作系统和设置,以创建用于测试和评估 Forefront Client Security 所必需的最基本配置。例如,所使用的每种操作系统必须至少有一台客户端计算机(工作站或服务器)。此外,务必谨慎对待配置有关键业务部门应用程序(例如,会计、库存等)的系统,以确保 FSC 代理不会负面影响应用程序功能或性能。
设置此类扩展客户端测试配置可以让您熟悉 Forefront Client Security 操作和功能。通过使用多个操作系统,您可以:
◆检查 FCS 在那些操作系统上的特定软件要求。
◆注意到操作系统版本之间的功能差异。
◆熟悉每种操作系统版本的“安全状态评估”结果。
◆了解如何从环境中受 FCS 管理的系统获得警报信息。
◆了解如何在需要时生成摘要报告和有关特定事件的报告。
2.1Active Directory 设置
Microsoft Forefront Client Security 要求所有客户端都在同一个 AD 林中,并且所有客户端域都具有双向可传递信任,以便从中央控制台进行管理。Forefront Client Security 使用 Active Directory 来实现:
访问安全性 – FCS 使用许多域用户帐户来控制组件和对系统的管理访问。
发现 – “MOM 发现”用于根据 AD 成员关系填充所管理系统的 FCS 资源库。
策略部署 - Active Directory GPO 用于将注册表设置和 Forefront 策略部署到所管理的系统。GPO 基于 Active Directory 组织单位 (OU) 或安全组 (SG) 成员关系应用于客户端系统。
2.1.1帐户配置
这些帐户应该在安装 Forefront Client Security 应用程序之前创建。请注意用于单服务器和多服务器拓扑的帐户类型区别。
帐户 |
类型 |
描述 |
安装 |
SQL Server 代理帐户 |
对于多服务器拓扑,此帐户必须是域用户。对于单服务器拓扑,此帐户可以是本地帐户。 |
SQL Server 代理在此帐户下运行 |
在 SQL 安装期间指定。 |
MOM 数据访问服务器 (DAS) |
域用户。在单服务器拓扑上,DAS 帐户必须与管理服务器属于同一个域。 |
DAS 帐户查询数据并将其添加到收集数据库。 |
在 Client Security Server 安装向导运行过程中指定。 |
MOM 报告帐户 |
域用户。 |
SQL Server Reporting Services 使用此帐户连接到报告数据库。 |
在 Client Security Server 安装向导运行过程中指定。 |
MOM 代理帐户 |
域用户。 |
MOM 代理在客户端计算机上运行时所使用的帐户。此帐户不应该拥有客户端计算机上的管理员权限。 |
|
MOM DTS 帐户 |
如果 MOM 数据库和 MOM 报告数据库在单独的计算机上,此帐户必须是域用户帐户。 |
此 DTS 帐户用于运行将 MOM 数据传输到报告数据库的计划任务。 |
|
表 2:Forefront Client Security - Active Directory 帐户
2.1.2 组织单位和安全组
FCS 要求创建一个或多个 OU 或 SG 以进行策略应用。为了使策略生效,必须将策略部署到一个或多个目标 OU 或 SG。
注意:
一个 OU 或 SG 只能分配一个 Client Security 策略。如果分配另一个策略,则它将取代以前分配的任何设置。
必须为创建的每个单独策略创建一个 OU 或安全组。例如,一个“便携式计算机”OU,用于使用 FCS_PortableSystem 策略的系统,以及一个“桌面”OU,用于使用 FCS_Desktop 策略的系统。强烈建议 Contoso 对 FCS 相关策略和 OU/SG 使用一致的命名模式,以便能够容易地将它们相互关联。例如,将策略 FCS_NY_DesktopsOU 分配给 AD 中的 NY_Desktops OU。将 FCS_NY_LaptopsSG 分配给 AD 中的 NY_Laptops 安全组,以此类推。
注意:
当客户端系统同时在分配了 FCS 策略的 OU 和安全组中时,将应用安全组策略。应该小心确保不要将计算机分配到分配了 FCS 策略的多个安全组,因为所应用的策略结果将是不可预测的。
2.1.3 ADM 文件
有些 FCS 功能参数无法使用 FCS 管理控制台进行设置,例如,从“实时保护”中排除进程。必须使用组策略对象 ADM 文件集中管理 FCS 客户端上的这些设置。特定于客户端的参数保存在以下注册表项中:
HKLM\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\<ver>\
其中 <ver> 是 FCS 服务的版本(当前为 1.0)
反病毒和反间谍软件设置在 AM (防恶意软件) 子项中。若要从“实时保护”中排除某个进程,必须向 AM\Exclusions\Processes 子项添加一个值。DWORD 值名称等于可执行文件的完整路径;DWORD 数据必须设置为零。例如:
AM\Exclusions\Processes\"C:\WINDOWS\system32\CCM\CcmExec.exe"=dword:00000000
附录 A 中包含了一个实现这种排除的示例 ADM 脚本。
2.1.4 发现
可以使用上面创建的 OU 来筛选 FCS MOM 发现过程,使其仅查找 FCS 所管理空间中的计算机。
2.2 测试文件 CD
创建一张光盘,其中包含以下恶意软件和可执行文件,以便于客户端安装和测试。
◆来自 www.eicar.org/anti_virus_test_file.htm 的 EICAR 反病毒测试文件
●文本和可执行文件 - Sample-A.txt、Sample-B.com、Sample-C.com、Sample-D.com、Sample-E.com
●ZIP 或 CAB 文件中的文本和可执行文件 – eicar_com.zip
●压缩 ZIP 文件中的文本和可执行文件 – eicarcom2.zip
◆来自 www.spycar.org 的 Spycar 反间谍软件测试文件
●注册表更改可执行文件
●IE 设置更改可执行文件
●Hosts 文件更改可执行文件
◆Netmon 安装文件
◆FCSLOCALPOLICYTOOL.EXE
◆可选
●SMSTrace(用于查看日志文件)
●AdventureWorks 报告示例(SQL Reporting Services 测试)
●所需的其它工具