• Artykuł

Microsoft Forefont

Forefront Client Security - planowanie integracji z WSUS i Active Directory

Opublikowano: 26 listopada 2007

Zawartość strony
WSUS  WSUS
Dodawanie WSUS do infrastruktury  Dodawanie WSUS do infrastruktury
Dodawanie Client Security do infrastruktury WSUS  Dodawanie Client Security do infrastruktury WSUS
Wiele serwerów WSUS  Wiele serwerów WSUS
Użycie zasad grupy do wdrożenia zasad Client Security  Użycie zasad grupy do wdrożenia zasad Client Security
Struktura jednostek organizacyjnych  Struktura jednostek organizacyjnych
Blokowanie i wymuszanie dziedziczenia  Blokowanie i wymuszanie dziedziczenia
Obiekty zasad grupy utworzone przez Client Security  Obiekty zasad grupy utworzone przez Client Security
Delegowane obiekty zasad grupy  Delegowane obiekty zasad grupy
Wiele środowisk domenowych  Wiele środowisk domenowych

WSUS

Client Security używa WSUS do pobierania składników agentów oraz aktualizacji definicji i aparatu za pomocą usługi Microsoft Update oraz dystrybucji aktualizacji agentów Client Security w danej organizacji.

WSUS pozwala na wybranie, gdzie przechowywane mają być informacje o aktualizacjach: w bazie danych SQL Server lub w bazie danych Microsoft SQL Server Desktop Engine (MSDE). Ze względu na dużą liczbę aktualizacji Client Security, które WSUS będzie pobierał z Microsoft Update, wysoce zalecana jest aktualizacja serwera WSUS dla Client Security w bazie danych SQL Server.

Do początku strony Do początku strony

Dodawanie WSUS do infrastruktury

WSUS daje organizacjom możliwość automatycznego pobierania uaktualnień produktów firmy Microsoft i dystrybucji ich wśród klientów we wewnątrz organizacji. WSUS łączy się z Microsoft Update i synchronizuje dostępne uaktualnienia z lokalnym serwerem. Po instalacji i konfiguracji WSUS, należy skonfigurować klienty tak, aby łączyły się z serwerem WSUS w celu pobrania uaktualnień. Można to osiągnąć przy użyciu zasad grupy. Więcej informacji wdrażaniu Client Security na zarządzanych komputerach można znaleźć na stronach Deploying Client Security (j.ang.) (https://go.microsoft.com/fwlink/?LinkId=88893) i Planning your deployment of Client Security (j.ang.).

Wskazówki dotyczące wdrażania WSUS 2.0 można znaleźć na stronie Deploying Microsoft Windows Server Update Services (j.ang.) (https://go.microsoft.com/fwlink/?LinkId=88891). Wskazówki dotyczące wdrażania WSUS 3.0 można znaleźć na stronie Deploying Microsoft Windows Server Update Services 3.0 (j.ang) (https://go.microsoft.com/fwlink/?LinkId=88892). Więcej informacji o tym, jak używać WSUS można znaleźć na stronie Microsoft Windows Server Update Services (j.ang.) (https://go.microsoft.com/fwlink/?LinkId=88611).

WSUS musi być w stanie łączyć się z witryną sieci Web Microsoft Update poprzez port TCP 80 lub port TCP 443. Aby było to możliwe, konieczna może być modyfikacja zasad zapory lub routera w danej organizacji. Oprócz tego, należy zsynchronizować nowy serwer WSUS przed rozpoczęciem instalacji Client Security, jako że może to potrwać dość długo. Ta synchronizacja dodaje dodatkowe kategorie aktualizacji dla Client Security aktywowane przez instalację roli dystrybucji.

Zalecaną metodą wdrażania Client Security na docelowych zarządzanych komputerach jest użycie zasad grupy. Można użyć konsoli Microsoft Forefront Client Security Management do wdrożenia zasady Client Security na komputerach docelowych. Po otrzymaniu zasady Client Security przez komputery docelowe, będą miały kontakt z serwerem WSUS i pobiorą składniki klienckie Client Security, które pobrane zostaną z Microsoft Update przez WSU. Aby było to możliwe, zarządzane komputery należy skonfigurować tak, aby łączyły się z serwerem WSUS.

Do początku strony Do początku strony

Dodawanie Client Security do infrastruktury WSUS

Instalacja składnika dystrybucji Client Security na serwerze WSUS dodaje usługę o nazwie Forefront Client Security Update Assistant. Ta usługa powoduje wysyłanie zapytań do Microsoft Update przez WSUS w poszukiwaniu aktualizacji co godzinę. Pozwala to WSUS na uzyskiwanie aktualizacji definicji Client Security częściej, niż w domyślnej konfiguracji.

Oprócz tego instalacja składnika dystrybucji konfiguruje serwer WSUS tak, aby automatycznie synchronizował on uaktualnienia definicji Client Security z Microsoft Update. Uaktualnienia definicji są również dodawane do listy Zatwierdzanie do instalacji w Opcje zatwierdzania automatycznego WSUS. Oznacza to, że wszelkie aktualizacje definicji pobrane przez serwer WSUS są automatycznie zatwierdzane do instalacji przez zarządzane komputery.

WSUS pozwala administratorom na zarządzanie ustawieniami zatwierdzania wdrożeń uaktualnień na komputerach klienckich. Domyślnie Client Security skonfigurowano tak, aby aktualizacje były automatycznie zatwierdzane. Choć zalecane jest pozostawienie automatycznego zatwierdzania aktualizacji definicji w celu jak najszybszej ich dystrybucji, mogą wystąpić okoliczności, w których konfiguracja automatycznego zatwierdzania nie jest wskazana:

  • Testowanie aktualizacji definicji
  • Stopniowe wdrażanie aktualizacji definicji w celu zmniejszenia obciążenia sieci

Aby upewnić się, że serwer WSUS synchronizuje składniki klienckie Client Security i że mogą one być pobierane i instalowane przez zarządzane komputery po wdrożeniu zasady Client Security, należy dodać Aktualizacje do listy Klasyfikacje aktualizacji w Opcjach synchronizacji WSUS. Więcej informacji można znaleźć na stronie Approving the client components in WSUS (j.ang.) (https://go.microsoft.com/fwlink/?LinkId=88895).

Do początku strony Do początku strony

Wiele serwerów WSUS

Jeśli w aktualnej infrastrukturze WSUS występuje wiele serwerów WSUS, należy zainstalować składnik dystrybucji Client Security na wszystkich serwerach WSUS. Składnik dystrybucji Client Security konfiguruje serwer WSUS tak, aby co godzinę wysyłał do Microsoft Update kwerendę dotyczącą aktualizacji definicji oraz aby automatycznie zatwierdzał aktualizacje definicji. Jeśli instalacja składnika dystrybucji na wszystkich serwerach WSUS zakończy się niepowodzeniem, dystrybucja aktualizacji definicji opóźni się.

Oprócz tego, jeśli w infrastrukturze WSUS zawiera się konfiguracja nadrzędnych/podrzędnych serwerów WSUS, opcje zatwierdzania aktualizacji definicji na serwerach nadrzędnych muszą być takie same, jak opcje zatwierdzania na serwerze podrzędnym. Oprócz tego, w konfiguracjach serwerów nadrzędnych/podrzędnych WSUS, dla każdej warstwy serwerów WSUS w łańcuchu czas oczekiwania na dystrybucję aktualizację definicji do zarządzanych komputerów zwiększa się o godzinę.

Do początku strony Do początku strony

Użycie zasad grupy do wdrożenia zasad Client Security

Client Security używa zasad do definiowania ustawień agenta Client Security na zarządzanych komputerach. Zasady te określają, kiedy wykonywane są skanowania w poszukiwaniu złośliwego oprogramowania oraz SSA, kiedy uruchamiane są alerty, kiedy pobierane są aktualizacje definicji oraz jak dużą kontrolę nad ustawieniami Client Security mają użytkownicy.

Zasady można wdrożyć na domenie, w jednostkach organizacyjnych (OU), grupach zabezpieczeń lub istniejących obiektach zasad grupy (GPO) przy użyciu konsoli Client Security.

Uwaga:

Zasady Client Security stosowane są na poziomie komputera, nie na poziomie użytkownika.

Po przydzieleniu komputerów klienckich do jednostek organizacyjnych lub grup zabezpieczeń w Active Directory, można użyć konsoli, aby wdrożyć zasadę w określonych jednostkach organizacyjnych lub grupach zabezpieczeń.

Ważne:

Na komputerze klienckim można jednocześnie wdrożyć tylko jedną zasadę Client Security. Jeśli wdroży się zasadę Client Security w jednostce organizacyjnej lub grupie zabezpieczeń, w której wdrożono już zasadę Client Security, pierwotna zasada zostanie usunięta z jednostki organizacyjnej lub grupy zabezpieczeń. Na przykład jeśli wdrożona zostanie zasada Client Security A w OU 1 i OU 2, a następnie w OU 1 wdroży się zasadę Client Security B, z OU 1 usunięta zostanie zasada A.

Więcej informacji pracy z zasadami Client Security można znaleźć na stronieWorking with policies (j.ang.)w przewodniku Client Security Administrator's Guide (https://go.microsoft.com/fwlink/?LinkId=88415). Więcej informacji o zasadach grupy można znaleźć na stronie Windows Server 2003 Group Policy (j.ang.)(https://go.microsoft.com/fwlink/?LinkId=73340).

Ważne:

Nie należy używać GPMC do zarządzania zasadami stworzonymi przez Client Security w celu wdrażania w domenach, jednostkach organizacyjnych lub grupach zabezpieczeń. Może to spowodować utratę informacji w zasadzie i inne poważne błędy.

 

Uwaga:

Oprócz użycia zasad grupy Active Directory do wdrożenia zasad Client Security, można również umieścić zasady Client Security w pliku i przetworzyć je na zasadę lokalnego komputera przy użyciu fcslocalpolicytool.exe. Client Security nie obsługuje użycia zarówno wdrożenia przy pomocy pliku, jak i poprzez obiekt zasad grupy na tym samym komputerze docelowym.

Do początku strony Do początku strony

Struktura jednostek organizacyjnych

Podczas planowania wdrożenia Client Security, należy wziąć pod uwagę aktualną strukturę jednostek organizacyjnych w Active Directory.

Zasady grupy w Active Directory można połączyć z lokalizacjami, domenami i jednostkami organizacyjnymi Active Directory. Jednostki organizacyjne to kontenery najniższego poziomu w Active Directory i używane są do organizacji komputerów, użytkowników i grup zgodnie z potrzebami administracyjnymi i zasadami grupy. jednostki organizacyjne mogą zawierać komputery, użytkowników i grupy. Możliwe jest również zagnieżdżenie jednostki organizacyjnej wewnątrz innej jednostki.

Ważne:

Wdrażanie zasad Client Security na poziomie lokalizacji nie jest obsługiwane.

Zasady grupy dziedziczone są w oparciu o rozmieszczenie docelowych użytkowników lub komputerów w jednostkach organizacyjnych w Active Directory. Poniższy diagram ilustruje kolejność dziedziczenia w zasadach grupy.

Rys. 1. Kolejność dziedziczenia w zasadach grupy.

Obiekt zasad grupy znajdujący się najbliżej docelowego komputera ma pierwszeństwo przed obiektem znajdującym się dalej w strukturze organizacyjnej.

Jako że Client Security używa zasad grupy w celu wdrażania zasad Client Security, struktura jednostek organizacyjnych ma wpływ na sposób konfiguracji zasad Client Security. Zasady Client Security stosowane są jako pojedyncza, osobna jednostka; stosowane są jako całość i zastępowane jako całość. Dlatego też dziedziczenie zasad Client Security oznacza kompletne zastąpienie. Pokazuje to poniższa ilustracja.

Rys. 2. Dziedziczenie zasad Client Security jako kompletne zastąpienie.

Zarządzany komputer 1 położony jest w jednostce OU 2. Administrator Client Security stworzył zasady Client Security i połączył je z OU 1 i OU 2. Jednak ze względu na to, że zasady Client Security stosowane są jako osobne jednostka, na zarządzanym komputerze 1 zastosowana zostanie zasada Client Security 2.

Jak widać w powyższym przykładzie, jednostki organizacyjne mogą zawierać inne jednostki; jest to określane jako zagnieżdżenie jednostki organizacyjnej. Na przykład jednostka organizacyjna może zawierać komputery wymagające dwóch różnych konfiguracji Client Security. Można utworzyć jednostki organizacyjne zagnieżdżone w nadrzędnych jednostkach, przenieść każdy komputer do odpowiedniej podrzędnej jednostki organizacyjnej, a następnie wdrożyć zasady Client Security dla podrzędnych jednostek. Im lepiej zorganizowana jest struktura docelowych komputerów i jednostek organizacyjnych, tym łatwiejsze będzie wdrożenie Client Security.

Alternatywą dla tworzenia zagnieżdżonych jednostek organizacyjnych jest użycie metody wdrożenia zasad Client Security przez grupy zabezpieczeń. Ta metoda wdrożenia używa funkcjonalności filtrowania grup zabezpieczeń w zasadach grupy. Używając opcji Dodaj grupę w oknie dialogowym Wdrażanie konsoli Client Security, można wybrać grupę zabezpieczeń, która otrzyma uprawnienia Odczyt i Stosowanie zasad grup w zasadach Client Security.

Skutkiem użycia metody wdrożenia przez grupy zabezpieczeń jest to, że zasada Client Security wdrażana jest w katalogu głównym wybranej domeny, domyślna grupa Authenticated Users jest usuwana z listy kontroli dostępu, grupa wybrana przy pomocy przycisku Add Group jest dodawana do listy kontroli dostępu i otrzymuje uprawnienia Odczyt i Stosowanie zasad grup, a zasada oznaczana jest jako Wymuszone. W GPMC można zweryfikować to zachowanie, wybierając nazwę domeny w sekcji Domeny. Zasada Client Security będzie wyświetlona pod nazwą domeny, z nazwą FCS-nazwa_zasady-{guid}-metoda_wdrażania.

Mogą wystąpić sytuacje, w których trzeba będzie wdrożyć różne zasady Client Security w grupach zabezpieczeń o wspólnych członkach. W takim wypadku kolejność łączy obiektów zasad grupy dla domeny określi, którą zasadę Client Security otrzyma zarządzany komputer. Kolejność łączy zarządzana jest wewnątrz GPMC.

Aby ustawić kolejność łączy dla obiekty zasad grupy

  • W GPMC wybierz nazwa_domeny w drzewie.
  • W okienku wyników, na karcie Powiązane obiekty zasad grupy, wybierz obiekt zasad grupy, który ma mieć priorytet i użyj przycisku podwójnej strzałki w dół aby przenieść go na dół listy.

Obiekt zasad grupy z najniższą kolejnością łączy jest przetwarzany jako ostatni, w związku z czym ma priorytet. W rezultacie obiekt zasad grupy z najniższą kolejnością łączy staje się zasadą Client Security zarządzanego komputera.

Ważne:

Nie należy wprowadzać dodatkowych ustawień do obiektu zasad grupy utworzonego w Client Security. Gdy zasada Client Security nie jest wdrożona, utworzone w Client Security obiekty zasad grupy są usuwane z Active Directory, a wszystkie ustawienia dodane do utworzonego w Client Security obiektu zasad grupy zostaną utracone. Jeśli obiekt zasad grupy Client Security zawiera dodatkowe ustawienia, modyfikacja kolejności łączy obiektu zasad grupy może mieć poważne konsekwencje.

Więcej informacji o wdrożeniu zasad Client Security poprzez zasady grupy można znaleźć na stronie Working with policies (j.ang.) w przewodniku Client Security Administrator's Guide (https://go.microsoft.com/fwlink/?LinkID=88415).

Do początku strony Do początku strony

Blokowanie i wymuszanie dziedziczenia

Można zapobiec dziedziczeniu obiektów zasad grupy z nadrzędnych kontenerów przy użyciu polecenia Zablokuj dziedziczenie w GPMC. Polecenie Zablokuj dziedziczenie pozwala zapobiec odziedziczeniu obiektów zasad grupy wyższego poziomu. Dziedziczenie jest blokowane w jednostce organizacyjnej, w której umieszczony jest blok oraz we wszystkich zagnieżdżonych w niej jednostkach. Każdy obiekt zasad grupy oznaczony jako Wymuszone wciąż zostanie jednak odziedziczony.

Polecenie Wymuszone pozwala administratorom wyższego poziomu upewnić się, że obiekt zasad grupy jest stosowany wobec wszystkich celów na niższych poziomach drzewa dziedziczenia, nawet jeśli włączono w nich polecenie Zablokuj dziedziczenie. Każdy obiekt zasad grupy oznaczony jako Wymuszone zostanie odziedziczony we wszystkich jednostkach organizacyjnych na ścieżce dziedziczenia.

Ważne:

Należy używać tego ustawienia z ostrożnością; każde ustawienie w obiekcie zasad grupy w konflikcie z ustawieniami w obiektach zasad grupy niższego poziomu zastąpi te niższe obiekty.

 

Ważne:

Nadużycia poleceń Zablokuj dziedziczenie i Wymuszone mogą skomplikować rozwiązywanie problemów z zasadami grupy w przyszłości.Należy używać ich selektywnie.

Do początku strony Do początku strony

Obiekty zasad grupy utworzone przez Client Security

Podczas wdrażania zasady Client Security w konsoli Client Security, przycisk Dodaj OU pozwala administratorowi wybrać docelową domenę lub jednostkę organizacyjną Active Directory. Ta procedura wyboru wykonuje tak naprawdę dwie osobne czynności: utworzenie obiektu zasad grupy oraz połączenie nowo utworzonego obiektu zasad grupy z docelową jednostką organizacyjną. Aby pomyślnie tego dokonać, administrator Client Security musi mieć uprawnienia zarówno do tworzenia obiektów zasad grupy, jak i łączenia obiektu zasad grupy z odpowiednią jednostką organizacyjną.

Ważne:

Wdrażanie zasady Client Security w obiekcie zasad grupy z łączem lokacji nie jest obsługiwane. Obiekt zasad grupy może być połączony z więcej niż jednym kontenerem; przed wdrożeniem w wybranym obiekcie zasad grupy należy zweryfikować, że nie jest on połączony z lokacją. Wdrażanie w obiekcie obiekt zasad grupy połączonym z lokacją może mieć niezamierzone skutki, takie jak wdrożenie Client Security na komputerach lub serwerach, które nie są zamierzonym celami.

Uprawnienia do tworzenia i łączenia obiektów zasad grupy mogą być przydzielone przy użyciu Active Directory. Pierwsze uprawnienie do tworzenia obiektów zasad grupy, przydzielane jest poprzez dodanie konta użytkownika do grupy Twórcy-właściciele zasad grupy w Active Directory. Dodanie użytkowników do tej grupy daje im możliwość tworzenia obiektów zasad grupy. Po tym, jak członek grupy zasad grupy Creator Owners utworzy obiekt zasad grupy, staje się on właścicielem tego obiektu zasad grupy i ma nad nim pełną kontrolę. Członkostwo w grupie Twórcy-właściciele zasad grupy nie daje jednak użytkownikowi żadnych dodatkowych uprawnień; użytkownik ma pełną kontrolę jedynie nad tymi obiektami zasad grupy, które sam utworzył. Nie może też łączyć utworzonego przez siebie obiektu zasad grupy z żadnym kontenerem.

Uprawnienia do łączenia istniejącego obiektu zasad grupy z domeną lub jednostką organizacyjną można udzielić w GPMC.

Aby zezwolić użytkownikowi na łączenie obiektów zasad grupy

  1. W GPMC, wybierz domenę lub jednostkę organizacyjną, z którą chcesz połączyć obiekt zasad grupy.
  2. W okienku wyników, kliknij kartę Delegowanie i zweryfikuj, czy uprawnienie Połącz obiekty zasad grupy wyświetla się w polu listy Uprawnienia.
  3. Kliknij przycisk Dodaj i w oknie dialogowym Wybierz użytkownika, komputer lub grupę wpisz konto użytkownika lub nazwę grupy. Kliknij OK.
  4. W oknie dialogowym Dodawanie grupy lub użytkownika, z listy rozwijanej Uprawnienia wybierz poziom, na którym chcesz zastosować uprawnienia wobec danej grupy lub użytkownika, a następnie kliknij przycisk OK.

Przydzielenie uprawnień zarówno do tworzenia obiektów zasad grupy, jak i łączenia obiektów zasad grupy ma wpływ na bezpieczeństwo. Administrator obiektu zasad grupy może usunąć wcześniej utworzony obiekt zasad grupy, złośliwie połączyć obiekt zasad grupy ze złą jednostką organizacyjna lub utworzyć obiekt zasad grupy w szkodliwych celach.

Wysoce zalecana jest ostrożność w wyborze użytkowników, którym przydzielane są te uprawnienia, a także zakresu przydzielanych uprawnień. Na przykład jeśli administrator Client Security potrzebuje jedynie możliwości wdrażania zasad Client Security w pewnych jednostkach organizacyjnych, przydzielenie mu możliwości łączenia obiektów zasad grupy tylko z tymi jednostkami organizacyjnymi jest odpowiednią decyzją związaną z bezpieczeństwem.

Do początku strony Do początku strony

Delegowane obiekty zasad grupy

Przydzielenie administratorowi innemu niż administrator domeny uprawnień do tworzenia i łączenia obiektów zasad grupy w domenie może być niepożądane. W takim wypadku Client Security może użyć istniejącego obiekt zasad grupy do wdrożenia ustawień. Przycisk Dodaj obiekt GPO pozwala administratorowi wybrać istniejący obiekt zasad grupy, z którym scalone mają zostać zasady Client Security.

Kliknięcie przycisku Dodaj obiekt GPO scala ustawienia zasad Client Security z istniejącym obiektem zasad grupy; aby pomyślnie zakończyć to zadanie, użytkownik wdrażający zasady Client Security musi mieć uprawnienia do edycji docelowego obiektu zasad grupy.

Aby przydzielić uprawnienia do edycji obiektu zasad grupy

  1. W GPMC, przejdź do Nazwa lasu/Domains/Nazwa domeny/Group Policy Objects.
  2. Wybierz odpowiedni obiekt zasad grupy w sekcji Obiekty zasad grupy i w okienku wyników kliknij kartę Delegowanie.
  3. Kliknij przycisk Dodaj i w oknie dialogowym Wybierz użytkownika, komputer lub grupę wpisz nazwę konta użytkownika lub grupy. Kliknij przycisk OK.
  4. Z listy Uprawnienia okna dialogowego Dodawanie grupy lub użytkownika wybierz odpowiednie uprawnienia z listy rozwijanej, a następnie kliknij przycisk OK.

Do początku strony Do początku strony

Wiele środowisk domenowych

Środowisko Active Directory może składać się z wielu domen w relacji zaufania zwanej drzewem. To drzewo domen może być jednym z wielu w relacji zaufania zwanej lasem Active Directory. Obiekty zasad grupy są tworzone w domenach i powielane jedynie pomiędzy kontrolerami domeny dla domeny, w której zostały utworzone. Obiekty zasad grupy mogą być udostępniane innym domenom w drzewie lub lesie, ale wciąż przechowywane są w domenie, w której zostały utworzone. Ze względu na czas oczekiwania aplikacji, nie zaleca się wdrażania zasad Client Security poprzez wdrażanie obiektów zasad grupy między domenami. Zamiast tego należy tworzyć obiekty zasad grupy dla danej domeny wewnątrz niej. Pozwala to również na zarządzanie ustawieniami Client Security dla każdej domeny z osobna.

Do początku strony Do początku strony

Microsoft Forefont