Приложения
Категории

Июнь 2011 — Yuriy Ostyuchenko

  • Windows Intune

    В данной статье приведены пошаговые инструкции, которые помогут начать работу с Windows Intune™ , и объясняется, как можно поделиться своими впечатлениями, опубликовать комментарии и отзывы для рабочей группы Windows Intune.

    Первый вход в систему

    Чтобы войти в Windows Intune, перейдите на веб-страницу входа в службу Windows Intune (http://go.microsoft.com/fwlink/?LinkID=195424).

    Если платформа Microsoft Silverlight не установлена, при первом открытии веб-сайта службы будет предложено загрузить и установить Silverlight.

    Выполните вход с использованием идентификатора администратора-владельца, созданного при регистрации в Windows Intune, а затем добавьте идентификатор Live ID в качестве администратора. После входа в систему следующее показанное окно определяется количеством подписок.

    • Одна подписка. При наличии одной подписки открывается Консоль администрирования Windows Intune, в которой показан обзор состояния управляемых компьютеров. В области «Доска объявлений» приведены различные ссылки для начала работы, а в других областях содержатся сведения о состоянии программного обеспечения, обновлениях для системы безопасности и отслеживаемых системных оповещениях.
    • Несколько подписок. При наличии нескольких подписок открывается диалоговое окно выбора учетной записи Windows Intune, в котором отображается список учетных записей и их сводные индикаторы работоспособности. Можно использовать поле «Поиск», чтобы найти компанию по названию, или отсортировать список в алфавитном порядке по названию компании. Когда будет найдена требуемая учетная запись, можно щелкнуть имя, чтобы открыть Консоль администрирования Windows Intune. В области «Доска объявлений» приведены различные ссылки для начала работы, а в других областях содержатся сведения о состоянии программного обеспечения, обновлениях для системы безопасности и отслеживаемых системных оповещениях.

    Добавление управляемых компьютеров

    После этого установите клиентское программное обеспечение Windows Intune на компьютерах, чтобы управлять ими. Для установки клиентского программного обеспечения можно использовать один из следующих способов.

    • Непосредственная загрузка Войдите в службу Windows Intune с компьютера, которым требуется управлять, загрузите пакет установщика Windows для установки клиентского программного обеспечения в соответствии с архитектурой компьютера, а затем запустите пакет установщика Windows на компьютере.
    • Общая сетевая папка. Загрузите пакет установщика Windows с клиентским программным обеспечением и сохраните его в сетевую общую папку, а затем запустите этот пакет на компьютере.
    • USB-устройство флэш-памяти. Скопируйте пакет установщика Windows для установки клиентского программного обеспечения на USB-устройство флэш-памяти и установите клиентское программное обеспечение Windows Intune с USB-устройства на каждом клиентском компьютере.

      Обеспечьте безопасность файлов установки и загруженного пакета при любом способе развертывания. Пакет установки клиентского программного обеспечения Windows Intune уникален для учетной записи и подписан для его связывания с подпиской Windows Intune. Убедитесь в том, что только администраторы Windows Intune в организации имеют доступ к этим файлам.

    После установки клиентского программного обеспечения Windows Intune клиентский компьютер связывается с Центром обновления Майкрософт и загружает дополнительные агенты. Компьютер автоматически регистрируется в учетной записи Windows Intune и через некоторое время должен отобразиться в рабочей области Компьютеры в консоли Консоль администрирования Windows Intune. После этого клиентское программное обеспечение планирует загрузку остальных агентов клиента, включая агенты для защиты от вредоносных программ и наблюдения. Весь процесс загрузки агентов может занять до 8 часов. После загрузки и установки всех агентов клиентский компьютер полностью зарегистрирован в службе. В Консоль администрирования Windows Intune можно просматривать сведения, которые передает клиентский компьютер, такие как состояние защиты от вредоносных программ, данные инвентаризации оборудования и программного обеспечения и состояние обновления. Дополнительные сведения об установке клиентского ПО Windows Intune см. в статье Deploying the Windows Intune Client Software (Развертывание клиентского ПО Windows Intune) (http://go.microsoft.com/fwlink/?LinkID=151517).

    Группировка компьютеров

    После добавления клиентских компьютеров в службу рекомендуется распределить их по группам, чтобы облегчить управление ими. Возможности группирования компьютеров в Windows Intune обладают достаточной гибкостью, чтобы настроить схему распределения компьютеров по группам в соответствии с требованиями.

    В списке ниже приведены три примера объединения компьютеров в группы.

    • Группы на основе географического местоположения. Если компьютеры находятся в географически различных точках, можно создать группы, представляющие различные географические регионы, например «Новосибирск», и добавить компьютеры в эти группы.
    • Группы на основе отделов. Распределение компьютеров по группам в зависимости от отделов, в которых они установлены, или функций, которые они выполняют (например, «Бухгалтерия»), может облегчить управление.
    • Группы на основе оборудования. Группирование компьютеров на основе физических характеристик, например «Настольные», «Портативные» и «Планшетные», может помочь при планировании развертывания обновлений, определении времени установки обновлений, применении политики и принятии других управленческих решений.

    Можно добавить компьютер в несколько групп, что позволит использовать элементы всех описанных выше способов при планировании распределения по группам и просматривать компьютеры в любом упорядочивании, которое подходит для организации. Однако рекомендуется использовать простую структуру групп и добавлять новые группы только по мере необходимости.

    Обзор консоли

    После настройки службы Windows Intune можно ознакомиться с функциями в Консоль администрирования Windows Intune. Служба Windows Intune позволяет легко находить нужные функции и содержит ссылки на разделы справки по областям, которые нуждаются в пояснениях. Рекомендуется сначала ознакомиться со следующими возможностями.

    • Определение политики. Используйте рабочую область Политика для настройки применения обновлений, поведения клиента защиты от вредоносных программ, отображения контактной информации поддержки в интерфейсе клиента и других параметров.
    • Распространение обновлений. Используйте рабочую область Обновления для выбора и утверждения обновлений для распространения, а также для передачи обновлений на компьютеры или в группы компьютеров.
    • Создание отчета. Откройте рабочую область Отчеты и просмотрите доступные отчеты Windows Intune. Обратите внимание, что каждый отчет содержит фильтры, которые позволяют включать в отчеты только необходимые результаты.
    • Удаленная помощь. Чтобы предоставить пользователю удаленную поддержку, попросите его отправить запрос на удаленную помощь с консоли Windows Intune Center на своем компьютере. Чтобы настроить получателей уведомлений по электронной почте при запросе помощи пользователями, откройте рабочую область Администрирование. В качестве получателя уведомлений можно указать адрес электронной почты любого пользователя; получатели уведомлений могут не быть администраторами службы.
    • Уведомления об оповещениях. Настройте уведомления об оповещениях в Консоль администрирования Windows Intune для приема уведомлений по электронной почте, чтобы видеть, как Windows Intune ведет информирование о состоянии управляемых клиентских компьютеров.
    • Экспорт данных. Определите представление, которое требуется экспортировать из Консоль администрирования Windows Intune для дальнейшего анализа, и создайте с помощью команды Экспорт файл данных с разделителями-запятыми, который можно открыть в таком приложении, как Microsoft Excel.

    Получение справки и поддержки

    В процессе знакомства с Windows Intune корпорация Майкрософт предлагает поделиться впечатлениями, отправить комментарии и оставить отзывы. Для взаимодействия с группой разработчиков Windows Intune и другими участниками создано несколько каналов. Сообщите нам ваше мнение.

    • Справка. Откройте справку Windows Intune (http://go.microsoft.com/fwlink/?LinkID=151519), чтобы получить подробные сведения о настройке клиентского ПО на компьютерах, которыми следует управлять, и работе с такими компьютерами в рабочих областях Windows Intune.
    • Форумы. Перейдите на сайт Windows Intune Forums (Форумы Windows Intune) по адресу http://go.microsoft.com/fwlink/?LinkId=183570, чтобы принять участие в обсуждении и поделиться комментариями с другими пользователями Windows Intune, а также найти ответы на часто задаваемые вопросы.
    • Видеоматериалы. В качестве справочных материалов, которые помогут начать работу, мы предлагаем серию коротких обучающих видеороликов. Они расположены на сайте Windows Intune Client TechCenter (Технический центр Windows Intune Client) (http://go.microsoft.com/fwlink/?LinkId=186377).
    • Блог группы Windows Intune. Посетите Windows Intune team blog (Блог группы Windows Intune) (http://go.microsoft.com/fwlink/?LinkId=183569). Узнайте, что говорят создатели Windows Intune. Здесь вы найдете интересные сведения, которые публикуются регулярно.
  • Заявление о конфиденциальности Microsoft Application Virtualization 4.6 с пакетом обновления 1 (SP1)

    Корпорация Майкрософт берет на себя обязательства по защите конфиденциальности, поставляя программное обеспечение, которое обеспечивает необходимую производительность, мощность и удобство работы на персональном компьютере. Настоящее заявление о конфиденциальности содержит описание способов сбора и использования данных в Microsoft Application Virtualization 4.6 с пакетом обновления 1 (SP1) (App-V). В частности, в заявлении о конфиденциальности описаны функции пакета обновления 1 (SP1), используемые для отправки сведений другим сторонам, включая корпорацию Майкрософт. Это заявление не относится к другим сайтам, продуктам или службам корпорации Майкрософт в Интернете или доступным автономно.

    Решение App-V позволяет преобразовывать приложения в виртуализированные службы, доступные в сети, что позволяет динамически предоставлять программное обеспечение без необходимости его установки и без конфликтов, сводя к минимуму затраты на тестирование совместимости приложений. Пользователи и среды приложений больше не связаны с тем или иным компьютером, а сами компьютеры больше не связаны с конкретными пользователями; это обеспечивает гибкость ИТ и скорость реагирования на требования бизнеса, также существенно снижая стоимость управления ПК, включая затраты на перенос приложений и операционных систем.

    Сбор и использование сведений

    Собираемые сведения будут использоваться корпорацией Майкрософт, управляемыми ей дочерними компаниями и представительствами для обеспечения работы используемых функций и предоставления услуг или проведения транзакций по запросу или авторизации пользователя. Эти сведения также могут быть использованы для повышения качества продуктов и услуг корпорации Майкрософт.

    Корпорация Майкрософт может направлять определенную необходимую служебную корреспонденцию, например приглашения, напоминания об оплате, сведения о технических проблемах и оповещения о проблемах безопасности. Некоторые службы корпорации Майкрософт могут периодически направлять подписчикам письма, которые считаются частью предоставляемых услуг. Время от времени корпорация Майкрософт может запрашивать отзывы пользователей, приглашать к участию в опросах или направлять рекламные сообщения для информирования о других продуктах и услугах, предоставляемых корпорацией Майкрософт и ее дочерними компаниями.

    В целях повышения удобства и степени персонализации взаимодействия с корпорацией Майкрософт сведения, собранные в рамках одной из служб корпорации Майкрософт, могут объединяться со сведениями, собранными в рамках других ее служб. Собранные сведения также могут дополняться сведениями, полученными от других компаний. Например, возможно использование сведений от других компаний, которые позволяют корпорации Майкрософт определить общую географическую область на основе IP-адреса компьютера для настройки определенных служб в соответствии с географическим расположением.

    Переданные пользователем личные сведения не будут передаваться третьим сторонам, за исключением случаев, описанных в настоящем заявлении. Корпорация Microsoft иногда привлекает другие компании для предоставления ограниченного набора услуг от ее имени, таких как упаковка, отправка и доставка покупок и прочих почтовых отправлений, ответы на вопросы клиентов о продуктах и услугах, обработка регистрации на мероприятиях и статистический анализ работы служб. Этим компаниям будут переданы только те личные сведения, которые необходимы для оказания услуг; при этом им запрещается использовать эти сведения в каких-либо других целях.

    Корпорация Майкрософт может получать доступ к информации о пользователе или раскрывать такую информацию, включая содержимое корреспонденции, в следующих случаях: (а) в случаях, предусмотренных законодательством, либо по запросу правоохранительных органов, либо в рамках судебного процесса; (б) в целях защиты прав или собственности корпорации Майкрософт или ее клиентов, включая принудительное исполнение соглашений или политики, регулирующей использование служб; (в) в рамках добросовестного предположения, что доступ к личным сведениям или их раскрытие необходимы для защиты личной безопасности сотрудников корпорации Майкрософт, ее клиентов или общества в целом. Кроме того, корпорация Microsoft вправе разглашать личные сведения при проведении корпоративных операций, таких как слияние или продажа активов.

    Сведения, которые собираются и передаются в службу Microsoft App-V, могут храниться и обрабатываться в США или любой другой стране, где осуществляется деятельность корпорации Майкрософт и ее дочерних компаний, филиалов или поставщиков услуг. При сборе, использовании и хранении информации из стран Европейского Союза, Европейской экономической зоны и Швейцарии корпорация Майкрософт придерживается политики безопасности, сформулированной Министерством торговли США.

    Сбор и использование сведений о компьютере

    При использовании программного обеспечения с функциями работы в Интернете просматриваемые веб-сайты и используемые интернет-службы получают сведения о компьютере («стандартные сведения о компьютере»). Корпорация Майкрософт использует стандартные сведения о компьютере для предоставления интернет-служб, повышения качества продуктов и услуг, а также для статистического анализа. Стандартные сведения о компьютере обычно включают IP-адрес, версию операционной системы, версию браузера, а также параметры языка и региональных стандартов. В некоторых случаях стандартные сведения о компьютере могут также включать ИД оборудования с указанием изготовителя устройства, наименования устройства и его версии. Если определенная функция или служба отправляет сведения в корпорацию Майкрософт, также отправляются и стандартные сведения о компьютере.

    Подробные сведения о конфиденциальности для каждой функции, программного обеспечения или службы App-V, указанной в настоящем заявлении о конфиденциальности, содержат описание характера собираемой дополнительной информации и ее использования.

    Безопасность сведений

    Корпорация Майкрософт прилагает все усилия для обеспечения защиты сведений пользователей. Для защиты сведений от несанкционированного доступа, использования и раскрытия применяется ряд технологий и процедур обеспечения безопасности. Например, предоставленные сведения хранятся на компьютерах с ограниченным доступом, расположенных в охраняемых помещениях.

    Изменения данного заявления о конфиденциальности

    Время от времени корпорация Майкрософт будет обновлять данное заявление о конфиденциальности, чтобы отразить изменения в продуктах и услугах, а также учесть отзывы клиентов. При внесении изменений будет изменена дата последнего изменения в верхней части этого заявления. Если в настоящее заявление будут внесены существенные изменения или же будут изменены принципы использования личных сведений, будет размещено уведомление о таких изменениях до начала их действия, или же будет направлено непосредственное уведомление по электронной почте. Рекомендуется регулярно просматривать данное заявление, чтобы хорошо представлять себе, каким образом корпорация Майкрософт обеспечивает защиту сведений.

    Дополнительные сведения

    Корпорация Майкрософт приветствует отзывы об этом заявлении о конфиденциальности. В случае возникновения вопросов или сомнений в том, что корпорация Майкрософт придерживается изложенных правил, обратитесь по следующему адресу.

    Microsoft Privacy

    Microsoft Corporation

    One Microsoft Way

    Redmond, Washington 98052 USA

    Специальные функции

    Далее в этом документе рассмотрены следующие специальные функции.

    Программа улучшения качества программного обеспечения

    Как работает эта функция.

    В рамках программы улучшения качества программного обеспечения (CEIP) выполняется сбор базовых сведений о конфигурации оборудования и использовании программного обеспечения и служб корпорации Майкрософт для выявления тенденций и типичных способов использования. В рамках программы улучшения качества программного обеспечения также выполняется сбор сведений о типе и количестве возникших ошибок, производительности программного обеспечения и оборудования и скорости работы служб. Корпорация Майкрософт не собирает имена, адреса и другие контактные данные пользователей.

    Собираемые, обрабатываемые и передаваемые сведения.

    Дополнительные сведения о сведениях, собираемых, обрабатываемых и передаваемых в рамках программы улучшения качества программного обеспечения, см. в заявлении о конфиденциальности программы улучшения качества программного обеспечения по адресу http://go.microsoft.com/fwlink/?LinkID=52097.

    Использование сведений.

    Эти сведения используются корпорацией Майкрософт для повышения качества, надежности и производительности программного обеспечения и служб Майкрософт.

    Выбор и управление.

    Принять участие в программе улучшения качества программного обеспечения предлагается в ходе установки. После согласия участвовать в программе можно в любой момент отказаться от участия, выполнив следующие действия.

    1. На главной панели инструментов выберите пункт "Справка".
    2. Выберите команду "Параметры отзыва заказчика".

    Служба отчетов об ошибках корпорации Майкрософт

    Как работает эта функция.

    Служба отчетов об ошибках корпорации Майкрософт представляет собой службу, которая позволяет сообщать корпорации Майкрософт о неполадках при работе с решением App-V и получать сведения, которые помогают избежать этих неполадок или решить возникающие проблемы.

    Собираемые, обрабатываемые и передаваемые сведения.

    Дополнительные сведения о сведениях, собираемых, обрабатываемых и передаваемых службой отчетов об ошибках корпорации Майкрософт, см. в заявлении о конфиденциальности службы отчетов об ошибках корпорации Майкрософт по адресу http://go.microsoft.com/fwlink/?LinkID=184782.

    Использование сведений.

    Сведения отчетов об ошибках используются для решения проблем, возникающих у пользователей, и для повышения качества программного обеспечения и услуг корпорации Майкрософт.

    Важная информация.

    App-V не изменяет параметры службы отчетов об ошибках корпорации Майкрософт. Если отправка отчетов об ошибках была включена ранее, описанные выше сведения будут передаваться. Корпоративные клиента могут использовать групповую политику, чтобы настроить работу со службой отчетов об ошибках корпорации Майкрософт на компьютерах. Параметры конфигурации позволяют отключать службу отчетов об ошибках корпорации Майкрософт. Техническая информация для администраторов о настройке групповой политики для службы отчетов об ошибках корпорации Майкрософт доступна по адресу http://go.microsoft.com/fwlink/?LinkId=35776.

    Ускорители пакетов приложений

    Как работает эта функция.

    Пользователи могут использовать ускорители пакетов приложений для автоматического создания пакетов сложных приложений без установки соответствующих приложений. Программа App-V Sequencer позволяет создавать ускорители для каждого виртуального пакета. Эти ускорители пакетов в дальнейшем можно использовать для автоматического повторного создания тех же пакетов. Для упрощения и автоматизации создания пакетов сложных приложений также можно использовать ускорители пакетов, созданные корпорацией Майкрософт или сторонними разработчиками.

    Собираемые, обрабатываемые и передаваемые сведения.

    Ускорители пакетов приложений могут содержать такие сведения, как имена компьютеров, сведения учетных записей пользователей и сведения о приложениях в составе файла ускорителя пакета.

    Если планируется передача ускорителей пакетов приложений пользователям за пределами организации, следует проверить все параметры и удостовериться в том, что ускорители пакетов не содержат личных сведений или сведений компании. Для просмотра содержимого можно открывать файлы ускорителей пакетов в любом средстве просмотра XML-файлов. Ниже описаны способы просмотра и удаления сведений о компьютерах и пользователях из файлов ускорителей пакетов перед тем, как передать эти файлы пользователям за пределами организации.

    • Имя пользователя. При входе на компьютер, на котором выполняется программа App-V Sequencer, следует использовать универсальную учетную запись пользователя, например администратор. Не следует использовать учетную запись, основанную на имени существующего пользователя.
    • Имя компьютера. Для компьютера, на котором выполняется программа App-V Sequencer, следует указать общее имя, не позволяющее идентифицировать компьютер.
    • URL-адрес сервера. Используйте параметры по умолчанию для сведений о конфигурации URL-адреса сервера на вкладке Развертывание в консоли программы App-V Sequencer.
    • Приложения. Если не нужно передавать другим пользователям список приложений, установленных на компьютере, на котором выполнялась программа Sequencer при создании ускорителя пакетов, необходимо удалить файл appv_manifest.xml. Этот файл находится в корневом каталоге пакета виртуальных приложений.

    При использовании функции работы с ускорителями пакетов приложений никакие сведения не передаются в корпорацию Майкрософт.

  • DirectAccess(С исправлением и нормальным переводом)

    Введение

    Количество мобильных пользователей в последнее время все больше растет, они ведут активную работу за пределами своего офиса, но им все равно необходимо получать доступ к сетевым ресурсам организации. Несмотря на то, что они имеют возможность подключаться к Интернет, получить доступ к ресурсам интрасети у них не получается, так как у удаленных клиентов не будет доступа к ресурсам офиса из-за работы корпоративных брандмауэров. Пользователи обычно подключались к своим ресурсам при помощи виртуальных частных сетей (VPN). Но у них есть несколько недостатков, таких как: выполнение подключения в несколько этапов (нужно ожидать завершения проверки подлинности, которое может затянуться на несколько минут), вероятны проблемы c фильтрацией VPN-трафика, после разрыва соединения приходится заново устанавливать VPN-подключение.

    По этим причинам вместо виртуальных частных сетей пользователи обычно выбирают только шлюзы приложений,такие как Microsoft Outlook Web Access (OWA) , для доступа к внутренней электронной почте Microsoft Exchange и прочее. Но для открытия своих документов, которые расположены в интрасети , все равно приходится использовать VPN-подключение. В связи с появлением нового компонента – DirectAccess в операционных системах Windows 7 и Windows Server 2008 R2 отпадает необходимость использования виртуальных частных сетей.

    DirectAccess – это новый компонент операционных систем Windows 7 и Windows Server 2008 R2, который обеспечивает для сотрудников равные возможности доступа к корпоративной сети вне зависимости от того, работают они удаленно или на рабочем месте в офисе.При помощи DirectAccess пользователи, которые работают удаленно от интрасети,могут получать доступ к общим папкам, приложениям и веб-сайтам корпоративной сети, без подключения к виртуальной частной сети (VPN).

    DirectAccess позволяет устанавливать двухстороннюю связь с корпоративной сетью всякий раз, когда переносной компьютер пользователя с включенной функцией DirectAccessподключается к Интернету, – даже до того, как пользователь войдет в систему.Благодаря DirectAccess пользователям никогда не придется думать о том,подключены ли они к корпоративной сети. DirectAccess имеет свои преимущества и для ИТ-специалистов: сетевые администраторы могут управлять удаленными компьютерами за пределами офиса, даже когда эти компьютеры не подключены к виртуальной частной сети (VPN). С помощью функции DirectAccess организации,уделяющие большое внимание нормативным требованиям, могут обеспечить их соблюдение и для переносных компьютеров.


    Общие термины

    Интранет (Intranet, интрасеть) – в отличие от сети Интернет, это внутренняя частная сеть организации. Как правило , Интранет – это Интернет в миниатюре, который построен на использовании протокола IP для обмена и совместного использования некоторой части информации внутри организации. Чаще всего под этим термином имеют в виду только видимую часть Интранет – внутренний веб-сайт организации. Интранет – это как бы «частный» Интернет, ограниченный виртуальным пространством отдельно взятой организации. Интранет допускает использование публичных каналов связи, входящих в Интернет (VPN), но при этом обеспечивается защита передаваемых данных и меры по пресечению проникновения извне на корпоративные узлы.

    Брандмауэр или межсетевой экран – это комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.Основной задачей межсетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Сетевые экраны также часто называют фильтрами, так как их основная задача – не пропускать пакеты, не подходящие под критерии, определённые в конфигурации.

    VPN(Virtual Private Network – виртуальная частная сеть) – RFC4026 – название семейства технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети. Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия, уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии.

    IPsec (IP Security) – RFC4301 – набор протоколов для обеспечения защиты данных,передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

    IPv6 (Internet Protocol version 6) – это новая версия протокола IP, призванная решить проблемы, с которыми столкнулась предыдущая версия (IPv4) при её использовании в Интернете, за счёт использования адреса длиной128 разрядов вместо 32.

    Teredo – RFC4380 – представляет собой технологию транзита IPv6, которая обеспечивает подключение по протоколу IPv6 через IPv4 для узлов, расположенных в IPv4 за счет преобразования сетевых адресов (NAT), в связи с чем протоколу IPv6 временно назначается частный адрес IPv4.

    IP-HTTPS – это новый протокол для Windows 7 и Windows Server 2008 R2, который разрешает хостам, расположенным за веб-прокси или брандмауэром устанавливать связь путем туннелирования пакетов IPv6 в IPv4 в сессии HTTPS. HTTPSиспользуется вместо HTTP, при этом сервером веб-прокси не будет предпринята попытка анализировать этот поток данных и завершить соединение.

    В настоящее время эффективность IP-HTTPS не настолько хорошо продумана, как другие протоколы связи DirectAccess. Существуют несколько шагов, которые могут быть приняты для улучшения производительности. Возможность IPsec-шифрования между серверомDirectAccess и клиентом DirectAccess может быть отключена для дальнейшего повышения эффективности работы этого протокола. В настоящее время, компанияMicrosoft изучает дополнительные пути повышения эффективности этого протокола для будущих версий Windows.

    Triple DES (3DES) – RFC1851 – симметричный блочный шифр, созданный на основе алгоритма DES, с целью устранения главного недостатка последнего – малой длины ключа (56 бит), который может быть взломан методом полного перебора. 3DESиспользуется чаще, чем DES, который легко ломается при помощи современных технологий.

    NAP (Network Access Protection) – технология компании Microsoft, предназначена контролировать доступ к сети, построенной на основе главного компьютера, исходя из информации о состоянии системы клиентского компьютера. Впервые была использована в Windows XP Service Pack 3, Windows Vista и Windows Server 2008.

    ISATAP – представляет собой технологию, которая используется для обеспечения связи IPv6 между хостами IPv6/IPv4 через интернет-протокол IPv4-only. ISATAPможет быть использован для обеспечения подключения DirectAccess по протоколуIPv6 для функционирования хостов ISATAP в интрасети.

    NAT-PT устройства могут быть развернуты для доступа клиентам DirectAccess толькоIPv4-ресурсов интрасети. NAT-PT обычно настраивается для обеспечения охвата конкретныхDNS имен. После развертывания NAT-PT вносит необходимые преобразованияIPv6-в-IPv4, позволяющие клиентам DirectAccess иметь доступ к любым ресурсомIPv4, расположенным в указанном пространстве имен.

    Несмотря на то, что вWindows Server 2003 включена поддержка протокола IPv6, многие интегрированные приложения не поддерживают протокол IPv6. Таким образом, устройству NAT-PTтребуется доступ к ресурсам, которые запущены на серверах под управлениемWindows Server 2003. Кроме того, ресурсам, расположенным на серверах под управлением не-Windows операционных систем необходим NAT-PT в том случае, если сервер и его приложения поддерживают подключение по протоколу IPv6.

    Поскольку операционные системы WIndows 7 и Windows Server 2008 R2 не обеспечивают функциональностьNAT-PT, конфигурация NAT-PT выходит за рамки этого документа.

    DSCP (Differentiated Services Code Point, Точка кода дифференцированных услуг) –это поле в заголовке IP-пакета, которое используется в целях классификации передаваемой информации.

    HTTPS (Hypertext Transfer Protocol Secure) – расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, «упаковываются» в криптографический протокол SSL или TLS, тем самым обеспечивая защиту этих данных. В отличие от HTTP, для HTTPS по умолчанию используется TCP-порт 443.

    PKI (Public Key Infrastructure, Инфраструктура открытых ключей)– технология аутентификации с помощью открытых ключей. Основные механизмы PKI – установление доверия, система именования субъектов, обеспечивающая уникальность имени в рамках системы, связь имени субъекта и пары ключей (открытый и закрытый) с подтверждением этой связи средствами удостоверяющего центра, которому доверяет субъект, проверяющий правильность связи.

    6to4 – это переходный механизм, позволяющий передавать IPv6 пакеты черезIPv4-сети и не требующий создания двусторонних туннелей. Он, как правило,используется, когда конечный пользователь или сайт хотят получить соединение сIPv6-Интернетом, но не могут получить его от провайдера.

    Исключения NRPT. Всегда существуют некоторые имена, которые необходимо рассматривать отдельно от всех других имен. Эти имена не должны преобразовываться с помощью серверов DNS интрасети. Для того чтобы эти имена были разрешены DNS-серверами,необходимо добавить их в качестве исключения NRPT в настройках TCP/IPуказанного клиента.

    Если ни один DNS-сервер не указан в записях NRPT, то эта запись является исключением. Если имя DNSсоответствует записи в NRPT, которая не содержит адресов серверов DNS или вообще не соответствует записи в NRPT, то клиент DirectAccess посылает запросы имен с указанными настройками TCP/IP клиентов на DNS-сервер.

    Если на следующих серверах нет совпадений суффиксов имен записи NRPT для имен интрасети, то сервер создает NRPT-исключения:

    • WPAD сервера;
    • Сетевые сервера;
    • Сервера карантина

    Требования и соображения инфраструктуры

    Далее предоставлены следующие требования в инфраструктуре для развертывания DirectAccess:

    • Active Directory. Должен быть развернут хотя бы один сервер глобального каталога.Рабочие группы не поддерживаются.
    • Групповые политики. Групповые политики рекомендуются для обеспечения централизованного администрирования и развертывания настроек клиентов DirectAccess. При установке, мастер установки DirectAccess создает объекты и настройки групповых политик для клиентов DirectAccess и серверов DirectAccess.
    • Контроллер домена/DNS. Хотя бы один контроллер домена должен работать под операционной системой Windows Server 2008 SP2 или Windows Server 2008 R2.
    • Public key infrastructure (PKI) необходима для выдачи сертификатов компьютеров для проверки их подлинности при использовании Network Access Protection (NAP).Внешних сертификатов не требуется.
    • SSL-сертификаты для IP-HTTPS, установленные на DirectAccess должны иметь точку распространенияCLR, доступную из Интернета и в поле Subject должны содержать либо публичныйIPv4-адрес, присвоенный сервером DirectAccess, либо полное доменное имяDirectAccess сервера с IPv4 корпоративной сети, которое должно быть разрешено на Интранет DNS-сервере.
    • ПолитикиIPsec. DirectAccess использует политики IPsec, которые настраиваются и управляются при помощи брандмауэра Windows в режиме повышенной безопасности.
    • Разрешенные эхо-запросы трафика ICMPv6. Необходимо создать отдельные входящие и исходящие правила, которые разрешают эхо-запросы ICMPv6. Входящие правила необходимы для разрешения сообщений эхо-запросов ICMPv6 и применены для всех профилей.Исходящие правила разрешают сообщения эхо-запросов ICMPv6 и применяются для всех профилей, также рекомендуется для включения исходящих блоков. КлиентыDirectAccess, которые используют Teredo IPv6 для подключения к интрасети,используют ICMPv6 сообщения при создании схем связи.
    • ТехнологииIPv6. IPv6 и технологии преобразования ISATAP, Teredo и 6to4 должны быть доступны для использования сервера DirectAccess. Необходимо удалить именаISATAP на каждом из DNS-серверов, работающих под управлением Windows Server 2008 и более поздних версий.

    Подключение к интрасети с помощьюDirectAccess

    Благодаря компонентуDirectAccess можно забыть обо всех ограничениях использования виртуальных частных сетей при помощи автоматической установки двухстороннего соединения между клиентскими машинами и корпоративной сетью. Эта функция основана на таких стандартизированных технологиях, как протоколы IPSec и IPv6. Для проверки подлинности компьютера и пользователя DirectAccess использует протокол IPSec,что позволяет ИТ-администраторам управлять компьютером даже до того, как пользователь войдет в систему. Для шифрования обмена данными через Интернет вDirectAccess также используются такие методы, как Triple DES (3DES) и AES.

    Технология IPSec

    Протоколы IPsec работают на сетевом уровне (уровень 3 модели OSI). Другие широко распространённые защищённые протоколы сети Интернет, такие как SSL и TLS, работают на транспортном уровне (уровни OSI 4 – 7). Это делает IPsec более гибким,поскольку он может использоваться для защиты любых протоколов, базирующихся наTCP и UDP. В то же время увеличивается его сложность из-за невозможности использовать протокол TCP (уровень OSI 4) для обеспечения надёжной передачи данных.

    IPsec можно рассматривать как границу между внутренней (защищённой) и внешней (незащищённой) сетью. Эта граница может быть реализована как на отдельном хосте, так и на шлюзе,защищающем локальную сеть. Заголовок любого пакета, проходящего через границу,анализируется на соответствие политикам безопасности, то есть критериям,заданным администратором. Пакет может быть либо передан дальше без изменений,либо уничтожен, либо обработан с помощью протоколов защиты данных. Для защиты данных создаются так называемые SA (Security Associations) – безопасные соединения, представляющие собой виртуальные однонаправленные каналы для передачи данных. Для двунаправленной связи требуется два SA.

    Параметры политик безопасности и безопасных соединений хранятся в двух таблицах: базе данных политик безопасности (SPD – Security Policy Database) и базе данных безопасных соединений (SAD – Security Association Database). Записи в SPD определяют, в каких случаях нужно включать шифрование или контроль целостности, в то время как в SAD хранятся криптографические ключи, которые будут использованы для шифрования или подписи передаваемых данных. Если согласно SPD передаваемый пакет должен быть зашифрован, но в SAD нет соответствующего SA, реализацияIPsec по протоколу IKE согласовывает с другой стороной создание нового SA и его параметры.

    Политики IPSec позволяют выбрать надежный алгоритм шифрования 3DES, обеспечивающий большую безопасность,чем алгоритм DES. Если компьютеры предприятия являются частью домена Active Directory, для проверки подлинности основного режима IPSec можно использовать стандартный метод (Kerberos V5). Внедрять сертификаты открытого ключа для связей в интрасети не обязательно. Для компьютеров, подключенных к Интернету,не рекомендуется использовать протокол Kerberos V5 для проверки подлинности. В противном случае при согласовании основного режима каждый участник политикиIPSec посылает учетную запись компьютера в незашифрованном формате другим участникам. Учетная запись компьютера остается незашифрованной до тех пор, пока не будут зашифрованы все учетные данные на этапе проверки подлинности во время согласования основного режима. Злоумышленник может отправлять пакеты протоколаIKE, что повлечет раскрытие отвечающей стороной IPSec учетной записи компьютера и членства в домене. Поэтому для защиты компьютеров, подключенных к Интернету,рекомендуется использовать проверку подлинности с помощью сертификата.

    Фильтры IPSec находятся на уровне IP-стека сетевого протокола TCP/IP и, следовательно, могут анализировать все входящие и исходящие пакеты IP. За исключением небольшой задержки, необходимой для согласования доверительных отношений между двумя компьютерами, безопасность IPSec является прозрачной для приложений конечного пользователя и служб операционной системы.

    Технология IPv6

    Еще в Windows Server 2008был полностью реализован протокол IPv6, хотя по-прежнему поддерживается и протокол IPv4. Протокол IPv6 устанавливается и включается по умолчанию, его можно настроить посредством панели управления (в Центре управления сетями и общим доступом щелкните компонент Управление сетевыми подключениями).Если программное обеспечение на компьютере при обмене данными использует иIPv6-, и IPv4-адреса, сетевые функции в Windows Server 2008 сначала пытаются установить соединение по протоколу IPv6 (хотя это зависит от применяющихся правил выбора адресов, определенных в RFC 3484). В результате обеспечивается лучшая подключаемость приложений с поддержкой IPv6. Windows Server 2008 также обеспечивает полную поддержку политик безопасности протокола IP (IPsec) для трафика IPv6.

    Введение в протоколе IPv6поля «Метка потока» позволяет значительно упростить процедуру маршрутизации однородного потока пакетов. Поток – это последовательность пакетов, посылаемых отправителем определённому адресату. При этом предполагается, что все пакеты данного потока должны быть подвергнуты определённой обработке. Характер данной обработки задаётся дополнительными заголовками. Допускается существование нескольких потоков между отправителем и получателем. Метка потока присваивается узлом-отправителем путём генерации псевдослучайного 20-разрядного числа. Все пакеты одного потока должны иметь одинаковые заголовки, обрабатываемые маршрутизатором.

    При получении первого пакета с меткой потока маршрутизатор анализирует дополнительные заголовки,выполняет предписанные этими заголовками функции и запоминает результаты обработки (адрес следующего узла, опции заголовка переходов, перемещение адресов в заголовке маршрутизации и т. д.) в локальном кэше. Ключом для такой записи является комбинация адреса источника и метки потока. Последующие пакеты с той же комбинацией адреса источника и метки потока обрабатываются с учётом информации кэша без детального анализа всех полей заголовка.

    Время жизни записи в кэше составляет не более 6 секунд, даже если пакеты этого потока продолжают поступать. При обнулении записи в кэше и получении следующего пакета потока,пакет обрабатывается в обычном режиме и для него происходит новое формирование записи в кэше. Следует отметить, что указанное время жизни потока может быть явно определено узлом отправителем с помощью протокола управления или опций заголовка переходов, и может превышать 6 секунд.

    Существуют различные типы адресов IPv6: одноадресные (Unicast), групповые (Anycast) и многоадресные(Multicast).

    Адреса типа Unicastхорошо всем известны. Пакет, посланный на такой адрес, достигает в точности интерфейса, который этому адресу соответствует.

    Адреса типа Anycastсинтаксически неотличимы от адресов Unicast, но они адресуют группу интерфейсов. Пакет, направленный такому адресу, попадёт в ближайший (согласно метрике маршрутизатора) интерфейс. Адреса Anycast могут использоваться только маршрутизаторами.

    Адреса типа Multicastидентифицируют группу интерфейсов. Пакет, посланный на такой адрес, достигнет всех интерфейсов, привязанных к группе многоадресного вещания.

    Triple DES (3DES)

    Triple DES (3DES) –симметричный блочный шифр, созданный Уитфилдом Диффи, Мартином Хеллманом и Уолтом Тачманном в 1978 году на основе алгоритма DES, с целью устранения главного недостатка последнего – малой длины ключа (56 бит), который может быть взломан методом полного перебора. Скорость работы 3DES в 3 раза ниже, чем уDES, но криптостойкость намного выше – время, требуемое для криптоанализа 3DES,может быть в миллиард раз больше, чем время, нужное для вскрытия DES. 3DESиспользуется чаще, чем DES, который легко ломается при помощи современных технологий (в 1998 году организация Electronic Frontier Foundation, используя специальный компьютер DES Cracker, разбила DES за 3 дня). 3DES является простым способом устранения недостатков DES. Алгоритм 3DES построен на основе DES,поэтому для его реализации можно использовать программы, созданные для DES.

    Для обеспечения максимальной защиты от криптографических атак объем данных, зашифрованных одним ключом сеанса с помощью стандарта DES (Data Encryption Standard, стандарт шифрования данных) или Triple DES (3DES, тройной DES), не должен превышать 100МБ. В среде с высоким уровнем безопасности присутствует возможность использования времени жизни ключей сеанса MD5 или алгоритма SHA-1 (Secure Hash Algorithm) для получения более короткого времени, чем значения по умолчанию,чтобы обеспечить усиленную защиту против криптографических атак в будущем.

    В некоторых сценариях могут существовать действующие ограничения на время жизни ключей. Чем короче время жизни ключа, тем больше ресурсов процессора используется для его обновления. Это может ограничить число активных сопоставлений безопасностиIPSec, используемых компьютером, или пропускную способность для трафика,защищенного IPSec.

    Неоднократная смена ключа сеанса может привести к раскрытию общего секрета Диффи-Хелмана. Поэтому требуется установление предельного числа ключей сеанса быстрого режима, которые могут быть получены на основе согласования основного режима.

    При включенном параметре«Основной ключ безопасной пересылки (PFS)» предел для ключей сеанса не используется. Задание в качестве предела ключа сеанса значения 1 идентично включению PFS основного ключа. Если заданы и срок жизни основного ключа, и предел ключа сеанса, то новое согласование основного режима выполняется по достижении любого из этих пределов. По умолчанию политика IPSec не ограничивает количество ключей сеанса.

    Группы Диффи-Хелмана используются для определения длины основных простых чисел (материала для ключа), используемых при обмене ключами. Криптографическая надежность любого полученного ключа частично зависит от силы группы Диффи-Хелмана, на которой основаны простые числа.

    Группа 2048 (высокая)надежнее, чем группа 2 (средняя), которая в свою очередь надежнее, чем группа 1 (низкая). При использовании более надежной группы ключ, получаемый при обмене Диффи-Хелмана, является более надежным, и злоумышленнику сложнее получить его.

    IKE согласовывает использование группы, гарантируя невозможность сбоя согласования по причине несовпадения групп Диффи-Хелмана на сторонах соединения.

    Если включен параметр PFSосновного ключа, новый ключ Диффи-Хелмана согласовывается при первом согласовании сопоставления безопасности быстрого режима. Этот новый ключ устраняет зависимость ключа сеанса от обмена данными Диффи-Хелмана,выполняемого для основного ключа.

    У инициирующей и отвечающей сторон должен быть включен режим PFS для ключей сеанса, иначе происходит сбой согласования.

    Для согласования сопоставлений безопасности основного и быстрого режимов используется одна и та же группа Диффи-Хелмана. При включении PFS-ключей сеансов группа Диффи-Хелмана(несмотря на то, что она задается как часть согласования сопоставления безопасности основного режима) влияет на все смены ключа во время установки ключа сеанса.

    Туннельный режим IPSec

    Клиенты устанавливают туннель IPSec для передачи трафика IPv6 на сервер DirectAccess, который выступает в роли шлюза для доступа к интрасети. При использовании туннельного режима IPSec зашифровывает заголовок IP и полезные данные, тогда как в режиме транспорта зашифровываются только полезные данные IP. Туннельный режим обеспечивает защиту всего пакета IP, рассматривая его как полезные данные AH или ESP. При использовании туннельного режима весь пакет IP инкапсулируется в заголовок AHили ESP и в дополнительный заголовок IP. IP-адреса внешнего заголовка IPуказывают конечные точки туннеля, а IP-адреса инкапсулированного заголовка IPуказывают исходную точку и точку назначения пакета.

    Туннельный режим IPSecполезен для защиты трафика между различными сетями в том случае, когда трафик проходит через промежуточную сеть, не имеющую доверительных отношений. Однако туннельный режим используется главным образом для обеспечения взаимодействия со шлюзами или конечными системами, которые не поддерживают туннелированиеL2TP/IPSec или PPTP.

    Форсированное туннелирование

    По умолчанию удаленные клиенты DirectAccess имеют доступ к сети Интернет, Интранет, и их локальной подсети одновременно. Клиенты DirectAccess настроены для отправки всех имен запросов интрасети на DNS-сервера интрасети и неизвестные запросы или исключения для DNS-серверов провайдера. Это стандартный режим работыDirectAccess.

    Для того, чтобы форсировать весь интранет- или интернет-трафик, исходящий от клиентаDirectAccess, можно использовать форсированное туннелирование. Можно включить форсированное туннелирование при помощи следующего параметра групповой политики:

    Конфигурация компьютера\Административные шаблоны\Сеть\Сетевые подключения\ Маршрутизировать весь трафик через внутреннюю сеть.

    Когда форсированное туннелирование включено, весь трафик клиента DirectAccess становится трафикомIPv6 и будет перенаправлен в интрасеть над туннелем IP-HTTPS. Клиенты с включенным форсированным туннелированием по-прежнему будут иметь доступ ко всем ресурсам в их локальной сети, такие как сетевые принтеры, но любой сетевой трафик за пределами локальной подсети будет трафиком IPv6.

    Туннели IPSecобеспечивают безопасность только для трафика IP. Туннель предназначен для защиты трафика между двумя IP-адресами либо между двумя подсетями IP. Если туннель используется между двумя компьютерами, а не между двумя шлюзами, адресIP за пределами полезных данных AH или ESP совпадает с IP-адресом внутри полезных данных AH или ESP. На следующем рисунке отображен клиент DirectAccess,устанавливающий соединение с сервером DirectAccess.

    Клиент DirectAccess устанавливает следующие туннели IPSec:

    1. Туннель IPSec ESP с использованием сертификата компьютера. Первый туннель от клиента DirectAcecss к серверуDirectAccess обеспечивает доступ к IPv6-адресам DNS-серверов и контроллеров домена AD DS. Это туннель IPsec ESP с использованием сертификата компьютера для первой аутентификации и пользователя (NTLMv2) для второй аутентификации. Учетные данные пользователя (NTLMv2) используются для того,чтобы заставить использовать AuthIP и обеспечивают клиента DirectAccess доступом к DNS и контроллеру домена, прежде чем они могут быть использованы Kerberos на втором туннеле.
    2. Туннель IPSec ESP с использованием сертификата компьютера и учетных данных пользователя. Этот туннель позволяет выбрать метод проверки подлинности по умолчанию для подключений IPSec на локальном компьютере. Изначально используется способ проверки подлинностиKerberosV5. Среди других ограничений, которые можно выбирать, есть ограничение подключений к компьютерам или пользователям, присоединенным к домену, а также ограничение подключений к компьютерам, у которых есть сертификат от указанного центра сертификации. К примеру, текущий туннель создается для того, чтобы клиент Microsoft Outlook мог загрузить электронную почту с сервера Microsoft Exchange в интрасети.

    После создания туннелей к серверу DirectAccess клиент может отправлять по ним трафик в интрасеть. СерверDirectAccess можно настроить таким образом, чтобы он контролировал, какие приложения могут запускать удаленные пользователи и к каким ресурсам в интрасети им предоставлен доступ.

    Клиенты DirectAccessмогут подключаться к ресурсам в интрасети с использованием двух типов защитыIPsec: end-to-end и end-to-edge.

    End-to-End – сквозная защита

    Защита end-to-endзначительно повышает безопасность и понижает административные расходы в том случае, если развернуто IPsec-шифрование в вашей корпоративной сети. Эта защита также может предусматривать дополнительные расходы для приобретения аппаратного обеспечения IPsec, сетевых адаптеров и пр. Поэтому, прежде чем разворачиватьIPsec для любого частного случая, следует тщательно проанализировать потенциальные угрозы, от которых может избавить политика IPsec.

    Защита безопасностиend-to-end устанавливает доверие и безопасность от одноадресного источникаIP-адреса на адрес назначения IP-адреса (peer-to-peer). Можно использовать эту возможность IPSec при обеспечении серверных сценариев, для которых разрешается доступ к серверу только для доверенных компьютеров. В сценариях, защищающих сервер, можно использовать IPSec для контроля доступа ко всем приложениям и службам, работающим на сервере, а затем или шифровать данные, или давать аутентификацию для всего трафика для приложений, используемых по сети.Компьютеры (IPSec peers) проходят проверку подлинности, используя KerberosV5 на основе сертификатов открытых ключей, или, в случае необходимости,предварительных ключей аутентификации.

    При защите end-to-end,клиенты DirectAccess устанавливают сеанс IPSec (показан зелеными стрелками)через сервер DirectAccess с каждым сервером приложений, к которому они подключаются. Это обеспечивает высочайший уровень безопасности, поскольку на сервере DirectAccess можно настроить управление доступом. Однако для такой архитектуры необходимо, чтобы серверы приложений работали под управлением ОСWindows Server 2008 или Windows Server 2008 R2 и использовали оба протокола –IPv6 и IPSec.


    End-to-Edge – полная защита

    Модель полного доступа интрасети позволяет клиентам DirectAccess подключаться ко всем ресурсам внутренней сети Интранет. Это можно реализовать при помощи основных политик IPsec-туннеля,которые требуют аутентификации и шифрования, превращая IPsec-сессию вIPsec-шлюз. IPsec-шлюз является функцией, которая размещается на сервереDirectAccess по умолчанию, но может быть перенесен на отдельный компьютер.

    Эта модель доступа работает с серверами приложений под управлением Windows Server 2003 и защищенного трафика IPsec, расположенного в интранете. Из-за сходства с VPN эта модель может быть развернута в быстрые сроки. Для обеспечения высочайшего уровня безопасности следует использовать протоколы IPv6 и IPsec во всей организации, а также желательно обновить серверы приложений до ОС Windows Server 2008 или Windows Server 2008 R2.

    Сервер шлюза IPsecперенаправляет незащищенный трафик на серверы приложений в интрасети. Такая архитектура не требует поддержки протокола IPsec в интрасети и пригодна для любых серверов приложений, использующих протокол IPv6.

  • AD RMS: Часть 2 – защита документов(Исправлено)

    Windows Rights Management Services Client на текущий момент имеет второй пакет обновлений и загружается в зависимости от архитектуры вашей системы.

    Клиент управления правами Microsoft Windows (SP2) x86

    Клиент управления правами Microsoft Windows (SP2) x64

    Клиент управления правами Microsoft Windows (SP2) IA64

    Поскольку я использую Windows 7, то хлопоты с установкойRMS-клиента меня обошли стороной. Свой клиентский компьютер я включил в домен,предварительно настроив сеть следующим образом: IP- 192.168.0.3; Маска –255.255.255.0; DNS – 192.168.0.1

    Для экспериментов мне понадобится несколько учетных записей,каждая из которых обязана иметь заполненный атрибут «электронный ящик».

    ад4

    Поэтому я создал новое организационное подразделение Accounts и пять учетных записей с прописанными эл. адресами. В моей сети отсутствует Exchange-сервер, посему были прописаны адреса почты, хранящейся у провайдера. Прошу заметить, что все учетные записи имеют полномочия обыкновенных доменных пользователей.

    Перед тем как перейти к защите документов, мы должны выполнить еще одно действие – добавить узел adrms.itband.ru (а мы помним, что это имя нашего rms-кластера) в список узлов Местной Интрасети клиентских браузеров IE 8. Зачем это делается? Когда клиент пытается защитить документ,он обращается по протоколу https к кластеру AD RMS, и если узел кластера не вписан в местную интрасеть, у пользователя повторно запрашивается имя и пароль. Нам это естественно не нужно.

    Чтобы максимально автоматизировать процесс добавления,создаем групповую политику «IE Security Zone» и прицепляем ее к организационному подразделению Accounts.

    ад8

    В этой политике разворачиваем: Конфигурацию Пользователя–> Административные Шаблоны –> Компоненты Windows –> Internet Explorer–> Панель Управления браузером –> Вкладка Безопасности –> Список назначений зоны безопасности для веб-сайтов.

    ад9

    Включим данный параметр и прописываем для узла adrms.itband.ru значение равное единице. (1) – это код зоны Местной Интрасети, о других кодах можно прочитать в справке, идущей вместе с параметром политики.

    ад10

    Создав политику, применяем ее на клиенте, путем запуска команды gpupdate /force и проверяем результат. В настройках IE8 на клиенте имя нашего кластера должно быть в Местной Интрасети.

    ад11

    Теперь все готово для проверки RMS. Выполняем вход наWindows 7 от имени учетной записи Bgatesи создаем тестовый документ Word 2007.Как только он будет готов, выбираем в меню опцию «Подготовить»–> «Ограниченный доступ».Если данной опции вы не видите, значит на вашей рабочей станции стоит младший выпуск офиса и вам стоит еще раз вернуться к первой части статьи и посмотреть,с помощью каких выпусков можно защищать документы.

    ад1

    При первой попытке защитить документ ваш компьютер запустит процедуру настройки, и, если у вас все предварительные шаги выполнены правильно, то результатом будет вывод окна ограничения прав.

    ад12

    Начнем с простого, разрешим только «Чтение» и только одной учетной записи Sbalmer, прописав в поле чтение его электронный адрес. Сохраняем документ в доступное учетной записи Sbalmer место и выполняем под ней вход.

    ад13

    Открыв тот же самый документ под пользователем Sbalmer, видим появившееся предупреждение об ограничение доступа к данному документу. Пытаемся изменить,сохранить, скопировать и видим, что сделать этого не удается. Тем кто думает,что клавиша Print Screen спасет отцов «русской демократии»сразу отвечу: не спасет! Print Screenне работает. И вам остается либо смириться с данными правами, либо запросить дополнительные разрешения у автора документа, отослав ему письмо по электронной почте.

    ад3

    Может возникнуть вопрос: что же увидит человек, у которого вообще нет прав на данный документ?А увидит он сообщение о невозможности открыть файл, по причине отсутствия полномочий. И предложение эти права запросить. Учтите, что в NTFS разрешения на данный документ могут быть хоть Full, но это никак не поможет получить доступ к его содержимому.

    ад18

    Снова заходим под учетной записью Bgates и открываем «Ограничение разрешений»,только теперь с дополнительными параметрами. Из появившихся любопытных прав:разрешить Печать содержимого и ограничить срок жизни документа. Если по печати все понятно, то срок действия документа рассмотрим подробней.

    Срок действия документа указывает, как долго будут действовать установленные ограничения.По окончанию срока жизни доступ к документу сможет получить только пользователь, имеющий «Полный Доступ».

    ад2

    Все остальные получают сообщение об истечении срока разрешений. Звучит красиво, но я столкнулся с некоторыми трудностями.

    Трудность первая: запоздалая реакция. Мною был создан документ и установлены разрешения со сроком до 12октября. После чего я открыл документ 12 октября в 00:08 и с удивлением обнаружил, что он по-прежнему доступен. Поскольку это был час ночи, продолжать изыскания не хотелось. Утром же вернувшись к этому документ снова, я получил сообщение об истекшем сроке разрешений, т.е. права сработали.

    ад

    Трудность вторая: странное поле. Открывая защищенный документ можно увидеть свои права, в том числе и до какого числа они действительны. Мне на данный момент не ясно, что значит «Срок действия разрешений 60 дней», указанный выше. Логически я понимаю,что там должно быть количество дней до часа Х. (На картинке 16 октября). Откуда взялись 60 дней?

    Вывод. Со сроком действия разрешений нужно разбираться и разбираться, если кто прояснит ситуацию, я буду очень благодарен.

    И еще одна капля дегтя. Все свои эксперименты я провожу в виртуальной среде, каждая виртуальная машина имеет по 1.5 Gb оперативной памяти и находится на личном жестком диске. Когда я открываю защищенный документ, либо защищаю новый, время на открытие или защиту документа иногда превышает 45–50 секунд. И это при условии,что между компьютерами нет медленных каналов. Я допускаю, что это особенности виртуализации, но очень похоже на тормоза «by design». Пока вывода сделать не могу,но если это норма, сотрудники будут «не рады» однозначно.

    Важно понять следующее:

    1. Разрешения можно давать как пользователям, так и любым группам Безопасности. Главное, чтобы эти группы имели заполненный атрибут «эл.ящик». Соответственно, разрешения будут действовать на членов этой группы.

    2. Большинство пользователей не будет разбираться с расширенными разрешениями, поэтому наша цель – свести их клики к минимуму.

    Давайте сформируем примитивную задачу: Bgates является начальником ИТ-отдела и ежедневно распространяет среди своих сотрудников документы. Он хочет чтобы ИТ-сотрудники имели одно право – на чтение этих документов. Все остальные не могли бы даже открыть его приказы.

    В тоже время в отделе есть ИТ-менеджер Sbalmer, который имеет высокую степень доверия и должен на некоторые документы иметь полные права.

    Для решения этой задачи создаем две группы безопасности: IT full и IT Read.

    ад5

  • AD RMS: Часть 1 – развертывание(Отредактировано)

    Несмотря на то, что служба AD RMS в Windows 2008 R2 является уже четвертым выпуском службы управления правами, она по-прежнему остается «редким зверем» в зоопарке ИТ-решений российских системных администраторов. Ответить на вопрос, почему так сложилось, довольно сложно, возможно, отчасти из-за недопонимания сути технологии и некоторых требований к уже имеющейся инфраструктуре, отчасти из-за ее несколько показушной защиты. Я не буду пытаться хвалить или наоборот выливать ушат грязи на AD RMS, а попытаюсь провести некий экскурс по ее настройке и администрированию, дабы читатель сам смог решить вопрос о необходимости подобного решения.

    Отличие AD RMS от других средств защиты данных

    Согласно модели защиты «Defense-in-Depth»на каждом из 7 уровней действуют свои средства обеспечения безопасности и если начать их перечислять, то станет понятно, подавляющее их большинство препятствует получению злоумышленником доступа к данным компании. И только лишь шифрование остается последнее преградой, когда информация находится в руках у злоумышленника. Задача AD RMS –сохранить конфиденциальность данных, при этом добавив гибкости и свободы в их распространении.

    Пример из жизни.Вы хотите опубликовать в рамках своего департамента эл. документ,распространение будет осуществляться самыми различными способами (эл. почта,копирование по сети, CD, Flash-носители). При всем этом у вас есть строгое требование: ограничить круг читателей документа сотрудниками вашего департамента, а также быть уверенным в том, что документ не будет модифицирован или распечатан. Это задача вполне под силу AD RMS.

    Вывод. AD RMSсоздан для обеспечения конфиденциальности документов независимо от способа хранения и распространения. Документы, защищенные AD RMS, шифруются, а автор может устанавливать разрешения для тех, кто получит доступ к данным.

    Список возможных ограничений прав:

    • Чтение, Изменение, Печать
    • Срок действия документа
    • Запрет пересылки электронного письма
    • Запрет печати электронного письма

    Клиентскими операционными системами могут выступать:

    • Windows 2000
    • Windows XP
    • Windows 2003 /2003 R2
    • Windows Vista
    • Windows 7
    • Windows Server 2008 /2008 R2
    • Windows Mobile 6

    При наличии продуктов Exchange Server 2007 SP1 и SharePoint Server 2007 после установки AD RMS появляются дополнительные средства обеспечения безопасности. В частности в SharePoint Server 2007 появится возможность защищать библиотеки документов.

    Необходимые условия для внедрения.

    Как я уже сказал, AD RMS выдвигает определенные требования к существующей ИТ-инфраструктуре. Для того, что бы понять, как будет выглядеть наше решение, предлагаю рассмотреть Рис.1

    image

    Рис. 1. Компоненты решения AD RMS

    Стартовой площадкой и обязательным условием является наличие работоспособной службы Active Directory Domain Services (AD DS). При этом контроллер домена обязан быть на базеWindows Server 2000 SP3 или более поздних версий ОС. AD RMS перекладывает на службу AD DS задачу аутентификации и хранит в каталоге необходимый клиентам URLгруппы AD RMS серверов. Все пользователи и группы пользователей, которые будут работать с AD RMS должны иметь адрес электронной почты, настроенный в Active Directory DS. Это необходимо для получения доступа к защищенному содержимому и самостоятельной публикации защищенных документов.

    Как и большинство продуктов Microsoft AD RMS требует наличия сервера баз данных, а именно SQL-сервера. Поскольку мы говорим об AD RMS на платформе Windows Server 2008 R2, то следует учесть отсутствие поддержкиMicrosoft SQL Server 2000. Поэтому в качестве SQL-сервера следует использовать версии Microsoft SQL 2005/2008. При отсутствии SQL допускается использование внутренней базы Windows (Windows Internal Database), что сразу накладывает ограничение в использовании только одного сервера AD RMS.

    Клиентами могут выступать операционные системы Windows 2000, Windows XP и Windows 2003; при этом для работы с AD RMS на них будет необходимо установить клиентскую часть (AD RMS Client), скачиваемую с сайта Microsoft. С выходом Windows Vista SP1 и Windows 7 ситуация несколько упростилась, теперь клиент RMS интегрирован и дополнительной установки не требует. С версиямиMicrosoft Office также есть определенный нюанс, так Office 2007 Ultimate, Professional Plus, Enterprise дают возможность как защищать документы, так и пользоваться защищенными. В то время как более дешевые выпуски допускают только работу с уже защищенными файлами.

    Ну и наконец, сам AD RMS сервер. С появлением Windows Server 2008/2008 R2 служба управления правами изменила имя и стала компонентом операционной системы, устанавливаемым как роль сервера. Эта роль отвечает за предоставление лицензий контроля доступа к содержимому. При установке первогоAD RMS сервера, создается корневой кластер AD RMS. Для повышения отказоустойчивости и доступности впоследствии возможно добавить к корневому кластеру дополнительные AD RMS сервера. Важно понимать, что в лесу Active Directory может существовать только один корневой кластер AD RMS и несколько дополнительных AD RMS серверов лицензирования. Фактически AD RMS licensing-onlyсервер представляет собой филиальное решение, которое может быть развернуто для увеличения производительности и понижения использования WAN-канала в случае нахождения клиентов и AD RMS кластера в разных сайтах.

    Развертывание

    Самый просто способ понять AD RMS и разобраться в его работе– это настроить самостоятельно тестовый стенд. Развертывание я буду производить в виртуальной среде, состоящей из двух серверов: Server1 и Server2.

    Server1.

    ОС: Windows 2008 R2

    Является контроллером домена (itband.ru) в лесу Active Directory уровня Windows 2008 R2. Сетевой интерфейс сконфигурирован следующим образом: IP – 192.168.0.1; Маска подсети: 255.255.255.0; DNS – 192.168.0.1. Для тех, кто испытывает трудности с настройкой службы AD DS, я записал видео-демонстрацию. Скачать Видео «Поднятие первого контроллера домена в лесу (Server1)» можно по этой ссылке.

    Поскольку AD RMS требует для работы SQL-сервер и при настройке создает две базы данных (Configuration Databaseи Logging Database) мы установим его (SQL) на Server1. При настройке я использовал SQL Server 2008 Standart x64; сразу замечу, что из всего многообразия компонент SQL для AD RMSнужны компоненты Database Engine и полный набор Средств Управления.После инсталляции SQL Server 2008 в обязательном порядке требуется установка пакета обновления SP1, который добавляет совместимости с Windows 2008 R2.Читателям, не имеющим опыта инсталляций SQL Server 2008, будет интересно видео«Установка SQL Server 2008 на Server1», которое скачивается по ссылке.

    Server2.

    ОС: Windows 2008 R2

    Данный сервер нам и предстоит настроить, установив на нем службу управления правами Active Directory. Сервер является членом доменаitband.ru, со следующей конфигурацией сети: IP – 192.168.0.2; Маска подсети:255.255.255.0; DNS – 192.168.0.1.

    Запускаем «Диспетчер сервера» и открываем добавление новых ролей.

    ad2

    Прошу заметить, что AD RMS создает веб-сервис, и поэтому на нашем сервере должен быть установлен веб-сервер IIS с включенным ASP.NET;впрочем, добавление IIS производится автоматически при запуске установки AD RMS.

    ad3

    Служба AD RMS состоит из двух компонентов «Сервер управления правами Active Directory» и «Поддержка удостоверений в службе федераций».Нас интересует первый компонент. «Поддержка удостоверений в службе федераций»требуется в случае развертывания AD RMS в среде, состоящей из нескольких независимых компаний. Мы же создаем решение, которое будет использоваться только нашими сотрудниками, поэтому данную опцию опускаем.

    ad4

    Дальше все просто, мастер спрашивает, желаем ли мы создать новый кластер AD RMS или хотим добавить сервер AD RMS в уже существующий.Поскольку это первый сервер управления правами в нашей сети, оставляем вариант «Создать новый кластер». (Другой вариант, собственно, нам выбрать и не позволено).

    ad5

    На следующем окне, мы обязаны указать место хранения базы конфигурации AD RMS и вариантов у нас несколько. Первый: «Использовать внутреннюю базу данных Windows», – с одной стороны плюс в том, чтоSQL становится не нужен, но недостаток заключается в невозможности впоследствии добавить к ферме дополнительные сервера. Поэтому, выбираем другой сервер баз данных и прописываем Server1 (а именно на нем у нас стоит SQL).

    На данном этапе можно столкнуться с трудностью. При попытке получить экземпляры SQL-сервера и проверить их, сервер задумывается и сообщает о невозможности завершения операции. Все довольно просто, проблема в брандмауэре на Server1, который блокирует нужные для SQL порты. Поэтому знакомимся со статьей «Как настроить брандмауэр Windows для доступа к компоненту Database Engine»либо качаем короткое видео, где эта процедура демонстрируется.

    image

    Я поступил просто и разрешил работу Sqlservr.exe через брандмауэр, фактически же нас интересует открытие портов 1433 и 1434.

    ad6

    После выбора сервера баз данных, необходимо указать учетную запись, от имени которой будет работать служба управления правами.Обыкновенного доменного пользователя будет достаточно. Не забываем отключить устаревание пароля для нее и запрет смены.

    Важно. Если рольAD RMS устанавливается на контроллере домена, у учетной записи должны быть полномочия доменного администратора, что с точки зрения безопасности совсем не здорово. Поэтому такая инсталляция очень сильно расходится с «Best Practice».

    ad7

    При настройке кластера создается ключ, которым будут подписываться лицензии, выдаваемые клиентам. Также ключ понадобится при добавлении нового AD RMS сервера или при восстановлении после сбоя. Возникает вопрос «Где он будет храниться?» AD RMS имеет собственное защищенное хранилище, выбор которого является предпочтительным вариантом, поскольку позволяет сделать ключ доступным всем AD RMS серверам и требует минимум участия администратора. Поэтому я остановился на варианте «Использовать централизованное хранилище ключей». В противном случае ключ сохранится в локальном защищенном хранилище и распространять его придется вручную.

    ad8

    Далее задаем пароль, которым будет зашифрован ключ кластера.Пароль должен быть сложным и поступать с ним по принципу «ввел и забыл»ни в коем случае нельзя. При добавлении второго AD RMS сервера или восстановлении первого, вам придется его вспоминать.

    ad9

    Указываем на каком веб-сайте будет запущен веб-сервис AD RMS. Я не стал изобретать велосипед и оставил веб-сайт по умолчанию.

    ad10

    Теперь надо указать имя и порт, по которому пользователи будут подключаться к AD RMS кластеру. Поскольку безопасность превыше всего, я выбрал SSL. Имя, по которому пользователи будут обращаться к кластеру, я задалadrms.itband.ru, не забыв при этом создать на DNS-сервере CNAME-запись ссылающуюся на Server2.

    ad11

    Выбор имени и порта особенно важен, если учесть, что впоследствии эти данные будет невозможно поменять.

    ad12

    Так как на предыдущем экране мы сказали, что подключения к кластеру AD RMS будет осуществляться по протоколу https, у мастера возникает резонный вопрос «Где сертификат веб-сервера для установки безопасного канала?»

    Варианты действий:

    1. Создать самоподписанный сертификат. Самый простой путь, но к сожалению абсолютно непригодный для реальных сценариев развертывания. Ибо кроме IIS-сервера, этот сертификат придется запихивать на каждого клиента.

    2. Выбрать существующий сертификат SSL. Т.е. каким то центром этот сертификат уже должен быть выдан. Вариантов два: купить сертификат у коммерческого CA либо настроить свой СА на базе Active Directory Certificate Services. У каждого пути свои плюсы и минусы. Моя точка зрения следующая: если вы планируете получать доступ к документам, защищенным AD RMS с компьютеров расположенных за пределамивашей корпоративной сети, то лучше купить сертификат у коммерческого центра. В противном случае, свой центр сертификации – более дешевый, более быстрый и более логичный пусть. Именно эти путем и будем следовать мы, но, как вы могли заметить, Active Directory Certificate Services я не настраивал, поэтому пока выбираю третий вариант.

    3. Выбрать сертификат для шифрования SSL позднее. Установку мы сможем продолжить, но для работыAD RMS сертификатом придется разжиться позднее.

    ad13

    Вводим имя AD RMS кластера, оно должно быть простым и понятным, по умолчанию именем кластера является имя первого сервера.

    ad14

    Далее мастер спрашивает, регистрировать ли сейчас точку подключения службы AD RMS. Service connection point (SCP или точка подключения) не что иное, как запись URL-а (ссылки) на ваш кластер, которая хранится в базе AD DS и естественно будет доступна членам вашего домена, которые могут захотеть к этому кластеру подключиться. И вот когда они захотят, то возьмут URL кластера прописанный в SCP. Если процедура установки запущена от учетной записи, входящей в группу Enterprise Administrators (Администраторы предприятия), то регистрацию можно выполнить сразу.

    ad15

    Настройки AD RMSзакончены, и мастер переходит к веб-серверу IIS. IIS 7 в Windows 2008 стал до неприличия модульным и предлагает указать, какие компоненты необходимо установить. В оригинальной инструкции по установке AD RMS предлагается оставить компоненты, заданные мастером установки и перейти далее. Я же в своей инсталляции выбрал все компоненты, кроме FTP-сервера.

    ad16

    Все параметры введены, и стартует мастер установки, чьего окончания работы необходимо дождаться.

    ad17

    Если вы все делали правильно, и луна находилась в нужной фазе, по окончанию работы мастера установки должно появиться окно, говорящее об успешности добавления ролей и необходимости завершения сеанса с повторным входом перед дальнейшей работой с AD RMS.

    Теперь главной задачей является получение сертификата для веб-сервера IIS, используемого нашей службой AD RMS. Поскольку я не собираюсь покупать сертификат, то на Server1 добавляю роль Active Directory Certificate Services. Никакого дополнительного конфигурирования она не потребует, но если у вас возникнут с ней трудности, то скачиваем видео“Установка AD CS”.

    ad18

    Установив Службу Сертификации на Server1, возвращаемся на AD RMS (Server2) и открываем оснастку Диспетчер служб IIS. В ней на уровне веб-сервера ищем значок Сертификаты сервера и запускаем его.

    ad25

    В действиях выбираем «Создать сертификат домена» и заполняем необходимую для сертификата информацию. Полное имя должно нести FQDNвашего кластера AD RMS. В противном случае, при подключении к кластеру вы получите ошибку, говорящую о том, что сертификат был выдан совершенно для другого узла. Делаем все правильно и следуем далее.

    ad26

    В следующем окне надо задать два блока, первый определяет центр сертификации; если все работает нормально, то задать его можно по кнопке «Выбрать».Второй блок – «Понятное имя»– имя данного сертификата, по которому его сможет легко отличить администратор.

    ad27 - копия

    Если предыдущий шаг завершился успешно, на вашем сервере появился выданный сертификат, но пока он не используется. Это положение легко исправить, открыв Default Web Site и выбрав действие «Привязки». В открывшемся окне изменяем подключение по https, указав прослушиваемый IP-адрес и используемый сертификат.Если возникли трудности с оснасткой IIS – качаем видео «Запрос и установка сертификата для IIS».

    Вот и все, развертывание службы AD RMS завершено. Что дальше? Дальше будет установка через Групповые политики на старые ОС клиента RMS, прописывание адресов для пользователей,настройка шаблонов и многое-многое другое. Все это будет описано в следующих частях серии, посвященной Active Directory Rights Management Services.

  • Установка Search Server 2010 Express(Исправлено)

     

    В данной статье даются инструкции по чистой установке Microsoft Search Server 2010 или Microsoft Search Server 2010 Express на один компьютер. Существует два основных варианта установки любого из этих продуктов.

    • Вариант изолированной установки. При выборе этого варианта процесс установки автоматически установит Microsoft SQL Server 2008, экспресс-выпуск и все остальные необходимые программные компоненты на один и тот же компьютер. Это дает возможность развернуть полностью функциональное решение поиска на одном сервере. После выбора варианта изолированной установки остальная часть процесса установки выполняется полностью автоматически.
    • Вариант расширенной установки. При выборе этого варианта указывается база данных SQL Server, которая должна использоваться с продуктом. Эта база данных может быть как на том же компьютере, что и Microsoft Search Server 2010, так и на другом. Для Search Server 2010 Express выбор расширенной установки позволяет позднее добавлять в развертывание только веб-серверы. Для Microsoft Search Server 2010 выбор расширенной установки позволяет позднее добавлять в развертывание серверы приложений и веб-серверы. Во время расширенной установки необходимо использовать один из двух выпусков Microsoft SQL Server, приведенных в статье "Определение требований к оборудованию и программному обеспечению (SQL Server)".

    Во время расширенной установки необходимо использовать один из двух выпусков Microsoft SQL Server, приведенных в статье Требования к оборудованию и программному обеспечению (Search Server 2010).

    Установка Search Server 2010 Express

    Чтобы установить Search Server 2010 Express и приступить к его настройке, необходимо выполнить следующие действия.

    1. Проверка выполнения требований к оборудованию и программному обеспечению.
    2. Загрузка Search Server Express.
    3. Запуск средства подготовки продуктов и технологий Microsoft SharePoint 2010.
    4. Установка продукта.

    Эти процедуры рассматриваются в последующих разделах данной статьи. Учетная запись пользователя, в которой выполняются эти процедуры, должна быть членом группы администраторов на локальном компьютере.


    Проверка выполнения требований к оборудованию и программному обеспечению

    Прежде чем начать установку, необходимо выполнить следующее.

    • Убедиться, что удовлетворяются все требования к оборудованию и программному обеспечению, как описано в статье Требования к оборудованию и программному обеспечению (Search Server 2010).

      Рекомендуется устанавливать Search Server 2010 Express на новую установку операционной системы.

    • Загрузить следующее исправление, которое предоставляет метод для поддержки проверки подлинности маркеров без защиты транспорта или шифрования сообщений в Windows Communication Foundation (WCF) с пакетом обновления 1 (SP1) платформы .NET Framework 3.5. Загрузить версию исправления, соответствующую используемой версии Windows Server 2008.
    • Удалить роль Windows PowerShell при работе с Windows Server 2008 с пакетом обновления 1 (SP1) или с пакетом обновления 2 (SP2). Средство подготовки продуктов Microsoft SharePoint устанавливает Windows PowerShell 2.0 CTP3 как необходимый компонент, но может сделать это только после удаления роли Windows PowerShell. Чтобы удалить Windows PowerShell 1.0, выполните следующие действия.
      1. В меню "Пуск" Windows выберите Диспетчер серверов.
      2. В диалоговом окне Диспетчер серверов в узле Диспетчер серверов выберите Компоненты.
      3. Если в разделе Сводка компонентов в списке Компоненты имеется Windows PowerShell, выберите Удалить компоненты. Появится экран Мастер удаления компонентов.
      4. В диалоговом окне Выбор компонентов убедитесь, что выбран пункт Компоненты.
      5. Если в списке Компоненты установлен флажок Windows PowerShell, снимите его.
      6. Нажмите кнопку Далее.
      7. В диалоговом окне Подтверждение выборов для удаления нажмите Удалить. После окончания процесса удаления может потребоваться перезагрузить компьютер, чтобы изменения вступили в силу.


    Загрузка Search Server Express

    1. Загрузите этот продукт со страницы загрузки Search Server 2010 Express (http://go.microsoft.com/fwlink/?linkid=171064&clcid=0x419).
    2. В файловой системе перейдите к файлу SearchServerExpress.exe. Запустите этот файл, который является самораспаковывающимся архивом. Файл автоматически распаковывается, и появляется экран-заставка Search Server 2010 Express.


    Запуск средства подготовки продуктов и технологий Microsoft SharePoint 2010

    Средство подготовки продуктов Microsoft SharePoint можно использовать для установки необходимых компонентов для Search Server 2010 Express. Поскольку это средство загружает компоненты из центра загрузки Майкрософт, при работе этого средства необходимо иметь доступ к Интернету.

    Также можно установить необходимые программные компоненты вручную. Эти необходимые компоненты приведены в разделе Требования к оборудованию и программному обеспечению (Search Server 2010).

    Для запуска этого средства выполните следующие действия.

    1. В экране-заставке выберите Установить необходимое ПО.
    2. В экране приветствия средства подготовки продуктов и технологий Microsoft SharePoint 2010 нажмите кнопкуДалее.
    3. В экране условий лицензионного соглашения на использование программных продуктов примите эти условия и нажмите кнопку Далее.
    4. Появится экран средства подготовки продуктов Microsoft SharePoint, и средство установит необходимые компоненты. Процесс длится несколько минут.

      Может появиться следующее сообщение: Для продолжения необходима перезагрузка системы. Для перезагрузки системы нажмите кнопку "Готово". Если такое сообщение появляется, нажмите кнопку Готово для перезапуска.

    5. Убедитесь, что в экране завершения установки имеется сообщение об успешном завершении установки, и нажмите кнопку Готово.
    • Если средству подготовки не удалось успешно установить все необходимые компоненты, то отображается экран с сообщением Возникла ошибка во время установки. В этом экране нажмите Дополнительные сведения об этих необходимых компонентах для получения сведений о программных компонентах, необходимых для установки продукта. Все необходимые требования должны быть удовлетворены, прежде чем можно будет перейти к следующему разделу данной статьи, Установка продукта. Дополнительные сведения см. в разделе Проверка выполнения требований к оборудованию и программному обеспечению ранее в этой статье.
    • При запуске рабочего процесса служб IIS (w3wp.exe) или другой службы, а также при запуске управляемого приложения на сервере, на котором работает Search Server 2010 Express, может появиться следующее сообщение об ошибке: Загрузка данной сборки приведет к назначению другого набора прав от других экземпляров. (Исключение из HRESULT: 0x80131401). Если такое сообщение об ошибке отображается, то необходимо установить KB963676 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=151358&clcid=0x419) (Возможно, на английском языке), а затем перезапустить компьютер.


    Установка продукта

    1. В экране-заставке Search Server 2010 Express нажмите Установить Search Server Express.
    2. В экране условий лицензионного соглашения на использование программного обеспечения корпорации Майкрософт примите эти условия и нажмите кнопку Далее.
    3. В экране "Выберите нужный тип установки" выберите Базовая или Расширенная.
    4. В зависимости от выбранного варианта базовой или расширенной установки перейдите в один из следующих разделов данной статьи, чтобы завершить установку:


    Выполнение базовой установки

    Для завершения базовой установки следуйте данной процедуре. Она позволяет развернуть полностью функциональную конфигурацию поиска на одном единственном сервере. Мастер настройки продуктов SharePoint автоматически устанавливает Microsoft SQL Server 2008, экспресс-выпуск на компьютер с Search Server 2010 Express.

    Завершение базовой установки
    1. В экране Выбор нужного типа установки выберите Базовая. Появляется экран хода выполнения установки. Эта часть процесса установки длится несколько минут.

      Если происходит сбой этой части процесса установки, войдите с учетной записью пользователя, запустившего установку, а затем проверьте папку TEMP этого пользователя. Чтобы проверить папку TEMP, введите %temp% в строке размещения проводника. Если %temp% разрешается в папку, имя которой заканчивается цифрой 1 или 2, для просмотра журналов может потребоваться перейти на один уровень вверх. Имя файла журнала — Search Server Express Setupотметка_времени.

    2. В экране запуска мастера настройки выполните следующие действия.

      1. Убедитесь, что установлен флажок Запустить мастер настройки продуктов и технологий SharePoint.

        Если флажок Запустить мастер настройки продуктов и технологий SharePoint не установлен перед нажатием кнопки Закрыть, то можно будет запустить этот мастер настройки позднее. Для этого нажмите кнопку Пуск в Windows, последовательно выберите пункты Программы и Продукты Microsoft SharePoint 2010, а затем нажмите Мастер настройки продуктов SharePoint 2010.

      2. Чтобы запустить мастер настройки, нажмите кнопку Закрыть. Подождите появления экрана приветствия продуктов SharePoint.
    3. В экране приветствия продуктов SharePoint нажмите кнопку Далее.

    4. В диалоговом окне, сообщающем о том, что некоторые службы можно перезапустить или сбросить при настройке, нажмите кнопку Да.

      Мастер настройки работает несколько минут. Он автоматизирует такие задачи, как установка служб Search Server 2010 Express, создание базы данных конфигурации и базы данных контента для сайтов SharePoint и создание веб-приложений и сайтов Search Server 2010 Express для центра администрирования, администрирования поиска и центра поиска.

      Если происходит сбой этого мастера, проверьте файлы журналов в папке %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS.

    5. В экране Настройка успешно завершена нажмите кнопку Готово. Появится центр поиска.

      Если последует запрос имени пользователя и пароля, введите учетные данные, которые использовались при входе в компьютер. При появлении соответствующего запроса добавьте этот сайт в список доверенных сайтов в Windows Internet Explorer.

    6. Запишите URL-адрес центра поиска или создайте закладку для будущего использования.

    7. Чтобы перейти на веб-сайт центра администрирования Search Server 2010 Express и приступить к настройке административных параметров для поиска, выполните следующие действия.

      1. Нажмите кнопку Пуск в Windows.

      2. Выберите пункт Все программы.

      3. Выберите пункт Продукты Microsoft SharePoint 2010.

      4. Нажмите пункт Центр администрирования Sharepoint 2010.Появляется веб-сайт центра администрирования.

    На этом процесс базовой установки завершается. Остальные процедуры в этой статье относятся только к расширенной установке. Для продолжения администрирования нового базового развертывания Search Server 2010 Express см. статью Действия после установки (Search Server 2010).


    Выполнение расширенной установки

    Для выполнения расширенной установки следуйте приведенной здесь процедуре. Во время установки необходимо указать сервер базы данных и базу данных для хранилища данных конфигурации фермы серверов. Необходимо также указать имя пользователя и пароль для учетной записи доступа к базе данных, которая будет выполнять администрирование этой фермы серверов.

    Выполнение расширенной установки
    1. На экране Выбор нужного типа установки щелкните Расширенная. Появляется экран Тип сервера.

    2. В экране Тип сервера выполните следующие действия.

      • На вкладке Тип сервера выберите Полная. Это позволяет использовать с развертыванием базу данных SQL Server и добавлять веб-серверы в развертывание позднее.
      • Необязательно: на вкладке Расположение файла можно изменить путь установки или расположение файлов индекса контента. Индекс контента может быть очень большим, поэтому следует убедиться, что на выбранном диске достаточно свободного пространства.
    3. Нажмите кнопку Установить. Появится экран хода выполнения установки. Эта часть процесса установки длится несколько минут.

      Если происходит сбой этой части процесса установки, проверьте папку TEMP. Чтобы проверить папку TEMP, введите %temp% в строке размещения проводника. Если %temp% разрешается в папку, имя которой заканчивается цифрой 1 или 2, для просмотра журналов может потребоваться перейти на один уровень вверх. Имя файла журнала — Search Server Express Setupотметка_времени.

    4. В экране запуска мастера настройки выполните следующие действия.

      1. Убедитесь, что установлен флажок Запустить мастер настройки продуктов и технологий SharePoint, и таким образом настройка сервера может быть завершена.

        Если флажок Запустить мастер настройки продуктов и технологий SharePoint не установлен перед нажатием кнопки Закрыть, то можно будет запустить этот мастер настройки позднее. Для этого нажмите кнопку Пуск в Windows, последовательно выберите пункты Программы и Продукты Microsoft SharePoint 2010, а затем нажмите Мастер настройки продуктов SharePoint 2010.

      2. Чтобы запустить мастер настройки, нажмите кнопку Закрыть. Подождите, пока появится экран приветствия продуктов SharePoint.
    5. В экране приветствия продуктов SharePoint нажмите кнопку Далее.

    6. В диалоговом окне, сообщающем о том, что некоторые службы можно перезапустить или сбросить при настройке, нажмите кнопку Да.

      Мастер настройки работает несколько минут. Он автоматизирует такие задачи, как установка служб Search Server 2010 Express, создание базы данных конфигурации и базы данных контента для сайтов SharePoint и создание веб-приложений и сайтов Search Server 2010 Express для центра администрирования, администрирования поиска и центра поиска.

      Если происходит сбой мастера настройки продуктов и технологий SharePoint, проверьте файлы журналов в папке %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS.

    7. В экране подключения к ферме серверов выберите Создать новую ферму серверов, а затем нажмите кнопку Далее.

    8. В экране Задание параметров базы данных конфигурации заполните следующие поля, введя соответствующие данные для организации:

      • Сервер базы данных — имя существующего узла SQL Server, в котором установлена одна из следующих версий продукта:
      • Имя базы данных — примите имя базы данных по умолчанию (SharePoint_Config) или введите другое имя. Если указанная база данных уже существует, она должна быть пустой. Если база данных не существует, она создается.
        Запишите имя названной здесь базы данных на случай, если позднее будут добавляться серверы в это развертывание Search Server. Целесообразно использовать удобное имя, которое будет легко запомнить. Имя базы данных придется указывать снова, когда будет производиться установка Search Server на другие серверы фермы.
      • Учетная запись доступа к базе данных — следуйте инструкциям на экране.
      • В поле Имя пользователя укажите имя существующей учетной записи Windows, которую данный компьютер всегда может использовать для подключения к базе данных конфигурации. Если база данных конфигурации находится на другом сервере, необходимо указать имя пользователя в формате "домен\имя_пользователя".

        Учетная запись для доступа к базе данных также является учетной записью удостоверения пула приложений для пула приложений центра администрирования, и это та учетная запись, в которой выполняется служба таймера Windows SharePoint Services. Мастер настройки продуктов SharePoint добавляет эту учетную запись к именам для входа в SQL Server, к фиксированной роли сервера dbcreator SQL Server и к фиксированной роли сервера securityadmin SQL Server. Эта учетная запись для доступа к базе данных должна быть учетной записью пользователя домена. Однако она не обязательно должна быть членом какой-либо группы безопасности на веб-серверах или на серверах баз данных в ферме серверов. Рекомендуется следовать принципу предоставления минимальных прав и указывать учетную запись пользователя, не являющегося членом группы администраторов на веб-серверах и серверах баз данных фермы.

    9. Нажмите кнопку Далее.

    10. На странице задания параметров безопасности фермы введите парольную фразу в полях Парольная фраза и Подтверждение парольной фразы, а затем нажмите кнопку Далее. Эта парольная фраза помогает обезопасить данные конфигурации фермы. Она необходима для каждого сервера, включенного в ферму.

      Парольная фраза используется для шифрования учетных данных учетных записей, зарегистрированных в Search Server, например системной учетной записи Search Server, которая предоставляется при запуске мастера настройки продуктов SharePoint. Следует записать эту парольную фразу в безопасном месте, поскольку ее придется использовать каждый раз при добавлении сервера в ферму. Убедитесь, что парольная фраза удовлетворяет следующим критериям:

      • содержит по крайней мере восемь символов;
      • содержит хотя бы три следующих вида символов:
        • английские заглавные буквы (от A до Z);
        • английские строчные буквы (от a до z);
        • цифры (от 0 до 9);
        • знаки, не относящиеся к буквам и цифрам (например !, $, #, %).
    11. В экране настройки веб-приложения центра администрирования SharePoint выполните следующие действия.

      1. При необходимости прочитайте текст вверху экрана, чтобы получить представление о функции веб-приложения центра администрирования SharePoint.
      2. Если планируется указать номер порта, который должно использовать веб-приложение центра администрирования SharePoint, то установите флажок Указать номер порта, а затем введите номер порта. Если планируется использовать номер порта по умолчанию, снимите флажок Указать номер порта.

        Запишите выбранный номер порта (указанный или установленный по умолчанию). Этот номер порта можно использовать для перехода на веб-сайт центра администрирования после завершения данной части процесса установки.

        Если планируется получать доступ к веб-сайту центра администрирования SharePoint с удаленного компьютера, следует добавить этот номер порта в список исключений брандмауэра Windows на сервере приложений.

      3. Выберите проверку подлинности NTLM или проверку подлинности Согласование (Kerberos).
    12. Нажмите кнопку Далее.

    13. В экране завершения мастера настройки продуктов и технологий SharePoint просмотрите параметры конфигурации, чтобы убедиться в их правильности, и нажмите кнопку Далее.

      Пункт Дополнительные параметры доступен только в Microsoft SharePoint Foundation 2010.

    14. Во время выполнения мастером настройки установки с помощью указанных параметров отображается страница экрана хода выполнения настройки продуктов SharePoint.

    15. На странице "Настройка успешно завершена" нажмите кнопку Готово. Теперь можно запустить мастер настройки фермы, чтобы выбрать службы для фермы и создать центр поиска.

      Появляется веб-сайт мастера первоначальной настройки фермы. С помощью этого мастера можно выполнить следующие этапы настройки установки Search Server 2010 Express.

      • Если происходит сбой этого мастера, проверьте журналы в папке %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS.
      • Если последует запрос имени пользователя и пароля, введите учетные данные, использованные при входе в компьютер. При появлении запроса можно добавить этот сайт в список доверенных сайтов в Internet Explorer. Кроме того, можно отключить параметры усиленной безопасности Internet Explorer.
      • Если появится сообщение об ошибке прокси-сервера, может понадобиться настройка параметров прокси-севера, чтобы разрешить обход прокси-сервера локальными сайтами. Дополнительные сведения см. в статье Configure farm-level proxy server settings (Search Server 2010) (на английском языке).
    Запустите мастер первоначальной настройки фермы.
    1. На странице настройки фермы SharePoint в ответ на запрос Как следует выполнить настройку фермы SharePoint? выполните одно из следующих действий.

      1. Нажмите Запустить мастер, чтобы вместе с мастером пройти по всем выбранным для использования службам ферм и создать первый сайт. Выбранные службы будут выполняться с параметрами по умолчанию на всех серверах фермы.
      2. Нажмите Отмена, чтобы перейти на веб-сайт центра администрирования и начать настройку фермы без использования мастера. При нажатии кнопки Отмена данная процедура установки завершается. Мастер первоначальной настройки фермы можно запустить позднее на странице "Мастеры настройки" веб-сайта центра администрирования.
    2. На странице настройки фермы SharePoint в разделе Учетная запись службы выберите учетную запись службы, которая будет использоваться для настройки служб.

      В целях безопасности для настройки служб в ферме рекомендуется указывать учетную запись пользователя, не являющегося администратором фермы. Если для настройки служб будет указана учетная запись администратора фермы, то учетная запись по умолчанию для доступа к контенту также будет настроена как учетная запись администратора фермы. В таком случае учетная запись по умолчанию для доступа к контенту может иметь разрешения для обхода определенных документов, обход которых не планировалось разрешать.

    3. На странице настройки фермы SharePoint в разделе Службы по умолчанию выбраны все службы в списке, кроме соединителя Lotus Notes. Рекомендуется принять эти параметры по умолчанию для служб, которые будут работать в ферме, и нажать кнопку Далее.

      Службы, перечисленные в разделе Службы и выбранные по умолчанию, приводятся в следующей таблице.

      Служба
      Описание

      Служба подключения к бизнес-данным

      При включении этой службы ферма SharePoint получает возможность отправлять модели подключения к бизнес-данным, которые описывают интерфейс бизнес-систем предприятия, и таким образом получать доступ к данным в этих системах.

      Соединитель Lotus Notes

      Соединитель поиска для обхода данных на сервере Lotus Notes.

      Приложение службы поиска

      Выполняет обход и индексирование контента и обслуживает поисковые запросы.

      Служба Secure Store

      Обеспечивает возможность безопасного хранения данных (т. е. набор учетных данных) и сопоставление их с определенным удостоверением или группой удостоверений.

      Служба состояний

      Предоставляет временное хранилище данных сеанса пользователя для компонентов SharePoint Server.

      Сбор данных об использовании и исправности

      Собирает сведения об использовании и исправности по всей ферме, позволяя администраторам просматривать отчеты об использовании и исправности.

      Приложение службы Web Analytics

      Приложение службы Web Analytics.

    4. На странице создания семейства сайтов создайте центр поиска, выполнив следующие действия.

      1. При необходимости в разделе Название и описание выполните следующее:
        1. В поле Название укажите имя нового семейства сайтов. Можно указать имя, показывающее, что создается именно центр поиска.
        2. В поле Описание введите описание семейства сайтов.
      2. В разделе Адрес веб-сайта укажите URL-адрес для семейства сайтов.
      3. В разделе Выбор шаблона выберите вкладку Организация.
      4. Убедитесь, что в списке Выбор шаблона выбран шаблон Основной центр поиска. Сайт центра поиска включает страницы для отображения результатов поиска.
      5. Запишите URL-адрес этого центра поиска или создайте закладку для будущего использования.
      6. Нажмите кнопку ОК.
      7. На странице настройки фермы SharePoint просмотрите сводку по конфигурации фермы, а затем нажмите кнопку Готово.
  • Развертывание Forefront Security для Exchange Server 2007 в кластерной среде

    Введение в установку в кластерной среде

    В последние годы установки в кластерной среде становятся все более популярными. Программу Microsoft® Exchange Server 2007 можно установить в кластерных системах, используя конфигурацию непрерывной репликации кластера (CCR) или кластера с единым хранилищем (SCC). Затем можно установить Microsoft® Forefront Security™ для Exchange Server (FSE) на серверы почтовых ящиков Exchange в кластерных системах. FSE поддерживает точки подключения томов.

     

    В кластерной среде не поддерживается консоль управления Forefront Server Security.

    Дополнительные сведения о настройке и выполнении FSE см. в руководстве пользователя Microsoft Forefront Security для Exchange Server.

     

    Локальная непрерывная репликация (LCR)

    LCR предусматривает репликацию данных на альтернативный диск, присоединенный к той же системе. Данная функция не является конфигурацией кластера, так как не обеспечивает истинное безотказное решение в случае отказа системы. Она предназначена для обеспечения защиты в случае сбоев в локальном хранилище, но не обеспечивает защиту в случае сбоя в работе самого сервера. LCR является односерверным решением, которое использует встроенную технологию доставки и преобразования журналов для создания и поддержания копии группы хранилищ на втором наборе дисков, который подключен к тому же серверу, что и производственная группа хранилищ. LCR позволяет вручную быстро переключиться на запасную копию данных. Процедура установки Forefront Security для Exchange Server на систему LCR аналогична обычной изолированной установке.

    Непрерывная репликация кластера (CCR)

    Кластерный сервер почтовых ящиков этого типа сочетает возможности репликации и преобразования в Exchange 2007 с возможностями перехода на другой ресурс при сбое в службах кластеров Microsoft. CCR является решением, которое развертывается без единой точки сбоя в одном центре обработки данных или между двумя центрами обработки данных. Узел, на котором в данный момент выполняется кластерный сервер почтовых ящиков (ранее назывался виртуальный сервер Exchange) является активным узлом; узел в кластере, на котором в данный момент не выполняется кластерный сервер почтовых ящиков, является пассивным узлом.

    CCR использует функциональность восстановления при сбое в базе данных в Exchange 2007 для обеспечения непрерывного и асинхронного обновления запасной копии базы данных изменениями, внесенными в активную копию базы данных. Журналы не копируются до тех пор, пока не будут закрыты и не будут больше использоваться сервером почтовых ящиков. В процессе установки пассивного узла в среде CCR, каждая группа хранилищ и ее база данных копируются с активного узла на пассивный узел. Эта операция называется «инициализация» и служит основанием для репликации базы данных. После выполнения начальной инициализации, непрерывно осуществляется преобразование и копирование журналов. CCR использует пассивный узел для копирования и преобразования журналов. Доступ к журналам осуществляется пассивным узлом посредством общего файлового ресурса.

    В среде CCR возможности репликации интегрированы в службу кластеров для обеспечения безотказного решения. Помимо обеспечения доступности данных и служб, CCR также предоставляет дополнительные возможности для плановых остановок. Когда необходимо установить обновления или выполнить обслуживание, кластерный сервер почтовых ящиков можно вручную переместить на пассивный узел. После завершения операции переноса, можно выполнить необходимое обслуживание.

    Кластер с единым хранилищем (SCC)

    Кластерный сервер почтовых ящиков данного типа использует общее хранилище в конфигурации отказоустойчивого кластера, чтобы разрешить нескольким серверам управлять одной копией групп хранилищ. В этой архитектуре, несмотря на то, что все узлы в кластере могут получить доступ к общим данным, они не могут сделать это одновременно.

    В кластере с единым хранилищем, сервер почтовых ящиков Exchange 2007 использует свой собственный сетевой идентификатор, а не идентификатор какого-либо узла в кластере. Этот сетевой идентификатор называется кластерным сервером почтовых ящиков. Если на узле, на котором выполняется кластерный сервер почтовых ящиков, возникают проблемы, кластерный сервер почтовых ящиков переходит в автономный режим на короткое время, пока другой узел не примет на себя управление и не вернет кластерный сервер почтовых ящиков в оперативный режим (этот процесс называется «переход на другой ресурс при сбое»). Общее хранилище доступно каждому из возможных узлов кластерного сервера почтовых ящиков. В случае перехода на другой ресурс из-за сбоя, хранилище, связанное с кластерным сервером почтовых ящиков, логически отключается от отказавшего узла и передается под управление нового узла.

    Резервная непрерывная репликация (SCR)

    SCR — это технология репликации, а не конфигурация кластера. В отличие от технологии CCR, при использовании которой необходимо, чтобы оба сервера принадлежали к кластеру Windows (который, как правило, находится в том же центре обработки данных), SCR может реплицировать данные на некластерный сервер, расположенный в другом центре обработки данных. Эта конфигурация создает избыточность в хранилище центра обработки данных путем разрешения существования дополнительной копии данных внутри или вне центра обработки данных. SCR использует технологию непрерывной репликации для переноса данных с одного сервера почтовых ящиков на другой. Технология SCR позволяет серверу почтовых ящиков быть назначением непрерывной репликации в изолированном сервере почтовых ящиков, который не поддерживает LCR. Сервер почтовых ящиков также может быть пассивным узлом в отказоустойчивом кластере, в котором установлена роль почтового ящика, но не установлен кластерный сервер почтовых ящиков.

    Переход на другой ресурс при сбое

    Процесс, в ходе которого один сервер в кластере принимает на себя функции другого сервера в этом кластере в случае сбоя в работе первого сервера. Этот термин также используется для обозначения намеренной передачи служб другому серверу в кластере.

    Кворум

    Запоминающее устройство, которое отслеживает, какой узел владеет кластерным приложением. В случае сбоя именно это устройство определяет сервер, который станет активным.

     

    Установка FSE в кластерной среде

    Программа Forefront Security для Exchange Server поддерживает локальные установки во всех типах конфигураций кластера Exchange Server 2007 и конфигурациях, подобных кластерной:

    • Локальная непрерывная репликация (LCR);
    • Резервная непрерывная репликация (SCR);
    • Непрерывная репликация кластера (CCR);
    • Кластер с единым хранилищем (SCC).

    Программа Forefront Security для Exchange Server распознает наличие активных/пассивных кластеров Microsoft Windows Server 2003 и Microsoft Windows Server "Longhorn". Чтобы установить программу Forefront Security для Exchange Server в кластерной среде, необходимо войти на локальный компьютер в качестве пользователя домена, используя учетную запись, обладающую правами администратора локального компьютера. Программу Forefront Security для Exchange Server необходимо установить на каждом узле. Все программные файлы следует устанавливать на локальный диск.

    Возможности установки включают следующее.

    • Данные конфигурации (например, файлы ScanJobs.fdb и Notifications.fdb) связаны с кластерным сервером почтовых ящиков (CMS), а не с физическими узлами. Поэтому, данные необходимо настраивать только для каждого сервера CMS, независимо от числа узлов.
    • Аналогично файлы сигнатур связаны с сервером CMS таким образом, что и активные и пассивные узлы используют последние версии файлов.
    • Данные конфигурации, которые хранятся в реестре, реплицируются с помощью сервера CMS при перемещении сервера CMS с одного компьютера на другой в случае сбоя.

    Программа Forefront Server Security Administrator должна быть подключена к виртуальной машине при подключении к программе Forefront Security для Exchange в кластерном сервере. При попытке подключения к физическому серверу, появится окно с приглашением выбрать виртуальную машину, к которой требуется подключиться.

     

    Обновление FSE

    Для обновления FSE в кластерной среде необходимо выполнить «последовательное обновление» с помощью программы Setup.exe.

    Для выполнения последовательного обновления

    1. Обновите все пассивные узлы. Если появится приглашение перезапустить сервер - сделайте это.

    2. Для каждого активного узла переместите сервер на уже обновленный пассивный узел,

    3. Обновите новый пассивный узел (узел, который только что был перемещен). Если появится приглашение перезапустить сервер - сделайте это.

     

    Удаление FSE

    Для каждого типа кластера используется особый способ удаления FSE.


    Удаление FSE из системы локальной непрерывной репликации (LCR)

    Для удаления FSE из системы LCR выполните следующие действия.

    Удаление FSE из системы LCR

    1. Убедитесь, что не выполняется расширенный «клиент Antigen» Forefront Server Security Administrator.

    2. На панели управления откройте компонент Службы.

    3. Остановите службу FSCController. Это также приведет к остановке службы транспорта Microsoft Exchange и банка сообщений Microsoft Exchange.

    4. Когда все эти службы будут остановлены, закройте диалоговое окно «Службы».

    5. На панели управления откройте компонент Установка и удаление программ.

    6. Удалите Microsoft Forefront Security для Exchange Server. Чтобы подтвердить удаление, нажмите кнопку Да.

    7. На экране Удаление завершено нажмите кнопку Готово.

    8. Все сделанные настройки сохраняются в FDB-файлах в папке Microsoft Forefront Security, находящейся в папке Program Files или другой папке, куда была установлена программа. Кроме того, сохраняются файлы базы данных происшествий и карантина, а также файл Statistics.xml. Не требуется предпринимать никаких действий, если необходимо переустановить программу FSE и использовать эти параметры. Если программа FSE не будет переустановлена или если необходимо использовать новые значения параметров, следует удалить эту папку.

    9. Если не планируется переустанавливать программу Forefront Security для Exchange Server, следует перезапустить остановленные службы Exchange.

    Удаление FSE из системы резервной непрерывной репликации (LCR)

    Удаление FSE из системы SCR сервера Exchange зависит от конфигурации исходной установки (центра обработки данных). Дополнительные сведения см. в Советы по системе резервной непрерывной репликации (SCR).


    Удаление FSE из кластера CCR

    Для удаления FSE из кластера CCR выполните следующие действия. При удалении кластерных серверов средство «Удаление программ» отключает Internet Information Services (IIS). Кроме того, оно переводит сервер CMS на активном узле в автономный режим. При удалении из кластера CCR не требуется останавливать службы.

    Удаление FSE из кластера CCR

    1. Начните с активного узла.

    2. Используйте средство Установка и удаление программ на панели управления, чтобы удалить программу Forefront Security для Exchange Server. При удалении из кластерных серверов, средство «Удаление программ» переводит сервер CMS на активном узле в автономный режим.

    3. После удаления FSE с активного узла, удалите эту программу с пассивного узла.

    Пока программа Forefront не будет удалена со всех узлов, перезагружать компьютеры нельзя, даже если программа удаления предлагает это сделать. В противном случае, при перезапуске активного узла, сервер CMS, запущенный на нем, может перейти на пассивный узел прежде, чем тот будет успешно удален. Сервер CMS не следует переносить вручную до удаления программы Forefront со всех узлов.


    Удаление FSE из кластера SCC

    Для удаления FSE из кластера SCC выполните следующие действия. При удалении кластерных серверов средство «Удаление программ» отключает Internet Information Services (IIS). Кроме того, оно переводит сервер CMS на активном узле в автономный режим. При удалении из кластера SCC не требуется останавливать службы.

    Удаление FSE из кластера SCC

    1. Сначала нужно удалить программу Forefront с активных узлов, затем с пассивных.

    2. Используйте средство Установка и удаление программ на панели управления, чтобы удалить программу Forefront Security для Exchange Server. При удалении из кластерных серверов, средство «Удаление программ» переводит сервер CMS на активном узле в автономный режим.

    3. Перезапустите все компьютеры.

  • Microsoft Forefront Protection 2010 for Exchange Server. Эксплуатация.(Часть 3)

    Настройка уведомлений по электронной почте

     

    Уведомления, отправляемые по электронной почте, полезны для информирования пользователей Exchange об изменениях во вложениях, произошедших вследствие очистки от вредоносных программ или фильтрации, и о заражениях, которые были обнаружены, но не устранены. Такие уведомления также важны для администраторов, предпочитающих получать информацию по электронной почте, а не заниматься постоянной проверкой журналов на предмет каких-либо действий.

    Настройка уведомлений

    В FPE используются два указанных ниже типа уведомлений.

    • Уведомление о происшествии — уведомление, отправляемое FPE и содержащее сведения о вредоносной программе или срабатывании фильтра. Эти уведомления можно настроить таким образом, чтобы они отправлялись и отправителю, и получателям сообщения. Дополнительные сведения о типах уведомлений о происшествиях см. в разделе Об уведомлениях о происшествиях.
    • Уведомление о событии — уведомление, отправляемое FPE администратору и содержащее сведения о состоянии программы. Эти уведомления можно отключать и настраивать. Дополнительные сведения о типах уведомлений о событиях см. в разделе Об уведомлениях о событиях.
    Настройка уведомлений
    1. В представлении Консоль администрирования Forefront Protection 2010 for Exchange Server Мониторинг разверните в дереве узел Конфигурация и выберите элемент Уведомления.

      В области Конфигурация — Уведомления выводится список доступных уведомлений, сгруппированных по типу, и роли уведомлений, для которых эти уведомления включены. Каждое уведомление настраивается отдельно.

    2. Щелкните правой кнопкой мыши уведомление, которое необходимо настроить, и выберите команду Изменить уведомление. Дополнительные сведения о назначении каждого уведомления см. в разделе Об уведомлениях.

    3. В диалоговом окне Изменение уведомления укажите роль уведомления (для которой настраивается уведомление), выбрав один из перечисленных ниже параметров.

      • Администратор — уведомления отправляются администраторам при возникновении определенного происшествия или события. Для администраторов можно настроить все типы уведомлений. Эта роль уведомления установлена по умолчанию.
      • Внутренний отправитель — уведомления о происшествиях отправляются отправителю сообщения электронной почты, которое стало причиной происшествия, если отправитель находится внутри организации.
      • Внешний отправитель — уведомления о происшествиях отправляются отправителю сообщения электронной почты, которое стало причиной происшествия, если отправитель находится вне организации.
      • Внутренний получатель — уведомления о происшествиях отправляются получателям сообщения электронной почты, которое стало причиной происшествия, если получатели находятся внутри организации.
      • Внешний получатель — уведомления о происшествиях отправляются получателям сообщения электронной почты, которое стало причиной происшествия, если получатели находятся вне организации.

         

    4. Настройте для выбранной роли уведомления указанные ниже параметры.

      • Включить — если этот флажок установлен, уведомление включено. По умолчанию все уведомления о происшествиях отключены, а все уведомления о событиях включены, за исключением уведомлений Модуль обновлен и Обновление модуля недоступно. Дополнительные сведения о подавлении отдельных включенных уведомлений для фильтров и проверки наличия вредоносных программ см. в списке "Связанные разделы" в конце данной темы.
      • Получатели — список пользователей и групп через точку с запятой, которые будут получать уведомление. Этот список можно изменить только для роли уведомления Администратор. В этот список могут входить имена, псевдонимы и группы Exchange. Если щелкнуть параметр правой кнопкой мыши и выбрать команду Вставить поле, можно будет выбрать макрос подстановки ключевого слова; дополнительные сведения см. в разделе Макросы подстановки ключевых слов.
      • Копия — список пользователей и групп через точку с запятой, которые будут получать копии уведомления. В этот список могут входить имена, псевдонимы и группы Exchange. Если щелкнуть параметр правой кнопкой мыши и выбрать команду Вставить поле, можно будет выбрать макрос подстановки ключевого слова; дополнительные сведения см. в разделе Макросы подстановки ключевых слов.
      • Скрытая копия — список пользователей и групп через точку с запятой, которые будут получать скрытые копии уведомления. В этот список могут входить имена, псевдонимы и группы Exchange. Если щелкнуть параметр правой кнопкой мыши и выбрать команду Вставить поле, можно будет выбрать макрос подстановки ключевого слова; дополнительные сведения см. в разделе Макросы подстановки ключевых слов.
      • Тема — тема отправляемого уведомления. Если щелкнуть параметр правой кнопкой мыши и выбрать команду Вставить поле, можно будет выбрать макрос подстановки ключевого слова; дополнительные сведения см. в разделе Макросы подстановки ключевых слов.
      • Текст сообщения — текст отправляемого уведомления. Если щелкнуть параметр правой кнопкой мыши и выбрать команду Вставить поле, можно будет выбрать макрос подстановки ключевого слова; дополнительные сведения см. в разделе Макросы подстановки ключевых слов. (Администраторы могут добавлять в это поле заголовки MIME, используя макрос MIME.)
        Примечание. При включении на пограничном транспортном сервере уведомлений Обнаружен вирус, Соответствие фильтру файлов, Обнаружен вирус-червь или Совпадение с условием фильтра по ключевым словам для правильной работы уведомлений необходимо использовать полный SMTP-адрес (например: Administrator@contoso.com).

      Кроме того, для этого уведомления можно настроить дополнительные роли.

    5. Чтобы вернуться в область Конфигурация — Уведомления, нажмите кнопку Применить и закрыть, после чего нажмите кнопку Сохранить.


    Об уведомлениях

    В следующих разделах описываются различные уведомления в рамках каждого типа уведомлений.


    Об уведомлениях о происшествиях

    В уведомлениях о происшествиях передаются подробные сведения о заражении (кто виноват, что произошло, где и когда это случилось), в том числе сведения об удалении вредоносной программы или вложения. Уведомления о происшествиях также можно использовать для отслеживания фильтрации. Ниже перечислены типы уведомлений о происшествиях.

    • Ошибка файла — отправляется, если при проверке обнаруживается файл с заданными параметрами (например, при обнаружении файла ExceedinglyNested (со слишком глубоким уровнем вложенности) или CorruptedCompressedFile (поврежденного сжатого файла)). Дополнительные сведения о типах происшествий, которые могут вызвать это уведомление, см. в разделе Отчеты о происшествиях.
    • Соответствие фильтру файлов — отправляется при совпадении параметров файла с условиями фильтра.
    • Совпадение с условием фильтра по ключевым словам — отправляется при совпадении с условиями фильтра по ключевым словам.
    • Совпадение с условиями фильтра домена отправителя — отправляется при совпадении с условиями фильтра домена отправителя.
    • Обнаружено соответствие условиям фильтра темы — отправляется при соответствии темы условиям фильтра темы.
    • Обнаружена программа-шпионотправляется при обнаружении программы-шпиона.
    • Обнаружен вирус — отправляется при обнаружении вируса.
    • Обнаружен вирус-червь — отправляется при обнаружении вируса-червя.
    • Ошибка проверки — отправляется при возникновении ошибки в процессе проверки. Дополнительные сведения о типах происшествий, которые могут вызвать это уведомление, см. в разделе Отчеты о происшествиях.


    Об уведомлениях о событиях

    Уведомления о событиях содержат сведения о функционировании и сбоях FPE. Эти уведомления включают уведомления о запуске проверки, сроке действия лицензий, обновлениях модулей и выборе модулей. Ниже перечислены типы уведомлений о событиях.

    • Запуск проверки — отправляется при запуске проверки.
    • Предупреждение лицензии — отправляется, когда срок действия лицензии на продукт подходит к концу.
    • Срок действия лицензии истек — отправляется при истечение срока действия лицензии на продукт.
    • Предупреждение о размере базы данных — отправляется, когда размер базы данных по происшествиям приближается к максимально допустимому. Дополнительные сведения см. в подразделе "Настройка предупреждения о размере базы данных по происшествиям" раздела Управление происшествиями.
    • Модуль обновлен — отправляется при успешном обновлении любого модуля.
    • Не удалось обновить модуль — отправляется, если при обновлении модуля произошла ошибка.
    • Обновление модуля недоступно — отправляется, если при обновлении модуля не удалось найти новые определения.
    • Критическая ошибка — отправляется при обнаружении FPE критической ошибки.
    • Изменение состояния системы на "зеленое" — отправляется, когда цвет точки мониторинга состояния системы меняется на зеленый.
    • Изменение состояния системы на "красное" — отправляется, когда цвет точки мониторинга состояния системы меняется на красный.
    • Изменение состояния системы на "желтое" — отправляется, когда цвет точки мониторинга состояния системы меняется на желтый.

    Изменение для уведомлений адреса "От"

    Для отправки уведомлений в программе FPE используются сообщения SMTP. Сообщение помещается в папку раскладки службы SMTP, после чего выполняется разрешение имени Exchange в службе каталогов Active Directory. По умолчанию для идентификации уведомлений используется профиль сервера: ForefrontServerProtection@имя_сервера.server. Профиль сервера можно изменить путем изменения значения реестра FromAddress.

    Изменение значения реестра FromAddress
    1. Откройте редактор реестра и перейдите к следующему разделу:

      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Notifications\

    2. Измените значение параметра FromAddress по умолчанию на необходимое имя отправителя. Допускается использовать буквы и цифры. Кроме того, имя может содержать знак «@» и точку, однако эти знаки не должны быть первым и последним знаками имени. Все недопустимые символы будут заменены знаком подчеркивания «_».

    3. Чтобы изменение вступило в силу, необходимо перезапустить службы Microsoft Exchange и Microsoft Forefront Server Protection.

     

    Настройка параметров ведения журнала

    Для Forefront Protection 2010 for Exchange Server (FPE) можно настроить следующие параметры ведения журнала.


    Включение и отключение ведения журнала происшествий

    Включить или отключить ведение журнала происшествий можно для каждого типа задания проверки (проверка передачи, проверка в реальном времени, проверка по расписанию, проверка по требованию). Включение ведения журнала происшествий позволяет более эффективно отслеживать производительность FPE. При этом отключение ведения журнала происшествий позволяет сэкономить место на диске при нехватке ресурсов (при условии, что для соответствующего задания проверки также отключен карантин). (Если для задания проверки отключено ведение журнала происшествий, но включен карантин, сведения о происшествиях будут записываться в базу данных, чтобы ПО FPE могло поместить на карантин соответствующий элемент. Однако такие элементы не будут отображаться в области Происшествия.)

    Включение и отключение параметров ведения журнала происшествий
    1. В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

    2. В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала включите или отключите с помощью флажков указанные ниже параметры ведения журнала происшествий.

      • Включить ведение журнала происшествий передачи — указывает, должна ли программа FPE включать ведение журнала происшествий для задания проверки передачи. Ведение журнала происшествий передачи включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке передачи, снимите соответствующий флажок.
      • Включить ведение журнала происшествий в реальном времени — указывает, должна ли программа FPE включать ведение журнала происшествий для задания проверки в реальном времени. Ведение журнала происшествий для проверки в реальном времени включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке в реальном времени, снимите соответствующий флажок.
      • Включить ведение журнала происшествий по расписанию — указывает, должна ли программа FPE включать ведение журнала происшествий для задания проверки по расписанию. Ведение журнала происшествий для проверки по расписанию включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке по расписанию, снимите соответствующий флажок.
      • Включить ведение журнала происшествий по требованию — указывает, должна ли программа FPE включать ведение журнала происшествий для задания проверки по требованию. Ведение журнала происшествий для проверки по требованию включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке по требованию, снимите соответствующий флажок.
    3. Нажмите кнопку Сохранить.


    Настройка архивации почты при проверке передачи

    Можно указать, должна ли программа FPE сохранять копии входящих и исходящих сообщений для пограничных транспортных серверов и транспортных серверов-концентраторов, а также способ копирования. Параметр Архивировать передаваемую почту указывает, будут ли входящие и исходящие сообщения сохраняться в папки "In" и "Out", расположенные в папке данных FPE. (Расположение папки данных по умолчанию см. в разделе Папки по умолчанию.) При сохранении в файл каждому сообщению присваивается имя, состоящее из года, дня, месяца, времени и трехзначного числа (например: 20090604102005020.eml). Это помогает администраторам и инженерам службы поддержки FPE выявлять и устранять проблемы. Архивировать почту можно как до, так и после проверки; эти параметры можно настроить, что позволяет сравнить исходные сообщения с сообщениями после проверки. Например, электронная почта, к которой применялась операция удаления, отличается от исходной почты после проверки.

    Настройка архивации передаваемой почты
    1. В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

    2. В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала выберите в раскрывающемся списке Архивировать передаваемую почту один из указанных ниже параметров.

      • Не архивировать — почта не архивируется. Это значение используется по умолчанию.
      • Перед проверкой — исходные сообщения архивируются перед проверкой на вредоносные программы.
      • После проверки — результирующие сообщения архивируются после проверки на вредоносные программы.
      • До и после проверки — сообщения архивируются до и после проверки на вредоносные программы.
    3. Нажмите кнопку Сохранить.


    Включение и отключение записи в журнал событий

    Запись событий в журнал событий можно включить или отключить. Ведение журнала событий можно по отдельности включить и отключить для происшествий, модулей и операционных событий. Ведение журнала по умолчанию включено для всех событий.

     

    Включение и отключение записи в журнал событий
    1. В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

    2. В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала установите или снимите флажок Включить ведение журнала событий. Если этот флажок установлен (по умолчанию), то с помощью дополнительных флажков можно по отдельности включить или отключить указанные ниже параметры (по умолчанию они включены).

      • Происшествия — включить или отключить ведение журнала событий для происшествий.
      • Модули — включить или отключить ведение журнала событий для модулей.
      • Операционные — включить или отключить ведение журнала для всех остальных событий, например событий, связанных со сведениями о системе и работоспособностью.

      Если флажок Включить ведение журнала событий снят, ведение журнала событий для происшествий, модулей и операционных событий приостанавливается.

    3. Нажмите кнопку Сохранить.

    Для вступления изменений в силу необходимо перезапустить службы Microsoft Exchange и Microsoft Forefront.


    Включение и отключение ведения журнала агента защиты от нежелательной почты

    В FPE можно включить или отключить ведение текстовых журналов, которые используются агентами защиты от нежелательной почты, в том числе агентами фильтра содержимого и фильтра подключений (то есть списка блокировки уведомлений о доставке Forefront).

    Включение и отключение ведения журнала агента защиты от нежелательной почты
    1. В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

    2. В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала установите (чтобы включить) или снимите (чтобы отключить) флажок Включить ведение журнала агента защиты от нежелательной почты и нажмите кнопку Сохранить. Ведение журнала агента защиты от нежелательной почты включено по умолчанию.

    Дополнительные сведения о конфигурации защиты от нежелательной почты см. в разделе Использование фильтрации для защиты от нежелательной почты.


    Включение и отключение ведения журнала происшествий, связанных с нежелательной почтой

    В FPE можно включить или отключить ведение журнала происшествий, связанных с нежелательной почтой, в стандартной базе данных по происшествиям FPE.

    При включении ведения журнала происшествий, связанных с нежелательной почтой, FPE выполняет запись в базу данных по происшествиям каждый раз, когда фильтр содержимого отклоняет или удаляет нежелательное сообщение. Это может привести к значительному увеличению размера базы данных по происшествиям, а также к снижению производительности сервера.

    Включение и отключение ведения журнала происшествий, связанных с нежелательной почтой
    1. В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

    2. В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала установите (чтобы включить) или снимите (чтобы отключить) флажок Включить ведение журнала происшествий, связанных с нежелательной почтой и нажмите кнопку Сохранить. По умолчанию ведение журнала происшествий, связанных с нежелательной почтой, отключено, то есть такие события в журнал не записываются. Другие параметры ведения журнала нежелательной почты задаются с помощью параметра Включить ведение журнала агента защиты от нежелательной почты.


    Включение и отключение ведения журнала счетчиков производительности

    Можно включить или отключить ведение журнала счетчиков производительности, отображаемых в системном мониторе.

    Включение и отключение ведения журнала счетчиков производительности
    1. В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

    2. В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала установите (чтобы включить) или снимите (чтобы отключить) флажок Включить счетчики производительности и нажмите кнопку Сохранить. Ведение журнала счетчиков производительности включено по умолчанию.

     

    Резервное копирование и восстановление

    В этом разделе описываются рекомендуемые процедуры резервного копирования и восстановления для Forefront Protection 2010 for Exchange Server (FPE):


    Резервные копии

    Резервная копия — это копия данных, которая используется для восстановления потерянных данных после отказа системы. Используя соответствующие резервные копии, можно восстанавливать данные при различных сбоях, включая следующие:

    • ошибка носителя;
    • ошибки пользователя (например, удаление файла по ошибке);
    • сбои оборудования (например, повреждение дискового накопителя или потеря связи с сервером без возможности восстановления);
    • стихийные бедствия.

    Дополнительные сведения о создании резервных копий и восстановлении данных для Microsoft Exchange Server 2007 см. на веб-странице Аварийное восстановление.


    Подготовка файлов к резервному копированию

    Чтобы сохранить копии самых последних версий файлов FPE, создайте пакетный файл, а затем создайте запланированное задание для обеспечения актуальных сведений о версии.

    Поскольку действия по созданию запланированного задания различны для Windows Server 2008 и Windows Server 2003, выполните действия, соответствующие установленной версии.

    После выполнения этих действий сервер будет настроен на автоматический экспорт версий файлов FPE.

    Создание пакетного файла
    1. Перейдите в проводнике к папке данных FPE. Расположение папки данных FPE по умолчанию для конкретной операционной системы см. в разделе Папки по умолчанию.

    2. В меню Файл выберите команду Создать, а затем щелкните Текстовый документ.

    3. Введите в качестве имени файла ForefrontDiagnostics.bat , нажмите клавишу ВВОД, а затем нажмите кнопку Да .

    4. Щелкните правой кнопкой мыши файл ForefrontDiagnostics.bat и выберите команду Изменить.

    5. Отредактируйте пакетный файл в Блокноте или аналогичном текстовом редакторе таким образом, чтобы он включал команду запуска средства диагностики Forefront Security (FSCDiag.exe) для получения сведений о файлах для FPE. Дополнительные сведения о средстве диагностики Forefront Security см. в разделе Использование программы диагностики для сбора сведений о продукте. Файл ForefrontDiagnostics.bat должен состоять из двух указанных ниже строк (при условии, что программа FPE установлена в папку по умолчанию):

      Копировать код

      cd drive:\Program Files (x86)\Microsoft Forefront Security for Exchange Server
      FSCDiag.exe /c /ver Forefront

      Если расположение файла FSCdiag.exe точно не известно, выполните операцию поиска, чтобы определить его и использовать для замены пути в примере BAT-файла.

    6. В меню Файл выберите пункт Сохранить, после чего закройте текстовый редактор.

    7. Дважды щелкните файл ForefrontDiagnostics.bat.

    8. Откройте в проводнике папку Diagnostics, расположенную в папке журнала, которая была создана после запуска пакетного файла. Папка журнала находится в папке данных FPE. Примеры

      c:\Program Files (x86)\Microsoft Forefront Security for Exchange Server\Data\log\Diagnostics

    9. Убедитесь, что в результате запуска пакетного файла был создан файл с именем ForefrontDiag-имя_сервера-дата-время.zip.

      Местозаполнители имя_сервера, дата и время представляют фактическое имя сервера, дату и время создания файла журнала.

    Создание запланированного задания (на компьютере с ОС Windows Server 2008)
    1. Нажмите кнопку Пуск, выберите пункт Администрирование и щелкните Планировщик заданий.

      Если появится запрос на ввод пароля администратора либо на подтверждение, введите пароль или нажмите кнопку Продолжить .

    2. В меню Действия выберите команду Создать простую задачу .

    3. После запуска Мастера создания простой задачи введите имя расписания в поле Имя , введите описание расписания в поле Описание , а затем нажмите кнопку Далее . Например, можно ввести приведенные ниже данные.

      Имя:Диагностика Forefront

      Описание : Выполняет файл ForefrontDiagnostics.bat, чтобы обновить и сохранить обновленные сведения о версии файла для программы FPE.

    4. На странице Триггер задачи выберите приемлемый интервал (например, Еженедельно), а затем нажмите кнопку Далее.

    5. В зависимости от выбранного интервала установите дату и время начала, а также укажите данные о повторении, а затем нажмите кнопку Далее. Например, можно настроить приведенные ниже параметры.

      Еженедельно

      Начало ДД / ММ / ГГГГ- ЧЧ : ММ : СС

      Повторять каждые: X недель в: субботу

      где ДД/ММ/ГГГГ означают день, месяц и год; ЧЧ:ММ:СС означают часы, минуты и секунды; а X означает количество недель.

    6. На странице Действие нажмите кнопку Запустить программу , а затем нажмите кнопку Далее .

    7. На странице Запуск программы нажмите кнопку Обзор , найдите созданный ранее файл ForefrontDiagnostics.bat , щелкните Открыть , а затем нажмите кнопку Далее .

      Оставьте текстовые поля Добавить аргументы (необязательно)и Рабочая папка (необязательно)пустыми.

    8. Проверьте параметры на странице Сводка, а затем нажмите кнопку Готово.

    Создание запланированного задания (на компьютере с ОС Windows Server 2003)
    • Нажмите кнопку Пуск, выберите Панель управления, а затем дважды щелкните пункт Запланированные задания.

    • На странице Запланированные задания дважды щелкните пункт Добавить запланированное задание .

    • После того, как откроется Мастер планирования заданий , нажмите кнопку Далее .

    • На странице Выберите программу, которую нужно запускать нажмите кнопку Обзор .

    • В окне Выберите приложение, для которого следует составить расписание найдите, а затем дважды щелкните ранее созданный файл ForefrontDiagnostics.bat .

    • В поле Укажите имя для этого задания введите имя расписания, выберите приемлемый интервал, а затем нажмите кнопку Далее . Например, можно использовать указанные ниже имя и интервал для задания.

       

    Диагностика Forefront

    Еженедельно

    • На странице Выберите время и дату начала задания установите соответствующую дату и время начала, а затем нажмите кнопку Далее . Например, можно настроить приведенные ниже параметры.

      Начало ЧЧ : ММ : СС

      Каждые: X недель в: субботу

      где ЧЧ:ММ:СС означают часы, минуты и секунды; а X означает количество недель.

    • На странице Введите имя и пароль пользователя укажите учетные данные администратора, у которого есть разрешения на доступ к серверу, а затем нажмите кнопку Далее.

    • На странице Запланировано выполнение следующего задания: имя расписания нажмите кнопку Готово.

    Резервное копирование файлов данных

    Чтобы гарантированно обеспечить возможность восстановления параметров конфигурации, всех помещенных на карантин элементов, а также сведений о происшествиях, связанных с вредоносными программами, нежелательной почтой и фильтрацией, скопируйте все файлы данных FPE в другое место. Для правильной работы этой процедуры требуется, чтобы версия продукта, данные которого копируются, совпадала с версией продукта, в которой впоследствии будут восстанавливаться данные.

    Резервное копирование файлов данных
    1. Создайте новую папку в новом расположении (например: C:\BackupDatabase).

    2. Откройте диспетчер служб и остановите все службы Microsoft Exchange и Microsoft Forefront Server Security.

    3. Убедитесь, что база данных по происшествиям находится в состоянии "чистое отключение". Для этого выполните в окне командной строки в каталоге Incidents, который находится в папке данных (сведения о расположении папки данных FPE по умолчанию см. в разделе Папки по умолчанию), следующую команду:

      esentutl -mh incident.fssdb

      Найдите в выходных данных команды раздел State. Если там указано "Clean Shutdown" (чистое отключение), можно продолжить работу. Если в этом разделе указано "Dirty Shutdown" (неправильное отключение), значит, при резервном копировании произошел сбой. В этом случае запустите и остановите службу Служба событий Microsoft Forefront Security. После этого выполните следующую команду:

      esentutl -mh incident.fssdb

    4. Скопируйте все содержимое папки данных, кроме файла ProgramLog.etl и папок Engines и EngineUpdateLocks, в папку, созданную на шаге 2 (например, в папку C:\BackupDatabase).

      Резервную копию файла ProgramLog.etl можно создать для просмотра сведений о предыдущей диагностике FPE, однако этот файл невозможно восстановить вместе с другими файлами папки данных FPE.

    Восстановление файлов данных

    После резервного копирования файлов данных FPE и восстановления системы в предыдущее состояние (в том числе восстановления сбойного сервера Exchange Server), восстановите файлы данных FPE, следуя приведенным ниже инструкциям.

    Восстановить файлы данных на сервере, операционная система которого отличается от операционной системы сервера, на котором была создана резервная копия файлов, невозможно.

    Восстановление файлов данных
    1. Установите FPE и все исправления или пакеты обновления, которые были установлены на момент создания резервной копии.

      Можно сравнить версии файлов с файлом VerForefront.csv, который находится в самом последнем наборе резервных копий ForefrontDiag.

    2. На восстановленном сервере Exchange Server остановите все службы Microsoft Exchange и Microsoft Forefront Server Security.

    3. Чтобы восстановить файлы конфигурации, файлы данных карантина, базу данных по происшествиям и все сопутствующие файлы, выполните указанные ниже действия.

      1. Найдите и откройте в проводнике папку данных FPE. Расположение папки данных FPE по умолчанию для конкретной операционной системы см. в разделе Папки по умолчанию.
      2. Переименуйте папку Quarantine в QuarantineOld.
      3. Переименуйте папку Incidents в IncidentsOld.
      4. Скопируйте все содержимое (включая вложенные папки) папки данных FPE, которая была скопирована во временную папку (например C:\BackupDatabase), в папку данных FPE. Если появится соответствующий запрос, подтвердите перезапись всех файлов.
      5. Удалите все содержимое папки Incidents (находится в папке данных FPE), кроме файла Incident.fssdb.
      6. В диспетчере задач откройте вкладку Процессы и установите флажок Отображать процессы всех пользователей. Если процесс FSCConfigurationServer.exe запущен, завершите его.
      7. Запустите все службы Microsoft Exchange.
    4. Если для управления FPE используется Protection Manager, выполните указанные ниже действия.

      1. На каждом сервере Exchange Server, на котором установлено ПО FPE, установите вручную компоненты мониторинга Protection Manager (агент Protection Manager и агент Operations Manager), чтобы обеспечить правильное взаимодействие Protection Manager с FPE. Дополнительные сведения см. в разделе "Развертывание компонентов мониторинга Protection Manager на сервере FPE" статьи Интеграция Forefront Security 2010 for Exchange Server с ПО Stirling.
      2. Заново разверните политики FPE с помощью Protection Manager. Дополнительные сведения см. разделе Работа с группами и политиками руководства по эксплуатации Protection Manager.
  • Microsoft Forefront Protection 2010 for Exchange Server. Эксплуатация.(Часть 2)

     

    Назначение: Forefront Protection for Exchange

    Для очистки сообщения, зараженных вирусами-червями, в Forefront Protection 2010 for Exchange Server (FPE) можно настроить задания проверки передачи, проверки в реальном времени и проверки по расписанию. Вирус-червь — это вредоносная программа, которая распространяется с компьютера на компьютер. В отличие от вируса вирусу-червю не нужна программа-носитель, вирусы-черви распространяют свои копии с компьютера на компьютер. Очистка от вирусов-червей — это мощная функция, помогающая предотвратить атаки, которые могли бы причинить ущерб сети. (FPE не поддерживает очистку сообщений от вирусов-червей при проверке по требованию.)

    Программа FPE обнаруживает сообщения, зараженные вирусами-червями, с помощью регулярно обновляемого списка вирусов-червей WormPrge.dat, который поддерживается корпорацией Майкрософт и обновляется аналогично модулям защиты от вредоносных программ. Как правило, в файле WormPrge.dat содержатся имена вирусов-червей, обнаруживаемых текущими антивирусными ядрами. (Обратите внимание, что в разных антивирусных ядрах вирусы-черви могут иметь различные имена.)

    По мере обнаружения новых вирусов-червей корпорация Майкрософт обновляет список вирусов-червей и выкладывает этот список для загрузки. Обновление можно выполнять по расписанию или вручную.

    Определения в списке вирусов-червей отличаются от определений, используемых антивирусными ядрами. Список вирусов-червей включает общие записи имен червей. Эти записи могут предоставить большую защиту от будущих вирусов-червей, принадлежащих к уже обнаруженному семейству вирусов-червей. Например, при обнаружении нового вируса-червя с именем "Win32/abcdef.A@mm" программа FPE обновляет список вирусов-червей, включая в него запись вида "*abcdef*". Такая запись охватывает все новые разновидности одного и того же вируса-червя, например Win32/abcdef.M@mm. Поскольку в списке вирусов-червей содержатся обобщенные названия, его не требуется обновлять так же часто, так антивирусные ядра.

    Включение и отключение очистки от вирусов-червей

    Очистка от вирусов-червей включена по умолчанию. Очистку от вирусов-червей для конкретных заданий проверки можно отключить с помощью команды Windows PowerShell -EnableWormPurge. Если очистка от вирусов-червей включена (параметру -EnableWormPurge присвоено значение $true), то при обнаружении вируса-червя программа FPE выполняет поиск его имени в списке вирусов-червей. При обнаружении имени в списке вирусов-червей элемент очищается; в противном случае выполняется действие, заданное для вирусов. Если очистка от вирусов-червей отключена (параметру -EnableWormPurge присвоено значение $false), то независимо от наличия имени вируса-червя в соответствующем списке выполняется действие, заданное для вирусов.

    Вирусы-черви (сообщения и вложения), очищенные при выполнении заданий проверки, не помещаются на карантин, даже если включен режим карантина. Это сделано, чтобы не допустить попадания в базу данных карантина множества копий одного сообщения.

    Доступ к командной консоли Forefront
    • Нажмите кнопку Пуск и последовательно выберите пункты Программы, Microsoft Forefront Server Protection и Командная консоль Forefront.

    Чтобы отключить очистку от вирусов-червей для задания проверки передачи, выполните следующую команду Windows PowerShell:

    Set-FseTransportScan -EnableWormPurge $false

    Чтобы отключить очистку от вирусов-червей для задания проверки в реальном времени, выполните следующую команду Windows PowerShell:

    Set-FseRealtimeScan -EnableWormPurge $false

    Чтобы отключить очистку от вирусов-червей для задания проверки по расписанию, выполните следующую команду Windows PowerShell:

    Set-FseScheduledScan -EnableWormPurge $false

    Чтобы включить очистку от вирусов-червей для конкретного задания проверки, замените в соответствующей команде выше значение $false на $true.

    Очистка от вирусов-червей с помощью фильтрации файлов

    Чтобы не допустить распространения нового вируса-червя в то время, пока не обновлено антивирусное ядро, можно добавить имена вложений сообщений, создаваемых вирусом-червем, в список фильтров файлов. В поле Действие для списка выберите значение Очистить.

    При выборе действия Очистить все сообщение удаляется без возможности восстановления. Рекомендуется выбрать это действие для очистки сообщений, зараженных вирусами-червями, пока не выпущены обновления антивирусных ядер или определений.

    В отличие от сообщений, зараженных другими типами вирусов, даже если выбрать действие "Поместить на карантин", на карантин помещается только вложение, обнаруженное фильтром, а текст сообщения и другие вложенные файлы будут удалены. Это не должно привести к проблемам при фильтрации файлов на наличие вирусов-червей, так как в этом случае текст сообщения не представляет никакой ценности, а сообщение, скорее всего, не содержит других вложений.

    Создание собственного списка для очистки от вирусов-червей

    Администраторы могут создавать собственный список для очистки от вирусов-червей (файл CustPrge.dat) для указания дополнительных имен вирусов-червей, которые еще не включены в файл Wormprge.dat, или для создания списка, который будет использоваться для очистки всех зараженных сообщений. В этом случае функция очистки от вирусов-червей будет проверять зараженные сообщения и файлы с использованием обоих списков (списка Майкрософт WormPrge.dat и списка CustPrge.dat).

    Чтобы создать собственный список для очистки от вирусов-червей
    1. Создайте в папке \Engines\x86\Wormlist новую папку с именем CustomList. Расположение папки Engines по умолчанию для конкретной операционной системы см. в разделе Папки по умолчанию.

    2. В папке CustomList создайте файл с именем CustPrge.dat.

    3. В текстовом редакторе введите имена вирусов, от которых необходимо защититься, в файл CustPrge.dat и сохраните этот файл. В каждой строке можно вводить только одно имя, за которым должен идти знак возврата каретки. Имена вирусов можно найти в уведомлениях об обновлении антивирусных ядер или на веб-сайтах поставщиков антивирусных ядер. В именах можно использовать подстановочный знак звездочки (*).

      В том случае, если в различных антивирусных ядрах используются разные имена для одного вируса, то для обеспечения полной защиты следует включить в список CustPrge.dat все имена.

    4. Если требуется очищать все зараженные сообщения, введите в список только одну строку, содержащую знак звездочки (*) и знак возврата каретки. Для каждого задания проверки (проверки передачи, проверки в реальном времени или проверки по расписанию), при выполнении которого требуется очищать все вирусы, выберите в поле Действие значение Удалить.

    5. Перезапустите службу передачи Microsoft Exchange и службу банка данных Microsoft Exchange.

     

    Наблюдение за производительностью и работоспособностью

    При наблюдении за средой Forefront Protection 2010 for Exchange Server (FPE) можно просматривать статистические отчеты и использовать мониторы работоспособности. В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Мониторинг и нажмите в разделе Представления безопасности сервера кнопку Панель мониторинга.

    В области Представления безопасности сервера — Панель мониторинга выводятся указанные ниже сведения.

    • Имя компьютера, на котором установлен сервер Exchange Server.
    • Мониторы работоспособности. Используются для наблюдения за работоспособностью заданий проверки, служб, модулей и лицензий.
    • Системные мониторы. Для каждого типа задания проверки выводится круговая диаграмма, показывающая количество проверенных сообщений, зараженных вредоносными программами, и количество проверенных сообщений, соответствующих условиям фильтров каждого типа (фильтров файлов, фильтров по ключевым словам, фильтров по строке темы и фильтров доменов отправителей). Также указывается общее количество проверенных сообщений с датой и временем последнего обновления данных.

    Наблюдение за производительностью системы

    Для наблюдения за работоспособностью FPE используются мониторы работоспособности в верхней части панели мониторинга. Существует четыре типа мониторов работоспособности.

    • Задания проверки — отслеживает текущее состояние заданий проверки.
    • Службы — отслеживает текущее состояние служб FPE.
    • Модули — отслеживает текущее состояние антивирусных ядер.
    • Лицензирование — отслеживает текущее состояние лицензии на FPE.
    Просмотр сведений о работоспособности

    С каждым монитором связана ссылка Показать подробности. Чтобы вывести подробные сведения, щелкните ссылку Показать подробности. При этом будут выведены значки сводки и соответствующие сведения.

    Ниже перечислены используемые значки сводки.

    • Исправно — зеленый круг с галочкой. Этот значок указывает на то, что система работоспособна, и никаких действий выполнять не требуется.
    • Предупреждение — желтый треугольник с восклицательным знаком. Этот значок указывает на то, что ситуация отличается от идеальной и требует вмешательства.
    • Ошибка — красный круг со знаком "X". Этот значок указывает на наличие ошибки, которую необходимо исправить.
    • Неизвестно — серый щит. Этот значок указывает на то, что для программы FPE еще не была выполнена запланированная проверка, программе не удалось определить текущее состояние либо соответствующий элемент для системы не определен. После определения программой FPE состояния работоспособности создается соответствующее событие.

    Ниже перечислены отображаемые сведения.

    • Точка работоспособности — здесь указываются отслеживаемые элементы, например процессы проверки в реальном времени.
    • Последнее обновление — здесь указывается время последней проверки монитора.
    • Сообщение — здесь указывается текущее состояние отслеживаемой точки работоспособности, в том числе сведения об обнаруженных проблемах.

    Если для программы FPE еще не была выполнена запланированная проверка либо ей не удалось определить текущее состояние точки работоспособности, сообщение не выводится. После определения программой FPE состояния работоспособности выводится соответствующее сообщение.

    О точках работоспособности

    Чтобы гарантированно просмотреть новейшие данные, нажмите в разделе Действия кнопку Обновить.

    Ниже перечислены точки работоспособности для заданий проверки, которые отслеживает программа FPE.

    Точка работоспособности
    Описание

    Проверка передачи включена

    Отслеживает, включена ли проверка передачи.

    Пограничный транспорт подключен

    Отслеживает, включена ли служба передачи Microsoft Exchange и зарегистрирован ли агент Forefront.

    Процессы проверки передачи

    Отслеживает работоспособность запущенных процессов проверки передачи.

    Инициализация выбранного модуля проверки передачи

    Отслеживает, были ли инициализированы все модули, выбранные для проверки передачи.

    Проверка в реальном времени включена

    Отслеживает, включена ли проверка в реальном времени.

    Банк данных подключен

    Отслеживает, включена ли служба банка данных Microsoft Exchange и зарегистрирована ли библиотека VSAPI Forefront.

    Процессы проверки в реальном времени

    Отслеживает работоспособность запущенных процессов проверки в реальном времени.

    Инициализация выбранного модуля проверки в реальном времени

    Отслеживает, были ли инициализированы все модули, выбранные для проверки в реальном времени.

    Инициализация выбранного модуля проверки по расписанию

    Отслеживает, были ли инициализированы все модули, выбранные для проверки по расписанию.

    Ниже перечислены точки работоспособности для служб, которые отслеживает программа FPE.

    Точка работоспособности
    Описание

    Служба обработки событий

    Отслеживает, работает ли служба обработки событий.

    Служба мониторинга

    Отслеживает, работает ли служба мониторинга.

    Служба получения электронной почты

    Отслеживает, работает ли служба получения электронной почты.

    Свободное место на диске

    Отслеживает оставшееся место на диске.

    Ниже перечислены точки работоспособности для модулей, которые отслеживает программа FPE.

    Точка работоспособности
    Описание

    Обновление определений нежелательной почты

    Отслеживает, были ли обновлены определения нежелательной почты, и как давно. Сведения об обновлениях модуля защиты от нежелательной почты (в противоположность обновлениям определений нежелательной почты) см. в разделе Просмотр сводных сведений о модулях.

    Выбранные модули обновлены

    Отслеживает, были ли выбраны для обновления модули, выбранные для заданий проверки.

    Включены обновления всех модулей

    Отслеживает, были ли обновлены модули, выбранные для обновления.

    Период обновления выбранных модулей

    Отслеживает, были ли за последнее время обновлены модули, выбранные для обновления.

    Программа FPE также отслеживает состояние лицензии.

    Точка работоспособности
    Описание

    Состояние лицензии

    Отслеживает, действует ли лицензия, истекает ли ее срок действия или уже истек.


    Просмотр сводных сведений о модулях

    Сводные сведения о модулях программы FPE можно просмотреть в мониторе работоспособности Модули, выбрав параметр Сводные сведения о модулях.

    В диалоговом окне Сводные сведения о модулях отображаются указанные ниже сведения о модулях и обновлениях определений.

    • Модуль — модуль проверки, например Модуль защиты от вредоносных программ Майкрософт.
    • Используется — здесь указывается, используется ли данный модуль в задании проверки.
    • Обновления включены — здесь указывается, включены ли обновления для модуля (Да) или отключены (Нет).
    • Версия модуля — версия модуля.
    • Версия определений — версия используемых модулем файлов определений вредоносных программ. (Эти данные доступны не для всех модулей.)
    • Последнее обновление — дата и время последнего удачного или неудачного обновления модуля или файлов определений. Сбойные обновления выделены красным цветом.
    • Последняя проверка — дата и время последнего обновления, выполненного для нового модуля или обновления определений.

       

      Для модуля защиты от нежелательной почты Cloudmark в полях Последнее обновление и Последняя проверка отображается только дата и время последнего удачного или неудачного обновления модуля. Обновления файлов определений для защиты от нежелательной почты отображаются в точке работоспособности Обновление определений нежелательной почты.

     

    Содержимое столбцов можно отсортировать по алфавиту, щелкнув заголовок соответствующего столбца. Сведения об изменении параметров обновления модулей и файлов определений см. в разделе Настройка обновлений модулей и определений.


    Настройка представления "Панель мониторинга"

    Элементы, отображаемые в области Представления безопасности сервера — Панель мониторинга, можно настроить.

    Настройка представления "Панель мониторинга"
    1. В разделе Действия нажмите кнопку Коллекция элементов управления.

    2. В диалоговом окне Коллекция элементов управления выберите элементы, которые будут отображаться в области Представления безопасности сервера — Панель мониторинга. Галочка рядом с элементом указывает на то, элемент отображается; отсутствие галочки указывает на то, что элемент скрыт (чтобы удалить элемент из представления, также можно щелкнуть значок с красной буквой "X" рядом с элементом).

    3. Чтобы закрыть диалоговое окно Коллекция элементов управления, нажмите кнопку Выход.

    Отслеживание производительности с помощью статистики

    Для наблюдения за производительностью FPE можно использовать статистику, отображаемую в области Панель мониторинга. Если необходима более подробная статистика, см. разделы Просмотр подробной статистики по вредоносным программам, Просмотр подробной статистики фильтрации и Просмотр подробной статистики нежелательной почты.


    Просмотр подробной статистики по вредоносным программам

    Чтобы просмотреть статистику по сообщениям, зараженным вредоносными программами, переключитесь в представление Мониторинг и нажмите в разделе Представления безопасности сервера кнопку Сведения о вредоносных программах. В области Представления безопасности сервера — Сведения о вредоносных программах отображаемые сведения сгруппированы по типам заданий проверки: проверка передачи, проверка в реальном времени, проверка по расписанию и проверка по требованию. Содержимое столбцов можно отсортировать, щелкнув заголовок соответствующего столбца. Чтобы гарантированно просмотреть новейшие данные, нажмите в разделе Действия кнопку Обновить.

    В этой области выводятся указанные ниже сведения.

    • Вредоносных программ, обнаруженных в сообщениях — общее количество сообщений, зараженных вредоносными программами. Эти данные применимы только к проверке передачи.
    • Вредоносных программ, обнаруженных в компонентах сообщений — общее количество компонентов сообщений (например, вложений или файлов внутри контейнеров), зараженных вредоносными программами.
    • Очищенных сообщений — общее количество сообщений, удаленных из почтовой системы при обнаружении вредоносных программ.
    • Удаленных компонентов сообщений — общее количество компонентов сообщений, удаленных и замененных на текст для удаления при обнаружении вредоносных программ.
    • Очищенных компонентов сообщений — общее количество компонентов сообщений, очищенных при обнаружении вредоносных программ.
    • Пропущенных компонентов сообщений — общее количество компонентов сообщений, зараженных вредоносными программами, для которых не было выполнено никаких действий.
    • Сообщений на карантине — общее количество сообщений, целиком помещенных на карантин при обнаружении вредоносных программ. Эти данные применимы только к проверке передачи.
    • Компонентов сообщений на карантине — общее количество компонентов сообщений, помещенных на карантин при обнаружении вредоносных программ.


    Просмотр подробной статистики фильтрации

    Чтобы просмотреть статистику по сообщениям, удовлетворяющим условиям фильтров, переключитесь в представление Мониторинг и нажмите в разделе Представления безопасности сервера кнопку Сведения о фильтрации. В области Представления безопасности сервера — Сведения о фильтрации сведения о срабатывании различных фильтров сгруппированы по типам заданий проверки: проверка передачи, проверка в реальном времени, проверка по расписанию и проверка по требованию. Содержимое столбцов можно отсортировать, щелкнув заголовок соответствующего столбца. Чтобы гарантированно просмотреть новейшие данные, нажмите в разделе Действия кнопку Обновить.

    В этой области выводятся указанные ниже сведения.

    • Проверено сообщений — общее количество проверенных сообщений. Эти данные применимы только к проверке передачи.
    • Проверено компонентов сообщений — общее количество проверенных компонентов сообщений (например, вложений или файлов внутри контейнеров).
    • Сообщений, удовлетворяющих условиям фильтра — общее количество сообщений, удовлетворяющих условиям фильтров. Эти данные применимы только к проверке передачи.
    • Компонентов сообщений, удовлетворяющих условиям фильтра — общее количество компонентов сообщений, удовлетворяющих условиям фильтров.
    • Сообщений, очищенных из-за соответствия условиям фильтра — общее количество сообщений, удаленных из почтовой системы из-за соответствия условиям фильтра. Эти данные применимы только к проверке передачи.
    • Компонентов сообщений, удаленных из-за соответствия условиям фильтров — общее количество компонентов, удаленных и замененных на текст для удаления из-за соответствия условиям фильтра.
    • Компонентов сообщений, пропущенных при соответствии условиям фильтра — общее количество компонентов сообщений, обнаруженных и записанных в журнал из-за соответствия условиям фильтра, для которых не было выполнено никаких действий.
    • Полных сообщений, помещенных на карантин из-за соответствия условиям фильтра — общее количество сообщений, целиком помещенных на карантин из-за соответствия условиям фильтра. Эти данные применимы только к проверке передачи.
    • Отдельных компонентов сообщений, помещенных на карантин из-за соответствия условиям фильтра — общее количество компонентов сообщений, помещенных на карантин из-за соответствия условиям фильтра.


    Просмотр подробной статистики нежелательной почты

    Чтобы просмотреть статистику нежелательной почты, переключитесь в представление Мониторинг и нажмите в разделе Представления безопасности сервера кнопку Сведения о нежелательной почте. В области Представления безопасности сервера — Сведения о нежелательной почте отображаемые сведения сгруппированы по типам фильтрации нежелательной почты: фильтрация подключений, фильтрация SMTP, фильтрация содержимого и фильтрация возвращаемых писем. Чтобы гарантированно просмотреть новейшие данные, нажмите в разделе Действия кнопку Обновить.

    В этой области выводятся указанные ниже сведения.

    Фильтрация подключений

    • Сообщений, обработанных при фильтрации подключений — общее количество сообщений, обработанных при фильтрации подключений.
    • Сообщений, разрешенных белым списком IP-адресов — общее количество сообщений, допущенных в организацию Exchange по белому списку IP-адресов без проверки на нежелательную почту.
    • Сообщений, заблокированных черным списком IP-адресов — общее количество сообщений, заблокированных черным списком IP-адресов.
    • Сообщений, заблокированных списком блокировки уведомлений о доставке — общее количество сообщений, заблокированных списком блокировки уведомлений о доставке.

    Фильтрация SMTP

    • Сообщений, обработанных при фильтрации SMTP — общее количество сообщений, обработанных при фильтрации SMTP.
    • Сообщений, заблокированных при фильтрации отправителей — общее количество сообщений, заблокированных при фильтрации отправителей.
    • Сообщений, заблокированных при фильтрации кодов отправителей — общее количество сообщений, заблокированных при фильтрации кодов отправителей.
    • Сообщений, заблокированных при фильтрации получателей — общее количество сообщений, заблокированных при фильтрации получателей.

    Фильтрация содержимого

    • Сообщений, обработанных при фильтрации содержимого — общее количество сообщений, обработанных при фильтрации содержимого.
    • Сообщений, отклоненных при фильтрации содержимого — общее количество сообщений, отклоненных при фильтрации содержимого.
    • Сообщений, удаленных при фильтрации содержимого — общее количество сообщений, удаленных при фильтрации содержимого.
    • Сообщений, помещенных на карантин при фильтрации содержимого — общее количество сообщений, помещенных на карантин как нежелательные при фильтрации содержимого.

    Фильтрация возвращаемых писем

    • Сообщений, обработанных при фильтрации возвращаемых писем — общее количество сообщений, обработанных при фильтрации возвращаемых писем.
    • Сообщений, заблокированных списком отклонения доменов — общее количество сообщений, заблокированных списком отклонения доменов.
    • Сообщений, разрешенных списком исключений доменов — общее количество сообщений, разрешенных списком исключений доменов.
    • Сообщений, заблокированных агентом возвращаемых писем — общее количество сообщений, заблокированных агентом возвращаемых писем.
    Сброс данных статистики

    Чтобы начать сбор данных заново, можно сбросить статистику вредоносных программ, фильтрации и нежелательной почты.

    • В области Представления безопасности сервера — Сведения о вредоносных программах или Представления безопасности сервера — Сведения о фильтрации в разделе Действия нажмите кнопку Удалить данные статистики передачи, Удалить данные статистики проверки в реальном времени, Удалить данные статистики проверки по расписанию или Удалить данные статистики проверки по требованию. Независимо от того, какая область открыта, для выбранного задания проверки будут очищены данные статистики как для вредоносных программ, так и для фильтрации.
    • В области Представления безопасности сервера — Сведения о нежелательной почте нажмите в разделе Действия кнопку Удалить данные статистики модуля защиты от нежелательной почты.
    • Чтобы очистить все данные статистики (статистики вредоносных программ, фильтрации и нежелательной почты) для всех заданий проверки, в области Представления безопасности сервера — Панель мониторинга в разделе Действия нажмите кнопку Удалить все данные статистики.
  • Microsoft Forefront Protection 2010 for Exchange Server. Эксплуатация.(Часть 1)

    Общие сведения об операциях

    В программе Forefront Protection 2010 for Exchange Server (FPE) несколько антивирусных ядер интегрировано в комплексное многоуровневое решение, позволяющее защитить среду обмена сообщений на базе сервера Microsoft Exchange Server от вредоносных программ, нежелательной почты и недопустимого содержимого. FPE предотвращает распространение вредоносного содержимого благодаря проверке всех сообщений в реальном времени, которая практически не влияет на производительность сервера Exchange Server и время доставки почты.

    Программа FPE обладает рядом мощных возможностей, некоторые из которых перечислены ниже.

    • Тщательная проверка на вредоносные программы с использованием нескольких антивирусных ядер и нескольких заданий проверки.
    • Распределенная защита всех серверов Microsoft Exchange, обеспечивающих хранение и передачу данных, с различными ролями, включая пограничные транспортные серверы, транспортные серверы-концентраторы, серверы общих папок и почтовые серверы.
    • Широкие возможности фильтрации.
    • Эффективная защита от нежелательной почты с высоким уровнем перехвата нежелательных сообщений и малым количеством ложных срабатываний.
    • Интеграция с Forefront Online Protection for Exchange.
    • Встроенный список очистки от вирусов червей с возможностью создания собственного списка.
    • Автоматическое расписание обновлений модулей и определений для обеспечения наилучшей защиты и возможность просмотра сведений об обновлениях для каждого модуля.
    • Уведомления по электронной почте, предоставляющие администраторам и другим пользователям сведения о деятельности FPE.
    • Журнал происшествий, позволяющий администраторам просматривать и анализировать показатели производительности FPE.
    • Возможность помещения на карантин вредоносных файлов и элементов, соответствующих условиям фильтров с возможностью их последующего восстановления.
    • Статистические данные, позволяющие отслеживать работоспособность среды Exchange.

     

    О консоли администратора

    Консоль Консоль администрирования Forefront Protection 2010 for Exchange Server предназначена для выполнения трех основных функций: мониторинг в реальном времени событий, связанных с защитой сервера, настройка параметров политик сервера и предоставление необходимых средств для выполнения конкретных задач. Эти функции соответствуют типичному рабочему процессу администрирования: после первоначальной настройки FPE администратор большую часть времени отслеживает происшествия, о которых сообщает (и, возможно, помещает на карантин) FPE. Остальное время тратится на настройку параметров политик и выполнение конкретных задач.

    Для переключения между тремя основными представлениями (Мониторинг, Управление политиками и Задачи) нажмите соответствующую кнопку в левом нижнем углу. Подразделы в каждом из трех представлений отображаются над кнопками в виде дерева (как в проводнике). В центральной области отображаются основные сведения, например параметры конфигурации. Слева от этой области находятся элементы навигации, а справа — средства для выполнения конкретных действий.

    О представлении "Мониторинг"

    В Консоль администрирования Forefront Protection 2010 for Exchange Server представление Мониторинг используется для вывода сведений об обнаруженных угрозах или срабатываниях фильтров (так называемых происшествиях), помещенных на карантин элементах, работоспособности системы, а также статистических данных. В этом представлении также можно настроить уведомления по электронной почте, чтобы держать администраторов и других пользователей в курсе дел о работе FPE.

    Администраторы используют Консоль администрирования Forefront Protection 2010 for Exchange Server для просмотра текущих событий, связанных с защитой системы, и происшествий. При обнаружении вредоносных программ, например вирусов и программ-шпионов, а также при срабатывании фильтра сведения о происшествии записываются в журнал, где их можно впоследствии просмотреть. Происшествия можно отфильтровать таким образом, чтобы вывести, например, только происшествия определенного типа или происшествия за определенный промежуток времени.

    В представлении Мониторинг также можно просмотреть список элементов, помещенных на карантин. Как и происшествия, помещенные на карантин элементы можно отфильтровать, отобразив только те из них, которые удовлетворяют заданным условиям. С помощью пользовательского интерфейса также можно снимать элементы с карантина и удалять их.

    При наблюдении за средой FPE можно просматривать статистические отчеты и использовать мониторы работоспособности. Существуют мониторы работоспособности для заданий проверки, служб, модулей и лицензий. Также можно просматривать сводные и подробные отчеты о вредоносных программах, нежелательной почте и срабатываниях фильтров.

    О представлении "Управление политиками"

    В Консоль администрирования Forefront Protection 2010 for Exchange Server представление Управление политиками используется в основном для настройки системы. Исходные параметры можно изменить в соответствии с требованиями конкретной среды FPE; также можно создавать настраиваемые фильтры.

    Параметры в представлении Управление политиками сгруппированы по технологии защиты: Защита от вредоносных программ, Защита от нежелательной почты, Фильтры и Защита в Интернете. В представлении Глобальные параметры выводятся параметры конфигурации, относящиеся ко всем технологиям защиты.

    Защита от вредоносных программ включает в себя защиту от вирусов и программ-шпионов; параметры защиты от обоих типов угроз настраиваются в группе Защита от вредоносных программ. Фильтрация позволяет запретить или разрешить определенное содержимое на основе типа файла, имени файла, расширения файла, темы сообщения, а также других условий.

    В зависимости от установленной роли сервера Exchange Server (пограничный транспортный сервер, транспортный сервер-концентратор, сервер почтовых ящиков или объединенный транспортный сервер-концентратор и сервер почтовых ящиков) в FPE в группах Защита от вредоносных программ и Фильтры отображаются различные подгруппы. Это позволяет администраторам, например, создавать различные параметры защиты от вредоносных программ и различные параметры фильтрации для транспортных серверов Exchange (пограничных транспортных серверов и транспортных серверов-концентраторов) и серверов почтовых ящиков Exchange. Обратите внимание, что некоторые технологии защиты доступны только для конкретных ролей сервера. Например, защита от нежелательной почты доступна только в том случае, если ПО FPE установлено на пограничном транспортном сервере, транспортном сервере-концентраторе или объединенном транспортном сервере-концентраторе и сервере почтовых ящиков Exchange, но недоступна для сервера почтовых ящиков Exchange.

    После установки для защиты от вредоносных программ автоматически применяются предопределенные параметры. С помощью Консоль администрирования Forefront Protection 2010 for Exchange Server можно настроить значения по умолчанию, а также создать настраиваемые фильтры и включить их. Если на сервере доступна и включена защита от нежелательной почты, то также можно настроить белый и черный списки и изменить пороговые значения вероятности нежелательной почты для фильтрации содержимого.

    Помимо непрерывной защиты, обеспечиваемой при проверке в реальном времени, FPE позволяет выполнять проверку данных по расписанию. Проверка по расписанию запускается только в указанное время, и ее можно настроить таким образом, чтобы она выполнялась регулярно. Параметры проверки по расписанию также могут отличаться от параметров проверки в реальном времени. Например, в представлении Фильтры каждый из фильтров можно независимо от других включить или отключить для различных типов проверки. В области Глобальные параметры — Параметры проверки можно указать, какие почтовые ящики и общие папки будут проверяться по расписанию, а какие — в реальном времени.

    О представлении "Задачи"

    В Консоль администрирования Forefront Protection 2010 for Exchange Server представление Задачи используется для запуска вручную одноразовых заданий, например проверки по требованию. Такую проверку лучше всего использовать при внезапном заражении, чтобы проверить несколько подозрительных почтовых ящиков или общих папок, атакованных вредоносной программой или содержащих запрещенные либо недопустимые данные или файлы.

     

    Настройка проверки на программы-шпионы

    Программы-шпионы — это программы, представляющие угрозу для безопасности и конфиденциальности пользователей компьютеров. Программы-шпионы обычно устанавливаются на компьютер без ведома пользователя. Это могут быть как всплывающие окна с нежелательной рекламой, так и программы, записывающие все нажатия клавиш, и даже программы, берущие компьютер под свой контроль. Программы-шпионы могут снижать производительность компьютера, изменять его конфигурацию и похищать персональные данные, например сведения о счетах и пароли. Forefront Protection 2010 for Exchange Server (FPE) защищает пользователей от программ-шпионов, проходящих через серверы Exchange Server.

    Хотя большинство параметров конфигурации для защиты от программ-шпионов объединено с параметрами для защиты от вирусов, указанные ниже параметры являются специализированными и позволяют настроить FPE для более эффективной борьбы с программами-шпионами.

    • При включенной защите от программ-шпионов необходимо также включить обновления подсистемы защиты от вредоносных программ. Подсистема защиты от вредоносных программ Майкрософт является единственным модулем, который проверяет систему на наличие программ-шпионов, поэтому сам модуль и определения должны регулярно обновляться. Дополнительные сведения см. в разделе Настройка обновлений модулей и определений.
    • В зависимости от типа проверки необходимо включить проверку на наличие программ-шпионов для проверки передачи, проверки в реальном времени или проверки по расписанию. (Проверка по требованию для программ-шпионов не поддерживается.) Дополнительные сведения см. в разделах ‎Настройка проверки передачи, ‎Настройка проверки в реальном времени и Настройка проверки по расписанию.
    • Аналогичным образом, для каждого задания проверки необходимо указать действие, которое FPE будет выполнять при обнаружении программы-шпиона. Также можно указать действие, выполняемое при проверке на вирусы; в тех случаях, когда зараженный файл содержит одновременно и вирус, и программу-шпион, выполняется действие, указанное для защиты от вирусов. Дополнительные сведения о настройке действий см. в разделах ‎Настройка проверки передачи, ‎Настройка проверки в реальном времени и Настройка проверки по расписанию.

     

    Использование фильтрации для защиты от нежелательной почты

    В этом разделе рассказывается, как с помощью Forefront Protection 2010 for Exchange Server (FPE) предотвратить попадание нежелательной почты в среды обмена сообщениями Microsoft Exchange.

    Технологию защиты от нежелательной почты FPE можно включить на пограничных транспортных серверах и транспортных серверах-концентраторах Exchange. Тем не менее, защиту от нежелательной почты рекомендуется включить на пограничном транспортном сервере, поскольку это позволяет программе FPE отклонять нежелательную почту на самых ранних этапах обработки, не создавая лишней нагрузки на сеть. Технология защиты от нежелательной почты включает ряд агентов, зарегистрированных на сервере Exchange Server и вызываемых на определенных этапах конвейера SMTP. FPE также можно интегрировать с Forefront Online Protection for Exchange (FOPE), чтобы обеспечить дополнительный уровень фильтрации в среде обмена сообщениями.

    Если для фильтрации электронной почты используется FOPE, программу FPE можно настроить таким образом, чтобы она не проверяла сообщения, уже проверенные FOPE. Дополнительные сведения см. в разделе Пропуск проверки на вирусы и нежелательную почту для уже проверенных сообщений.

    В FPE для выявления и устранения нежелательной почты используется несколько видов фильтрации.

    • Фильтрация подключений—FPE проверяется IP-адрес отправителя. В FPE используются настраиваемые пользователем черные и белые списки статических IP-адресов, а также черный список динамических DNS-имен, предоставляемый корпорацией Майкрософт, который позволяет отфильтровать до 90 % нежелательной почты. Дополнительные сведения см. в разделе Использование фильтрации подключений.
    • Фильтрация отправителей—FPE проверяются сведения об отправителе SMTP. Этот фильтр позволяет администраторам настроить списки разрешенных и заблокированных отправителей по доменам и адресам электронной почты. Дополнительные сведения см. в разделе Настройка фильтрации отправителей.
    • Фильтрация кодов отправителя—FPE проверяются коды отправителя, чтобы защититься от возможной подделки идентификатора отправителя. Дополнительные сведения см. в разделе Настройка фильтрации кодов отправителей.
    • Фильтрация получателей—FPE используется, чтобы разрешить или заблокировать отправку сообщений электронной почты определенным получателям в организации. Кроме того, FPE позволяет проверить наличие получателя в доменной службе Active Directory путем выполнения соответствующего запроса. Дополнительные сведения см. в разделе Настройка фильтрации получателей.
    • Фильтрация содержимого—FPE проверяется также содержимое самого сообщения, включая строку темы и тело сообщения. Для проверки всей электронной почты на наличие нежелательных сообщений FPE использует ядра защиты от нежелательной почты сторонних производителей. Дополнительные сведения см. в разделе Настройка фильтрации содержимого.
    • Фильтрация возвращаемых писем—FPE используется новая технология, позволяющая администраторам защитить среду от поддельных отчетов о недоставке с подложных адресов отправителей. Дополнительные сведения см. в разделе Настройка фильтрации возвращаемых писем.

    На первых двух этапах конвейера защиты от нежелательной почты FPE может отклонить сообщение, если оно было отправлено с IP-адреса из черного списка или от заблокированного либо подложного отправителя. Программу FPE также можно настроить таким образом, чтобы она отклоняла сообщения, предназначенные заблокированным или недопустимым отправителям. На последнем этапе программа FPE определяет вероятность того, что сообщение является нежелательным. FPE позволяет задать пороговое значение вероятности, определяющее действие, которое будет выполнено FPE в процессе фильтрации содержимого. Сообщения, вероятность нежелательной почты для которых превышает пороговое значение, могут быть отклонены или удалены, остальные сообщения могут быть помещены на карантин или переданы в приложение Microsoft Office Outlook. Подозрительные сообщения, переданные в приложение Office Outlook, могут быть проверены еще раз в зависимости от настроек Outlook.

    Если вам не удается задать параметры защиты от нежелательной почты с помощью Консоль администрирования FPE, проверьте, не истек ли срок действия пароля администратора сервера Exchange Server и не был ли пароль изменен.

    При включенной фильтрации нежелательной почты необходимо также заполнить список внутренних SMTP-серверов в командной консоли Microsoft Exchange Server. Это особенно важно, если передача данных между Интернетом и сервером Exchange Server, защищенным FPE, на котором включены агенты защиты от нежелательной почты, осуществляется через агенты передачи сообщений. Сведения о настройке списка внутренних SMTP-серверов можно найти в указанных ниже разделах документации к Microsoft Exchange. Агенты защиты от нежелательной почты включены, но список внутренних SMTP-серверов пуст (http://go.microsoft.com/fwlink/?LinkId=156597) и Командлет Set-TransportConfig (http://go.microsoft.com/fwlink/?LinkId=156599).

     

    Использование Forefront Online Protection for Exchange

     

    Forefront Online Protection for Exchange (FOPE) — это служба фильтрации электронной почты, которую можно использовать совместно с Forefront Protection 2010 for Exchange Server (FPE). Программа FOPE защищает среду обмена сообщениями путем фильтрации входящей почты до ее поступления в почтовую систему. Служба FOPE получает все входящие сообщения, проверяет их на нежелательную почту и вирусы, применяет настраиваемые фильтры защиты от нежелательной почты и передает почту в среду обмена сообщениями для дальнейшей проверки и доставки. Ниже перечислены настраиваемые фильтры защиты от нежелательной почты.

    • Черный и белый списки IP-адресов
    • Черный и белый списки доменов отправителей
    • Черный и белый списки адресов отправителей
    • Черный и белый списки адресов получателей

    Дополнительные сведения об этих фильтрах и их настройке см. в разделе Использование фильтрации для защиты от нежелательной почты.

    Интеграция размещенной службы фильтрации со средой электронной почты

    В типичной почтовой системе почта приходит из Интернета и поступает в среду обмена сообщениями через пограничный транспортный сервер, где она проверяется на вредоносные программы и нежелательную почту. После проверки почта передается на транспортный сервер-концентратор для дальнейшей маршрутизации на соответствующий сервер почтовых ящиков. При использовании службы FOPE между Интернетом и пограничным транспортным сервером добавляется дополнительный уровень фильтрации. Этот уровень состоит из серверов FOPE, объединенных в центр данных.

    Серверы FOPE группируются в центры данных Майкрософт по всему миру. Эти серверы проверяют сообщения на вредоносные программы и нежелательную почту перед их передачей на пограничные транспортные серверы и транспортные серверы-концентраторы. Ниже перечислены преимущества использования FOPE.

    • Благодаря фильтрации нежелательной почты отсекается до 90% входящей почты. Это позволяет снизить нагрузку на внутренние почтовые серверы.
    • Вся почта, поступающая на пограничные транспортные серверы и транспортные серверы-концентраторы, уже проверена на вирусы.
    • Параметры защиты от нежелательной почты можно изменить локально, после чего они будут синхронизированы с параметрами защиты от нежелательной почты и фильтрации в FOPE.
    • Программа FOPE помечает все сообщения, которые были проверены на вирусы, нежелательную почту и соответствие условиям настраиваемых фильтров, путем добавления в сообщение заголовка со сведениями о состоянии сообщения. Этот заголовок может использоваться программой FPE, чтобы не выполнять повторную проверку сообщений на пограничных транспортных серверах.

    Если сообщение определяется службой FOPE как нежелательное, возможны указанные ниже варианты действий.

    • Оставить сообщение в базе данных карантина FOPE. Это значение используется по умолчанию.
    • Передать сообщение на обработку программе FPE. Программа FPE либо заблокирует сообщение, либо поместит его на карантин, либо доставит его получателю в зависимости от конфигурации защиты от нежелательной почты в FPE и с учетом вероятности нежелательной почты, назначенной сообщению службой FOPE.
Подписаться на новости