Forefront Server Security应用程序有什么作用呢?不少管理人员有这个疑问。简单的来说，Forefront Server Security就是一个安全管理的工具。如下图所示，在一台邮箱服务器上企业采用了Forefront产品来保护其安全性。现在如果管理员需要远程来维护这台服务器上的安全性，如查看日志信息、手工升级等等，此时就需要用到这个工具。这是一个很实用的工具。接下去笔者就给大家介绍一下这个工具在使用方面的一些技巧。

　　一、对操作系统的额外要求

　　Forefront Server Security管理员程序可以在客户端上运行，实现远程管理。也可以在本地执行，进行本地配置。不过大部分情况下，都是在客户端上运行。为了查看日志信息，管理员还用不着跑到机房去查看。为此Forefront Server Security应用程序还是在客户端上跑的时间多。

　　不过可能是技术方面的原因，如果要运行Forefront Server Security，必须在客户端上进行额外的配置。现在大部分的客户端采用的是XP操作系统，笔者这里就以XPSP2为例，分析一下如果要在这个平台上运行Forefront Server Security，该采取哪些额外的配置。

　　第一步：需要在组件服务对话框中进行额外的配置。管理员可以在运行对话框中输入“DCOMCNFG”命令来打开组建服务对话框。如下图所示。

　　第二步：在上面这个组件服务对话框中，依次点击“组件服务”、“计算机”，然后右键点击“我的电脑”，并在现实的菜单中选择“属性”。然后在Com安全选项卡上，找到“访问权限”下面的“编辑限制”选项。然后找到“匿名登录”用户的“远程访问”，并选择“允许”复选框。注意这一步非常重要。不过这个复选框没选中的话，这Forefront Server Security将无法正常运行。

　　第三步：在防火墙上进行额外的配置。如果操作系统上启用了防火墙机制，管理员必须要将Forefront Server Security应用程序添加到Windows防火墙的例外列表中去。具体的操作如下。管理员找到Windows防火墙的例外选项卡。然后单击“添加程序”，从列表中选择“FSSACLIENT”，并单击确定。此时防火墙系统就会将这个应用程序自动添加到“程序和服务”列表中去。再回过来找到“程序和服务”列表的这个应用程序，单击“添加端口”，输入端口的名字。一般情况下这个应用程序采用的是135端口，并以TCP作为其数据传输的协议。

　　如上配置后，Forefront Server Security就可以在XP SP2 操作系统上顺利运行，并可以连接上远程的服务器。针对以上这些配置，笔者还有如下两个小建议。

　　一是如果大家觉得防火墙的配置比较麻烦，其实也有一个偷懒的方法。即如果现在需要运行Forefront Server Security应用程序进行远程管理的话，可以先暂时关闭Windows防火墙功能。等到维护完成之后，再启用。如此的话，就可以不需要对防火墙进行额外的配置。不过出于安全考虑，并不建议这么操作。

　　二是需要注意开启135端口可能会带来额外的威胁。如果启用Windows防火墙，并需要使用Forefront Server Security应用程序的话，需要在防火墙处开启135端口。显然将这个端口为所有的计算机开发，会带来不小的安全隐患。此时出于安全考虑，可能还需要添加一个额外的限制，即只为某个特定的IP地址打开。要实现这个功能的话，可以在防火墙的“更改范围”栏目中实现。但管理员添加完135端口后，不要马上关闭对话框。在这个对话框中，有一个“更改范围”按钮。管理员单击这个按钮，并选择“自定义列表”。在这个列表中管理员可以输入合适的IP地址，从而实现这个端口只为这几个IP地址而开启。这么操作的话，这个安全隐患就被消除了。

　　二、只读模式与读写模式

　　Forefront Server Security应用程序可以根据用户的需求，以只读模式或者读写模式来运行。顾名思义，只读模式不能够对远程服务器进行任何的修改，如更改配置文件等等，只能够进行一些查询。而读写模式的话，基本上就可以对远程服务器进行完全控制。出于安全考虑，管理员就需要采取合适的运行模式。笔者的建议是，在分析、查找问题的时候，以只读模式运行。以免一不小心，更改了正确的配置。等到问题找到了，再改为读写模式，对系统系统进行相关的调整。

　　这个运行的模式，主要是由用户的权限所控制的。如果现在管理员需要更改某个配置文件，那么就需要使用具有像对应的权限的用户进行登录。这个权限的配置跟NTFS文件系统的权限管理相同。或者说，其就是借助了NTFS文件系统的权限管理机制来实现。故笔者这里就不重复这方面的内容了。如果读者需要进一步了解，可以去查询NTFS文件系统的相关资料。

　　这里笔者只想强调以下几点内容。

　　一是用户对PSE必须有读写的权限。如果管理员创建的用户对于PSE只有只读的访问权限，则当用户运行这个应用程序的时候，会出现问题。如系统会提示错误信息：无法连接服务，拒绝访问等等。

　　二是系统帐户和Exchange服务帐户还必须对系统文件夹具有完全控制的权限。否则的话，这个应用程序也会因为得到的所需要的权限而无法正常运行。可见，如果将这个应用程序与Exchange等应用程序结合在一起，权限的设计是一项很复杂的事情。笔者的建议是，要遵循最小权限原则。在规划的时候，就要设计好权限体系。如此的话，在配置的时候，才不会迷糊。

　　三、Forefront Server Security不能够滥用

　　笔者发现有一家企业的管理员，他可能为了管理的方便，在多台电脑上配制了Forefront Server Security应用程序，特别是还在家里的电脑上安装了Forefront Server Security应用程序。笔者认为这么做可能会带来不必要的安全隐患。笔者建议，为了提高安全性，最好只在特定的电脑上安装Forefront Server Security应用程序。如只在管理员自己的手提电脑上安装。但Forefront Server Security用户一多，就难免会给攻击者有机可乘。为此就需要将其限制在比较小的范围之内。