部署Forefront是一项比较复杂的工作。因为其不仅要在服务器上进行大量的配置，而且在客户端上也有不少的工作要做。在实际工作中，笔者发现不少管理员只重视服务器的维护与配置。而对于客户端，却忽视了他们的存在。结果导致Forefront的安全防护功能大打折扣。在这篇文章中，笔者总结了在客户端上必须做的几项工作，供大家参考。

　　一、在客户端上配置自动更新

　　用过杀毒软件的用户一定知道，杀毒软件要定时更新。否则的话，杀毒软件装了就等于没装。对于Forefront来说也是如此。跟微软操作系统自动更新一样，Forefront更新也有两种方式。一是直接从互联网上进行更新。这种方式的缺陷就是更新速度慢，而且会占用大量的网络带宽，。二是在企业内部部署一台更新服务器。只有这台更新服务从互联网上下载更新包，其他客户端的话则从这台更新服务器下载所需要的更新。如下图所示。显然当企业客户端数量比较多的时候，这种更新模式更加的合理。

　　在这篇文章中，笔者就以这种更新模式为例，谈谈具体的配置。当企业的客户端数量比较多的时候，如果一一为每台客户端进行配置的话，则工作量显然很大。笔者的建议是，通过微软操作系统的组策略工具来实现。具体的来说，可以参考如下步骤。

　　第一步：组策略相关配置。笔者建议通过组策略来配置更新策略。因为这可以减少配置的工作量。Forefront也是微软大家庭的一员，完全支持组策略。管理员可以在“组策略对象编辑器”对话框中，依次打开“计算机配置”、“管理模板”、“Windows组件”，然后单击“Windows更新”。在打开的设置列表中，双击“配置自动更新”。此时系统会打开一个“配置自动更新”的对话框，选择启用即可。此时就启用了自动更新模式。不过到这里还没完。如果不进行后续设置的话，客户端默认会从互联网上下载更新包。这里笔者上面所说的不符。故还需要为客户端设置更新源。

　　第二步：为客户端设置更新源。请各位读者继续关注刚才打开的“设置”列表。在这个列表中可以找到一个节点“指定更新服务位置”。双击这个节点，就可以打开“指定更新服务位置对话框”。在这个对话框中，选择“启用”，然后在对应的位置中输入客户端的URL。在配置URL的时候，需要注意端口。默认的话，更新服务所采用的端口号是80或者443，分别对应的协议是HTTP或者HTTPS。两者的区别就是前者对于通信流量没有进行加密，而后者则采取了加密处理。具体的差异各位读者可以查看SSL的相关信息。笔者这里要强调的不是他们的差异，而是端口的问题。如果计算机上的这个端口关闭了(有时候出于安全的需要)或者被其他服务所占用，那么在配置客户端URL的时候，就需要明确指定所采用的端口号。也就是说，要按如下方式设置：HTTP(S)：//服务器名：端口号。注意这个URL的配置直接关系到客户端的自动更新是否成功。在遇到客户端自动更新失败的时候，管理员首先要想到的就是这里的URL配置(包括端口)是否有问题。这是一种直觉或者条件反射。

　　第三步：正式启用。以上配置完成后，在设置列表中，找到“允许自动更新立即安装”，并双击它。然后在打开的“允许自动更新立即安装属性”对话框中，单击“启用”，并单击确定即可。

　　以上就是配置客户端从WSUS服务器上进行自动更新的相关步骤。笔者再次强调一下，虽然通过组策略来进行配置不是必须的。但是当客户端数量比较多的时候，笔者强烈建议通过组策略来实现。这可以减少配置的工作量以及简化后续的维护。

　　二、禁用或者删除其他的防病毒软件

　　俗话说同行相克。在安全产品上这个真理也是生效的。前段时间金山与瑞星的相互排挤事件仍然历历在目。在安装杀毒软件的时候，如在安装瑞星的过程中，其第一步就是会检测主机上是否安装有其他的防病毒软件。如果有的话，则会建议用户先删除其他的杀毒软件，然后再进行安装。这主要是为了防止相互的冲突。根据笔者的经验，现在金山与瑞星的杀毒软件虽然可以同时安装在同一台主机上，但是会导致主机的运行速度降低，影响用户的正常使用。

　　也就是说，不同的杀毒软件都同时部署在同一台主机上，并不能够起到1+1〉2的效果。或者说，不同的防病毒软件之间并不能够形成互补。而是像不同的血型一样，会有相互排斥的效果。所以最好不要将不同公司的防病毒软件部署在同一台主机中。多一层防护服有可能是“画蛇添足”。

　　虽然从笔者的维护情况来看，forefront产品还没有出现像金山与瑞星那样的冲突情况，不过为了系统运行的稳定考虑，笔者还是建议在部署Forefront之前，先禁用或者干脆直接将客户端上的其它放病毒软件删除掉。以免出现不必要的冲突，而影响客户端操作系统的稳定性。

　　在这里笔者只是列举了在客户端维护时的两项比较重要的工作。在实际工作中，需要维护的内容远远不止这一些。如需要对客户端进行权限限制，禁止用户关闭或者删除Forefront客户端等等。有些用户会自作聪明，擅作主张将客户端关闭掉。如某个用户从网络上下了一个游戏，但是这个游戏中可能捆绑有恶意软件，客户端就会将这个游戏屏蔽掉。可是用户安全意思可能没这么高。其会认为自己在其他地方都可以玩，没有什么危害。就以为是客户端在作怪，直接将客户端关闭掉了。这就给恶意软件有了可乘之机。为此在客户端需要进行权限的限制，禁止普通用户对客户端进行维护操作，包括关闭或者删除等等操作。