Создание и развертывание политик противомалярийных программ для Endpoint Protection в диспетчере конфигурации

Применяется к: Configuration Manager (текущая ветвь)

Вы можете развернуть политики защиты от вредоносных программ в коллекциях клиентских компьютеров Configuration Manager, чтобы указать, Endpoint Protection защитить их от вредоносных программ и других угроз. Эти политики включают сведения о расписании сканирования, типах файлов и папок для сканирования, а также о действиях, которые необходимо принять при обнаружении вредоносных программ. При вложении Endpoint Protection для клиентских компьютеров применяется политика противомалярийных программ по умолчанию. Вы также можете использовать один из предоставленных шаблонов политики или создать настраиваемую политику для удовлетворения определенных потребностей среды.

Диспетчер конфигурации обеспечивает выбор заранее. Они оптимизированы для различных сценариев и могут импортироваться в Configuration Manager. Эти шаблоны доступны в папке < ConfigMgr > Install Folder\AdminConsole\XMLStorage\EPTemplates.

Важно!

Если вы создайте новую политику противомалярийных программ и развернете ее в коллекцию, эта политика противомалярийных программ переопределит политику по умолчанию.

Используйте процедуры в этом разделе для создания или импорта политик антивирусных программ и назначения их на клиентские компьютеры Configuration Manager в иерархии.

Примечание

Перед выполнением этих процедур убедитесь, что диспетчер конфигурации настроен для Endpoint Protection, как описано в Endpoint Protection.

Изменение политики противомалярийных программ по умолчанию

  1. В консоли Configuration Manager нажмите кнопку Активы и соответствие требованиям.

  2. В рабочей области "Активы и соответствие требованиям" Endpoint Protection и нажмите кнопку Политики antimalware.

  3. Выберите политику противомалярийных программ по умолчанию Клиентская политика противомалярийных программ, а затем на вкладке Главная в группе Свойства нажмите свойства.

  4. В диалоговом окне Политика по умолчанию настройте параметры, необходимые для этой политики, и нажмите кнопку ОК.

    Примечание

    Список параметров, которые можно настроить, см. в разделе Список параметров политики Параметры в этом разделе.

Создание новой политики противомалярийных программ

  1. В консоли Configuration Manager нажмите кнопку Активы и соответствие требованиям.

  2. В рабочей области "Активы и соответствие требованиям" Endpoint Protection и нажмите кнопку Политики antimalware.

  3. На вкладке Главная в группе Create щелкните Создать политику противомалярийных программ.

  4. В общем разделе диалоговое окно Create Antimalware Policy введите имя и описание политики.

  5. В диалоговом окне Create Antimalware Policy настройте параметры, необходимые для этой политики, а затем нажмите кнопку ОК. Список параметров, которые можно настроить, см. в списке политики борьбы с Параметры.

  6. Убедитесь, что новая политика противомалярийных программ отображается в списке политик antimalware.

Импорт политики противомалярийных программ

  1. В консоли Configuration Manager нажмите кнопку Активы и соответствие требованиям.

  2. В рабочей области "Активы и соответствие требованиям" Endpoint Protection и нажмите кнопку Политики antimalware.

  3. На вкладке Главная в группе Create нажмите кнопку Импорт.

  4. В диалоговом окне Открыть просмотрите файл политики для импорта и нажмите кнопку Открыть.

  5. В диалоговом окне Create Antimalware Policy просмотрите параметры, которые нужно использовать, а затем нажмите кнопку ОК.

  6. Убедитесь, что новая политика противомалярийных программ отображается в списке политик antimalware.

Развертывание политики антивирусных программ на клиентских компьютерах

  1. В консоли Configuration Manager нажмите кнопку Активы и соответствие требованиям.

  2. В рабочей области "Активы и соответствие требованиям" Endpoint Protection и нажмите кнопку Политики antimalware.

  3. В списке политики antimalware выберите развертывание политики противомалярийных программ. Затем на вкладке Главная в группе развертывания щелкните Развертывание.

    Примечание

    Параметр Deploy нельзя использовать с политикой вредоносных программ клиента по умолчанию.

  4. В диалоговом окне Выберите коллекцию выберите коллекцию устройств, в которую необходимо развернуть политику антивирусного обеспечения, а затем нажмите кнопку ОК.

Список политик противомалярийных Параметры

Многие из параметров антивирусных программ являются самоопроверязательными. Используйте следующие разделы для получения дополнительных сведений о параметрах, которые могут потребовать дополнительных сведений перед их настройкой.

Плановые проверки Параметры

Тип сканирования . Можно указать один из двух типов сканирования для работы на клиентских компьютерах:

  • Быстрое сканирование . Этот тип сканирования проверяет процессы и папки в памяти, в которых обычно находятся вредоносные программы. Для этого требуется меньше ресурсов, чем полное сканирование.

  • Полное сканирование . Этот тип сканирования добавляет полную проверку всех локальных файлов и папок в элементы, сканированные в быстрой проверке. Это сканирование занимает больше времени, чем быстрое сканирование и использует больше ресурсов обработки ЦП и памяти на клиентских компьютерах.

    В большинстве случаев используйте быстрое сканирование, чтобы свести к минимуму использование системных ресурсов на клиентских компьютерах. Если для удаления вредоносных программ требуется полное сканирование, Endpoint Protection создает оповещение, отображаемую на консоли Configuration Manager. Значение по умолчанию — быстрое сканирование.

Сканирование Параметры

Сканирование вложений электронной почты и электронной почты . Установите да, чтобы включить сканирование электронной почты.

Сканирование съемных устройств хранения, таких как USB-накопители . Установите да для сканирования съемных дисков во время полного сканирования.

Сканирование сетевых файлов . Установите да для сканирования сетевых файлов.

Сканирование сетевых дисков при запуске полного сканирования . Установите да для сканирования любых на карте сетевых дисков на клиентских компьютерах. Включение этого параметра может значительно увеличить время сканирования на клиентских компьютерах.

  • Параметр сканировать сетевые файлы должен быть заданной на да, чтобы этот параметр был доступен для настройки.

  • По умолчанию этот параметр задает значение "Нет", что означает, что полное сканирование не будет иметь доступа к сетевым накопителям.

Сканирование архивных файлов . Установите да для сканирования архивных файлов, таких как .zip или .rar файлов.

Разрешить пользователям настраивать использование ЦП во время сканирования . Установите значение Да, чтобы разрешить пользователям указывать максимальный процент использования ЦП во время сканирования. При сканировании не всегда используется максимальная нагрузка, определяемая пользователями, но она не может превышать ее.

Пользовательский контроль запланированных сканирований — укажите уровень управления пользователем. Разрешить пользователям устанавливать только время сканирования или полный контроль антивирусных сканов на своих устройствах.

Действия по умолчанию Параметры

Выберите действие, необходимое для обнаружения вредоносных программ на клиентских компьютерах. Следующие действия могут применяться в зависимости от уровня угрозы обнаружения вредоносных программ.

  • Рекомендуется использовать действия, рекомендуемые в файле определения вредоносных программ.

  • Карантин - карантин вредоносных программ, но не удалить его.

  • Удаление — удаление вредоносных программ с компьютера.

  • Разрешить . Не удалять или карантить вредоносные программы.

Защита в режиме Параметры

Имя параметра Описание
Включить защиту в режиме реального времени Настройка параметров защиты в режиме реального времени для клиентских компьютеров. Рекомендуется включить этот параметр.
Мониторинг активности файлов и программ на компьютере Установите да, если Endpoint Protection отслеживать запуск файлов и программ на клиентских компьютерах и оповещать вас о любых действиях, которые они выполняют, или о действиях, принятых на них.
Сканирование системных файлов Этот параметр позволяет настроить, отслеживаются ли входящие, исходящая или исходящая системные файлы для вредоносных программ. По причинам производительности может потребоваться изменить значение входящих и исходяющих файлов scan по умолчанию, если сервер имеет высокую активность входящих или исходяющих файлов.
Включить мониторинг поведения В этом параметре можно использовать компьютерную активность и данные файлов для обнаружения неизвестных угроз. Если этот параметр включен, это может увеличить время, необходимое для проверки компьютеров на вредоносные программы.
Включить защиту от сетевых эксплойтов Включить этот параметр для защиты компьютеров от известных сетевых эксплойтов путем проверки сетевого трафика и блокировки любых подозрительных действий.
Включить сканирование скрипта Для диспетчера конфигурации без пакета служб.

Включить этот параметр, если вы хотите отсканировать все скрипты, которые работают на компьютерах, на предмет подозрительной активности.
Блокировка потенциально нежелательных приложений при загрузке и до установки Потенциальные нежелательные приложения (PUA) — это классификация угроз, основанная на идентификации репутации и на основе исследований. Чаще всего это нежелательные пакеты приложений или их пакетные приложения.

Microsoft Edge также предоставляет параметры для блокировки потенциально нежелательных приложений. Ознакомьтесь с этими вариантами для полной защиты от нежелательных приложений.

Этот параметр политики защиты доступен и заданной для включения по умолчанию. При включении этот параметр блокирует время загрузки и установки PUA. Однако вы можете исключить определенные файлы или папки для удовлетворения определенных потребностей вашего бизнеса или организации.

Начиная с версии Configuration Manager 2107, вы можете выбрать для аудита этого параметра. Используйте защиту PUA в режиме аудита для обнаружения потенциально нежелательных приложений, не блокируя их. Защита PUA в режиме аудита полезна, если ваша компания хотела бы оценить влияние, которое будет иметь включение защиты PUA в вашей среде. Включение защиты в режиме аудита позволяет определить влияние на конечные точки до включения защиты в режиме блокировки.

Исключение Параметры

Сведения о папках, файлах и процессах, рекомендуемых для исключения в Configuration Manager 2012 и Current Branch, см. в рекомендациях по исключению антивирусов для Configuration Manager 2012и текущих серверов веб-сайтов филиалов, систем сайтов и клиентов.

Исключенные файлы и папки:

Нажмите кнопку Установите, чтобы открыть диалоговое окно Configure File and Folder Exclusions и указать имена файлов и папок, чтобы исключить Endpoint Protection проверки.

Если вы хотите исключить файлы и папки, расположенные на сетевом диске, укажите имя каждой папки в сетевом диске по отдельности. Например, если сетевой диск соотносят с F:\MyFolder и содержит подмостки с именами Folder1, Folder2 и Folder 3, укажите следующие исключения:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

Начиная с версии 1602, для исключения исключений из системы исключений улучшена существующая настройка файлов и папок в разделе Параметры исключения политики противомалярийных программ. Например, теперь можно указать следующее в качестве исключения: \device\mvfs (для файловой системы multiversion). Политика не проверяет путь устройства; политика Endpoint Protection предоставляется в движок antimalware для клиента, который должен быть в состоянии интерпретировать строку устройства.

Исключенные типы файлов:

Щелкните Набор, чтобы открыть диалоговое окно Configure File Type Exclusions и указать расширения файлов, чтобы исключить Endpoint Protection сканирования. Вы можете использовать подкарды при определении элементов в списке исключений. Дополнительные сведения см. в материалах Use wildcards in the file name and folder path or extension exclusion lists.

Исключенные процессы:

Щелкните Набор, чтобы открыть диалоговое окно Настройка исключений процессов и указать процессы, чтобы исключить Endpoint Protection сканирования. При определении элементов в списке исключений можно использовать подкарды, однако существуют некоторые ограничения. Дополнительные сведения см. в перечне исключений процессов с использованием подкардов

Дополнительные параметры

Включить повторное сканирование точек . Установите да, если Endpoint Protection для сканирования точек репапарирования NTFS.

Дополнительные сведения о очках репаража см. в таблице Reparse Points в Windows Центр разработки.

Рандомизация запланированного времени начала сканирования (в течение 30 минут) — Установите да, чтобы избежать наводнения сети, которое может произойти, если все компьютеры отправляют результаты проверки антивирусных программ в базу данных Configuration Manager одновременно. Для антивирусная программа это рандомизирует время начала сканирования до любого интервала от 0 до 4 часов или для FEP и SCEP до любого интервала плюс или минус 30 минут. Это может быть полезно в развертываниях VM или VDI. Этот параметр также полезен при запуске нескольких виртуальных машин на одном хосте. Выберите этот параметр, чтобы уменьшить количество одновременного доступа к диску для сканирования антивирусных программ.

Начиная с версии 1602 configuration Manager, антивирусный движок может запрашивать образцы файлов, которые будут отправлены в Корпорацию Майкрософт для дальнейшего анализа. По умолчанию он всегда будет подсказок перед отправкой таких образцов. Администраторы теперь могут управлять следующими настройками для настройки этого поведения:

Включить автоматическую отправку примера файла, чтобы помочь Корпорации Майкрософт определить, являются ли определенные обнаруженные элементы вредоносными . Установите да, чтобы включить автоматическое представление примера файла. По умолчанию этот параметр не означает отключение автоматической отправки примера файла и запрос пользователей перед отправкой образцов.

Разрешить пользователям изменять параметры отправки автофайла файла . Это определяет, может ли пользователь с правами локального администратора на устройстве изменить параметр отправки автофайла файла в клиентский интерфейс. По умолчанию этот параметр является "Нет", что означает, что его можно изменить только с консоли Configuration Manager, а локальные администраторы на устройстве не могут изменить эту конфигурацию.
Например, ниже показан этот параметр, заданной администратором в качестве включенного, и серый, чтобы предотвратить изменения пользователя.

Защитник Windows - Автоматическая отправка образцов

Переопределения угрозы Параметры

Имя угрозы и действие переопределения . Щелкните Набор, чтобы настроить действие по исправлению, которое необходимо принять для каждого ИД угрозы при его обнаружении во время проверки.

Примечание

Список имен угроз может быть не доступен сразу после настройки Endpoint Protection. Подождите, Endpoint Protection точка синхронизирует сведения об угрозах, а затем попробуйте еще раз.

Служба облачной защиты

Служба облачной защиты включает сбор сведений об обнаружении вредоносных программ в управляемых системах и принятых действиях. Эти сведения отправляются в Корпорацию Майкрософт.

Членство в службе облачной защиты

  • Не присоединяться к службе облачной защиты .
  • Basic — сбор и отправка списков обнаруженных вредоносных программ
  • Расширенный . Основные сведения, а также более полная информация, которая может содержать личную информацию. Например, пути файлов и частичные сбросы памяти.

Разрешить пользователям изменять параметры службы облачной защиты — настраивает пользовательский контроль параметров службы облачной защиты.

Уровень для блокировки подозрительных файлов — укажите уровень, на котором служба Endpoint Protection облачной защиты блокирует подозрительные файлы.

  • Normal — уровень Защитник Windows по умолчанию
  • High — агрессивно блокирует неизвестные файлы при оптимизации производительности (больше вероятность блокировки не вредных файлов)
  • Высокая с дополнительной защитой — агрессивно блокирует неизвестные файлы и применяет дополнительные меры защиты (может повлиять на производительность клиентского устройства)
  • Блокировка неизвестных программ . Блокирует все неизвестные программы

Разрешить расширенный облачный контроль для блокировки и сканирования до (секунд) — указывает количество секунд, когда служба облачной защиты может заблокировать файл, пока служба проверяет, что файл не является вредоносным.

Примечание

Количество секунд, выбранных для этого параметра, в дополнение к 10-секундным таймауту по умолчанию. Например, если ввести 0 секунд, служба облачной защиты блокирует файл на 10 секунд.

Сведения о отчете службы облачной защиты

Frequency Данные, собранные или отправленные Использование данных
При Защитник Windows обновления файлов защиты от вирусов и программ-шпионов или определений - Версия определений вирусов и программ-шпионов
- Версия защиты от вирусов и программ-шпионов
Корпорация Майкрософт использует эти сведения для обеспечения на компьютерах последних обновлений вирусов и программ-шпионов. Если нет, Защитник Windows автоматически обновляется, поэтому защита компьютера остается в курсе.
Если Защитник Windows обнаруживает потенциально вредное или нежелательное программное обеспечение на компьютерах - Имя потенциально вредного или нежелательного программного обеспечения
- Как было найдено программное обеспечение
- Любые действия, Защитник Windows, которые были Защитник Windows с программным обеспечением
- Файлы, затронутые программным обеспечением
- Сведения о компьютере от производителя (Sysconfig, SysModel, SysMarker)
Защитник Windows использует эти сведения для определения типа и серьезности потенциально нежелательного программного обеспечения и наиболее оптимальных действий. Корпорация Майкрософт также использует эти сведения для повышения точности защиты от вирусов и программ-шпионов.
Один раз в месяц - Состояние обновления определения вирусов и программ-шпионов
- Состояние мониторинга вирусов и программ-шпионов в режиме реального времени (включив или отключив)
Защитник Windows эти сведения используются для проверки того, что компьютеры имеют последнюю версию и определения защиты от вирусов и программ-шпионов. Корпорация Майкрософт также хочет убедиться, что в режиме реального времени включен мониторинг вирусов и программ-шпионов. Это важнейшая часть защиты компьютеров от потенциально вредного или нежелательного программного обеспечения.
Во время установки или когда пользователи вручную выполняют проверку вирусов и программ-шпионов на компьютере Список запущенных процессов в памяти компьютера Определение любых процессов, которые могли быть скомпрометированы потенциально вредным программным обеспечением.

Корпорация Майкрософт собирает только имена затронутых файлов, а не содержимое самих файлов. Эти сведения помогают определить, какие системы особенно уязвимы для определенных угроз.

Обновления определения Параметры

Установите источники и порядок для Endpoint Protection клиентских обновлений — щелкните Задать источник, чтобы указать источники для определения и сканирования обновлений двигателя. Вы также можете указать порядок, в котором используются эти источники. Если диспетчер конфигурации указан как один из источников, другие источники используются только в том случае, если обновления программного обеспечения не могут скачать обновления клиента.

Если для обновления определений на клиентских компьютерах используется любой из следующих методов, клиентские компьютеры должны иметь доступ к Интернету.

  • Обновления, распространяемых из Обновления Майкрософт

  • Обновления, распространяемых из Центр Майкрософт по защите от вредоносных программ

Важно!

Клиенты загружают обновления определения с помощью встроенной учетной записи системы. Необходимо настроить прокси-сервер для этой учетной записи, чтобы эти клиенты могли подключаться к Интернету.

Если вы настроили правило автоматического развертывания программного обеспечения для доставки обновлений определений на клиентские компьютеры, эти обновления будут доставлены независимо от параметров обновлений определения.