• Artykuł

ForeFront

Poprawa zabezpieczeń wdrożenia programu Client Security Udostępnij na: Facebook

Opublikowano: 12 lipca 2010

Podczas wdrażania lub modyfikacji programu Client Security należy przeprowadzić dokładną analizę stanu zabezpieczeń. W tym temacie omówiono czynności związane z zabezpieczeniem nowego lub zmodyfikowanego wdrożenia.

*

Zawartość strony
Poprawa zabezpieczeń wdrożenia programu Client Security  Poprawa zabezpieczeń wdrożenia programu Client Security
Zabezpieczanie serwera zarządzania  Zabezpieczanie serwera zarządzania
Zabezpieczanie serwera zbierania  Zabezpieczanie serwera zbierania
Zabezpieczanie serwera raportowania  Zabezpieczanie serwera raportowania
Zabezpieczanie serwerów baz danych  Zabezpieczanie serwerów baz danych
Zabezpieczanie serwera dystrybucji  Zabezpieczanie serwera dystrybucji
Zabezpieczanie kont usług  Zabezpieczanie kont usług
Zabezpieczanie kont użytkowników  Zabezpieczanie kont użytkowników
Zabezpieczanie połączeń  Zabezpieczanie połączeń
Zabezpieczanie komputerów klienckich  Zabezpieczanie komputerów klienckich

Poprawa zabezpieczeń wdrożenia programu Client Security

  1. Zweryfikuj instalację programu Client Security. Ten krok polega na określeniu podstawy operacyjnej przed wprowadzeniem zmian związanych z zabezpieczeniami programu Client Security.

    Informacje na temat weryfikowania instalacji można znaleźć w temacie Podręcznik wdrażania programu Client Security (j.ang.).

  2. Zabezpiecz wszystkie serwery, na których zainstalowano składniki programu Client Security.

    Uwaga:
    Kreator konfiguracji zabezpieczeń nie jest obsługiwany w przypadku komputerów z uruchomionymi składnikami serwera programu Client Security.

  3. Upewnij się, że konta usług są skonfigurowane i używane w bezpieczny sposób.

  4. Upewnij się, że użytkownicy wykonujący czynności administracyjne mają odpowiednie uprawnienia.

  5. Upewnij się, że komunikacja między serwerami programu Client Security jest zabezpieczona.

  6. Upewnij się, że komunikacja z klientami jest zabezpieczona.

  7. Sprawdź ustawienia reguł programu Client Security określające zakres kontroli użytkowników nad agentami programu Client Security. Zaktualizuj i ponownie zastosuj odpowiednie reguły programu Client Security.

  8. Ponownie zweryfikuj instalację programu Client Security. Ze względu na określenie podstawy operacyjnej wszystkie znalezione problemy muszą być spowodowane zmianami wprowadzonymi w ramach tej procedury. Rozwiąż wszystkie znalezione problemy.

    Informacje na temat weryfikowania instalacji można znaleźć w temacie Podręcznik wdrażania programu Client Security (j.ang.).

  9. Uruchom operację skanowania i oceny stanu zabezpieczeń (SSA) na wszystkich komputerach klienckich. Program Client Security wykonuje wiele operacji SSA, takich jak sprawdzenie, czy na komputerze klienckim zostały zainstalowane wszystkie dostępne aktualizacje zabezpieczeń firmy Microsoft. Więcej informacji na temat konfigurowania operacji skanowania SSA można znaleźć w temacie Konfigurowanie operacji skanowania i oceny stanu zabezpieczeń (j.ang.).

    Wygeneruj raport Podsumowanie oceny stanu zabezpieczeń, aby poznać potencjalne luki w zabezpieczeniach znalezione w systemie przez program Client Security. Informacje na temat korzystania z raportów można znaleźć w temacie Wyświetlanie i drukowanie raportów (j.ang.).

    Informacje na temat naprawiania komputerów, które uzyskały niedopuszczalny wynik oceny SSA, można znaleźć w temacie Informacje o ocenie stanu zabezpieczeń (j.ang.).

Zabezpieczanie zmienionych topologii programu Client Security

W przypadku zmiany topologii programu Client Security należy się upewnić, że zmodyfikowane serwery są zabezpieczone. Dotyczy to wszystkich zmian topologii, takich jak:

  • Połączenie wielu składników programu Client Security w ramach pojedynczego serwera.
  • Przeniesienie wielu składników na oddzielne serwery.
  • Ponowne wdrożenie serwera.

Zabezpieczanie zmienionej topologii programu Client Security

  1. Upewnij się, że konta usług używane na zmienionych serwerach są prawidłowo skonfigurowane.

  2. Upewnij się, że uprawnienia użytkowników obsługujących zadania administracyjne programu Client Security są prawidłowo skonfigurowane.

  3. Upewnij się, że połączenia ze zmienionymi serwerami są zabezpieczone.

  4. Uruchom Kreator konfiguracji programu Client Security.

    • Na serwerze zarządzania uruchom konsolę zarządzania programu Microsoft Forefront Client Security.
    • W menu Action (Akcja) kliknij polecenie Configure (Konfiguruj). Postępuj zgodnie z instrukcjami wyświetlanymi w oknie kreatora.

    Serwer zarządzania zostanie zaktualizowany zgodnie z wprowadzonymi zmianami topologii.

  5. Zweryfikuj instalację programu Client Security. Rozwiąż wszystkie znalezione problemy. Informacje na temat weryfikowania instalacji można znaleźć w temacie Podręcznik wdrażania programu Client Security (j.ang.).

 Do początku strony Do początku strony

Zabezpieczanie serwera zarządzania

Na serwerze zarządzania działają następujące aplikacje:

  • konsola programu Client Security,
  • konsola operatora programu Microsoft Operations Manager (MOM),
  • konsola administratora programu MOM.

Informacje na temat kont użytkowników i uprawnień dostępu do aplikacji programu Client Security na serwerze zarządzania można znaleźć w sekcji Zabezpieczanie kont użytkowników.

Konta usług serwera zarządzania

Program Client Security nie dodaje usług do serwera zarządzania.

Zabezpieczenia połączeń

Informacje na temat połączeń między serwerem zarządzania oraz innymi składnikami programu Client Security można znaleźć w sekcji Zabezpieczanie połączeń.

 Do początku strony Do początku strony

Zabezpieczanie serwera zbierania

Na serwerze zbierania działają następujące aplikacje:

  • serwer MOM 2005,
  • konsola operatora programu MOM,
  • konsola administratora programu MOM,
  • pakiet Microsoft Forefront Client Security Management Pack for MOM.

Zaleca się postępowanie zgodne z najważniejszymi wskazówkami dotyczącymi zabezpieczania programu MOM. Więcej informacji na temat zabezpieczeń programu MOM można znaleźć w temacie Najważniejsze wskazówki dotyczące zabezpieczeń (j.ang.).

Ochrona przed „zalewaniem” zdarzeniami

Pakiet Client Security Management Pack for MOM zawiera regułę zdarzeń serwera, która ułatwia zabezpieczenie serwera zbierania przed atakami typu „odmowa usługi” (DoS). Reguła ta monitoruje agenty MOM, które wysyłają więcej zdarzeń niż jest to dozwolone w skonfigurowanym przedziale czasu. W przypadku przekroczenia przez agenta MOM dozwolonej liczby zdarzeń reguła automatycznie odłącza takiego klienta od serwera zbierania. Reguła monitoruje również agenty MOM, które wysyłają zdarzenia ze zbyt wieloma parametrami.

Więcej informacji na temat ochrony przed „zalewaniem” można znaleźć w temacie Konfigurowanie parametrów alertu dotyczącego wykrytego zalewania (j.ang.).

Zabezpieczenia połączeń z serwerem zbierania

Zaleca się zabezpieczenie połączeń z serwerem zbierania. Możliwe są następujące połączenia.

|Składnik|Element docelowy|Topologie| |--- |--- |--- | |Serwer zbierania|Baza danych zbierania|Pięć serwerów i sześć serwerów| |Serwer zarządzania|Serwer zbierania|Cztery serwery, pięć serwerów i sześć serwerów| |Komputer kliencki (agent MOM)|Serwer zbierania|Wszystkie|  

Zabezpieczenia połączeń między serwerami

Połączenia między serwerami obejmujące serwer zbierania dotyczą serwera i konsoli MOM. Połączenia te można zabezpieczyć przy użyciu protokołu IPsec (Internet Protocol Security). Więcej informacji na temat używania protokołu IPsec z programem MOM można znaleźć w następujących tematach:

Zabezpieczenia połączeń między agentami MOM i serwerami

Domyślnie połączenia między agentami MOM i serwerem zbierania są wzajemnie uwierzytelniane, szyfrowane i podpisywane cyfrowo. Mimo to w przypadku braku wzajemnego uwierzytelniania można zabezpieczyć te połączenia przy użyciu protokołu IPsec.

Uwaga:

Program Client Security obsługuje alerty i raporty tylko w przypadku wzajemnie uwierzytelnionych komputerów klienckich.

 

Więcej informacji można znaleźć w sekcji „Protokół IPSec i program MOM” w temacie Protokół IP Security (IPSec) (j.ang.).

 Do początku strony Do początku strony

Zabezpieczanie serwera raportowania

Na serwerze raportów działają następujące aplikacje:

  • MOM 2005 Reporting
  • Usługi Reporting Services programu SQL Server 2005
  • Internet Information Services (IIS) 6.0
  • ASP.NET

Role i uprawnienia użytkowników raportów

W celu udzielenia uprawnień do wyświetlania raportów zaleca się użycie wstępnie zdefiniowanych ról dostępnych w ramach usług Reporting Services programu SQL Server. Użytkownicy z przypisaną rolą przeglądającego mogą uzyskiwać dostęp do raportów za pomocą Menedżera raportów, ale nie mogą zmieniać ustawień usług Reporting Services programu SQL Server. Informacje na temat przypisywania uprawnień do wyświetlania raportów użytkownikom programu Client Security można znaleźć w temacie Sterowanie uprawnieniem do wyświetlania raportów (j.ang.).

Więcej informacji na temat wstępnie zdefiniowanych ról usług Reporting Services programu SQL Server można znaleźć w temacie Opis wstępnie zdefiniowanych ról (j.ang.).

Zabezpieczenie połączeń z serwerem raportowania przy użyciu protokołu SSL

Zaleca się skonfigurowanie na serwerze raportowania protokołu SSL (Secure Sockets Layer) w celu zabezpieczenia następujących połączeń:

  • między serwerem zarządzania i serwerem raportowania na potrzeby pobierania danych wyświetlanych w konsoli programu Client Security,
  • między komputerem klienckim i serwerem raportowania na potrzeby wyświetlania raportów w Menedżerze raportów.

Używanie protokołu SSL w celu ochrony danych raportów programu Client Security

  1. Na serwerze raportowania włącz protokół SSL w programie IIS. Więcej informacji można znaleźć w temacie Obsługa protokołu SSL w programie IIS (j.ang.).
  2. Skonfiguruj protokół SSL w usługach Reporting Services programu SQL Server w celu szyfrowania raportów. Więcej informacji na temat konfiguracji protokołu SSL w usługach Reporting Services programu SQL Server można znaleźć w temacie Konfigurowanie połączeń SSL (Secure Sockets Layer) na serwerze raportów (j.ang.).
  3. Skonfiguruj protokół SSL w programie MOM 2005 Reporting. Więcej informacji można znaleźć w sekcji “Instalacja programu MOM Reporting kończy się niepowodzeniem w przypadku używania protokołu SSL" w temacie Rozwiązywanie problemów z programem MOM Reporting (j.ang.).
  4. Na serwerze zarządzania uruchom Kreator konfiguracji programu Client Security. W tym celu uruchom konsolę programu Client Security i w menu Action (Akcja) kliknij polecenie Configure (Konfiguruj). Po wyświetleniu monitu o podanie adresów URL raportowania wprowadź prawidłowy, aktualny adres zgodny z protokołem SSL. Powinien on zaczynać się prefiksem https.

Konta usług raportowania

Program Client Security nie wymaga spełnienia dodatkowych lub specjalnych warunków dotyczących konta, na którym działają usługi Reporting Services programu SQL Server. Zaleca się postępowanie zgodne ze standardami zabezpieczania kont usług obowiązującymi w organizacji użytkownika.

 Do początku strony Do początku strony

Zabezpieczanie serwerów baz danych

Program Client Security używa dwóch baz danych programu SQL Server:

  • baza danych zbierania,
  • baza danych raportowania.

W zależności od wdrożenia bazy danych mogą działać na jednym lub dwóch oddzielnych serwerach.

Zabezpieczanie programu SQL Server

Program Client Security nie wymaga konfiguracji dodatkowych lub specjalnych zabezpieczeń programu SQL Server. Zaleca się postępowanie zgodne z najważniejszymi wskazówkami dotyczącymi zabezpieczania programu SQL Server. Więcej informacji na temat zabezpieczeń programu SQL Server można znaleźć tutaj (j.ang.).

Zabezpieczenia połączeń z serwerami baz danych

Zaleca się zabezpieczenie połączeń z serwerami baz danych używanych przez program Client Security. W tabeli poniżej opisano możliwe połączenia.

|Składnik|Element docelowy|Topologie| |--- |--- |--- | |Serwer zarządzania|Baza danych zbierania|Cztery serwery, pięć serwerów i sześć serwerów| |Baza danych raportowania|Baza danych zbierania|Trzy serwery, cztery serwery i sześć serwerów| |Serwer raportowania|Baza danych zbierania|Cztery serwery, pięć serwerów i sześć serwerów| |Serwer raportowania|Baza danych raportowania|Trzy serwery, pięć serwerów i sześć serwerów|  

Zaleca się zabezpieczenie komunikacji z bazami danych przy użyciu protokołu IPsec. Więcej informacji można znaleźć w temacie Zabezpieczenia protokołu IP w systemie Microsoft Windows Server 2003 (j.ang.).

Komunikację można także zabezpieczyć przy użyciu protokołu SSL. Program SQL Server 2005 umożliwia szyfrowanie połączeń za pomocą technologii SSL.

 Do początku strony Do początku strony

Zabezpieczanie serwera dystrybucji

Na serwerze dystrybucji programu Client Security działają następujące aplikacje:

  • Windows Server Update Services (WSUS)
  • Client Security Update Assistant

Program Client Security nie wymaga dodatkowej lub specjalnej konfiguracji zabezpieczeń programu WSUS. Zaleca się postępowanie zgodne z najważniejszymi wskazówkami dotyczącymi zabezpieczania programu WSUS. Więcej informacji na temat zabezpieczeń programu WSUS można znaleźć w temacie Zabezpieczenie wdrożenia programu WSUS (j.ang.).

Zabezpieczenia połączeń serwera dystrybucji

Połączenia z serwerem dystrybucji można zabezpieczyć przy użyciu protokołu SSL. Program WSUS obsługuje protokół SSL na potrzeby pobierania aktualizacji z usługi Microsoft Update lub serwera nadrzędnego programu WSUS oraz wysyłania ich do komputerów klienckich.

Serwer dystrybucji wymaga połączeń wskazanych w tabeli poniżej.

|Składnik|Element docelowy|Topologie| |--- |--- |--- | |Serwer dystrybucji|Usługa Microsoft Update lub serwer nadrzędny programu WSUS|Wszystkie| |Komputer kliencki|Serwer dystrybucji lub usługa Microsoft Update|Wszystkie|  

Informacje na temat zabezpieczenia programu WSUS za pomocą protokołu SSL można znaleźć w temacie Zabezpieczenie wdrożenia programu WSUS (j.ang.).

 Do początku strony Do początku strony

Zabezpieczanie kont usług

W ramach wdrożenia programu Client Security używane są konta usług opisane w tabeli poniżej.

|Konto|Typ|Opis| |--- |--- |--- | |Konto serwera dostępu do danych (DAS)|Użytkownik domeny, a w niektórych przypadkach lokalny administrator serwera zbierania|W przypadku ponownego użycia konta DAS jako konta akcji należy udzielić kontu DAS uprawnień lokalnego administratora serwera zbierania.Serwer zbierania używa konta DAS w celu uzyskiwania dostępu do bazy danych zbierania.Program Client Security automatycznie przypisuje uprawnienia konta DAS podczas konfiguracji.| |Konto raportowania|Użytkownik domeny|Serwer raportowania używa konta raportowania w celu uzyskiwania dostępu do baz danych raportowania i zbierania.| |Konto akcji|Użytkownik domeny i lokalny administrator serwera zbierania|Konto akcji musi mieć uprawnienia lokalnego administratora serwera zbierania. Należy udzielić takich uprawnień kontu akcji lub kontu DAS, jeśli jest ono ponownie używane jako konto akcji. Serwer zbierania używa konta akcji do wykonywania skryptów po stronie serwera i przeprowadzania operacji skanowania SSA. Konto akcji musi być kontem użytkownika domeny.| |Konto usług przekształceń danych (DTS)|Użytkownik domeny|Serwer raportowania używa konta DTS do uruchamiania zadania Harmonogramu systemu Windows (zadania DTS), które przekształca dane między bazą danych zbierania i bazą danych raportowania.|  

W celu maksymalnego zabezpieczenia wdrożenia należy użyć różnych kont użytkowników dla poszczególnych kont usług programu Client Security. Ze względu na złożoność dotyczącą zarządzania oddzielnymi kontami i regularnego aktualizowania haseł zaleca się używanie pojedynczego konta użytkownika domeny dla wszystkich kont usług programu Client Security.

Dodatkowo nie zaleca się uruchamiania usług związanych z programem Client Security przy użyciu konta administratora tego programu. Dzięki temu można zabezpieczyć program Client Security przed nieautoryzowanym dostępem na poziomie uprawnień administratora w przypadku udanego ataku na poświadczenia używane do uruchamiania tych usług.

 Do początku strony Do początku strony

Zabezpieczanie kont użytkowników

Dostęp użytkowników do programu Client Security można podzielić na następujące obszary:

  • dostęp z poziomu konsoli programu Client Security,
  • dostęp z poziomu konsoli operatora programu MOM,
  • dostęp z poziomu konsoli administratora programu MOM,
  • dostęp z poziomu Menedżera raportów.

Zaleca się ścisłe kontrolowanie dostępu do poszczególnych obszarów i przypisanie poszczególnym użytkownikom ról z minimalnymi uprawnieniami niezbędnymi do wykonywania wymaganych zadań.

Role użytkowników

Zadania administracyjne programu Client Security można przypisać do niewielkiego zestawu ról. Na podstawie zakresu obowiązków użytkowników role te zapewniają podział uprawnień dostępu na obszary wymienione powyżej.

Szczegółowy opis ról użytkowników programu Client Security i minimalnych uprawnień wymaganych do pełnienia każdej z nich można znaleźć w temacie Praca z rolami użytkowników (j.ang.).

Informacje na temat dostępu użytkowników do wymaganego oprogramowania można znaleźć w następujących tematach:

Hasła

W celu ochrony kont użytkowników zaleca się uwierzytelnianie przy użyciu silnych poświadczeń. Jeśli użytkownicy uwierzytelniają się za pomocą haseł podczas uzyskiwania dostępu do konsoli na serwerze zarządzania, należy postępować zgodnie z najważniejszymi wskazówkami dotyczącymi tworzenia silnych haseł. Więcej informacji na temat tworzenia silnych haseł można znaleźć w temacie Silne hasła (j.ang.).

 Do początku strony Do początku strony

Zabezpieczanie połączeń

Każda instalacja programu Client Security używa wielu połączeń. Dodatkowo w przypadku zainstalowania składników serwera programu Client Security na wielu komputerach program Client Security otwiera różne połączenia między nimi.

Metody zabezpieczania połączeń

W tabeli poniżej przedstawiono dostępne metody zabezpieczania połączeń we wszystkich obsługiwanych topologiach programu Client Security. Zaleca się zabezpieczenie wszystkich połączeń działających w ramach wdrożenia programu Client Security. Informacje na temat zabezpieczenia danego połączenia można znaleźć w temacie wskazanym w odpowiednim wierszu.

|Składnik|Element docelowy|Topologie|Metody zabezpieczeń| |--- |--- |--- |--- | |Serwer zbierania|Baza danych zbierania|Pięć serwerów i sześć serwerów|IPsec lub szyfrowanie OLE DB (Object Linking and Embedding Database) (zob. sekcję Zabezpieczanie serwera zbierania)| |Serwer zarządzania|Serwer zbierania|Cztery serwery, pięć serwerów i sześć serwerów|IPsec lub szyfrowanie OLE DB (zob. sekcję Zabezpieczanie serwera zarządzania)| |Serwer zarządzania|Baza danych zbierania|Cztery serwery, pięć serwerów i sześć serwerów|IPsec lub SSL (zob. sekcję Zabezpieczanie serwerów baz danych)| |Serwer zarządzania|Serwer raportowania|Trzy serwery, cztery serwery, pięć serwerów i sześć serwerów|SSL (zob. sekcję Zabezpieczanie serwera raportowania)| |Baza danych raportowania|Baza danych zbierania|Trzy serwery, cztery serwery i sześć serwerów|IPsec lub SSL (zob. sekcję Zabezpieczanie serwerów baz danych)| |Serwer raportowania|Baza danych zbierania|Cztery serwery, pięć serwerów i sześć serwerów|IPsec lub SSL (zob. sekcję Zabezpieczanie serwerów baz danych)| |Serwer raportowania|Baza danych raportowania|Trzy serwery, pięć serwerów i sześć serwerów|IPsec lub SSL (zob. sekcję Zabezpieczanie serwerów baz danych)| |Serwer dystrybucji|Usługa Microsoft Update lub serwer nadrzędny programu WSUS|Wszystkie|SSL (zob. sekcję Zabezpieczanie serwera dystrybucji)| |Komputer kliencki (agent MOM)|Serwer zbierania|Wszystkie|Wzajemne uwierzytelnianie i szyfrowanie (zob. sekcję Zabezpieczanie serwera zbierania)| |Komputer kliencki|Serwer dystrybucji lub usługa Microsoft Update|Wszystkie|SSL (zob. sekcję Zabezpieczanie serwera dystrybucji)| |Komputer kliencki|Serwer raportowania|Wszystkie|SSL (zob. sekcję Zabezpieczanie serwera dystrybucji)|  

Porty używane przez składniki programu Client Security

Należy się upewnić, że w zaporach lub innych bramach otwarte są wymagane porty sieciowe.

W tabeli poniżej przedstawiono porty i protokoły sieciowe używane do komunikacji między składnikami programu Client Security. W zależności od konfiguracji i lokalizacji zapór lub bram w sieci może być wymagane otwarcie tych portów.

|Składnik|Element docelowy|Topologie|Port (protokoły)|Uwagi| |--- |--- |--- |--- |--- | |Serwer zbierania|Baza danych zbierania|Pięć serwerów i sześć serwerów|1433 (TCP i UDP)|Brak.| |Serwer zarządzania|Serwer zbierania|Cztery serwery, pięć serwerów i sześć serwerów|445 (TCP i UDP), 135 (TCP) oraz zakres portów DCOM|Zapory sieciowe między tymi serwerami są nieobsługiwane. Konsole administratora i operatora programu MOM na serwerze zarządzania wymagają połączenia z serwerem zbierania.| |Serwer zarządzania|Baza danych zbierania|Cztery serwery, pięć serwerów i sześć serwerów|1433 (TCP) i 1434 (UDP)|Brak.| |Serwer zarządzania|Serwer raportowania|Trzy serwery, cztery serwery, pięć serwerów i sześć serwerów|80 (TCP) lub 443 (TCP)|Port 80 używany do obsługi protokołu HTTP, a port 443 — HTTPS.| |Baza danych raportowania|Baza danych zbierania|Trzy serwery, cztery serwery i sześć serwerów|1433 (TCP) i 1434 (UDP)|Zapory sieciowe między tymi bazami danych są nieobsługiwane.| |Serwer raportowania|Baza danych zbierania|Cztery serwery, pięć serwerów i sześć serwerów|1433 (TCP) i 1434 (UDP)|Brak.| |Serwer raportowania|Baza danych raportowania|Trzy serwery, pięć serwerów i sześć serwerów|1433 (TCP) i 1434 (UDP)|Brak.| |Serwer dystrybucji|Usługa Microsoft Update lub serwer nadrzędny programu WSUS|Wszystkie|80 (TCP) lub 443 (TCP)|W celu pobierania aktualizacji z usługi Microsoft Update serwer dystrybucji używa portów 80 (HTTP) i 443 (HTTPS).| |Komputer kliencki (agent MOM)|Serwer zbierania|Wszystkie|1270 (TCP) i 1270 (UDP)|Brak.| |Komputer kliencki|Serwer dystrybucji lub usługa Microsoft Update|Wszystkie|80 (TCP) lub 443 (TCP)|W celu pobierania aktualizacji z usługi Microsoft Update serwer dystrybucji używa portów 80 (HTTP) i 443 (HTTPS).| |Komputer kliencki|Serwer raportowania|Wszystkie|80 (TCP) lub 443 (TCP)|Brak.|  

Otwieranie portów w Zaporze systemu Windows

Instrukcje otwierania portów przy użyciu zasad grup można znaleźć w temacie Wdrażanie ustawień Zapory systemu Windows w systemie Microsoft Windows XP z dodatkiem Service Pack 2 (j.ang.).

Aby ręcznie otworzyć port w Zaporze systemu Windows, można wykonać następującą procedurę.

Otwieranie portu w Zaporze systemu Windows

  • Kliknij przycisk Start, kliknij polecenie Panel sterowania, a następnie kliknij dwukrotnie ikonę Zapora systemu Windows.
  • Kliknij kartę Wyjątki, a następnie kliknij przycisk Dodaj port.
  • W polu Nazwa wpisz oczekiwaną nazwę.
  • W polu Numer portu wpisz numer portu.
  • Wybierz protokół TCP lub UDP, a następnie kliknij przycisk OK.

 Do początku strony Do początku strony

Zabezpieczanie komputerów klienckich

Na komputerach klienckich mogą działać następujące aplikacje:

  • usługa ochrony przed złośliwym oprogramowaniem zwana agentem programu Client Security,
  • usługa oceny stanu zabezpieczeń programu Client Security,
  • agent MOM 2005.

Kontrolowanie agenta programu Client Security

Program Client Security umożliwia określenie zakresu kontroli użytkowników nad działaniem agenta programu Client Security. Najwyższy poziom zabezpieczeń uniemożliwia użytkownikom zmianę jakichkolwiek ustawień działania agenta programu Client Security, ale może to być niepożądane.

Zaleca się zapoznanie się z obsługą uprawnień użytkowników agenta programu Client Security na podstawie reguł oraz podjęcie decyzji o zakresie kontroli przyznanej użytkownikom. Więcej informacji można znaleźć w temacie Kontrolowanie dostępu użytkowników (j.ang.).

Zabezpieczenia połączeń

Komputery klienckie używają połączeń opisanych w tabeli poniżej.

|Składnik|Element docelowy|Topologie| |--- |--- |--- | |Komputer kliencki (agent MOM)|Serwer zbierania|Wszystkie| |Komputer kliencki|Serwer dystrybucji lub usługa Microsoft Update|Wszystkie| |Komputer kliencki|Serwer raportowania|Wszystkie|  

Informacje na temat połączeń między komputerami klienckimi oraz innymi składnikami programu Client Security można znaleźć w sekcji Zabezpieczanie połączeń.

 Do początku strony Do początku strony

ForeFront