Использование Forefront Client Security без консоли управления

Автор: Alexey Bogomolov

Система Forefront Client Security (FCS) обеспечивает простую в управлении единую защиту от вредоносного ПО для настольных ПК, переносных ПК и серверных операционных систем в организациях. Forefront Client Security очень надежно и эффективно защищает работу бизнес-систем благодаря упрощенному администрированию, централизованному управлению и наглядному представлению угроз и уязвимостей системы.  FCS рассчитан на организации среднего и крупного размера в связи с этим для небольших компаний (при небольшой количестве клиентов) его стоимость оказывается достаточно высокой и не может конкурировать с антивирусными решениями других производителей.

Примечание: Нужно заметить, что стоимость самого антивируса заметно ниже конкурентов, но вот цена консоли управления оказывается достаточно высокой. Дело все в том, что для полноценной работы консоли управления необходим SQLServerStandard (Express не подойдет!), следовательно, к нему необходимо приобретать клиентские лицензии в количестве равном числу пользователей, у которых установлен FCS, а это не дешевое удовольствие. Есть другой вариант – приобрести консоль управления со встроенным SQLServer, но она тоже является достаточно дорогим продуктом и при лицензировании до 100 клиентских компьютеров, совместная стоимость владения заметно проигрывает решениям других антивирусных разработчиков.

В данной статье я предложу вариант, который позволит установить Forefront Client Security без консоли управления и при этом сохранить как можно больше функций по управлению клиентами.

Установка Forefront Client Security через GPO

Для того чтобы установить FCS на компьютер, у которого нет MOM агента, необходимо запустить clientsetup.exe с ключом /NOMOM:

clientsetup.exe /nomom

Но, как известно, для установки ПО через GPO можно использовать только *.msi пакеты. Следовательно, нам нужно перепаковать clientsetup.exe /nomom в msi-пакет. Я этого делать не буду, т.к. если проанализировать содержимое папки с дистрибутивом, то можно понять, что пакет  MP_AMBITS.msi и есть установщик FCS, т.к. ещё два пакета там – это компоненты МОМ`а, а FCSSSA.msi – это Security State Assessment agent software (Программу сканирования соответствия шаблонам безопасности), остальное же – это пакеты локализации и то только для Win XP.

Для установки FCS на клиентские компьютеры необходимо сделать следующее:

• Скопировать дистрибутив в сетевую папку на файловом сервере;
• Создать OU в Active Directory;
• Создать объект групповой политики и связать его с OU;
• В объекте GPO зайти в Конфигурация компьютера – Политики – Конфигурация программ – Установка программ – Создать – Пакет;
• Выбрать файл MP_AMBITS.msi в сетевой папке;
• Указать метод развертывания – Назначенный.

Рис.1: Добавление пакета MP_AMBITS.msi в GPO.

Точно таким же образом можно развернуть Security State Assessment Service через пакет FCSSSA.msi.

Далее перезагружаем компьютер, входящий в указанную выше OU, и если все было сделано правильно наблюдаем в трее значок Forefront Client Security.

Управление Forefront Client Security через GPO

Установить FCS – это пол дела, им нужно как-то управлять. Если вы раньше пользовались Windows Defender`ом, то возможно вы были в курсе, что для этого продукта есть специальный ADM шаблон для GPO (http://support.microsoft.com/kb/927367/en-us ), через который можно было управлять настройками Defender`a. Для FCS также есть подобный шаблон, и скачать его можно по этой ссылке.

Чтобы импортировать шаблон в групповые политики нужно:

• Открыть нужный объект групповой политики – Конфигурация компьютера;
• Нажать правой кнопкой мыши на пункте Административные шаблоны;
• Выбрать Добавление или удаление шаблонов…
• Далее нажимаем кнопку Добавить и выбираем скачанный шаблон forefront.adm.

Рис.2: Добавление шаблона forefront.adm в GPO.

Если шаблон был успешно добавлен, то его политики можно будет найти в разделе Административные шаблоны – Классические административные шаблоны (ADM) – Windows Components – Microsoft Forefront:

Рис.3: Редактирование параметров Forefront Client Security

Как видно из рис.3, настроек достаточно много для удаленного конфигурирования клиентов FCS.

Модификация ADM шаблона

Если предложенных настроек не достаточно, то вы можете самостоятельно модифицировать данный шаблон. Параметры реестра, управляющие работой FCS можно взять в библиотеке TechNet по этому адресу (http://technet.microsoft.com/en-us/library/bb418783.aspx). Далее, необходимо открыть ADM шаблон в блокноте и добавить в раздел категории (после ключа CATEGORY !!ForeFrontCat) политику, например так:

POLICY !!RemovableDriveScanning_Name
	KEYNAME "SOFTWARE\Policies\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Scan"
	EXPLAIN !!RemovableDriveScanning_Explain
	;; Note that instead of disabling a disable we flip-flop the logic to make it proactive
	VALUENAME DisableRemovableDriveScanning
	VALUEON NUMERIC 0
	VALUEOFF NUMERIC 1
END POLICY

А после ключа [strings] – параметры этой политики, например такие:

	FCSCategory="Microsoft Forefront Client Security"
	RemovableDriveScanning_Name="Enabling removable drive scanning"
	RemovableDriveScanning_Explain="This setting instructs the FCS antimalware client to scan removable drives during full scans"  

Данная настройка управляет сканированием съемных дисков при проведении полного сканирования. Аналогично можно настроить другие параметры.

Заключение

В результате проделанных выше действий мы установили Forefront Client Security на компьютеры определенной OU и получили возможность централизовано управлять его настройками.

Таким образом, можно сказать, что использование FCS без консоли управления для небольших организаций обойдется значительно дешевле антивирусов других производителей, но при этом придется отказаться от функционала мониторинга.