使用英语阅读

通过

  • 项目

Forefront Protection Manager

使用 Forefront Protection Manager 管理 Forefront Security

丽丽 Sfanos

 

概览:

  • 从 Forefront 保护管理器控制台管理组和策略
  • 使用通知和任务发现和处理安全事件
  • 查看您的安全状态监视和报告
  • 操作管理器 2007 R2 集成

内容

入门
策略创作
Forefront 客户端安全策略
通知和任务
监视
FPM 和运营经理
FPM 和 Windows PowerShell
有效的管理

Forefront 安全产品管理的下一代将一起在已知 Forefront 保护管理器 (FPM) 作为单个控制台。 以前 code-named “ Stirling,” FPM 可以集中管理 Forefront 客户端安全 (FCS)、 Forefront 服务器安全性的 Exchange (FSE) 和 Forefront 服务器安全性的 SharePoint (FSSP)。 通过安全评估共享 (SAS) 系统 FPM 连接 Forefront 威胁管理网关 (TMG)。 将在未来的一个问题中详细介绍 SAS,允许 Microsoft 和第三方参与的评估 (分析语句状态的资产) 生成的应用程序。 在本文中,我将介绍一些控制台的功能。 我将深入探讨如何 FPM 管理员可以轻松通过分组和统一的策略创作的服务器和客户端。 我还将查看任务和警报系统是如何简化日常管理,并在讨论如何将所有的全面的安全信息显示在控制台的监视和报告视图。

入门

一旦 FPM (包括 SQL Server 2005 或 2008年和操作管理器 2007 R2) 的您已经部署基础结构,您可以部署服务器里各种配置用于支持客户的多个大小。 对于较小的部署所有 FPM 角色可以都部署到一台服务器。 较大的客户或管理员将能利用现有的 SQL Server 或运营经理部署,角色可以扩展以满足企业的缩放比例要求很多服务器上。

策略创作

安装后, 可以管理所有的组和策略的 FCS,FSE FSSP 从 FPM 控制台。 资产和组节点管理的用户和计算机在企业和企业源 FPM 用来发现新的资产的列表。 FPM 允许管理员组计算机和用户根据其 Active Directory 的成员身份、 服务器角色、 鎿嶄綔绯荤粺和其他值。 FPM 发现操作管理器 2007 R2 数据库中的新计算机和 Active Directory 中的新用户。

图 1 显示了筛选,以便计算机策略的控制台中的策略节点。 中心窗格显示最初是预先配置的所有默认设置,包括 FCS,FSE、 FSSP,TMG 当前可用策略和网络访问保护策略的列表。 渚嬪的方式  FCS 策略的 Exchange Server是预配置为排除目录和文件类型所建议的 Exchange 团队为获得最佳性能。 因为 FPM 支持能够导入策略,其他策略以后可以添加提供,包括域控制器的其他服务器角色的正确配置。

sfanos.fig1.new.gif

图 1 Forefront 保护管理器控制台中显示的默认计算机策略。(单击图像可查看大图)

在右侧操作窗格允许您导入策略或创建一个新使用创建新策略的向导,指导管理员完成选择适当的策略组件,并生成策略文档的步骤。

可以创建包含多个保护技术设置单个策略真正设置 FPM 除其他安全产品。 可以使用创建新策略向导,其中包含 FCS 和 FSE 设置新的策略设置。 这允许您不必创建独立的策略的麻烦通过保护同时 (通过 FCS) 操作系统和一组服务器的应用程序 (通过 FSE)。 换而言,可以轻松地配置所有需要您提供有价值的资产保护所有一个单个的编辑体验。

FPM 提供一个灵活的绑定堆栈使您可以在企业中定义的所有策略优先顺序。 默认 FPM 策略驻留在堆栈的底部,并且包含部署的基准设置。 定义更具体的设置不同的用户组) 建立一个计划的反恶意软件扫描桌面机用户的策略和主管人员打开防火墙端口为自定义业务应用程序的另一个策略中说 — — 这些策略被添加到堆栈。 然后您可以定义要应用的顺序。

要确保顺序是正确的管理员可以浏览显示一个详细的会议显示已应用的策略部分的每个资产的策略的结果集 (RSoP) 视图。 在上述示例中的业务应用程序的防火墙端口已打开并应用反恶意软件计划,但 IT 部门的成员将只接收反恶意软件扫描计划应显示的摘录的便携式计算机。

Forefront 客户端安全策略

让我们看一下在 FCS 策略包括几个保护和补救措施通过单个客户端安装程序程序包部署的技术。 除了反恶意软件的保护 FCS 还提供了 Windows 防火墙管理和安全状态评估 (SSA) 信息。 SSA 提供一组可配置检查,以验证您的托管资产的安全状态。 通过集成的网络访问保护 (NAP),可配置要隔离的资产已被正确更新之前不能满足一组指定的安全检查的资产提供补救措施。

下面是一些策略选项中的可用配置设置的 FCS 时:

反恶意软件:一个引擎驱动器以查找病毒、 蠕虫和间谍软件保护 FCS 反恶意软件。 该引擎支持这两个签名和启发式基于检测,并可以从 Microsoft Update、 Windows 服务器更新服务 (WSUS) 或文件共享 (最佳分布式使用 DFS) 接收签名更新。 此策略部分中的,设置允许您配置包括实时保护、 定义更新 (签名) 计划和位置、 文件、 排除的路径和策略和特定软件的重写的服务在各种选项。 您还可以配置哪些 FPM 警报应用于接收该策略的资产。

Windows 防火墙:此选项可以同时服务的入站和出站端口和程序的异常以及在单独的配置文件的详细信息的配置。

安全状态评估:SSA 策略现在允许您启用或禁用特定检查,以修改一个特定的企业应用程序。 SSA 检查已经被展开到包括:

  • 配置重新启动策略
  • 设置不必需的服务
  • 强制执行的数据执行保护设置
  • 使用 NTFS 文件系统和限制公用的共享要求
  • IIS Web 服务器的安全要求
  • 来宾帐户密码过期的配置要求
  • Microsoft Office 宏设置
  • SQL Server 数据库服务器的安全要求
  • Internet Explorer 安全设置
  • 用户帐户控制
  • 数据保护 (BitLocker) 强制
  • 可移动存储设备 (USB 驱动器,例如) 的行为

安全更新:FPM 提供修补程序状态使您可以设置修补程序符合性和宽限期期间,周围的规则,以及阻止计算机不兼容的 NAP 通过网络访问您托管资产的视图。

通知和任务

一个 FPM 的最重要功能是其可以通知管理员有关需要其注意通过通知系统的安全事件,并提供工具,用于响应通过任务系统。 FPM 通知默认情况下登录到控制台,但也可通知管理员直接通过电子邮件、 寻呼机或即时消息配置。 图 2 显示为分页直接有关一组的域控制器上检测到一个重复的恶意软件感染管理员配置。 通知可以被配置特定的通知和有针对性到单独的组的以便您可以确保直接通知只为对您的管理员监视的关键资产特定事件。

sfanos.fig2.new.gif

图 2 发送 FPM 安全警报通过寻呼。(单击图像可查看大图)

管理员已直接通知有关感染,一旦他们需要能够响应直接受感染的资产的一个中心控制台。 使用 FPM 任务向导,管理员可以轻松地选择一个预先配置好的响应,它直接到选定组的目标。

使所有关键的安全信息一起为方便使用格式 FPM 管理员的基本要求,监视节点,在控制台中隐藏键驱动程序。 图 3 显示 FCS 的摘要视图中,反恶意软件。 此处安全管理员可以很容易地看到包括哪些资产已经成功地扫描最近和最新的签名更新一组接收到的计算机在实时保护状态,关键统计信息。 更为重要的是能够深入到该小部件以显示列表的计算机不符合您的网络安全要求的特定部分。 资产的列表中的一个其他单击转到显示所有相关的配置信息单个计算机报表。 能够启动高级摘要,并使用两次单击,查看有关各个资产的特定详细信息可以是管理员调查如何安全的企业无价之宝。

sfanos.fig3.new.gif

图 3 FPM 反恶意软件摘要 Forefront 客户端安全。(单击图像可查看大图)

FPM 和运营经理

FPM 利用其所有信息传输要求操作管理器 2007 R2 基础结构。 时 FPM 控制台中编写策略,XML 内容是关闭交给运营经理通过 SDK,传递的处理。 XML 是转换为一个操作管理器管理包,传递到本地代理程序在每个目标的资产。

运营经理代理随后将管理包路由到本地的 FPM 代理,位置是转换回 XML,分配给单个保护技术。 此插件模型允许未来保护组件很容易地添加更多的。

从终结点的 telemetry 反转路径,以便将数据传递到本地操作管理器代理程序,然后服务器,到它的加载到 FPM 数据库用于监视和报告。

FPM 还添加了未加入域的资产通常请求从 v1 Forefront 客户端安全功能的支持。 通过证书,一个未加入域的资产可以验证该运营经理服务器并允许该策略和任务收发 telemetry 数据为加入域的资产 (使用该 Kerberos 进行身份验证与服务器) 的方式相同。

FPM 和 Windows PowerShell

所有配置设置、 报表和可通过用户界面访问其他选项也是通过在 Windows PowerShell 层访问的。 轻松地访问从 Forefront 文件夹下开始菜单 FPM Windows PowerShell 管理窗口。 使用 Windows PowerShell 的一个方便方面是需要经常或上一个唯一的计划运行的命令可以将脚本。 可用于一种功能强大的工具,管理 FPM 系统控制台接口外。

有效的管理

我已经介绍了只的某些功能的 Forefront 保护管理器控制台。 FPM 提供了功能管理策略和分组 FCS 和 FSE/FSSP 从一个单独的控制台有效地管理通过通知和任务的日常安全活动获得全面的可见性监视节点。 总体的 Forefront 系统的一个可靠的管理解决方案。

如果您准备 FPM 控制台访问在 FPM 主页 了解如何,您可以评估最新版本。

Chris Sfanos 是一个高级程序管理器在雷蒙德,Wash.,Forefront 保护管理器项目组 11 年以上的专业软件,他喜欢设计解决客户问题的解决方案。 他也具有设计卫星系统的芯片。