Forefront Client Security

В этой статье я расскажу об антивирусном продукте Microsoft, ориентированном на защиту рабочих станций и серверов в корпоративных сетях — Forefront Client Security.

Будут рассмотрены следующие темы:

• Описание возможностей
• Сильные и слабые стороны продукта
• Установка серверных компонентов Forefront Client Security
• Развертывание клиентских компонентов Forefront Client Security
• Советы и хитрости
• Полезные ссылки

Описание возможностей

Этот продукт нацелен в первую очередь на корпоративные сети, в которых требуется централизованное развертывание, обновление и мониторинг антивирусной защиты.

Client Security состоит из клиентской и северной частей.

Клиентская часть называется Forefront Client Security Agent и состоит из трех легких компонент:

• Antimalware Service — антивирусное ядро
• State Assessment Service — средство проверки текущего состояния безопасности
• Microsoft Operations Manager (MOM) 2005 Agent — агент для связи с сервером управления

Агент Client Security заточен на быстрое развертывание и централизованное управление, поэтому для конечного пользователя предоставляет только необходимый минимум функций, таких как

• сканирование по требованию
• расписание автоматического сканирования
• проверка обновлений
• настройка исключений
• отключение сканирующих модулей

Серверная часть называется Forefront Client Security Management Console, представляет собой панель управления, на которой отображается текущее состояние системы, настраиваются политики безопасности и представлены возможности для формирования разнообразных отчетов. Консоль управления для своей работы использует следующие технологии:

• Active Directory для централизованного распространения настроек (политик безопасности)
• Windows Server Update Services (WSUS) для централизованного распространения программных модулей и обновления антивирусных баз
• Microsoft Operations Manager 2005 (подпиленная версия) для сбора данных о состоянии клиентов
• SQL Server 2005 Database Engine для хранения базы данных
• SQL Server 2005 Reporting Services для формирования отчетов

Сильные и слабые стороны

Сильные стороны продукта:

• Высокая эффективность: авторитетные независимые тесты (Virus Bulletin, AV-Comparatives) неоднократно давали максимальный рейтинг этому антивирусу. Продукт сертифицирован для государственного применения.
• Производительность: антивирусный агент, работающий на клиентах, потребляет сравнительно немного памяти и не содержит ненужных в корпоративной среде модулей, такие как «оптимизаторы» ОС, брандмауэры и т. п.
• Широкая совместимость с платформами: агент поддерживает клиентские и серверные ОС начиная с Windows 2000 и заканчивая Windows 7 / Server 2008 R2.
• Централизованное управление и мониторинг: позволяет централизованно контролировать все настройки антивирусов, в соответствии с гранулярно создаваемыми политиками. Информация о состоянии контролируемых систем централизованно собирается и анализируется.
• Интеграция со службами Microsoft: продукт по полной использует технологии Microsoft, которые позволяет сравнительно легко внедрять его в существующую инфраструктуру. Это очень важно для больших сетей.
• Масштабируемость: одиночный сервер управления может поддерживать работу порядка десяти тысяч клиентов, а сами серверы управления можно централизованно объединить с помощью Client Security Enterprise Manager.
• Низкая стоимость: одна лицензия клиента стоит около 13 зелёных в год. Лицензия на сервер управления — около 2,5 тысяч зелёных в год, что сравнительно недорого, в случае больших инсталляций.

Все слабые стороны относятся к серверным компонентам и вытекают из сильных сторон…

• Специфические требования к инфраструктуре: для серверных компонентов поддерживаются только 32-х разрядные операционные системы, причем официально — только Windows Server 2003. Полная установка продукта довольно сложна, требует выполнения многих предварительных условий в текущей информационной инфраструктуре. Все серверные компоненты Forefront Client Security можно установить на одну ОС, однако чем-либо дополнительным эту систему лучше не нагружать.
• Высокие системные требования: в моей инсталляции на 50 клиентов сервер управления начинает нормально работать с 2 гигабайтами памяти и весьма неслабым двухъядерным процессором, занимая 50 гигабайт места на диске.
• Общая громоздкость системы: так как серверная часть продукта состоит из многих компонентов, которые могут быть распределены по разным компьютерам, общая надежность системы понижается из-за возможности отказов отдельных компонентов.
• Требование платной версии SQL Server 2005: продукт не может использовать БД Windows Internal Database, у которой нет ограничения на размер баз данных.

Я считаю, слабые стороны в основном проявляют себя в небольших инсталляциях, а на целевом рынке продукта, корпоративных сетях средних и крупных размеров, эти особенности оправданы.

Установка серверных компонентов Forefront Client Security

Процедура развертывания системы описана на русском языке в документации на TechNet, однако она довольно громоздка, уныла и местами устарела… Текст далее призван помочь установить и настроить Forefront Client Security без выкуривания официальных мануалов.

Management Console состоит из нескольких ролей, которые можно разносить по разным серверам:

• Management Server — сервер управления
• Collection Server — сервер сбора данных (MOM)
• Collection Database — база данных (SQL Server 2005 Database Engine)
• Reporting Server and Database — сервер отчетов (SQL Server 2005 Reporting Services)
• Distribution Server — сервер распространения (WSUS)

Требования к этим ролям описаны в документации на TechNet. Следует обратить особое внимание на то, что в качестве платформы для всех ролей официально поддерживается только 32-битная Windows Server 2003. На деле же, WSUS прекрасно работает и на Windows Server 2008 64 bit, также на эту платформу можно установить и 64-битную редакцию SQL Server 2005. Также я успешно устанавливал все серверные компоненты Forefront Client Security на Windows Server 2008 32 bit, особых подводных камней, помимо отмеченных далее, не заметил.

В этой записи я рассмотрю процесс установки всех ролей, кроме WSUS, на 32-битный Windows Server 2003. Сервер должен быть членом домена, на нем должны быть установлены следующие стандартные компоненты: IIS, ASP.NET, .Net Framework 2.0 (для Reporting Services и WSUS). Дополнительно необходим Group Policy Management Console (для Management Console), и желательно обновить .Net Framework до последней версии.

Теперь можно перейти к установке SQL Server 2005. Тут меня ждала огромная неприятность и разочарование: необходима платная редакция SQL Server 2005, не ниже Standard. Казалось бы, в бесплатном SQL Server 2005 Express Edition with Advanced Services имеются все компоненты, заявленные в официальных требованиях (конечно кроме ограничения на объем БД, что, в общем-то, можно обойти созданием нескольких баз). Если следовать такой логике, то в процессе установки серверных компонентов Forefront Client Security обнаруживается, что не хватает компонента Integration Services, который входит в поставку SQL Server 2005, начиная с редакции Standard…

Устанавливая SQL Server 2005 Standard необходимо выбрать компоненты Database Engine, Reporting Services и проклятые Integration Services, необходимость которых мне не ясна. Стандартная версия SQL Server 2005 распространяется на дисках и на текущий момент уже устарела, поэтому сразу после её установки необходимо установить SP3. Чтобы избежать перезагрузки системы, на последней странице диалоговых окон установщика SP3 (где предлагается отравлять отчет об установке в Microsoft) нужно остановить службы SQL Server и SQL Server Reporting Server.

Чтобы проверить, корректно ли установились Reporting Services, пробуем зайти IE (с отключенным режимом Enhanced Security) на адрес http://localhost/Reports/. Если ошибок нет, то продолжаем. Если есть, пишите в комментарии. До начала установки Client Security настраиваем службу SQL Server Agent на запуск автоматически и запускаем (проверяется при установке).

В Active Directory создаём пользователя и наделяем его административными правами (группа Domain Admins) на всех компьютерах, на которых будут работать любые компоненты Forefront Client Security.

Наконец, настало время запустить установку серверных компонентов Forefront Client Security. Нас спросят ввести данные для учетной записи DAS, от имени которой будет работать система на всех компьютерах — это именно тот пользователь, которого мы создавали в AD. Обратите внимание на настройки начальных размеров баз данных! Не изменяйте их в меньшую сторону, иначе скоро у вас начнутся проблемы, подтверждено моим горьким опытом. Если предполагается работа с тысячами агентами, обязательно ознакомьтесь со статьями «Размеры баз данных» и «Влияние на системные ресурсы сервера». Если все предыдущие шаги проделаны правильно, дальнейших проблем возникнуть не должно. Установка долгая, что типично для продуктов Microsoft.

По окончании установки предложат пройти Configuration Wizard (также доступно в меню Action → Configure из консоли Forefront Client Security), делаем это обязательно. Затем в консоли Forefront Client Security переходим на вкладку Policy Management и создаем политику.

Настройки, конечно, на ваш вкус, но я рекомендую создать отдельные политики для клиентских компьютеров и серверов предприятия. Затем делаем Deploy свежесозданных политик на нужные OU либо группы безопасности, в которые включены необходимые компьютеры.

Развертывание клиентских компонентов Forefront Client Security

Созданные групповые политики вносят в реестр целевых систем значения, необходимые для установки и настройки клиентских компонентов.

Все клиентские компоненты и описания вирусов распространяются через WSUS. Если в вашей сети такая служба не развернута, то позор вам, быстрее разворачивайте. На компьютере, на котором установлена последняя версия WSUS (на момент написания статьи 3.0 SP2), запускать установку роли Distribution Server не нужно, так как эта роль была рассчитана на работу с WSUS версии 2.0.

Вместо установки роли Distribution Server проделайте следующие шаги в консоли WSUS:

• в Options → Products and Classifications включить Forefront Client Security, на вкладке Classifications должны быть отмечены как минимум Critical Updates, Definition Updates и Updates
• произвести синхронизацию WSUS
• найти поиском последнюю версию обновления «Client Update for Microsoft Forefront Client Security» и сделать Approve for installation для нужных групп компьютеров.
• создать правило Automatic Approvals для продукта Forefront Client Security с классификацией Definition Updates
• настроить автоматическую синхронизацию минимум пару раз в день

Всё, приведенных действий достаточно для того, чтобы групповая политика распространилась на компьютеры, которые затем по указанию этой политики в ближайшем цикле автообновления запросят клиентские компоненты Forefront Client Security у WSUS и установят их. В процессе установки осуществиться регистрация на сервере MOM, затем загрузятся последние обновления определений вирусов.

Советы и хитрости

Ускорение развёртывания Forefront Client Security

Процесс распространения групповых политик, проверки обновлений и их установки может затянуться. Для ускорения этого процесса используйте следующие команды на клиентских компьютерах:

gpupdate /force для немедленного применения групповой политики
wuauclt /detectnow для немедленной проверки обновлений

О том, как запускать команды по сети на группе компьютеров, я недавно написал.

В зависимости от настроек Windows Update в вашей групповой политике, клиентские компоненты Forefront Client Security могут установиться мгновенно, могут быть запланированы на установку в определенное время, а могут и просто быть предложены пользователю.

После установки обновления агент MOM регистрируется на сервере MOM и какое-то время висит в его очереди на утверждение, бездействуя. Чтобы ускорить этот процесс, клиентов можно утверждать вручную в Administrator Console сервера MOM, в узле Administration → Computers → Pending Actions.

Объём базы данных Forefront Client Security

Если изначального объема баз данных перестанет хватать, в журнале событий приложений будут периодически сыпаться ошибки

Чтобы избавиться от причин этих ошибок, увеличьте размеры БД, используя средство SQL Server Management Studio. Рекомендуемые размеры даны в статье «Влияние на системные ресурсы сервера».

Исключения для серверов

Если вы установили антивирус на сервера, в основном нагруженные каким-то определенным сервисом (таким как сервер БД, виртуальные машины, IIS, резервное копирование), то советую добавить исполняемые файлы сервера и/или области действия в файловой системе в исключения антивируса, чтобы не тормозило лишний раз. Более подробно рекомендую почитать в статье KB943556. Менее подробно, но более сжато и понятно — в этой записи блога Алексея Максимова.

Обновление

Для серверных компонентов Forefront Client Security выпущен Service Pack 1 и несколько обновлений. Не забудьте в своём WSUS одобрить эти обновления, либо загрузите их через Microsoft Update.

Развертывание Forefront Client Security на компьютеры рабочей группы (вне домена)

Все, что нужно для корректной установки Forefront Client Security на клиентский компьютер — это сформированные групповой политикой записи в реестре. Если нет возможности распространять настройки на компьютеры через групповую политику, то можно в Management Console сделать Deploy политики в файл. Затем скопировать этот файл и программу cslocalpolicytool.exe из дистрибутива FCS на клиентские компьютеры и выполнить команду

fcslocalpolicytool.exe /f /i имя_файла для применения политики.

После этого клиенты сами запросят и установят агент Forefront Client Security через WSUS. Также можно и просто запустить ClientSetup с диска, но зачем? Без правильного получения обновлений от WSUS вам все равно не получится пользоваться этим программным продуктом полноценно.

Установка Forefront Client Security без сервера управления

Такой вариант тоже возможен, если вы захотели установить агент Forefront Client Security на домашнем компьютере. Достаточно запустить

ClientSetup /NOMOM

Установится локальный агент, затем нужно получить обновления агента с Windows Update, после чего загрузятся обновления антивирусных баз.

Но есть и другой путь! Microsoft недавно выпустила бесплатный антивирус Microsoft Security Essentials, который представляет собой тот же агент Forefront Client Security, только лишенный централизованного управления. Для дома — самое то!

Ручная локальная установка обновлений Forefront Client Security

И такое возможно. Следуйте ссылкам в статье KB935934 для соответствующей разрядности ОС. Для локального обновления антивирусных баз агента Forefront Client Security достаточно просто запустить загруженный файл.

Принудительное обновление антивирусных баз Forefront Client Security

Можно форсировать установку обновлений с WSUS помимо стандартного цикла автообновления следующей командой:

"%ProgramFiles%\Microsoft Forefront\Client Security\Client\Antimalware\MpCmdRun.exe" -SignatureUpdate

Полезные ссылки

• Официальная документация
• Русский ТехЦентр
• Английский FAQ
• Блог разработчиков
• Блог поддержки
• Английский форум
• Русский форум линейки продуктов Forefront
• Error message when you open the Operator Console in Microsoft Operations Manager 2005: «Error connecting to server: localhost»
• Issues that you may experience after you install MOM 2005 on a computer that is running Windows Server 2003 with SP1
• Ознакомительная версия (120 дней) Forefront Client Security

Надежные источники сообщают, что новая версия продукта, которая будет называться Forefront Endpoint Protection 2010, запланирована к выпуску во второй половине 2010 года и будет основана на System Center Configuration Manager.

Статья планировалась как сборник советов по избеганию «подводных камней» при установке и развертыванию продукта, но от желания превратить получившиеся в связный текст получился вот такой букварь…

PS: Я часто использую полное название Forefront Client Security не потому, что плохо владею синонимами, а для облегчения поиска роботами. Слава роботам ;)