Forefront Server Security应用程序有什么作用呢?不少管理人员有这个疑问。简单的来说,Forefront Server Security就是一个安全管理的工具。如下图所示,在一台邮箱服务器上企业采用了Forefront产品来保护其安全性。现在如果管理员需要远程来维护这台服务器上的安全性,如查看日志信息、手工升级等等,此时就需要用到这个工具。这是一个很实用的工具。接下去笔者就给大家介绍一下这个工具在使用方面的一些技巧。
一、对操作系统的额外要求
Forefront Server Security管理员程序可以在客户端上运行,实现远程管理。也可以在本地执行,进行本地配置。不过大部分情况下,都是在客户端上运行。为了查看日志信息,管理员还用不着跑到机房去查看。为此Forefront Server Security应用程序还是在客户端上跑的时间多。
不过可能是技术方面的原因,如果要运行Forefront Server Security,必须在客户端上进行额外的配置。现在大部分的客户端采用的是XP操作系统,笔者这里就以XPSP2为例,分析一下如果要在这个平台上运行Forefront Server Security,该采取哪些额外的配置。
第一步:需要在组件服务对话框中进行额外的配置。管理员可以在运行对话框中输入“DCOMCNFG”命令来打开组建服务对话框。如下图所示。
第二步:在上面这个组件服务对话框中,依次点击“组件服务”、“计算机”,然后右键点击“我的电脑”,并在现实的菜单中选择“属性”。然后在Com安全选项卡上,找到“访问权限”下面的“编辑限制”选项。然后找到“匿名登录”用户的“远程访问”,并选择“允许”复选框。注意这一步非常重要。不过这个复选框没选中的话,这Forefront Server Security将无法正常运行。
第三步:在防火墙上进行额外的配置。如果操作系统上启用了防火墙机制,管理员必须要将Forefront Server Security应用程序添加到Windows防火墙的例外列表中去。具体的操作如下。管理员找到Windows防火墙的例外选项卡。然后单击“添加程序”,从列表中选择“FSSACLIENT”,并单击确定。此时防火墙系统就会将这个应用程序自动添加到“程序和服务”列表中去。再回过来找到“程序和服务”列表的这个应用程序,单击“添加端口”,输入端口的名字。一般情况下这个应用程序采用的是135端口,并以TCP作为其数据传输的协议。
如上配置后,Forefront Server Security就可以在XP SP2 操作系统上顺利运行,并可以连接上远程的服务器。针对以上这些配置,笔者还有如下两个小建议。
一是如果大家觉得防火墙的配置比较麻烦,其实也有一个偷懒的方法。即如果现在需要运行Forefront Server Security应用程序进行远程管理的话,可以先暂时关闭Windows防火墙功能。等到维护完成之后,再启用。如此的话,就可以不需要对防火墙进行额外的配置。不过出于安全考虑,并不建议这么操作。
二是需要注意开启135端口可能会带来额外的威胁。如果启用Windows防火墙,并需要使用Forefront Server Security应用程序的话,需要在防火墙处开启135端口。显然将这个端口为所有的计算机开发,会带来不小的安全隐患。此时出于安全考虑,可能还需要添加一个额外的限制,即只为某个特定的IP地址打开。要实现这个功能的话,可以在防火墙的“更改范围”栏目中实现。但管理员添加完135端口后,不要马上关闭对话框。在这个对话框中,有一个“更改范围”按钮。管理员单击这个按钮,并选择“自定义列表”。在这个列表中管理员可以输入合适的IP地址,从而实现这个端口只为这几个IP地址而开启。这么操作的话,这个安全隐患就被消除了。