Forefront Client Security

Доброе время суток! Я работаю журналистом в одном из новых издательств и как раз ныне пишу статью по подобной Вашей тематике! Не могли бы Вы дать разрешение на публикацию Вашего материала в нашем печатном изданииб естественно с указанием ссылки на данную статью! Заранее благодарен!

На моем ресурсе комменты проходят премодерацию, прямые ссылки не публикуются. Спамеры, не напрягайтесь!

«Чтобы проверить, корректно ли установились Reporting Services, пробуем зайти IE (с отключенным режимом Enhanced Security) на адрес http://localhost/Reports/. Если ошибок нет, то продолжаем. Если есть, пишите в комментарии.»

Здравствуйте, открывается с ошибками:

Не удается найти требуемую страницу
Запрошенная страница удалена, переименована или временно недоступна.

Режим Enhanced Security отключил.

Запустите диспетчер IIS, откройте веб сайт по умолчанию. В нем должны быть созданы приложения Reports и ReportServer. Если их нет, значит установка компонента Reporting из состава SQL Server’a прошла некорректно. Попробуйте переустановить этот компонент.

В случае дальнейших проблем, пишите сюда. Обещаю отвечать быстрее ;)

Да, в диспетчере IIS нет данных приложений, не очень точно понял что значить переустановить Report Service, в установке и удалении программ выбрал пункт «изменить» и в процессе установки поставил флажок напротив Reporting Service, но это не помогло…
Если существенно, то FCS я решил разворачивать уже на существующем сервере W2k3r2sp2rus x32, на нем уже настроен боевой WSUS (без использования SQL) и в управлении IIS есть приложение Администрирование WSUS

Верно, в уст/удал программ нужно изменить состав компонентов SQL Server’a, напоминаю, что версия должна быть не ниже Standard. Насколько знаю, если предварительные требования для Reporting Services не выполнены, то и установка их не пойдёт. Если этот компонент доступен для установки, то его нужно сконфигурировать автоматически, на IIS веб-сайт по умолчанию и т. п.

Также есть возможность после установки «пуске» зайти в Reporting Services Configuration, в этой утилите можно и вручную настроить многие параметры, в том числе и приложения IIS.

Добрый день, спасибо за статью. Возник вопрос: Security Essentials можно использовать на предприятии или нет? не важно что он не управляем из единого центра. В моём WSUS 3 sp1 для него есть уже несколько обновлений за май.

Security Essentials разрешается использовать только на домашних компьютерах.

Использование в любых организациях — нарушение лицензионного соглашения.

Если хочется сэкономить, то можно использовать FCS в организации без сервера управления.

Здравствуйте. Не могу установить клинскую часть приложения. Ставлю с помощью команды wuauclt /detectnow, в начале шкала загрузки заполняется потом установщик сообщает что приложение не установлено, других антивирусных программ на компьютере не установлено, скажите в чем может быть проблема ????

Какая версия клиентской ОСи? Сервиспаки?

Из стареньких ОСей поддерживаются эти: Windows 2000 SP4 or later, Windows XP SP2 or later, Windows Server 2003 SP1.

Argon Проблема решена спасибо… Просто была отключена служба «Планировщик заданий».

Рад помочь, но кто бы мог подумать, что в планировщике беда ;)

[…] оригинал статьи […]

И снова здравствуйте. Установил и настроил FCS согласно официальной документации на сайте Microsoft (http://technet.microsoft.com/ru-ru/library/bb432630.aspx).
FCS прекрасно «деплоится» на рабочие станции через политики, но почему-то в Microsoft Client Security Management Console не отображается информация о компьютерах, находящихся под управлением. Все индикаторы стоят на 0%, в графике 14-day history написано «No Data» (при этом в консоли администратора MOM компьютеры с агентами видны). При попытке запустить сканирование на компьютерах с уже установленными агентами внизу появляется ошибка с надписью «Could not start the scan for all managed computers. No Client Security Management servers were discovered in the MOM «Microsoft Forefront Client Security Collector» computer group».

Подскажите пожалуйста, где искать причину этой проблемы, сам в официальной документации не нашел.

Как я понял, MOM работает, а вот в самом сервере FCS компов нет. В MOM-е компы появились как полноправные, или как pending? Если pending, то нужно одобрить их, тогда счетчик защищенных компов в консоли FCS должен увеличиться.

Компьютеры находятся в группе Agent-managed computers, такое впечатление, что нет связи между MOM и FCS Management Console

Эти роли на одном компе? Если нет, то можно посмотреть фаэрволл.

Если на одном компе обе роли, перезапусти комп или соотв службы, посмотри в логи, может какие ошибки будут писаться.

На одном сервере все, перезагружал уже не один раз его.
При попытке посмотреть отчеты политики (правой кнопкой на политике, View reports), в IE открывается страница, на которой присутствуют надписи: Ошибка: невозможно отобразить вложенный отчет.

Ну а в логах системы и приложений есть ли что интересное, это первое место, куда надо смотреть.

Какая ОСь? Есть ли на компе еще что-нибудь «лишнее»? Пробовал ли переставить FCS? Были ли ошибки при установке FCS?

Роли на одном компьютере, посмотрел в журнал ошибок, нашел событие 10006 от FcsSas

Я нашел пост на английском языке, где описывается та же самая проблема с этой ошибкой, человек пишет, что он просто удалил FCS, затем воспользовался каким-то toolkit для чистки и снова установил fcs (http://social.technet.microsoft.com/Forums/en-US/Forefrontclientsetup/thread/7c6f46cb-6bb4-4118-88e4-2ca63632df21).
Только не понятно, что же за toolkit он использовал.

Наверно имеется в виду Windows Installer CleanUp. Полезная штука в некоторых случаях, например если прога удалилась не полностью и это не даёт переустановить её заново.

Что-то я ее на могу найти на сайте Microsoft/

Ага, они пишут

While the Windows Installer Cleanup utility resolved some installation problems, it sometimes damaged other components installed on the computer. Because of this, the tool has been removed from the Microsoft Download Center.

Но в Гугле найти можно. На крайняк у меня в запасах есть.

Вышлите пожалуйста на почту.
Я начал переустанавливать Forefront и у меня происходит ошибка 1603 при установке MOMReporting

Вышлите, пожалуйста, если можно.

narod.ru/disk/22380318000/msicuu2.exe.html

я решил тоже переустановить, но теперь в процессе установки появляется ошибка 1603 на этапе установки MOM Reporting. Поиск этой ошибки в Интернете пока ни чего не дал (могу выслать лог установки).

Я никого не расстрою если скажу, что это чудо не ставится с SQL2008 (ни экспресс, ни стандарт — ни с каким). Not supported

В журнале событий я нашел ошибку с кодом 10005 источник — MSIInstaller, нашел статью с описанием данной ошибки — http://support.microsoft.com/kb/922337, где говорится, что эта проблема связана с тем, что установка производится на сервер, где запущена 32-битная версия SQL Server 2005, советуют запустить MOMreporting.msi отдельно с ключом, но этот вариант мне не подходит, т.к. после установки MOMreporting, именно в процессе установки FCS, идет установка других компонентов FCS которые тоже нужны.

Вдобавок, теперь еще и при установке FCS пишется, что компонент Collection Database уже установлен, хотя базу OnePoint я удалял.
Утилита msicuu2 не показывает, что на сервере установлено, что-то относящееся к MOM или FCS.

В общем я вернулся к исходному состоянию -при повторной установке FCS MOMReporting отказывается устанавливаться с ошибкой MAinEngineThread is returning 1603.

Ой, столько мук ;) Все компоненты FCS (реестр, файлы, базы данных) вычистил и такая ошибка случается? В таком случае в системе что-то не ладно. Всеж таки напиши версии, разрядности и сревиспаки винды, скл, фреймоворка и т. п.

Поднять чистую виртуалочку под сервер FCS нет возможности?

Приветствую!
Если сейчас «тестирую» в таком виде:
установил на тестовый сервер серверную часть, на нем же деплой сделал.
и раскидываю через него на тестируемые машины.
в дальнейшем планирую установить на другой сервер, и собственно хотелось бы, чтобы машины с уже установленным клиентом оказались в репортах и базах mom боевого сервера.
1.к безболезненно провест подобное?

или же не заморачиваться и просто ставить с ключом /nomom, в таком случае надо деплой в reg файл, тогда идут у меня вопросы:
2.1 какие файлы нужны для установки клиента на машину? подразумеваю, что машины xp sp2 рус(большинство уже sp3).
2.2 reg.файл просто в нужное OU в AD запихнуть, как скрипт логон для ПК?

1. В консоли FCS создаются магические групповые политики, которые содержат необходимые параметры для развертывания клиентов FCS.

Предполагаю, что если тестовые политики потом заменить на боевые, то клиенты боевой сервер подхватят.

Но возможно, что придется на списке компов какую-нить команду по сети выполнить (типа регистрации в МОМ-е)

2.1 Нужен WSUS, для ручной установки можно скачать с Windows Update Catalog последнюю версию Client Security.
2.2 Консоль FCS делает создают политику, которая содержит настройки реестра.

Проблемы решились после полной переустановки SQL и FCS.
Очень много гуглил и задавал вопросы на Течнете, но особо дельных ответов там не увидел.
Вот ссылка, может быть кому-то полезно будет.

Argon, скажите, я правильно понял, что если компьютер в домен не включен, то отчеты на сервер управления он отсылать и управляться этим сервером не будет, даже если клиента развернуть на этом компьютере с использованием fcslocalpolicytool?
Есть ли какой-нибудь способ управления таким компьютером через сервер управления?

Если кому-то интересно, то вот мой опыт работы с FCS на данный момент:

http://social.technet.microsoft.com/Forums/ru-RU/forefrontru/thread/01829ee8-8af7-4d73-a916-8e743d94324e

Не могу согласится со всем написанным в указанной ветке на Технете. Лично я внедрил FCS на двух предприятиях, нигде не было серьезных проблем, при условии что разворачивалось на чистые компы. С настройками исключений тоже особых проблем не наблюдал, и хочу подчеркнуть необходимость этих настроек на серверах, чтобы избежать диких тормозов.

Следует учесть, что FCS — именно Client Security, а не All-In-One. То есть FCS защищает именно клиентов, а периметр сети — Forefront TMG, почту Forefront for Exchange. И т. п.

1. На падение производительности жалуются разные пользователи и те, и с недавно установленной ОС, и с давно установленной (но, согласитесь, переустанавливать из-за антивируса ОС на 300 компах это too much).
2. Пока что я заметил, что на тормоза не жалуются пользователи с объемом оперативной памяти больше гигабайта.
3. По поводу добавления исключений, сделаны они очень не удобно — в Overrides можно добавить только один отдельно взятый файл, без указания конкретного пути, а в Exclusions from Malware scan, наборот, можно добавить файл с определённым путём, а отдельно сам файл — нельзя, что создает большие неудобства.
4. Как раз-таки на 3-х серверах стоит FCS, никаких «специфических» исключений не добавлено и падения производительности на них не наблюдается (опять же, на каждом из них более 1 Гб. оперативной памяти).

Я прекрасно понимаю, что FCS защищает именно клиентские машины, а не периметр сети, или почту, не понимаю, к чему Вы это написали.

Не подскажете ли — нужно ли для повышения производительности добавлять в исключения какие-то определенные системные файлы на рабочих станциях?

Константин,
1, 2. Насчет падения производительности — пользователи действительно жалуются, я их приучил по приходу на работу включать компьютеры и идти пить чай. FCS тормозит компы сразу после запуска, потом затихает. Видимо собирает Security Assessment State и прочее.
3. Согласен, неудобно, по маске не умеет. Но в этом и какая-никакая защита от подлога есть.

Исключения на рабочих станциях… Например если есть какое-то определенное интенсивно юзаемое приложение, которое генерит/обрабатывает файлы, вот его и добавлять.

В общем удалось выяснить, что основное зависание происходило в 13 часов дня, когда по расписанию запускалась проверка scan security state assesment (почему-то в политиках ее можно либо отключить, либо включить сканирование в заданные часы каждый день, включить сканирование в определенный день, как Malware Scanning нельзя). И, что самое интересное, пользователи, у которых остановлен 1 Gb оперативной памяти, на зависание при этом сканировании ни сколько не жаловались!

Так же, я нашел на официальном сайте Microsoft рекомендации по добавлению в исключения определенных системных файлов ОС и серверных приложений, в зависимости от ролей конкретного сервера (http://support.microsoft.com/kb/943556), которые Microsoft рекомендует добавить в исключения антивирусных приложений для повышения производительности. Любопытно, что ни одному антивирусу это особо не требуется, кроме антивируса производства самих Microsoft.

По поводу добавления интенсивно используемых приложений в исключения возникает вопрос, если все интенсивно используемые приложения будут добавлены в исключения, то что же будет тогда сканировать сам FCS, и как же это скажется на защите в конечном счете?

Особенно порадовала Ваша фраза на счет чая :)
Интересно, Microsoft не прилагает бесплатно подписку на чай?
А то покупать его для 300 пользователей контора разорится, боюсь.

P.S.: Я посчитал и выяснил, что увеличивать всем оперативную память до 1 Gb по стоимости получится цена того же самого Kaspersky Business Space Security, на который денег изначально пожалели и решили сэкономить.

Про исключения я приводил ссылку на ту же статью ранее, причем актуальны эти сведения для любых антивирусов, не только MS. На раб станциях добавления в исключения каких-попало приложений и папок просто лишит защиты. Под интенсивно используемым приложением можно считать редактор видео, большую файловую базу данных типа одинэски.

По моим наблюдениям все равно никто в начале раб дня не работает в полную силу, время на раскачку уходит, тот же чай пьют…

хочу спросить. блы компьютер с одним именем и на нем клиент. переименовал компьютер, но в том же домене стоит. а теперь в MOM старое имя отображается тоже. но уже как unmanaged. как этот компьютер исключить? т.е. чтобы не болталась эта запись.

В MOM-e есть возможность удалять управляемые компьютеры из админ-консоли. Думаю, для восстановления управления над переименованным компом можно сделать так: удалить запись из MOM-а, удалить компоненты MOM и FCS с клиентского компа, затаем FCS сам поставиться через политики и пропишется везде по-новой.

откуда инсталляция идет, когда компьютер применяет политику в AD на установку? в смысле, на сервере у меня в раделе D лежит дистрибутив. от туда? или из каталога program files на самом сервере. как понимаю в приципе идет инсталляция msi.

Политика вносит в реестр хитрые изменения, после которых комп у WSUS начинает запрашивать дистрибутив FCS как обновление.

ааа. то есть, сам сервер имеют лишь пограничную задачу. типа политика. и база мом, я так понимаю?

Привет. Вопрос такой: ранее в организации был развернут FCS, настроено несколько политик. так получилось, что перенести как положено сервер FCS не удалось. Новая установка была выполнена «с нуля», но с таким же именем группы управления. В итоге клиенты подхватились и все работает как положено, с ранее настроеными политиками, но самих политик в консоли управления FCS ессно не появилось. Вопрос собственно — можно ли уже развернутые политики каким то образом импортировать на новый сервер управления? Заранее спасибо)

При установке любой из компонент:
[21.10.2010 8:55:15] Task(Install ***** Server Component) в логах пишется ошибка:

The following process failed.
Process: C:\WINDOWS\system32\msiexec.exe
Exit code: 1639Number of tasks completed: [21.10.2010 8:55:15]

Хотя проверку проходит со всеми «зелеными» галочками и начинается установка.

Подскажите, в чем может быть проблема.

Еще нашел по поводу низкой производительности:

Падение производительности наблюдается на компьютерах, где обрабатываются большие файлы (например локально лежат базы 1С и т.д.). Еще: на одном «тормозящем» компьютере я выполнил поиск файлов по размеру более 50 Mb, в результате этого поиска нашелся ряд больших файлов (более 100 Mb) с расширением tmp, лежащих в системных папках, после того, как я их удалил, компьютер стал работать заметно быстрее.

Я не нашел, как добавить в исключения большие файлы (более * Mb, как это зачастую реализовано в традиционных антивирусах), уважаемый Argon, Вы не знаете — возможно ли это? Если возможно, то как?

Max,

Вопрос собственно – можно ли уже развернутые политики каким то образом импортировать на новый сервер управления? Заранее спасибо)

Подозреваю, что нет. Думаю, их идентификаторы хранятся в базе данных FCS, и по этим идентификаторам он узнает, что они «свои». В вашем случае, можно либо пересоздать политики, либо ковырять базу.

LMcom,
Похоже на ошибку в Windows Installer. Проверьте, запущена ли установка с правами администратора, не выполняется ли сейчас другая установка, либо ранее выполнялась установка, требующая перезагрузки.

Константин,
Тоже как-то хотел воспользоваться такой функцией, не нашел. Тут, видимо, и лень разработчиков, и следование политикам повышенной безопасности, чтобы ничего не пропустить.

Насчет баз 1С и прочих БД — их, конечно, в первую очередь в исключения надо добавлять.

Нравится мне такая политика — как ограничить проверку файлов по размеру, так извините, ни чего пропускать нельзя, а как файлы баз данных и прочее, так добавить в исключения. Что же тогда останется на проверку, если большинство исполняемых и обрабатываемых файлов добавлено в исключения?!
Argon, это претензии не к вам, а просто возмущение вслух, возглас отчаяния, так сказать…

проясните, что-то запутался.
если в ou определен шаблон из deploy для установки.
и допустим мне не нужно ставить/присутствие агента mom, мне надо отдельно разворачивать ou и там уже впихнуть установку msi? но опять же мне нужны предустановки работы антивируса на ПК (как-то исключения и настройки работы и т.д.)
или поможет из административной консоли установка/удаление агента?

Стандартным образом FCS разворачивается только с агентом MOM-a. Без него можно установить, используя ключ /nomom. При этом не будет собираться статистика по работе антивируса, но настройки через групповую политику будут применяться.

а что подразумевается под «настройки через групповую политику будут применяться»?

это?
http://technet.microsoft.com/en-us/library/bb418783.aspx
а тот, что из Deploy .reg не подойдет уже?

Верно, групповая политика обновляет указанные ветки реестра. А в deploy.reg полагаю инфра, чтобы комп начал запрашивать пакет клиента FCS у WSUS-а, а не настройки самого клиента.

Здравствуйте, Argon.
У меня следующий вопрос:
При открытии отчета о любом зараженном компьютере (в IE) в поле Alert Details появляется надпись «Ошибка: невозможно отобразить вложенный отчет» — в чем тут может быть проблема?

Пока пользовался FCS, не наблюдал такой проблемы. Вероятнее всего проблема либо в Reporting Services (не может запросить или отобразить данные из SQL, смотреть в логах), либо в IE (скрипты отключены или еще чего).

Приветствую еще раз!
Такой вопрос, как бы исключить из проверки примонтированные диски сетевые, да и в целом сетевые ресурсы на клиентах?

Как пишут MS на форумах, в исключения можно добавлять записи типа \\server\share, а также известные буквы для сетевых дисках (типа s:). Хочу подчеркнуть, что не стоит добавлять такие популярные буквы, как z:, y:, x:, а только проверенные, которые мапятся через групповую политику.

Также в статье «Forefront Client Security unexpectedly scans files that are stored in network locations when you perform a full scan of a client computer» есть ссылка на хотфикс, который позволяет не сканировать сетевые файлы, на которые ссылаются ярлыки на локальном компе.

про буквы оже не понятно…
для примера на сервере FCS примонтировал диск, такой же как у пользователей.
но вот как понять что работает сей метод?

Проверить работу антивируса можно тестовым вирусом EICAR.

Приветствую!
Такая ерундень случилась в технете писал но пока тихо:
суть такова, обнаружил что на сегодня последние обновления для клиентов FCS в сети от

13.06.11

Client Version: 1.5.1996.0
Engine Version: 1.1.6903.0
Antivirus definition: 1.105.1849.0
Antispyware definition: 1.105.1849.0

Машины с MOM, сервер FCS работает, в логах вроде подозрительного нет, политику раздает на OU (сейчас еще раз переназначил для подстраховки).

На сервере WSUS и вручную синхронизацию делал и так по плану тоже идут обновления (другие не касаемый антивируса), и в состоянии компьютеров пишет, что требуется установить для указанных компьтютеров: Обновление определения для Microsoft Forefront Client Security – БЗ977939 (Определение 1.105.2020.0)

выбираю в антивирусе обновиться, пишет, мол нету доступных.

Я бь в первую очередь убедился в следующем: нашел во всусе это обновление поиском, затем убедился, что оно одобрено и закачено. Также, проверил бы автоодобрения.

Затем запустил ручной поиск обновлений Windows на клиентах, если не найдёт, то курить взаимодействие клиентов и всус.

Также, может пока рано драматизировать, база мома обновляется ммееедленно.

да все это я сразу проверил, изменений нет.
единственно, чо смущает в евенте вылезло, мол в базе SQL (SystemCenterReporting)не хватало места для какой-то процедуры. увеличил место.
перегрузился, вышло единственное с ошибкой:
The Agent incoming queue data submission has been blocked. This may indicate that queue does not have sufficient space or is unavailable to accept data.
Management Group: ForefrontClientSecurity

может все это влиять? тогда что предпринять дальше дальше

Влиять, конечно, может, ведь из репортинга эти данные о клиентах извлекаются. Нужно убедиться, что места достаточно на диске, так и база не заблокирована от дальнейшего роста и записи.

Наблюдаю дальше на клиентах присуствует:
The agent could not connect to the MOM Server srv-1. The error reported is ‘Подключение не установлено, т.к. конечный компьютер отверг запрос на подключение.’. Verify the management group name is correct, the MOM Server is running, that it is listening on port 1270, and that any firewalls between this agent and the MOM server are configured to pass TCP and UDP traffic on port 1270.

srv-1 — сервер.

От клиентов знаем, что серер отклоняет запрос (но сервер они таки находят, значит в политики применяются). Теперь можно копать на сервере, почему он запросы отвергает… Логи смотреть, возможно, аудит безопасности включить.

Как вариант, попробовать накатить новый агент на чистую машину, или переустановить на старой. Посмотреть, как оно себя поведёт.

на тестовой машине поудалял сначала mom, — все также.
после — удалил сам клиент и mom полностью, с сервера удалил все записи об этой машине в Mom 2005 adm.console с wsus пошла установка клиента и агента. но теперь клиент совсем старый, и база соответсвенно не обновлена…
в adm.console комп появился нормально.

клиент совсем старый, и база соответсвенно не обновлена

Если на всусе с аппрувами все в порядке, то клиент и базы, сам понимаешь, должны обновлятся.

в adm.console комп появился нормально

То, что клиент появился в консоли, говорит о том, что связь с МОМом имеется, аутентификация проходит.

А с другими клиентами какая-то беда. Может, базы мом-а попробовать из бекапа откатить?

Либо удалить из мома остальные компы, чтобы они перерегистрировались? Тренироваться, конечно, сперва сделав бэкап.

странное дело было вчера.
вывел тестовый комп из группы установки FCS, развернул с nomom, также все осталось.
утром сегодня как и все подхватил новые обновления. что случилось с wsus как понимаю за эти три дня, что такое произошло, именно с обновлениями для антивирусов. буду надеятся, что такое не произойдет более.