微軟第一款企業用戶端防毒軟體預覽

結合多方資訊的資安平臺
FCS不只是一套防毒軟體，我們可以把FCS看成是多項微軟產品的整合應用。除了獨立部署之外，FCS也可以和微軟的NAP（Network Access Protection）搭配運作。

導入門檻不低
由於整合了MOM與SQL Server，因此硬體等級的需求會比其它的企業防毒軟體要高出許多，另外，使用者可視實際狀況將FCS伺服器元件，分散到1、3、5、6臺數量不等的電腦上運作。

採儀表板方式呈現主控臺介面
首頁畫面以高度圖形化的儀表板（Dashboard）方式呈現，整體設計相當直覺易懂，我們利用圖表方式，分項介紹主控臺的各項功能。

用戶端程式介面與Windows Defender相類似
用戶端程式的介面和Windows Defender相類似，主畫面以顯示病毒碼版本、上次掃描時間，以及有無安全性問題需要解決等資訊為主。結合多方資訊的資安平臺

繼個人端的Windows Live OneCare之後，微軟再以Forefront Client Security（FCS，之前叫做Microsoft Client Protection）進軍企業用戶端的防毒軟體市場。Forefront是微軟企業資安產品的總稱，旗下有伺服器端防毒的Forefront Security for Exchange Server（前身是Antigen for Exchange/SMTP Gateways/Spam Manager）、Forefront Security for SharePoint（前身是Antigen for SharePoint）、Forefront Security for Office Communications Server；安裝在閘道端的Internet Security and Acceleration Server（ISA）、Intelligent Application Gateway（IAG）；以及這裡即將登場的FCS。

按照往例，每當重大產品發布之前，微軟會準備所謂的RTM終極測試版，提供給有意導入的企業或技術人員，作為評估測試之用。微軟表示，FCS的RTM版本預計在第2季，也就是近日便會開放下載，而目前我們所能取得的最新版本，是去年8月發布的Beta 2。

除了獨立部署之外，FCS也可以和微軟的NAP（Network Access Protection）搭配運作，而今年就要上市的Longhorn Server就將NAP納入內建功能之中，透過NAP的運作，對於病毒碼尚未更新，或者是安全設定與NAP控管政策不符的用戶端電腦就會被隔離到另一個VLAN，禁止其透過區域網路存取企業內部的各項資源。

我們這次所測試的FCS Beta 2，在功能上已經和未來出貨的正式版相差無幾，但是一切仍有變動改進的可能，但是對於想嚐鮮，或者單純測試功能的人來說，Beta 2已能不離其宗。

眾多微軟產品的整合應用
FCS不只是一套防毒軟體，我們可以把FCS看成是多項微軟產品的整合應用。比方說，在安裝程式中，即包含一套完整功能的Microsoft Operations Manager 2005（MOM），透過安裝在用戶端電腦的MOM代理程式（MOM Agent），收集軟硬體的各項相關資訊，以及回報過去所發生的資安事件。

有別於多數企業端防毒軟體使用免費的MSDE資料庫，FCS則以SQL Server 2005儲存資料，因此不再有MSDE單一資料庫2GB的大小上限，對於事件記錄可以更加完整的予以保存，FCS的各項報表也是透過SQL Server的Reporting Services所產生，並結合IIS以網頁方式呈現高度圖形化的報表，除了沒有中文介面之外，整體來說，報表功能的親和力相當高。值得注意的是，Beta版的FCS目前僅能搭配SQL Server 2005企業版，不過到了正式版推出之後，就會將支援範圍延伸到SQL Server 2005標準版。

病毒碼的更新，FCS主要是藉由Windows Server Update Services（WSUS）來完成。在這方面，微軟的動作相當積極，平均每天有3到4個版本的新病毒碼發布，對於抑制大規模病毒疫情的爆發，會有相當大的幫助；微軟目前僅在美國總部設有病毒分析中心，根據我們了解，微軟已經計畫增加全球病毒分析中心的數量，以便即時收集世界各地的新病毒，而這當中也包括了臺灣，以及世界最大的病毒來源集散地─中國大陸。導入門檻不低

FCS Beta 2結合多項微軟的現有產品，整體管理功能相當強大，不過導入的門檻也相對很高（和其它企業端防毒軟體相比）。首先在硬體方面，由於整合了MOM與SQL Server，因此硬體等級的需求會比其它的企業防毒軟體要高出許多，微軟表示，FCS伺服器的最低硬體需求是750MHz處理器（伺服器僅能安裝在x86平臺）、1GB記憶體，以及100GB以上的硬碟空間，不過從我們實際使用過這些產品的經驗來看，上述所列舉的硬體需求並不敷使用，微軟建議最好使用2顆2.8GHz以上的雙核心處理器，以及4GB以上記憶體來架設FCS伺服器，才能保證運作效能的順暢，這裡我們使用了一部微星的X2-106伺服器作為測試平臺，上面安裝了2顆Xeon 5130 3.0GHz處理器、2GB記憶體，以及1顆36GB的SAS硬碟，雖然某些配備仍低於微軟的建議值，不過用來完成這次的測試，已經是綽綽有餘。

對於有意測試FCS Beta 2的人來說，最好能「詳讀」下列兩份文件：一是微軟撰寫的Deployment_B2R.doc，裡頭詳述了伺服器與用戶端程式的安裝，以及設定上的注意事項，其內容以文字為主，因此需要花費一些時間才能完全看完，其次則是位於http://tinyurl.com/2xkeog的ForefrontClientSecurity2007.pdf，內容較為簡略，不過有設定步驟的畫面可供參考，所以閱讀起來會比前面一份文件要來得容易許多。在微軟的TechNet也有FCS的Virtual Labs，可以線上實作FCS的軟體安裝，以及排除問題的步驟。

與AD之間的整合運用
由於是微軟自家的企業端產品，因此在功能上結合AD，可以說是勢在必行，FCS不但可以透過AD大量安裝，甚至連管理者在伺服器上所新增、修改的任何設定，都會透過AD發布到用戶端電腦。所以測試之前，我們以一臺安裝Windows Server 2003中文版的主機架設一個名為ithomeav的新網域；此外，對於沒有架設AD的企業來說，則可利用安裝光碟所附的fcslocalpolicytool.exe，將匯出自伺服器的REG登錄檔，以手動方式匯入到每一臺用戶端電腦。

FCS Beta 2的語系為英文，在相容性的考量之下，因此我們在測試平臺上安裝了英文版的Windows Server 2003，並執行Windows Update安裝Windows Server 2003 SP2之外的所有更新檔，此外，還要手動安裝MMC 3.0、GPMC SP1、IIS、ASP.NET，以及FrontPage Server Extensions，完成之後才能接著進行SQL Server 2005的安裝。

FCS的報表均由Reporting Services所產生，因此在安裝SQL Server 2005時，記得要一併勾選Reporting Services，至於其它步驟則與我們一般安裝SQL Server的流程大同小異。

一般來說，WSUS預設使用的連接埠是80，依照說明文件的指示，我們必須將連接埠指定為8530，這項步驟可在安裝過程中直接修改；至於之後所要做的，就是替ithomeav網域設定群組原則（GPO），通知所有電腦，網域下有一臺WSUS伺服器可以下載更新檔；如果WSUS因故無法繼續服務時，用戶端電腦的病毒碼更新並不會因此而中斷，這時可以直接透過Microsoft Update連接微軟官方的更新伺服器，以便取得最新版本的病毒碼。

可分散到多臺伺服器運作
FCS的安裝介面和SQL Server 2005相當類似，在開始安裝之前，程式會針對系統進行一次檢測，確認預備用來架設FCS伺服器的電腦，其軟硬體是否符合FCS運作需求。

由於許多企業已經採用了SQL Server做為資料庫，或者架設了WSUS伺服器供內部電腦更新之用，為了不浪費既有硬體的投資，加上降低單一伺服器的運作負荷，因此可以視實際狀況將FCS伺服器元件，分散到1、3、5、6臺數量不等的電腦上運作。

對於原本安裝它牌防毒軟體的用戶，微軟也計畫提供移除工具以簡化用戶端程式的安裝部署，只是目前細節尚不得而知。而除了防毒元件之外，在FCS用戶端程式的安裝過程中，也會同時安裝MOM代理程式，以便向伺服器提供目前用戶端電腦的相關資訊，以及回報先前所發生的各項事件記錄。與伺服器元件不同的是，用戶端程式可安裝在x86、x64兩種平臺，FCS在這裡提供了3種部署方式：一是在透過AD以Logon Scripts的方式大量安裝；其次是以手動方式在用戶端電腦的終端機介面以指令方式安裝（格式為clientsetup.exe /MS 群組名稱 /CG FCS伺服器的完整FQDN）；最後一種則以SMS之類的軟體派送工具，將程式傳送到用戶端主機安裝。採儀表板方式呈現主控臺介面

Microsoft Forefront Client Security Console是FCS的主控臺，首頁畫面以高度圖形化的儀表板（Dashboard）方式呈現，整體設計相當直覺易懂；畫面上方所顯示的是目前接受FCS伺服器控管的用戶端電腦數量，以及即時掃描的功能鍵，執行之後，FCS會跳出對話方塊詢問管理者是否針對所有，或者是單一電腦做掃描，除此之外，也可以設定是否啟用完整模式進行掃描。

儀表板的左側與下方所顯示的是偵測到的威脅數量，與安全警示；中央的區塊所顯示的是目前分析所得的資安趨勢圖，這裡可分做兩大部份，一種是即時性的統計值，另一種是過去14天的資安趨勢，可協助管理者快速了解目前接受FCS伺服器管理的電腦是否安全無虞；有一點值得注意的是，由於儀表板的圖表和報表一樣，都是透過Reporting Services所產生，因此我們需要將FCS伺服器加入到IE的信任伺服器清單，如此才能讓圖表正常顯示，否則所顯示的將會是無法連接資料庫的錯誤訊息。

切換到政策管理（Policy Managemant）的分頁，這裡可以設定FCS對用戶端電腦的各項管理政策。在這裡，我們可以決定是否讓使用者具有修改用戶端程式設定的權限，設定是否開啟病毒防護或者是間諜程式防護的功能，以及視需求關閉病毒防護或者是間諜程式防護的功能等，另外也有提供類似修改IE安全性層級的滑桿工具，預設值為中安全性，如果不想手動修改設定，則可利用此工具快速變更用戶端電腦的安全性設定。新增完畢之後，按一下分頁上方的部署（Deploy）鍵，選擇欲派送的網域或群組之後，即完成所有的設定。如果此時登入AD查看該網域、群組的群組規則，我們可以發現FCS為了透過AD將剛才所新增的設定傳送到用戶端電腦執行，已經自動新增了一條相對應的群組規則。

FCS具有15種不同項目的報表，而這當中最主要的6種是以連結方式放置於主控臺右方，方便管理者快速閱覽報表；報表內容文字與圖表兼具，不但易於理解，同時也非常精細。

報表可透過電子郵件的方式定時寄送，並能以PDF、CSV、TIFF、HTML等多種格式輸出，如果管理者以手動方式輸出報表，此時還能以時間日期為單位，決定報表內容的範圍，縮短報表的閱讀時間。

用戶端程式介面與Windows Defender相類似

用戶端程式的介面和Windows Defender相類似，主畫面以顯示病毒碼版本、上次掃描時間，以及有無安全性問題需要解決等資訊為主。

雖是初試啼聲，不過就功能而言，FCS已經是相當完整的防毒軟體，點選進入用戶端的工具頁（Tools），此時可以看到軟體所具備的各項功能，這當中包括了常見的排程掃描、病毒隔離所，以及例外的應用程式掃描清單等；有鑒於許多惡意程式不但可以隱藏系統背景裡執行，為了躲避防毒軟體或是使用者的清查，甚至可以偽裝成一般正常的應用程式，因此FCS也提供了所謂的軟體瀏覽器（Software Explorer），供使用者查看應用程式的相關資訊，這些程式若是有微軟所簽發的數位簽章，則幾乎可以保證該項應用程式的安全性，如果沒有，管理者就必須從這些程式的行為特徵進行下一步的清查，以便找出可能存在的惡意程式。

SpyNet也是用戶端管理介面所提供的一項新功能，這是微軟所設立的病毒社群，目的是透過網路回報樣本提供微軟人員分析並製作疫苗，如同大多數的防毒軟體，這項功能可隨使用者個人的需求決定是否啟用，而FCS的管理者也可以透過主控臺設定，決定是否讓用戶端電腦於未知病毒發現的同時，將此樣本提供給微軟研究。

正常狀況下，系統列的FCS常駐圖示會以綠色顯示；當防毒軟體偵測到病毒，以及其它的惡意程式，則會變成紅色，並跳出警告視窗要求使用者點選畫面中的Smart Clean鍵清除病毒；主機病毒碼未更新的話會以橘色圖形表示；至於啟動掃描之後，則會變成雷達掃描的動態圖示顯示目前的狀態。

掃描佔用資源精簡
基於效能上的考量，FCS並未如同其它的Forefront系列產品，提供九個之多的掃描引擎（用戶可選擇其中五個同時啟動）；而是採用和Windows Live OneCare相同的掃毒引擎，因此我們可以得知，關於FCS的病毒偵測率，應該和Windows Live OneCare相差不多。

除了偵測率之外，資源使用率的多寡通常也是評論防毒軟體優劣的指標性依據。為了驗證這項數據，我們在一臺使用Windows XP SP2英文版、Intel T2300處理器、1GB記憶體的筆電，實際安裝了FCS的用戶端程式，並在硬碟裡放置一個含有6GB大小檔案的資料夾，其中包含多種不同格式的檔案，例如ISO影像檔、壓縮檔、EXE執行檔等，於FCS掃描該資料夾的同時開啟工作管理員介面，測試電腦在閒置與掃描狀態下所使用的系統資源量。實際測試時，處理器使用率從原先的5~7%，略增到啟動掃描時的15%，而記憶體佔用量也增加不多，僅從170MB增加到190MB左右，整體來說算是相當精簡。

此外，我們也以Eicar測試FCS對於網路病毒的防禦能力，針對來自HTTP、HTTPS的四種不同格式檔案，FCS皆能正常發現，並出現警告視窗，使用者這時可以啟動Smart Clean程序清除已發現的病毒與惡意程式。文⊙楊啟倫