Forefront Endpoint Protection 2010 Tools–GPO, BPA, ConfigMgr Policies


Forefront Logo 256x256x32Στο προηγούμενο άρθρο μου σχετικά με την τελική έκδοση του Forefront Endpoint Protection 2010 (FEP 2010 για συντομία), ανέφερα ότι υπάρχει η δυνατότητα χρήσης Group Policy Objects για τη διαχείριση των πολιτικών ασφαλείας με τα σχετικά Administrative Templates, όμως είχα παρατηρήσει ότι στο πακέτο εγκατάστασης στα Technet/MSDN και πιθανότατα στη δοκιμαστική έκδοση, δεν είχαν συμπεριληφθεί τα εργαλεία για τις πολιτικές μέσω Group Policy και τα έτοιμα templates για τον Configuration Manager.

Τελικά αυτά τα εργαλεία υπάρχουν ως ξεχωριστά downloads στη διεύθυνση http://tinyurl.com/FEP2010Tools στο Microsoft Download Center, για να δούμε όμως τι περιέχει η λίστα με τα εργαλεία.

FEP Group Policy Tools (fep2010grouppolicytools-en-us.exe)

Με αυτό το εργαλείο εισάγουμε ρυθμίσεις από τα XML Policy αρχεία του FEP (παρακάτω) σε ένα GPO (Group Policy Object) στο Active Directory Domain μας ή σε τοπικό Group Policy Object.

Εκτελώντας το θα δημιουργήσει τρία αρχεία, τα δυο που απαρτίζουν τα Administrative templates FEP2010.ADMX & FEP2010.ADML και το εργαλείο Import/Export FEP2010GPTool.exe για το οποίο ακολουθεί φωτό (κλικ για μεγέθυνση):

image

Τα δυο administrative templates τα αντιγράφετε στο φάκελο %SystemRoot%\PolicyDefinitions για το FEP2010.ADMX και στον υποφάκελλο %SystemRoot%\PolicyDefinitions\en-US για το FEP2010.ADML, διαφορετικά τα αντιγράφετε στο Central Store σας στους αντιστοιχους φακέλους PolicyDefinitions και PolicyDefinitions\en-US.

Έπειτα ανοίγοντας το Group Policy Management Tool και δημιουργώντας ένα νέο GPO θα δείτε στον κλάδο “Computer Configuration > Policies > Administrative Templates > System > Forefront Endpoint Protection 2010” τις ρυθμίσεις που είναι διαθέσιμες για το FEP 2010 (κλικ στη φωτό για μεγέθυνση):

image

Εδώ λοιπόν μπορείτε να κάνετε τις ρυθμίσεις που σας ενδιαφέρουν και να εφαρμόσετε την πολιτική στα OUs που επιθυμείτε. Μπορείτε όμως απλά να δημιουργήσετε το GPO και έπειτα με το εργαλείο FEP2010GPTool.exe να εισάγετε ένα έτοιμο XML αρχείο με ρυθμίσεις για συγκεκριμένο ρόλο (θα δούμε παρακάτω τα αρχεία αυτά).

Επίσης μπορείτε να εξάγετε τις ρυθμίσεις αυτές σε ένα αρχείο XML για περεταίρω διανομή ή χρήση σε non-domain περιβάλλοντα.

Σημείωση: Για τη δημιουργία Central Store μπορείτε να δείτε και το σχετικό Screencast.

FEP Server Role Policies for Use with System Center Configuration Manager (fepserverrolepoliciesforusewithconfigmgrui.exe)

Τα αρχεία αυτά είναι πολιτικές του FEP 2010 σε μορφή XML και έχουν δημιουργηθεί ειδικά για συγκεκριμένους Server ρόλους όπως Active Directory, Exchange, Hyper-V, SQL κτλ, η εγκατάσταση του FEP για τον Configuration Manager περιλαμβάνει τα προκαθορισμένα templates τα οποία περιοδικά ανανεώνονται. Οι ρυθμίσεις τους ενεργοποιούν εξαιρέσεις και αλλάζουν διάφορες ρυθμίσεις της μηχανής Antimalware έτσι ώστε να ελαχιστοποιείται η επίδραση του FEP 2010 στο συγκεκριμένο Server ρόλο.

Για να ανανεώσετε τα templates αποσυμπιέζετε το αρχείο στη διαδρομή %programfiles%\Microsoft Forefront\Policytemplates και έχετε υπόψη σας ότι όταν ενημερώνονται τα templates θα πρέπει να ενημερωθούν χειροκίνητα οι πολιτικές που βασίζονται σε αυτά.

Οι πολιτικές αυτές μπορούν να χρησιμοποιηθούν μόνο μέσω του διαχειριστικού κλάδου για το FEP 2010 στην κονσόλα του Configuration Manager, σε κάθε αρχείο περιλαμβάνονται προκαθορισμένες ρυθμίσεις για κάθε Windows Server και ειδικές ρυθμίσεις για το συγκεκριμένο ρόλο.

Προσοχή όμως!!! Σε καμία περίπτωση δεν πρέπει να χρησιμοποιηθούν οι πολιτικές αυτές με Group Policy Objects καθώς η συνένωση τους δεν θα αποδώσει τα επιθυμητά αποτελέσματα, υπάρχουν ειδικές πολιτικές για GPOs και θα τις δούμε παρακάτω.

Στην τεκμηρίωση του FEP θα βρείτε οδηγίες για την εγκατάσταση και χρήση των αρχείων πολιτικών στο τμήμα “Policy Management”.

Λίστα των αρχείων πολιτικών για τον Configuration Manager:

  • FEP_Default_CfgMgr2007.xml
  • FEP_Default_DC.xml
  • FEP_Default_DHCP.xml
  • FEP_Default_DNS.xml
  • FEP_Default_Exchange.xml
  • FEP_Default_Exchange_FPE.xml
  • FEP_Default_File.xml
  • FEP_Default_HyperV_Host.xml
  • FEP_Default_IIS.xml
  • FEP_Default_OpsMgr2007.xml
  • FEP_Default_Server.xml
  • FEP_Default_SharePoint.xml
  • FEP_Default_SharePoint_FPSP.xml
  • FEP_Default_SQL2005.xml
  • FEP_Default_SQL2008.xml
  • FEP_Default_TermSrv.xml

FEP Server Role Policies for Use with Group Policy (fepserverrolepoliciesforusewithgpo.exe)

Ισχύει ότι και στα αρχεία πολιτικών για το FEP 2010 σε μορφή XML για χρήση από τον Configuration Manager με τις εξής διαφορές:

  1. Έχουν δημιουργηθεί για αποκλειστική χρήση μέσω του FEP 2010 Group Policy Tool, δηλαδή τα εισάγουμε σε συγκεκριμένες πολιτικές μέσω αυτού του εργαλείου.
  2. Επιτρέπεται η χρήση πολλαπλών templates σε GP Objects (συνένωση) έτσι ώστε να καλύπτονται περισσότεροι του ενός ρόλοι σε ένα Server.
  3. Οι προκαθορισμένες ρυθμίσεις για Windows Server παρέχεται σε ξεχωριστό template (FEP_Default_Server.xml).
  4. Δεν μπορούν να χρησιμοποιηθούν με τα αντίστοιχα templates για τον Configuration Manager καθώς δεν περιέχουν όλες τις ρυθμίσεις που απαιτούνται από το UI διαχείρισης πολιτικών του ConfigMgr και ενδέχεται να εμφανιστούν μηνύματα λάθους κατά την επεξεργασία τους.

Λίστα των αρχείων πολιτικών για Group Policy:

  • FEP_CfgMgr2007.xml
  • FEP_DC.xml
  • FEP_Default_Server.xml
  • FEP_DHCP.xml
  • FEP_DNS.xml
  • FEP_Exchange.xml
  • FEP_Exchange_FPE.xml
  • FEP_File.xml
  • FEP_HyperV_Host.xml
  • FEP_IIS.xml
  • FEP_OpsMgr2007.xml
  • FEP_SharePoint.xml
  • FEP_SharePoint_FPSP.xml
  • FEP_SQL2005.xml
  • FEP_SQL2008.xml
  • FEP_TermSrv.xml

Microsoft Security Support tool

Το εργαλείο αυτό συγκεντρώνει τα απαραίτητα δεδομένα που θα βοηθήσουν την ομάδα υποστήριξης της Microsoft να επιλύσει θέματα υποστήριξης.

Όταν παραστεί ανάγκη τότε εκτελέστε το εργαλείο στον προβληματικό υπολογιστή που έχει εγκατεστημένο το FEP 2010 (Server ή Client), το CAB αρχείο που θα δημιουργηθεί θα το στείλετε στην ομάδα υποστήριξης για τη διάγνωση και την επίλυση του θέματος.

FEP 2010 Best Practice Analyzer

Το εργαλείο αυτό ελέγχει τον Configuration Manager 2007 και τις ρυθμίσεις του FEP με σκοπό να εντοπίσει προβληματικές ή ελλείπεις ρυθμίσεις οι οποίες δεν επιτρέπουν τη βέλτιστη χρήση του FEP.

Για να χρησιμοποιήσετε το εργαλείο χρειάζεται να εγκαταστήσετε πρώτα το “Microsoft Baseline Configuration Analyzer (MBCA) 2.0” έπειτα θα εγκαταστήσετε το BPA και με την εκτέλεση του MBCA θα εμφανιστεί ο ακόλουθος διάλογος (κλικ για πλήρες μέγεθος) :

SNAGHTML31e01450

Αυτά για τα εργαλεία του FEP 2010, μέχρι το επόμενο post να είστε καλά και καλή χρονιά!

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s