部署Forefront是一项比较复杂的工作。因为其不仅要在服务器上进行大量的配置,而且在客户端上也有不少的工作要做。在实际工作中,笔者发现不少管理员只重视服务器的维护与配置。而对于客户端,却忽视了他们的存在。结果导致Forefront的安全防护功能大打折扣。在这篇文章中,笔者总结了在客户端上必须做的几项工作,供大家参考。
一、在客户端上配置自动更新
用过杀毒软件的用户一定知道,杀毒软件要定时更新。否则的话,杀毒软件装了就等于没装。对于Forefront来说也是如此。跟微软操作系统自动更新一样,Forefront更新也有两种方式。一是直接从互联网上进行更新。这种方式的缺陷就是更新速度慢,而且会占用大量的网络带宽,。二是在企业内部部署一台更新服务器。只有这台更新服务从互联网上下载更新包,其他客户端的话则从这台更新服务器下载所需要的更新。如下图所示。显然当企业客户端数量比较多的时候,这种更新模式更加的合理。
在这篇文章中,笔者就以这种更新模式为例,谈谈具体的配置。当企业的客户端数量比较多的时候,如果一一为每台客户端进行配置的话,则工作量显然很大。笔者的建议是,通过微软操作系统的组策略工具来实现。具体的来说,可以参考如下步骤。
第一步:组策略相关配置。笔者建议通过组策略来配置更新策略。因为这可以减少配置的工作量。Forefront也是微软大家庭的一员,完全支持组策略。管理员可以在“组策略对象编辑器”对话框中,依次打开“计算机配置”、“管理模板”、“Windows组件”,然后单击“Windows更新”。在打开的设置列表中,双击“配置自动更新”。此时系统会打开一个“配置自动更新”的对话框,选择启用即可。此时就启用了自动更新模式。不过到这里还没完。如果不进行后续设置的话,客户端默认会从互联网上下载更新包。这里笔者上面所说的不符。故还需要为客户端设置更新源。
第二步:为客户端设置更新源。请各位读者继续关注刚才打开的“设置”列表。在这个列表中可以找到一个节点“指定更新服务位置”。双击这个节点,就可以打开“指定更新服务位置对话框”。在这个对话框中,选择“启用”,然后在对应的位置中输入客户端的URL。在配置URL的时候,需要注意端口。默认的话,更新服务所采用的端口号是80或者443,分别对应的协议是HTTP或者HTTPS。两者的区别就是前者对于通信流量没有进行加密,而后者则采取了加密处理。具体的差异各位读者可以查看SSL的相关信息。笔者这里要强调的不是他们的差异,而是端口的问题。如果计算机上的这个端口关闭了(有时候出于安全的需要)或者被其他服务所占用,那么在配置客户端URL的时候,就需要明确指定所采用的端口号。也就是说,要按如下方式设置:HTTP(S)://服务器名:端口号。注意这个URL的配置直接关系到客户端的自动更新是否成功。在遇到客户端自动更新失败的时候,管理员首先要想到的就是这里的URL配置(包括端口)是否有问题。这是一种直觉或者条件反射。
第三步:正式启用。以上配置完成后,在设置列表中,找到“允许自动更新立即安装”,并双击它。然后在打开的“允许自动更新立即安装属性”对话框中,单击“启用”,并单击确定即可。
以上就是配置客户端从WSUS服务器上进行自动更新的相关步骤。笔者再次强调一下,虽然通过组策略来进行配置不是必须的。但是当客户端数量比较多的时候,笔者强烈建议通过组策略来实现。这可以减少配置的工作量以及简化后续的维护。