Gdy stacja robocza znajduje się poza siecią firmową i polityka bezpieczeństwa firmy zabrania dostępu zdalnego (za pomocą na przykład IPSec VPN lub DirectAccess), aktualizacje są pobierane z zasobów serwerowych Windows Update. Logi z motoru antywirusowego oraz narzędzi ochrony są wysyłane centralnie, gdy tylko jest dostępne takie połączenie (stacja robocza znajduje się w obrębie sieci firmowej lub korzysta z VPN).

Najpoważniejszym problemem jest usuwanie zagrożenia, na przykład deinstalacja złośliwego kodu. Jest to trudna operacja, gdyż nie zawsze jest znany stan przed zagrożeniem, dlatego nie wszystkie działania mogą być od razu podjęte - czasami odtworzenie jakiejś biblioteki do stanu oryginalnego może powodować załamanie zarażonego systemu Windows (przykładem może być poprawka MS10-015, która powodowała problemy przy systemach uszkodzonych przez złośliwe oprogramowanie). Dlatego operacje usuwania złośliwego kodu są dość ryzykowne, gdy system jest poważnie uszkodzony. Zadaniem Forefront Client Security jest niedopuszczenie do takiego stanu.

Sieć pod nadzorem

Jednym ze sposobów zabezpieczenia sieci jest ochrona przed połączeniem z nieautoryzowaną maszyną, której stan ochrony jest nieznany lub niedostateczny. Rozwiązaniem klasy NAC jest NAP, który może działać, współpracując ze standardem 802.1x albo przy wykorzystaniu połączenia szyfrowanego. Jeśli maszyna nie dostanie certyfikatu "zdrowia", czyli zgodności z polityką firmy, to żaden komputer w zabezpieczanej sieci nie będzie przyjmować połączeń przez nią inicjowanych. Opcja ta jest domyślnie obsługiwana w systemach Windows XP SP3, Vista SP1 i 7. Do wymuszania zabezpieczeń można także stosować zarządzane przełączniki sieciowe, kierując niezgodne maszyny do innej podsieci.

Przy opracowywaniu założeń polityki ochrony sieci w heterogenicznej infrastrukturze, można wykorzystać fakt rozróżniania połączeń szyfrowanych - przy połączeniach inicjowanych przez systemy inne niż Windows, rolę ochrony połączenia może grać IPSec.

Połączyć usługi katalogowe

Dotychczas Microsoft koncentrował się na wykorzystaniu Active Directory jako głównego i jedynego narzędzia usług katalogowych w firmie. Obecnie wprowadzono nowy produkt - Forefront Identity Manager, który umożliwia zarządzanie tożsamością ponad usługami katalogowymi. Rozwiązanie składa się z dwóch modułów - dla administratora i użytkowników. Część dostępna dla użytkowników to między innymi portal samoobsługowy przeznaczony na przykład do resetu hasła, zintegrowany z mechanizmem logowania do systemu Windows (obsługa Ctrl+Alt+Delete za pomocą integracji z GINA), w tym także przy wykorzystaniu kart inteligentnych. Udostępniono także portal, bazujący na Sharepoincie, na którym użytkownik może dodać się do grup dystrybucyjnych.

Rozwiązanie to umożliwia synchronizację tożsamości między różnymi systemami, gdy Active Directory jest tylko jednym z nich. Oprogramowanie to nie ogranicza się tylko do rozwiązań komercyjnych, można je zintegrować także z narzędziami open source, takimi jak OpenLDAP. W ten sposób można stosunkowo łatwo przeprowadzić integrację zarządzania tożsamością między rozwiązaniami różnych firm w heterogenicznym środowisku IT.