Forefront Server Security應(yīng)用程序有什么作用呢?不少管理人員有這個疑問。簡單的來說，F(xiàn)orefront Server Security就是一個安全管理的工具。如下圖所示，在一臺郵箱服務(wù)器上企業(yè)采用了Forefront產(chǎn)品來保護(hù)其安全性?，F(xiàn)在如果管理員需要遠(yuǎn)程來維護(hù)這臺服務(wù)器上的安全性，如查看日志信息、手工升級等等，此時就需要用到這個工具。這是一個很實(shí)用的工具。接下去筆者就給大家介紹一下這個工具在使用方面的一些技巧。

一、對操作系統(tǒng)的額外要求

Forefront Server Security管理員程序可以在客戶端上運(yùn)行，實(shí)現(xiàn)遠(yuǎn)程管理。也可以在本地執(zhí)行，進(jìn)行本地配置。不過大部分情況下，都是在客戶端上運(yùn)行。為了查看日志信息，管理員還用不著跑到機(jī)房去查看。為此Forefront Server Security應(yīng)用程序還是在客戶端上跑的時間多。

不過可能是技術(shù)方面的原因，如果要運(yùn)行Forefront Server Security，必須在客戶端上進(jìn)行額外的配置?，F(xiàn)在大部分的客戶端采用的是XP操作系統(tǒng)，筆者這里就以XPSP2為例，分析一下如果要在這個平臺上運(yùn)行Forefront Server Security，該采取哪些額外的配置。

第一步：需要在組件服務(wù)對話框中進(jìn)行額外的配置。管理員可以在運(yùn)行對話框中輸入“DCOMCNFG”命令來打開組建服務(wù)對話框。如下圖所示。

第二步：在上面這個組件服務(wù)對話框中，依次點(diǎn)擊“組件服務(wù)”、“計(jì)算機(jī)”，然后右鍵點(diǎn)擊“我的電腦”，并在現(xiàn)實(shí)的菜單中選擇“屬性”。然后在Com安全選項(xiàng)卡上，找到“訪問權(quán)限”下面的“編輯限制”選項(xiàng)。然后找到“匿名登錄”用戶的“遠(yuǎn)程訪問”，并選擇“允許”復(fù)選框。注意這一步非常重要。不過這個復(fù)選框沒選中的話，這Forefront Server Security將無法正常運(yùn)行。

第三步：在防火墻上進(jìn)行額外的配置。如果操作系統(tǒng)上啟用了防火墻機(jī)制，管理員必須要將Forefront Server Security應(yīng)用程序添加到Windows防火墻的例外列表中去。具體的操作如下。管理員找到Windows防火墻的例外選項(xiàng)卡。然后單擊“添加程序”，從列表中選擇“FSSACLIENT”，并單擊確定。此時防火墻系統(tǒng)就會將這個應(yīng)用程序自動添加到“程序和服務(wù)”列表中去。再回過來找到“程序和服務(wù)”列表的這個應(yīng)用程序，單擊“添加端口”，輸入端口的名字。一般情況下這個應(yīng)用程序采用的是135端口，并以TCP作為其數(shù)據(jù)傳輸?shù)膮f(xié)議。

如上配置后，F(xiàn)orefront Server Security就可以在XP SP2 操作系統(tǒng)上順利運(yùn)行，并可以連接上遠(yuǎn)程的服務(wù)器。針對以上這些配置，筆者還有如下兩個小建議。

一是如果大家覺得防火墻的配置比較麻煩，其實(shí)也有一個偷懶的方法。即如果現(xiàn)在需要運(yùn)行Forefront Server Security應(yīng)用程序進(jìn)行遠(yuǎn)程管理的話，可以先暫時關(guān)閉Windows防火墻功能。等到維護(hù)完成之后，再啟用。如此的話，就可以不需要對防火墻進(jìn)行額外的配置。不過出于安全考慮，并不建議這么操作。

二是需要注意開啟135端口可能會帶來額外的威脅。如果啟用Windows防火墻，并需要使用Forefront Server Security應(yīng)用程序的話，需要在防火墻處開啟135端口。顯然將這個端口為所有的計(jì)算機(jī)開發(fā)，會帶來不小的安全隱患。此時出于安全考慮，可能還需要添加一個額外的限制，即只為某個特定的IP地址打開。要實(shí)現(xiàn)這個功能的話，可以在防火墻的“更改范圍”欄目中實(shí)現(xiàn)。但管理員添加完135端口后，不要馬上關(guān)閉對話框。在這個對話框中，有一個“更改范圍”按鈕。管理員單擊這個按鈕，并選擇“自定義列表”。在這個列表中管理員可以輸入合適的IP地址，從而實(shí)現(xiàn)這個端口只為這幾個IP地址而開啟。這么操作的話，這個安全隱患就被消除了。#p#

二、只讀模式與讀寫模式

Forefront Server Security應(yīng)用程序可以根據(jù)用戶的需求，以只讀模式或者讀寫模式來運(yùn)行。顧名思義，只讀模式不能夠?qū)h(yuǎn)程服務(wù)器進(jìn)行任何的修改，如更改配置文件等等，只能夠進(jìn)行一些查詢。而讀寫模式的話，基本上就可以對遠(yuǎn)程服務(wù)器進(jìn)行完全控制。出于安全考慮，管理員就需要采取合適的運(yùn)行模式。筆者的建議是，在分析、查找問題的時候，以只讀模式運(yùn)行。以免一不小心，更改了正確的配置。等到問題找到了，再改為讀寫模式，對系統(tǒng)系統(tǒng)進(jìn)行相關(guān)的調(diào)整。

這個運(yùn)行的模式，主要是由用戶的權(quán)限所控制的。如果現(xiàn)在管理員需要更改某個配置文件，那么就需要使用具有像對應(yīng)的權(quán)限的用戶進(jìn)行登錄。這個權(quán)限的配置跟NTFS文件系統(tǒng)的權(quán)限管理相同。或者說，其就是借助了NTFS文件系統(tǒng)的權(quán)限管理機(jī)制來實(shí)現(xiàn)。故筆者這里就不重復(fù)這方面的內(nèi)容了。如果讀者需要進(jìn)一步了解，可以去查詢NTFS文件系統(tǒng)的相關(guān)資料。

這里筆者只想強(qiáng)調(diào)以下幾點(diǎn)內(nèi)容。

一是用戶對PSE必須有讀寫的權(quán)限。如果管理員創(chuàng)建的用戶對于PSE只有只讀的訪問權(quán)限，則當(dāng)用戶運(yùn)行這個應(yīng)用程序的時候，會出現(xiàn)問題。如系統(tǒng)會提示錯誤信息：無法連接服務(wù)，拒絕訪問等等。

二是系統(tǒng)帳戶和Exchange服務(wù)帳戶還必須對系統(tǒng)文件夾具有完全控制的權(quán)限。否則的話，這個應(yīng)用程序也會因?yàn)榈玫降乃枰臋?quán)限而無法正常運(yùn)行。可見，如果將這個應(yīng)用程序與Exchange等應(yīng)用程序結(jié)合在一起，權(quán)限的設(shè)計(jì)是一項(xiàng)很復(fù)雜的事情。筆者的建議是，要遵循最小權(quán)限原則。在規(guī)劃的時候，就要設(shè)計(jì)好權(quán)限體系。如此的話，在配置的時候，才不會迷糊。#p#
                 
三、Forefront Server Security不能夠?yàn)E用

筆者發(fā)現(xiàn)有一家企業(yè)的管理員，他可能為了管理的方便，在多臺電腦上配制了Forefront Server Security應(yīng)用程序，特別是還在家里的電腦上安裝了Forefront Server Security應(yīng)用程序。筆者認(rèn)為這么做可能會帶來不必要的安全隱患。筆者建議，為了提高安全性，最好只在特定的電腦上安裝Forefront Server Security應(yīng)用程序。如只在管理員自己的手提電腦上安裝。但Forefront Server Security用戶一多，就難免會給攻擊者有機(jī)可乘。為此就需要將其限制在比較小的范圍之內(nèi)。

【編輯推薦】

1. ForeFrontSecurity for Exchange解讀
2. SAS采用Forefront Security for SharePoint解決方案
3. MicrosoftForefront Security部署規(guī)劃