如何配置 Configuration Manager 中的 Endpoint Protection

 

适用对象：System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

必须先执行本主题中详述的配置步骤，然后才能使用 Endpoint Protection 管理 System Center 2012 Configuration Manager 客户端计算机上的安全性和恶意软件。

在 配置管理器 中配置 Endpoint Protection 的步骤

使用下表来了解有关如何配置 Endpoint Protection 的步骤、详情及更多信息。

重要事项
如果你为 Windows 10 计算机管理 endpoint protection，则必须配置 System Center 2012 Configuration Manager 以更新和分发适用于 Windows Defender 的恶意软件定义。 由于 Windows 10 中包含了 Windows Defender，所以无需将 endpoint protection 代理部署到客户端计算机。

步骤	详细信息	更多信息
步骤 1：创建 Endpoint Protection 点站点系统角色。	必须先安装 Endpoint Protection 点站点系统角色，然后才能使用 Endpoint Protection。 必须将其仅安装在一个站点系统服务器上，并且必须将其安装在管理中心站点或独立主站点上层次结构的顶部。	请参阅本主题中的 步骤 1：创建 Endpoint Protection 点站点系统角色。
步骤 2：配置 Endpoint Protection 的警报。	当特定事件发生（如恶意软件感染）时，警报将通知管理员。 警报显示在“监视”工作区的“警报”节点中，或（可选）可通过电子邮件发送至指定用户。	请参阅如何为 Configuration Manager 中的终结点保护配置警报。
步骤 3：配置 Endpoint Protection 客户端的定义更新源。	Endpoint Protection 可以配置为使用各种源来下载定义更新。	请参阅如何为 Configuration Manager 中的终结点保护配置定义更新。
步骤 4：配置默认反恶意软件策略并创建任何自定义反恶意软件策略。	当安装 Endpoint Protection 客户端时，将应用默认反恶意软件策略。 在部署客户端的 60 分钟内将默认应用已部署的任何自定义策略。 请确保在部署 Endpoint Protection 客户端之前已配置了反恶意软件策略。	请参阅如何创建和部署 Configuration Manager 中 Endpoint Protection 反恶意软件策略。
步骤 5：为 Endpoint Protection 配置自定义客户端设置。	使用自定义客户端设置为层次结构中计算机的集合配置 Endpoint Protection 设置。 重要事项 除非你确信要将这些设置应用于层次结构中的所有计算机，否则请不要配置默认 Endpoint Protection 客户端设置。	请参阅本主题中的 步骤 5：为 Endpoint Protection 配置自定义客户端设置。。

在 Configuration Manager 中配置 Endpoint Protection 的补充过程

如果上表中的步骤需要执行补充过程，请使用以下信息。

步骤 1：创建 Endpoint Protection 点站点系统角色

根据你是要为 Endpoint Protection 安装新的站点系统服务器还是使用现有站点系统服务器，使用以下过程之一：

重要事项
当你安装 Endpoint Protection 点时，将在承载 Endpoint Protection 点的服务器上安装 Endpoint Protection 客户端。 在此客户端上禁用服务和扫描以使其能够与服务器上安装的任何现有反恶意软件解决方案共存。 如果你之后启用此服务器以便由 Endpoint Protection 进行管理，并选择可删除任何第三方反恶意软件解决方案的选项，将不会删除第三方产品。 必须手动卸载此产品。

若要安装和配置 Endpoint Protection 点站点系统角色：新站点系统服务器

1. 在 配置管理器 控制台中，单击“管理”。

2. 在“管理”工作区中，展开“站点配置”，然后单击“服务器和站点系统角色”。

3. 在“主页”选项卡上的“创建”组中，单击“创建站点系统服务器”。

4. 在“常规”页上，指定站点系统的常规设置，然后单击“下一步”。

5. 在“系统角色选择”页上的可用角色列表中选择“Endpoint Protection 点”，然后单击“下一步”。

6. 在“Endpoint Protection”页上，选择“我接受 Endpoint Protection 许可条款”复选框，然后单击“下一步”。

   重要事项
   除非你接受许可条款，否则不能使用 配置管理器 中的 Endpoint Protection。

7. 在“Microsoft Active Protection Service”页上，选择你想要发送到 Microsoft 的信息的级别以帮助开发新的定义，然后单击“下一步”。

   注意
   此选项配置默认使用的 Microsoft Active Protection Service 设置。 然后可以为你创建的每个反恶意软件策略配置自定义设置。 加入 Microsoft Active Protection Service，通过为 Microsoft 提供有助于 Microsoft 将反恶意软件定义保持为最新状态的恶意软件示例，帮助你的计算机保持日益安全的状态。 此外，当你加入 Microsoft Active Protection Service 后，Endpoint Protection 客户端可以使用动态签名服务在新定义发布到 Windows Update 之前将其下载。 有关详细信息，请参阅 如何创建和部署 Configuration Manager 中 Endpoint Protection 反恶意软件策略。

8. 完成向导。

若要安装和配置 Endpoint Protection 点站点系统角色：现有站点系统服务器

1. 在 配置管理器 控制台中，单击“管理”。

2. 在“管理”工作区中，展开“站点配置”，单击“服务器和站点系统角色”，然后选择你想用于 Endpoint Protection 的服务器。

3. 在“主页”选项卡上的“服务器”组中，单击“添加站点系统角色”。

4. 在“常规”页上，指定站点系统的常规设置，然后单击“下一步”。

5. 在“系统角色选择”页上的可用角色列表中选择“Endpoint Protection 点”，然后单击“下一步”。

6. 在“Endpoint Protection”页上，选择“我接受 Endpoint Protection 许可条款”复选框，然后单击“下一步”。

   重要事项
   除非你接受许可条款，否则不能使用 配置管理器 中的 Endpoint Protection。

7. 在“Microsoft Active Protection Service”页上，选择你想要发送到 Microsoft 的信息的级别以帮助开发新的定义，然后单击“下一步”。

   注意
   此选项配置默认使用的 Microsoft Active Protection Service 设置。 然后可以为你配置的每个反恶意软件策略配置自定义设置。 有关详细信息，请参阅 如何创建和部署 Configuration Manager 中 Endpoint Protection 反恶意软件策略。

8. 完成向导。

步骤 5：为 Endpoint Protection 配置自定义客户端设置。

此过程为 Endpoint Protection 配置自定义客户端设置，前者可部署到层次结构中的计算机集合。

重要事项
除非你确信要将这些设置应用于层次结构中的所有计算机，否则请不要配置默认 Endpoint Protection 客户端设置。

若要启用 Endpoint Protection 并配置自定义客户端设置

1. 在 配置管理器 控制台中，单击“管理”。

2. 在“管理”工作区中，单击“客户端设置”。

3. 在“主页”选项卡上的“创建”组中，单击“创建自定义客户端设备设置”。

4. 在“创建自定义客户端设备设置”对话框中，为设置组提供名称和描述，然后选择“Endpoint Protection”。

5. 配置所需的 Endpoint Protection 客户端设置。 有关你可以配置的 Endpoint Protection 客户端设置的完整列表，请参阅 关于 Configuration Manager 中的客户端设置 主题中的 Endpoint Protection 部分。

   重要事项
   必须先安装 Endpoint Protection 站点系统角色，然后才能为 Endpoint Protection 配置客户端设置。

6. 单击“确定”关闭“创建自定义客户端设备设置”对话框。 新的客户端设置显示在“管理”工作区的“客户端设置”节点中。

7. 在可以使用自定义客户端设置之前，必须将它们部署到集合。 选择你想要部署的自定义客户端设置，然后在“主页”选项卡的“客户端设置” 组中，单击“部署”。

8. 在“选择集合”对话框中，选择你想要将客户端设置部署到的集合，然后单击“确定”。 新的部署显示在细节窗格的“部署”选项卡中。

当客户端计算机下一次下载客户端策略时，将使用这些设置对它们进行配置。 若要启动单个客户端策略检索，请参阅 为 Configuration Manager 客户端启动策略检索 主题中的 如何在 Configuration Manager 中管理客户端 部分。

如何为 Configuration Manager 中的终结点保护部署可能有害的应用程序保护策略

潜在不需要应用程序 (PUA) 是基于信誉和研究驱动识别威胁分类。 大多数情况下，这些 PUA 应用程序是不需要应用程序捆绑程序或其捆绑应用程序。

通过部署您 Microsoft System Center 2012 Endpoint Protection Configuration Manager 中的反恶意软件策略，您可以从 PUA 保护您的用户。 默认情况下禁用保护策略设置。 如果启用，此功能将阻止 PUA 下载和安装时间。 但是，你可以排除特定文件或文件夹，以满足环境的特定需求。

若要创建配置项目，才能启用 PUA 保护

1. 在 Configuration Manager 控制台中，单击“资产和符合性”。

2. 在 资产和符合性 工作区中，打开 符合性设置 文件夹中，右键单击 配置项, ，然后单击 创建配置项目。

3. 在 配置项目 向导中，选择一个名称和 Windows 桌面和服务器 （自定义） 配置项目类型，然后单击 下一步。 选择目标的操作系统，并转到下一页。 单击 新建 若要创建新的设置。

4. 在 创建设置 对话框中，选择该设置的名称，并指定以下附加信息 ︰

   - **数据类型** – 选择 **整数** 要将值类型设置为使用类型
   
   - **Hive** -选择 HKEY\_LOCAL\_MACHINE hive root
   
   - **密钥** – 选择根据你的产品版本的注册表项 ︰
   
     <table>
     <colgroup>
     <col style="width: 50%" />
     <col style="width: 50%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><p>产品名称</p></th>
     <th><p>项</p></th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>System Center Endpoint Protection</p></td>
     <td><p>Software\Policies\Microsoft\Microsoft Antimalware\MpEngine</p></td>
     </tr>
     <tr class="even">
     <td><p>Forefront Endpoint Protection</p></td>
     <td><p>Software\Policies\Microsoft\Microsoft Antimalware\MpEngine</p></td>
     </tr>
     <tr class="odd">
     <td><p>Microsoft 安全基础</p></td>
     <td><p>Software\Policies\Microsoft\Microsoft Antimalware\MpEngine</p></td>
     </tr>
     <tr class="even">
     <td><p>Windows Defender</p></td>
     <td><p>Software\Policies\Microsoft\Windows Defender\MpEngine</p></td>
     </tr>
     </tbody>
     </table>
   
   - **值** – Enter MpEnablePus 作为要配置的注册表值名称
   
   - 选择 **此注册表值是与 64 位应用程序相关联**
   

   单击 合规规则 选项卡

5. 在 合规规则 选项卡上，单击 新建 按钮以创建一条规则。

6. 在 Create Rule 对话框框中，指定以下信息 ︰

   - 输入 **名称** 规则
   
   - 选择 **规则类型** 的 **值**
   
   - 选择 **等于** 比较运算符
   
   - 选择根据你想要部署的 PUA 设置一个值 ︰
   
     <table>
     <colgroup>
     <col style="width: 50%" />
     <col style="width: 50%" />
     </colgroup>
     <tbody>
     <tr class="odd">
     <td><p>值</p></td>
     <td><p>描述</p></td>
     </tr>
     <tr class="even">
     <td><p>0 （默认值）</p></td>
     <td><p>可能会禁用不需要应用程序保护</p></td>
     </tr>
     <tr class="odd">
     <td><p>1</p></td>
     <td><p>可能有害的应用程序保护已启用。 不需要的行为与应用程序将在下载和安装时间被阻止。</p></td>
     </tr>
     </tbody>
     </table>
   
   - 选择 **修正非符合性规则时支持**
   
   - 选择 **报告不相容情况，如果找不到此设置实例**
   

   单击 确定 以完成创建规则。

7. 在 创建设置 对话框中，单击 应用。 单击 下一步 直到出现摘要对话框。 在单击前验证这些配置首选项 下一步 和 关闭。 现在已创建配置项目。

可添加到配置基线并部署配置项目。 请参阅 如何为 Configuration Manager 中的符合性设置创建配置基线 和 如何部署 Configuration Manager 中的配置基线 有关详细信息。 在部署您的配置基线时，选择 修正非符合性规则时支持 ，以便将应用配置项目注册表项值更改。

若要排除特定文件或文件夹

• 请参阅"排除设置" 如何创建和部署 Configuration Manager 中 Endpoint Protection 反恶意软件策略 排除特定文件或文件夹 PUA 反恶意软件策略中的。

• 若要管理 Windows Defender，最低要求是 Configuration Manager 2012 SP2 和 Defender 版本 4.8.X.X 或更高版本。

• 根据在位置的策略，用户可以添加由要还原并忽略检测到的文件的用户界面的排除项。

注意
您添加排除项，因为它可以减少受影响的计算机的安全性时要小心。

如果你认为应用程序被错误地标识为 PUA，将文件提交给 恶意软件防护中心 进行评估。 在注释字段中包含 PUA 和检测名称。

请参阅

Configuration Manager 中配置 Endpoint Protection