NetAndif

Da ich mich in letzter Zeit vermehrt mit dem Thema beschäftige, möchte ich nun mal kurz auf die neue Sicherheitslösung von Microsoft für Unternehmens-PCs eingehen.
Die Client-Software besteht wie üblich aus einem Agenten, einem Taskleistensymbol für Benachrichtigungen und einer GUI, die je nach Konfiguration in der Richtlinie auf dem Server mehr oder weniger Möglichkeiten offeriert.
Die Funktionalität der ClientSecurity an sich bietet, nach meinen bisherigen Erfahrungen, einen recht effektiven Schutz vor bösartiger Software verschiedenster Arten bei relativ geringer Systembelastung. Es wird sich im Laufe der Zeit noch zeigen, wie sich die Lösung im Vergleich zu denen anderer Hersteller bewährt.
Die Verwaltung der ‘Agenten’ geschieht zentral über eine Management-Konsole.
Wobei man hier erwähnen muss, dass die Forefront Client Security Konsole selber lediglich rudimentäre Möglichkeiten der Überwachung bietet. Die eigentliche Arbeit übernimmt hier ein angepasster MOM-Service; die Verteilung der Updates erfolgt über den WSUS-Dienst. Immerhin kann man in der Forefront Konsole Richtlinien definieren, wie sich die Agenten zu verhalten haben. Diese Richtlinien können dann an ActiveDirectory OUs angewendet werden.

Hier liegen die (noch) vorhandenen Schwächen der ClientSecurity begraben:
- eine Verteilung der Client-Software auf die PCs ist nicht zentral und automatisiert möglich. Hier muss man zu konventionellen Methoden wie Loginskripts oder dem Erzeugen eines MSI-Pakets zur Verteilung mittels ActiveDirectory greifen.
- der WSUS-Dienst zur Verteilung der Updates hat seine Ecken und Kanten. Ich kämpfe gerade damit, die automatischen Updates der PCs so zu konfigurieren, dass die PCs keine automatischen Neustarts nach der Installation von Updates durchführen, bzw. diese Neustarts hinausgezögert werden können. Dieses Verhalten kann verständlicherweise sehr lästig sein. Im Endeffekt verhält sich die automatische Update-Funktion der XP-Clients teilweise sehr seltsam.
Hier wäre ich mal durchaus über ein paar gute Tipps nicht böse. Kennt jemand eine Community für dieses Produkt? Mal abgesehen von ein paar Blog-Einträgen und der Dokumentation von Microsoft selbst konnte ich hier bisher nichts wirklich hilfreiches finden…

Generell scheint die Verwaltung des WSUS die größte Hürde beim Implementieren der ClientSecurity zu sein, wenn man einmal die umfangreichen Hard- und Softwarevorraussetzungen bewältigt hat.

Die einzelnen Komponenten des Systems:
- Management Server
- Collection Server
- Reporting Server
- Distribution Server

Systemvorraussetzungen für einen All-In-On Server:
- Zweikern-CPU
- mindestens 4 GB Arbeitsspeicher
- 100 GB freier Plattenplatz
- Windows Server 2003 SP1 oder höher
- SQL Server 2005 mit SP1
- GPMC mit SP1
- WSUS 2.0 SP1 oder neuer
- .NET Framework 2.0
- IIS 6.0 und ASP.NET
- MMC 3.0