Forefront Endpoint Protection 2010

2010-12-23, 02:53 / Argon

Как и было обещано, к концу 2010 года Microsoft выпустили Forefront Endpoint Protection 2010. Сей продукт является развитием Forefront Client Security, о котором я уже подробно рассказывал. Далее я кратко приведу значимые для меня изменения в продукте.

  • Forefront Endpoint Protection 2010 может устанавливаться только в инфраструктуру с уже развёрнутым System Center Configuration Manager 2007, R2 или R3. Это достаточно серьезное требование даже для больших организаций.
  • В отличае от FCS, установка FEP 2010 очень проста и проходит по принципу Next-Next-Next, не представляет никакой сложности для человека, осилившего установку Configuration Manager-a.
  • Клиент (само антивирусное ядро) приобрёл обновленный вид и еще больше похож на своего бесплатного собрата — Microsoft Security Essentials.
  • Автоматическое развёртывание клиентов теперь возлагается не на WSUS, а на метод Software Advertisements в Configuration Manager.
  • Единый пакет для развертывания клиентской части FEP 2010 содержит в том числе и русскую локализацию интерфейса, поэтому даже при установке английских серверных компонентов FEP 2010 на английский ConfigMgr, клиентский машины с русской версией ОС получат русский интерфейс в клиенте FEP 2010.
  • Была расширена функциональность исключений из сканирования антивирусным ядром:
    • можно добавлять типы файлов
    • разрешается использовать переменные для путей к исключаемым папкам, пример: %ExchangeInstallPath%\ExchangeOAB
    • клиент FEP, автоматический устанавливаемый на сервер с Configuration Manager-ом уже содержит преднастроенные исключения
  • Обновление антивирусных баз теперь возможно не только через WSUS и Microsoft Update, но и с файловой шары.
  • Если запустить развертывание клиента FEP 2010 на компьютере c уже установленным клиентом FCS, все компоненты FCS, в том числе агент MOM, будут предварительно удалены. Также, поддерживается автоматическое удаление других популярных на западе антивирусов.

Продолжение следует…

Полезные ссылки

Документация

Пробные версии

Настройка исключений



14 комментариев

Константин
# Комментарий от 2011-03-02, 14:57

Уважаемый Argon, скажите пожалуйста, существует ли какая-нибудь инструкция по централизованному переходу с FCS на FEP?

Argon
# Комментарий от 2011-03-02, 22:11

Есть конечно, в официальной документации: Migrating from Forefront Client Security to Forefront Endpoint Protection.

Все довольно просто. Ставим FEP, развертываем его клиентов, они удаляют FCS.

Вопрос переноса данных об инцидентах из FCS в FPE не рассматривается.

Константин
# Комментарий от 2011-05-11, 17:40

В инструкции говорится «unapprove all of the FCS client installation packages» (пункт 2). Обязательно ли это делать? Ведь в после этого на компьютеры под управлением FCS перестанут поступать актуальные обновления определений, а в случае, если процесс перехода будет продолжительным (много компьютеров в организации), то получится ситуация, что на компьютерах со старой версией антивируса (где его еще не успели обновить) база не обновляется, что в конечном итоге не очень хорошо.

Argon
# Комментарий от 2011-05-12, 10:05

Ключевые слова здесь: «client installation packages». Их и надо раз-апровить. А «definition updates», как авто-апровились, так и будет продолжать это делать.

mesmer
# Комментарий от 2011-05-30, 04:12

Приветствую!
Подскажите, как мне все же провести установку на определенные машины этого антивируса.
Создал коллекцию, там указал установку Deploing FEP 1.0
а как указать на какие машины в сети?

Как понимаю нужно, чтобы клиент SCCM установился. Но так и не понял, где именно и каким образом установить на определенные машины.

Argon
# Комментарий от 2011-05-30, 08:49

Привет! Клиент Config Manager может быть установлен многими способами: через WSUS, через Push, через GPO, руками.

После того, как клиент CM стоит, создаем коллекцию, назначаем на нее адвертайзинг FEP, включаем в коллекцию компьютеры (явным перечислением, либо по каким-то правилам)

mesmer
# Комментарий от 2011-05-30, 11:08

ладно, попробую разобраться.
а что если стоит уже существующий сервер WSUS, ну и на нем вроде как указал получать обновления FEP 2010, но так и не понял, как же клиенты будут обновляться:
— пытаться будут взять обновления с WSUS Service на сервере с SCCM (ибо требовал установку под себя как роль)
— или все же коли в ГП указан сервер WSUS (откуда уже берут обновления все машины сети), то с него и будут.

Argon
# Комментарий от 2011-05-30, 11:39

Клиенты будут получать обновления с того WSUS, который прописан в GP (то есть стандартный механизм Windows Update). Однако, прежде чем получать обновления, сам FEP должен быть установлен средствами клиента SCCM. Также клиенты FEP можно настрить так, чтобы обновления они брали из интернетов, но для локалки это не оправдано.

Кстати, удаленный WSUS можно задействовать как Site System для SCCM. Сам SCCM установки полного всуса, насколько помню не требует, а только его консоли, которая обеспечивает работу API WSUS.

mesmer
# Комментарий от 2012-01-15, 14:59

Добрый день!
Как-то я забросил тестирование FEP.
Решил опять этим заняться.
Что сделано:
установлен на тестовый win2003 SCCM SP2 R2,
не внедрял в AD (и схему не расширял),лишь в DNS запись автоматом прописалась.
выбрал границы (по IP), выбрал OU в AD, и вижу в коллекциях мой клиентский комп.
клиент как-то установился на этом компе:
но если в нем посмотреть «дополнительно», то не вижу ни записи о сайте, ни его код.
при указании Deploy FEP в логах этого компа:

«Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID
{135D7881-D666-4046-A1DF-7EC7B5785A67}»
«Поставщик PolicyAgentInstanceProvider зарегистрирован в пространстве имен WMI root\ccm\Policy\Machine с правами локальной системы. Это может привести к нарушениям зашиты, если поставщику не удастся олицетворить запрос пользователя.»
«Не найдено описание для события с кодом ( 1042 ) в источнике ( MsiInstaller ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, — дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация: C:\WINDOWS\system32\ccmsetup\{9B236306-42D4-496A-AEB3-B3B039116478}\client.msi; 4028; (NULL); (NULL); (NULL); ; .»
и собственно FEP не ставится.
что-то где-то надо подправить?

Argon
# Комментарий от 2012-01-15, 18:00

Привет!

В данном случае, думаю что все проблемы исходят от неправильной установки агента SCCM. Я бы снес текущий и сделал начисто push установку агента, с использованием доменной учетки с админскими правами на клиентской машине.

mesmer
# Комментарий от 2012-01-16, 14:59

Что-то не выходит каменный цветок.
В DNS _tcp:
запись SRV имеет порт (79)
это верно?
на компе, файл ClientLocation.log:

Требуется все же расширение?
как бы все в тестовом режиме хотелось бы погонять неск.месяцев, дабы сеть не забивать лишним. да потом все удалить или в конце кнцов на «рабочем» сервере все сделать и сайт и коллекции. на данном этапе хотелось бы пока эвалюшен версия FEP не десяток компьютеров поставить.
это расширение как я понимаю дополняет атрибуты какието в 2003 схему леса. и как понимаю есть нюансы необходимости таких шагов.
что интересно в коллекции этот компьютер есть, в поле код сайта (OBL)
Клиент — Нет
Одобрено — Н/Д
Назначено — Да

mesmer
# Комментарий от 2012-02-02, 17:59

Приветствую, продублирую сюда вопрос с технета, потому как там молчком все:

антивирус ставится на OU AD, есть в AD OU «ITC»

Суть такова, что политики я не создавал для FEP, а просто изменил в стандартных нужные значения.

В наш отдел IT тоже на некоторых машинах развернул FEP, но люди жалуются, что все под себя антивирус взял, и удаляет и т.д., а им это как бы и не нужно.

Вот поясните мне, как мне правильно сделать для нашего отдела?

мои мысли таковы:

создать новую политику (опять же с приоритетами как? или указать. что она нужна для нужной коллекции?), дабы сами пользователи могли выбирать, что удалять и т.д.

создать коллекцию под эту политику, а вот здесь тоже не понятно каким образом мне указать при создании, чтобы в ней помещались машины из этой OU. какой параметр/критерий надо указать, дабы в дальнейшем на эту коллекцию развернуть НУЖНУЮ политику.

Argon
# Комментарий от 2012-02-09, 17:32

Привет.

Создать две разные политики, одну строгую, другую с возможностью настройки пользователями.

Далее предлагаю два варианта.

1. Привязать политики к разным OU/Коллекциям.
2. Создать группы в AD, включить в них нужные учетки компьютеров, для политик использовать фильтрацию по группам.

mesmer
# Комментарий от 2012-05-15, 17:04

Приветствую!
Как мне импортировать то admx на машину.
скачал fep2010grouppolicytools-ru-ru
пытаюсь на машине импортировать, не видит admx.
собственно необходимо, чтобы пользователь мог сам делать выбор как ему поступать с нужными угрозами.

Добавить комментарий