Kártevőirtó-házirendek létrehozása és üzembe helyezése az Endpoint Protection szolgáltatásban a Configuration Manager

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

Kártevőirtó-házirendeket telepíthet Configuration Manager ügyfélszámítógépek gyűjteményeire, így meghatározhatja, hogyan védi őket az Endpoint Protection a kártevőkkel és más fenyegetésekkel szemben. Ezek a házirendek a vizsgálat ütemezésével, a vizsgálandó fájlok és mappák típusaival, valamint a kártevők észlelésekor végrehajtandó műveletekkel kapcsolatos információkat tartalmaznak. Az Endpoint Protection engedélyezésekor a rendszer egy alapértelmezett kártevőirtó-házirendet alkalmaz az ügyfélszámítógépekre. A megadott szabályzatsablonok egyikét is használhatja, vagy létrehozhat egy egyéni szabályzatot a környezet adott igényeinek megfelelően.

Configuration Manager előre definiált sablonokat biztosít. Ezek különböző forgatókönyvekhez vannak optimalizálva, és importálhatók Configuration Manager. Ezek a sablonok a ConfigMgr Install Folder>\AdminConsole\XMLStorage\EPTemplates mappában< érhetők el.

Fontos

Ha létrehoz egy új kártevőirtó-házirendet, és egy gyűjteményben helyezi üzembe, ez a kártevőirtó-házirend felülbírálja az alapértelmezett kártevőirtó-házirendet.

A jelen témakörben ismertetett eljárásokkal kártevőirtó-házirendeket hozhat létre vagy importálhat, és hozzárendelheti őket Configuration Manager ügyfélszámítógépekhez a hierarchiában.

Megjegyzés:

Mielőtt végrehajtaná ezeket az eljárásokat, győződjön meg arról, hogy a Configuration Manager az Endpoint Protection konfigurálását ismertető szakaszban leírtak szerint van konfigurálva az Endpoint Protection szolgáltatáshoz.

Az alapértelmezett kártevőirtó-házirend módosítása

  1. A Configuration Manager konzolon kattintson az Eszközök és megfelelőség elemre.

  2. Az Eszközök és megfelelőség munkaterületen bontsa ki az Endpoint Protection elemet, majd kattintson a Kártevőirtó-házirendek elemre.

  3. Válassza ki a kártevőirtó alapértelmezett kártevőirtó-házirendet, majd a KezdőlapTulajdonságok csoportjában kattintson a Tulajdonságok elemre.

  4. Az Alapértelmezett kártevőirtó-házirend párbeszédpanelen konfigurálja a kártevőirtó-házirendhez szükséges beállításokat, majd kattintson az OK gombra.

    Megjegyzés:

    A konfigurálható beállítások listáját a jelen témakör Kártevőirtó-házirend-beállítások listája című szakaszában találja.

Új kártevőirtó-házirend létrehozása

  1. A Configuration Manager konzolon kattintson az Eszközök és megfelelőség elemre.

  2. Az Eszközök és megfelelőség munkaterületen bontsa ki az Endpoint Protection elemet, majd kattintson a Kártevőirtó-házirendek elemre.

  3. A KezdőlapLétrehozás csoportjában kattintson a Kártevőirtó-házirend létrehozása elemre.

  4. A Kártevőirtó-házirend létrehozása párbeszédpanel Általános szakaszában adja meg a szabályzat nevét és leírását.

  5. A Kártevőirtó-házirend létrehozása párbeszédpanelen konfigurálja a kártevőirtó-házirendhez szükséges beállításokat, majd kattintson az OK gombra. A konfigurálható beállítások listáját a Kártevőirtó-házirend beállításainak listája című témakörben találja.

  6. Ellenőrizze, hogy az új kártevőirtó-házirend megjelenik-e a Kártevőirtó-házirendek listában.

Kártevőirtó-házirend importálása

  1. A Configuration Manager konzolon kattintson az Eszközök és megfelelőség elemre.

  2. Az Eszközök és megfelelőség munkaterületen bontsa ki az Endpoint Protection elemet, majd kattintson a Kártevőirtó-házirendek elemre.

  3. A KezdőlapLétrehozás csoportjában kattintson az Importálás gombra.

  4. A Megnyitás párbeszédpanelen tallózással keresse meg az importálni kívánt házirendfájlt, majd kattintson a Megnyitás gombra.

  5. A Kártevőirtó-házirend létrehozása párbeszédpanelen tekintse át a használni kívánt beállításokat, majd kattintson az OK gombra.

  6. Ellenőrizze, hogy az új kártevőirtó-házirend megjelenik-e a Kártevőirtó-házirendek listában.

Kártevőirtó-házirend központi telepítése ügyfélszámítógépeken

  1. A Configuration Manager konzolon kattintson az Eszközök és megfelelőség elemre.

  2. Az Eszközök és megfelelőség munkaterületen bontsa ki az Endpoint Protection elemet, majd kattintson a Kártevőirtó-házirendek elemre.

  3. A Kártevőirtó-házirendek listában válassza ki az üzembe helyezni kívánt kártevőirtó-házirendet. Ezután a Kezdőlap lapÜzembe helyezés csoportjában kattintson az Üzembe helyezés gombra.

    Megjegyzés:

    A Központi telepítés beállítás nem használható az alapértelmezett ügyfél kártevőirtó-házirenddel.

  4. A Gyűjtemény kiválasztása párbeszédpanelen jelölje ki azt az eszközgyűjteményt, amelyre telepíteni szeretné a kártevőirtó-házirendet, majd kattintson az OK gombra.

Kártevőirtó-házirend-beállítások listája

Számos kártevőirtó beállítás magától értetődő. Az alábbi szakaszokban további információt talál azokról a beállításokról, amelyek konfigurálása előtt további információkat igényelhetnek.

Ütemezett vizsgálatok beállításai

Vizsgálat típusa – Az ügyfélszámítógépeken futtatandó két vizsgálati típus egyikét adhatja meg:

  • Gyorsvizsgálat – Ez a vizsgálat ellenőrzi a memórián belüli folyamatokat és mappákat, ahol általában kártevő található. A teljes vizsgálatnál kevesebb erőforrásra van szükség.

  • Teljes vizsgálat – Ez a vizsgálati típus az összes helyi fájl és mappa teljes ellenőrzését adja hozzá a gyorsvizsgálatban beolvasott elemekhez. Ez a vizsgálat több időt vesz igénybe, mint egy gyors vizsgálat, és több processzor-feldolgozási és memória-erőforrást használ az ügyfélszámítógépeken.

    A legtöbb esetben a Gyorsvizsgálattal minimalizálhatja a rendszererőforrások használatát az ügyfélszámítógépeken. Ha a kártevők eltávolítása teljes vizsgálatot igényel, az Endpoint Protection riasztást hoz létre, amely megjelenik a Configuration Manager konzolon. Az alapértelmezett érték a Gyorsvizsgálat.

Vizsgálati beállítások

E-mailek és e-mail mellékletek vizsgálata – Az Igen értékre állítva bekapcsolhatja az e-mailek vizsgálatát.

Cserélhető tárolóeszközök, például USB-meghajtók vizsgálataÁllítsa Igen értékre a cserélhető meghajtók teljes vizsgálat közbeni vizsgálatához.

Hálózati fájlok vizsgálata – Állítsa Igen értékre a hálózati fájlok vizsgálatához.

Leképezett hálózati meghajtók vizsgálata teljes vizsgálat futtatásakorÁllítsa Igen értékre az ügyfélszámítógépek leképezett hálózati meghajtóinak vizsgálatához. A beállítás engedélyezése jelentősen megnövelheti a vizsgálati időt az ügyfélszámítógépeken.

  • A Hálózati fájlok vizsgálata beállítást Igen értékre kell állítani ahhoz, hogy ez a beállítás konfigurálható legyen.

  • Ez a beállítás alapértelmezés szerint Nem értékre van állítva, ami azt jelenti, hogy a teljes vizsgálat nem fér hozzá a leképezett hálózati meghajtókhoz.

Archivált fájlok vizsgálataAz Igen értékre állítva beolvashatja az archivált fájlokat, például .zip vagy .rar fájlokat.

A processzorhasználat konfigurálásának engedélyezése a felhasználók számára a vizsgálatok soránÁllítsa igen értékre, hogy a felhasználók megadják a processzorhasználat maximális százalékos arányát a vizsgálat során. A vizsgálatok nem mindig használják a felhasználók által meghatározott maximális terhelést, de nem haladhatják meg azt.

Az ütemezett vizsgálatok felhasználói vezérlése – Adja meg a felhasználói vezérlés szintjét. Engedélyezheti a felhasználóknak, hogy csak a vizsgálati időt vagy a víruskeresések teljes vezérlését állíthassák be az eszközeiken.

Alapértelmezett műveletek beállításai

Válassza ki azt a műveletet, amelyet akkor kell elvégezni, ha kártevőt észlel az ügyfélszámítógépeken. A következő műveletek alkalmazhatók az észlelt kártevők riasztási fenyegetési szintjétől függően.

  • Ajánlott – Használja a kártevő-definíciós fájlban javasolt műveletet.

  • Karantén – Karanténba helyezi a kártevőt, de nem távolítja el.

  • Eltávolítás – Távolítsa el a kártevőt a számítógépről.

  • Engedélyezés – Ne távolítsa el vagy ne karanténba helyezze a kártevőt.

Valós idejű védelmi beállítások

Név beállítása Leírás
Valós idejű védelem engedélyezése Állítsa igen értékre az ügyfélszámítógépek valós idejű védelmi beállításainak konfigurálásához. Javasoljuk, hogy engedélyezze ezt a beállítást.
Fájl- és programtevékenység figyelése a számítógépen Állítsa Az Igen értékre, ha azt szeretné, hogy az Endpoint Protection figyelje, hogy a fájlok és programok mikor indulnak el az ügyfélszámítógépeken, és riasztást küld az általuk végrehajtott műveletekről vagy a rajtuk végrehajtott műveletekről.
Rendszerfájlok vizsgálata Ez a beállítás lehetővé teszi annak konfigurálását, hogy a bejövő, kimenő vagy bejövő és kimenő rendszerfájlok figyelve legyenek-e a kártevők ellen. Teljesítménybeli okokból előfordulhat, hogy módosítania kell a Bejövő és kimenő fájlok vizsgálata alapértelmezett értékét, ha egy kiszolgálón magas a bejövő vagy kimenő fájltevékenység.
Viselkedésfigyelés engedélyezése Ha engedélyezi ezt a beállítást, a számítógép tevékenység- és fájladatait használva észlelheti az ismeretlen fenyegetéseket. Ha ez a beállítás engedélyezve van, megnövelheti a számítógépek kártevők kereséséhez szükséges időt.
A hálózatalapú biztonsági rések elleni védelem engedélyezése Engedélyezze ezt a beállítást a számítógépek ismert hálózati biztonsági résekkel szembeni védelméhez a hálózati forgalom vizsgálatával és a gyanús tevékenységek blokkolásával.
Szkriptvizsgálat engedélyezése Csak szervizcsomag nélküli Configuration Manager esetén.

Engedélyezze ezt a beállítást, ha gyanús tevékenységek keresése céljából szeretné megvizsgálni a számítógépeken futó szkripteket.
Potenciálisan nemkívánatos alkalmazások letiltása letöltéskor és a telepítés előtt A potenciális nemkívánatos alkalmazások (PUA) a hírnéven és a kutatáson alapuló azonosításon alapuló fenyegetésbesorolás. Ezek leggyakrabban nemkívánatos alkalmazáscsomagolók vagy azok csomagolt alkalmazásai.

Microsoft Edge a potenciálisan nemkívánatos alkalmazások letiltására is biztosít beállításokat. Fedezze fel ezeket a lehetőségeket a nemkívánatos alkalmazások elleni teljes védelem érdekében.

Ez a védelmi házirend-beállítás elérhető, és alapértelmezés szerint Engedélyezve értékre van állítva. Ha engedélyezve van, ez a beállítás letiltja a PUA-t a letöltéskor és a telepítéskor. Azonban kizárhat bizonyos fájlokat vagy mappákat, hogy megfeleljenek a vállalat vagy szervezet igényeinek.

Configuration Manager 2107-es verziójától kezdve választhatja a Beállítás naplózása lehetőséget. A PUA-védelem naplózási módban való használatával anélkül észlelheti a potenciálisan nemkívánatos alkalmazásokat, hogy blokkolná őket. A PUA-védelem auditálási módban akkor hasznos, ha a vállalat szeretné felmérni, hogy milyen hatással lesz a PUA-védelem engedélyezése a környezetben. A védelem naplózási módban való engedélyezése lehetővé teszi a végpontokra gyakorolt hatás meghatározását a védelem blokk módban történő engedélyezése előtt.

Kizárási beállítások

A Configuration Manager 2012-ben és az Aktuális ágban a kizárásra javasolt mappákról, fájlokról és folyamatokról az Ajánlott víruskereső kizárások Configuration Manager 2012-ben és az aktuális fiókwebhely-kiszolgálókon, -helyrendszereken és -ügyfeleken című témakörben olvashat.

Kizárt fájlok és mappák:

Kattintson a Beállítás gombra a Fájl- és mappakizárások konfigurálása párbeszédpanel megnyitásához, és adja meg az Endpoint Protection-vizsgálatokból kizárandó fájlok és mappák nevét.

Ha ki szeretné zárni a csatlakoztatott hálózati meghajtón található fájlokat és mappákat, egyenként adja meg a hálózati meghajtó egyes mappáinak nevét. Ha például egy hálózati meghajtó F:\MyFolder néven van leképezve, és Mappa1, Mappa2 és Mappa 3 nevű almappákat tartalmaz, adja meg a következő kizárásokat:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

Az 1602-es verziótól kezdődően a kártevőirtó-házirend Kizárási beállítások szakaszában található meglévő Fájlok és mappák kizárása beállítás tovább lett fejlesztve az eszközkizárások engedélyezéséhez. Most például a következőket adhatja meg kizárásként: \device\mvfs (multiversion fájlrendszer esetén). A szabályzat nem ellenőrzi az eszköz elérési útját; Az Endpoint Protection-szabályzatot az ügyfél kártevőirtó motorja biztosítja, amelynek képesnek kell lennie az eszköz sztringjének értelmezésére.

Kizárt fájltípusok:

A Set (Beállítás ) gombra kattintva nyissa meg a Configure File Type Exclusions (Fájltípus-kizárások konfigurálása ) párbeszédpanelt, és adja meg az Endpoint Protection-vizsgálatokból kizárandó fájlkiterjesztéseket. Helyettesítő karaktereket is használhat a kizárási lista elemeinek definiálásakor. További információ: Helyettesítő karakterek használata a fájlnévben és a mappa elérési útjában vagy a bővítménykizárási listákban.

Kizárt folyamatok:

A Beállítás gombra kattintva nyissa meg a Folyamatkizárások konfigurálása párbeszédpanelt, és adja meg az Endpoint Protection-vizsgálatokból kizárandó folyamatokat. Helyettesítő karaktereket is használhat a kizárási lista elemeinek definiálásakor, azonban van néhány korlátozás. További információ: Helyettesítő karakterek használata a folyamatkizárási listában

Speciális beállítások

Újraelemzési pontok vizsgálatának engedélyezése – Állítsa Igen értékre, ha azt szeretné, hogy az Endpoint Protection megvizsgálja az NTFS újraelemzési pontokat.

További információ az újraelemzési pontokról: Pontok újraelemzése a Windows fejlesztői központban.

Az ütemezett vizsgálat kezdési időpontjainak véletlenszerűsítése (30 percen belül)Állítsa Igen értékre, hogy elkerülje a hálózat elárasztását, ami akkor fordulhat elő, ha minden számítógép egyszerre küldi el a kártevőirtó vizsgálat eredményeit a Configuration Manager adatbázisba. A Windows Defender víruskereső esetében ez véletlenszerűen véletlenszerűen 0 és 4 óra közötti időközre, fep és SCEP esetén pedig bármely plusz vagy mínusz 30 perces időközre véletlenszerűen állítja be a vizsgálatot. Ez hasznos lehet virtuális gépek vagy VDI üzemelő példányok esetében. Ez a beállítás akkor is hasznos, ha több virtuális gépet futtat egyetlen gazdagépen. Ezzel a beállítással csökkentheti a kártevőirtó-vizsgálat egyidejű lemezhozzáférésének mennyiségét.

A Configuration Manager 1602-es verziójától kezdődően a kártevőirtó motor kérheti a fájlminták Microsoft való elküldését további elemzés céljából. Alapértelmezés szerint a rendszer mindig megkérdezi, hogy küld-e ilyen mintákat. A rendszergazdák mostantól a következő beállításokat kezelhetik a viselkedés konfigurálásához:

Engedélyezze az automatikus mintafájlküldést, hogy Microsoft megállapíthassa, hogy egyes észlelt elemek kártékonyak-eAz automatikus mintafájlküldés engedélyezéséhez állítsa igen értékre. Alapértelmezés szerint ez a beállítás Nem , ami azt jelenti, hogy az automatikus mintafájlküldés le van tiltva, és a felhasználókat a rendszer kéri a minták elküldése előtt.

Az automatikus mintafájlküldési beállítások módosításának engedélyezése a felhasználóknak – Ez határozza meg, hogy az eszközön helyi rendszergazdai jogosultságokkal rendelkező felhasználók módosíthatják-e az automatikus mintafájlküldés beállításait az ügyféloldali felületen. Alapértelmezés szerint ez a beállítás "Nem", ami azt jelenti, hogy csak a Configuration Manager konzolról módosítható, és az eszköz helyi rendszergazdái nem módosíthatják ezt a konfigurációt.
Az alábbiakban például látható, hogy a rendszergazda ezt a beállítást engedélyezettként állította be, és szürkével jelenik meg, hogy megakadályozza a felhasználó által végrehajtott módosításokat.

Windows Defender – Automatikus mintabeküldések

Fenyegetés felülbírálási beállításai

Fenyegetés neve és felülbírálási művelet – A Beállítás gombra kattintva testre szabhatja az egyes fenyegetésazonosítókhoz végrehajtandó szervizelési műveletet, amikor a rendszer észleli azt a vizsgálat során.

Megjegyzés:

Előfordulhat, hogy a fenyegetésnevek listája nem érhető el közvetlenül az Endpoint Protection konfigurálása után. Várja meg, amíg az Endpoint Protection-pont szinkronizálja a fenyegetési információkat, majd próbálkozzon újra.

Felhővédelmi szolgáltatás

A Cloud Protection Szolgáltatás lehetővé teszi a felügyelt rendszereken észlelt kártevőkkel és a végrehajtott műveletekkel kapcsolatos információk gyűjtését. Ezt az információt a rendszer elküldi Microsoft.

Felhővédelmi szolgáltatás tagsága

  • Ne csatlakozzon a Cloud Protection Szolgáltatáshoz – A rendszer nem küld adatokat
  • Alapszintű – Az észlelt kártevők listájának összegyűjtése és elküldése
  • Speciális – Alapszintű információk, valamint átfogóbb információk, amelyek személyes adatokat tartalmazhatnak. Ilyenek például a fájlelérési utak és a részleges memóriaképek.

A Cloud Protection Service beállításainak módosítása a felhasználók számára – A Cloud Protection Service beállításainak felhasználói vezérlésének váltása.

Gyanús fájlok blokkolásának szintje – Itt adhatja meg, hogy az Endpoint Protection Felhővédelmi szolgáltatás milyen szinten blokkolja a gyanús fájlokat.

  • Normál – Az alapértelmezett Windows Defender blokkolási szint
  • Magas – Agresszíven blokkolja az ismeretlen fájlokat, miközben optimalizálja a teljesítményt (nagyobb eséllyel blokkolja a nem káros fájlokat)
  • Magas, extra védelemmel – Agresszíven blokkolja az ismeretlen fájlokat, és további védelmi intézkedéseket alkalmaz (hatással lehet az ügyféleszköz teljesítményére)
  • Ismeretlen programok letiltása – Az összes ismeretlen program blokkolása

A kiterjesztett felhőbeli ellenőrzés letiltása és akár (másodpercek) keresése – Megadja, hogy a Cloud Protection Service hány másodpercig blokkolhat egy fájlt, miközben a szolgáltatás ellenőrzi, hogy a fájl nem rosszindulatú-e.

Megjegyzés:

A beállításhoz megadott másodpercek száma az alapértelmezett 10 másodperces időtúllépés mellett van. Ha például 0 másodpercet ad meg, a Cloud Protection Service 10 másodpercre blokkolja a fájlt.

A Cloud Protection Service jelentéskészítési adatai

Frekvencia Összegyűjtött vagy elküldött adatok Adatok felhasználása
Amikor Windows Defender frissíti a vírus- és kémprogram-védelmi vagy definíciós fájlokat - Vírus- és kémprogram-definíciók
verziója – Vírus- és kémprogram-védelmi verzió		 Microsoft ezeket az információkat arra használja, hogy biztosítsa a legújabb vírus- és kémprogram-frissítéseket a számítógépeken. Ha nincs jelen, Windows Defender automatikusan frissül, hogy a számítógép védelme naprakész maradjon.
Ha Windows Defender potenciálisan káros vagy nemkívánatos szoftvereket talál a számítógépeken - A potenciálisan káros vagy nemkívánatos szoftverek
neve – A szoftver megkeresésének
menete – A szoftverrel Windows Defender műveletek – A szoftver

által érintett fájlok – A gyártó számítógépére vonatkozó információk (Sysconfig, SysModel, SysMarker)		 Windows Defender ezen információk alapján határozza meg a potenciálisan nemkívánatos szoftverek típusát és súlyosságát, valamint a legjobb műveletet. Microsoft ezeket az információkat a vírus- és kémprogram-védelem pontosságának javítására is felhasználja.
Havonta egyszer - Vírus- és kémprogram-definíció frissítési állapota
– A valós idejű vírus- és kémprogram-figyelés állapota (be- vagy kikapcsolt állapot)		 Windows Defender ezeket az információkat annak ellenőrzésére használja, hogy a számítógépek a legújabb vírus- és kémprogramvédelmi verzióval és definíciókkal rendelkeznek-e. Microsoft azt is meg szeretné győződni, hogy a vírusok és kémprogramok valós idejű monitorozása be van kapcsolva. Ez kritikus fontosságú része annak, hogy megvédje a számítógépeket a potenciálisan káros vagy nemkívánatos szoftverektől.
A telepítés során, vagy amikor a felhasználók manuálisan végzik el a számítógép vírus- és kémprogram-vizsgálatát A számítógép memóriájában futó folyamatok listája Az esetlegesen káros szoftverek által esetlegesen feltört folyamatok azonosítása.

Microsoft csak az érintett fájlok nevét gyűjti össze, maguknak a fájloknak a tartalmát nem. Ezek az információk segítenek meghatározni, hogy mely rendszerek vannak különösen sebezhetőek az adott fenyegetésekkel szemben.

Definíciós Frissítések beállításai

Források és sorrend beállítása az Endpoint Protection-ügyfélfrissítésekhez – Kattintson a Forrás beállítása elemre a definíció és a motorfrissítések forrásának megadásához. A források felhasználási sorrendjét is megadhatja. Ha Configuration Manager van megadva az egyik forrásként, akkor a többi forrást csak akkor használja a rendszer, ha a szoftverfrissítések nem töltik le az ügyfélfrissítéseket.

Ha az alábbi módszerek bármelyikével frissíti a definíciókat az ügyfélszámítógépeken, akkor az ügyfélszámítógépnek képesnek kell lennie az internet elérésére.

  • Frissítések Microsoft Update-ből terjesztve

  • Microsoft kártevőkezelési központ-ból elosztott Frissítések

Fontos

Az ügyfelek a beépített rendszerfiók használatával töltik le a definíciófrissítéseket. Konfigurálnia kell egy proxykiszolgálót ehhez a fiókhoz, hogy ezek az ügyfelek csatlakozhassanak az internethez.

Ha úgy konfigurálta a szoftverfrissítések automatikus központi telepítési szabályát, hogy a definíciófrissítéseket az ügyfélszámítógépeknek továbbadja, ezek a frissítések a definíciófrissítési beállításoktól függetlenül lesznek kézbesítve.

Következő lépés >

Vissza >