规划 Forefront Client Security 部署

Client Security 代理只能安装在符合本部分要求的计算机上。

操作系统要求

下列操作系统支持 Client Security 代理：

• 带 SP4 的 Microsoft Windows 2000 和更新汇总 1
   
• Windows XP SP2 或更高版本
   
• Windows Server 2003 SP1 或更高版本
   
• Windows Vista
   
• Windows Server 2008
   

注意
虽然 Client Security 支持采用 64 位处理器的客户端计算机，但不支持 Itanium (IA-64) 处理器。

软件要求

Client Security 代理要求每台客户端计算机安装下列软件：

• Windows Update Agent 2.0
   
• Windows Installer 3.1
   

硬盘要求

Client Security 代理对于每台客户端计算机需要 350 MB 硬盘空间。

 Client Security 客户端组件安装程序所安装的软件

Client Security 客户端组件安装程序将在每台客户端计算机上安装两种代理：

• 一种是 Client Security 代理，它包括两项服务：
  
  • Microsoft Forefront Client Security Antimalware Service，用于扫描恶意软件。 其服务名称为 FCSAM，进程为 MsMpEng.exe。
     
  • Microsoft Forefront Security State Assessment Service，用于扫描潜在的漏洞。 其服务名称为 FcsSas，进程为 FcsSas.exe。
     
• 另一种是 MOM 2005 代理，用于收集数据并将其发送到 Client Security 收集服务器。 MOM 代理的服务名称是 MOM，它的两个进程分别是 MOMService.exe 和 MOMHost.exe。
   

此外，对于适用的操作系统，Client Security 客户端组件安装程序将针对 Windows XP SP2 的筛选器管理器汇总包中描述的问题安装修补程序，网址为 http://go.microsoft.com/fwlink/?LinkId=89211。

默认安装路径

下表为 Client Security 客户端组件的部件指定了默认安装路径。

程序	默认安装路径
Client Security 代理	%program files%\Microsoft Forefront\Client Security\Client
反恶意软件客户端	%Program Files%\Microsoft Forefront\Client Security\Client\Antimalware
Client Security 代理日志	%program files%\Microsoft Forefront\Client Security\Client\Logs
SSA 客户端	%program files%\Microsoft Forefront\Client Security\Client\SSA
SSA 结果文件	%program files%\Microsoft Forefront\Client Security\Client\SSA\results
SSA 更新	%program files%\Microsoft Forefront\Client Security\Client\SSA\updates
SSA 客户端跟踪日志	%allusersprofile%\Application Data\Microsoft\Microsoft Forefront\Client Security\SSA\Logs\ssa_log 数值 .etl
MOM 2005 代理	%program files%\Microsoft Forefront\Client Security\Client\Microsoft Operations Manager 2005

 使用 WSUS 进行客户端部署

使用 WSUS 是一种将 Client Security 客户端组件部署到大量计算机的简便方法。 建议使用这种方法来部署客户端组件。

使用 WSUS 进行部署依赖于将 Client Security 策略部署到要安装代理的每台计算机。 Client Security 策略中包含了安装和配置客户端组件所需的信息，其中包括表示计算机需要使用“自动更新”功能来接收组件的标记。 如果计算机具有 Client Security 策略而其客户端组件没有与 WSUS 服务器同步，则该计算机将接收并安装客户端组件。

此方法对于将单台计算机添加到现有部署同样有效。 例如，如果将计算机添加到之前已经部署 Client Security 策略的 OU，则新添加的计算机将以定期策略刷新率接收组策略。 它接收到的组策略中包含适用于该 OU 的 Client Security 策略。 在下一次“自动更新”计划同步期间，客户端计算机将接收 Client Security 客户端组件，并根据“自动更新”设置安装代理或通知用户代理可供安装。

有关部署 Client Security 客户端组件的详细信息，请参阅《Client Security 部署指南》中的部署 Client Security，网址为http://go.microsoft.com/fwlink/?LinkId=89031。

使用 WSUS 进行部署的要求

使用 WSUS 进行客户端部署要求以下条件：

• 客户端计算机上的“自动更新”已配置为使用 Client Security 分发服务器上的 WSUS。 您可以使用客户端计算机上的组策略来配置该设置。
   
• WSUS 管理员批准了 Microsoft Forefront Client Security 的客户端更新。
   
• 您已将 Client Security 策略部署到需要安装 Client Security 客户端组件的计算机。 有关规划策略部署的详细信息，请参阅规划到 Active Directory 环境的集成。
   

客户端部署率

影响客户端部署速度的两个因素： 策略部署率和更新同步率。

在标准组策略刷新期间，客户端计算机将接收 Client Security 策略，这可能需要数小时。 这很可能意味着客户端计算机此时面临恶意软件风险。 如果此延迟太长，您可以通过执行下列操作之一来将策略立即应用到客户端计算机：

• 重新启动计算机。
   
• 强制 GPO 刷新：
  
  • 在 Windows Vista 或 Windows XP 中，运行下列命令：
    gpupdate /force
     
  • 在 Windows 2000 Server 中，运行下列命令：
    secedit /refreshpolicy machine_policy /enforce
     

自动更新每天会在可配置的时间自动发生；但是，您可以强制客户端计算机立即与其 WSUS 服务器进行同步。 为此，请在客户端计算机的命令提示符处输入下列命令：

wuauclt.exe /detectnow

 手动部署

您也可以将 Client Security 客户端组件手动部署到客户端计算机。 在某些情形中，可能更需要使用这种部署方法，例如：

• 您的组织不使用 WSUS，或 WSUS 暂时不可用。
   
• 您正在创建新的操作系统安装，并且立即需要在计算机上安装客户端组件。
   
• 您想要在运行支持本地化 Client Security 代理的操作系统的计算机上安装英文版 Client Security 客户端组件。
   

手动部署要求在每台客户端计算机上使用 Client Security CD，并使用本地管理员权限运行客户端安装程序。

有关执行手动部署的信息，请参阅手动部署到每台客户端计算机，网址为 http://go.microsoft.com/fwlink/?LinkId=89018。

 过渡到 Client Security

如果是使用 Client Security 替代其他反恶意软件应用程序，则在将 Client Security 客户端组件部署到该计算机之前，应确保已从每台计算机上删除这些应用程序。

为了在过渡期间最大限度地保护客户端计算机，建议您：

• 删除其他反恶意软件应用程序之后立即安装 Client Security 客户端组件，以尽可能缩短计算机面临恶意软件风险的时间。
   
• 将 Client Security 客户端组件部署到计算机之后，立即对每台客户端计算机运行完全扫描。
   

 Client Security 代理支持其他语言

使用 WSUS 部署 Client Security 客户端组件时，Client Security 将自动检测操作系统的语言并加载 Client Security 代理的本地化版本（本地化版本存在时）。 例如，在运行法语版 Windows 的计算机上，WSUS 将安装法语版 Client Security 代理。

Client Security 代理可使用下列语言：

• 简体中文
   
• 繁体中文
   
• 英语
   
• 法语
   
• 德语
   
• 意大利语
   
• 日语
   
• 朝鲜语
   
• 西班牙语
   

如果您要安装英语版 Client Security 代理而不是本地化版本，则不应在 WSUS 中批准更新，而应在每台计算机上手动安装英语版代理。 如果您拥有混合计算机，其中某些计算机应接收 Client Security 代理的本地化版本，其他计算机应接收英语版本，您可以考虑在 WSUS 中使用目标组。 有关详细信息，请参阅创建计算机组，网址为 http://go.microsoft.com/fwlink/?LinkId=102988。