众所周知，在企业中部署SharePoint会带来不少的安全问题，如文件泄露、未经授权的访问与非法拷贝等等问题。笔者这里推荐大家可以使用Forefront来保护SharePoint环境的安全。如下图所示。Forefront产品系列中，有专门用来解决SharePoint安全的工具，我们一般将其简称为FPSP。在这篇文章中，笔者将结合自己的项目经验，谈谈使用FPSP的一些感受。相信对各位有需要的读者会有所帮助。

　　感受一：64位与32位操作系统的不同感受

　　2010版本的Forefront其不仅支持32位操作系统的环境，而且还支持64位操作系统。不过根据笔者的工作经验，发现采用同样的配置，但是在不同的操作系统环境中，其性能会有很大的差异。根据笔者的测试，发现FPSP在64位操作系统上，性能要明显优于32位的操作系统。这也在提醒安全管理人员，可以通过将32位操作系统环境升级到64位操作系统环境，来提高Forefront产品的性能。或者说，如果企业的SharePoint环境比较复杂，有大容量的需求，而且对性能要求也比较高。在这种情况下，笔者建议大家可以考虑采用64位的操作系统环境。

　　感受二：Forefront2010与前期版本的兼容性问题

　　这里需要说明的一点是，虽然FPSP工具在以前的Forefront系统产品中也已经有了。不过在2010版本中有了很大的改善。或者说，与前面的产品有一个质的提高。这对用户来说是一件喜事。但是需要注意的是，这也带来了一系列的不兼容问题。最主要的一个兼容性问题，就是无法使用2010的管理控制台来管理早期版本的服务器。

　　也就是说，由于某种原因，安全人员只采用了2010 版本的管理控制台，而没有升级Forefront服务器，即采用的是2008或者更早以前的系统。此时需要注意，不能够使用2010的管理员控制台来管理运行这个产品的早期版本的服务器。不过对于2010版本以前的产品，则没有这个问题。所以你如果一直是FPSP的忠实追随者，那么就需要注意这个差异。这主要还是因为2010版本功能变化太大所导致的一个不兼容问题。

　　在考虑兼容性问题时，还有一个细节大家要注意。即如果SharePoint与ExchangeServer如果处于同一台服务器上的话，那么就无法在这种情形下部署FPSP。说实话，对于为什么微软会有这种限制，我到现在也搞不明白。不过大家也不需要去寻找这个深层次的答案。至需要记住这个规则即可。

　　感受三：升级方面的限制

　　FPSP跟其他Forefront产品一样，也需要注意升级问题。如果没有及时升级的话，那么这个工具就好像杀毒软件一样，可是只是一个摆设，不能起到保护的作用。不过这个升级跟其他产品的升级有所不同。特别是对于以下几点内容各位读者需要引起一定的警觉。

　　第一，如果是全新安装，而不是升级安装，则需要注意一定要下载新的定义文件已确保获得最新的更新。而且在安装过程中，系统对此也会有所限制。如在完成安装之前，系统应当至少成功更新一个引擎。否则的话，安装就会无法成功。另外对于事件日志，也会有类似的限制。如只要有些引擎没有更新完成，那么在事件日志中就会显示有错误，如“无法创建映射对象”等等。总之，更新是必要的，而且必须及时。

　　第二，在更新的时候，需要注意FPSP工具不支持客户端直接从微软网站进行更新。这一点各位管理员需要特别的注意。如像微软的操作系统，其可以直接从微软官方网站下载不补丁进行更新。管理员也可以在企业内部部署一个更新服务器来负责企业内部各个客户端的更新。而作为Froefront产品系列之中的FPSP，其只能够通过企业内部的更新服务器进行更新。为此如果要采用FPSP的话，内部的更新服务器是必需的。

　　感受四：2010版本中新增的实用功能介绍

　　笔者认为，2010版本是各个版本中变化最大的一次升级动作，增加了很多实用的功能。笔者这里就列举一些大家可能用得着的功能，供各位读者参考。

　　如在2010版本中，在扫描功能上做了不少的改。主要是增加了一些比较实用的扫描作业。如增加了计划扫描作业。管理员可以通过计划扫描作业指定在空闲的时候扫描整个数据库。再如还增加了按需扫描作业，主要用于有所选择的扫描所选的节点。默认情况下，无论是计划扫描还是按需扫描，其都会扫描所有的节点。一般情况下，都别是在线用户比较多的情况下，不建议扫描所有的节点。这会消耗服务器的资源，从而影响其它用户的正常访问。为此在启动扫描作业之前，笔者还是建议大家手动选择要扫描的用户站点。或者说，使用计划扫描功能，在服务器比较空闲的时候来扫描全部用户站点。另外如果用户站点中的内容比较多，此时可能会运行比较长的时间。这也会对用户的正常访问带来不利影响。为此对于大型站点来说，也建议使用计划扫描功能，在用户访问数量不多的情况下，对SharePoint服务器进行扫描。

　　如在适用范围上也有所改进。最重要的一点就是2010版本可以运行在64位的操作系统环境上，而且其运行的性能要比在32位的操作系统上优越。还能够支持特大级的文件，如支持500MB以上的大文件。这对于有设计图片需求的企业来说是一个福音。而且，FPSP还可以运行在虚拟平台上。这对于想学习这个工具的读者来说，是一个好消息。

　　不过需要注意的是，其在使用范围上还是受到不小的限制。如比较严重的是，其不支持某些算法，如Deflate64。由于其不支持这种算法，系统会误把有效的ZIP存档文件误认为损坏的压缩文件。

　　感受五：扫描之前先更新引擎是一把双刃剑

　　在FPSP系统中有一个选项叫做“扫描之前先更新引擎”，这是一把双刃剑。无论是在关闭这个选项还是在启用这个选项，都需要特别的注意。当选中这个选项时，当引擎更新后访问文件都会重复扫描这些文件。由于始终采用最新的定义进行扫描，为此可以实现非常好的的安全保护。在病毒爆发集中期，启用这个选项能够带来更好的安全性。

　　但是需要注意的是，这会导致重复扫描，从而影响到系统的性能。特别是如果服务器本身就比较繁忙，如果再启用这个选项的话，那么对于服务器的影响是致命的。故笔者建议，在没有特别必要的情况下，这个选项还是要慎用为好。