Vytvoření a nasazení antimalwarových zásad pro službu Endpoint Protection v Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Antimalwarové zásady můžete nasadit do kolekcí Configuration Manager klientských počítačů a určit, jak je služba Endpoint Protection chrání před malwarem a dalšími hrozbami. Tyto zásady zahrnují informace o plánu kontrol, typech souborů a složek, které se mají zkontrolovat, a akcích, které se mají provést při zjištění malwaru. Když povolíte službu Endpoint Protection, použijí se na klientské počítače výchozí antimalwarové zásady. Můžete také použít některou z dodaných šablon zásad nebo vytvořit vlastní zásadu, která bude vyhovovat konkrétním potřebám vašeho prostředí.
Configuration Manager poskytuje výběr předdefinovaných šablon. Jsou optimalizované pro různé scénáře a dají se importovat do Configuration Manager. Tyto šablony jsou k dispozici ve složce <ConfigMgr Install Folder>\AdminConsole\XMLStorage\EPTemplates.
Důležité
Pokud vytvoříte novou antimalwarovou zásadu a nasadíte ji do kolekce, přepíše tato antimalwarová zásada výchozí antimalwarové zásady.
Pomocí postupů v tomto tématu můžete vytvořit nebo importovat antimalwarové zásady a přiřadit je Configuration Manager klientským počítačům ve vaší hierarchii.
Poznámka
Před provedením těchto postupů se ujistěte, že je pro službu Endpoint Protection nakonfigurovaná Configuration Manager, jak je popsáno v tématu Konfigurace služby Endpoint Protection.
Úprava výchozích antimalwarových zásad
V konzole Configuration Manager klikněte na Prostředky a kompatibilita.
V pracovním prostoru Prostředky a kompatibilita rozbalte položku Endpoint Protection a potom klikněte na Antimalwarové zásady.
Vyberte antimalwarovou zásadu Výchozí antimalwarová zásada klienta a potom na kartě Domů ve skupině Vlastnosti klikněte na Vlastnosti.
V dialogovém okně Výchozí antimalwarové zásady nakonfigurujte nastavení, která pro tuto antimalwarovou zásadu požadujete, a potom klikněte na OK.
Poznámka
Seznam nastavení, která můžete konfigurovat, najdete v části Seznam nastavení antimalwarových zásad v tomto tématu.
Vytvoření nové antimalwarové zásady
V konzole Configuration Manager klikněte na Prostředky a kompatibilita.
V pracovním prostoru Prostředky a kompatibilita rozbalte položku Endpoint Protection a potom klikněte na Antimalwarové zásady.
Na kartě Domů ve skupině Vytvořit klikněte na Vytvořit antimalwarové zásady.
V části Obecné dialogového okna Vytvořit antimalwarové zásady zadejte název a popis zásady.
V dialogovém okně Vytvořit antimalwarové zásady nakonfigurujte nastavení, která pro tuto antimalwarovou zásadu požadujete, a potom klikněte na OK. Seznam nastavení, která můžete konfigurovat, najdete v tématu Seznam nastavení antimalwarových zásad.
Ověřte, že se nové antimalwarové zásady zobrazují v seznamu Antimalwarové zásady .
Import antimalwarových zásad
V konzole Configuration Manager klikněte na Prostředky a kompatibilita.
V pracovním prostoru Prostředky a kompatibilita rozbalte položku Endpoint Protection a potom klikněte na Antimalwarové zásady.
Na kartě Domů ve skupině Vytvořit klikněte na Importovat.
V dialogovém okně Otevřít přejděte k souboru zásad, který chcete importovat, a klikněte na Otevřít.
V dialogovém okně Vytvořit antimalwarové zásady zkontrolujte nastavení, která chcete použít, a klikněte na OK.
Ověřte, že se nové antimalwarové zásady zobrazují v seznamu Antimalwarové zásady .
Nasazení antimalwarových zásad do klientských počítačů
V konzole Configuration Manager klikněte na Prostředky a kompatibilita.
V pracovním prostoru Prostředky a kompatibilita rozbalte položku Endpoint Protection a potom klikněte na Antimalwarové zásady.
V seznamu Antimalwarové zásady vyberte antimalwarové zásady, které chcete nasadit. Potom na kartě Domů ve skupině Nasazení klikněte na Nasadit.
Poznámka
Možnost Nasadit nelze použít s výchozími zásadami malwaru klienta.
V dialogovém okně Vybrat kolekci vyberte kolekci zařízení, do které chcete nasadit antimalwarové zásady, a klikněte na OK.
Seznam nastavení antimalwarových zásad
Mnoho antimalwarových nastavení je samovysvětlovat. V následujících částech najdete další informace o nastaveních, která můžou vyžadovat další informace, než je nakonfigurujete.
- Nastavení naplánovaných kontrol
- Nastavení kontroly
- Výchozí nastavení akcí
- Nastavení ochrany v reálném čase
- Nastavení vyloučení
- Upřesňující nastavení
- Nastavení přepsání hrozeb
- Služba Cloud Protection
- Nastavení Aktualizace definic
Nastavení naplánovaných kontrol
Typ kontroly – Můžete zadat jeden ze dvou typů kontroly, které se mají spustit na klientských počítačích:
Rychlá kontrola – tento typ kontroly kontroluje procesy v paměti a složky, ve kterých se obvykle nachází malware. Vyžaduje méně prostředků než úplná kontrola.
Úplná kontrola – Tento typ kontroly přidá úplnou kontrolu všech místních souborů a složek k položkám kontrolovaným v rámci rychlé kontroly. Tato kontrola trvá déle než rychlá kontrola a v klientských počítačích využívá více prostředků procesoru a paměti.
Ve většině případů můžete pomocí rychlé kontroly minimalizovat použití systémových prostředků na klientských počítačích. Pokud odstranění malwaru vyžaduje úplnou kontrolu, endpoint Protection vygeneruje výstrahu, která se zobrazí v konzole Configuration Manager. Výchozí hodnota je Rychlá kontrola.
Nastavení kontroly
Kontrolovat e-maily a e-mailové přílohy – Pokud chcete zapnout kontrolu e-mailů, nastavte na Ano .
Skenování vyměnitelných úložných zařízení, jako jsou usb disky – Pokud chcete kontrolovat vyměnitelné jednotky během úplných kontrol, nastavte na Ano .
Kontrola síťových souborů – Pokud chcete zkontrolovat síťové soubory, nastavte na Ano .
Kontrola namapovaných síťových jednotek při spuštění úplné kontroly – Pokud chcete zkontrolovat všechny namapované síťové jednotky v klientských počítačích, nastavte na Ano . Povolení tohoto nastavení může výrazně prodloužit dobu kontroly na klientských počítačích.
Nastavení Prohledat síťové soubory musí být nastavené na Ano , aby bylo toto nastavení dostupné ke konfiguraci.
Ve výchozím nastavení je toto nastavení nastaveno na Ne, což znamená, že úplná kontrola nebude mít přístup k mapovaným síťovým jednotkám.
Kontrolovat archivované soubory – Pokud chcete kontrolovat archivované soubory, jako jsou soubory .zip nebo .rar, nastavte na Ano.
Povolit uživatelům konfigurovat využití procesoru během kontrol – Pokud chcete uživatelům povolit zadat maximální procento využití procesoru během kontroly, nastavte na Ano . Kontroly nebudou vždy používat maximální zatížení definované uživateli, ale nemohou ho překročit.
Řízení naplánovaných kontrol uživatelem – Určuje úroveň uživatelského řízení. Umožněte uživatelům nastavit na jejich zařízeních jenom dobu procházení nebo Úplnou kontrolu nad antivirovými kontrolami.
Výchozí nastavení akcí
Vyberte akci, která se má provést při zjištění malwaru na klientských počítačích. V závislosti na úrovni výstrahy zjištěného malwaru je možné použít následující akce.
Doporučeno – Použijte akci doporučenou v definičním souboru malwaru.
Karanténa – Umístí malware do karantény, ale neodeberte ho.
Odebrat – Odeberte malware z počítače.
Povolit – Neodstraňujte malware ani ho neumisujte do karantény.
Nastavení ochrany v reálném čase
| Nastavení názvu | Popis |
|---|---|
| Povolení ochrany v reálném čase | Nastavte na Ano , pokud chcete nakonfigurovat nastavení ochrany v reálném čase pro klientské počítače. Toto nastavení doporučujeme povolit. |
| Monitorování aktivity souborů a programů na počítači | Nastavte na Ano , pokud chcete, aby služba Endpoint Protection monitorovala, kdy se soubory a programy spustí na klientských počítačích, a upozorňovala vás na všechny akce, které provádí, nebo na ně prováděné akce. |
| Kontrola systémových souborů | Toto nastavení umožňuje nakonfigurovat, jestli se v příchozích, odchozích nebo příchozích a odchozích systémových souborech monitoruje malware. Z důvodů výkonu možná budete muset změnit výchozí hodnotu Kontrolovat příchozí a odchozí soubory , pokud má server vysokou aktivitu příchozích nebo odchozích souborů. |
| Povolení monitorování chování | Povolte toto nastavení, pokud chcete k detekci neznámých hrozeb používat data aktivit počítače a souborů. Pokud je toto nastavení povolené, může se prodloužit doba potřebná ke kontrole malwaru v počítačích. |
| Povolení ochrany před síťovými zneužitími | Povolením tohoto nastavení ochráníte počítače před známými síťovými zneužitími kontrolou síťového provozu a blokováním podezřelých aktivit. |
| Povolení kontroly skriptů | Pouze pro Configuration Manager bez aktualizace Service Pack. Toto nastavení povolte, pokud chcete kontrolovat podezřelé aktivity ve skriptech spuštěných v počítačích. |
| Blokování potenciálně nežádoucích aplikací při stažení a před instalací | Potenciální nežádoucí aplikace (PUA) je klasifikace hrozeb založená na reputaci a identifikaci řízené výzkumem. Nejčastěji se jedná o nežádoucí balíčky aplikací nebo jejich seskupené aplikace. Microsoft Edge také poskytuje nastavení pro blokování potenciálně nežádoucích aplikací. Prozkoumejte tyto možnosti pro úplnou ochranu před nežádoucími aplikacemi. Toto nastavení zásad ochrany je dostupné a ve výchozím nastavení je nastavené na Povoleno . Pokud je tato možnost povolená, blokuje pua v době stahování a instalace. Můžete ale vyloučit konkrétní soubory nebo složky tak, aby vyhovovaly konkrétním potřebám vaší firmy nebo organizace. Od Configuration Manager verze 2107 můžete toto nastavení auditovat. Pomocí ochrany PUA v režimu auditování můžete detekovat potenciálně nežádoucí aplikace bez jejich blokování. Ochrana PROTI PUA v režimu auditování je užitečná, pokud vaše společnost chce zjistit, jaký dopad bude mít povolení ochrany PUA na vaše prostředí. Povolení ochrany v režimu auditování vám umožní určit dopad na koncové body před povolením ochrany v režimu blokování. |
Nastavení vyloučení
Informace o složkách, souborech a procesech, které se doporučují pro vyloučení v Configuration Manager 2012 a Current Branch, najdete v tématu Doporučená antivirová vyloučení pro servery, systémy lokality a klienty Configuration Manager 2012 a aktuální větve.
Vyloučené soubory a složky:
Kliknutím na Nastavit otevřete dialogové okno Konfigurovat vyloučení souborů a složek a zadejte názvy souborů a složek, které se mají vyloučit z kontrol služby Endpoint Protection.
Pokud chcete vyloučit soubory a složky, které se nacházejí na mapované síťové jednotce, zadejte názvy jednotlivých složek na síťové jednotce zvlášť. Pokud je například síťová jednotka namapovaná jako F:\MyFolder a obsahuje podsložky s názvy Folder1, Folder2 a Folder 3, zadejte následující vyloučení:
F:\MyFolder\Folder1
F:\MyFolder\Folder2
F:\MyFolder\Folder3
Od verze 1602 je stávající nastavení Vyloučit soubory a složky v části Nastavení vyloučení antimalwarových zásad vylepšené tak, aby umožňovalo vyloučení zařízení. Teď můžete například jako vyloučení zadat následující: \device\mvfs (pro systém souborů Multiversion). Zásady neověřují cestu zařízení. Zásady endpoint Protection jsou poskytovány antimalwarovém modulu v klientovi, který musí být schopen interpretovat řetězec zařízení.
Vyloučené typy souborů:
Kliknutím na Nastavit otevřete dialogové okno Konfigurovat vyloučení typů souborů a určete přípony souborů, které se mají vyloučit z kontrol služby Endpoint Protection. Při definování položek v seznamu vyloučení můžete použít zástupné cardy. Další informace najdete v tématu Použití zástupných znaků v seznamech názvů souborů a cest ke složce nebo v seznamech vyloučení přípon.
Vyloučené procesy:
Kliknutím na Nastavit otevřete dialogové okno Konfigurovat vyloučení procesů a určete procesy, které se mají vyloučit z kontrol služby Endpoint Protection. Při definování položek v seznamu vyloučení můžete použít zástupné é ou, ale existují určitá omezení. Další informace najdete v tématu Použití zástupných znaků v seznamu vyloučení procesů.
Upřesňující nastavení
Povolit prohledávání spojovacích bodů – Nastavte na Ano , pokud chcete, aby služba Endpoint Protection prohledává body analýzy NTFS.
Další informace o spojovacích bodech najdete v tématu Spojovací body na webu Windows Dev Center.
Náhodné nastavení naplánovaných časů spuštění kontroly (do 30 minut) – Pokud chcete zabránit zaplavení sítě, ke kterému může dojít v případě, že všechny počítače odešlou výsledky antimalwarových kontrol do databáze Configuration Manager současně. V případě Windows Defender Antivirové ochrany se čas zahájení kontroly náhodně provede v intervalu od 0 do 4 hodin nebo v případě FEP a SCEP do libovolného intervalu plus mínus 30 minut. To může být užitečné v nasazeních virtuálních počítačů nebo VDI. Toto nastavení je také užitečné, když na jednom hostiteli spouštíte více virtuálních počítačů. Tuto možnost vyberte, pokud chcete snížit souběžný přístup k disku pro antimalwarovou kontrolu.
Počínaje verzí 1602 Configuration Manager může antimalwarový modul požadovat odeslání ukázek souborů do Microsoft k další analýze. Ve výchozím nastavení se před odesláním takových ukázek vždy zobrazí výzva. Správci teď můžou spravovat následující nastavení a nakonfigurovat toto chování:
Povolte automatické odesílání ukázkových souborů, abyste Microsoft pomohli určit, jestli jsou některé zjištěné položky škodlivé– Pokud chcete povolit automatické odesílání ukázkových souborů, nastavte na Ano. Ve výchozím nastavení je toto nastavení Ne , což znamená, že automatické odesílání ukázkových souborů je zakázané a uživatelům se před odesláním ukázek zobrazí výzva.
Povolit uživatelům upravit nastavení automatického odesílání ukázkových souborů – Určuje, jestli uživatel s oprávněními místního správce na zařízení může změnit nastavení automatického odesílání ukázkových souborů v klientském rozhraní. Ve výchozím nastavení je toto nastavení "Ne", což znamená, že se dá změnit jenom z konzoly Configuration Manager a místní správci na zařízení nemůžou tuto konfiguraci změnit.
Následující příklad ukazuje toto nastavení nastavené správcem jako povolené a zobrazené šedě, aby se zabránilo změnám uživatele.
Nastavení přepsání hrozeb
Název hrozby a akce přepsání – Kliknutím na Nastavit můžete přizpůsobit nápravnou akci, která se má provést pro každé ID hrozby, když se zjistí během kontroly.
Poznámka
Seznam názvů hrozeb nemusí být k dispozici ihned po konfiguraci služby Endpoint Protection. Počkejte, až bod endpoint Protection synchronizuje informace o hrozbě, a pak to zkuste znovu.
Služba Cloud Protection
Služba Cloud Protection umožňuje shromažďování informací o zjištěném malwaru ve spravovaných systémech a provedených akcích. Tyto informace se odesílají Microsoft.
Členství ve službě Cloud Protection Service
- Nepřipojovat se ke službě Cloud Protection – Neodesílají se žádné informace
- Základní – shromažďování a odesílání seznamů zjištěného malwaru
- Pokročilé – základní informace i komplexnější informace, které by mohly obsahovat osobní údaje. Například cesty k souborům a částečné výpisy paměti.
Povolit uživatelům upravovat nastavení služby Cloud Protection – Přepíná uživatelské řízení nastavení služby Cloud Protection.
Úroveň blokování podezřelých souborů – Zadejte úroveň, na které bude služba Endpoint Protection Cloud Protection blokovat podezřelé soubory.
- Normální – výchozí úroveň blokování Windows Defender
- Vysoká – agresivně blokuje neznámé soubory při optimalizaci výkonu (větší pravděpodobnost blokování souborů, které nejsou škodlivé)
- Vysoká s dodatečnou ochranou – Agresivně blokuje neznámé soubory a používá další ochranná opatření (může mít vliv na výkon klientského zařízení).
- Blokovat neznámé programy – Zablokuje všechny neznámé programy.
Povolit rozšířené kontrole cloudu blokovat a kontrolovat až (sekundy) – Určuje počet sekund, po které může služba Cloud Protection Service blokovat soubor, zatímco služba zkontroluje, jestli soubor není známý jako škodlivý.
Poznámka
Počet sekund, který pro toto nastavení vyberete, je navíc k výchozímu 10sekundovém časovému limitu. Pokud například zadáte 0 sekund, služba Cloud Protection Zablokuje soubor po dobu 10 sekund.
Podrobnosti o vytváření sestav služby Cloud Protection
| Frekvence | Shromážděná nebo odeslaná data | Použití dat |
|---|---|---|
| Když Windows Defender aktualizuje antivirovou a spywarovou ochranu nebo definiční soubory | – Verze definic virů a spywaru – verze ochrany proti virům a spywaru | Microsoft tyto informace používá k zajištění přítomnosti nejnovějších aktualizací virů a spywaru v počítačích. Pokud není k dispozici, Windows Defender automaticky aktualizovat, aby ochrana počítače zůstala aktuální. |
| Pokud Windows Defender najde v počítačích potenciálně škodlivý nebo nežádoucí software | - Název potenciálně škodlivého nebo nežádoucího softwaru – Jak byl software nalezen – Všechny akce, které Windows Defender provést při práci se softwarem – Soubory ovlivněné softwarem – Informace o počítači od výrobce (Sysconfig, SysModel, SysMarker) | Windows Defender tyto informace používá k určení typu a závažnosti potenciálně nežádoucího softwaru a nejlepší akce, kterou je třeba provést. Microsoft tyto informace také používají ke zlepšení přesnosti ochrany před viry a spywarem. |
| Jednou za měsíc | - Stav aktualizace definic virů a spywaru – stav monitorování virů a spywaru v reálném čase (zapnuto nebo vypnuto) | Windows Defender tyto informace používá k ověření, že počítače mají nejnovější verzi a definice ochrany proti virům a spywaru. Microsoft chce také zajistit, aby bylo zapnuté monitorování virů a spywaru v reálném čase. To je důležitá součást ochrany počítačů před potenciálně škodlivým nebo nežádoucím softwarem. |
| Během instalace nebo kdykoli uživatelé ručně provedou kontrolu virů a spywaru počítače. | Seznam spuštěných procesů v paměti počítače | K identifikaci procesů, které mohly být ohroženy potenciálně škodlivým softwarem. |
Microsoft shromažďuje pouze názvy ovlivněných souborů, nikoli obsah samotných souborů. Tyto informace pomáhají určit, které systémy jsou obzvláště zranitelné vůči konkrétním hrozbám.
Nastavení Aktualizace definic
Nastavení zdrojů a pořadí aktualizací klienta služby Endpoint Protection – Kliknutím na Nastavit zdroj určete zdroje pro aktualizace definic a skenovacího modulu. Můžete také určit pořadí, ve kterém se tyto zdroje použijí. Pokud je Configuration Manager zadán jako jeden ze zdrojů, pak se ostatní zdroje použijí pouze v případě, že aktualizace softwaru nestáhnou aktualizace klienta.
Pokud k aktualizaci definic v klientských počítačích použijete některou z následujících metod, klientské počítače musí mít přístup k internetu.
Aktualizace distribuované ze služby Microsoft Update
Aktualizace distribuované z Centrum společnosti Microsoft pro ochranu před škodlivým softwarem
Důležité
Klienti stahují aktualizace definic pomocí integrovaného systémového účtu. Abyste těmto klientům umožnili připojení k internetu, musíte pro tento účet nakonfigurovat proxy server.
Pokud jste nakonfigurovali pravidlo automatického nasazení aktualizací softwaru pro doručování aktualizací definic do klientských počítačů, budou tyto aktualizace doručeny bez ohledu na nastavení aktualizací definic.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro