• [アーティクル]

Configuration Manager の Endpoint Protection の概要

 

適用対象: System Center 2012 R2 Endpoint Protection,System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 Endpoint Protection SP1,System Center 2012 Endpoint Protection,System Center 2012 R2 Configuration Manager SP1

Endpoint Protection System Center 2012 Configuration Manager マルウェア対策ポリシーとのクライアント コンピューターの Windows ファイアウォールのセキュリティを管理すると、 Configuration Manager 階層です。

System_CAPS_important重要

Configuration Manager 階層内のクライアントの管理に Endpoint Protection を使用するにはライセンスが必要です。

Endpoint Protection を使用すると Configuration Manager, 、次のような利点があります。

  • カスタムなマルウェア対策ポリシーとクライアント設定を使用して、特定のコンピューター グループのマルウェア対策ポリシーと Windows ファイアウォール設定を構成できます。

  • クライアント コンピューターを最新の状態に維持するには、Configuration Manager ソフトウェア更新プログラムを使用して、最新のマルウェア対策の定義ファイルをダウンロードします。

  • クライアント コンピューターでマルウェアが検出された場合は、電子メールによる通知送信、コンソール内の監視機能の使用、およびレポートの表示を行うことで管理ユーザーに通知することができます。

Endpoint Protection は、Configuration Manager クライアントの他に、固有のクライアントをインストールします。Endpoint Protection クライアントには、次の機能があります。

  • マルウェアとスパイウェアの検出と修復。

  • ルートキットの検出と修復。

  • 重大な脆弱性の評価、および定義とエンジンの自動更新。

  • ネットワーク経由でネットワーク検査システムの脆弱性の検出。

  • Microsoft Active Protection Services との統合によりマルウェアを Microsoft に報告。このサービスに加入すると、コンピューターで不明なマルウェアが検出された場合に、Endpoint Protection クライアントがマルウェア プロテクション センターから最新の定義をダウンロードできます。

[!メモ]

Endpoint Protection サポートされるオペレーティング システムをゲスト マシンと HYPER-V を実行しているサーバーには、クライアントをインストールすることができます。過剰な CPU 使用率を防ぐために Endpoint Protection アクションは、これらは発生しないように、同時に、サーバーによってホストされているすべてのゲスト マシン上に組み込みのランダム待機時間があります。

さらに、 Endpoint Protection で Configuration Manager で Windows ファイアウォールの設定を管理することができます、 Configuration Manager コンソールです。

構成および管理する方法を示す例については Endpoint Protection と Windows ファイアウォールを参照してください 構成マネージャーでのエンドポイントの保護を構成することによってマルウェアからコンピューターを保護するためのシナリオの例です。

Endpoint Protection によるマルウェアの管理

Endpoint Protection Configuration Manager の Endpoint Protection クライアントの構成設定が含まれているマルウェア対策ポリシーを作成することができます。クライアント コンピューターにこれらのマルウェア対策ポリシーを展開し、監視する、 System Center 2012 Endpoint Protection 状態 内のノード、 監視 ] ワークスペースで、またはを使用して Configuration Manager レポートします。構成可能な設定の一覧は、「マルウェア対策ポリシーの一覧」を参照してください。

作成、展開、およびマルウェア対策ポリシーを監視する方法の詳細については、次を参照してください。 Configuration Manager で Endpoint Protection 用にマルウェア対策ポリシーを作成し展開する方法Configuration Manager の Endpoint Protection の監視方法です。

クライアント コンピューターで使用されているマルウェアを修復する方法については、次を参照してください。 Configuration Manager での Endpoint Protection のためのマルウェア対策ポリシーとファイアウォール設定の管理方法です。

Endpoint Protection による Windows ファイアウォールの管理

Configuration Manager の Endpoint Protection には、クライアント コンピューター上の Windows ファイアウォールの基本管理機能が備わっています。各ネットワーク プロファイルごとに、次の設定を構成できます。

  • Windows ファイアウォールを有効または無効にする。

  • 許可されたプログラムの一覧にあるプログラムも含め、着信接続をブロックする。

  • Windows ファイアウォールが新しいプログラムをブロックしたときにユーザーに通知する。

[!メモ]

Endpoint Protection は Windows ファイアウォールの管理のみをサポートします。

Endpoint Protection の Windows ファイアウォール ポリシーの作成方法と展開方法の詳細については、「Configuration Manager の Endpoint Protection 用 Windows ファイアウォール ポリシーを作成および展開する方法」を参照してください。

Endpoint Protection のワークフロー

実装するワークフローを理解するための次の図を使用して Endpoint Protection で、 Configuration Manager 階層です。

エンドポイント保護プロセスのフロー

Mac コンピューターおよび Linux サーバーの endpoint Protection クライアント

System Center 2012 には、Linux、Mac コンピューターの Endpoint Protection クライアントが含まれています。これらのクライアントが付属していない Configuration Manager。 代わりに、から次の製品をダウンロードする必要があります、 Microsoft ボリューム ライセンス サービス センターです。

  • Mac 用の system Center 2012 Endpoint Protection

  • Linux 用の system Center 2012 Endpoint Protection

System_CAPS_important重要

Mac および Linux 用の Endpoint Protection のインストール ファイルをダウンロードする Microsoft ボリューム ライセンスのお客様をする必要があります。

これらの製品は、Configuration Manager コンソールから管理することはできません。ただし、System Center Operations Manager 管理パックで指定されたインストール ファイルでは、Operations Manager を使用して、Linux 用のクライアントを管理できます。

インストール、Mac および Linux コンピューターの Endpoint Protection クライアントの管理は、これらの製品に付属するマニュアルを使用する方法の詳細についてにある、 ドキュメント フォルダーです。

Configuration Manager 2012 での新機能

[!メモ]

このセクションの情報は、次の場所にも表示されます: 「System Center 2012 Configuration Manager の概要」ガイド

System Center 2012 Endpoint Protection が System Center 2012 Configuration Manager に統合されました。Forefront Endpoint Protection 2010 以後、次のような変更が加えられています。

  • Endpoint Protection が完全に統合されていますので Configuration Manager, 、Endpoint Protection サーバーをインストールする別のセットアップ プログラムを実行する必要はありません。代わりに、Endpoint Protection ポイントを、Configuration Manager のサイト システムの役割の 1 つとして選択します。

  • 使用して、Endpoint Protection クライアントをインストールする Configuration Manager 、クライアントの設定にするか、既存の Endpoint Protection クライアントを管理できます。Endpoint Protection クライアントをインストールするために、パッケージやプログラムは使用しません。

  • Endpoint Protection マネージャー 役割に基づいた管理セキュリティ ロールは、階層で Endpoint Protection を管理するために必要な最小のアクセス許可を持つ管理ユーザーを提供します。

  • Endpoint Protection Configuration Manager と連携する新しいレポートを提供する Configuration Manager を報告します。たとえば、セキュリティの問題を最も頻繁に報告しているコンピューターのユーザーを識別できます。

  • Configuration Manager のソフトウェアの更新機能を使って、自動展開規則に従ってマルウェア定義と定義エンジンを自動的に更新することができます。

  • Endpoint Protection がコンピューターでマルウェアを検出したとき生成される各種アラートを構成することができます。また、これらのアラートが電子メールで送信されるように設定することもできます。

  • Endpoint Protection ダッシュボードは、Configuration Manager コンソールに統合されています。ダッシュボードを個別にインストールする必要はありません。Endpoint Protection ダッシュ ボードを表示する] をクリックして、 System Center 2012 Endpoint Protection の状態 内のノード、 監視 ワークスペース。

Configuration Manager 2012 SP1 の新機能

[!メモ]

このセクションの情報は、次の場所にも表示されます: 「System Center 2012 Configuration Manager の概要」ガイド

Configuration Manager SP1 では、Endpoint Protection の項目が次のように新しく追加または変更されています。

  • 書き込みフィルターが有効にされた Windows Embedded デバイスの Endpoint Protection クライアントのインストールをコミットする、Endpoint Protection クライアント設定を有効にできるようになりました。このクライアント設定の詳細については、「Endpoint Protection」の「Configuration Manager のクライアント設定について」セクションを参照してください。

    さらに、これらの更新プログラムは、再起動しなくても、すぐにインストールされるようにするは、ソフトウェアの更新で展開されている定義更新ファイルを Windows Embedded デバイスの場合は、上のオーバーレイに書き込むを構成できます。詳細については、「書き込みフィルターを使用する Windows Embedded デバイスのサポート」トピックの「Configuration Manager のソフトウェア更新プログラムの概要」セクションを参照してください。

  • Endpoint Protection クライアントを、構成されたメンテナンス期間中のみインストールするように構成できるようになりました。メンテナンス ウィンドウは、インストールを実行を許可するには、時間、少なくとも 30 分をする必要があります。

  • Endpoint ProtectionConfiguration Manager クライアント通知を使用して、通常のクライアント ポリシー ポーリング間隔中の代わりに、できるだけ早く、次の操作を開始します。

    • マルウェア対策定義更新の強制実行

    • クイック スキャンの実行

    • フル スキャンの実行

    • 脅威の許可

    • フォルダーとファイルの除外

    • 検疫されたファイルの復元

  • Endpoint Protection 定義ファイルの更新の配布頻度を高くできるソフトウェア更新プログラムの機能向上

  • 同一のクライアント コンピューターに展開される複数のマルウェア対策ポリシーは、クライアント上で結合されます。2 つの設定が競合する場合、優先度の高いオプションが使用されます。個別のマルウェア対策ポリシーの除外リストなど、一部の設定も結合されます。クライアント側の結合では、各マルウェア対策ポリシーについて構成した優先度も使用されます。

  • 定義ファイルの更新」という名前のソフトウェア更新プログラムの展開テンプレートが、ソフトウェア更新プログラムの展開ウィザードと自動展開規則の作成ウィザードに含まれています。このテンプレートには、Endpoint Protection の定義ファイルのソフトウェア更新プログラムを展開するときに使用する、一般的な設定が含まれています。

Configuration Manager 2012 SP2 の新機能

Configuration Manager SP2 では、Windows の 10 に関するテクニカル プレビューの組み込みの Windows Defender のマルウェア対策エージェントの管理を追加します。必要がある配置しないで、System Center Endpoint Protection エージェントをクライアント コンピューターの Windows 10。