如何实现 FCS 部署规划三部曲

　　目前恶意代码已成为对企业IT架构和信息资产影响最大的安全威胁之一，在过去的五年时间里，病毒、蠕虫、间谍软件及其他形式的恶意代码已成为诱发企业内部网络的紧急安全事件的首要原因。因此，针对恶意代码攻击的快速检测和响应能力，已经成为企业确保计算系统和网络结构的安全可靠与正常运转的关键，各种规模的企业都选择反病毒或反恶意软件的产品作为防御恶意代码最常用的手段广泛部署。

　　但对于企业来说，在企业的内部网络部署反恶意代码产品是一件充满挑战的事情，尤其是在企业的IT架构里存在多种不同的操作系统平台和应用环境，需要部署多种安全产品的情况下。此外，部署多种安全产品将带来管理成本与培训要求的大大提高，在中小企业里这一部分的成本甚至会成为安全项目的主要成本，人力资源也会不堪重负，所以许多企业为了削减安全项目的开支只部署一些较简单的安全产品。尽管这样能够节约安全方案的部署和维护成本，但这样却很容易导致企业安全事件响应时间延长、IT人员工作效率降低和关键系统恢复成本提高等其他问题的发生。

　　Forefront Client Security (FCS)的推出令这些问题迎刃而解。FCS基于久经实践检验的微软系统管理技术构建，管理员可通过FCS单一管理控制台提供的集中式防恶意软件与安全状态监控、事件处理、警报生成及客户端配置服务，实时的获得企业内部网络中的恶意软件安全防护情况。另外，管理员还可以选择将通过SQL报告服务提供内容更为翔实的报告，FCS客户端的更新则可通过部署在企业内部网络的WSUS或SMS服务近乎透明的实现。

　　作为简化企业内部网络各节点的反恶意软件部署步骤的重要体现之一，Forefront Client Security全面支持包括Windows 2000、XP、2003及Vista在内的整条Windows工作站和服务器系统产品线，足以覆盖企业网络中所有基于Microsoft Windows操作系统的节点。FCS还是一个统一的全能型恶意软件防护配置、监控与维护解决方案，并提供针对客户端感染、企业级安全事件爆发和网络淹没的自动响应能力，而它的总价格却仅相当于大多数公司单为病毒防护产品支付的成本。

　　Forefront Client Security 同时还是一个部署十分简便的反恶意软件方案，如果企业选择了FCS作为企业的反恶意软件方案，可以按照以下的步骤进行部署：

　　第一步是为Forefront Client Security在企业内部网络的部署进行相关管理策略的制定和分配。这些策略包括FCS部署准备方案、FCS部署计划和进度控制、FCS测试计划、FCS部署撤销计划以及用户的培训计划等，制定和分配这些策略的目的是为了保证企业在部署FCS的过程中，对企业IT架构所进行的变更和改动对企业业务的影响尽可能小，并保证FCS的部署能够按时高质量的完成。

　　第二步是对Forefront Client Security的部署进行拓扑结构的规划: Forefront Client Security包括两个部分，第一个部分是安装在商用台式机、便携式计算机和服务器操作系统上的安全代理(Agent)，它提供针对间谍软件、病毒和 Rootkit 等恶意软件威胁的实时监控保护和计划扫描;第二个部分是多种角色的中央管理服务器，它使管理员能够轻松管理、更新预配置或自定义的恶意软件防护代理，监控企业内部网络的恶意软件活动情况，并生成企业IT环境安全状态的报告和警报。

　　另外，如果按照Forefront Client Security包括的组件所执行的职能来分，还可以分成以下部分：

　　◆管理服务

　　◆收集服务

　　◆报告服务

　　◆软件分发服务

　　◆客户端代理

　　图：Forefront Client Security的部署结构

　　第三步是进行FCS部署规划，主要是对企业内部网络的具体情况进行分析和调整，并对要部署FCS的系统进行软硬件需求检查，我们把这个步骤称为IT环境适用性分析 :

　　IT环境适用性分析：在部署任何方案之前，我们必须先对方案所部署的目标环境进行适用性规划，FCS的部署也是如此，我们首先要做的就是确定FCS方案在企业内部网络中部署的结构，Forefront Client Security 的中央管理体系支持从单服务器到六服务器的多种不同服务器配置，所选的拓扑将基于企业的实际要求和软硬件环境，用户可以简单的根据以下的参数来选择：

　　企业内部网络中要管理的FCS客户端计算机数量

　　整个FCS系统的性能要求

　　要执行的扫描频率和类型

　　保存用于报告目的的数据量

　　企业是否有数据备份要求

　　企业针对FCS方案的硬件和软件预算

　　现有的硬件、软件和网络基础结构

　　在企业内部网络规模不是很大的时候，单服务器类型的FCS部署方案能完全满足要求，但如果企业内部网络中有1000个及以上的客户端需要纳入到FCS方案的保护范围，笔者建议采用多服务器类型的FCS部署方案。

　确定好FCS部署的结构后，我们进入FCS部署的下一个阶段，即确定企业的内部网络环境是否满足部署FCS的需求，应该满足：

　　•企业内部网络的管理是基于正常运转的Active Directory林

　　健全的DHCP、DNS和WINS解析能力

　　最好在近期接受过由PSS执行的AD健康状况检查

　　•服务器和台式机全部配备所需软件许可证。

　　•WSUS服务器或SMS 2003系统处于正常运转状态(尚未安装Windows Update功能也可以使用)

　　如果企业用户的内部网络不是基于Microsoft 活动目录的话，用户还需要对内部网络的逻辑结构进行调整，并将所有的节点整合到Microsoft活动目录中，以满足FCS的部署要求。由于进行网络逻辑结构的调整对企业业务和信息系统的影响较大，企业用户可以先制定好网络逻辑结构调整的安全策略和变更管理方案，并预先搭建一个测试环境，测试完成后再逐步将整个内部网络迁移到活动目录上。

　　完成确定企业内部网络环境的步骤之后，我们就可以进入FCS部署准备的这个步骤的下一个阶段：确定企业内部网络中的服务器和客户端是否符合FCS的部署要求，我们可以参考Microsoft在FCS的安装说明书中的建议，准备部署FCS的服务器和客户端系统的软硬件需求分别如下：

　　最低硬件要求

　　下表包含每种 FCS 服务器角色和组合服务器角色的最低推荐硬件配置。

　　                          表 1:Forefront Client Security – 服务器硬件要求

　表 2 包含 FCS 客户端的最低推荐硬件配置。

　　                                    表 2：Forefront Client Security – 客户端硬件要求

　　目前大部分企业的内部网络中的服务器和客户端计算机大多采购于近几年，FCS部署所需的硬件配置基本都可以满足。以下是FCS部署需要的最低软件需求，根据FCS组件的不同，所要部署的目标系统的软件需求也不同：

　　最低软件要求

　　下表包含每种 FCS 服务器角色或组合角色的软件要求。

　　                                       表 3：Forefront Client Security – 服务器软件要求

　表 4 包含 FCS 支持的客户端的必备软件。

　　                                    表 4：Forefront Client Security – 客户端软件要求

　　完成IT环境适用性分析之后，用户可以准备好一份详细的FCS部署计划，在连同之前在第一个步骤里提到的各种文档一起提供给管理层 审议并批准后，我们的Forefront Client Security 部署准备也就完成了。

　　企业最后要进行的就是FCS的实际部署，用户根据Microsoft丰富的Forefront Client Security产品说明书进行即可，非常简单易行。整个FCS部署流程中，企业用户只需要注意一点：对目前已经采用Microsoft活动目录的企业来说，完成FCS的部署规划是轻而易举的事情;而对于目前尚未使用Microsoft活动目录的企业，尽管需要增加将内部网络的逻辑结构转换到活动目录上这一步骤，但只要做好相关的变更管理工作和文档，并按照事先确定好的流程进行内网逻辑结构的转换，然后就可以按照上面所述的步骤进行FCS的部署规划。