Planen der Bereitstellung von Client Security

Zum Planen Ihrer Bereitstellung von Client Security für den Clientcomputer sollten Sie die Clientkomponenten von Client Security, die Bereitstellungsmethoden und die unterstützten Sprachen kennen.

Der Client Security-Agent kann nur auf Computern installiert werden, die den in diesem Abschnitt beschriebenen Anforderungen entsprechen.

Betriebssystemanforderungen

Der Client Security-Agent wird von den folgenden Betriebssystemen unterstützt:

  • Microsoft Windows 2000 SP4 und Updaterollup 1
  • Windows XP SP2 oder höher
  • Windows Server 2003 SP1 oder höher
  • Windows Vista
  • Windows Server 2008
Bb418807.note(de-de,TechNet.10).gifHinweis
Von Client Security werden Clientcomputer mit 64-Bit-Prozessoren unterstützt, Itanium-Prozessoren (IA-64) werden jedoch nicht unterstützt.

Softwareanforderungen

Für den Client Security-Agent ist auf dem Clientcomputer die folgende Software erforderlich:

  • Windows Update Agent 2.0
  • Windows Installer 3.1

Festplattenanforderungen

Der Client Security-Agent benötigt auf jedem Clientcomputer 350 MB Festplattenspeicher.

Während des Setups der Client Security-Clientkomponenten werden auf jedem Clientcomputer zwei Agents installiert:

  • Der Client Security-Agent, der zwei Dienste enthält:
    • Den Microsoft Forefront Client Security Antimalware Service, der Scans auf Malware ausführt. Der Dienstname ist FCSAM, der Prozess ist MsMpEng.exe.
    • Den Microsoft Forefront Security State Assessment Service, der Scans auf mögliche Sicherheitsrisiken ausführt. Der Dienstname ist FcsSas, der Prozess ist FcsSas.exe.
  • Der MOM 2005-Agent, der Daten erfasst und diese an den Client Security-Auflistungsserver sendet. Der Dienstname für den MOM-Agent ist MOM, die beiden Prozesse sind MOMService.exe und MOMHost.exe.

Zusätzlich installiert das Client Security-Clientkomponenten-Setup einen Hotfix für das Problem, das in Das Filter-Manager-Rollup-Paket für Windows XP SP2 beschrieben wird (http://go.microsoft.com/fwlink/?LinkId=89211).

Standardinstallationspfade

In der folgenden Tabelle werden die Standardinstallationspfade für Teile der Client Security-Clientkomponenten angegeben.

Programm Standardinstallationspfad

Client Security-Agent

%Programme%\Microsoft Forefront\Client Security\Client

Antimalwareclient

%Programme%\Microsoft Forefront\Client Security\Client\Antimalware

Client Security-Agent-Protokolle

%Programme%\Microsoft Forefront\Client Security\Client\Protokolle

SSA-Client

%Programme%\Microsoft Forefront\Client Security\Client\SSA

SSA-Ergebnisdateien

%Programme%\Microsoft Forefront\Client Security\Client\SSA\Ergebnisse

SSA-Updates

%Programme%\Microsoft Forefront\Client Security\Client\SSA\Updates

SSA-Client-Ablaufverfolgungsprotokolle

%AllgemeinesBenutzerprofil%\Anwendungsdaten\Microsoft\Microsoft Forefront\Client Security\SSA\Protokolle\ssa_log Anzahl .etl

MOM 2005-Agent

%Programme%\Microsoft Forefront\Client Security\Client\Microsoft Operations Manager 2005

Mit WSUS können Sie die Client Security-Clientkomponenten auf einfache Weise für eine große Anzahl von Computern bereitstellen. Dies ist die empfohlene Bereitstellungsmethode für Clientkomponenten.

Die Bereitstellung mit WSUS bedingt die Bereitstellung einer Client Security-Richtlinie für jeden Computer, auf dem Sie den Agent installieren möchten. Die zur Installation und Konfiguration der Clientkomponenten benötigten Informationen sind in einer Client Security-Richtlinie eingebettet. Sie beinhalten auch einen Marker, der anzeigt, dass der Computer die Komponenten mithilfe der automatischen Updates abrufen soll. Wenn ein Computer eine Synchronisierung mit dem WSUS-Server unter Verwendung einer Client Security-Richtlinie, jedoch ohne Clientkomponenten durchführt, werden die Clientkomponenten auf den Computer übertragen und installiert.

Dieselbe Methode kann auch zum Hinzufügen von einzelnen Computern zu vorhandenen Bereitstellungen verwendet werden. Wenn ein Computer beispielsweise einer Organisationseinheit hinzugefügt wird, für die Sie bereits eine Client Security-Richtlinie bereitgestellt haben, erhält der neue Computer Gruppenrichtlinien mit der regelmäßigen Richtlinienaktualisierungsrate. Die Client Security-Richtlinie für diese Organisationseinheit ist in den Gruppenrichtlinien enthalten. Bei der nächsten geplanten Synchronisierung der automatischen Updates ruft der Clientcomputer die Client Security-Clientkomponenten ab und installiert die Agents oder erstellt eine Meldung für den Benutzer, dass die Agents für die Installation verfügbar sind. Dies ist von den Einstellungen für die automatischen Updates abhängig.

Weitere Informationen zur Bereitstellung von Client Security-Clientkomponenten finden Sie im Client Security-Bereitstellungshandbuch unter Deploying Client Security (http://go.microsoft.com/fwlink/?LinkId=89031) (Bereitstellen von Client Security - möglicherweise in englischer Sprache.

Anforderungen für die Bereitstellung mit WSUS

Die Clientbereitstellung mit WSUS erfordert Folgendes:

  • Die automatischen Updates auf den Clientcomputern sind für die Verwendung von WSUS auf dem Client Security-Verteilungsserver konfiguriert. Sie können eine Gruppenrichtlinie verwenden, um dies auf den Clientcomputern zu konfigurieren.
  • Der WSUS-Administrator hat das Update von Clientaktualisierung für Microsoft Forefront Client Security genehmigt.
  • Sie haben die Client Security-Richtlinie für Computer bereitgestellt, auf denen Sie die Client Security-Komponenten installieren möchten. Weitere Informationen zum Planen der Bereitstellung von Richtlinien finden Sie unter Planen der Integration in die Active Directory-Umgebung.

Clientbereitstellungsdauer

Zwei Faktoren wirken sich darauf aus, wie schnell die Clientbereitstellung ausgeführt wird: die Dauer der Richtlinienbereitstellung und die Dauer der Updatesynchronisierung.

Clientcomputer erhalten die Client Security-Richtlinien während der Standardaktualisierung der Gruppenrichtlinien. Dies kann möglicherweise einige Stunden dauern. Während dieser Zeit sind Clientcomputer nicht vor Malware geschützt. Wenn diese Verzögerung nicht akzeptabel ist, können Sie einem Clientcomputer die Richtlinie sofort zuweisen, indem Sie einen der folgenden Schritte ausführen:

  • Starten Sie den Computer neu.
  • Erzwingen Sie eine Aktualisierung des Gruppenrichtlinienobjekts:
    • Führen Sie unter Windows Vista oder Windows XP den folgenden Befehl aus:
      gpupdate /force
    • Führen Sie unter Windows 2000 Server den folgenden Befehl aus:
      secedit /refreshpolicy machine_policy /enforce

Automatische Updates werden täglich zu einer konfigurierbaren Uhrzeit ausgeführt. Sie können jedoch auch erzwingen, dass vom Clientcomputer sofort eine Synchronisierung mit dem WSUS-Server durchgeführt wird. Geben Sie hierzu auf dem Clientcomputer den folgenden Befehl in eine Eingabeaufforderung ein:

wuauclt.exe /detectnow

Sie können die Client Security-Clientkomponenten auch manuell für Clientcomputer bereitstellen. Diese Bereitstellungsmethode wird in manchen Fällen bevorzugt, z. B.:

  • WSUS wird in Ihrem Unternehmen nicht verwendet, oder WSUS ist vorübergehend nicht verfügbar.
  • Sie erstellen eine neue Betriebssysteminstallation und benötigen die Clientkomponenten sofort auf den Computern.
  • Die deutsche Version der Client Security-Clientkomponenten soll auf einem Computer installiert werden, dessen Betriebssystem lokalisierte Client Security-Agents unterstützt.

Die manuelle Bereitstellung erfordert das Verwenden der Client Security-CD auf jedem Clientcomputer und das Ausführen des Client-Setups mit lokalen Administratorrechten.

Informationen zum Ausführen der manuellen Bereitstellung finden Sie unter Deploying manually to each client computer (http://go.microsoft.com/fwlink/?LinkId=89018) (Manuelle Bereitstellung für jeden Clientcomputer - möglicherweise in englischer Sprache).

Wenn Sie mit Client Security andere Antimalwareanwendungen ersetzen, vergewissern Sie sich, dass diese von jedem Clientcomputer gelöscht werden, bevor Sie die Client Security-Clientkomponenten für die Computer bereitstellen.

Es wird empfohlen, dass Sie für einen vollständigen Schutz der Clientcomputer beim Wechsel Folgendes beachten:

  • Installieren Sie die Client Security-Clientkomponenten umgehend, nachdem Sie die anderen Antimalwareanwendungen entfernt haben. So minimieren Sie die Zeit, während der die Clientcomputer nicht vor Malware geschützt sind.
  • Führen Sie einen vollständigen Scan auf jedem Clientcomputer aus, sobald Sie die Client Security-Clientkomponenten für den Computer bereitgestellt haben.

Wird WSUS für die Bereitstellung der Client Security-Clientkomponenten verwendet, erkennt Client Security die Sprache des Betriebssystems automatisch und lädt die lokalisierte Version des Client Security-Agents (falls vorhanden). Beispielsweise installiert WSUS auf einem Computer mit französischer Windows-Version die französische Version des Client Security-Agents.

Der Client Security-Agent ist in den folgenden Sprachen verfügbar:

  • Chinesisch (Vereinfacht)
  • Chinesisch (Traditionell)
  • Englisch
  • Französisch
  • Deutsch
  • Italienisch
  • Japanisch
  • Koreanisch
  • Spanisch

Soll statt einer lokalisierten Version die englische Version des Client Security-Agents installiert werden, genehmigen Sie die Updates in WSUS nicht, und installieren Sie stattdessen die englische Version des Agents auf den einzelnen Computern von Hand. Bei mehreren Computern, von denen einige die lokalisierte Version des Client Security-Agents und andere die englische Version erhalten sollen, könnten Sie die Verwendung von Zielgruppen in WSUS erwägen. Weitere Informationen finden Sie unter Create the Computer Groups (http://go.microsoft.com/fwlink/?LinkId=102988) (Erstellen von Computergruppen – möglicherweise in englischer Sprache).

Gibt es für das verwendete Betriebssystem keine lokalisierte Version des Client Security-Agents, wird die englische Version installiert.

Bb418807.note(de-de,TechNet.10).gifHinweis
Bei Windows-Sprachen ohne lokalisierte Version von FCS installiert das neue Installationspaket das erforderliche Update KB914882 nicht automatisch unter x86 Windows XP SP2. Sie müssen die richtige Betriebssystemsprachversion des Updates (im Ordner \Client auf der FCS-CD) vor der WSUS-Bereitstellung auf Computern mit XP bereitstellen.

Beachten Sie jedoch die folgenden zusätzlichen Spracheinschränkungen des Client Security-Agents:

  • Die englische Version des Client Security-Agents wird auf Windows-Betriebssystemen für alle zuvor genannten Sprachen unterstützt. Beispiel: Sie können die englische Version des Client Security-Agents auf einer italienischen Windows-Betriebssystemversion ausführen.
  • Auf der englischen Version des Windows-Betriebssystems wird nur die englische Version des Client Security-Agents unterstützt. Beispiel: Sie können die koreanische Version des Client Security-Agents nicht auf einer englischen Windows-Betriebssystemversion ausführen.
  • Bidirektionale Sprachen wie Hebräisch oder Arabisch werden nicht unterstützt, und es wird auch dann kein Client Security-Agent installiert, wenn Updates von WSUS genehmigt werden.
Anzeigen: