Drużyna Forefronta

Ochrona sieci przed zagrożeniami z Internetu wymaga współdziałania zespołu systemów. Sprawdź, jak zainstalować i skonfigurować technologie pracujące w grupie Microsoft Forefront Client Security, żeby skutecznie ochronić sieć przed złośliwym oprogramowaniem.


Ochrona sieci przed zagrożeniami z Internetu wymaga współdziałania zespołu systemów. Sprawdź, jak zainstalować i skonfigurować technologie pracujące w grupie Microsoft Forefront Client Security, żeby skutecznie ochronić sieć przed złośliwym oprogramowaniem.

Nadzorowanie dziesiątków stacji roboczych oraz aplikacji rozproszonych na serwerach sieciowych nie jest łatwym zadaniem. Podstawowym celem Forefronta jest niezawodna i przejrzysta ochrona systemów komputerowych. Po lekturze artykułu z poprzedniego numeru wiesz już, jakie elementy wchodzą w jego skład. Dziś pokażemy, jak właściwie skonfigurować cały mechanizm.

Aby ułatwić życie administratora, do realizacji tego zadania użyto grupy technologii, takich jak Active Directory, Microsoft Operations Manager 2005, Windows Server Update Services oraz Microsoft SQL 2005. Efektem integracji systemów jest łatwa w zarządzaniu, scentralizowana aplikacja do eliminowania zagrożeń.

Topologie ForefrontClient Security

Rozmieszczenie komponentów Microsoft Forefront Client Security.

Rozmieszczenie komponentów Microsoft Forefront Client Security.

Forefront jest usługą bazującą na współpracy wielu powszechnie stosowanych systemów takich jak: WSUS, MOM lub Microsoft SQL 2005. Przed instalacją Forefronta należy szczegółowo przemyśleć rozlokowanie poszczególnych systemów w infrastrukturze sieci. Plan rozmieszczenia komponentów nazywany jest topologią Forefront Client Security. Na wybór topologii wpływa wiele czynników: liczba chronionych klientów, budowa sieci, budżet lub wymagania związane z raportowaniem. Aplikacja Forefront Client Security może być wdrażana w przedsiębiorstwach o rozproszonej infrastrukturze sieci i zróżnicowanej liczbie chronionych komputerów. Wybór właściwej topologii decyduje o wydajności i efektywności administracji złożoną siecią.

Dostosowanie topologii do infrastruktury IT nie jest trudne. Przede wszystkim należy poznać role systemów pracujących w rodzinie Microsoft Forefront. Systemami składowymi są serwery: zarządzający (Management Server), zbierający dane (Collection Server), bazy danych kolekcjonowania (Collection Database Server), raportowania (Reporting Server), bazy danych raportowania (Reporting Database Server) oraz dystrybucyjny (Distribution Server).

Na pierwszy rzut oka liczba komponentów Forefronta budzi lekki niepokój. Bliższe poznanie zadań każdego składnika może ułatwić podjęcie właściwej decyzji konfiguracyjnej. Serwer zarządzający jest mózgiem aplikacji. Zawiera konsole do administrowania Forefrontem i komponentami programu Microsoft Operations Manager. Na serwerze zarządzającym ustalasz oraz modyfikujesz zasady zabezpieczeń systemów klienckich. Zasady określają zakres i sposób zabezpieczania komputerów. Forefront korzysta z bazy kolekcjonowania danych i bazy raportowania. Zdarzenia i informacje o stanie klientów są zapisywane w bazie kolekcjonowania, która może być umieszczona na serwerze kolekcjonowania lub serwerze bazy danych kolekcjonowania. Dane kolekcjonowania są okresowo przenoszone do bazy raportowania, pełniącej funkcję archiwum informacji o stanie klientów sieci. Lokalizacją bazy jest serwer raportowania lub serwer bazy danych raportowania. Zadaniem ostatniego komponentu rodziny - serwera dystrybucyjnego - jest dostarczanie do klientów definicji złośliwego oprogramowania. W praktyce oznacza to, że serwerem dystrybucyjnym jest serwer z zainstalowaną i skonfigurowaną usługą WSUS.

Przygotowanie środowiska pracy Forefronta

Forefront składa się z wielu współdziałających programów i usług. Dla uproszczenia prezentacji przykładowego wdrożenia testowy egzemplarz będzie pracował w topologii jednoserwerowej. Wszystkie niezbędne komponenty zostaną zainstalowane na serwerze produkcyjnym o nazwie FF-SRV-01. Aby nie komplikować opisu wdrożenia, pominiemy podstawowe czynności, takie jak instalacja systemu Windows Serwer 2003 lub Windows Serwer 2003 R2, konfiguracja protokołu TCP/IP oraz dodanie komputera do domeny.

Okno instalacji usługi WSUS.

Okno instalacji usługi WSUS.

Pierwszym etapem przygotowań do instalacji Forefronta jest założenie kont usługowych. Konta usługowe są przeznaczone do uwierzytelniania komunikujących się wzajemnie usług lub aplikacji. Jeśli otworzysz konsolę Usługi z folderu Narzędzia administracyjne, możesz zobaczyć, że większość usług jest uruchamiana z uprawnieniami takich kont, jak System lokalny lub Usługa sieciowa. Do komunikacji między rozproszonymi serwerami środowiska Forefront będziesz potrzebował kilku kont. Liczba obiektów zależy od topologii aplikacji. Do instalacji jednoserwerowej potrzebne jest tylko jedno konto. Tworzenie konta usługowego przebiega podobnie do dodawania nowego użytkownika. Po uruchomieniu konsoli zarządzania użytkownikami i komputerami Active Directory zaznacz pojemnik, w którym założysz użytkownika, np. Users. Następnie wybierz z menu Akcja polecenie Nowy | Użytkownik. Wpisz nazwę i hasło. We właściwościach obiektu koniecznie zaznacz opcję Hasło nigdy nie wygasa. Drugą ważną informacją jest to, że konto usługowe powinno należeć do lokalnej grupy administratorów na serwerze Forefront.

Po założeniu konta użytkownika możesz przejść do następnych prac przygotowawczych. Dalsze działania są prowadzone na serwerze produkcyjnym. Po zalogowaniu do serwera przejdź do konsoli Zarządzanie tym serwerem i uruchom kreatora dodawania nowej roli. Z listy ról wybierz Serwer aplikacji (IIS, ASP.NET) i naciśnij Dalej. W oknie Opcje serwera aplikacji zaznacz pole wyboru Włącz ASP.NET. Kolejne naciśnięcie Dalej rozpocznie dodawanie nowej roli. Forefront wymaga serwera IIS, ponieważ przez interfejs webowy publikowane są raporty o stanie systemów klientów sieci. Po dodaniu serwera aplikacji możesz przejść do instalacji serwera SQL. Bazy danych obsługiwane przez Microsoft SQL 2005 są wykorzystywane do gromadzenia i raportowania danych, a także na potrzeby usługi WSUS (Windows Server Update Services). Po włożeniu płyty instalacyjnej programu Microsoft SQL 2005 przejdź do wyboru składników serwera i zaznacz: SQL Server Database Services, Reporting Services, Integration Services, and Workstation components. W dalszych oknach kreatora powinieneś zaznaczyć: uruchamianie serwera na uprawnieniach konta usługowego, uwierzytelnienie Windows (Windows authentication) oraz automatyczne uruchamianie w czasie startu systemu usługi SQL Sever Agent. Pamiętaj, że po zainstalowaniu serwera baz danych należy zainstalować Service Pack 2. Kolejnymi komponentami potrzebnymi do pracy Forefronta są obsługa konsol administracyjnych w wersji 3.0 (MMC 3.0) oraz przystawka do zarządzania zasadami grupy (GPMC z SP1). Jeśli platformą obsługującą Forefronta będzie Windows Server 2003 R2, instalacja obsługi konsol MMC nie jest wymagana. W razie potrzeby oba dodatki do systemu można pobrać z witrynyhttp://www.microsoft.com/downloads.

Ostatnim ważnym składnikiem wymaganym przez Forefront Client Security jest usługa Windows Server Update Services (WSUS). Zadaniem usługi WSUS jest dystrybucja i zarządzanie aktualizacjami przeznaczonymi do aplikacji i systemów pracujących w domenie Active Directory. Usługa WSUS została rozbudowana na potrzeby Forefronta o nową funkcjonalność, która umożliwia automatyczne dostarczanie do komputerów pakietów z definicjami wirusów. Jeśli w twojej sieci jest wdrożony serwer WSUS, instalacja usługi nie jest konieczna. W przeciwnym wypadku pobierz pakiet instalacyjny z witryny Downloads Microsoftu. Najnowszą wersją usługi jest WSUS 3.0.