Настройка защиты конечной точки на стороне клиента

  • Статья

Относится к Configuration Manager (Current Branch)

В вашей организации может быть несколько автономных клиентов, которыми вы не можете управлять или защищать с помощью Microsoft Configuration Manager. Без защиты конечных точек эти автономные клиенты уязвимы для потенциальных атак вредоносных программ. Чтобы защитить такие автономные клиенты, их можно настроить вручную с помощью Endpoint Protection, как описано в этом разделе.

Примечание.

Если клиент endpoint protection устанавливается на устройстве, которое не управляется Configuration Manager, для устройства может потребоваться лицензия на управление (ML).

Чтобы настроить Endpoint Protection на автономном клиенте вручную, выполните следующие действия:

Предварительные требования

Ниже приведены предварительные требования для настройки Endpoint Protection на автономном клиенте.

Создание политики защиты от вредоносных программ для автономного клиента

На этом шаге вы создадите настраиваемую политику защиты от вредоносных программ в консоли Configuration Manager, а затем перенесите ее в автономный клиент.

При создании политики защиты от вредоносных программ необходимо настроить источник обновления определений для поддержания актуальности определений политики в автономном клиенте. Вы можете настроить источник обновления определений как Центр обновления Майкрософт и Центр Майкрософт по защите от вредоносных программ, если автономный клиент подключен к Интернету. Кроме того, выберите сетевую папку в качестве источника распространения определений и периодически обновляйте его с помощью последнего пакета обновления определений.

Чтобы создать политику защиты от вредоносных программ для автономного клиента, выполните следующие действия:

  1. В консоли Configuration Manager щелкните Активы и соответствие.

  2. В рабочей области Активы и соответствие разверните узел Endpoint Protection, а затем щелкните Политики защиты от вредоносных программ.

  3. На вкладке Главная в группе Создать щелкните Создать политику защиты от вредоносных программ.

  4. В разделе Общие диалогового окна Создание политики защиты от вредоносных программ введите имя и описание политики.

  5. В диалоговом окне Создание политики защиты от вредоносных программ настройте параметры, необходимые для этой политики защиты от вредоносных программ, а затем нажмите кнопку ОК. Список параметров, которые можно настроить, см. в разделе Список параметров политики защиты от вредоносных программ.

    Примечание.

    Для параметра Определение Обновления выберите Обновления распространяется из Центра обновления Майкрософт и Обновления распространяется из Центр Майкрософт по защите от вредоносных программ, если автономный клиент подключен к Интернету.
    Кроме того, выберите Обновления из общих папок UNC, чтобы распределить определения политики через общую сетевую папку. Затем добавьте один или несколько UNC-путей в расположение файлов обновлений определений в общей сетевой папке.

  6. Экспортируйте только что созданную политику в формате XML:

    1. В списке Политики защиты от вредоносных программ щелкните правой кнопкой мыши свою политику.
    2. Выберите Экспорт.
    3. Сохраните политику в формате XML, например standalone.xml.

  7. Перенесите новый XML-код политики защиты от вредоносных программ в целевой автономный клиент, на котором требуется настроить Endpoint Protection.

Передача пакета установки клиента Endpoint Protection автономному клиенту

На этом шаге вы копируете пакет установки клиента Endpoint Protection (scepinstall.exe) с сервера Configuration Manager и переносите его в автономный клиент.

  1. Войдите на сервер Configuration Manager.
  2. Перейдите в папку Client папки установки Configuration Manager (C:\Program Files\Microsoft Configuration Manager\Client).
  3. Скопируйте scepinstall.exe.
  4. Перенесите scepinstall.exe в целевой автономный клиент, на котором требуется установить клиентское программное обеспечение Endpoint Protection.

Установка Endpoint Protection на автономном клиенте

На этом шаге вы запустите пакет установщика (scepinstall.exe) и политику защиты от вредоносных программ (которые ранее были перенесены с сервера Configuration Manager) из командной строки на автономном клиенте.

Чтобы установить Endpoint Protection на автономном клиенте, выполните следующие действия.

  1. В автономном клиенте откройте командную строку от имени администратора.

  2. Перейдите в папку, в которой сохранен файл установщика scepinstall.exe .

  3. Введите следующую команду, чтобы запустить scepinstall.exe с политикой защиты от вредоносных программ:

    scepinstall.exe /policy <full path>\<policy file>

    Замените full path на путь, по которому вы сохранили XML-файл политики защиты от вредоносных программ, и policy file на имя файла политики защиты от вредоносных программ.

    Установщик извлекается и запускается мастер установки.

  4. Следуйте инструкциям на экране, чтобы завершить установку клиента.

    На последнем экране мастера установки по умолчанию выбран параметр для проверки компьютера на наличие потенциальных угроз после получения последних обновлений. Вы можете снять флажок, чтобы пропустить сканирование.

Изменение параметров политики защиты от вредоносных программ в автономном клиенте Endpoint Protection

Чтобы изменить или обновить политику защиты от вредоносных программ в автономном клиенте Endpoint Protection, выполните следующие действия:

  1. Создайте политику защиты от вредоносных программ для автономного клиента.
  2. Выполните следующую команду в автономном клиенте:
C:\Program Files\Microsoft Security Client\ConfigSecurityPolicy.exe <full path>\<policy file>

Замените full path на путь, по которому вы сохранили новый XML-файл политики защиты от вредоносных программ, и policy file на имя файла политики защиты от вредоносных программ.

Дальнейшие действия

Сведения о том, как использовать Endpoint Protection для управления безопасностью и вредоносными программами на Configuration Manager клиентских компьютерах, см. в разделе Настройка Endpoint Protection.