Forefront Server Security应用程序有什么作用呢?不少管理人员有这个疑问。简单的来说,Forefront Server Security就是一个安全管理的工具。如下图所示,在一台邮箱服务器上企业采用了Forefront产品来保护其安全性。现在如果管理员需要远程来维护这台服务器上的安全性,如查看日志信息、手工升级等等,此时就需要用到这个工具。这是一个很实用的工具。接下去笔者就给大家介绍一下这个工具在使用方面的一些技巧。
一、对操作系统的额外要求
Forefront Server Security管理员程序可以在客户端上运行,实现远程管理。也可以在本地执行,进行本地配置。不过大部分情况下,都是在客户端上运行。为了查看日志信息,管理员还用不着跑到机房去查看。为此Forefront Server Security应用程序还是在客户端上跑的时间多。
不过可能是技术方面的原因,如果要运行Forefront Server Security,必须在客户端上进行额外的配置。现在大部分的客户端采用的是XP操作系统,笔者这里就以XPSP2为例,分析一下如果要在这个平台上运行Forefront Server Security,该采取哪些额外的配置。
第一步:需要在组件服务对话框中进行额外的配置。管理员可以在运行对话框中输入“DCOMCNFG”命令来打开组建服务对话框。如下图所示。
第二步:在上面这个组件服务对话框中,依次点击“组件服务”、“计算机”,然后右键点击“我的电脑”,并在现实的菜单中选择“属性”。然后在Com安全选项卡上,找到“访问权限”下面的“编辑限制”选项。然后找到“匿名登录”用户的“远程访问”,并选择“允许”复选框。注意这一步非常重要。不过这个复选框没选中的话,这Forefront Server Security将无法正常运行。
第三步:在防火墙上进行额外的配置。如果操作系统上启用了防火墙机制,管理员必须要将Forefront Server Security应用程序添加到Windows防火墙的例外列表中去。具体的操作如下。管理员找到Windows防火墙的例外选项卡。然后单击“添加程序”,从列表中选择“FSSACLIENT”,并单击确定。此时防火墙系统就会将这个应用程序自动添加到“程序和服务”列表中去。再回过来找到“程序和服务”列表的这个应用程序,单击“添加端口”,输入端口的名字。一般情况下这个应用程序采用的是135端口,并以TCP作为其数据传输的协议。
如上配置后,Forefront Server Security就可以在XP SP2 操作系统上顺利运行,并可以连接上远程的服务器。针对以上这些配置,笔者还有如下两个小建议。
一是如果大家觉得防火墙的配置比较麻烦,其实也有一个偷懒的方法。即如果现在需要运行Forefront Server Security应用程序进行远程管理的话,可以先暂时关闭Windows防火墙功能。等到维护完成之后,再启用。如此的话,就可以不需要对防火墙进行额外的配置。不过出于安全考虑,并不建议这么操作。
二是需要注意开启135端口可能会带来额外的威胁。如果启用Windows防火墙,并需要使用Forefront Server Security应用程序的话,需要在防火墙处开启135端口。显然将这个端口为所有的计算机开发,会带来不小的安全隐患。此时出于安全考虑,可能还需要添加一个额外的限制,即只为某个特定的IP地址打开。要实现这个功能的话,可以在防火墙的“更改范围”栏目中实现。但管理员添加完135端口后,不要马上关闭对话框。在这个对话框中,有一个“更改范围”按钮。管理员单击这个按钮,并选择“自定义列表”。在这个列表中管理员可以输入合适的IP地址,从而实现这个端口只为这几个IP地址而开启。这么操作的话,这个安全隐患就被消除了。#p#
二、只读模式与读写模式
Forefront Server Security应用程序可以根据用户的需求,以只读模式或者读写模式来运行。顾名思义,只读模式不能够对远程服务器进行任何的修改,如更改配置文件等等,只能够进行一些查询。而读写模式的话,基本上就可以对远程服务器进行完全控制。出于安全考虑,管理员就需要采取合适的运行模式。笔者的建议是,在分析、查找问题的时候,以只读模式运行。以免一不小心,更改了正确的配置。等到问题找到了,再改为读写模式,对系统系统进行相关的调整。
这个运行的模式,主要是由用户的权限所控制的。如果现在管理员需要更改某个配置文件,那么就需要使用具有像对应的权限的用户进行登录。这个权限的配置跟NTFS文件系统的权限管理相同。或者说,其就是借助了NTFS文件系统的权限管理机制来实现。故笔者这里就不重复这方面的内容了。如果读者需要进一步了解,可以去查询NTFS文件系统的相关资料。
这里笔者只想强调以下几点内容。
一是用户对PSE必须有读写的权限。如果管理员创建的用户对于PSE只有只读的访问权限,则当用户运行这个应用程序的时候,会出现问题。如系统会提示错误信息:无法连接服务,拒绝访问等等。
二是系统帐户和Exchange服务帐户还必须对系统文件夹具有完全控制的权限。否则的话,这个应用程序也会因为得到的所需要的权限而无法正常运行。可见,如果将这个应用程序与Exchange等应用程序结合在一起,权限的设计是一项很复杂的事情。笔者的建议是,要遵循最小权限原则。在规划的时候,就要设计好权限体系。如此的话,在配置的时候,才不会迷糊。#p#
三、Forefront Server Security不能够滥用
笔者发现有一家企业的管理员,他可能为了管理的方便,在多台电脑上配制了Forefront Server Security应用程序,特别是还在家里的电脑上安装了Forefront Server Security应用程序。笔者认为这么做可能会带来不必要的安全隐患。笔者建议,为了提高安全性,最好只在特定的电脑上安装Forefront Server Security应用程序。如只在管理员自己的手提电脑上安装。但Forefront Server Security用户一多,就难免会给攻击者有机可乘。为此就需要将其限制在比较小的范围之内。
【编辑推荐】