Entendendo as formas de “Deploy” das Políticas do Forefront Client Security
Vinícius Ramos Apolinário
MCSE
Janeiro 2009
Tecnologias: Microsoft Forefront Client Security
Sumário:Neste artigo iremos verificar as formas de distribuição de políticas do Forefront Client Security (FCS) para os diversos tipos de clientes, estejam eles em um domínio ou não.
Conteúdo
Introdução
Montei minha política. E agora?
Entendendo os tipos de Deploy do FCS
Deploy por OU
Deploy por Grupo
Deploy por GPO
Deploy por arquivo
Verificando o sucesso do Deploy
Conclusão
Referência
Sobre o Autor
Introdução
O Microsoft Forefront Client Security (FCS) é parte da Suíte de aplicativos de Segurança da Microsoft, sendo que este se destina a segurança de Anti-vírus e Anti-Spyware de estações e servidores. Neste artigo, que se destina a administradores de redes e servidores, iremos abordar os diversos tipos de cenários para aplicações das políticas do FCS. Mostraremos como aplicar as políticas que foram criadas na console do FCS em clientes em redes com Domínio Active Directory (AD) ou Stand-Alone.
Montei minha política. E agora?
O funcionamento do FCS se baseia em Políticas que são montadas e aplicadas às máquinas clientes da rede, sejam estes estações ou servidores. A Política reflete o guia de segurança que foi criado pela compania e contém a forma como o FCS irá se comportar com relação aos Malwares.
Uma vez que as Políticas foram criadas, é preciso fazer com que as máquinas clientes recebam estas configurações. Para isso, o FCS disponibiliza diversas formas de entregar estas Políticas aos clientes. É preciso neste momento, verificar quais máquinas estão com o FCS e pertencem ao domínio e quais não pertencem, pois a forma de distribuição é diferente para cada uma destas máquinas.
Entendendo os tipos de Deploy do FCS
Uma vez tendo mapeado os clientes, é preciso verificar de que forma as políticas serão entregues. É importante verificar que para as máquinas que pertencem ao mesmo domínio do FCS, existem diversas formas de se entregar a Política. Para verificar as formas de Deploy, clique em Deploy na console do FCS, conforme Figura 1.
Figura 1 – [Console FCS]
Será exibida a tela como na Figura 2:
Figura 2 – [Deploy]
Veja que do lado esquerdo são disponibilizadas as formas de aplicar a Política aos clientes. As opções “Add OU”, “Add Group” e “Add GPO” são para utilização em Domínio do AD. Já a opção “Add File” se destina a aplicação de Políticas em estações que não fazem parte de domínio.
Início da página
Deploy por OU
A primeira opção é o Deploy por OU, no botão “Add OU”, conforme Figura 3:
Figura 3 – [Add OU]
Esta forma de distribuição consiste em designar OU’s onde a política do FCS será aplicada. É importante ressaltar que a política é associada à Computadores, logo dentro desta OU devem estar os computadores que se deseja aplicar determinada Política. Ao clicar em “Add OU” será exibida uma tela com a Árvore do AD, conforme Figura 4:
Figura 4 – [Active Directory]
Deve-se então selecionar a OU que contém os Computadores que se quer aplicar a política selecionada. Ao clicar em OK, será exibido o caminho da OU e esta ficará listada como local já marcado para Deploy, conforme Figura 5:
Figura 5 – [Deploy OU]
Para concluir, clique em Deploy. Neste momento o FCS irá criar uma GPO no domínio e irá vincular à OU selecionada. Para que as Políticas sejam aplicadas, basta rodar o comando “gpupdate /force” nos Computadores que estão dentro desta OU.
A vantagem desta forma de Deploy é que basta colocar um computador dentro da OU onde foi feito o Deploy e a política será aplicada automaticamente.
Início da página
Deploy por Grupo
Para aplicar a Política selecionada à um Grupo de Usuários, basta selecionar a opção “Add Group”, como na Figura 6:
Figura 6 – [Add Group]
Ao clicar em “Add Group” será exibida uma tela para escolha do(s) grupo(s) que será aplicada a Política selecionada. Selecione o grupo escolhido e clique em Ok, conforme Figura 7:
Figura 7 – [Select Groups]
Será então exibido o caminho com o Grupo selecionado, conforme Figura 8:
Figura 8 – [Deploy Groups]
Para finalizar, clique em Deploy. Neste momento o FCS irá criar uma GPO no nível do domínio com um filtro para que a esta GPO seja aplicada apenas aos Grupos selecionados. A vantagem desta forma de Deploy é que os usuários que estiverem nos grupos afetados terão as mesmas configurações independente do computador utilizado.
Deploy por GPO
Uma questão importante do Deploy por GPO é que a política será agregada à uma GPO já existente. Para isso, clique em “Add GPO”, conforme Figura 9:
Figura 9 – [Add GPO]
Após clicar em “Add GPO” serão exibidas as GPOs existentes no domínio. Deve-se selecionar a GPO que deseja utilizar aplicar a Política selecionada, conforme Figura 10:
Figura 10 – [Select GPO]
Clique em OK e veja que o caminho da GPO é exibido conforme a Figura 11:
Figura 11 – [Deploy GPO]
Para finalizar, clique em Deploy. Neste momento as configurações da Política serão aplicadas à GPO e esta por sua vez irá afetar os computadores que estiverem na OU onde a política está vinculada. A vantagem desta forma de Deploy é que em um ambiente onde já existam muitas GPOs, não é necessário criar uma nova apenas para o FCS.
Início da página
Deploy por Arquivo
Nos casos anteriores, a instalação era especificamente para clientes que fazem parte do mesmo domínio do AD. Em casos onde o cliente não faz parte do AD é possível colocar as configurações da Política através de um arquivo gerado pelo FCS. Para isso, clique em “Add File” conforme a Figura 12:
Figura 12 – [Add File]
Ao clicar em “Add File” será solicitado um local para gravar o arquivo .reg que será utilizado para importar as configurações da Política, conforme Figura 12:
Figura 13 – [Add File]
Na estação cliente, será necessário utilizar a ferramenta “FCS Local Policy Tool” para aplicar o arquivo .reg criado anteriormente.
O “FCS Local Policy Tool” pode ser encontrado no CD de instalação do FCS.
Através do Prompt, digite: fcslocalpolicytool.exe “caminho do arquivo .reg”. Ao Executar este comando todas as configurações da Política serão aplicadas a estação. A vantagem desta forma de Deploy é justamente poder configurar o FCS de forma simples em estações que não pertencem a um domínio.
Verificando o sucesso do Deploy
Para verificar se o Deploy foi aplicado corretamente à uma estação, abra a console do FCS na máquina cliente e clique em Tools conforme a Figura 14:
Figura 14 – [FCS Tools]
Na tela Tools, clique em Options conforme Figura 15:
Figura 15 – [FCS Options]
Ao clicar em Options, é possível verificar que as configurações estão conforme foram configuradas na Política do FCS, e dependendo de como foram configuradas, estarão desabilitadas para o usuário, conforme Figura 16:
Figura 16 – [FCS Options Disabled]
Conclusão
Neste artigo abordamos as formas de aplicação das Políticas do FCS nas estações clientes. É importante verificar que tanto a Política do FCS quanto a aplicação da mesma, devem seguir os padrões de segurança e normas da empresa. Este artigo tem como objetivo expor as formas de aplicação das Políticas de forma que o leitor possa utilizar o que melhor se encaixa em seu ambiente.
Referências + Tópicos Relacionados
Para mais informações sobre o Microsoft Forefront Client Security, acesse:
http://admderedes.blogspot.com/search/label/ForeFront
https://www.microsoft.com/Forefront/clientsecurity.
Sobre o Autor
Vinícius R. Apolinário é Administrador de Redes e Servidores Microsoft há mais de 5 anos.
Blog: http://admderedes.blogspot.com.
Início da página