Kurulum iÅŸlemini sancısız gerçekleÅŸtirdiÄŸinize göre ÅŸimdi yavaÅŸ yavaÅŸ konfigurasyon iÅŸlemlerine baÅŸlayalım. Bunun için Forefront Konfigurasyon sihirbazını çalıştırın. Aslında bu konfigurasyon sihirbazını tamamladıktan sonra FCS ile çalışmaya baÅŸlayabilirsiniz. Bu sihirbazın temeldeki amacı farklı topoloji modelleri kurulumunda örneÄŸin distribiton server’ın yerini ve reporting database’in yerini management server’a belirtmektir.

Bölüm-1’e ulaÅŸmak için tıklayınız!

Start/Programs/Microsoft Forefront/Client Security/Microsoft Forefront Client Security Console ‘u çalıştırın. Bu alanda genel hatlarıyla konfigurasyonları gerçekleÅŸtireceÄŸiz.

Åžekil-1

1.    BaÅŸlangıç ekranına bakıldığında hangi pencerelerle karşılaÅŸacağınızı görebilirsiniz. Dikkat ederseniz one-server topoloji kurulumu yaparken deÄŸiÅŸtirdiÄŸiniz veya olduÄŸu gibi bıraktığınız ayarları da görebilirsiniz. Bunlar üzerinde ekstra bir deÄŸiÅŸiklik yapılmasına gerek bulunmuyor. GerektiÄŸi yerlerde kurulumda kullandığımız account bilgisini kullanacağız. Sihirbazı tamamlarken FCS varolan sunucularına eriÅŸim saÄŸlamaya çalışacaktır.

Åžekil-2

2.    ÖrneÄŸin bu makalede wizard ile tüm sunuculara eriÅŸim saÄŸlayabildik fakat DAS Account bilgilerinin doÄŸru olmadığını bize bildirdi. Varolan hataları View Log kısmına girerek ayrıntılı ÅŸekilde inceleyebilirsiniz.

Åžekil-3

3.    GörüldüÄŸü gibi tüm componentler çalışır vaziyette. Åžimdi FCS ile çalışmaya baÅŸlamadan önce son bir konfigurasyon gerçekleÅŸtireceÄŸiz. SystemCenterReporting üzerinde gerekli servis hesaplarına (db_owner) izin vermeniz gerekli. Bunu SQL Server üzerinden gerçekleÅŸtirebilirsiniz. SQL Server içerisinde;

a)    Console aÄŸacında Security tabını geniÅŸletin.

b)    Logins’e saÄŸ tıklayarak  New Login’e tıklayın.

c)    Login dialog kutusunda ilgili hesap için giriÅŸ yapın.

d)    User Mapping’e tıklayarak Map bölümünde veritabanını seçin.

e)    db_owner kutucuÄŸunu iÅŸaretleyek OK’e tıklayın.

4.    Buraya kadar gerçekleÅŸtirdiÄŸiniz iÅŸlemler ile FSC kurulumunu one-server topology için tamamlamış bulunuyoruz. HerÅŸeyi tam yaptığınızdan emin olmak için birkaç alanı kontrol edebilirsiniz. Bunun için Client Security Console’u açarak 14-day History ve diÄŸer tablolardaki bilgileri görebildiÄŸinizden emin olun. ÖrneÄŸin, bu noktada SQL server’a uzaktan baÄŸlanma ile ilgili bir sorun  yaÅŸayabilirsiniz. Bu durumda, SQL Server üzerinde Uzaktan eriÅŸimin aktif olup olmadığını kontrol edin. Bunun için;

ü  SQL Server Surface Area Configuration'ı açın. Burada Surface Area Configuration for Services and Connections'ı tıklayın. Surface Area Configuration for Services and Connections sayfasında, Database Engine'i geniÅŸletip, Remote Connections'ı açın. Bu kısımda kullandığınız uygun protokolü tıklayarak OK’e tıklayın. Ardından MQSQLSERVER servisini yeniden baÅŸlatın.

ü  Bunun yanında SQL Server Browser servisinin çalıştığını kontrol edin.

ü  Son olarak Windows Firewall servisi açık ise gerekli izinlerin verildiÄŸinden emin olun.

Tüm bu adımlar doÄŸru yapılandırılmışsa Console içerisinde aÅŸağıdaki gibi bir tabloyla karşılaÅŸmalısınız.

Åžekil-4

5.    Yapmamız gereken diÄŸer bir iÅŸlem ise WSUS’u ayarlamak olacaktır. Çünkü FCS definition updatelerini WSUS üzerinden gerçekleÅŸtirecek. Distribution server kurulumunu yaptığınız server üzerinde WSUS consolunundan Synchronize Options bölümünü açın. GörüldüÄŸü gibi Forefront Client Security ürünler altında listelenmiÅŸ. Ä°ÅŸaretleyerek yukarıdaki Classifications tabına geçin.

Åžekil-5

6.    Burada güncelleÅŸtirme için sınıflandırmaları görebilirsiniz. Definition Updates kısmını seçerek güncel malware database’ini indirebilirsiniz.

Åžekil-6

7.    WSUS ile ilgili dikkat etmeniz gereken baÅŸka bir konu senkronizasyon durumu. Standart kurulum sonrasında senkronizasyon manuel ÅŸekilde ayarlanmıştır. Bunu otomatik olarak ayarlayarak forefront client securty ürününü sürekli güncel tutabilirsiniz. Åžimdi Wsus’a Bu ürün ve bu kategorideki updateleri indir ve benim söylediÄŸim bilgisayarlara dağıt ÅŸeklinde bir kural yazmalısınız. Bunun için WSUS options ekranında Automatic Approvals’ı seçin ve New Rule ile bir kural oluÅŸturun.

8.    Bu ekranda görüldüÄŸü gibi Forefront Client Security için Definition Updatelerini All Computers için approve et demeniz ve sonrasında istediÄŸiniz bilgisayarları All Computers altına eklemeniz gerekli.

Åžekil-7

9.    Bunun için WSUS altında client bilgisayarlarınızı eklememiz ve group policy ile client bilgisayarların updatelerini WSUS üzerinden gerçekleÅŸtirmesini saÄŸlamanız gerekli. Client bilgisayarların updatelerini WSUS üzerinden almaları için ilgili OU için Group Policy ekranında aÅŸağıdaki adımları izleyin.

Åžekil-8

10.  Yukarıda olduÄŸu gibi 3 policy ayarı için enabled deÄŸerini seçtik. Bu policylerden Specify intranet Microsoft update service location policy’sini enabled yaptıktan sonra sizden WSUS Server adresini girmenizi isteyecektir. Bu isim http://serverismi ÅŸeklinde olmalıdır. One-server bir topology kurduÄŸunuz için distribition server’da aynı sunucu üzerindedir. Bundan dolayı FCS kurulumu yaptığınız sunucunun adresini buraya girebilirsiniz. Bunun yanında eÄŸer two-server topolojiyi seçmiÅŸ olsaydınız baÅŸtaki FCS kurulumu sırasında Distribiton Server’ı baÅŸka bir sunucu üzerinde kurabilirdik. Buda bize performans bakımından artı olarak dönecekti.

11.  Bu ayarıda yaptıktan sonra artık WSUS 3.0 konsolunda ilgili OU altındaki bilgisayarları bir süre sonra görebilirsiniz.

Åžekil-9

12.  Server2003 isimli bilgisayar updatelerini WSUS üzerinden gerçekleÅŸtiriyor. Bizde WSUS’a daha önceden, Forefront Client Security ürünü için Definition Updateleri indirmesini ve All Computer altındaki bilgisayarlara dağıtmasını söylemiÅŸtik. Böylece FCS güncelleÅŸtirmeleri dağıtılmaya baÅŸlandı. Burada dağıtım FCS sunucusunu kurduÄŸumuz pc üzerinde gerçekleÅŸti. Peki biz networkümüzdeki diÄŸer terminallere FCS dağıtımı yapmak aynı zamanda güncelleÅŸtirmeleride dağıtmak istersek ne yapacağız. Öncelikle hepsinin updatelerini WSUS üzerinden yapmaları için yukarıdaki gibi policy ayarlamaları gerçekleÅŸtirin. Bir diÄŸer yapmanız gereken iÅŸlem ise Client Security’i istediÄŸimiz bilgisayarlara yüklemek olacaktır. Bunu FCS konsolundan gerçekleÅŸtireceÄŸiz.

13.  FCS Consolunu açarak Policy Management tabına gelip New diyerek policy penceresini açın.

Åžekil-10

14.  ÖrneÄŸin ben sunucular için ayrı bir policy oluÅŸturdum. Burada gerekli ayarlamaları yaparak deploy iÅŸlemini gerçekleÅŸtireceÄŸiz. Protection tabına tıklayın.

Åžekil-11

15.  Malware Protection bölümünde deploy edilecek sunucular için virus ve spyware koruması isteyip istemediÄŸinizi belirtin. Malware scanning bölümünde gerçek zamanlı koruma ve tarama zamanlama ayarlarını yapabilirsiniz. Aynı zamanda Run a Quick Scan at set interval kısmında belirli periyodlarla tarama iÅŸleminin tekrarlanmasını saÄŸlayabilirsiniz.

16.  Security State Assesment temel olarak  varolan virus veya spyware dışında sisteminizde potansiyel risk oluÅŸturabilecek tehlikelere karşı bizi, belirlenen kriterlere göre uyaran bir sistemdir. ÖrneÄŸin belirli yamalar yüklenmemiÅŸ, boÅŸ parolalar kullanılmış gibi. Denetlemeler aÅŸağıdaki bölümler için geçerlidir.

ü  Windows Version check

ü  Automatic Updates check

ü  Security Updates check

ü  Incomplete Updates check

ü  Restrict Anonymous check

ü  File System check

ü  Autologon check

ü  Shares check

ü  Unnecessary Services check

ü  Guest Account check

ü  Administrators check

ü  Password Expiration check

ü  Unapproved Critical Security Updates check

ü  Windows Firewall check

17.  Bir nevi güvenlik asistanı diyebiliriz. Aynı ÅŸekilde SSA içinde belirli tarama metodları uygulayabiliriz. Advanced tabından devam edelim.

Åžekil-12

18.  Åžekil-12’de update ile ilgili ayarlar bulabilirsiniz. ÖrneÄŸin, tarama yapmadan önce update kontrolü yapılmasını, belirli süreler dahilinde update iÅŸlemini tekrarlanmasını ve WSUS ulaşılamaz olduÄŸunda update için Windows Update’in kullanılmasını ayarlayabiliriz.

19.  Exclusions bölümünde taramalar sırasında dışarıda tutulacak alanları belirleyebiliyoruz. ÖrneÄŸin C:/ONEMLI isimli klasörün hiçbir zaman taranmasını istemiyorsak Add ile bu klasörü listeye ekleyebilirsiniz. Yan taraftada aynı ÅŸekilde uzantı bazlı bir engelleme yapabiliriz. ÖrneÄŸin .doc uzantılı dosyalar taranmasın gibi.

20.  Client options bölümünde ise istemcilerin FCS ile ilgili sahip olabilecekleri yetkileri belirleyebilirsiniz. Genellikle son kullanıcı bu applicationların kullanımı için yetersiz bilgiye sahip olduÄŸu için minumum yetki verilmesi, sadece uyarıları görüntülemesi mantıklı olacaktır.

Åžekil-13

21.  Override bölümünde ise FCS’nin varsayılan tepkilerini deÄŸiÅŸtirebilirsiniz. ÖrneÄŸin belirli bir malware yakaladığı zaman varsayılan olarak tepkisi kaldırmaktır. Fakat siz bunun yerine o malware yakalandığında karantinaya al diyebilirsiniz.

Åžekil-14

22.  Son olarak reporting ayarlarına göz atalım. Burada ilk ayarınız Alert Level. BildiÄŸiniz gibi istemciler belirli sürelerde tarama sonuçlarında alarmlar yayınlarlar. Bu alarmlar için burada 5 seviye seçebiliriz. ÖrneÄŸin en üst seviyeyi seçtiÄŸinizde tüm olaylar için alarmlar üretilirken, en alt seviye seçilirse, malware bulunduÄŸunda yada güncelleÅŸtirme gerektiÄŸinde alarm üretilmeyecektir. Tüm bu alarm sistemi temelde MOM/SCOM altyapısını kullanmaktadır. Orta kısımda loglama ile ilgili bahsettiÄŸimiz ayarı gerçekleÅŸtirebilirsiniz.

23.  En alt kısımda ise yapınızdaki malware ve diÄŸer risk bilgilerini SpyNet ile paylaÅŸmanız için gerekli ayarlamaları yapabilirsiniz.

24.  OK diyerek policy oluÅŸturduktan sonra bunu deploy etmeniz gereklidir. Bunun için Deploy’a tıklayın.

Åžekil-15

25.  Deploy iÅŸlemi için farklı metodlar kullanabilirsiniz. Herhangi bir OU’ya yada gruba atayabilirsiniz. Aynı zamanda varolan bir GPO’ya ekleyebiliriz. Add File bölümünde de policy’yi .reg dosyası olarak export edebilirsiniz. Biz sunucular için bir policy oluÅŸturmuÅŸtuk bu yüzden Sunucular OU’sunu seçerek ekliyoruz.

Åžekil-16

26.  Ve deploy diyerek iÅŸlemi tamamlayın.

Ardından Dashboard’daki raporları inceleyerek atamaların baÅŸarılı olup olmadığını görebilirsiniz. Bu yöntem dışında client bilgisayarlar üzerine client security atamasını manuel olarakda gerçekleÅŸtirebilir. ÖrneÄŸin yapımızda WSUS bulunmuyorsa Client bilgisayarlar üzerinde setup dosyalarını çalıştırarak atamalar gerçekleÅŸtirebilirsiniz. Bunun için aÅŸağıdaki adımları izleyin.

27.  FCS cd’sini client bilgisayarında takarak komut istemini açın ve client bilgisayarın versiyonuna göre ilgili dizine geçin. 32bit Windows çalıştıran clientlar için cd drive\Client klasörüne, 64 bit çalıştıranlar için ise cd drive\Client\x64 klasörüne gidilebilir.

28.  Åžimdi aÅŸağıdaki parametreleri kullanarak setup iÅŸlemine baÅŸlayabilirsiniz.

a)    /I InstallationFolder parametresi ile yükleme dizinini belirtin. Varsayılan olarak bu dizin %Program Files\Microsoft Forefront\Client Security\client altındadır.

b)    /L LoggingFolder ile kurulum esnasındaki logların tutulacağı dizini belirleyin. Varsayılan olarak bu dizin makalede de belirttiÄŸimiz gibi %Program Files\Microsoft Forefront\Client Security\client\logs altındadır.

c)    /NOMOM  MOM agent dışındaki tüm kurulumları gerçekleÅŸtirmemizi saÄŸlar. EÄŸer bu parametreyi kullandıysanız /CG ve /MS parametrelerini kullanmamamız gereklidir.

d)    /CG ManagementGroup parametresi ile Management gorup ismini belirleyebilirsiniz. EÄŸer bu parametreyi kullanmazsanız isim otomatik olarak Client Security tarafından atancaktır. Aynı zamanda bu parametreyi /MS parametresi ile birlikte kullanmalısınız.

e)    /MS CollectionServer parametresi ile yine aynı ÅŸekilde Collection Server ismini belirleyebilirsiniz.

f)     /R ile Client Security agent ve MOM agent’ı yeniden yüklemeniz mümkündür.

29.  Son olarak ENTER ile kuruluma baÅŸlayabilisiniz.

Kurulum ve dağıtım iÅŸlemlerini one-server topoloji için ayrıntılı bir ÅŸekilde inceledik. Benzer ÅŸekilde diÄŸer topolojileride sadece sunucu lokasyonlarını deÄŸiÅŸtirerek hayata sokabilirsiniz. Bir sonraki makalemizde Forefront Client Security genel yönetimi, policy uygulamaları, mobile clientların yönetimi, performans uygulamaları gibi konuları ele alacağız.

Bu konuyla ilgili sorularınızı http://mshowto.org/forum linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

Forefront Client Security