Microsoft Forefront Client Security 为商务台式计算机、便携式计算机和服务器操作系统提供易于管理和控制的统一恶意软件保护。Forefront Client Security 采用全球已有数百万人在使用的同样高度成功的 Microsoft 保护技术,帮助防止新出现的威胁(如间谍软件和 rootkit)以及传统威胁(如病毒、蠕虫和特洛伊木马)。Forefront Client Security 提供通过中心管理实现的简化管理,并提供对威胁和漏洞的重要探查能力,帮助您保护您的业务,更有信心和效率。Forefront Client Security 与现有的基础结构软件(如 Active Directory)集成,并补充其他 Microsoft 安全技术,提供更好的保护和控制。
域环境:
1台DC服务器:域控服务器
1台FCS服务器(Windows Server 2003)+SQL05服务器+WSUS服务器:FCS服务端,数据库服务器和更新服务器(域成员服务器)
FCS服务器端不支持Windows Server 2008哦
帐户admin是域管理权限
SQL05的安装我这就简单介绍下,为什么不安装SQL2008或2008R2呢?因为FCS不支持SQL 2008,FCS SP1依然不支持SQL 2008,当然安装SQL 2005也需要安装IIS角色,记得打上SQL 05 SP2补丁哦
在安装SQL2005之前需要安装IIS角色及启用ASP.NET和.net3.0:
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796606WxOp.png"></a>
然后开始安装SQL05:
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796619vhTL.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796623PSWx.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796636wvaM.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796647aUHw.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796649FhOu.png"></a>
这里我选择SQL的安装路径
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796652sSF8.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796657Ttpl.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796659US0r.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796661Xas8.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796663hMZY.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796665qkWo.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796670zi4Y.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796678k7Oz.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796680dkiE.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796682ZMIL.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796683AEMM.png"></a>
安装完以后记得打SP2,目前SQL05最新的SP补丁是SP4:
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_131479668653Sr.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796688JWNS.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796691Dwa3.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796692g4H2.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796694CrY1.png"></a>
别忙着重启,我们还需要改个地方:
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796696PopK.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796697LssL.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796699jXWZ.png"></a>
我们在重启前修改下SQL连接协议
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796711nAuZ.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796713Eg4s.png"></a>
确定以后就可以重启服务器!
然后把下面的代码保存成批处理文件双击以管理员身份运行打开防火墙上SQL的相关端口:
@echo ========= SQL Server Ports ===================
@echo Enabling SQLServer default instance port 1433
netsh firewall set portopening TCP 1433 "SQLServer"
@echo Enabling Dedicated Admin Connection port 1434
netsh firewall set portopening TCP 1434 "SQL Admin Connection"
@echo Enabling conventional SQL Server Service Broker port 4022
netsh firewall set portopening TCP 4022 "SQL Service Broker"
@echo Enabling Transact-SQL Debugger/RPC port 135
netsh firewall set portopening TCP 135 "SQL Debugger/RPC"
@echo ========= Analysis Services Ports ==============
@echo Enabling SSAS Default Instance port 2383
netsh firewall set portopening TCP 2383 "Analysis Services"
@echo Enabling SQL Server Browser Service port 2382
netsh firewall set portopening TCP 2382 "SQL Browser"
@echo ========= Misc Applications ==============
@echo Enabling HTTP port 80
netsh firewall set portopening TCP 80 "HTTP"
@echo Enabling SSL port 443
netsh firewall set portopening TCP 443 "SSL"
@echo Enabling port for SQL Server Browser Service's 'Browse' Button
netsh firewall set portopening UDP 1434 "SQL Browser"
@echo Allowing multicast broadcast response on UDP (Browser Service Enumerations OK)
netsh firewall set multicastbroadcastresponse ENABLE
SQL安装完以后我们就可以安装WSUS:
安装WSUS之前需要安装IIS和.net功能及BITS功能
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796716R8L1.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796722fkdg.png"></a>
安装WSUS需要安装Microsoft Report Viewer Redistributable 2008,因为我们部署的WSUS是最新的WSUS3.0 SP2,之前的SP1需要Microsoft Report Viewer Redistributable 2005 SP1
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796724cGCL.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_131479672514n3.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796727SkWF.png"></a>
安装好了就可以安装WSUS了
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796729rVRs.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796731XZMz.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796732pHRU.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796735tHrg.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796736hFsH.png"></a>
我们需要选择第二个,因为我们本机安装SQL 2005 SP4,如果选择第一个是在没有SQL的情况下,WSUS自己给此服务器安装个免费版的SQL,数据库大小有限制,不能超过4G,但对于一般中小企业来说,只用WSUS这个简化版的免费SQL足够了
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796738EIlT.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796740IbKW.png"></a>
如果选择默认网站,那么客户端连接WSUS进行更新的端口默认就是80,但我这不想用80端口,所以选择创建WSUS网站,这时会用到8530端口
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796741nXJs.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796747Pifx.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796748PSi1.png"></a>
安装好WSUS以后如果您需要安装FCS的分发服务器角色,那么需要先进行同步哦,否则安装此角色会报错
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796750Xf32.png"></a>
放入FCS安装光盘
然后开始部署FCS服务器端:
我的FCS系统为Windows Server 2003 x32位
首先我们需要安装IIS角色与.net3.0以及gpmc,之前安装WSUS我们已经安装过了,所以这里不用再安装了。
我们这里只需要安装下组策略管理就可以了
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796756nv1B.png"></a>
然后我们开始安装:
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796758gQFY.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796764KFXp.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796767sOHv.png"></a>
接受许可协议
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796768RZmj.png"></a>
大家可以仔细阅读右侧的安装方式,根据您企业的环境来部署最合适的结构,这里写得非常详细,我这为了简单,所以是所有角色都安装在一台服务器上
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796770JBuY.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796773yyNH.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796776wdeE.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_13147967783uW8.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796779YZCG.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796781NGZr.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796783QTdd.png"></a>
建议的内存大小是4G以上和2个以上CPU,我这忽略继续下一步
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_13147967886WJv.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796790UwcA.png"></a>
检测全部通过,我们可以继续下一步开始安装
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796792y6pA.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796795Rwbc.png"></a>
等待安装完成吧,我们打开控制台还需要配置下
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796797mbhl.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796798OVC8.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796800KXpB.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796802Dump.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796803tufU.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796805ejos.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796813rMRs.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796815ZCjS.png"></a>
如果您遇到如下问题:
<b>在部署 Windows Server 2008 上的 Forefront 客户端安全 (FCS) 策略时,将引发异常</b>
当您将一个 FCS 策略部署到组织单位 (OU) 就会引发异常,并且未部署该策略。
<b>在部署到用户选项卡的 Windows Server 2008 上一个 FCS 策略时将引发异常</b>
Windows Server 2008 上的组策略对象 (GPO) 在 浏览 对话框中都有一个 用户 选项卡。在 Windows Server 2003 中不存在此选项卡。如果您部署一个 FCS 给用户或组策略,则将引发异常。
<b>部署到现有 GPO FCS 策略限制到特定的域控制器 (DC)</b>
部署到现有 GPO FCS 策略与一个特定 DC 相关联。如果 DC 停止使用,不能更改或取消部署该策略。
那么就参考微软此KB:
<a href="http://support.microsoft.com/kb/951951/zh-cn">http://support.microsoft.com/kb/951951/zh-cn</a>
FCS的下一个版本是FEP2010了,但FEP2010没有单独的控制台,安装FEP的服务端就必须在环境中部署了SCCM 2007的前提下才可以部署FEP2010服务端了!
如果您的Windows 7需要安装SP1,那么注意了,FCS的客户端会存在兼容性问题,建议您在对WINDOWS 7安装SP1前卸载FCS,然后安装最新的FEP2010客户端。
FCS客户端分发安装可以采用WSUS和手动安装:
如果采用WSUS安装,无论您的机器是加域还是未加域,只需要把更新连接位置指向我们的此服务器即可实现安装。当然还需要注意一下几点:
确保WSUS更新服务器的FCS审批通过
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796817aVoM.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796819TeEZ.png"></a>
虽然审批过了,但不一定客户端能获取到,那是因为我们还需要配置相关策略哦:
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796821sGy1.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796824PMpH.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796826IyR9.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796829PFd0.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796830dtR9.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_131479683225xQ.png"></a>
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_13147968340P0g.png"></a>
如果没有更新提示,您可以运行下面的命令行要求客户端马上向 WSUS 检测更新:
Wuauclt /detectnow
如果是第一次使用 WSUS ,可能还会提示先安装一些 WSUS 自身的更新,如 KB938759 等。请安装这些更新后再检测 FCS 更新
如果没有WSUS,那么可以采用手动安装手动指定FCS管理服务器地址:
1. 将 FCS 安装光盘的 /Client 目录拷贝到客户端,在命令行中执行:
Clientsetup.exe /MS FCSServer /CG ForefrontClientSecurity
其中, /MS 后面的参数是 FCS 收集服务器的名字 FCSServer , /CG 后面的参数是管理组的名称 ForefrontClientSecurity ,都是在之前安装 FCS 服务器的时指定的。
2. 稍等几分钟,它会提示安装成功。
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_13147968375C7b.png"></a>
如果未加域的机器则可以采用手动安装向Windows update进行更新,安装方法如下:
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796854GsXk.png"></a>
如果是64位就导航到x64文件下运行里面的clientsetup进行安装:
<a href="http://rdsrv.blog.51cto.com/attachment/201108/31/2996778_1314796889MKcc.png"></a>
本文转自 ZJUNSEN 51CTO博客,原文链接:http://blog.51cto.com/rdsrv/655193,如需转载请自行联系原作者
![在DOS下运行不了ipconfig命令[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)