Antimalwarebeleid maken en implementeren voor Endpoint Protection in Configuration Manager

Van toepassing op: Configuration Manager (current branch)

U kunt antimalwarebeleid implementeren voor verzamelingen configuratiebeheerclientcomputers om op te geven hoe Endpoint Protection beschermt tegen malware en andere bedreigingen. Deze beleidsregels bevatten informatie over het scanschema, de typen bestanden en mappen die moeten worden gescand en de acties die moeten worden uitgevoerd wanneer malware wordt gedetecteerd. Wanneer u Endpoint Protection inschakelen, wordt een standaard antimalwarebeleid toegepast op clientcomputers. U kunt ook een van de opgegeven beleidssjablonen gebruiken of een aangepast beleid maken om aan de specifieke behoeften van uw omgeving te voldoen.

Configuration Manager levert een selectie van vooraf gedefinieerde sjablonen. Deze zijn geoptimaliseerd voor verschillende scenario's en kunnen worden geïmporteerd in Configuration Manager. Deze sjablonen zijn beschikbaar in de map < ConfigMgr Install Folder > \AdminConsole\XMLStorage\EPTemplates.

Belangrijk

Als u een nieuw antimalwarebeleid maakt en implementeert naar een verzameling, wordt met dit antimalwarebeleid het standaard antimalwarebeleid overgenomen.

Gebruik de procedures in dit onderwerp om antimalwarebeleid te maken of te importeren en deze toe te wijzen aan clientcomputers van Configuration Manager in uw hiërarchie.

Notitie

Voordat u deze procedures gaat uitvoeren, moet u ervoor zorgen dat Configuration Manager is geconfigureerd voor Endpoint Protection zoals beschreven in Configureren Endpoint Protection.

Het standaard antimalwarebeleid wijzigen

  1. Klik in de console Configuration Manager op Activa en naleving.

  2. Vouw in de werkruimte Activa en naleving de Endpoint Protection en klik vervolgens op Antimalwarebeleid.

  3. Selecteer het antimalwarebeleid Standaardclient antimalwarebeleid en klik vervolgens op het tabblad Start in de groep Eigenschappen op Eigenschappen.

  4. Configureer in het dialoogvenster Standaard antimalwarebeleid de instellingen die u nodig hebt voor dit antimalwarebeleid en klik op OK.

    Notitie

    Zie Lijst met antimalwarebeleid Instellingen in dit onderwerp voor een lijst met instellingen die u kunt configureren.

Een nieuw antimalwarebeleid maken

  1. Klik in de console Configuration Manager op Activa en naleving.

  2. Vouw in de werkruimte Activa en naleving de Endpoint Protection en klik vervolgens op Antimalwarebeleid.

  3. Klik op het tabblad Start in de groep Maken op Antimalwarebeleid maken.

  4. Voer in de sectie Algemeen van het dialoogvenster Antimalwarebeleid maken een naam en een beschrijving voor het beleid in.

  5. Configureer in het dialoogvenster Antimalwarebeleid maken de instellingen die u nodig hebt voor dit antimalwarebeleid en klik op OK. Zie Lijst met antimalwarebeleidsinstellingenvoor een lijst met instellingen die u kunt configureren Instellingen.

  6. Controleer of het nieuwe antimalwarebeleid wordt weergegeven in de lijst Antimalware-beleid.

Een antimalwarebeleid importeren

  1. Klik in de console Configuration Manager op Activa en naleving.

  2. Vouw in de werkruimte Activa en naleving de Endpoint Protection en klik vervolgens op Antimalwarebeleid.

  3. Klik op het tabblad Start in de groep Maken op Importeren.

  4. Blader in het dialoogvenster Openen naar het beleidsbestand dat u wilt importeren en klik vervolgens op Openen.

  5. Controleer in het dialoogvenster Antimalwarebeleid maken de instellingen die u wilt gebruiken en klik vervolgens op OK.

  6. Controleer of het nieuwe antimalwarebeleid wordt weergegeven in de lijst Antimalware-beleid.

Een antimalwarebeleid implementeren op clientcomputers

  1. Klik in de console Configuration Manager op Activa en naleving.

  2. Vouw in de werkruimte Activa en naleving de Endpoint Protection en klik vervolgens op Antimalwarebeleid.

  3. Selecteer in de lijst Antimalware-beleid het antimalwarebeleid dat u wilt implementeren. Klik vervolgens op het tabblad Start in de groep Implementatie op Implementeren.

    Notitie

    De optie Implementeren kan niet worden gebruikt met het standaardclient malwarebeleid.

  4. Selecteer in het dialoogvenster Verzameling selecteren de apparaatverzameling waarvoor u het antimalwarebeleid wilt implementeren en klik vervolgens op OK.

Lijst met antimalwarebeleid Instellingen

Veel van de antimalware-instellingen spreken voor zich. Gebruik de volgende secties voor meer informatie over de instellingen waarvoor mogelijk meer informatie nodig is voordat u deze configureert.

Geplande scans Instellingen

Scantype: u kunt een van de twee scantypen opgeven die u wilt uitvoeren op clientcomputers:

  • Snelle scan: met dit type scan worden de processen en mappen in het geheugen gecontroleerd waar malware meestal wordt gevonden. Er zijn minder resources nodig dan een volledige scan.

  • Volledige scan: met dit type scan wordt een volledige controle van alle lokale bestanden en mappen toegevoegd aan de items die in de snelle scan zijn gescand. Deze scan duurt langer dan een snelle scan en gebruikt meer CPU-verwerkings- en geheugenbronnen op clientcomputers.

    Gebruik in de meeste gevallen Quick Scan om het gebruik van systeembronnen op clientcomputers te minimaliseren. Als voor het verwijderen van malware een volledige scan Endpoint Protection, wordt er een waarschuwing gegenereerd die wordt weergegeven in de configuration manager-console. De standaardwaarde is Snel scannen.

Scan Instellingen

E-mail- en e-mailbijlagen scannen: instellen op Ja om het scannen van e-mail in te stellen.

Verwisselbare opslagapparaten scannen, zoals USB-stations: instellen op Ja om verwisselbare stations te scannen tijdens volledige scans.

Netwerkbestanden scannen: instellen op Ja om netwerkbestanden te scannen.

Gescande netwerkstations bij het uitvoeren van een volledige scan: stel in op Ja om de netwerkstations op clientcomputers te scannen. Als u deze instelling inschakelen, kan de scantijd op clientcomputers aanzienlijk worden vergroot.

  • De instelling Netwerkbestanden scannen moet zijn ingesteld op Ja om deze instelling te kunnen configureren.

  • Deze instelling is standaard ingesteld op Nee, wat betekent dat een volledige scan geen toegang heeft tot netwerkstations met kaart.

Gearchiveerde bestanden scannen: instellen op Ja om gearchiveerde bestanden te scannen, zoals .zip of .rar bestanden.

Toestaan dat gebruikers CPU-gebruik configureren tijdens scans: stel in op Ja om gebruikers toe te staan het maximale percentage cpu-gebruik op te geven tijdens een scan. Scans gebruiken niet altijd de maximale belasting die door gebruikers is gedefinieerd, maar ze kunnen deze niet overschrijden.

Gebruikersbeheer van geplande scans: geef het niveau van gebruikersbeheer op. Gebruikers toestaan alleen scantijd in te stellen of volledige controle over antivirusscans op hun apparaten in te stellen.

Standaardacties Instellingen

Selecteer de actie die u moet ondernemen wanneer malware wordt gedetecteerd op clientcomputers. De volgende acties kunnen worden toegepast, afhankelijk van het waarschuwingsniveau van de gedetecteerde malware.

  • Aanbevolen: gebruik de aanbevolen actie in het malwaredefinitiebestand.

  • Quarantaine: de malware in quarantaine plaatsen, maar deze niet verwijderen.

  • Verwijderen: verwijder de malware van de computer.

  • Toestaan: verwijder de malware niet of zet deze niet in quarantaine.

Realtime beveiliging Instellingen

Naam instellen Omschrijving
Realtime beveiliging inschakelen Stel ja in om realtime beveiligingsinstellingen voor clientcomputers te configureren. U wordt aangeraden deze instelling in te stellen.
Bestands- en programmaactiviteit op uw computer controleren Stel ja in als u wilt dat Endpoint Protection controleren wanneer bestanden en programma's worden uitgevoerd op clientcomputers en om u te waarschuwen voor acties die ze uitvoeren of acties die op hen worden uitgevoerd.
Systeembestanden scannen Met deze instelling kunt u configureren of inkomende, uitgaande of binnenkomende en uitgaande systeembestanden worden gecontroleerd op malware. Om prestatieredenen moet u mogelijk de standaardwaarde van Binnenkomende en uitgaande bestanden scannen wijzigen als een server een hoge activiteit voor inkomende of uitgaande bestanden heeft.
Gedragscontrole inschakelen Schakel deze instelling in om computeractiviteit en bestandsgegevens te gebruiken om onbekende bedreigingen te detecteren. Wanneer deze instelling is ingeschakeld, kan de tijd die nodig is om computers te scannen op malware, worden vergroot.
Beveiliging tegen netwerkgebaseerde exploits inschakelen Schakel deze instelling in om computers te beschermen tegen bekende netwerkuitbuizen door netwerkverkeer te controleren en verdachte activiteiten te blokkeren.
Script scannen inschakelen Voor Configuration Manager zonder servicepack alleen.

Schakel deze instelling in als u scripts wilt scannen die op computers worden uitgevoerd op verdachte activiteiten.
Mogelijk ongewenste toepassingen blokkeren bij downloaden en vóór de installatie Potentiële ongewenste toepassingen (PUA) is een bedreigingsclassificatie op basis van reputatie en op onderzoek gebaseerde identificatie. Meestal zijn dit ongewenste toepassingsbundels of hun gebundelde toepassingen.

Microsoft Edge biedt ook instellingen om mogelijk ongewenste toepassingen te blokkeren. Bekijk deze opties voor volledige bescherming tegen ongewenste toepassingen.

Deze beveiligingsbeleidsinstelling is standaard beschikbaar en ingesteld op Ingeschakeld. Wanneer dit is ingeschakeld, blokkeert deze instelling PUA bij het downloaden en installeren van tijd. U kunt echter specifieke bestanden of mappen uitsluiten om te voldoen aan de specifieke behoeften van uw bedrijf of organisatie.

Vanaf Configuration Manager versie 2107 kunt u deze instelling controleren. Gebruik PUA-beveiliging in de auditmodus om mogelijk ongewenste toepassingen te detecteren zonder ze te blokkeren. PUA-beveiliging in de auditmodus is handig als uw bedrijf de impact wilt meten die het inschakelen van PUA-beveiligingen in uw omgeving heeft. Als u beveiliging in de auditmodus inschakelen, kunt u de impact op uw eindpunten bepalen voordat u de beveiliging in de blokmodus inschakelen.

Uitsluiting Instellingen

Zie Aanbevolen antivirusuitsluitingen voor Configuration Manager 2012 en huidige branch voor informatie over mappen, bestanden en processen die worden aanbevolen voor uitsluiting in Configuration Manager 2012 en huidige branchsiteservers, sitesystemen en clients.

Uitgesloten bestanden en mappen:

Klik op Instellen om het dialoogvenster Bestands- en mapuitsluitingen configureren te openen en geef de namen op van de bestanden en mappen die u wilt uitsluiten van Endpoint Protection scans.

Als u bestanden en mappen wilt uitsluiten die zich op een netwerkstation bevinden, geeft u de naam op van elke map in het netwerkstation afzonderlijk. Als een netwerkstation bijvoorbeeld is aangewezen als F:\MyFolder en submappen met de naam Map1, Map2 en Map 3 bevat, geeft u de volgende uitsluitingen op:

  • F:\MyFolder\Map1

  • F:\MyFolder\Map2

  • F:\MyFolder\Map3

Vanaf versie 1602 is de bestaande instelling Bestanden en mappen uitsluiten in de sectie Uitsluitingsinstellingen van een antimalwarebeleid verbeterd om apparaatuitsluitingen toe te staan. U kunt bijvoorbeeld nu het volgende opgeven als een uitsluiting: \device\mvfs (voor Multiversion File System). Het apparaatpad wordt niet gevalideerd door het beleid. het Endpoint Protection beleid wordt verstrekt aan de antimalware-engine op de client die de apparaatreeks moet kunnen interpreteren.

Uitgesloten bestandstypen:

Klik op Instellen om het dialoogvenster Bestandstypeuitsluitingen configureren te openen en geef de bestandsextensies op die u wilt uitsluiten van Endpoint Protection scans. U kunt jokertekens gebruiken bij het definiëren van items in de uitsluitingslijst. Zie Jokertekens gebruiken in het bestandsnaam- en mappad of uitsluitingslijsten voor extensiesvoor meer informatie.

Uitgesloten processen:

Klik op Instellen om het dialoogvenster Procesuitsluitingen configureren te openen en geef de processen op die u wilt uitsluiten van Endpoint Protection scans. U kunt jokertekens gebruiken bij het definiëren van items in de uitsluitingslijst, maar er zijn enkele beperkingen. Zie Jokertekens gebruiken in de lijst met procesuitsluitingen voor meer informatie.

Geavanceerde Instellingen

Reparse point scanning inschakelen: Stel in op Ja als u Endpoint Protection NTFS-reparse-punten wilt scannen.

Zie Punten in de Windows Ontwikkelaarscentrum voor meer informatie over het reparseren van punten.

Randomize the scheduled scan start times (within 30 minutes) - Set to Yes to help avoid overspoelen the network, which can occur if all computers send their antimalware scans results to the Configuration Manager database at the same time. Voor Windows Defender Antivirus hiermee wordt de begintijd van de scan gerandomiseerde naar een interval van 0 tot 4 uur, of voor FEP en SCEP, naar een interval plus of min 30 minuten. Dit kan handig zijn in VM- of VDI-implementaties. Deze instelling is ook handig wanneer u meerdere virtuele machines op één host gebruikt. Selecteer deze optie om de hoeveelheid gelijktijdige schijftoegang voor het scannen van antimalware te verminderen.

Vanaf versie 1602 van Configuration Manager kan de antimalware-engine om bestandsvoorbeelden vragen om naar Microsoft te worden verzonden voor verdere analyse. Standaard wordt er altijd gevraagd om dergelijke voorbeelden te sturen. Beheerders kunnen nu de volgende instellingen beheren om dit gedrag te configureren:

Automatische voorbeeldbestandsinzending inschakelen om Microsoft te helpen bepalen of bepaalde gedetecteerde items schadelijk zijn- Instellen op Ja om automatische voorbeeldbestandsverzending in te stellen. Deze instelling is standaard Nee, wat betekent dat automatische voorbeeldbestandsinzending is uitgeschakeld en gebruikers worden gevraagd voordat ze voorbeelden verzenden.

Gebruikers toestaan om instellingen voor automatische voorbeeldbestandsverzending te wijzigen: hiermee wordt bepaald of een gebruiker met lokale beheerdersrechten op een apparaat de instelling voor het automatisch indienen van voorbeeldbestand in de clientinterface kan wijzigen. Deze instelling is standaard 'Nee', wat betekent dat deze alleen kan worden gewijzigd vanuit de configuration manager-console en dat lokale beheerders op een apparaat deze configuratie niet kunnen wijzigen.
In het volgende ziet u bijvoorbeeld deze instelling die door de beheerder is ingesteld als ingeschakeld en grijs wordt gemaakt om wijzigingen door de gebruiker te voorkomen.

Windows Defender - Automatische voorbeeldinzendingen

Bedreiging overschrijven Instellingen

Bedreigingsnaam en actie overschrijven: klik op Instellen om de herstelactie aan te passen die moet worden uitgevoerd voor elke bedreigings-id wanneer deze tijdens een scan wordt gedetecteerd.

Notitie

De lijst met bedreigingsnamen is mogelijk niet direct na de configuratie van Endpoint Protection. Wacht totdat het Endpoint Protection de bedreigingsgegevens heeft gesynchroniseerd en probeer het opnieuw.

Cloudbeveiligingsservice

Cloud Protection Service maakt het verzamelen van informatie over gedetecteerde malware op beheerde systemen en de acties die worden ondernomen, mogelijk. Deze gegevens worden naar Microsoft verzonden.

Cloud Protection Service-lidmaatschap

  • Neem geen deel aan cloudbeveiligingsservice: er worden geen gegevens verzonden
  • Basic - Lijsten met gedetecteerde malware verzamelen en verzenden
  • Geavanceerd: basisgegevens en uitgebreidere informatie die persoonlijke gegevens kunnen bevatten. Bijvoorbeeld: bestandspaden en gedeeltelijke geheugendumps.

Gebruikers toestaan de instellingen van cloudbeveiligingsservice te wijzigen: u kunt de gebruikerscontrole van cloudbeveiligingsserviceinstellingen in- of uitschakelen.

Niveau voor het blokkeren van verdachte bestanden: geef het niveau op waarop de Endpoint Protection Cloud Protection Service verdachte bestanden blokkeert.

  • Normaal : het standaard Windows Defender blokkeringsniveau
  • Hoog- Blokkeer op agressieve manier onbekende bestanden terwijl u optimaliseert voor prestaties (grotere kans op het blokkeren van niet-schadelijke bestanden)
  • Hoog met extra beveiliging: blokkeert op agressieve manier onbekende bestanden en past extra beveiligingsmaatregelen toe (mogelijk van invloed op de prestaties van clientapparaat)
  • Onbekende programma's blokkeren : blokkeert alle onbekende programma's

Toestaan dat uitgebreide cloudcontrole tot (seconden) wordt geblokkeerd en gescand: hiermee geeft u het aantal seconden op dat cloudbeveiligingsservice een bestand kan blokkeren terwijl de service controleert of het bestand niet schadelijk is.

Notitie

Het aantal seconden dat u voor deze instelling selecteert, is naast een standaard time-out van 10 seconden. Als u bijvoorbeeld 0 seconden in typt, blokkeert de Cloud Protection Service het bestand 10 seconden.

Details van cloudbeveiligingsservicerapportage

Frequentie Verzamelde of verzonden gegevens Gebruik van gegevens
Wanneer Windows Defender virus- en spywarebeveiligings- of definitiebestanden bij werkt - Versie van virus- en spywaredefinities
- Virus- en spywarebeveiligingsversie
Microsoft gebruikt deze informatie om ervoor te zorgen dat de meest recente virus- en spyware-updates op computers aanwezig zijn. Als deze niet aanwezig is, Windows Defender automatisch bijgewerkt, zodat computerbeveiliging up-to-date blijft.
Als Windows Defender mogelijk schadelijke of ongewenste software op computers vindt - Naam van potentieel schadelijke of ongewenste software
- Hoe de software is gevonden
- Alle acties die Windows Defender hebben ondernomen om met de software om te gaan
- Bestanden die door de software worden beïnvloed
- Informatie over de computer van de fabrikant (Sysconfig, SysModel, SysMarker)
Windows Defender gebruikt deze informatie om het type en de ernst van mogelijk ongewenste software te bepalen en de beste actie te ondernemen. Microsoft gebruikt deze informatie ook om de nauwkeurigheid van de beveiliging van virussen en spyware te verbeteren.
Eén keer per maand - Status van update van virus- en spywaredefinitie
- Status van realtime virus- en spywarecontrole (in of uit)
Windows Defender gebruikt deze informatie om te controleren of computers de nieuwste versie en definities hebben voor virus- en spywarebeveiliging. Microsoft wil er ook voor zorgen dat realtime virus- en spywarecontrole is ingeschakeld. Dit is een essentieel onderdeel van het helpen beschermen van computers tegen potentieel schadelijke of ongewenste software.
Tijdens de installatie of wanneer gebruikers handmatig een virus- en spywarescan van uw computer uitvoeren Lijst met lopende processen in het geheugen van uw computer Om processen te identificeren die mogelijk zijn gecompromitteerd door mogelijk schadelijke software.

Microsoft verzamelt alleen de namen van de betrokken bestanden, niet de inhoud van de bestanden zelf. Met deze informatie kunt u bepalen welke systemen bijzonder kwetsbaar zijn voor specifieke bedreigingen.

Definitie-updates Instellingen

Bronnen en volgorde instellen voor Endpoint Protection clientupdates: klik op Bron instellen om de bronnen voor definitie- en scan-engineupdates op te geven. U kunt ook de volgorde opgeven waarin deze bronnen worden gebruikt. Als Configuration Manager is opgegeven als een van de bronnen, worden de andere bronnen alleen gebruikt als software-updates de clientupdates niet kunnen downloaden.

Als u een van de volgende methoden gebruikt om de definities op clientcomputers bij te werken, moeten de clientcomputers toegang hebben tot internet.

  • Updates gedistribueerd vanuit Microsoft Update

  • Updates die zijn gedistribueerd vanaf Microsoft Centrum voor beveiliging tegen schadelijke software

Belangrijk

Clients downloaden definitie-updates met behulp van het ingebouwde systeemaccount. U moet een proxyserver voor dit account configureren om deze clients in staat te stellen verbinding te maken met internet.

Als u een automatische implementatieregel voor software-updates hebt geconfigureerd voor het leveren van definitie-updates voor clientcomputers, worden deze updates geleverd, ongeacht de instellingen voor definitie-updates.