本文档为商用台式机、便携式计算机和服务器操作系统上的 Forefront Client Security (FCS) 恶意软件防护的实现提供安装和测试计划信息。Microsoft Forefront Client Security 交付了独一无二的保护来抵御病毒、间谍软件和其它已有和新出现的威胁。FCS 基于已经由全球数百万人使用的高度成功的相同微软保护技术,Forefront Client Security 帮助抵御新出现的威胁,例如间谍软件和 Rootkit,以及抵御传统威胁,例如病毒、蠕虫和特洛伊木马。通过中央管理来交付简化的管理,并提供对威胁和漏洞的关键可见性,Forefront Client Security 帮助您满怀信心高效地保护 Windows 系统。Forefront Client Security 与诸如 Active Directory 和 WSUS 等现有基础结构软件集成,并补充其它微软安全技术以实现增强的保护和更强的控制。
Microsoft Forefront Client Security 解决方案包括两个部分。第一个部分是安装在商用台式机、便携式计算机和服务器操作系统上的安全代理。它提供针对间谍软件、病毒和 Rootkit 等威胁的实施保护和计划扫描。
第二个部分是中央管理服务器,它使管理员能够轻松管理和更新预配置或自定义的恶意软件防护代理,并生成有关环境安全状态的报告和警报。
Forefront Client Security 包括以下组件:
◆管理服务
◆收集服务
◆报告服务
◆分发服务
◆客户端代理
1.1系统要求
Forefront Client Security 支持从单服务器到六服务器的许多不同服务器配置。您所选的拓扑将基于许多不同的因素,包括:
硬件和软件要求,主要由以下因素驱动:
◆要管理的客户端计算机数量
◆性能要求
◆要执行的扫描频率和类型
◆保存用于报告目的的数据量
◆数据备份要求
◆硬件和软件预算
◆现有的硬件、软件和网络基础结构
1,000 个以上的托管客户端建议不要采用单服务器配置。
1.1.1最低硬件要求
下表包含每种 FCS 服务器角色和组合服务器角色的最低推荐硬件配置。
|
角色 |
CPU |
内存 |
硬盘 |
|
管理服务器 |
1 GHz(或更快)的处理器 |
1 GB(或更多)的 RAM |
512MB(或更大)的硬盘 |
|
无数据库的收集服务器 |
1 GHz(或更快)的处理器 |
512 MB(或更多)的 RAM |
1 GB(或更大)的硬盘 |
|
带数据库的收集服务器或收集数据库服务器 |
2 GHz 双核(或更快)的处理器 |
2 GB(或更多)的 RAM |
30 GB(或更大)的硬盘 |
|
无数据库的报告服务器 |
1 GHz(或更快)的处理器 |
512 MB(或更多)的 RAM |
512 MB(或更大)的硬盘 |
|
带数据库的报告服务器或报告数据库服务器 |
2 GHz 双核(或更快)的处理器 |
2 GB(或更多)的 RAM |
75 GB(或更大)的硬盘 |
|
分发服务器 |
1 GHz(或更快)的处理器 |
1 GB(或更多)的 RAM |
100 GB(或更大)的硬盘 |
|
组合:管理、收集和报告服务器 |
2.85 GHz 双核(或更快)的处理器 |
4 GB(或更多)的 RAM |
100 GB(或更大)的硬盘 |
|
组合:收集数据库和报告数据库服务器 |
2.85 GHz 双核(或更快)的处理器 |
4 GB(或更多)的 RAM |
100 GB(或更大)的硬盘 |
|
组合:单服务器生产拓扑(所有角色在单个服务器上) |
2.85 GHz 双核(或更快)的处理器 |
4 GB(或更多)的 RAM |
100 GB(或更大)的硬盘 |
表 1:Forefront Client Security – 服务器硬件要求
表 2 包含 FCS 客户端的最低推荐硬件配置。
|
角色 |
CPU |
内存 |
硬盘 |
|
客户端计算机:Windows 2000 |
500 MHz(或更快)的处理器 |
256 MB(或更多)的 RAM |
350 MB(或更大)的硬盘 |
|
客户端计算机:Windows XP |
500 MHz(或更快)的处理器 |
256 MB(或更多)的 RAM |
350 MB(或更大)的硬盘 |
|
客户端计算机:Windows 2003 |
500 MHz(或更快)的处理器 |
256 MB(或更多)的 RAM |
350 MB(或更大)的硬盘 |
|
客户端计算机:Windows Vista |
500 MHz(或更快)的处理器 |
256 MB(或更多)的 RAM |
350 MB(或更大)的硬盘 |
表 2:Forefront Client Security – 客户端硬件要求
1.1.2 最低软件要求
下表包含每种 FCS 服务器角色或组合角色的软件要求。
|
角色 |
操作系统 |
.NET |
策略管理器 |
Web 服务 |
更新服务 |
管理控制台 |
数据库 |
|
管理服务器 |
Windows Server 2003 SE/EE |
.NET Framework 2.0 |
GPMC SP1 |
IIS 6.0、ASP.NET 和 Microsoft FrontPage® 服务器扩展 |
|
MMC v3.0 |
|
|
无数据库的收集服务器 |
Windows Server 2003 SE/EE |
.NET Framework 2.0 |
|
|
|
|
|
|
带数据库的收集服务器或收集数据库服务器 |
Windows Server 2003 SE/EE |
.NET Framework 2.0 |
|
|
|
|
带有数据库服务和工作站组件的 SQL Server 2005 SP1 EE |
|
无数据库的报告服务器 |
Windows Server 2003 SE/EE |
|
|
IIS 6.0、ASP.NET 和 Microsoft FrontPage® 服务器扩展 |
|
|
|
|
带数据库的报告服务器或报告数据库服务器 |
Windows Server 2003 SE/EE |
|
|
|
|
|
带有数据库服务和工作站组件的 SQL Server 2005 SP1 EE |
|
分发服务器 |
Windows Server 2003 SE/EE |
.NET Framework 2.0 |
|
IIS 6.0 和 ASP.NET |
带有 SP1 的 WSUS 2.0 |
|
MSDE |
|
组合:管理、收集和报告服务器 |
Windows Server 2003 SE/EE |
.NET Framework 2.0 |
带有 SP 1 的GPMC |
IIS 6.0、ASP.NET 和 Microsoft FrontPage® 服务器扩展 |
带有 SP1 的 WSUS 2.0 |
MMC v3.0 |
带有数据库服务和工作站组件的 SQL Server 2005 SP1 EE |
|
组合:收集数据库和报告数据库服务器 |
Windows Server 2003 SE/EE |
|
|
|
|
|
带有数据库服务和工作站组件的 SQL Server 2005 SP1 EE |
|
组合:单服务器生产拓扑(所有角色在单个服务器上) |
Windows Server 2003 SE/EE |
.NET Framework 2.0 |
带有 SP 1 的GPMC |
IIS 6.0、ASP.NET 和 Microsoft FrontPage® 服务器扩展 |
带有 SP1 的 WSUS 2.0 |
MMC v3.0 |
带有数据库服务和工作站组件的 SQL Server 2005 SP1 EE |
表 3:Forefront Client Security – 服务器软件要求
表 4 包含 FCS 支持的客户端的必备软件。
|
角色 |
操作系统 |
更新代理 |
|
|
|
客户端计算机:Windows 2000 |
带有 SP4a 的 Microsoft Windows® 2000 |
Windows Update Agent 2.0 |
SP4 更新累积包 |
GDI+ |
|
客户端计算机:Windows XP |
带有 SP2 的 Windows XP |
Windows Update Agent 2.0 |
Filter Manager 热修复 (KB914882) |
Windows Installer 3.1 |
|
客户端计算机:Windows 2003 |
带有 SP1 或更高版本的 Windows Server 2003 |
Windows Update Agent 2.0 |
|
|
|
客户端计算机:Windows Vista |
Microsoft Windows Vista™ Business 或 Enterprise |
|
|
|
表 4:Forefront Client Security – 客户端软件要求
1.1.3Windows Installer
具有 MSP 文件扩展名的 MSI 更新需要 Windows Installer 3.1。目前,仅有 Microsoft Office 在 Windows Update Catalog 中使用此更新格式,但是将来其它微软产品也可能采用此格式。可以使用标准 SMS 软件分发将 Windows Installer 部署到客户端。完成时需要重新启动。
1.1.4Windows Update Agent
在大多数情况下,Windows Update Agent 2.0 已经安装在客户端计算机上。(当“自动更新”检查公共网站或内部服务器上的更新时,它还会检查自身的更新。)客户端上需要有 Windows Update Agent 2.0,FCS 签名更新功能才能正常工作。如果需要单独部署该代理,可以从以下地址获得它:http://go.microsoft.com/fwlink/?LinkID=56724。
还可以使用 SMS、Active Directory GPO 或其它自动化软件分发方法对其进行打包和部署。
在所有客户端计算机上安装 Windows Update Agent 以后,您需要更改客户端计算机自动更新位置源。此操作将指示客户端计算机查找分发服务器上的定义更新。
若要更改自动更新位置源
1.在其中一个 Client Security 服务器上,打开“控制面板” “管理工具”并双击“组策略管理”。
2.在“组策略管理”对话框中,展开“域”,展开“<您的域>”,双击“默认域策略”,然后单击“编辑”。
3.在“组策略编辑器”对话框中,展开“计算机配置”,展开“管理模板”,展开“Winsows 组件”,然后单击“Windows Update”。
4.在“设置”列表中,双击“配置自动更新”。
5.在“配置自动更新”对话框中,单击“启用”,然后单击“确定”。
6.在“设置”列表中,双击“指定 intranet Microsoft 更新服务位置”。
7.在“指定 Intranet Microsoft 更新服务位置”对话框中,单击“启用”,同时在“设置 intranet 更新服务”框和“设置 intranet 统计服务器”框中输入“客户端配置 URL”,然后单击“确定”。
8.在“设置”列表中,双击“允许自动更新立即安装”。
9.在“允许自动更新立即安装属性”对话框中,单击“启用”,然后单击“确定”。
1.1.5热修复
必须将 Windows XP SP2 的 Filter Manager 累积包 (KB914882) 应用于 XP 客户端,然后才能安装 FCS 代理。安装此热修复不需要任何先决条件,但是需要重新启动计算机。
必须将 Service Pack 4 的 Windows 2000 更新累积包 1 (KB891861) 应用于 Windows 2000 客户端。Service Pack 4 是安装此累积包的唯一先决条件。安装该更新累积包以后,请运行 Windows Update 以查找在 2005 年 4 月 30 日发布该更新之后发布的更新。
1.1.6可再发行组件包
GDI+ 是 Windows 2000 包括的图形设备接口 Windows 图形设备接口 (GDI) 的后继版本。Forefront Client Security UI 利用此 API 在屏幕上显示信息和用于打印。必须将 GDI+ 可再发行组件包安装在 Windows 2000 上,该 UI 才能正常工作。该包可从以下地址找到:
http://www.microsoft.com/downloads/details.aspx?FamilyID=6A63AB9C-DF12-4D41-933C-BE590FEAA05A&displaylang=en
Microsoft .NET Framework 2.0 是 FCS 的管理和收集服务器组件所必需的。此可再发行组件包安装 .NET Framework v2.0 运行库和运行这些应用程序所需要的关联文件。该包可从以下地址找到:
http://www.microsoft.com/downloads/details.aspx?familyid=0856EACB-4362-4B0D-8EDD-AAB15C5E04F5&displaylang=en
FCS MMC 工具管理单元需要 微软管理控制台 3.0 (MMC 3.0)。MMC 提供跨不同系统管理工具的常用导航、菜单、工具栏和工作流。该包可从以下地址找到:
http://www.microsoft.com/downloads/details.aspx?familyid=4C84F80B-908D-4B5D-8AA8-27B962566D9F&displaylang=en
1.1.7带 Service Pack 1 的 微软组策略管理控制台
GPMC 使得理解、部署、管理和诊断组策略实现更加容易,从而简化组策略的管理。Forefront Client Security 使用 GPMC 的部分扩展功能来管理特定于 FCS 的 FCS 代理策略。该包可从以下地址找到:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en
1.1.8带 SP1 的 Windows Server Update Services (WSUS) 2.0
WSUS 提供了用于管理更新的全面解决方案。Forefront Client Security 使用 WSUS 作为反病毒和反间谍软件签名文件更新以及 FCS 组件更新的分发点。.WSUS 2.0 有两个先决条件:
1.必须在安装 WSUS 服务器之前安装后台智能传输服务 (BITS) 2.0。
2.必须在安装 WSUS 服务器之前安装 Microsoft SQL Server 2000 Desktop Engine (MSDE) Release A、WMSDE、SQL Server 2005 或带 SP3 的 SQL Server 2000。WMSDE 仅用于 Microsoft Windows Server 2003,并包括在 WSUS 下载中。
有关完整的安装说明,请参见“部署指南”。WSUS 应用程序包和详细安装说明可从以下地址找到:http://go.microsoft.com/fwlink/?LinkId=47374
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |