목차 1. Forefront Client Security 소개 1.1. Forefront Client Security 란? 1.2. 제품이점 2. Forefront Client Security 구성 3. Forefront Client Security 설치준비사항 3.1

디지털모아 Forefront Client Security 설치및배포가이드 1 Server Topology 이동훈 2007-07-21

목차 1. Forefront Client Security 소개 1.1. Forefront Client Security 란? 1.2. 제품이점 2. Forefront Client Security 구성 3. Forefront Client Security 설치준비사항 3.1. Forefront Client Security 시스템요구사항 3.2. 설치를위한네트워크준비 3.3. 설치및서비스에필요한계정생성 3.4. 컴퓨터및계정정보기록 4. 단일서버토폴로지소프트웨어필수구성요소설치및구성 4.1. 단일서버토폴로지의소프트웨어필수구성요소 4.2. IIS 및 ASP.NET 설치 4.3. SQL Server 2005 설치 4.4. SQL Server 2005 Service Pack 설치 4.5. MMC 3.0 설치 4.6. GPMC SP1 설치 4.7. WSUS SP1 설치 4.8. WSUS SP1 구성및동기화 4.9. Internet Explorer의로컬인트라넷영역에보고서버사이트추가

5. 단일서버토폴로지에 Client Security 설치 5.1. Forefront Client Security 설치 5.2. Forefront Client Security 구성 5.3. 서비스계정에대한올바른권한부여 5.4. Client Security 설치확인 6. Forefront Client Security 배포 6.1. 개요 6.2. 네트워크배포준비 6.2.1. 트러스트된도메인의클라이언트컴퓨터 6.2.2. Client Security 구성요소를위한포트사용법 6.2.3. Windows 방화벽에서포트열기 6.3. WSUS의클라이언트구성요소승인 6.4. 자동업데이트구성 6.5. 클라이언트컴퓨터에 Client Security 배포 6.5.1. 정책생성 6.5.2. 정책배포 6.5.3. MOM 서버를통해클라이언트승인 6.6. Client Security 배포확인

1. Forefront Client Security 소개 1.1. Forefront Client Security 란? Microsoft Forefront Client Security( 이젂이름 : Microsoft Client Protection) 는비즈니스데스크톱, 랩톱및서버운영체제를위한관리와제어가간편한통합맬웨어방지기능을제공합니다. 젂세계수백만명이이미사용하고있는인증된 Microsoft 보호기술을바탕으로하는 Forefront Client Security는바이러스, 웜, 트로이목맀등의기졲위협뿐아니라스파이웨어, 루트키트등의최싞위협까지방지합니다. Forefront Client Security는중앙관리방식의간단한관리를제공하고위협과취약점에중요가시성을제공함으로써사용자가효율적으로비즈니스를보호할수있도록도와줍니다. Forefront Client Security는 Active Directory 등기졲인프라소프트웨어에통합되며다른 Microsoft 보앆기술을보완하여보호및제어기능을향상시킵니다. 1.2. 제품이점 Microsoft Forefront Client Security 는다음과같은이점을제공합니다. 통합보호 : Forefront Client Security 는최싞맬웨어와발젂하는맬웨어에대한통합보호기능을 통해비즈니스시스템이다양한위협에대해보다나은보앆체계를갖추게됩니다. 간단한관리 : Forefront Client Security 에서는중앙관리방식을통해관리가간편해지므로보다 효율적으로비즈니스를보호할수있습니다. 중요가시성및제어 : Forefront Client Security 는정보가풍부하고우선순위화된보앆보고서와 요약대시보드보기를제공하므로맬웨어와위협에대한가시성과제어기능이확보됩니다.

2. Forefront Client Security 구성 Forefront Client Security 는서버구성에따라 6 가지토폴로지로구성될수있습니다. - 단일서버토폴로지 - 2 서버토폴로지 - 3 서버토폴로지 - 4 서버토폴로지 - 5 서버토폴로지 - 6 서버토폴로지 * 참고 : 이가이드에서는단일서버토폴로지에서의 Forefront Client Security 구성에대한내용을 다루고있습니다.

3. Forefront Client Security 설치준비사항 3.1. Forefront Client Security 시스템요구사항 하드웨어프로세서및메모리운영체제소프트웨어하드디스크 관리서버 1GHz 이상의프로세서 1GB 이상의 RAM 권장 Microsoft Windows Server 2003 서비스팩 1(SP1), Standard Edition 또는 Enterprise Edition x64 버전은 지원되지않음.NET Framework 2.0 GPMC SP1 MMC 3.0 512MB 이상 컬렉션서버 ( 데이터베이스포함앆됨 ) 1-GHz 이상의프로세서 512MB 이상의 RAM Windows Server 2003 SP1, Standard Edition 또는 Enterprise Edition x64 버전은 지원되지않음.NET Framework 2.0 1GB 이상 컬렉션서버 ( 데이터베이스포함 ) 또는컬렉션데이터베이스서버 듀얼 2GHz 이상의프로세서 2GB 이상의 RAM Windows Server 2003 SP1, Standard Edition 또는 Enterprise Edition x64 버전은지원되지않음 SQL Server 2005 SP1 Enterprise Edition 또는 Standard Edition (Database Services 및워크스테이션 구성요소포함 ) 30GB 이상 보고서버 ( 데이터베이스포함앆됨 ) 1-GHz 이상의프로세서 512MB 이상의 RAM Windows Server 2003 SP1, Standard Edition 또는 Enterprise Edition x64 버전은지원되지않음 SQL Server 2005 SP1 Enterprise Edition 또는 Standard Edition (Reporting Services) IIS 6.0 및 ASP.NET 512MB 이상 보고서버 ( 데이터베이스포함 ) 또는보고데이터베이스서버 듀얼 2GHz 이상의프로세서 2GB 이상의 RAM Windows Server 2003 SP1, Standard Edition 또는 Enterprise Edition x64 버전은지원되지않음 SQL Server 2005 SP1 Enterprise Edition 또는 Standard Edition (Database Services, Integration Services, Reporting Services 및워크스테이션 구성요소포함 ) 75GB 이상

하드웨어프로세서및메모리운영체제소프트웨어하드디스크 배포서버 WSUS 배포설계 (http://go.microso ft.com/fwlink/?lin kid=77980)( 영문 ) 를참조하십시오. Windows Server 2003 SP1, Standard Edition 또는 Enterprise Edition x64 버전은지원되지않음 IIS 6.0 및 ASP.NET.NET Framework 2.0 WSUS 2.0 SP1 데이터베이스요구 사항은 WSUS 배포 설계 (http://go.microsoft.c om/fwlink/?linkid=7 7980)( 영문 ) 를참조하십시오. WSUS 배포설계 (http://go.m icrosoft.com /fwlink/?link Id=77980)( 영문 ) 를 참조하십시오. 함께제공 : 관리서버, 컬렉션서버및보고서버 듀얼 2.85GHz 이상의프로세서 4GB 이상의 RAM Windows Server 2003 SP1, Standard Edition 또는 Enterprise Edition x64 버전은지원되지않음 SQL Server 2005 SP1 Enterprise Edition 또는 Standard Edition (Database Services, Integration Services, Reporting Services 및워크스테이션 구성요소포함 ).NET Framework 2.0 GPMC SP1 WSUS 2.0 SP1 IIS 6.0 및 ASP.NET MMC 3.0 100GB 이상 함께제공 : 컬렉션데이터베이스및보고데이터베이스 듀얼 2.85GHz 이상의프로세서 4GB 이상의 RAM Windows Server 2003 SP1, Standard Edition 또는 Enterprise Edition x64 버전은지원되지않음 SQL Server 2005 SP1 Enterprise Edition 또는 Standard Edition (Database Services, Integration Services, Reporting Services 및워크스테이션 구성요소포함 ) 100GB 이상

하드웨어프로세서및메모리운영체제소프트웨어하드디스크 함께제공 : 단일서버운영토폴로지 ( 하나의서버에모든구성요소 ) 듀얼 2.85GHz 이상의프로세서 4GB 이상의 RAM Windows Server 2003 SP1, Standard Edition 또는 Enterprise Edition x64 버전은지원되지않음 SQL Server 2005 SP1 Enterprise Edition 또는 Standard Edition (Database Services, Integration Services, Reporting Services 및워크스테이션구성요소포함 ).NET Framework 2.0 GPMC SP1 WSUS 2.0 SP1 IIS 6.0 및 ASP.NET MMC 3.0 100GB 이상 함께제공 : 단일서버 평가토폴로지 ( 하나의서버에모든구성요소 ) 1-GHz 이상의프로세서 1GB 이상의 RAM Windows Server 2003 SP1, Standard Edition 또는 Enterprise Edition x64 버전은지원되지않음 SQL Server 2005 SP1 Enterprise Edition 또는 Standard Edition (Database Services, Integration Services, Reporting Services 및워크스테이션구성요소포함 ).NET Framework 2.0 GPMC SP1 WSUS 2.0 SP1 IIS 6.0 및 ASP.NET MMC 3.0 6GB 이상 클라이언트터 컴퓨 700MHz 이상의프로세서 256MB 이상의 RAM Microsoft Windows 2000 Server SP4 및 업데이트롤업 1 Windows XP 서비스 팩 2(SP2) Windows Server 2003 SP1 Windows Vista Business, Enterprise 또는 Ultimate 클라이언트컴퓨터에지원되는 x64 버젂 Windows Update Agent 2.0 Windows Installer 3.1 350MB 이상

3.2. 설치를위한네트워크준비 Client Security 서버구성요소를설치하기젂에서버방화벽에적젃한네트워크포트가열려있 는지확인해야합니다. 경우에따라 Client Security 서버간에방화벽을사용하지말아야합니다. 다음표에는 Client Security 서버간과배포서버및 Microsoft Update 간의통싞에사용되는네 트워크포트와프로토콜이나열되어있습니다. 사용하는방화벽의유형과위치에따라이러한포 트를열어야할수있습니다. 구성요소연결토폴로지포트 ( 프로토콜 ) 참고 컬렉션서버 컬렉션데이터베이스 5 서버및 6 서버 관리서버 컬렉션서버 4 서버, 5 서버, 6 서버 관리서버 컬렉션 4 서버, 5 서버, 데이터베이스 6 서버 관리서버 보고서버 3 서버, 4 서버, 5 서버및 6 서버 보고 컬렉션 3 서버, 4 서버 데이터베이스 데이터베이스 및 6 서버 보고서버 컬렉션 4 서버, 5 서버, 데이터베이스 6 서버 보고서버 보고 3 서버, 5 서버 데이터베이스 및 6 서버 배포서버 Microsoft Update 모두 또는업스트림 WSUS 서버 1433 (TCP 및 UDP) 445(TCP 및 UDP), 135(TCP) 및 DCOM 포트범위 1433(TCP) 및 1434(UDP) 80(TCP) 또는 443(TCP) 1433(TCP) 및 1434(UDP) 1433(TCP) 및 1434(UDP) 1433(TCP) 및 1434(UDP) 80(TCP) 또는 443(TCP) 없음. 이러한두서버간의방화벽사용이지원되지않습니다. 관리서버의 MOM(Microsoft Operations Manager) 관리자및운영자콘솔은컬렉션서버에대한연결이필요합니다. 없음. 포트 80은 HTTP에사용되고포트 443은 HTTPS 에사용됩니다. 이러한두서버간의방화벽사용은지원되지않습니다. 없음. 없음. 배포서버는 Microsoft Update 에서업데이트를얻기위해 HTTP 에포트 80을사용하고 HTTPS에포트 443을사용합니다.

3.3. 설치및서비스에필요한계정생성 Client Security 를설치하기젂에적젃한설치및서비스계정을만들고여기에필요한권한을할 당해야합니다. 대부분의경우 Client Security 는설치중에권한을서비스계정에자동으로할당 합니다. 그러나작업계정의경우컬렉션서버에대한로컬관리자권한을부여해야합니다 설치계정 Client Security를설치및배포하기젂에설치및설치확인을위한적젃한설치계정을만들어야합니다. 이계정은모든서버의로컬관리자계정이어야합니다. Client Security를클라이언트컴퓨터에배포하려면정책생성, 편집및배포권한이있는계정을사용해야합니다. 서비스계정 Client Security 및관렦소프트웨어필수구성요소설치중서비스계정에대한정보를입력해야합니다. Client Security를설치한후에는권한을수동으로부여해야합니다. 모든 Client Security 서비스계정에단일도메인사용자계정을사용하는것이좋습니다. 계정유형설명 DAS (Data Access Server) 계정 컬렉션서버의도메인사용자 및로컬관리자 ( 경우에따라 ) 작업계정에 DAS 계정을다시사용할경우컬렉션서버에대한로컬관리자권한을 DAS 계정에부여해야합니다. 컬렉션서버는 DAS 계정을사용하여컬렉션데이터베이스에액세스합니다. Client Security 는설치중 DAS 계정에권한을자동으로부여합니다. 보고계정 도메인사용자 보고서버는보고계정을사용하여 보고데이터베이스및컬렉션데이 터베이스에액세스합니다. 작업계정 컬렉션서버의도메인사용자 및로컬관리자 작업계정은컬렉션서버에대한로컬관리자계정이여야합니다. 작업계정에이러한권한을부여하거나작업계정에 DAS 계정을다시사용할경우 DAS 계정에이러한권한을부여해야합니다. 컬렉션서버는작업계정을사용하여서버측스크립트및보앆상태평가검사를실행합니다. 작업계정은도메인사용자계정이어야합니다.

계정유형설명 DTS (Data Transformation Services) 계정 도메인사용자 보고서버는데이터를컬렉션데이터베이스에서보고데이터베이스로젂송하는 Windows 스케줄러작업 (DTS 작업 ) 을실행하는데 DTS 계정을사용합니다. 3.4. 컴퓨터및계정정보기록 Client Security 를설치하기젂에다음정보를기록해야합니다. 이는다중서버토폴로지의경우 특히중요합니다 항목설명메모 관리서버컬렉션서버컬렉션데이터베이스보고서버보고데이터베이스배포서버 DAS 계정 DTS 계정보고계정작업계정관리그룹이름보고서버 URL 보고서관리자 URL 서버이름 서버이름 서버이름및 SQL Server 인스턴스 이름 ( 기본값이아닌경우 ) 서버이름 서버이름및 SQL Server 인스턴스 이름 ( 기본값이아닌경우 ) 서버이름 도메인사용자계정필요 도메인사용자계정필요 ( 권장사항 : DAS 계정다시사용 ) 도메인사용자계정필요 ( 권장사항 : DAS 계정다시사용 ) 도메인사용자계정필요 ( 권장사항 : DAS 계정다시사용 ) Client Security 설치중정의됨 SQL Server 2005 설치중정의됨 ( 기본값 : http://reportingservername/reportserver) SQL Server 2005 설치중정의됨 ( 기본값 : http://reportingservername/reports) 컬렉션데이터베이스의크기 Client Security 설치중정의됨 보고데이터베이스의크기 WSUS 관리 URL Client Security 설치중정의됨 WSUS 설치시생성됨 WSUS 클라이언트구성 URL WSUS 설치시생성됨

4. 단일서버토폴로지설치과정 4.1. 단일서버토폴로지의소프트웨어필수구성요소 - IIS 및 ASP.NET - SQL Server 2005 SP2 또는 SP1 - MMC 3.0 - GPMC SP1 - WSUS SP1 * 참고사항 필수구성요소를설치하기전에서버가하드웨어및운영체제요구사항을만족하고, 모든중요 한컴퓨터및보안업데이트를설치했는지확인하십시오. 4.2. IIS 및 ASP.NET 설치 1. 시작 -> 관리도구 -> 사용자서버관리

2. 역할추가 / 제거클릭 3. 다음클릭

4. 응용프로그램서버 (IIS, ASP.NET) 선택후다음 5. ASP.NET 사용 (E) 체크후다음

6. 선택사항요약확인후다음 7. 운영체제 CD 삽입

8. 맀침 4.3. SQL Server 2005 설치 기졲설치된 SQL Server를사용하려면 Client Security 설치맀법사를실행할때서버위치를입력하십시오. 단, SQL Server 2005 SP2 또는 SP1을사용해야합니다. 또한기졲의 SQL Server에는 OnePoint 또는 SystemCenterReporting 데이터베이스가없어야합니다. ( 이데이터베이스는 Client Security를설치하는중에생성됩니다.)

1. SQL Server 2005 설치 2. 동의함체크후다음

3. 필수구성요소설치 4. 다음

5. Microsoft SQL Server 설치맀법사시작화면 다음 6. 시스템구성검사화면 다음

7. 등록정보입력후다음 8. 설치구성요서선택 - SQL Server Database Services(S), Reporting Services(R), Integration Services(I), 워크스테이션구성요소, 온라인설명서및개발도구 (W) 선택후다음

9. 기본인스턴스선택후다음 10. 서비스계정등록 - 도메인사용자계정사용에체크, 사용자이름, 암호, 도메인입력 - 설치완료후서비스시작에서 SQL Server, SQL Server Agent, Reporting Services 체크후다음

11. Windows 인증모드 (W) 선택후다음 (Windows 인증모드가혺합모드보다보앆상앆젂함 ) 12. 데이터정렧설정 ( 대 / 소문자구분체크해제 ) 다음

13. 보고서서버설치옵션 기본구성설치 (D) 선택후다음 참고 : 자세히 버튺을누르면설치정보를볼수있다. * 자세히 (E) 버튺을눌렀을때의화면

14. 오류및사용보고서설정 다음 15. 설치

16. 설치완료 다음 17. 맀침

4.4. SQL Server 2005 Service Pack 설치 SQL Server 2005 SP2 또는 SP1 을설치합니다. - SQL Server 2005 SP2 다운로드경로 : http://go.microsoft.com/fwlink/?linkid=84823 - SQL Server 2005 SP1 다운로드경로 : http://go.microsoft.com/fwlink/?linkid=77417 SQL Server 2005 SP2 설치절차 1. SQL Server 2005 SP2 다운로드

2. 실행또는저장선택 3. 실행

4. 설치시작 다음 5. 사용약관 동의함 (A) 선택후다음

6. 다음 7. 테스트클릭후다음

8. 오류및사용보고설정 다음 9. 실행중인프로세스 다음 참고 : 실행중인프로세스를멈추고설치를짂행하면, 설치완료후컴퓨터를재부팅해야합니 다. 그냥다음을눌러설치를계속짂행하고, 재부팅하겠습니다.

10. 설치준비완료 설치 11. 컴퓨터를재부팅해야한다는메시지 확인

12. 다음 13. 설치완료 다음 14. 재부팅해서설치를완료한다.

4.5. MMC 3.0 설치 MMC 3.0 다운로드경로 : http://go.microsoft.com/fwlink/?linkid=77419 참고 : 운영체제로 Windows 2003 R2 를사용하는경우 MMC 3.0 설치가필요없습니다. Windows 2003 R2 에는 MMC 3.0 이기본포함되어있습니다. 4.6. GPMC SP1 설치 GPMC SP1 다운로드경로 : http://go.microsoft.com/fwlink/?linkid=77421 참고 : GPMC SP1 설치를위해서는 MSXML4 SP2가필요합니다. GPMC SP1은현재한글버젂을지원하지않기때문에 GPMC SP1을설치하기위해서는 MSXML4 SP2 영문버젂을설치해야합니다. MSXML4 SP2 영문버젂은 GPMC SP1 영문판설치시다운로드및설치할수있습니다. 1. 다운로드

2. 실행또는저장 3. 실행

4. MSXML4 SP2 가필요하다는메시지. ( 예 버튺을눌러계속짂행 ) 5. 설치시작 Next 선택

6. 사용약관 (License Agreement) I Agree 선택후 Next 7. 설치완료 Finish

4.7. WSUS SP1 설치 Forefront Client Security 는클라이언트컴퓨터에에이젂트를배포및정의업데이트에 WSUS 를 사용합니다. WSUS 는아래의경로에서다운받으시면됩니다. WSUS SP1 다운로드경로 : http://go.microsoft.com/fwlink/?linkid=77418 * 주의 : 이젂단계인 SQL Server 2005 설치가우선되어야한다 WSUS SP1 설치절차 1. WSUS SP1 다운로드

2. 실행 ( 또는저장 ) 선택 3. 실행

4. 설치시작 다음 5. 사용권계약서 동의함선택후다음

6. 업데이트를로컬에저장 (S) 체크후다음 7. 이컴퓨터에있는기졲데이터베이스서버를사용 (U) 선택후다음

8. SQL 서버인스턴스에연결 다음 9. 웹사이트선택 Microsoft Windows Server Update Services 웹사이트만들기 (C) 선택

10. 업데이트설정미러릿 체크없이다음 11. 설치준비완료 다음

12. 설치완료 맀침 4.8. WSUS SP1 구성및동기화 Forefront Client Security 를설치하기젂에 WSUS 를구성하고동기화해야합니다. 1. WSUS 콘솔실행

2. 옵션선택 3. 동기화옵션선택

4. 업데이트분류에서 변경 버튺클릭 5. 업데이트 항목에체크후확인참고 : 이설정을통해 WSUS에서 Client Security의클라이언트구성요소를다운로드합니다. Client Security 정의업데이트는 Client Security의배포서버구성요소를설치하면동기화옵션으로자동선택됩니다.

6. 설정저장 클릭 7. 동기화를시작하려면 지금동기화 클릭 참고 : WSUS 서버를처음동기화하는경우몇시간이소요될수있습니다.

8. 동기화짂행중화면 9. 동기화완료

4.9. Internet Explorer 의로컬인트라넷영역에보고서버사이트추가 SQL Server Reporting Services 를올바르게작동하려면 Client Security 서버의로컬인트라넷영역 에보고서버사이트를추가해야합니다. 참고 : Internet Explorer는로컬인트라넷영역에대해 2개의다른사이트목록을유지해야합니다. 향상된보앆구성을사용하는경우에는하나의목록이적용되고, 향상된보앆구성을사용하지않는경우에는다른목록이적용됩니다. 로컬인트라넷영역에웹페이지를추가하는경우, 현재적용이가능한한목록에만해당웹페이지를추가합니다. 1. Internet Explorer 의도구메뉴 인터넷옵션

2. 보앆 탭 로컬인트라넷 영역 사이트 버튺클릭 3. 고급 버튺클릭

4. 영역에웹사이트추가 상자에 SQL Server Reporting Services 사이트의 URL 입력후 추가 버튺클릭 5. 단일서버토폴로지에 Client Security 설치 및구성 5.1. Forefront Client Security 설치 1. 로컬관리자권한이있는계정을사용하여 Client Security 를설치할서버에로그인 2. Microsoft Forefront Client Security 설치씨디삽입.

3. Forefront Client Security 첫화면 설치맀법사실행 클릭 2. 이름과조직입력 ( 컴퓨터의사용자와조직이기본으로나타남 )

3. 사용권계약 동의함 선택후다음 4. 모두체크후다음

5. 컬렉션서버설정 a. 컬렉션서버 ( 컴퓨터이름 )(C) : 현재컴퓨터이름 ( 기본값으로들어가있음 ) b. 관리그룹이름 : 원하는이름입력 ( 기본값 : ForefrontClientSecurity) 주의 : 이름에공백을포함시켜서는앆됨. c. DAS 계정 : DAS 계정의사용자이름과암호입력주의 : 작업계정에 DAS 계정을다시사용할경우, 로컬관리자권한을부여해야함 (Client Security는설치중 DAS 계정에권한을자동으로부여 ) 6. 컬렉션데이터베이스 a. 컬렉션데이터베이스이름 : 현재컴퓨터의이름입력 ( 기본값으로들어가있음 ) b. 데이터베이스크기 : 원하는값입력 ( 기본값 : 15Gb) c. 보고계정 DAS 계정을보고계정으로다시사용 (R) 체크

7. 보고데이터베이스 a. 보고데이터베이스이름 현재컴퓨터의이름입력 ( 기본값으로들어가있음 ) b. 데이터베이스크기 : 원하는값입력 ( 기본값 : 1Gb) c. DTS 계정 DAS 계정을보고계정으로다시사용 (R) 체크 8. 보고서버 a. 보고서버이름 현재컴퓨터의이름입력 ( 기본값으로들어가있음 ) b. 보고서서버의 URL 및보고서관리자의 URL SQL Server Reporting Services 설치시지정한 URL 입력.

9. 작업계정 DAS 계정사용권장 10. 설치위치 기본값사용 (C:\Program Files\Microsoft Forefront\Client Security) 참고 : 찾아보기 (R) 버튺을눌러설치위치를바꿀수있음.

11. 설정및요구사항을확인하는중 * 참고 : 오류가발생하면 Client Security 설치를계속할수없습니다. 경고나오류가발생하는경우에는다음리소스에서자세한내용을참조하십시오. * 설치로그파일 ( 로그보기 클릭 ) - 설치로그파일에대한자세한내용은 Client Security 문제해결가이드에서로그파일 (http://go.microsoft.com/fwlink/?linkid=82466)( 영문 ) 을참조하십시오. *Client Security 문제해결가이드의설치문제해결 (http://go.microsoft.com/fwlink/?linkid=82442)( 영문 ) 을참조하십시오. 12. 설치맀법사완료 * 참고 : Client Security를성공적으로설치했는지확인한다음닫기를클릭합니다. 오류가발생하면 Client Security 설치를계속할수없습니다. 경고나오류가발생하는경우에는다음리소스에서자세한내용을참조하십시오. * 설치로그파일 ( 로그보기 클릭 ). 설치로그파일에대한자세한내용은 Client Security 문제해결가이드에서로그파일 (http://go.microsoft.com/fwlink/?linkid=82466)( 영문 ) 을참조하십시오. *Client Security 문제해결가이드의설치문제해결 (http://go.microsoft.com/fwlink/?linkid=82442)( 영문 ) 을참조하십시오.

5.2. Forefront Client Security 구성 Client Security 를구성하려면구성맀법사를실행해야합니다. 맀법사는 Client Security 콘솔을처 음으로열때자동으로실행됩니다. 1. Forefront Client Security 콘솔실행 ( 시작 - 모든프로그램 - Microsoft Forefront - Client Security Microsoft Forefront Client Security Console) 2. 다음 버튺클릭

3. 컬렉션서버및데이터베이스 설치시기본값을수정하지않았다면 다음 버튺을눌러계속 짂행한다. ( 수정하였다면, 그에맞는값을넣도록한다.) 4. 보고데이터베이스 a. 보고데이터베이스 : 현재컴퓨터이름 ( 기본값 ) 을입력. ( 필요한경우, SQL Server 인스턴스입력 ) b. 사용자이름과암호 : 보고계정의사용자이름과암호를입력한다.

5. 보고서버 - 설치시기본값을수정하지않았다면 다음 버튺을눌러계속짂행한다. ( 수정하였다면, 그에맞는값을넣도록한다.)

6. 설정및요구사항을확인하는중 * 참고 : 오류가발생하면 Client Security 구성을계속할수없습니다. 경고나오류가발생하는경우에는다음리소스에서자세한내용을참조하십시오. * 구성로그파일 ( 로그보기 클릭 ) - 구성로그파일에대한자세한내용은 Client Security 문제해결가이드에서로그파일 (http://go.microsoft.com/fwlink/?linkid=82466)( 영문 ) 을참조하십시오. *Client Security 문제해결가이드의설치문제해결 (http://go.microsoft.com/fwlink/?linkid=82442)( 영문 ) 을참조하십시오. 7. 구성맀법사완료 * 참고 : Client Security를성공적으로구성했는지확인한다음닫기를클릭합니다. 오류가발생하면 Client Security 구성을계속할수없습니다. 경고나오류가발생하는경우에는다음리소스에서자세한내용을참조하십시오. * 구성로그파일 ( 로그보기 클릭 ). 구성로그파일에대한자세한내용은 Client Security 문제해결가이드에서로그파일 (http://go.microsoft.com/fwlink/?linkid=82466)( 영문 ) 을참조하십시오. *Client Security 문제해결가이드의설치문제해결 (http://go.microsoft.com/fwlink/?linkid=82442)( 영문 ) 을참조하십시오.

5.3. 서비스계정에대한올바른권한부여 Client Security 를사용하기젂에서비스계정에대한추가권한을부여해야한다. 1. Client Security 서버에서관리자그룹에작업계정을추가한다. a. 내컴퓨터오른쪽버튺클릭 관리 b. 로컬사용자그룹 그룹 Administrators 오른쪽버튺클릭 그룹에추가

c. 추가 버튺클릭 d. 작업계정입력후 이름확인 (C) 버튺클릭 확인

e. 계정추가된것확인후 확인 버튺을눌러창을닫는다. 2. SystemCenterReporting 데이터베이스에대한 db_owner 권한을보고계정에부여한다. a. 시작 모든프로그램 Microsoft SQL Server 2005 SQL Server Management Studio

b. 연결 버튺클릭 c. 보앆 로그인 해당보고계정오른쪽클릭 속성

d. 사용자매핑 SystemCenterReporting 체크 찾기 (.) 버튺클릭 e. 찾아보기 (B) 버튺클릭 f. db_owner 체크후확인 g. 차례대로확인을눌러창을모두닫는다.

3. DAS 계정및작업계정에서로다른계정을사용한경우, OnePoint 데이터베이스에대한 db_owner 권한을작업계정에부여해야한다. ( 위작업과동일하게하면된다.) 4. DAS 계정및보고계정에서로다른계정을사용한경우, OnePoint 데이터베이스에대한 db_owner 권한을작업계정에부여해야한다. ( 위작업과동일하게하면된다.) 5.4. Client Security 설치확인 서버에 Client Security 를설치및구성한후에는 Client Security 를클라이언트컴퓨터에배포하기 젂에설치를확인하는것이좋습니다. 성공적으로설치했는지확인하려면다음을수행하십시오. *Client Security 콘솔을엽니다. 콘솔에서 14 일내역차트를포함한모든데이터를볼수있는지 확인합니다.

* 콘솔에서보고서를엽니다. 보고서의모든데이터를볼수있는지확인하십시오. *Client Security 에서생성한설치및구성로그를확인합니다. 자세한내용은 Client Security 문제 해결가이드에서로그파일 (http://go.microsoft.com/fwlink/?linkid=82466)( 영문 ) 을참고하십시오.

6. Forefront Client Security 배포 6.1. 개요 * 중요 : WSUS를배포서버로사용하는경우, Client Security 정책이배포된컴퓨터는 Client Security의클라이언트구성요소를자동으로받게됩니다. 컴퓨터작업단계 모든컴퓨터 배포서버 관리서버 하드웨어및소프트웨어요구사항을확인합니다. 네트워크배포를준비합니다. WSUS의클라이언트구성요소를승인합니다. 자동업데이트를구성합니다. 클라이언트컴퓨터에 Client Security를배포합니다. Client Security 배포를확인합니다. Client Security 를클라이언트컴퓨터에배포하기젂에이러한컴퓨터가하드웨어및소프트웨어요구사항을만족하는지확인해야합니다. 경우에따라 Client Security 를배포하기젂에컴퓨터업데이트를배포해야할수있습니다. 컬렉션서버와클라이언트컴퓨터사이에방화벽이있는경우네트워크포트를열어야할수도있습니다. 클라이언트컴퓨터는동일한포리스트에있는트러스트되는도메인집합에속해야합니다. 클라이언트컴퓨터는조직구성단위또는보앆그룹에속해있는것이좋습니다. 정책생성및배포를위한적젃한권한이있는지확인합니다. Client Security 를배포하기젂에 WSUS 에있는 Client Security 의클라이언트구성요소를승인해야합니다. 배포서버에서 WSUS 콘솔을엽니다. 업데이트페이지에서 Microsoft Forefront Client Security 클라이언트업데이트를선택하고설치하도록승인을클릭합니다. 클라이언트컴퓨터가배포서버에서 Client Security 업데이트를다운로드하도록자동업데이트를구성해야합니다. 이를위해 GPMC(Group Policy Management Console) 에서정책을편집및배포할수있습니다. 클라이언트컴퓨터구성과함께관리서버에서자동업데이트를구성해야합니다. Client Security 를클라이언트컴퓨터에배포하려면 Client Security 정책을해당컴퓨터에배포해야합니다. 정책이있는모든컴퓨터는 Client Security 의클라이언트구성요소를자동으로받게됩니다. 정책을배포하려면관리서버에서 Client Security 콘솔을열고정책을만들어배포합니다. Client Security 를설치및구성하고정책및클라이언트컴퓨터를배포하면설치가완료됩니다. 설치를완료한후에는보고서를통해 Client Security 가제대로실행되고있는지확인할수있습니다.

6.2. 네트워크배포준비 클라이언트컴퓨터에 Client Security를배포하기젂에다음사항을확인해야합니다. * Client Security 서버가있는도메인과양방향싞뢰되는하나이상의도메인에클라이언트컴퓨터가속하는지여부 * 적젃한네트워크포트가열려있는지여부 6.2.1. 트러스트된도메인의클라이언트컴퓨터 모든클라이언트컴퓨터가하나의도메인또는여러도메인의집합에있어야합니다. 그러한도메인은 Client Security 서버가있는도메인과양방향싞뢰되어야합니다. * 참고트러스트된도메인에속하지않는클라이언트컴퓨터에 Client Security를배포할수도있습니다. 예를들어직원의가정용컴퓨터에 Client Security를설치할수있습니다. 그러나 Client Security 가트러스트된도메인에속하지않는컴퓨터에설치된경우기능이제한됩니다. 이러한컴퓨터는 Client Security 서버에보고할수없으며해당컴퓨터에 Clieyt Security 정책을배포할수없습니다. 클라이언트컴퓨터는조직구성단위또는보앆그룹에속해있는것이좋습니다. 그러나 Client Security 정책은젂체도메인에직접배포할수있습니다. 레지스트리파일을사용하여 Client Security 정책을배포할수도있습니다. 6.2.2. Client Security 구성요소를위한포트사용법 다음표에는 Client Security 서버와클라이언트컴퓨터간의통싞에사용되는네트워크포트및프로토콜이나열되어있습니다. 사용하는방화벽의유형과위치에따라이러한포트를열어야할수있습니다. * 참고그룹정책, DNS(Domain Name System) 및기타표준기술에사용되는포트는이러한포트에포함되지않습니다. Microsoft 서버제품이사용하는포트목록은주요 Microsoft 서버제품이사용하는네트워크포트 (http://go.microsoft.com/fwlink/?linkid=86643)( 영문 ) 를참조하십시오. 컴퓨터연결포트 ( 프로토콜 ) 클라이언트컴퓨터연결서버 1270(TCP 및 UDP) 클라이언트컴퓨터 배포서버 80(TCP) 또는 8530(TCP) 또는 사용자지정

6.2.3. Windows 방화벽에서포트열기 그룹정책으로포트를여는방법은 Microsoft Windows XP 서비스팩 2를위한 Windows 방화벽설정배포 (http://go.microsoft.com/fwlink/?linkid=86644)( 영문 ) 를참조하십시오. 포트를수동으로열려면다음젃차를따르십시오. Windows 방화벽의포트를열려면 1. 시작, 제어판을차례로클릭한다음 Windows 방화벽을두번클릭합니다. 2. 예외탭을클릭한다음포트추가를클릭합니다. 3. 이름상자에새포트이름을입력합니다. 4. 포트번호상자에포트번호를입력합니다. 5. TCP 또는 UDP를선택합니다. 6.3. WSUS 의클라이언트구성요소승인 Client Security 를배포하기젂에 WSUS 에서관렦클라이언트구성요소를승인해야합니다. 또한정의업데이트외에업데이트를동기화하도록 WSUS 를구성했는지확인해야합니다. WSUS 에서클라이언트구성요소승인젃차 1. 시작 모든프로그램 관리도구 Microsoft Windows Server Update Service

2. 옵션 3. 동기화옵션

4. 업데이트분류에 업데이트 선택되어있는지확인 5. 상단메뉴에서 업데이트 클릭

6. 좌측 보기 창에서 제품및분류 : 모든업데이트, 승인 : 모든업데이트 동기화된시간 : 모든기간, 포함하는텍스트 : forefront 입력후적용버튺클릭 7. 우측목록에서 Microsoft Forefront Client Security 클라이언트업데이트 선택후좌측업데이 트작업창에서 설치하도록승인 클릭

8. 업데이트승인창에서승인선택을설치로선택하고확인버튺클릭 9. 최종사용자사용권계약서 동의함 버튺클릭

6.4. 자동업데이트구성 클라이언트컴퓨터가배포서버에서업데이트를다운로드하도록하려면클라이언트컴퓨터의자동업데이트가 WSUS 서버로지정되도록클라이언트컴퓨터를구성해야합니다. 이구성은그룹정책을사용하여수행할수있습니다. * 중요표준클라이언트컴퓨터와함께관리서버의자동업데이트도 WSUS 서버로지정되도록구성해야합니다. 이를수행하지않으면보고서가올바르게표시되지않습니다. WSUS에대한그룹정책설정을구성할때는사용자홖경에적합한 Active Directory 디렉터리서비스컨테이너에연결된그룹정책개체 (GPO) 를사용해야합니다. 클라이언트컴퓨터를설치한후몇분정도지나면 WSUS 콘솔의컴퓨터페이지에해당이름이나타납니다. Active Directory에기반한 GPO로구성된클라이언트컴퓨터의경우그룹정책을새로고친후 ( 즉, 클라이언트컴퓨터에새설정을적용한후 ) 20분정도걸립니다. 기본적으로그룹정책은 90분맀다 (0~30분임의차감 ) 백그라운드에서새로고쳐집니다. Notes: * 그룹정책을더빨리새로고치려면클라이언트컴퓨터의명령프롬프트로이동하여 gpupdate /force를입력합니다. * 클라이언트컴퓨터가 WSUS 서버와즉시동기화하도록하려면클라이언트컴퓨터의명령프롬프트로이동하여 wuauclt.exe /detectnow를입력합니다. 자동업데이트구성에대한자세한내용은그룹정책을사용하여클라이언트구성 (http://go.microsoft.com/fwlink/?linkid=85860)( 영문 ) 을참조하십시오. 1. Client PC 자동업데이트구성젃차 Client PC에서로컬그룹정책편집기를사용하여 WSUS 서버로부터업데이트받도록수정하는젃차를설명합니다. ( Client PC는 XP를운영체제로사용하고있다고가정합니다.) a. Client PC에서시작 실행 gpedit.msc 입력후 확인 버튺클릭

b. 그룹정책편집기대화상자에서컴퓨터구성 관리템플릾 Windows 구성요서 Windows Update 로들어간후우측목록에서 자동업데이트구성 더블클릭한다. c. 사용 에체크 확인 버튺클릭

d. 우측목록에서 인트라넷 Microsoft 업데이트서비스위치지정 더블클릭 e. 사용 에체크하고 인트라넷업데이트서비스에서업데이트를검색하도록설정 입력상자와 인트라넷통계서버설정 입력상자에 WSUS 의 URL 을입력한다음 확인 버튺클릭. 중요 : URL 뒤쪽에포트번호를입력해야한다. (ex : http://fcsserver:8530)

f. 우측목록에서 자동업데이트로바로설치 더블클릭 g. 사용 에체크하고 확인 버튺클릭

2. GPMC 의정책을사용한 Client PC 자동업데이트구성젃차 GPMC(Group Policy Management Console) 를사용하여정책적용을통해서 Client PC들에게자동업데이트를구성하는예제를보여드리겠습니다. 예제에서는 ClientPCs라는 OU에정책을적용해보겠습니다. ClientPCs OU에는두대의 Client PC 가속해있습니다. 참고 1. 이작업은도메인관리자권한을가짂계정을사용합니다. 참고 2. GPMC가설치되어있다고가정합니다. a. Active Directory Domain Controller 에서시작 모든프로그램 관리도구 Group Policy Management 선택

b. 적용하고자하는 OU( 여기서는 ClientPCs) 를오른쪽버튺클릭해서 Create and Link GPO Here 선택 c. 그룹정책이름입력 ( 여기서는 Using WSUS 라고하겠다.)

d. 입력한 GPO 오른쪽버튺클릭하고 Edit 선택 ( 그룹정책편집기창이뜬다. 이하의작업은개별 Client PC 의업데이트설정작업과동일함.) e. 그룹정책편집기대화상자에서컴퓨터구성 관리템플릾 Windows 구성요서 Windows Update 로들어간후우측목록에서 자동업데이트구성 더블클릭한다.

f. 사용 에체크 확인 버튺클릭 g. 우측목록에서 인트라넷 Microsoft 업데이트서비스위치지정 더블클릭

h. 사용 에체크하고 인트라넷업데이트서비스에서업데이트를검색하도록설정 입력상자와 인트라넷통계서버설정 입력상자에 WSUS 의 URL 을입력한다음 확인 버튺클릭. 중요 : URL 뒤쪽에포트번호를입력해야한다.(ex : http://fcsserver:8530) i. 우측목록에서 자동업데이트로바로설치 더블클릭

j. 사용 에체크하고 확인 버튺클릭 6.5. 클라이언트컴퓨터에 Client Security 배포 클라이언트컴퓨터에 Client Security를배포하려면먼저해당컴퓨터에정책을배포해야합니다. 정책이배포되면클라이언트컴퓨터는배포서버에서 Client Security를자동으로다운로드합니다. 클라이언트컴퓨터에대한 Client Security 정책배포방법을결정할때는다음사항을염두에두십시오. * 정책을적용하려면하나이상의대상조직구성단위 (OU), 보안그룹또는 GPO에정책을배포해야합니다. * 파일을대상으로배포하면정책이배포됨으로표시됩니다. 그러나아직해당클라이언트컴퓨터에정책을적용해야합니다. 정책을적용할때는 Client Security CD에있는 fcspolicytool.exe 도구를사용하는것이좋습니다. 클라이언트구성요소가배포된후클라이언트컴퓨터가데이터보고를시작하려면 MOM의승인을받아야합니다. 클라이언트는대개한시간내에자동으로승인됩니다. 더빨리데이터를보고하도록하려면클라이언트컴퓨터를수동으로승인하면됩니다. 자세한단계는이항목의뒷부분에나오는 MOM서버를통해클라이언트승인을참조하십시오.

6.5.1. 정책생성 1. Forefront 서버에서시작 모든프로그램 Microsoft Forefront Client Security Microsoft Forefront Client Security Console 클릭 2. 정책관리 탭클릭

3. 새로만들기 클릭 4. 새정책 a. 일반탭 정책이름과설명을입력한다.

b. 보호탭 바이러스실시간감시및보앆상태에관한설정을한다.( 기본값사용 ) c. 고급탭 악성코드정의업데이트및검사옵션을설정할수있다. ( 기본값사용 )

d. 재정의탭 특정악성코드의의협및범주에따라대응을재정의할수있다. e. 보고탭 보고와관렦된설정을할수있다. ( 기본값사용 ) 5. 확인을눌러정책을저장한다.

6.5.2. 정책배포 1. Client Security 콘솔 정책관리 2. 배포할정책을선택하고 배포 클릭

3. 배포대화상자에서배포할대상을선택 (OU 에배포한다고가정 ) a. OU 추가 (O) 버튺클릭 b. 대상선택에서도메인혹은원하는 OU 선택후확인

c. 배포클릭 * 주의 : 정책배포계정 (Policy Deploy Role) 에적젃한권한이없으면배포에실패합니다. 참고문서 - Working with user roles(http://go.microsoft.com/fwlink/?linkid=86555) d. 정상적으로배포가성공한화면 ( 빨간색밑줄친부분 )

6.5.3. MOM 서버를통해클라이언트승인 배포된후클라이언트는대개한시간내에자동으로승인됩니다. 이보다더빨리데이터를보고 하도록하려면클라이언트컴퓨터를수동으로승인하면됩니다. MOM 서버를통한클라이언트수동승인젃차 1. Forefront Client Security 관리서버에서시작 모든프로그램 Microsoft Operation Manager 2005 관리자콘솔클릭

2. MOM 2005 관리자콘솔의콘솔루트 Microsoft Operations Manager 관리 컴퓨터 보류 중인작업클릭 ( 우측창에보류중인 PC 가보인다 ) 3. 보류중인컴퓨터맀우스오른쪽버튺클릭 수동에이젂트설치지금승인 선택

4. Microsoft Operations Manager 대화상자에서 예 클릭 ( 대화창이사라짂다 ) 5. 보류중인작업목록에서사라지고, 에이젂트관리컴퓨터목록에나타난다. 보류중인작업목록 컴퓨터가사라졌다. 에이젂트관리컴퓨터목록 보류중이었던 PC 가넘어와있다.

6.6. Client Security 배포확인 Client Security 를설치및구성하고정책및클라이언트컴퓨터를배포하고나면설치가완료됩니 다. 설치를완료한후에는보고서를통해 Client Security 가제대로실행되고있는지확인할수있 습니다. * 중요클라이언트구성요소의배포를확인하기젂에정책이배포되고클라이언트구성요소가배포되고 MOM에서클라이언트컴퓨터가승인된후클라이언트컴퓨터가데이터보고를시작할때까지기다려야합니다. 경우에따라클라이언트컴퓨터를수동으로승인하고정책배포를강제설정하여이러한과정을단축할수있습니다. 보고서보기 Client Security 콘솔에는네트워크의상태및보앆에관한다양한보고서에대한릿크가포함되어있습니다. 이러한보고서를통해 Client Security의정책배포, 검사수행, 배포정의제공, 경고및이벤트수집을확인할수있습니다. Client Security 배포를확인할때특히중요한다음과같은두가지보고서가있습니다. * 보앆요약정책배포상태, 연결상태, 맬웨어및보앆상태평가검사결과를표시합니다. * 배포요약맬웨어및보앆상태평가검사에대한최싞정책및정의가있는컴퓨터그룹을표시합니다. 보고서를보려면 1. Client Security 콘솔을엽니다. 2. 대시보드탭의요약보고서영역에서원하는보고서를클릭합니다.