概述

本文档为商用台式机、便携式计算机和服务器操作系统上的 Forefront Client Security (FCS) 恶意软件防护的实现提供安装和测试计划信息。Microsoft Forefront Client Security 交付了独一无二的保护来抵御病毒、间谍软件和其它已有和新出现的威胁。FCS 基于已经由全球数百万人使用的高度成功的相同微软保护技术，Forefront Client Security 帮助抵御新出现的威胁，例如间谍软件和 Rootkit，以及抵御传统威胁，例如病毒、蠕虫和特洛伊木马。通过中央管理来交付简化的管理，并提供对威胁和漏洞的关键可见性，Forefront Client Security 帮助您满怀信心高效地保护 Windows 系统。Forefront Client Security 与诸如 Active Directory 和 WSUS 等现有基础结构软件集成，并补充其它微软安全技术以实现增强的保护和更强的控制。

Microsoft Forefront Client Security 解决方案包括两个部分。第一个部分是安装在商用台式机、便携式计算机和服务器操作系统上的安全代理。它提供针对间谍软件、病毒和 Rootkit 等威胁的实施保护和计划扫描。

第二个部分是中央管理服务器，它使管理员能够轻松管理和更新预配置或自定义的恶意软件防护代理，并生成有关环境安全状态的报告和警报。

Forefront Client Security 包括以下组件：

◆管理服务

◆收集服务

◆报告服务

◆分发服务

◆客户端代理

1.1系统要求

Forefront Client Security 支持从单服务器到六服务器的许多不同服务器配置。您所选的拓扑将基于许多不同的因素，包括：

硬件和软件要求，主要由以下因素驱动：

◆要管理的客户端计算机数量

◆性能要求

◆要执行的扫描频率和类型

◆保存用于报告目的的数据量

◆数据备份要求

◆硬件和软件预算

◆现有的硬件、软件和网络基础结构

1,000 个以上的托管客户端建议不要采用单服务器配置。

1.1.1最低硬件要求

下表包含每种 FCS 服务器角色和组合服务器角色的最低推荐硬件配置。

表 1:Forefront Client Security – 服务器硬件要求

表 2 包含 FCS 客户端的最低推荐硬件配置。

表 2：Forefront Client Security – 客户端硬件要求

1.1.2 最低软件要求

下表包含每种 FCS 服务器角色或组合角色的软件要求。

表 3：Forefront Client Security – 服务器软件要求

表 4 包含 FCS 支持的客户端的必备软件。

表 4：Forefront Client Security – 客户端软件要求

1.1.3Windows Installer

具有 MSP 文件扩展名的 MSI 更新需要 Windows Installer 3.1。目前，仅有 Microsoft Office 在 Windows Update Catalog 中使用此更新格式，但是将来其它微软产品也可能采用此格式。可以使用标准 SMS 软件分发将 Windows Installer 部署到客户端。完成时需要重新启动。

1.1.4Windows Update Agent

在大多数情况下，Windows Update Agent 2.0 已经安装在客户端计算机上。（当“自动更新”检查公共网站或内部服务器上的更新时，它还会检查自身的更新。）客户端上需要有 Windows Update Agent 2.0，FCS 签名更新功能才能正常工作。如果需要单独部署该代理，可以从以下地址获得它：http://go.microsoft.com/fwlink/?LinkID=56724。

还可以使用 SMS、Active Directory GPO 或其它自动化软件分发方法对其进行打包和部署。

在所有客户端计算机上安装 Windows Update Agent 以后，您需要更改客户端计算机自动更新位置源。此操作将指示客户端计算机查找分发服务器上的定义更新。

若要更改自动更新位置源

1.在其中一个 Client Security 服务器上，打开“控制面板”  “管理工具”并双击“组策略管理”。

2.在“组策略管理”对话框中，展开“域”，展开“<您的域>”，双击“默认域策略”，然后单击“编辑”。

3.在“组策略编辑器”对话框中，展开“计算机配置”，展开“管理模板”，展开“Winsows 组件”，然后单击“Windows Update”。

4.在“设置”列表中，双击“配置自动更新”。

5.在“配置自动更新”对话框中，单击“启用”，然后单击“确定”。

6.在“设置”列表中，双击“指定 intranet Microsoft 更新服务位置”。

7.在“指定 Intranet Microsoft 更新服务位置”对话框中，单击“启用”，同时在“设置 intranet 更新服务”框和“设置 intranet 统计服务器”框中输入“客户端配置 URL”，然后单击“确定”。

8.在“设置”列表中，双击“允许自动更新立即安装”。

9.在“允许自动更新立即安装属性”对话框中，单击“启用”，然后单击“确定”。

1.1.5热修复

必须将 Windows XP SP2 的 Filter Manager 累积包 (KB914882) 应用于 XP 客户端，然后才能安装 FCS 代理。安装此热修复不需要任何先决条件，但是需要重新启动计算机。

必须将 Service Pack 4 的 Windows 2000 更新累积包 1 (KB891861) 应用于 Windows 2000 客户端。Service Pack 4 是安装此累积包的唯一先决条件。安装该更新累积包以后，请运行 Windows Update 以查找在 2005 年 4 月 30 日发布该更新之后发布的更新。

1.1.6可再发行组件包

GDI+ 是 Windows 2000 包括的图形设备接口 Windows 图形设备接口 (GDI) 的后继版本。Forefront Client Security UI 利用此 API 在屏幕上显示信息和用于打印。必须将 GDI+ 可再发行组件包安装在 Windows 2000 上，该 UI 才能正常工作。该包可从以下地址找到：

http://www.microsoft.com/downloads/details.aspx?FamilyID=6A63AB9C-DF12-4D41-933C-BE590FEAA05A&displaylang=en

Microsoft .NET Framework 2.0 是 FCS 的管理和收集服务器组件所必需的。此可再发行组件包安装 .NET Framework v2.0 运行库和运行这些应用程序所需要的关联文件。该包可从以下地址找到：

http://www.microsoft.com/downloads/details.aspx?familyid=0856EACB-4362-4B0D-8EDD-AAB15C5E04F5&displaylang=en

FCS MMC 工具管理单元需要 微软管理控制台 3.0 (MMC 3.0)。MMC 提供跨不同系统管理工具的常用导航、菜单、工具栏和工作流。该包可从以下地址找到：

http://www.microsoft.com/downloads/details.aspx?familyid=4C84F80B-908D-4B5D-8AA8-27B962566D9F&displaylang=en

1.1.7带 Service Pack 1 的 微软组策略管理控制台GPMC 使得理解、部署、管理和诊断组策略实现更加容易，从而简化组策略的管理。Forefront Client Security 使用 GPMC 的部分扩展功能来管理特定于 FCS 的 FCS 代理策略。该包可从以下地址找到：

http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en

1.1.8带 SP1 的 Windows Server Update Services (WSUS) 2.0

WSUS 提供了用于管理更新的全面解决方案。Forefront Client Security 使用 WSUS 作为反病毒和反间谍软件签名文件更新以及 FCS 组件更新的分发点。.WSUS 2.0 有两个先决条件：

1.必须在安装 WSUS 服务器之前安装后台智能传输服务 (BITS) 2.0。

2.必须在安装 WSUS 服务器之前安装 Microsoft SQL Server 2000 Desktop Engine (MSDE) Release A、WMSDE、SQL Server 2005 或带 SP3 的 SQL Server 2000。WMSDE 仅用于 Microsoft Windows Server 2003，并包括在 WSUS 下载中。

有关完整的安装说明，请参见“部署指南”。WSUS 应用程序包和详细安装说明可从以下地址找到：http://go.microsoft.com/fwlink/?LinkId=47374