Forefront Security應用程序使用技巧
Forefront Server Security應用程序有什么作用呢?不少管理人員有這個疑問。簡單的來說,Forefront Server Security就是一個安全管理的工具。如下圖所示,在一臺郵箱服務器上企業采用了Forefront產品來保護其安全性。現在如果管理員需要遠程來維護這臺服務器上的安全性,如查看日志信息、手工升級等等,此時就需要用到這個工具。這是一個很實用的工具。接下去筆者就給大家介紹一下這個工具在使用方面的一些技巧。
一、對操作系統的額外要求
Forefront Server Security管理員程序可以在客戶端上運行,實現遠程管理。也可以在本地執行,進行本地配置。不過大部分情況下,都是在客戶端上運行。為了查看日志信息,管理員還用不著跑到機房去查看。為此Forefront Server Security應用程序還是在客戶端上跑的時間多。
不過可能是技術方面的原因,如果要運行Forefront Server Security,必須在客戶端上進行額外的配置。現在大部分的客戶端采用的是XP操作系統,筆者這里就以XPSP2為例,分析一下如果要在這個平臺上運行Forefront Server Security,該采取哪些額外的配置。
第一步:需要在組件服務對話框中進行額外的配置。管理員可以在運行對話框中輸入“DCOMCNFG”命令來打開組建服務對話框。如下圖所示。
第二步:在上面這個組件服務對話框中,依次點擊“組件服務”、“計算機”,然后右鍵點擊“我的電腦”,并在現實的菜單中選擇“屬性”。然后在Com安全選項卡上,找到“訪問權限”下面的“編輯限制”選項。然后找到“匿名登錄”用戶的“遠程訪問”,并選擇“允許”復選框。注意這一步非常重要。不過這個復選框沒選中的話,這Forefront Server Security將無法正常運行。
第三步:在防火墻上進行額外的配置。如果操作系統上啟用了防火墻機制,管理員必須要將Forefront Server Security應用程序添加到Windows防火墻的例外列表中去。具體的操作如下。管理員找到Windows防火墻的例外選項卡。然后單擊“添加程序”,從列表中選擇“FSSACLIENT”,并單擊確定。此時防火墻系統就會將這個應用程序自動添加到“程序和服務”列表中去。再回過來找到“程序和服務”列表的這個應用程序,單擊“添加端口”,輸入端口的名字。一般情況下這個應用程序采用的是135端口,并以TCP作為其數據傳輸的協議。
如上配置后,Forefront Server Security就可以在XP SP2 操作系統上順利運行,并可以連接上遠程的服務器。針對以上這些配置,筆者還有如下兩個小建議。
一是如果大家覺得防火墻的配置比較麻煩,其實也有一個偷懶的方法。即如果現在需要運行Forefront Server Security應用程序進行遠程管理的話,可以先暫時關閉Windows防火墻功能。等到維護完成之后,再啟用。如此的話,就可以不需要對防火墻進行額外的配置。不過出于安全考慮,并不建議這么操作。
二是需要注意開啟135端口可能會帶來額外的威脅。如果啟用Windows防火墻,并需要使用Forefront Server Security應用程序的話,需要在防火墻處開啟135端口。顯然將這個端口為所有的計算機開發,會帶來不小的安全隱患。此時出于安全考慮,可能還需要添加一個額外的限制,即只為某個特定的IP地址打開。要實現這個功能的話,可以在防火墻的“更改范圍”欄目中實現。但管理員添加完135端口后,不要馬上關閉對話框。在這個對話框中,有一個“更改范圍”按鈕。管理員單擊這個按鈕,并選擇“自定義列表”。在這個列表中管理員可以輸入合適的IP地址,從而實現這個端口只為這幾個IP地址而開啟。這么操作的話,這個安全隱患就被消除了。#p#
二、只讀模式與讀寫模式
Forefront Server Security應用程序可以根據用戶的需求,以只讀模式或者讀寫模式來運行。顧名思義,只讀模式不能夠對遠程服務器進行任何的修改,如更改配置文件等等,只能夠進行一些查詢。而讀寫模式的話,基本上就可以對遠程服務器進行完全控制。出于安全考慮,管理員就需要采取合適的運行模式。筆者的建議是,在分析、查找問題的時候,以只讀模式運行。以免一不小心,更改了正確的配置。等到問題找到了,再改為讀寫模式,對系統系統進行相關的調整。
這個運行的模式,主要是由用戶的權限所控制的。如果現在管理員需要更改某個配置文件,那么就需要使用具有像對應的權限的用戶進行登錄。這個權限的配置跟NTFS文件系統的權限管理相同。或者說,其就是借助了NTFS文件系統的權限管理機制來實現。故筆者這里就不重復這方面的內容了。如果讀者需要進一步了解,可以去查詢NTFS文件系統的相關資料。
這里筆者只想強調以下幾點內容。
一是用戶對PSE必須有讀寫的權限。如果管理員創建的用戶對于PSE只有只讀的訪問權限,則當用戶運行這個應用程序的時候,會出現問題。如系統會提示錯誤信息:無法連接服務,拒絕訪問等等。
二是系統帳戶和Exchange服務帳戶還必須對系統文件夾具有完全控制的權限。否則的話,這個應用程序也會因為得到的所需要的權限而無法正常運行。可見,如果將這個應用程序與Exchange等應用程序結合在一起,權限的設計是一項很復雜的事情。筆者的建議是,要遵循最小權限原則。在規劃的時候,就要設計好權限體系。如此的話,在配置的時候,才不會迷糊。#p#
三、Forefront Server Security不能夠濫用
筆者發現有一家企業的管理員,他可能為了管理的方便,在多臺電腦上配制了Forefront Server Security應用程序,特別是還在家里的電腦上安裝了Forefront Server Security應用程序。筆者認為這么做可能會帶來不必要的安全隱患。筆者建議,為了提高安全性,最好只在特定的電腦上安裝Forefront Server Security應用程序。如只在管理員自己的手提電腦上安裝。但Forefront Server Security用戶一多,就難免會給攻擊者有機可乘。為此就需要將其限制在比較小的范圍之內。
【編輯推薦】
