规划 Forefront Client Security 部署

Client Security 代理只能安装在符合本部分要求的计算机上。

操作系统要求

下列操作系统支持 Client Security 代理:

  • 带 SP4 的 Microsoft Windows 2000 和更新汇总 1
     
  • Windows XP SP2 或更高版本
     
  • Windows Server 2003 SP1 或更高版本
     
  • Windows Vista
     
  • Windows Server 2008
     
Bb418807.note(zh-cn,TechNet.10).gif注意
虽然 Client Security 支持采用 64 位处理器的客户端计算机,但不支持 Itanium (IA-64) 处理器。

软件要求

Client Security 代理要求每台客户端计算机安装下列软件:

  • Windows Update Agent 2.0
     
  • Windows Installer 3.1
     

硬盘要求

Client Security 代理对于每台客户端计算机需要 350 MB 硬盘空间。

Client Security 客户端组件安装程序将在每台客户端计算机上安装两种代理:

  • 一种是 Client Security 代理,它包括两项服务:
    • Microsoft Forefront Client Security Antimalware Service,用于扫描恶意软件。 其服务名称为 FCSAM,进程为 MsMpEng.exe。
       
    • Microsoft Forefront Security State Assessment Service,用于扫描潜在的漏洞。 其服务名称为 FcsSas,进程为 FcsSas.exe。
       
  • 另一种是 MOM 2005 代理,用于收集数据并将其发送到 Client Security 收集服务器。 MOM 代理的服务名称是 MOM,它的两个进程分别是 MOMService.exe 和 MOMHost.exe。
     

此外,对于适用的操作系统,Client Security 客户端组件安装程序将针对 Windows XP SP2 的筛选器管理器汇总包中描述的问题安装修补程序,网址为 http://go.microsoft.com/fwlink/?LinkId=89211。

默认安装路径

下表为 Client Security 客户端组件的部件指定了默认安装路径。

程序 默认安装路径

Client Security 代理

%program files%\Microsoft Forefront\Client Security\Client

反恶意软件客户端

%Program Files%\Microsoft Forefront\Client Security\Client\Antimalware

Client Security 代理日志

%program files%\Microsoft Forefront\Client Security\Client\Logs

SSA 客户端

%program files%\Microsoft Forefront\Client Security\Client\SSA

SSA 结果文件

%program files%\Microsoft Forefront\Client Security\Client\SSA\results

SSA 更新

%program files%\Microsoft Forefront\Client Security\Client\SSA\updates

SSA 客户端跟踪日志

%allusersprofile%\Application Data\Microsoft\Microsoft Forefront\Client Security\SSA\Logs\ssa_log 数值 .etl

MOM 2005 代理

%program files%\Microsoft Forefront\Client Security\Client\Microsoft Operations Manager 2005

使用 WSUS 是一种将 Client Security 客户端组件部署到大量计算机的简便方法。 建议使用这种方法来部署客户端组件。

使用 WSUS 进行部署依赖于将 Client Security 策略部署到要安装代理的每台计算机。 Client Security 策略中包含了安装和配置客户端组件所需的信息,其中包括表示计算机需要使用“自动更新”功能来接收组件的标记。 如果计算机具有 Client Security 策略而其客户端组件没有与 WSUS 服务器同步,则该计算机将接收并安装客户端组件。

此方法对于将单台计算机添加到现有部署同样有效。 例如,如果将计算机添加到之前已经部署 Client Security 策略的 OU,则新添加的计算机将以定期策略刷新率接收组策略。 它接收到的组策略中包含适用于该 OU 的 Client Security 策略。 在下一次“自动更新”计划同步期间,客户端计算机将接收 Client Security 客户端组件,并根据“自动更新”设置安装代理或通知用户代理可供安装。

有关部署 Client Security 客户端组件的详细信息,请参阅《Client Security 部署指南》中的部署 Client Security,网址为http://go.microsoft.com/fwlink/?LinkId=89031。

使用 WSUS 进行部署的要求

使用 WSUS 进行客户端部署要求以下条件:

  • 客户端计算机上的“自动更新”已配置为使用 Client Security 分发服务器上的 WSUS。 您可以使用客户端计算机上的组策略来配置该设置。
     
  • WSUS 管理员批准了 Microsoft Forefront Client Security 的客户端更新
     
  • 您已将 Client Security 策略部署到需要安装 Client Security 客户端组件的计算机。 有关规划策略部署的详细信息,请参阅规划到 Active Directory 环境的集成。
     

客户端部署率

影响客户端部署速度的两个因素: 策略部署率和更新同步率。

在标准组策略刷新期间,客户端计算机将接收 Client Security 策略,这可能需要数小时。 这很可能意味着客户端计算机此时面临恶意软件风险。 如果此延迟太长,您可以通过执行下列操作之一来将策略立即应用到客户端计算机:

  • 重新启动计算机。
     
  • 强制 GPO 刷新:
    • 在 Windows Vista 或 Windows XP 中,运行下列命令:
      gpupdate /force
       
    • 在 Windows 2000 Server 中,运行下列命令:
      secedit /refreshpolicy machine_policy /enforce
       

自动更新每天会在可配置的时间自动发生;但是,您可以强制客户端计算机立即与其 WSUS 服务器进行同步。 为此,请在客户端计算机的命令提示符处输入下列命令:

wuauclt.exe /detectnow

您也可以将 Client Security 客户端组件手动部署到客户端计算机。 在某些情形中,可能更需要使用这种部署方法,例如:

  • 您的组织不使用 WSUS,或 WSUS 暂时不可用。
     
  • 您正在创建新的操作系统安装,并且立即需要在计算机上安装客户端组件。
     
  • 您想要在运行支持本地化 Client Security 代理的操作系统的计算机上安装英文版 Client Security 客户端组件。
     

手动部署要求在每台客户端计算机上使用 Client Security CD,并使用本地管理员权限运行客户端安装程序。

有关执行手动部署的信息,请参阅手动部署到每台客户端计算机,网址为 http://go.microsoft.com/fwlink/?LinkId=89018。

如果是使用 Client Security 替代其他反恶意软件应用程序,则在将 Client Security 客户端组件部署到该计算机之前,应确保已从每台计算机上删除这些应用程序。

为了在过渡期间最大限度地保护客户端计算机,建议您:

  • 删除其他反恶意软件应用程序之后立即安装 Client Security 客户端组件,以尽可能缩短计算机面临恶意软件风险的时间。
     
  • 将 Client Security 客户端组件部署到计算机之后,立即对每台客户端计算机运行完全扫描。
     

使用 WSUS 部署 Client Security 客户端组件时,Client Security 将自动检测操作系统的语言并加载 Client Security 代理的本地化版本(本地化版本存在时)。 例如,在运行法语版 Windows 的计算机上,WSUS 将安装法语版 Client Security 代理。

Client Security 代理可使用下列语言:

  • 简体中文
     
  • 繁体中文
     
  • 英语
     
  • 法语
     
  • 德语
     
  • 意大利语
     
  • 日语
     
  • 朝鲜语
     
  • 西班牙语
     

如果您要安装英语版 Client Security 代理而不是本地化版本,则不应在 WSUS 中批准更新,而应在每台计算机上手动安装英语版代理。 如果您拥有混合计算机,其中某些计算机应接收 Client Security 代理的本地化版本,其他计算机应接收英语版本,您可以考虑在 WSUS 中使用目标组。 有关详细信息,请参阅创建计算机组,网址为 http://go.microsoft.com/fwlink/?LinkId=102988。

你可能感兴趣的:(windows,Microsoft,安全,休闲,ForeFront)