Kurulum işlemini sancısız gerçekleştirdiğinize göre şimdi yavaş yavaş konfigurasyon işlemlerine başlayalım. Bunun için Forefront Konfigurasyon sihirbazını çalıştırın. Aslında bu konfigurasyon sihirbazını tamamladıktan sonra FCS ile çalışmaya başlayabilirsiniz. Bu sihirbazın temeldeki amacı farklı topoloji modelleri kurulumunda örneğin distribiton server’ın yerini ve reporting database’in yerini management server’a belirtmektir.
1.Start/Programs/Microsoft Forefront/Client Security/Microsoft Forefront Client Security Console ‘u çalıştırın. Bu alanda genel hatlarıyla konfigurasyonları gerçekleştireceğiz.
Şekil-1
2.Başlangıç ekranına bakıldığında hangi pencerelerle karşılaşacağınızı görebilirsiniz. Dikkat ederseniz one-server topoloji kurulumu yaparken değiştirdiğiniz veya olduğu gibi bıraktığınız ayarları da görebilirsiniz. Bunlar üzerinde ekstra bir değişiklik yapılmasına gerek bulunmuyor. Gerektiği yerlerde kurulumda kullandığımız account bilgisini kullanacağız. Sihirbazı tamamlarken FCS varolan sunucularına erişim sağlamaya çalışacaktır.
Şekil-2
Örneğin bu makalede wizard ile tüm sunuculara erişim sağlayabildik fakat DAS Account bilgilerinin doğru olmadığını bize bildirdi. Varolan hataları View Log kısmına girerek ayrıntılı şekilde inceleyebilirsiniz.
Şekil-3
3. Görüldüğü gibi tüm componentler çalışır vaziyette. Şimdi FCS ile çalışmaya başlamadan önce son bir konfigurasyon gerçekleştireceğiz. SystemCenterReporting üzerinde gerekli servis hesaplarına (db_owner) izin vermeniz gerekli. Bunu SQL Server üzerinden gerçekleştirebilirsiniz. SQL Server içerisinde;
a) Console ağacında Security tabını genişletin.
b) Logins’e sağ tıklayarak New Login’e tıklayın.
c) Login dialog kutusunda ilgili hesap için giriş yapın.
d) User Mapping’e tıklayarak Map bölümünde veritabanını seçin.
e) db_owner kutucuğunu işaretleyek OK’e tıklayın.
4. Buraya kadar gerçekleştirdiğiniz işlemler ile FSC kurulumunu one-server topology için tamamlamış bulunuyoruz. Herşeyi tam yaptığınızdan emin olmak için birkaç alanı kontrol edebilirsiniz. Bunun için Client Security Console’u açarak 14-day History ve diğer tablolardaki bilgileri görebildiğinizden emin olun. Örneğin, bu noktada SQL server’a uzaktan bağlanma ile ilgili bir sorun yaşayabilirsiniz. Bu durumda, SQL Server üzerinde Uzaktan erişimin aktif olup olmadığını kontrol edin. Bunun için;
- SQL Server Surface Area Configuration’ı açın. Burada Surface Area Configuration for Services and Connections’ı tıklayın. Surface Area Configuration for Services and Connections sayfasında, Database Engine’i genişletip, Remote Connections’ı açın. Bu kısımda kullandığınız uygun protokolü tıklayarak OK’e tıklayın. Ardından MQSQLSERVER servisini yeniden başlatın.
- Bunun yanında SQL Server Browser servisinin çalıştığını kontrol edin.
- Son olarak Windows Firewall servisi açık ise gerekli izinlerin verildiğinden emin olun.
Tüm bu adımlar doğru yapılandırılmışsa Console içerisinde aşağıdaki gibi bir tabloyla karşılaşmalısınız.
Şekil-4
5. Yapmamız gereken diğer bir işlem ise WSUS’u ayarlamak olacaktır. Çünkü FCS definition updatelerini WSUS üzerinden gerçekleştirecek. Distribution server kurulumunu yaptığınız server üzerinde WSUS consolunundan Synchronize Options bölümünü açın. Görüldüğü gibi Forefront Client Security ürünler altında listelenmiş. İşaretleyerek yukarıdaki Classifications tabına geçin.
Şekil-5
6. Burada güncelleştirme için sınıflandırmaları görebilirsiniz. Definition Updates kısmını seçerek güncel malware database’ini indirebilirsiniz.
Şekil-6
7. WSUS ile ilgili dikkat etmeniz gereken başka bir konu senkronizasyon durumu. Standart kurulum sonrasında senkronizasyon manuel şekilde ayarlanmıştır. Bunu otomatik olarak ayarlayarak forefront client securty ürününü sürekli güncel tutabilirsiniz. Şimdi Wsus’a Bu ürün ve bu kategorideki updateleri indir ve benim söylediğim bilgisayarlara dağıt şeklinde bir kural yazmalısınız. Bunun için WSUS options ekranında Automatic Approvals’ı seçin ve New Rule ile bir kural oluşturun.
8. Bu ekranda görüldüğü gibi Forefront Client Security için Definition Updatelerini All Computers için approve et demeniz ve sonrasında istediğiniz bilgisayarları All Computers altına eklemeniz gerekli.
Şekil-7
9. Bunun için WSUS altında client bilgisayarlarınızı eklememiz ve group policy ile client bilgisayarların updatelerini WSUS üzerinden gerçekleştirmesini sağlamanız gerekli. Client bilgisayarların updatelerini WSUS üzerinden almaları için ilgili OU için Group Policy ekranında aşağıdaki adımları izleyin.
Şekil-8
10. Yukarıda olduğu gibi 3 policy ayarı için enabled değerini seçtik. Bu policylerden Specify intranet Microsoft update service location policy’sini enabled yaptıktan sonra sizden WSUS Server adresini girmenizi isteyecektir. Bu isim http://serverismi şeklinde olmalıdır. One-server bir topology kurduğunuz için distribition server’da aynı sunucu üzerindedir. Bundan dolayı FCS kurulumu yaptığınız sunucunun adresini buraya girebilirsiniz. Bunun yanında eğer two-server topolojiyi seçmiş olsaydınız baştaki FCS kurulumu sırasında Distribiton Server’ı başka bir sunucu üzerinde kurabilirdik. Buda bize performans bakımından artı olarak dönecekti.
11. Bu ayarıda yaptıktan sonra artık WSUS 3.0 konsolunda ilgili OU altındaki bilgisayarları bir süre sonra görebilirsiniz.
Şekil-9
12. Server2003 isimli bilgisayar updatelerini WSUS üzerinden gerçekleştiriyor. Bizde WSUS’a daha önceden, Forefront Client Security ürünü için Definition Updateleri indirmesini ve All Computer altındaki bilgisayarlara dağıtmasını söylemiştik. Böylece FCS güncelleştirmeleri dağıtılmaya başlandı. Burada dağıtım FCS sunucusunu kurduğumuz pc üzerinde gerçekleşti. Peki biz networkümüzdeki diğer terminallere FCS dağıtımı yapmak aynı zamanda güncelleştirmeleride dağıtmak istersek ne yapacağız. Öncelikle hepsinin updatelerini WSUS üzerinden yapmaları için yukarıdaki gibi policy ayarlamaları gerçekleştirin. Bir diğer yapmanız gereken işlem ise Client Security’i istediğimiz bilgisayarlara yüklemek olacaktır. Bunu FCS konsolundan gerçekleştireceğiz.
13. FCS Consolunu açarak Policy Management tabına gelip New diyerek policy penceresini açın.
Şekil-10
14. Örneğin ben sunucular için ayrı bir policy oluşturdum. Burada gerekli ayarlamaları yaparak deploy işlemini gerçekleştireceğiz. Protection tabına tıklayın.
Şekil-11
15. Malware Protection bölümünde deploy edilecek sunucular için virus ve spyware koruması isteyip istemediğinizi belirtin. Malware scanning bölümünde gerçek zamanlı koruma ve tarama zamanlama ayarlarını yapabilirsiniz. Aynı zamanda Run a Quick Scan at set interval kısmında belirli periyodlarla tarama işleminin tekrarlanmasını sağlayabilirsiniz.
16. Security State Assesment temel olarak varolan virus veya spyware dışında sisteminizde potansiyel risk oluşturabilecek tehlikelere karşı bizi, belirlenen kriterlere göre uyaran bir sistemdir. Örneğin belirli yamalar yüklenmemiş, boş parolalar kullanılmış gibi. Denetlemeler aşağıdaki bölümler için geçerlidir.
- Windows Version check
- Automatic Updates check
- Security Updates check
- Incomplete Updates check
- Restrict Anonymous check
- File System check
- Autologon check
- Shares check
- Unnecessary Services check
- Guest Account check
- Administrators check
- Password Expiration check
- Unapproved Critical Security Updates check
- Windows Firewall check
17. Bir nevi güvenlik asistanı diyebiliriz. Aynı şekilde SSA içinde belirli tarama metodları uygulayabiliriz. Advanced tabından devam edelim.
Şekil-12
18. Şekil-12’de update ile ilgili ayarlar bulabilirsiniz. Örneğin, tarama yapmadan önce update kontrolü yapılmasını, belirli süreler dahilinde update işlemini tekrarlanmasını ve WSUS ulaşılamaz olduğunda update için Windows Update’in kullanılmasını ayarlayabiliriz.
19. Exclusions bölümünde taramalar sırasında dışarıda tutulacak alanları belirleyebiliyoruz. Örneğin C:/ONEMLI isimli klasörün hiçbir zaman taranmasını istemiyorsak Add ile bu klasörü listeye ekleyebilirsiniz. Yan taraftada aynı şekilde uzantı bazlı bir engelleme yapabiliriz. Örneğin .doc uzantılı dosyalar taranmasın gibi.
20. Client options bölümünde ise istemcilerin FCS ile ilgili sahip olabilecekleri yetkileri belirleyebilirsiniz. Genellikle son kullanıcı bu applicationların kullanımı için yetersiz bilgiye sahip olduğu için minumum yetki verilmesi, sadece uyarıları görüntülemesi mantıklı olacaktır.
Şekil-13
21. Override bölümünde ise FCS’nin varsayılan tepkilerini değiştirebilirsiniz. Örneğin belirli bir malware yakaladığı zaman varsayılan olarak tepkisi kaldırmaktır. Fakat siz bunun yerine o malware yakalandığında karantinaya al diyebilirsiniz.
Şekil-14
22. Son olarak reporting ayarlarına göz atalım. Burada ilk ayarınız Alert Level. Bildiğiniz gibi istemciler belirli sürelerde tarama sonuçlarında alarmlar yayınlarlar. Bu alarmlar için burada 5 seviye seçebiliriz. Örneğin en üst seviyeyi seçtiğinizde tüm olaylar için alarmlar üretilirken, en alt seviye seçilirse, malware bulunduğunda yada güncelleştirme gerektiğinde alarm üretilmeyecektir. Tüm bu alarm sistemi temelde MOM/SCOM altyapısını kullanmaktadır. Orta kısımda loglama ile ilgili bahsettiğimiz ayarı gerçekleştirebilirsiniz.
23. En alt kısımda ise yapınızdaki malware ve diğer risk bilgilerini SpyNet ile paylaşmanız için gerekli ayarlamaları yapabilirsiniz.
24. OK diyerek policy oluşturduktan sonra bunu deploy etmeniz gereklidir. Bunun için Deploy’a tıklayın.
Şekil-15
25. Deploy işlemi için farklı metodlar kullanabilirsiniz. Herhangi bir OU’ya yada gruba atayabilirsiniz. Aynı zamanda varolan bir GPO’ya ekleyebiliriz. Add File bölümünde de policy’yi .reg dosyası olarak export edebilirsiniz. Biz sunucular için bir policy oluşturmuştuk bu yüzden Sunucular OU’sunu seçerek ekliyoruz.
Şekil-16
26. Ve deploy diyerek işlemi tamamlayın.
Ardından Dashboard’daki raporları inceleyerek atamaların başarılı olup olmadığını görebilirsiniz. Bu yöntem dışında client bilgisayarlar üzerine client security atamasını manuel olarakda gerçekleştirebilir. Örneğin yapımızda WSUS bulunmuyorsa Client bilgisayarlar üzerinde setup dosyalarını çalıştırarak atamalar gerçekleştirebilirsiniz. Bunun için aşağıdaki adımları izleyin.
27. FCS cd’sini client bilgisayarında takarak komut istemini açın ve client bilgisayarın versiyonuna göre ilgili dizine geçin. 32bit Windows çalıştıran clientlar için cd drive\Client klasörüne, 64 bit çalıştıranlar için ise cd drive\Client\x64 klasörüne gidilebilir.
28. Şimdi aşağıdaki parametreleri kullanarak setup işlemine başlayabilirsiniz.
a) /I InstallationFolder parametresi ile yükleme dizinini belirtin. Varsayılan olarak bu dizin %Program Files\Microsoft Forefront\Client Security\client altındadır.
b) /L LoggingFolder ile kurulum esnasındaki logların tutulacağı dizini belirleyin. Varsayılan olarak bu dizin makalede de belirttiğimiz gibi %Program Files\Microsoft Forefront\Client Security\client\logs altındadır.
c) /NOMOM MOM agent dışındaki tüm kurulumları gerçekleştirmemizi sağlar. Eğer bu parametreyi kullandıysanız /CG ve /MS parametrelerini kullanmamamız gereklidir.
d) /CG ManagementGroup parametresi ile Management gorup ismini belirleyebilirsiniz. Eğer bu parametreyi kullanmazsanız isim otomatik olarak Client Security tarafından atancaktır. Aynı zamanda bu parametreyi /MS parametresi ile birlikte kullanmalısınız.
e) /MS CollectionServer parametresi ile yine aynı şekilde Collection Server ismini belirleyebilirsiniz.
f) /R ile Client Security agent ve MOM agent’ı yeniden yüklemeniz mümkündür.
29. Son olarak ENTER ile kuruluma başlayabilisiniz.
Kurulum ve dağıtım işlemlerini one-server topoloji için ayrıntılı bir şekilde inceledik. Benzer şekilde diğer topolojileride sadece sunucu lokasyonlarını değiştirerek hayata sokabilirsiniz. Bir sonraki makalemizde Forefront Client Security genel yönetimi, policy uygulamaları, mobile clientların yönetimi, performans uygulamaları gibi konuları ele alacağız.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
