規劃 Client Security 的部署

若要規劃將 Client Security 部署至用戶端電腦,您應了解 Client Security 的用戶端元件、部署方法與支援的語言。

Client Security 代理程式僅能安裝於符合本節要求的電腦上。

作業系統需求

下列作業系統支援 Client Security 代理程式:

  • Microsoft Windows 2000 SP4 和更新彙總套件 1
  • Windows XP SP2 (含) 以後版本
  • Windows Server 2003 SP1 (含) 以後版本
  • Windows Vista
  • Windows Server 2008
Bb418807.note(zh-tw,TechNet.10).gif附註
雖然 Client Security 支援使用 64 位元處理器的用戶端電腦,但並不支援 Itanium (IA-64) 處理器。

軟體需求

Client Security 代理程式要求每一部用戶端電腦必須具備下列軟體:

  • Windows Update Agent 2.0
  • Windows Installer 3.1

硬碟需求

Client Security 代理程式要求每一部用戶端電腦必須具備 350 MB 硬碟空間。

Client Security 用戶端元件安裝程式在每一部用戶端電腦上安裝兩個代理程式:

  • Client Security 代理程式包含兩項服務:
    • Microsoft Forefront Client Security 反惡意程式碼服務,用於掃描惡意程式碼 服務名稱是 FCSAM,其處理序是 MsMpEng.exe。
    • Microsoft Forefront Client Security 狀態評估服務,用於掃描潛在漏洞。 服務名稱是 FcsSas,其處理序是 FcsSas.exe。
  • MOM 2005 代理程式,負責收集資料並傳送到 Client Security 集合伺服器。 MOM 代理程式的服務名稱是 MOM,其兩項處理序是 MOMService.exe 與 MOMHost.exe。

此外,對於適用的作業系統,Client Security 用戶端元件安裝程式會針對 Windows XP SP2 篩選器管理員彙總套件內說明的問題而安裝 Hotfix (http://go.microsoft.com/fwlink/?LinkId=89211)(此文為機器翻譯)。

預設安裝路徑

下表指定 Client Security 用戶端元件部分的預設安裝路徑。

程式 預設安裝路徑

Client Security 代理程式

%program files%\Microsoft Forefront\Client Security\Client

反惡意程式碼用戶端

%Program Files%\Microsoft Forefront\Client Security\Client\Antimalware

Client Security 代理程式記錄檔

%program files%\Microsoft Forefront\Client Security\Client\Logs

SSA 用戶端

%program files%\Microsoft Forefront\Client Security\Client\SSA

SSA 結果檔案

%program files%\Microsoft Forefront\Client Security\Client\SSA\results

SSA 更新

%program files%\Microsoft Forefront\Client Security\Client\SSA\updates

SSA 用戶端追蹤記錄檔

%allusersprofile%\Application Data\Microsoft\Microsoft Forefront\Client Security\SSA\Logs\ssa_log 編號 .etl

MOM 2005 代理程式

%program files%\Microsoft Forefront\Client Security\Client\Microsoft Operations Manager 2005

使用 WSUS,是一個將 Client Security 用戶端元件部署至大量電腦的簡單方法。 這是用於部署用戶端元件的建議方法。

使用 WSUS 進行部署,取決於將 Client Security 原則部署至您要安裝代理程式的每一部電腦。 內嵌於 Client Security 原則的是安裝與設定用戶端元件所需的資訊,其中包括代表電腦必須使用自動更新功能以接收元件的標記。 電腦如果電腦具備 Client Security 原則,但是用戶端元件並未與其 WSUS 伺服器進行同步處理,它就會接收用戶端元件並予以安裝。

這個相同的方法也適用於將單一電腦新增至現有的部署中。 例如,如果您將電腦新增至您已部署 Client Security 原則的組織單位,新電腦會以一般的原則重新整理速率來接收群組原則。 它所接收的群組原則包含該 OU 的 Client Security 原則。 在下一次排定的自動更新同步處理時,用戶端電腦接收 Client Security 用戶端元件,並依據自動更新設定,而安裝代理程式,或通知使用者可安裝代理程式。

如需部署 Client Security 用戶端元件的詳細資訊,請參閱《Client Security 部署指南》中的部署 Client Security ()(英文)。

以 WSUS 進行部署的需求

使用 WSUS 部署用戶端需要下列各項:

  • 用戶端電腦上的自動更新設定為使用 Client Security 分佈伺服器上的 WSUS。 您可以使用群組原則,在用戶端電腦上如此設定。
  • WSUS 系統管理員已核准 [Client Update for Microsoft Forefront Client Security] 的更新。
  • 您已將 Client Security 原則部署至您要安裝 Client Security 用戶端元件的電腦。 如需規劃原則部署的詳細資訊,請參閱規劃整合到 Active Directory 環境

用戶端部署速率

兩項因素會影響用戶端部署的速度: 原則部署速率,與更新同步處理速率。

用戶端電腦在可能花費數小時的標準群組原則重新整理期間,接收 Client Security 原則。 這可能代表用戶端電腦在這段期間無法防禦惡意程式碼。 如果無法接受這種延遲,您可以執行下列之一操作,將原則立即套用至用戶端電腦:

  • 重新啟動電腦。
  • 強制執行群組原則物件重新整理:
    • 在 Windows Vista 或 Windows XP 中,執行下列命令:
      gpupdate /force
    • 在 Windows 2000 Server 中,執行下列命令:
      secedit /refreshpolicy machine_policy /enforce

自動更新於可設定的時間每日執行;但是您也可以強制用戶端電腦立即與其 WSUS 伺服器進行同步處理。 若要如此執行,請在用戶端電腦的命令提示字元上,輸入下列命令:

wuauclt.exe /detectnow

您也可以將 Client Security 用戶端元件手動部署至用戶端電腦。 在某些案例中,此部署方法可能更合適,例如:

  • 貴組織不使用 WSUS,或 WSUS 暫時無法使用。
  • 您正在建立新的作業系統安裝,而且立即需要電腦上的用戶端元件。
  • 您想要在執行支援當地語系化的 Client Security 代理程式的作業系統之電腦上,安裝英文版的 Client Security 用戶端電腦。

手動部署必須在每一部用戶端電腦上使用 Client Security CD,並以本機系統管理員權限來執行用戶端安裝程式。

如需執行手動部署的相關資訊,請參閱手動部署到每一部用戶端電腦 (http://go.microsoft.com/fwlink/?LinkId=89018)(英文)。

如果 Client Security 正在取代其它反惡意程式碼應用程式,則在將 Client Security 用戶端元件部署至該電腦之前,請確定從每一部用戶端電腦移除那些應用程式。

為了在轉換期間盡量防護用戶端電腦,建議您:

  • 移除其它反惡意程式碼應用程式之後,儘速安裝 Client Security 用戶端元件,以儘量縮短用戶端電腦無法防禦惡意程式碼的期間。
  • Client Security 用戶端元件部署至電腦之後,儘速對每一部用戶端電腦執行完整掃描。

使用 WSUS 來部署 Client Security 用戶端元件時,Client Security 會自動偵測作業系統的語言並載入當地語系化版本的 Client Security 代理程式 (若有當地語系化版本的話)。 例如,WSUS 將在執行法文版 Windows 的電腦上,安裝法文版的 Client Security 代理程式。

Client Security 代理程式提供下列語言版本:

  • 簡體中文
  • 繁體中文
  • 英文
  • 法文
  • 德文
  • 義大利文
  • 日文
  • 韓文
  • 西班牙文

若要安裝英文版的 Client Security 代理程式而非當地語系化版本,則不應該核淮 WSUS 中的更新,而應在每一台電腦上手動安裝英文版的代理程式。 如果部份電腦必須接受當地語系化版本的 Client Security 代理程式,而其他電腦則接收英文版,那麼您可能會考慮在 WSUS 中使用目標群組。 如需詳細資訊,請參閱建立電腦群組 ()(英文)。

如果您使用沒有當地語系化版本的 Client Security 代理程式的作業系統,則系統將安裝英文版。

Bb418807.note(zh-tw,TechNet.10).gif附註
對於非 FCS 當地語系化的 Windows 語言,新的安裝套件不會在 x86 Windows XP SP2 上自動安裝必要的 KB914882 更新。因此,在部署 WSUS 前,必須將正確的 OS 語言版本更新 (位於 FCS CD 媒體上的 \client 資料夾) 部署到 XP 電腦。

您應瞭解 Client Security 代理程式的下列其它語言限制:

  • 上述所有語言的 Windows 作業系統,都支援英文版的 Client Security 代理程式。 例如,您可以在執行義大利文版 Windows 的電腦上,執行英文版的 Client Security 代理程式。
  • 英文版的 Windows 作業系統,僅支援英文版的 Client Security 代理程式。 例如,您無法在執行英文版 Windows 的電腦上,執行韓文版的 Client Security 代理程式。
  • 不支援雙向語言 (例如希伯來文或阿拉伯文) 且不會安裝 Client Security 代理程式,即使更新已透過 WSUS 核淮也是如此。
顯示: