Forefron Client Security Kurulum – Temel Konfigurasyon – Client Security Dağıtımı

Bildiğimiz gibi artık Microsoft ,Forefront ismi altında farklı güvenlik çözümlerini biraraya getirerek sunuyor.Farklı güvenlik çözümlerinin neler olduğuna bakarsak;

-Forefront Client Security

-Forefront Server Security

-ForeFront Security for Exchange

-ForeFront Security for SharePoint

-Antigen

Forefront Edge Security

-Internet Security and Acceleration Server 2006

-IAG (Internet Application Gateway)

Görüldüğü gibi Microsoft piyasa sürdüğü bu aile ile eksiksiz bir güvenlik ağı oluşturuyor.Bu yazımızda Kurumsal masaüstü ve dizüstü bilgisayarlar ve sunucu işletim sistemleri için yönetimi ve kullanımı kolay birleştirilmiş virüs ve casus yazılım koruması olan Forefront Client Security ürününün kurulumunu ve temel konfigurasyonlarını inceleyeceğiz.

Forefront ailesi ile birlikte sunulan Forefront Client Security ile;

Kötü amaçlı yazılımlara karşı birleştirilmiş koruma sağlayabiliriz.

Varolan altyapımıza(Active Directory sunucu sistemleri) kolayca entegre edebiliriz.

Aynı zamanda Forefront Client Security Microsoft tarafından desteklenen tüm işletim sistemleri ile uyumludur ve entegre edilmiş raporlama sistemine sahiptir.Updateler WSUS aracılığı ile Windows Update’den indirilir.

Öncelikle Forefront Client Security yüklemesine geçmeden önce ön hazırlıklarımızı tamamlamalıyız.Ön hazırlıkları aşağıdaki sıraya göre tamamlamamız gerekli.(Bu aşamaları one-server topology yani tek bir sunucu topolojisine göre hazırladığımızı unutmayalım.Farklı topoloji çeşitlerini incelemek için http://technet.microsoft.com/tr-tr/library/bb404259(en-us).aspx adresini kontrol edebilirsiniz)

-IIS ve ASP.NET. kurulumu.

Control Panel/Add or Remove Programs/Add-Remove Windows Components/Application Server/Details/Internet Informatıon Services Manager/Details altında ilgili kutucukları işaretleyek kurulumu gerçekleştiririz.

-SQL Server 2005 SP2 yada SP1 kurulumu.

Bu kurulum sırasında şu componentleri kurmamız gerekli:Database Services, Reporting Services, Integration Services, ve Workstation components.

-MMC 3.0 kurulumu.

Şu adresten indirebilirsiniz.Server 2003 SP2 paketiniz yüklü ise mmc’de otomatik olarak 3.0 versiyona yükselecektir.

-GPMC – SP1 kurulumu.

Bu adresten indirebilirsiniz.

-WSUS – SP1 kurulumu.

-Client Security server sitesini Internet Explorer’da Local intranet bölgesine üye yaparız.

Burada SQL Server kurulumuna değinmeyeceğiz.Bununla ilgili ayrıntılı makaleler mevcut.Yalnız yeni kurduğunuz yada önceden kurulu olan SQL Server için doğru componentlerin kurulup kurulmadığını kontrol etmeniz faydalı olacaktır.Bunun için servislere bakabiliriz.Standart servislerin ve SQL Server Reporting Servisinin running durumda olduğunu kontrol ederiz.

Şimdi aynı sunucu üzerine Forefront Client Security kurulumuna geçelim.

-Forefront Client Security Cd’sini cd sürücüsüne yerleştirdikten sonra kurulum sihirbazını çalıştırırız.

Bu kısım topolojimize göre seçimler yapacağımız pencere.Forefront Client Security kurulumunu 6 farklı sunucuya kadar gerçekleştirebiliriz.Yukarıdaki componentlerin her birisi tek bir sunucu üzerine yüklendiğinde performans kayıpları yaşanabilir.Aynı zamanda network yapısına görede topolojimizi belirleyebiliriz.

Four-server topolojide Collection Server ve database server’ı ayrı bir sunucuya, reporting serverı ayrı bir sunucuya,management serverı diğer bir sunucuya vede distribition serverı başka bir sunucuya yükleriz.

Three-server topolojide management collection ve database’i aynı sunucuya ,reporting server ve distribiton serverı ayrı sunuculara yükleriz.Bu senaryoyu daha çok orta büyüklükteki bir organizasyonumuz varsa ve raporlama bizim için önemliyse kullanabiliriz.

Two-server topolojide tüm componentleri bir sunucuya yükleriz.Sadece distribiton serverı farklı bir sunucuya yükleriz.

One-Server topolojide ise yukarıdaki rollerin hepsini seçeriz.Her bir topoloji modeli sahip olduğumuz imkanlar için tasarlanan en iyi kompozisyonlardır.İsterseniz kısaca yukarıda seçtiğimiz her bir componentin FCS yapısındaki görevlerini inceleyelim.

Management Server:FCS konsolunu ve kurulumla birlikte gelen Mom konsolunu içerir.Yönetimsel olarak tüm fonksiyonları gerçekleştirdiğimiz yerdir.

Collection Server:Clientların gönderdikleri eventların saklandığı sunucudur.Buraya gelen bilgiler kısa bir süre burada tutulur.

Reporting Server:Collection Servera gelip kısa bir süre sonra oradan ayrılan bilgilerin tutulduğu bölümdür.Aynı zamanda burada öncelikli kurduğumuz SQL Server 2005 Reporting Server bulunur.Böylece özelliştirilmiş raporlar oluşturabilir ve bunları web arayüzü ile görüntüleyebiliriz.

Distribition Server:WSUS yüklemesini gerçekleştirdiğimiz sunucu.Bildiğimiz gibi clientlar güncelleştirmelerini Windows update üzerinden WSUS yardımıyla gerçekleştirecekler.

Next diyerek diğer ekrana geçeriz.

Bu pencerede Collection Server ile ilgili temel ayarları gerçekleştireceğiz.Collection server kısmı standart olarak computer name şeklinde gelir.Management group name kısmına bir isim verebilir yada olduğu şekilde bırakabiliriz.Yalnız bu ismi aklımızda tutmamız gerekiyor.İleride Client Securityleri dağıtırken tekrar kullanacağız.

Alt kısımda ise bizden DAS Account için kullanıcı adı ve şifre istemektedir. DAS hesabı MOM sunucusu ile ilgili bir hesap türüdür.Hatırlayacak olursak MOM 2005’de DAS hesabı aşağıdaki işlevlerden sorumluydu:

Alerts, events, performance data gibi bilgilerin OnePoint veritabanına girilmesi

OnePoint database üzerinde tutulan prosedürlerin çalıştırılması

MMPC servisinin çalıştırılması ..vb

Buraya gireceğimiz hesabın bir domain user olmasına dikkat etmeliyiz.İlgili kullanıcı adı ve parolayı girerek devam ederiz.

Bu kısımda Collection Database için bir isim ve account belirleyebiliriz.İstersek ayrı bir account belirlemek yerine bir önceki ekranda kullandığımız DAS hesabını kullanabiliriz.Burada yapacağımız bir diğer seçimde veritabanı boyutu.Burada belirlediğimiz değeri ileride istediğimiz aman değiştirebiliriz.Gerekli seçimleri yaptıktan sonra diğer ekrana geçeriz.

Bir önceki ekranda olduğu gibi burada da gerekli değerleri gireriz.Görüldüğü gibi burada max veritabanı boyutu olarak 1 terabyte gibi bir değer görünüyor.Eğer sizin için raporlama oldukça önemliyse ve bunun için yer sıkıntısı çekebileceğinizi düşünüyorsunuz yukarıdaki topoloji modellerinden 3-server modelini seçip reporting database için disk sıkıntısı çekmeyeceğiniz ayrı bir sunucu kullanabilirsiniz.Gerekli ayarlardan sonra bir sonraki ekrana geçeriz.

Bu pencerede Reporting Server ayarlarını görüyoruz.Report Server ve Report Manager “˜a web üzerinden erişebilmemizi sağlayan adresleri istersek değiştirebiliriz.Bu adresler ile web tarayıcımızı kullanarak raporları görüntüleme imkanına sahibiz.Biz olduğu gibi bırakarak devam ediyoruz.

Bu ekrandan sonra Action account kısmı geliyor.Burada da yine action işlemlerinden sorumlu olarak DAS Accountunu atayabiliriz.Bir diğer ekranda Install Location ekranı.Kurulum dizinlerini belirleriz.

Son olarak yaptığımız ayarları ve gereklilikleri kontrol eden bir pencere karşımıza gelecektir.Burada kurulumdan önce herhangi bir sorun var ise görebilir ve sorunu giderdikten sonra yükleme işlemini tamamlayabiliriz.Sağ kısımda bize sorunla ilgili neler yapılması gerektiği belirtiliyor.

Herhangi bir sorun yoksa yükleme işlemini başarıyla tamamlarız.İstersek

%Program Files%Microsoft ForefrontClient SecurityServerLogs

Altında kurulum ile ilgili server-client loglarına ulaşabiliriz.Eğer bir hata ile karşılaştıysak bu loglar yardımıyla ayrıntılı bilgiler edinebiliriz.

Kurulum işlemini sancısız gerçekleştirdiğimize göre şimdi yavaş yavaş konfigurasyon işlemlerine başlayalım. Bunun için Forefront Konfigurasyon sihirbazını çalıştırırız.Aslında bu konfigurasyon sihirbazını tamamladıktan sonra FCS ile çalışmaya başlayabiliriz.Bu sihirbazın temeldeki amacı farklı topoloji modelleri kurulumunda örneğin distribiton server’ın yerini,reporting database’in yerini management server’a belirtmektir.

Start/Programs/Microsoft Forefront/Client Security/Microsoft Forefront Client Security Console “˜u çalıştırırız.Bu alanda genel hatlarıyla konfigurasyonları gerçekleştireceğiz.

Başlangıç ekranına baktığımızda hangi pencerelerle karşılaşacağımızı görebiliriz.Dikkat edersiniz one-server topoloji kurulumu yaparken değiştirdiğimiz veya olduğu gibi bıraktığımız ayarları görebiliriz.Bunlar üzerinde ekstra bir değişiklik yapmamıza gerek yoktur.Gerektiği yerlerde kurulumda kullandığımız account bilgisini kullanacağız. Sihirbazı tamamlarken FCS varolan sunucularına erişim sağlamaya çalışacaktır.

Örneğin burada tüm sunuculara erişim sağlayabildi ama DAS Account bilgilerinin doğru olmadığını bize bildirdi.Varolan hataları View Log kısmına girerek ayrıntılı şekilde inceleyebiliriz.Tüm gereksinimleri karşıladıktan sonra konfigurasyon sihirbazını tamamlarız.

Görüldüğü gibi tüm componentler çalışır vaziyette görünüyor.Şimdi FCS ile çalışmaya başlamadan önce son bir konfigurasyon gerçekleştiririz. SystemCenterReporting üzerinde gerekli servis hesaplarına izin vermemiz gerekli.İzin vermemiz gereken hesabın ismi db_owner.Bunu SQL Server üzerinden gerçekleştireceğiz.Aşağıdaki adımları izleriz.SQL Server içerisinde ;

1. Console ağacında Security tabını genişletiriz.

2. Logins’e sağ tıklayarak New Login’e tıklarız.

3. Login dialog kutusunda ilgili hesap için giriş yaparız.

4. User Mapping’e tıklayarak Map bölümünde veritabanını seçeriz.

5. db_owner kutucuğunu işaretleyek OK deriz.

Buraya kadar gerçekleştirdiğimiz işlemler ile FSC kurulumunu one-server topology için tamamlamış bulunuyoruz.Herşeyi tam yaptığımızdan emin olmak için birkaç alanı kontrol edebiliriz.Bunun için Client Security Console’u açarak 14-day History ve diğer tablolardaki bilgileri görebildiğimizden emin oluruz.Burada bir sorun çıkıyorsa bu genellikle SQL server’a uzaktan bağlanma ile ilgili bir sorundur.Bu durumda;

SQL Server üzerinde Uzaktan erişimin aktif olup olmadığını kontrol ederiz.Bunun için ;

SQL Server Surface Area Configuration‘ı açarız.Burada Surface Area Configuration for Services and Connections‘ı tıklatırız.Surface Area Configuration for Services and Connections sayfasında, Database Engine‘i genişletip, Remote Connections‘ı açarızBu kısımda kullandığımız uygun protokolü tıklatarak OK deriz.Ardından MQSQLSERVER servisini yeniden başlatırız.

Bunun yanında SQL Server Browser servisinin çalıştığını kontrol ederiz.

Son olarakda Windows Firewall servisi açık ise gerekli izinlerin verildiğinden emin oluruz.

Tüm bu adımlar doğru yapılandırılmışsa Console içerisinde aşağıdaki gibi bir tabloyla karşılaşırız.

Yapmamız gereken diğer bir işlemde WSUS’u ayarlamak olacaktır.Çünkü FCS definition updatelerini WSUS üzerinden gerçekleştirecek.Distribution server kurulumunu yaptığımız server üzerinde WSUS consolunu açarız.İlk yapmamız gereken Synchronisation Options bölümünü açmak.

Görüldüğü gibi Forefront Client Security ürünler altında listelenmiş.İşaretleyerek yukarıdaki Classifications tabına geçeriz.

Burada güncelleştirme için sınıflandırmaları görebiliriz.Definition Updates kısmını seçerek güncel malware databaseini indirebiliriz.

WSUS ile ilgili dikkat etmemiz gereken başka bir konu senkronizasyon durumu.Standart kurulum sonrasında senkronizasyon manuel şekilde ayarlanmıştır.Bunu otomatik olarak ayarlayarak forefront client securty ürününü sürekli güncel tutabiliriz.

Şimdi Wsus’a şöyle bir kural yazmalıyız.Bu ürün ve bu kategorideki updateleri indir ve benim söylediğim bilgisayarlara dağıt.Bunun için WSUS options ekranında Automatic Approvals’ı seçeriz.Burada New Rule ile bir kural oluştururuz.

Bu ekranda görüldüğü gibi Forefront Client Security için Definition Updatelerini All Computers için approve et diyoruz.Şimdi yapmamız gereken istediğimiz bilgisayarları All Computers altına eklemek.

Bunun için WSUS altında client bilgisayarlarımızı eklememiz ve group policy ile client bilgisayarların updatelerini WSUS üzerinden gerçekleştirmesini sağlamamız gerekli.Client bilgisayarların updatelerini WSUS üzerinden almaları için ilgili OU için Group Policy ekranında aşağıdaki adımları izleriz.

Yukarıda olduğu gibi 3 policy için enabled değerini seçtik.Bu policylerden “œSpecify intranet Microsoft update service location” policysini enabled yaptıktan sonra bizden WSUS Server adresi girmemizi isteyecektir.Bu isim http://serverismi şeklinde olmalıdır.One-server bir topology kurduğumuz için distribition server’da aynı sunucu üzerindedir.Bu yüzden FCS kurulumu yaptığımız sunucunun adresini buraya girebiliriz.Bunun yanında eğer two-server topolojiyi seçmiş olsaydık baştaki FCS kurulumu sırasında Distribiton Server’ı başka bir sunucu üzerinde kurabilirdik.Buda bize performans bakımından artı olarak dönecektir.

Bu ayarıda yaptıktan sonra artık WSUS 3.0 konsolunda ilgili OU altındaki bilgisayarları görebiliriz.

Server2003 isimli bilgisayar updatelerini WSUS üzerinden gerçekleştiriyor.Bizde WSUS’a daha önceden ,Forefront Client Security ürünü için Definition Updateleri indirmesini ve All Computer altındaki bilgisayarlara dağıtmasını söylemiştik.Böylece FCS güncelleştirmeleri dağıtılmaya başlandı.

Yalnız burada dağıtım FCS sunucusunu kurduğumuz pc üzerinde gerçekleşti.Peki biz networkümüzdeki diğer terminallere FCS dağıtımı yapmak aynı zamanda güncelleştirmeleride dağıtmak istersek ne yapacağız.

Öncelikle aynı işlemi onlar içinde gerçekleştireceğiz.Hepsinin Updatelerini WSUS üzerinden yapmaları için yukarıdaki gibi policy ayarlamaları gerçekleştireceğiz.Bir diğer yapmamız gereken işlem ise Client Security’i istediğimiz bilgisayarlara yüklemek olacaktır.Bunun içinde yine Wsus ve Windows Update’i kullanacağız.Fakat bunu FCS konsolundan gerçekleştireceğiz.

FCS Consolunu açarak Policy Management tabına geliriz.New diyerek policy penceresini açarız.


Örneğin ben sunucular için ayrı bir policy oluşturdum.Burada gerekli ayarlamaları yaparak deploy işlemini gerçekleştireceğiz.Protection tabı ile devam ederiz.

Malware Protection bölümünde deploy edilecek sunucular için virus ve spyware korumasu isteyip istemediğimizi belirtiyoruz.

Malware scanning bölümünde gerçek zamanlı koruma ve tarama zamanlama ayarlarını yapabiliriz.Aynı zamanda “œRun a Quick Scan at set interval” kısmında belirli periyodlarla tarama işleminin tekrarlanmasını sağlarız.

Security State Assesment temel olarak var virus veya spyware dışında sistemimizde potansiyel risk oluşturabilecek tehlikelere karşı bizi,belirlenen kriterlere göre uyaran bir sistemdir.Örneğin belirli yamalar yüklenmemiş,boş parolalar kullanılmış gibi.Denetlemeler aşağıdaki bölümler için geçerlidir.

“¢ Windows Version check

“¢ Automatic Updates check

“¢ Security Updates check

“¢ Incomplete Updates check

“¢ Restrict Anonymous check

“¢ File System check

“¢ Autologon check

“¢ Shares check

“¢ Unnecessary Services check

“¢ Guest Account check

“¢ Administrators check

“¢ Password Expiration check

“¢ Unapproved Critical Security Updates check

“¢ Windows Firewall check

Bir nevi güvenlik asistanı diyebiliriz.Aynı şekilde SSA içinde belirli tarama metodları uygulayabiliriz. Advanced tabından devam edelim.

Üst kısımda update ile ilgili ayarlar bulabiliriz.tarama yapmadan önce update kontrolü yapılmasını,belirli süreler dahilinde update işlemini tekrarlanmasını ve WSUS ulaşılamaz olduğunda update için Windows Update’in kullanılmasını ayarlayabiliriz.

Exclusions bölümünde taramalar sırasında dışarıda tutulacak alanları belirleyebiliyoruz.Örneğin C:/ONEMLI isimli klasarü hiçbir zaman taramamasını istitorsak “œAdd” ile bu klasörü listeye ekleyebiliriz.Yan taraftada aynı şekilde uzantı bazlı bir engelleme yapabiliriz.Örneğin .doc uzantılı dosyalar taranmasın gibi.

Client options bölümünde ise istemcilerin FCS ile ilgili sahip olabilecekleri yetkileri belirleriz.

Genellikle son kullanıcı bu applicationların kullanımı için yetersiz bilgiye sahip olduğu için minumum yetki verilmesi,sadece uyarıları görüntülemesi mantıklı olacaktır.

Override bölümüde ise FCS’nin varsayılan tepkilerini değiştirebiliriz.Örneğin belirli bir malware yakaladığı zaman varsayılan olarak tepkisi kaldırmaktır.Fakat biz bunun yerine o malware’i yakaladığında karantinaya al diyebiliriz.

Son olarak reporting ayarlarını gireriz.Burada ilk ayarımız Alert Level.Bildiğimiz gibi istemciler belirli sürelerde tarama sonuçlarında alarmlar yayınlarlar.Bu alarmlar için burada 5 seviye seçebiliriz.Örneğin en üst seviyeyi seçtiğimizde tüm olaylar için alarmlar üretilirken,en alt seviyeyi seçersek ,malware bulunduğunda yada güncelleştirme gerektiğinde alarm üretilmeyecektir.

Tüm bu alarm sistemi temelde Mom altyapısını kullanmaktadır.

Orta kısımda loglama ile ilgili ayarı gerçekleştirebiliriz.

En alt kısımda ise yapımızdaki malware ve diğer risk bilgilerini SpyNet ile paylaşmamız için gerekli ayarlamaları yapabiliriz.

OK diyerek policy oluşturduktan sonra bunu deploy etmemiz gereklidir.Bunun için “œDeploy”a basarız.

Deploy işlemi için farklı metodlar kullanabiliriz.Herhangi bir OU’ya yada Gruba atayabiliriz.Aynı zamanda varolan bir GPO’ya ekleyebiliriz.”Add File” bölümünde de policy’yi .reg dosyası olarak export edebiliriz.Biz sunucular için bir policy oluşturmuştuk bu yüzden Sunucular OU’sunu seçerek ekliyoruz.

Ve deploy diyerek işlemi tamamlarız.Policy’nin hemen aktif olması için Gpupdate/Force komutunu kullanabiliriz.

Ardından Dashboard’daki raporları inceleyerek atamaların başarılı olup olmadığını görebiliriz.

Bu yöntem dışında client bilgisayarlar üzerine client security atamasını manuel olarakda gerçekleştirebilir.Örneğin yapımızda WSUS bulunmuyorsa Client bilgisayarlar üzerinde setup dosyalarını çalıştırarak atamalar gerçekleştirebiliriz.Bunun için aşağıdaki adımları izleriz

1-FCS cd’sini client bilgisayarında takarak komut istemini açarız.Şimdi client bilgisayarın versiyonuna göre dizine geçeceğiz.

o 32bit Windows çalıştıran clientlar için cd driveClient komutunu,64 bit çalıştıran için ise cd drive Clientx64 komutunu gireriz.

2. Şimdi aşağıdaki parametreleri kullanarak setup işlemine başlayabiliriz.

o /I InstallationFolder paramteresi ile yükleme dizinini belirtiriz.Varsayılan olarak bu dizin %Program FilesMicrosoft ForefrontClient Securityclient altındadır.

o /L LoggingFolder ile kurulumm esnasındaki logların tutulacağı dizini belirleriz.Varsayılan olarak bu dizin makalede de belirttiğimiz gibi %Program FilesMicrosoft ForefrontClient Securityclientlogs altındadır.

o /NOMOM mom agent dışındaki tüm kurulumları gerçekleştirmemizi sağlar.Eğer bu parametreyi kullandıysak /CG ve /MS parametrelerini kullanmamamız gereklidir.

o /CG ManagementGroup parametresi ile Management gorup ismini belirleriz.Eğer bu parametreyi kullanmazsak isim otomatik olarak Client Security tarafından atancaktır.Aynı zamanda bu parametreyi /MS parametresi ile birlikte kullanmalıyız.

o /MS CollectionServer parametresi ile yine aynı şekilde Collection Server ismini belirleriz.

o /R ile Client Security agent ve MOM agent’ı yeniden yükleriz.

3. ENTER ile kuruluma başlarız.

Kurulum ve dağıtım işlemlerini one-server topoloji için ayrıntılı bir şekilde gördük.Benzer şekilde diğer topolojileride sadece sunucu lokasyonlarını değiştirerek hayata sokabiliriz.Bir sonraki makalemizde Forefront Client Security genel yönetimi,policy uygulamaları,mobile clientların yönetimi,performans uygulamaları gibi konuları ele alacağız.

Leave a Reply

Your email address will not be published. Required fields are marked *

50 + = 56