Главная Security, Без рубрики, Новое Использование Forefront Client Security без консоли управления
  • Использование Forefront Client Security без консоли управления

    374906_220x220 Система Forefront Client Security (FCS) обеспечивает простую в управлении единую защиту от вредоносного ПО для настольных ПК, переносных ПК и серверных операционных систем в организациях. Forefront Client Security очень надежно и эффективно защищает работу бизнес-систем благодаря упрощенному администрированию, централизованному управлению и наглядному представлению угроз и уязвимостей системы. FCS рассчитан на организации среднего и крупного размера в связи с этим для небольших компаний (при небольшой количестве клиентов) его стоимость оказывается достаточно высокой и не может конкурировать с антивирусными решениями других производителей.

    Примечание: Нужно заметить, что стоимость самого антивируса ощутимо ниже конкурентов, но вот цена консоли управления оказывается достаточно высокой. Дело все в том, что для полноценной работы консоли управления необходим SQL Server Standard (Express не подойдет!), следовательно, к нему необходимо приобретать клиентские лицензии в количестве равном числу пользователей, у которых установлен FCS, а это не дешевое удовольствие. Есть другой вариант – приобрести консоль управления со встроенным SQL Server, но она тоже является достаточно дорогим продуктом и при лицензировании до 100 клиентских компьютеров, совместная стоимость владения заметно проигрывает решениям других антивирусных разработчиков.

    В данной статье я предложу вариант, который позволит установить Forefront Client Security без консоли управления и при этом сохранить как можно больше функций по управлению клиентами.

    Установка Forefront Client Security через GPO

    Для того чтобы установить FCS на компьютер, у которого нет MOM агента, необходимо запустить clientsetup.exe с ключом /NOMOM:

    clientsetup.exe /nomom

    Но, как известно, для установки ПО через GPO можно использовать только *.msi пакеты. Следовательно, нам нужно перепаковать clientsetup.exe /nomom в msi-пакет. Я этого делать не буду, т.к. если проанализировать содержимое папки с дистрибутивом, то можно понять, что пакет MP_AMBITS.msi и есть установщик FCS, т.к. ещё два пакета там – это компоненты МОМ`а, а FCSSSA.msi – это Security State Assessment agent software (Программу сканирования соответствия шаблонам безопасности), остальное же – это пакеты локализации и то только для Win XP.

    Для установки FCS на клиентские компьютеры необходимо сделать следующее:

    • · Скопировать дистрибутив в сетевую папку на файловом сервере;
    • · Создать OU в Active Directory;
    • · Создать объект групповой политики и связать его с OU;
    • · В объекте GPO зайти в Конфигурация компьютера – Политики – Конфигурация программ – Установка программ – Создать – Пакет;
    • · Выбрать файл MP_AMBITS.msi в сетевой папке;
    • · Указать метод развертывания – Назначенный.

    clip_image002

    Рис.1: Добавление пакета MP_AMBITS.msi в GPO.

    Точно таким же образом можно развернуть Security State Assessment Service через пакет FCSSSA.msi.

    Далее перезагружаем компьютер, входящий в указанную выше OU и если все было сделано правильно наблюдаем в трее значок Forefront Client Security.

    Управление Forefront Client Security через GPO.

    Установить FCS – это пол дела, им нужно как-то управлять. Если вы раньше пользовались Windows Defender`ом, то возможно вы были в курсе, что для этого продукта есть специальный ADM шаблон для GPO (http://support.microsoft.com/kb/927367/en-us ), через который можно было управлять настройками Defender`a. Для FCS также есть подобный шаблон, и скачать его можно по этой ссылке.

    Чтобы импортировать шаблон в групповые политики нужно:

    • · Открыть нужный объект групповой политики – Конфигурация компьютера;
    • · Нажать правой кнопкой мыши на пункте Административные шаблоны;
    • · Выбрать Добавление или удаление шаблонов
    • · Далее нажимаем кнопку Добавить и выбираем скачанный шаблон forefront.adm.

    clip_image004

    Рис.2: Добавление шаблона forefront.adm в GPO.

    Если шаблон был успешно добавлен, то его политики можно будет найти в разделе Административные шаблоны – Классические административные шаблоны (ADM) – Windows Components – Microsoft Forefront:

    clip_image006

    Рис.3: Редактирование параметров Forefront Client Security

    Как видно из рис.3, настроек достаточно много для удаленного конфигурирования клиентов FCS.

    Модификация ADM шаблона

    Если предложенных настроек не достаточно, то вы можете самостоятельно модифицировать данный шаблон. Параметры реестра, управляющие работой FCS можно взять в библиотеке TechNet по этому адресу (http://technet.microsoft.com/en-us/library/bb418783.aspx). Далее, необходимо открыть ADM шаблон в блокноте и добавить в раздел категории (после ключа CATEGORY !!ForeFrontCat) политику, например так:

    POLICY !!RemovableDriveScanning_Name

    KEYNAME "SOFTWARE\Policies\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Scan"

    EXPLAIN !!RemovableDriveScanning_Explain

    ;; Note that instead of disabling a disable we flip-flop the logic to make it proactive

    VALUENAME DisableRemovableDriveScanning

    VALUEON NUMERIC 0

    VALUEOFF NUMERIC 1

    END POLICY

    А после ключа [strings] – параметры этой политики, например такие:

    FCSCategory="Microsoft Forefront Client Security"

    RemovableDriveScanning_Name="Enabling removable drive scanning"

    RemovableDriveScanning_Explain="This setting instructs the FCS antimalware client to scan removable drives during full scans"

    Данная настройка управляет сканированием съемных дисков при проведении полного сканирования. Аналогично можно настроить другие параметры.

    Заключение

    В результате проделанных выше действий мы установили Forefront Client Security на компьютеры определенной OU и получили возможность централизовано управлять его настройками.

    Таким образом, можно сказать, что использование FCS без консоли управления для небольших организаций обойдется значительно дешевле антивирусов других производителей, но при этом придется отказаться от функционала мониторинга.

    Алексей Богомолов (Alexx)

Комментарии

  1. Все хорошо, но настроек в шаблоне мало, приходится его дописвать, а имменно:
    1. Действия принимаемы по умолчанию для разных категорий угроз
    2. Сканирование электронной почты
    3. Сканирование съемных носителей
    Самое обидное, у FCS в отличии от его бесплатного аналога отуствует интеграция в меню проводника, и чтобы FCS несправшивал явного подтверждения на удаления угрозы а сам это делал, его бесплатный аналог это умеет делать (MS Security Essentitals)

  2. Добавил раздел про модификацию ADM шаблона.

    >Самое обидное, у FCS в отличии от его бесплатного аналога отуствует интеграция в меню проводника
    Да, это действительно очень печально и не совсем понятно почему так сделано. Хотя разработчики утверждают, что при добавлении съемного носителя, его загрузочный сектор сканируется автоматически, а при открытии файла, тот также сканируется автоматически.

    Что касается сканирования почты – я не нашел таких настроек в FCS, думаю, что эта защита включена по умолчанию.

  3. В нем много чего не указано, тут как всегда плохо с настройкам, зато тут есть информация о том, как его прокачать.
    http://blogs.technet.com/b/clientsecurity/archive/2010/03/19/scanning-email-archives.aspx

  4. Вообще очень странно, что дополнительные ключи реестра, типа DisableEmailScanning, не указаны в в библиотеке TechNet (http://technet.microsoft.com/en-us/library/bb418783.aspx), и приходится их искать в блоге разработчиков.

  5. Алексей, шаблон для FCS, который Вы указали для загрузки, можно ссылку на официальный источник? Или Вы его написали сами?
    Спасибо за статью!

  6. К сожалению мне не удалось найти данный шаблон на сайте MS`a. Скачал я его с одного из англоязычных сайтов, только перед этим дописал две последние политики. Вы также можете его исправить исходя из своих потребностей. Где взять ключи реестра – встатье указано (правда они там не все возможные), а как редактировать шаблон – тоже коротко написано.

  7. Шаблон можно редактировать-это понятно. И ключи можно посмотреть в базе и в блоге. А вот “официального” шаблона от MS для FCS я тоже не нашел 🙁
    Есть подозрения что его не существует.