如何在Forefront中推荐定期执行任务-网络安全专区

如何在Forefront中推荐定期执行任务

作者：joyce 编辑：赵继诚 2010-04-02 00:00 来源：IT168�

　　好的工具仍然需要好的管理。如果管理跟不上，即使最好的工具也于事无补。对于Forefont这个工具也是如此。笔者认为，在实际工作中，安全人员最好定期执行如下任务。

　　一、每天要做到工作

　　安全管理人员最好每天都能够光临一下Forefront服务器，以了解Forefront服务器以及客户端运行的相关信息。具体地说，每天需要到Forefront服务器上去了解如下信息。

　　一是要查看“安全摘要”报表。通过这个报表，安全管理人员可以使用这个报表中的信息来查看客户端的连接状况(如判断是客户端是否不接受Forefront服务启动管辖);可以确认相关安全策略的应用情况(有时候可能配置错误或者人为的疏忽导致某个策略不起作用)。另外在这份报表中，还可以反映出客户端是否有恶意软件、安装状态评估扫描结果、近的当前状态等等。可以这么说，这张报表全面地反映了企业当前网络状态与客户端的安全状况。

　　二是可以进一步通过“仪表板”来进一步了解相关的信息。在仪表板中可以比较直观的显示出当前存在安全应隐患的客户端情况。最近发现的恶意软件也会在仪表板中反映出来。大部分情况下，仪表板中显示的内容与“安装摘要”中显示的内容是相同的。只是仪表板中的显示的方式更加直观而已。如果管理员要查看仪表板信息的话，可以按如下方式打开。首先登陆到管理服务器，然后点击开始菜单、选择程序、选择Forefront、选择ClientSecurity、选择控制台。然后在打开的控制台上选择仪表板选项卡即可。

　　对于每天需要执行的任务，笔者有一个小建议。也许管理员可能觉得每天登陆服务器去查看安全摘要报表，太过于麻烦。那么笔者建议可以通过报表管理器的邮件订阅功能来简化相关的操作。简单的说，就是让系统每天自动将安全摘要报表发送到管理员所指定的邮箱。如此的话，管理员不需要每次登陆服务器去查看安全摘要报表。

　　二、每个星期需要做的工作

　　以上这些工作是每天都要做的。而如下这些任务，其周期可以适当延长一点，如每个星期做一次即可。

　　一是查看服务器的更新。其实Forefront就是一个跟杀毒软件类的工具。其会根据自身的清单来判断客户端中是否有恶意软件等等。而这个清单是需要定时更行的。由于某些原因，如病毒或者网络通信故障，可能会导致Forefront无法正确完成升级工作。为此笔者认为，管理员至少需要每个星期检测一次更新部署的情况。特别是如果出现一些比较重大的恶意软件，需要及时查看安全更新的部署进度。确保服务器和客户端都使用了最新的更新。

　　二是需要查看MOM 策略，是否起效。为了简化管理的工作量，管理员会在Forefront服务器行配置一些自动通知的策略。如发现新的恶意软件或者其他相关的警报就发通知给相关的人员。有关通知的记录，包括通知的内容、通知的发送状况等等都会在Forefront服务器中一五一十的记录下来。此时管理员需要确认的是，这个MOM通知策略是否真正的生效。比较简单的判断方法，就是查看通知的发送记录，然后再询问相关的人员是否有收到相关的通知消息。有时候，一些恶意软件会故意屏蔽这些警报信息。所以每个星期检测一次MOM通知策略的工作状况，是非常有必要的。当发现通知消息没有及时的到达管理员指定的用户那里的时候，就需要查找问题的原因。看看是配置的问题还是病毒在作怪。如果一开始可以用，而中途没有经过重大的调整，那么90%以上都是恶意软件或者病毒所造成的。

　　三、每个月需要做的工作

　　在每个月的月末或者月初，安全人员最好能够做一个安全总结。分析一下这个月发现恶意软件的数量、种类、危害等等。特别是需要总结一下，哪些客户端老是收到恶意软件的光顾。然后最好追踪一下这个客户端，看看是用户的操作所造成的，还是对客户端没有采取必要的保护措施。大部分情况下，这种安全问题都是由于用户的操作不当所引起的。如用户私自使用U盘来复制文件等等。此时由于缺乏企业防火墙或者安全网关的保护，恶意软件就容易通过内部渠道来进行传播。此时就需要加强用户的安全教育。

　　四、其他的一些临时性工作

　　以上这些工作可能有一个比较固定的周期。但是也有一些工作没有固定的周期，临时性比较强。如现在某个恶意软件发作的比较厉害。其不但传播性强。而且中招的客户端会断开与Forefront的连接。当安全管理人员发现类似的恶意软件的时候，就需要每天去查看一下报表，了解客户端与服务器的连接状况。如果发现客户端与服务器断开了连接，那么就需要分析这种情况是否正常(如是客户端没有开机还是因为恶意软件将其强制断开等等)。

　　另外一个临时性工作就是当Forefront服务器检测到有恶意软件爆发时，网络安全管理需要持续追踪。简单的说，就是某个客户端如果遭受到恶意软件的攻击，并且被Forefront检测到。此时管理员就需要考虑这个恶意软件是否已经扩散到其他客户端。如果没有从全部客户端上消除这个恶意软件的话，那么以后一有机会，其就有可能回来。

　　总之，Forefront是一个很好的安全工具。其不仅可以在客户端级别保护计算机与网络的安全，而且还提供安全网关等功能，过滤进出企业网络的信息。但是好的工具，如果管理跟不上，其效果也是会打折扣的。为此笔者强烈建议，安全工作每天都不能放松。作为Forefront管理人员，需要养成一种习惯。特别是对于以上提到的一些周期性的工作，需要及时的去做。

关注我们