Entendendo as formas de “Deploy” das Políticas do Forefront Client Security

  • Artigo

Vinícius Ramos Apolinário
MCSE
Janeiro 2009

Tecnologias: Microsoft Forefront Client Security

Sumário:Neste artigo iremos verificar as formas de distribuição de políticas do Forefront Client Security (FCS) para os diversos tipos de clientes, estejam eles em um domínio ou não.

Conteúdo

arrow_down.gif Introdução
arrow_down.gif Montei minha política. E agora?
arrow_down.gif Entendendo os tipos de Deploy do FCS
arrow_down.gif Deploy por OU
arrow_down.gif Deploy por Grupo
arrow_down.gif Deploy por GPO
arrow_down.gif Deploy por arquivo
arrow_down.gif Verificando o sucesso do Deploy
arrow_down.gif Conclusão
arrow_down.gif Referência
arrow_down.gif Sobre o Autor

Introdução

O Microsoft Forefront Client Security (FCS) é parte da Suíte de aplicativos de Segurança da Microsoft, sendo que este se destina a segurança de Anti-vírus e Anti-Spyware de estações e servidores. Neste artigo, que se destina a administradores de redes e servidores, iremos abordar os diversos tipos de cenários para aplicações das políticas do FCS. Mostraremos como aplicar as políticas que foram criadas na console do FCS em clientes em redes com Domínio Active Directory (AD) ou Stand-Alone.

arrow_up.gif

Montei minha política. E agora?

O funcionamento do FCS se baseia em Políticas que são montadas e aplicadas às máquinas clientes da rede, sejam estes estações ou servidores. A Política reflete o guia de segurança que foi criado pela compania e contém a forma como o FCS irá se comportar com relação aos Malwares.

Uma vez que as Políticas foram criadas, é preciso fazer com que as máquinas clientes recebam estas configurações. Para isso, o FCS disponibiliza diversas formas de entregar estas Políticas aos clientes. É preciso neste momento, verificar quais máquinas estão com o FCS e pertencem ao domínio e quais não pertencem, pois a forma de distribuição é diferente para cada uma destas máquinas.

arrow_up.gif

Entendendo os tipos de Deploy do FCS

Uma vez tendo mapeado os clientes, é preciso verificar de que forma as políticas serão entregues. É importante verificar que para as máquinas que pertencem ao mesmo domínio do FCS, existem diversas formas de se entregar a Política. Para verificar as formas de Deploy, clique em Deploy na console do FCS, conforme Figura 1.

fig1.JPG

Figura 1 – [Console FCS]

Será exibida a tela como na Figura 2:

Figura 2 – [Deploy]

Veja que do lado esquerdo são disponibilizadas as formas de aplicar a Política aos clientes. As opções “Add OU”, “Add Group” e “Add GPO” são para utilização em Domínio do AD. Já a opção “Add File” se destina a aplicação de Políticas em estações que não fazem parte de domínio.

arrow_up.gif Início da página

Deploy por OU

A primeira opção é o Deploy por OU, no botão “Add OU”, conforme Figura 3:

Figura 3 – [Add OU]

Esta forma de distribuição consiste em designar OU’s onde a política do FCS será aplicada. É importante ressaltar que a política é associada à Computadores, logo dentro desta OU devem estar os computadores que se deseja aplicar determinada Política. Ao clicar em “Add OU” será exibida uma tela com a Árvore do AD, conforme Figura 4:

Figura 4 – [Active Directory]

Deve-se então selecionar a OU que contém os Computadores que se quer aplicar a política selecionada. Ao clicar em OK, será exibido o caminho da OU e esta ficará listada como local já marcado para Deploy, conforme Figura 5:

Figura 5 – [Deploy OU]

Para concluir, clique em Deploy. Neste momento o FCS irá criar uma GPO no domínio e irá vincular à OU selecionada. Para que as Políticas sejam aplicadas, basta rodar o comando “gpupdate /force” nos Computadores que estão dentro desta OU.

A vantagem desta forma de Deploy é que basta colocar um computador dentro da OU onde foi feito o Deploy e a política será aplicada automaticamente.

arrow_up.gif Início da página

Deploy por Grupo

Para aplicar a Política selecionada à um Grupo de Usuários, basta selecionar a opção “Add Group”, como na Figura 6:

Figura 6 – [Add Group]

Ao clicar em “Add Group” será exibida uma tela para escolha do(s) grupo(s) que será aplicada a Política selecionada. Selecione o grupo escolhido e clique em Ok, conforme Figura 7:

Figura 7 – [Select Groups]

Será então exibido o caminho com o Grupo selecionado, conforme Figura 8:

Figura 8 – [Deploy Groups]

Para finalizar, clique em Deploy. Neste momento o FCS irá criar uma GPO no nível do domínio com um filtro para que a esta GPO seja aplicada apenas aos Grupos selecionados. A vantagem desta forma de Deploy é que os usuários que estiverem nos grupos afetados terão as mesmas configurações independente do computador utilizado.

Deploy por GPO

Uma questão importante do Deploy por GPO é que a política será agregada à uma GPO já existente. Para isso, clique em “Add GPO”, conforme Figura 9:

Figura 9 – [Add GPO]

Após clicar em “Add GPO” serão exibidas as GPOs existentes no domínio. Deve-se selecionar a GPO que deseja utilizar aplicar a Política selecionada, conforme Figura 10:

Figura 10 – [Select GPO]

Clique em OK e veja que o caminho da GPO é exibido conforme a Figura 11:

Figura 11 – [Deploy GPO]

Para finalizar, clique em Deploy. Neste momento as configurações da Política serão aplicadas à GPO e esta por sua vez irá afetar os computadores que estiverem na OU onde a política está vinculada. A vantagem desta forma de Deploy é que em um ambiente onde já existam muitas GPOs, não é necessário criar uma nova apenas para o FCS.

arrow_up.gif Início da página

Deploy por Arquivo

Nos casos anteriores, a instalação era especificamente para clientes que fazem parte do mesmo domínio do AD. Em casos onde o cliente não faz parte do AD é possível colocar as configurações da Política através de um arquivo gerado pelo FCS. Para isso, clique em “Add File” conforme a Figura 12:

Figura 12 – [Add File]

Ao clicar em “Add File” será solicitado um local para gravar o arquivo .reg que será utilizado para importar as configurações da Política, conforme Figura 12:

Figura 13 – [Add File]

Na estação cliente, será necessário utilizar a ferramenta “FCS Local Policy Tool” para aplicar o arquivo .reg criado anteriormente.

O “FCS Local Policy Tool” pode ser encontrado no CD de instalação do FCS.

Através do Prompt, digite: fcslocalpolicytool.exe “caminho do arquivo .reg”. Ao Executar este comando todas as configurações da Política serão aplicadas a estação. A vantagem desta forma de Deploy é justamente poder configurar o FCS de forma simples em estações que não pertencem a um domínio.

Verificando o sucesso do Deploy

Para verificar se o Deploy foi aplicado corretamente à uma estação, abra a console do FCS na máquina cliente e clique em Tools conforme a Figura 14:

Figura 14 – [FCS Tools]

Na tela Tools, clique em Options conforme Figura 15:

Figura 15 – [FCS Options]

Ao clicar em Options, é possível verificar que as configurações estão conforme foram configuradas na Política do FCS, e dependendo de como foram configuradas, estarão desabilitadas para o usuário, conforme Figura 16:

Figura 16 – [FCS Options Disabled]

Conclusão

Neste artigo abordamos as formas de aplicação das Políticas do FCS nas estações clientes. É importante verificar que tanto a Política do FCS quanto a aplicação da mesma, devem seguir os padrões de segurança e normas da empresa. Este artigo tem como objetivo expor as formas de aplicação das Políticas de forma que o leitor possa utilizar o que melhor se encaixa em seu ambiente.

Referências + Tópicos Relacionados

Para mais informações sobre o Microsoft Forefront Client Security, acesse:
http://admderedes.blogspot.com/search/label/ForeFront
https://www.microsoft.com/Forefront/clientsecurity.

Sobre o Autor

Vinícius R. Apolinário é Administrador de Redes e Servidores Microsoft há mais de 5 anos.
Blog: http://admderedes.blogspot.com.

arrow_up.gif Início da página