Exemple de scénario pour protéger les ordinateurs contre les logiciels malveillants en configurant Endpoint Protection dans Configuration Manager

 

S'applique à: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Cette rubrique fournit un exemple de scénario pour l'implémentation d'Endpoint Protection dans Microsoft System Center 2012 Configuration Manager pour protéger les ordinateurs d'une organisation contre les attaques de programmes malveillants.

John est le Configuration Manager administrateur de Woodgrove Bank. La banque utilise actuellement Microsoft Forefront Endpoint Protection 2010 pour protéger les ordinateurs contre les attaques de logiciels malveillants. En outre, la banque utilise la stratégie de groupe Windows pour vous assurer que le pare-feu Windows est activé sur tous les ordinateurs de l'entreprise et que les utilisateurs sont avertis lorsque le pare-feu Windows bloque un nouveau programme.

John a été invité à mettre à niveau le logiciel anti-programme malveillant de Woodgrove Bank System Center 2012 Endpoint Protection afin que la banque peut tirer parti des dernières fonctionnalités contre les logiciels malveillants et être en mesure de gérer de manière centralisée la solution anti-programme malveillant à partir de la Configuration Manager console. Cette implémentation nécessite la configuration suivante :

  • Utilisez Configuration Manager pour gérer les paramètres du pare-feu Windows qui sont actuellement gérés par stratégie de groupe.

  • Utilisez Configuration Manager mises à jour logicielles pour télécharger les définitions de programmes malveillants sur les ordinateurs. Si les mises à jour logicielles ne sont pas disponibles, par exemple, si l'ordinateur n'est pas connecté au réseau d'entreprise, les ordinateurs doivent télécharger des mises à jour de définition à partir de Microsoft Update.

  • Les ordinateurs des utilisateurs doivent effectuer une analyse rapide des programmes malveillants tous les jours. Serveurs, cependant, doivent exécuter une analyse complète de tous les samedis, en dehors des heures de travail, à 1.

  • Envoyer une alerte par courrier électronique chaque fois que l'un des événements suivants se produit :

    • Logiciel malveillant est détecté sur n'importe quel ordinateur

    • La même menace de logiciel malveillant est détectée sur plus de 5 % des ordinateurs

    • La menace de logiciel malveillant même est détectée plus de 5 fois dans une période de 24 heures

    • Plus de 3 différents types de logiciels malveillants sont détectés dans une période de 24 heures

  • Désinstalle la solution anti-programme malveillant existant.

John effectue ensuite les étapes suivantes pour mettre en œuvre Endpoint Protection:

Étapes pour implémenter la Protection de point de terminaison

Processus

Référence

John passe en revue les informations sur les concepts de base de Endpoint Protection dans Configuration Manager.

Pour plus d'informations sur Endpoint Protection, consultez Présentation de Endpoint Protection dans Configuration Manager.

John passe en revue et implémente les composants requis pour utiliser Endpoint Protection.

Pour plus d'informations sur la configuration requise pour Endpoint Protection, consultez Conditions préalables pour Endpoint Protection dans Configuration Manager.

John installe le Endpoint Protection site rôle de système sur un serveur de système uniquement, en haut de la hiérarchie de la Woodgrove Bank.

Pour plus d'informations sur la façon d'installer le Endpoint Protection rôle de système de site, consultez la Étape 1: Créer un rôle de système de Site de Point Endpoint Protection section dans le Comment configurer Endpoint Protection dans Configuration Manager rubrique.

John configure Configuration Manager pour utiliser un serveur SMTP pour envoyer des alertes par courrier électronique.

Note

Vous devez configurer un serveur SMTP uniquement si vous souhaitez être averti par courrier électronique lorsque un Endpoint Protection alerte est générée.

Pour plus d’informations, voir Comment configurer des alertes pour Endpoint Protection dans Configuration Manager.

Note

Les paramètres de notification par courrier électronique sont différentes pour Configuration Manager SP1 et Configuration Manager sans service Pack.

John crée un regroupement de périphériques qui contient tous les ordinateurs et serveurs pour installer le Endpoint Protection client. Il nomme ce regroupement tous les ordinateurs protégés par Endpoint Protection.

System_CAPS_tipConseil

Vous ne pouvez pas configurer d'alertes pour les regroupements d'utilisateurs.

Pour plus d'informations sur la façon de créer des regroupements, consultez Comment créer des regroupements dans Configuration Manager

Il configure les alertes suivantes pour la collection :

  • Logiciel malveillant est détecté: John configure une gravité d'alerte de critique.

  • Le même type de logiciel malveillant est détecté sur un nombre d'ordinateurs : John configure une gravité d'alerte de critique et spécifie que l'alerte est générée lorsque plus de 5 % des ordinateurs ont des logiciels malveillants détectés.

  • Le même type de logiciel malveillant est détecté à plusieurs reprises dans l'intervalle spécifié sur un ordinateur: John configure une gravité d'alerte de critique et spécifie que l'alerte est générée lorsque le logiciel malveillant est détecté plus de 5 fois dans une période de 24 heures.

  • Plusieurs types de logiciels malveillants sont détectés sur le même ordinateur dans l'intervalle spécifié: John configure une gravité d'alerte de critique et spécifie que l'alerte est générée lorsque plus de 3 types de logiciels malveillants sont générés dans une période de 24 heures.

Note

La valeur de gravité d'alerte indique le niveau d'alerte qui s'affiche dans le Configuration Manager console et dans les alertes qu'il reçoit dans un message électronique.

Il sélectionne également l'option afficher cette collection dans le tableau de bord Endpoint Protection afin qu'il peut surveiller les alertes dans le Configuration Manager console.

Pour plus d’informations, voir Comment configurer des alertes pour Endpoint Protection dans Configuration Manager.

John configure Configuration Manager mises à jour à télécharger et déployer des mises à jour de définitions trois fois par jour à l'aide d'une règle de déploiement automatique.

Important

Cette fréquence est adaptée à Configuration Manager SP1. Toutefois, pour des raisons de performances, de Configuration Manager sans service Pack, ne planifiez pas les règles de déploiement automatique pour fournir des mises à jour des définitions plus d'une fois par jour.

Pour plus d'informations, consultez la section À l'aide des mises à jour logicielles de Configuration Manager pour fournir des mises à jour de définition dans la rubrique Comment configurer les mises à jour de définition pour Endpoint Protection dans Configuration Manager.

John examine les paramètres de la stratégie anti-programme malveillant par défaut, qui contient les paramètres de sécurité recommandés par Microsoft. Pour les ordinateurs effectuer une analyse rapide quotidienne à, qu'il modifie les paramètres suivants :

  • Exécuter une analyse rapide quotidienne sur les ordinateurs clients: Oui.

  • Heure de planification analyse rapide quotidienne: 9:00 AM.

John note mises à jour distribuées depuis Microsoft Update est sélectionné par défaut comme source de mise à jour de définition. Cela répond à un besoin métier que les ordinateurs téléchargent les définitions à partir de Microsoft Update lorsqu'ils ne recevront pas Configuration Manager mises à jour logicielles.

Pour plus d’informations, voir Comment créer et déployer des stratégies anti-logiciels malveillants pour protéger les points de terminaison dans Configuration Manager.

John crée une collection qui contient uniquement les serveurs de Woodgrove Bank nommés Woodgrove Bank serveurs.

Pour plus d'informations sur la façon de créer des regroupements, consultez Comment créer des regroupements dans Configuration Manager

John crée une stratégie de logiciel anti-programme malveillant personnalisée nommée stratégie de serveur de Woodgrove Bank. Il ajoute uniquement les paramètres pour analyses planifiées et apporte les modifications suivantes :

  • Type d'analyse: complète

  • Analyse jours: samedi

  • Analyse: 1:00 AM

  • Exécuter une analyse rapide quotidienne sur les ordinateurs clients: non.

Pour plus d’informations, voir Comment créer et déployer des stratégies anti-logiciels malveillants pour protéger les points de terminaison dans Configuration Manager.

John déploie le stratégie de serveur de Woodgrove Bank stratégie anti-programme malveillant personnalisées pour le Woodgrove Bank serveurs collection.

Pour plus d'informations, consultez la section Pour déployer une stratégie de logiciel anti-programme malveillant sur les ordinateurs clients dans la rubrique Comment créer et déployer des stratégies anti-logiciels malveillants pour protéger les points de terminaison dans Configuration Manager.

John crée un nouvel ensemble de client personnalisé pour les paramètres de périphérique Endpoint Protection et ces noms paramètres Endpoint Protection de Woodgrove Bank.

System_CAPS_warningAvertissement

Si vous ne souhaitez pas installer et activer Endpoint Protection sur tous les clients de votre hiérarchie, assurez-vous que les options client gérer Endpoint Protection sur les ordinateurs clients et client installer Endpoint Protection sur les ordinateurs clients sont configurés en tant que non dans les paramètres client par défaut.

Pour plus d'informations, consultez la section Étape 5: Configuration des paramètres Client personnalisés pour Endpoint Protection dans la rubrique Comment configurer Endpoint Protection dans Configuration Manager.

Il configure les paramètres suivants pour Endpoint Protection:

  • Client gérer Endpoint Protection sur les ordinateurs clients: Oui 

    Ce paramètre et la valeur garantit que tout existant Endpoint Protection client est installé devient géré par Configuration Manager.

  • Client installer Endpoint Protection sur les ordinateurs clients: Oui.

  • Automatiquement supprimer précédemment installé logiciel anti-programme malveillant avant l'installation d'Endpoint Protection: Oui.

    Ce paramètre et la valeur répond à un besoin métier que les logiciels anti-programme malveillant existant sont supprimé avant Endpoint Protection est installé et activé.

Pour plus d'informations, consultez la section Étape 5: Configuration des paramètres Client personnalisés pour Endpoint Protection dans la rubrique Comment configurer Endpoint Protection dans Configuration Manager.

John déploie le paramètres Endpoint Protection de Woodgrove Bank paramètres client pour le tous les ordinateurs protégés par Endpoint Protection collection.

Pour plus d'informations, consultez la section Comment créer et déployer des paramètres client personnalisés dans la rubrique Comment configurer des paramètres clients dans Configuration Manager.

John utilise l'Assistant Création d'une stratégie de pare-feu Windows pour créer une stratégie en configurant les paramètres suivants pour le profil de domaine :

  • Activer le pare-feu Windows: Oui

  • Informe l'utilisateur lorsque le pare-feu Windows bloque un nouveau programme: Oui

Pour plus d'informations, consultez la Pour créer une stratégie de pare-feu Windows section dans le Comment créer et déployer des stratégies de pare-feu Windows pour Endpoint Protection dans Configuration Manager

John déploie la nouvelle stratégie de pare-feu à la collection tous les ordinateurs protégés par Endpoint Protection qu'il a créé précédemment.

Pour plus d'informations, consultez la Pour déployer une stratégie de pare-feu Windows section dans le Comment créer et déployer des stratégies de pare-feu Windows pour Endpoint Protection dans Configuration Manager

John utilise les tâches de gestion disponibles pour Endpoint Protection pour gérer contre les logiciels malveillants et les stratégies de pare-feu Windows, effectuer des analyses à la demande d'ordinateurs lorsque cela est nécessaire, de forcer les ordinateurs à télécharger les dernières définitions et pour spécifier les actions supplémentaires à effectuer lorsque le logiciel malveillant est détecté.

Pour plus d'informations sur les Endpoint Protection des tâches de gestion, consultez Comment gérer des stratégies anti-programme malveillant et des paramètres de pare-feu pour Endpoint Protection dans Configuration Manager.

John utilise les méthodes suivantes pour surveiller l'état de Endpoint Protection et les actions qui sont effectuées par Endpoint Protection:

  • À l'aide de la état de System Center 2012 Endpoint Protection nœud dans le analyse espace de travail.

  • À l'aide de la Endpoint Protection nœud dans le biens et conformité espace de travail.

  • À l'aide intégrée Configuration Manager rapports.

Pour plus d'informations sur le état de System Center 2012 Endpoint Protection nœud, consultez la Comment surveiller Endpoint Protection à l'aide du nœud État System Center 2012 Endpoint Protection section dans le Comment surveiller Endpoint Protection dans Configuration Manager rubrique.

Pour plus d'informations sur la surveillance Endpoint Protection dans les ressources et l'espace de travail de compatibilité, consultez la Comment surveiller Endpoint Protection dans l'espace de travail Biens et conformité section dans le Comment surveiller Endpoint Protection dans Configuration Manager rubrique.

Pour plus d'informations sur la surveillance Endpoint Protection à l'aide de rapports, consultez la Comment surveiller Endpoint Protection à l'aide de rapports section dans le Comment surveiller Endpoint Protection dans Configuration Manager rubrique.

John signale une implémentation réussie de Endpoint Protection à son responsable et confirme que les ordinateurs Woodgrove Bank sont maintenant protégés contre contre les logiciels malveillants, selon les besoins de l'entreprise qui il a été donné.