Wenn Forefront Client Security (FCS) Pro-User lizenziert wurde, darf der Client Agent beispielsweise auch auf den Home-PCs der Angestellten installiert werden.

Dazu wird auf diesen "unmanaged"-Clients das Installationsprogramm der FCS-CD mit der Option "/NOMOM" aufgerufen: clientsetup.exe /NOMOM
(Unter Windows Vista ggf. über eine als Administrator gestartete Eingabeaufforderung.)

Da diese unmanaged-Clients für gewöhnlich den WSUS des Unternehmens nicht erreichen, müssen die Updates für den FCS-Agent über Microsoft Update bezogen werden. Diese "Teilnahme" erfolgt durch einen manuellen Opt-In des Clients mit einem Besuch auf der Microsoft Update-Website.

Mehr Informationen zu dieser Prodzedur im TechCenter unter Protecting home computers.

Entgegen der Informationen Verifying your system requirements im TechCenter ist der Betrieb von Forefront Client Security nur mit SQL Server 2005 in der 32 Bit-Version (x86) möglich.

Ausserdem ist die Installation von FCS auf einem SQL-Cluster ebenfalls nicht möglich und in einer Virtual Server-Umgebung nicht unterstützt. Eine kleine, aber Wichtige "Fußnote" in obigem Artikel.

Gleich als Nachtrag zum heutigen Eintrag Forefront Client Security scannt Alternate Data Streams: Forefront Client Security (FCS) kann im On-Access-Modus auch EFS-verschlüsselte und NTFS-komprimierte Dateien scannen. 

Das Durchleuchten von NTFS-komprimierten Dateien erfolgt transparent, da der Schutz bei FCS durch einen im Betriebssystem verankerten Mini-Filter implementiert ist. Aus dem gleichen Grund ist somit auch der Scan von EFS-verschlüsselten Dateien bei der Realtime-Protection kein Problem, die notwendigen Zertifikatsinformationen durch den zugreifenden Benutzers vorhanden sind.

Eine Installation der Trial-Version von Forefront Client Security (FCS) lässt sich relativ einfach auf eine Retail-Version upgraden. Dies ist besonders hilfreich, wenn man beispielsweise nach Ablauf des Testzeitraums die Testinstallation produktiv einsetzen möchte, ohne die komplette Management-Infrastruktur neu installieren zu müssen.

Die erforderlichen Schritte findet man als Anleitung Upgrading from the evaluation version to the retail version TechCenter.
Das dazu gehörende Tool Microsoft Forefront Client Security Installation Tool für den Upgrade ist in Englisch verfügbar. Weitere Sprachversionen sollten in Kürze folgen.

Forefront Client Security (FCS) bietet umfassenden Schutz vor jeglichem Schadcode durch sogenannte On-Access und Real-Time Protection. Dabei werden Dateien in Echtzeit gescannt, bevor Sie geöffnet werden. Wurde Malware erkannt, wird der Zugriff auf die Datei gesperrt. Implementiert wird dies durch den Windows Filter Manager in Form eines sogenannten Mini-Filter, der im Kernel Mode ausgeführt wird.

Mehr Informationen hierzu liefert das Whitepaper Understanding Anti-Malware Technologies von Microsoft.

Sehr häufig kommt die Frage auf: Ist die Scan-Engine von Forefront Client Security (FCS) gleich der Engine mit dem Namen "Microsoft", die als eine der acht (bishr neun) Engines in Forefront Server Security for Exchange (FSE) oder SharePoint (FSSP) ausgewählt werden kann?

Kurz und bündige Antwort: Ja

Alternate Data Streams (ADS), sind eine spezielle Funktion des NTFS-Dateisystems, die ab Windows 2000 zur Verfügung steht. Mit ADS können Daten unsichtbar an eine Dateien und Ordner gebunden werden.

Windows verwendet ADS beispielsweise zur Speicherung von Vorschaubildern und zur Speicherung der in der Eigenschaftseite jeder Datei verfügbaren Metadaten. Seit Windows XP (ab Service Pack 2) wird außerdem ein sogenannter Zone Identifier gespeichert, der es jederzeit ermöglicht, aus dem Internet heruntergelade Dateien zu erkennen.

Da ADS in erster Linie unsichtbar sind, können noch nicht alle Antivirenprogramme ADS überprüfen. Forefront Client Security (FCS) kann ADS erkennen und nach Malware durchsuchen.

Werden die Rollen des Management-Servers bei Forefront Client Security (FCS) auf mehrere Server verteilt, muss eine entsprechende Kommunikation zwischen den Komponenten (Rollen) möglich sein. Die nachfolgende Tabelle zeigt die erforderlichen Netzwerk-Ports und -Protokolle, die zwischen den Servern zugelassen werden muss:

Server	Verbindung zu	Server-Topologien*	Ports (Protokolle)	Bemerkungen
Collection	Collection-DB	5,6	1433 (TCP und UDP)
Management	Collection-Server	4,5,6	445 (TCP und UDP), 135 (TCP), sowie DCOM-Port Range	Der Einsatz einer Firewall zwischen diesen beiden Servern wird nicht unterstützt. Der Microsoft Operations Manager (MOM) Administrator und die Operator-Console auf dem Management Server erfordern eine Verbindung zum Collection-Server.
Management	Collection-DB	4,5,6	1433 (TCP) und 1434 (UDP)
Management	Reporting-Server	3,4,5,6	80 (TCP) oder 443 (TCP)
Management	Collection-DB	3,4,6	1433 (TCP) und 1434 (UDP)	Der Einsatz einer Firewall zwischen diesen beiden Datenbanken wird nicht unterstützt.
Reporting	Collection-DB	4,5,6	1433 (TCP) und 1434 (UDP)
Reporting	Reporting-DB	3,5,6	1433 (TCP) und 1434 (UDP)
Distribution	Microsoft Update oder Upstream-WSUS	Alle	80 (TCP) oder 443 (TCP)

* Mehr Informationen zu den möglichen Server-Topologien im Forefront Client Security TechCenter.

 

Kommunikation der FCS-Clients: Für die Kommunikation der Clients (Agents) mit dem Management Server (MOM) ist ausgehend Port 1270 (TCP und UDP) erforderlich. Nicht zu vergessen auch den Port (TCP) für die Kommunikation des Clients mit dem WSUS-Server (z.B. Port 80).

Auch die Forefront Server Security (FSS) Produkte können zentral mit Microsoft Operations Manager 2005 mithilfe von sogenannten Management Packs verwaltet werden.
Hierfür stellt Microsoft die jeweiligen MOM Management Packs unter folgenden Links zur Verfügung:

• Antigen 8.0 MOM Management Pack – Setzt Microsoft Windows Live ID voraus; auch auf der Sybari Web-Site zu finden
• Antigen 9.0 MOM Management Pack
• Microsoft Forefront Security for Exchange 10.0 MOM 2005 Management Pack
• Microsoft Forefront Security for SharePoint 10.0 MOM 2005 Management Pack

Inzwischen hat es sich mit Sicherheit herumgesprochen, dass sich zwar der Forefront Client Security (FCS)-Agent auf 64 Bit-Clients (zum Schutz von Client- als auch Server-Betriebssystemen) installieren lässt, nicht aber der FCS-Management-Server auf 64 Bit-Hardware.

Wer sich deshalb jetzt die Frage nach dem Grund stellt - hier ist er: Es gibt derzeit keine 64 Bit-Version der Group Policy Management Console (GPMC), die für den Rollout der FCS-Richtlinien auf dem Management-Server erforderlich ist...