Konfigurieren von benutzerdefinierten Clienteinstellungen für Endpoint Protection

  • Artikel

Gilt für: Configuration Manager (Current Branch)

In diesem Verfahren werden benutzerdefinierte Clienteinstellungen für Endpoint Protection konfiguriert, die Sie für Sammlungen von Geräten in Ihrer Hierarchie bereitstellen können.

Wichtig

Konfigurieren Sie die Endpoint Protection-Standardclienteinstellungen nur, wenn Sie sicher sind, dass sie auf alle Computer in Ihrer Hierarchie angewendet werden sollen.

So aktivieren Sie Endpoint Protection und konfigurieren benutzerdefinierte Clienteinstellungen

  1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

  2. Klicken Sie im Arbeitsbereich Verwaltung auf Clienteinstellungen.

  3. Klicken Sie auf der Registerkarte Start in der Gruppe Erstellen auf Benutzerdefinierte Clientgeräteeinstellungen erstellen.

  4. Geben Sie im Dialogfeld Benutzerdefinierte Clientgeräteeinstellungen erstellen einen Namen und eine Beschreibung für die Gruppe von Einstellungen ein, und wählen Sie dann Endpoint Protection aus.

  5. Konfigurieren Sie die erforderlichen Endpoint Protection-Clienteinstellungen. Eine vollständige Liste der Endpoint Protection-Clienteinstellungen, die Sie konfigurieren können, finden Sie im Abschnitt Endpoint Protection unter Informationen zu Clienteinstellungen.

    Wichtig

    Installieren Sie die Endpoint Protection-Standortsystemrolle, bevor Sie Clienteinstellungen für Endpoint Protection konfigurieren.

  6. Klicken Sie auf OK , um das Dialogfeld Benutzerdefinierte Clientgeräteeinstellungen erstellen zu schließen. Die neuen Clienteinstellungen werden im Arbeitsbereich Verwaltung im Knoten Clienteinstellungen angezeigt.

  7. Stellen Sie als Nächstes die benutzerdefinierten Clienteinstellungen für eine Sammlung bereit. Wählen Sie die benutzerdefinierten Clienteinstellungen aus, die Sie bereitstellen möchten. Klicken Sie auf der Registerkarte Start in der Gruppe Clienteinstellungen auf Bereitstellen.

  8. Wählen Sie im Dialogfeld Sammlung auswählen die Sammlung aus, für die Sie die Clienteinstellungen bereitstellen möchten, und klicken Sie dann auf OK. Die neue Bereitstellung wird auf der Registerkarte Bereitstellungen des Detailbereichs angezeigt.

Clients werden beim nächsten Herunterladen der Clientrichtlinie mit diesen Einstellungen konfiguriert. Weitere Informationen finden Sie unter Initiieren des Richtlinienabrufs für einen Configuration Manager Client.

Bereitstellen des Endpoint Protection-Clients in einem Datenträgerimage

Installieren Sie den Endpoint Protection-Client auf einem Computer, den Sie als Datenträgerimagequelle für Configuration Manager Betriebssystembereitstellung verwenden möchten. Dieser Computer wird in der Regel als Referenzcomputer bezeichnet. Nachdem Sie das Betriebssystemimage erstellt haben, verwenden Sie Configuration Manager Betriebssystembereitstellung, um das Image bereitzustellen.

Wichtig

Ab Windows 10 und Windows Server 2016 wird Windows Defender standardmäßig installiert. Sie benötigen dieses Verfahren für diese oder höhere Versionen von Windows nicht.

Verwenden Sie die folgenden Verfahren, um den Endpoint Protection-Client auf einem Referenzcomputer zu installieren und zu konfigurieren.

Voraussetzungen

Die folgende Liste enthält die erforderlichen Voraussetzungen für die Installation der Endpoint Protection-Clientsoftware auf einem Referenzcomputer.

  • Sie müssen Zugriff auf das Endpoint Protection-Clientinstallationspaket scepinstall.exehaben. Suchen Sie dieses Paket im Ordner Client des installationsordners Configuration Manager auf dem Standortserver.

  • Um den Endpoint Protection-Client mit der erforderlichen Konfiguration Ihrer Organisation bereitzustellen, erstellen und exportieren Sie eine Richtlinie für Antischadsoftware. Geben Sie diese Richtlinie dann an, wenn Sie den Endpoint Protection-Client manuell installieren. Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Richtlinien für Antischadsoftware.

    Hinweis

    Sie können die Standardrichtlinie für Client-Antischadsoftware nicht exportieren.

  • Wenn Sie den Endpoint Protection-Client mit den neuesten Definitionen installieren möchten, laden Sie sie von Windows Defender Security Intelligence herunter.

Installieren des Endpoint Protection-Clients auf dem Referenzcomputer

Installieren Sie den Endpoint Protection-Client lokal auf dem Referenzcomputer über eine Eingabeaufforderung. Rufen Sie zuerst die Installationsdatei scepinstall.exeab. Weitere Informationen finden Sie unter Installieren des Endpoint Protection-Clients über eine Eingabeaufforderung.

Fügen Sie bei Bedarf auch eine vorkonfigurierte Richtlinie für Antischadsoftware oder eine richtlinie für Antischadsoftware hinzu, die Sie zuvor exportiert haben.

So installieren Sie den Endpoint Protection-Client über eine Eingabeaufforderung

  1. Kopieren Sie scepinstall.exe aus dem Ordner Client des Installationsordners Configuration Manager auf den Computer, auf dem Sie die Endpoint Protection-Clientsoftware installieren möchten.

  2. Öffnen Sie eine Eingabeaufforderung als Administrator. Wechseln Sie mit dem Installationsprogramm in den Ordner. Führen Sie dann aus scepinstall.exe, und fügen Sie alle zusätzlichen Befehlszeileneigenschaften hinzu, die Sie benötigen:

    Eigenschaft Beschreibung
    /s Ausführen des Installationsprogramms im Hintergrund
    /q Automatisches Extrahieren der Setupdateien
    /i Führen Sie das Installationsprogramm normal aus.
    /policy Angeben einer Antischadsoftware-Richtliniendatei zum Konfigurieren des Clients während der Installation
    /sqmoptin Melden Sie sich am Microsoft Programm zur Verbesserung der Benutzerfreundlichkeit (Customer Experience Improvement Program, CEIP) an.

  3. Befolgen Sie die Anweisungen auf dem Bildschirm, um die Clientinstallation abzuschließen.

  4. Wenn Sie das neueste Updatedefinitionspaket heruntergeladen haben, kopieren Sie das Paket auf den Clientcomputer, und doppelklicken Sie dann auf das Definitionspaket, um es zu installieren.

    Hinweis

    Nach Abschluss der Installation des Endpoint Protection-Clients führt der Client automatisch eine Überprüfung des Definitionsupdates durch. Wenn diese Updateüberprüfung erfolgreich ist, müssen Sie das neueste Definitionsupdatepaket nicht manuell installieren.

Beispiel: Installieren des Clients mit einer Richtlinie für Antischadsoftware

scepinstall.exe /policy <full path>\<policy file>

Überprüfen der Installation des Endpoint Protection-Clients

Nachdem Sie den Endpoint Protection-Client auf Ihrem Referenzcomputer installiert haben, überprüfen Sie, ob der Client ordnungsgemäß funktioniert.

  1. Öffnen Sie auf dem Referenzcomputer System Center Endpoint Protection im Windows-Infobereich.

  2. Vergewissern Sie sich auf der Registerkarte Start des Dialogfelds System Center Endpoint Protection, dass Echtzeitschutz auf Ein festgelegt ist.

  3. Vergewissern Sie sich, dass für Viren- und Spywaredefinitionenaktuell angezeigt wird.

  4. Um sicherzustellen, dass Ihr Referenzcomputer für die Imageerstellung bereit ist, wählen Sie unter Scanoptionendie Option Vollständig aus, und klicken Sie dann auf Jetzt überprüfen.

Vorbereiten des Endpoint Protection-Clients für die Imageerstellung

Führen Sie die folgenden Schritte aus, um den Endpoint Protection-Client für die Imageerstellung vorzubereiten:

  1. Melden Sie sich auf dem Referenzcomputer als Administrator an.

  2. Laden Sie PsExec von Windows SysInternals herunter, und installieren Sie es.

  3. Führen Sie eine Eingabeaufforderung als Administrator aus, wechseln Sie in den Ordner, in dem Sie PsTools installiert haben, und geben Sie dann den folgenden Befehl ein:

    psexec.exe -s -i regedit.exe

    Wichtig

    Seien Sie vorsichtig, wenn Sie den Registrierungs-Editor auf diese Weise ausführen. PsExec.exe führt sie im LocalSystem-Kontext aus.

  4. Löschen Sie im Registrierungs-Editor die folgenden Registrierungsschlüssel:

    Wichtig

    Löschen Sie diese Registrierungsschlüssel als letzten Schritt vor dem Erstellen des Referenzcomputers. Der Endpoint Protection-Client erstellt diese Schlüssel beim Start neu. Wenn Sie den Referenzcomputer neu starten, löschen Sie die Registrierungsschlüssel erneut.

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\InstallTime

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanRun

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanType

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastQuickScanID

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastFullScanID

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT\GUID

Sie können nun den Referenzcomputer für die Imageerstellung vorbereiten.

Wenn Sie ein Betriebssystemimage bereitstellen, das den Endpoint Protection-Client enthält, meldet es automatisch Informationen an den Configuration Manager Standort des Geräts. Der Client lädt alle gezielten Antischadsoftwarerichtlinien herunter und wendet sie an.

Siehe auch

Weitere Informationen zur Betriebssystembereitstellung in Configuration Manager finden Sie unter Verwalten von Betriebssystemimages.