Joerg´s IT-Tech Blog

Microsoft Technologien und über den Tellerrand hinaus, Aber vorher das TESTEN nicht vergessen!

Demo Umgebung Part 2 Forefront Client Security

Posted by JoergS - 7. August 2009

Hi,

nach meinem 1. Arikel mit Forefront TMG Impressionen und der Vorstellung meiner “kleinen” Demo Umgebung hier der nächste Artikel und Impressionen zu meiner Forefront Client Security Installation.

Nach dem ich auf meinem Notebook mit Windows Server 2008 R2 RC schon die Hyper-V Rolle und 2 VM´s (W2K8 R2 RC DC & Forefront TMG Beta 3 auf W2K8 R2 RC) installiert hatte, baute ich mir einen Windows Server 2003 R2 SP2 Grundimage, welches ich dann nach dem SysPrep nicht mehr benutzte, sondern eine Differential Disk anlegte und dort dann den Rest der Installation/Konfiguration vollzog.

Als Vorbereitung zur Installation von Forefront Client Security muss der Server 2003 folgende Punkte erfüllen:

  1. ein IIS + ASP.NET (Microsoft .NET Framework ab 2.0)
  2. Microsoft SQL Server 2005 Enterprise Edition oder Standard Edition mit Service Pack 1 Einschließlich: Datenbankdienste, Reporting Services, Arbeitsstationskomponenten und Integration Services
  3. Microsoft Management Console 3.0
  4. Gruppenrichtlinien-Verwaltungskonsole mit Service Pack 1 (dazu ist ggf. das .NET1.0 bzw. 1.1 notwendig)
  5. Windows Server Update Services 2.0 mit Service Pack 1 oder Windows Server Update Services 3.0

Also habe ich erst mal per Microsoft Update das .NET Framework 3.5 installiert. Danach den IIS mit ASP.NET über die Systemsteuerung / Software, die MMC 3.0 ist ja schon mit im R2 von Server 2003 mit drin. Zusätzlich muss man die GPMC SP1  installieren, da die Forefront Security Policys per Gruppenrichtlinien (GPO´s bereitgestellt werden).

Jetzt folgte die Installation eines SQL Server 2005 in der Standart Edition, danach sofort das Service Pack 3 für SQL2005.

Nach kurzer Konfiguration (Zulassen von Remote Verbindungen, Änderung der Standart Datenbank Speicherpfade usw.) installierte ich dann gleich die WSUS 3 SP2 Version von Microsoft Download Center.

Der WSUS 3 kann natürlich auch auf einem anderem Server laufen oder man kann auch den in System Center Essentials integrierten WSUS 3 nutzen, ganz wie man möchte.

Wichtig noch zur Vorbereitung auf das Forefront Client Security Setup ist das WSUS 3 sich gesynct hat und somit auch ALLE aktuellen Produkte kennt. Desweiteren kann man die Gelegenheit auch gleich nutzen um eine Auto-Approval Regeln für Produkte Forefront Client Security und Bedingung Definition Update erstellen, damit die Clients über den WSUS immer die aktuellen Malwaredefinitionen erhalten. Also am besten vor dem FCS Setup nochmal den WSUS manuell syncen lassen.

Hier die WSUS 3 SP2 Screenshots dazu (noch mit der RC Version):

Erst jetzt konnte ich das Setup von Forefront Client Security starten. Nach dem obligatorischen Eintragen von Name & Firma, dem sorgfältigen Lesen der Lizenzbestimmungen steht man vor der WICHTIGEN Auswahl der Installationstopologie. Dazu sollte man sich den Planungsguide für Forefront Client Security auf TechNet durchlesen und seinen Anforderungen definieren und dagegen abwägen. In meiner kleiner Test/Demo Umgebung kann ich ALLE 4 Rollen (Management, Collection, Collection Database & Reporting Server) auf einer Maschine (VM) installieren. Die Distribution Server Rolle installiere ich NICHT mit, da dahinter ein WSUS 2 steckt und ich ja schon einen WSUS 3 als Vorbereitung installiert habe.

Je nach Topologie richten sich auch die Hardwareanforderungen an den 1 oder mehreren Servern. Bei der 1 Server Topologie hätte Forefront Client Security gerne einen Dual-Core-Prozessor mit 2,85 GHz oder höher besser 2 Prozessoren Min.  1 besser 4 GB Arbeitsspeicher und min. 30 GB besser mehr Platz auf dem Datenbank- und Logvolume.

Als Mgmt Server wurden nur Windows Server 2003 in der x86 Edition unterstützt, ebenfalls wie SQL Server 2005 als Datenbankserver. Windows Server 2003 x64, Windows Server 2008 x86 & x64 werden NUR als Clients unetrstützt NICHT als Mgmt Server Plattform. Support für SQL Server 2008 wird event. mit einem weiteren Service Pack nachgeliefert.

Nach der Auswahl der Installationstopologie folgt die Angabe des Collection Server´s sowie der Name der späteren ManagementGroup & des DAS Account´s (Zugriff auf die Collection Database auf dem Collection DB Server). Dieser Account muss ein Domain Account sein und sollte in der DB Später auch Schreibrechte besitzen. Als nächstes folgt die Definition der Collection Database (Name: Onepoint). Hier muss ein DB Name und eine Größe definiert werden. Standart sind hier 15 GB. Es MUSS also auf dem Volume wo Forefront Client Security installiert werden min 20-30 GB freier Speicherplatz vorhanden sein oder man hat dafür in seinem SQL Server 2005 entsprechende Datenbank Pfade definiert, die nicht auf dem System Volume sondern ganz nach Best Practice die Datendateien auf einem Volume und die Logdateien auf einem Volume getrennt. Ebenfalls muss hier wieder Domain User definiert werden, welche SQL Server Rechte zum Erstellen einer DB haben muss, man kann aber auch den DAS User wieder nutzen, diesen sollte man dann zur SQL Server Admin Rolle hinzufügen, ebenfalls sollte der User natürlich zur Installation auch lokale Adminrechte auf dem Server haben! Danach definiert man die Reporting Datenbank (Name: SystemCenterReporting, Standart 1GB) inkl. des Reporting User´s welcher wieder ein Domain Account sein muss. Auch hier kann man wieder den DAS Account nutzen. Im nächsten Schritt definiert man die URL´s des SQL Server Reporting Servers, man nimmt aber am besten die Standart´s. Jetzt folgt der Action Account unter dem später Aktion, wie Scan´s usw. auf den Server & Clients durchgeführt werden können. Man sollte also einen Domänen User definieren und der Gruppenrichtlinien zum lokalen Admin auf allen Servern & Clients machen. Zum Schluss legt man noch den Installationspfad der Forefront Client Security Binary´s fest.

Es folgt die Überprüfung der Hard- & Softwarevorraussetzungen und angaben zu den User Accounts, Datenbank Eigenschaften und Reporting URL´s die man zuvor definiert hat. ACTUNG: Die Default Web Site (Standartwebsite) des IIS darf zu dem Zeitpunkt des FCS-Checks/der FCS-Installation KEIN SSL Zertifikate zugewiesen haben, sonst erhält man den Fehler das http://servername/reportserver und http://servername/reports nicht verfügbar sind! Danach folgt die Installation. Aus einem Problem, welches ich mal bei einer Installation hatte sollte man sicherstellen, das die temp. Verzeichnisse (C:\temp, C:\Windows\temp, %userprofile%\lokale einstellungen\temp, usw.) alle möglichst leer sind!

Nach der erfolgreichen Installation von Forefront Client Security hat man auch gleich das Icon von Forefront Client Security im Systray, welches orange ist weil noch keine aktuellen Definition geladen wurden. Das sollte aber einen nicht stören, denn man startet die Forefront Client Security Management Console und führt die initiale Konfiguration von Forefront Client Security durch. Das sind Collection & Collection Database Server sowie Management Group Name. Dann noch die Angabe des SQL Server Reporting User´s und der Reporting URL´s. Jetzt hat man es geschafft und kann neuen Policy´s definieren.

Die Policy´s habe ich meist nach OU´s definiert und an eben diese gelinkt. Das ist auch der Grund für die Installation der GPMC. Forefront Client Security erstellt GPO´s und linkt diese an Domänen, Security Groups, OUs oder Sites. Ich habe zuerst mal eine Policy für meine DC erstellt und die üblichen Einstellungen wie Schutzlevel, Scanzeitpunkt nach Viren und Scanzeitpunkt für die Security Level Prüfung gemacht. Unter dem Advanced Tab finden sich dann die für Domain Controller  wichtigen Auschlüsse (aber auch SQL, MOSS, WSS & Exchange usw.). Overrides (für falsche erkannte Malware) musste ich bis jetzt noch nie definieren. Auf dem Reporting Tab stellt man noch das Log Level sowie event. einen Proxy ein falls man mit seinem Ergebnissen anonym am Spynet Netzwerk teilnehmen möchte.

Nun hat man eine Forefront Client Security Policy definiert und klickt auf Deploy oder Bereitstellen und verküpft die Policy mit einer Domain, OU, Gruppe oder Site. In der Policy, welche ja eine Gruppenrichtlinien (GPO) ist werden dann die Einstellungen auf die Clients & Server gebracht. Das Deployment des Forefront Client Security Agent & Scanners erfolgt ebenfalls über diese Policy. In der GPO die dadurch erzeugt wurde ist in der Computerkonfiguration und Software das Forefront Packet hinterlegt und installiert sich somit ohne weiteres Zutun des Anwenders oder Admin´s. Alternativ kann man von Codeplex auch die Forefront Client Security Tools runterladen, welche bei der nicht unwichtigen Deinstallation der alten/anderen Anti-Viren Lösung unterstützen.

Als Clients (Server & Clients) werden unterstützt:

  • Microsoft Windows® 2000 Server mit Service Pack 4 (SP4) und Update-Rollup 1
  • Windows XP Professional mit Service Pack 2 (SP2) oder höher (x64 Editions )
  • Windows Server 2003 mit SP1 oder höher (auch x64 Editions)
  • Windows Vista™ Business, Enterprise oder Ultimate (x64 Editions)
  • [UPDATE:] ab 31.08.09 werden auch Windows 7 und Windows Server 2008 R2 untertsützt![/UPDATE]

Auf dem Mgmt Server wird auch ein Microsoft Operations Manager 2005 installiert, über den die Verwaltung der Clients passiert. Dazu wird auf dem Client (& Server) auch ein MOM 2005 Agent installiert.

Auf dem Client arbeiten neben dem MOM Agent 2 Forefront Dienste. Der Microsoft Forefront Anti-Malware Service, der eigentliche “Virenscandienst” und der Microsoft Forefront State Assessment Service, der das Reporting an der Mgmt Server übernimmt und nicht nicht Malware, sondern auch fehlende Updates eine nicht konfigurierte Firewall oder zuviele lokale Administratoren als Warnung in den Forefront Reports anzeigt. Eine ganzheitliche Securitylösung also, die nicht nur Anti-Viren/Malware Schutz wahrnimmt.

In der Forefront vNEXT Version “Stirling” wird dieser Ansatz noch fortgesetzt, in dem z.B. das TMG einen Malware Download erkennt und der Forefront Stirling Mgmt Server, sofern in einer Policy definiert, sofort Gegenmassnahmen wie Updates, Manuelle Scan´s oder sogar Ausschluss des möglichen Malware Rechners aus dem Netzwerk (z.B. über NAP Integration) reagiert

Hier dann die Forefront Client Security Screenshots:

Na dann, Viel Spass beim selber Testen!
CU

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

 
%d Bloggern gefällt das: