• 项目

用于保护计算机免受恶意软件通过 Configuration Manager 中配置 Endpoint Protection 的示例方案

 

适用对象:System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

本主题提供有关如何实现中的 Endpoint Protection 的示例方案 Microsoft System Center 2012 Configuration Manager 若要在组织中的计算机抵御恶意软件攻击。

John 是 配置管理器 Woodgrove bank 的管理员。 银行当前正在使用 Microsoft Forefront Endpoint Protection 2010 来保护计算机免受恶意软件攻击。 此外,银行使用 Windows 组策略来确保公司中的所有计算机都启用了 Windows 防火墙并且当 Windows 防火墙阻止新程序通知中的用户。

若要升级到 Woodgrove Bank 反恶意软件应用程序系统,John 询问 System Center 2012 Endpoint Protection 以便银行可以从最新的反恶意软件功能中获益并能够集中管理反恶意软件解决方案从 配置管理器 控制台。 此实现中具有以下要求:

  • 使用 配置管理器 来管理当前由组策略管理的 Windows 防火墙设置。

  • 使用 配置管理器 软件更新下载到计算机的恶意软件定义。 如果软件更新不可用,例如如果计算机未连接到公司网络,计算机必须从 Microsoft 更新下载定义更新。

  • 用户的计算机必须执行快速恶意软件扫描每一天。 服务器,但是,必须运行完全扫描工作时间之外的每个星期六凌晨 1

  • 每次发生下列事件之一时发送电子邮件警报:

    • 在任何计算机上检测到恶意软件

    • 5%以上的计算机上检测到相同的恶意软件威胁

    • 相同的恶意软件威胁是在 24 小时的时间内检测到 5 倍以上

    • 在 24 小时的时间内检测到 3 个以上的不同类型的恶意软件

  • 卸载现有反恶意软件解决方案。

John 然后执行以下步骤来实现 Endpoint Protection:

若要实现 Endpoint Protection 的步骤

过程

参考

John 查看有关的基本概念的可用信息 Endpoint Protection 中 配置管理器。

有关的概述信息 Endpoint Protection, ,请参阅 Endpoint Protection 在 Configuration Manager 简介

John 查看并实现所需的必备组件使用 Endpoint Protection。

有关先决条件的信息 Endpoint Protection, ,请参阅 终结点保护在 Configuration Manager 的先决条件

John 安装 Endpoint Protection Woodgrove Bank 层次结构顶部站点系统角色在仅将一个站点系统服务器上的。

有关如何安装详细信息 Endpoint Protection 站点系统角色,请参阅 步骤 1: 创建 Endpoint Protection 点站点系统角色如何配置 Configuration Manager 中的 Endpoint Protection 主题。

John 配置 配置管理器 以使用 SMTP 服务器发送电子邮件警报。

System_CAPS_note注意

只有当您想要得到通知您必须配置 SMTP 服务器通过电子邮件时 Endpoint Protection 生成警报。

有关详细信息,请参阅如何为 Configuration Manager 中的终结点保护配置警报

System_CAPS_note注意

电子邮件通知设置是不同的 配置管理器 SP1 和 配置管理器 不带 service pack。

John 创建一个包含所有计算机和服务器安装的设备集合 Endpoint Protection 客户端。 他将此集合命名 所有计算机受 Endpoint Protection

System_CAPS_tip提示

无法为用户集合配置警报。

有关如何创建集合的详细信息,请参阅 如何创建 Configuration Manager 中的集合

他配置集合的以下警报:

  • 检测到恶意软件: John 配置的警报的严重性 严重

  • 数量的计算机上检测到相同类型的恶意软件 : John 配置的警报的严重性 严重 并指定 5%以上的计算机已检测到恶意软件时将生成警报。

  • 相同类型的恶意软件在计算机上指定的时间间隔内重复检测到: John 配置的警报的严重性 严重 并指定恶意软件在 24 小时内检测到 5 倍以上时将生成警报。

  • 在指定的时间间隔内的同一台计算机上检测到多个类型的恶意软件: John 配置的警报的严重性 严重 并指定 3 个以上类型的恶意软件在 24 小时内生成时将生成警报。

System_CAPS_note注意

值为 警报严重性 指示将显示在警报级别 配置管理器 控制台和他收到一封电子邮件中的警报中。

他此外选择的选项 在 Endpoint Protection 仪表板中查看此集合 以便他可以监视中的警报 配置管理器 控制台。

有关详细信息,请参阅如何为 Configuration Manager 中的终结点保护配置警报

John 配置 配置管理器 用于下载和部署定义更新一天三次通过运用自动部署规则的软件更新。

System_CAPS_important重要事项

该频率是适用于 配置管理器 SP1。 但是,出于性能原因,在 配置管理器 不带 service pack,请不要计划自动部署规则以将定义更新不止一次每一天交付。

有关详细信息,请参阅使用 Configuration Manager 软件更新将定义更新交付主题中的如何为 Configuration Manager 中的终结点保护配置定义更新部分。

John 检查包含来自 Microsoft 推荐的安全设置的默认反恶意软件策略中的设置。 对于执行一次快速扫描到每一天的计算机,他可以更改以下设置:

  • 在客户端计算机上运行每日快速扫描:

  • 每日快速扫描计划时间: 上午 9:00

John 的笔记 更新从 Microsoft Update 分发 作为定义更新源的默认处于选中状态。 这可以满足业务要求的计算机从 Microsoft 更新下载定义时它们不能接收 配置管理器 软件更新。

有关详细信息,请参阅如何创建和部署 Configuration Manager 中 Endpoint Protection 反恶意软件策略

John 创建一个集合包含名为 Woodgrove Bank 服务器 Woodgrove Bank 服务器

有关如何创建集合的详细信息,请参阅 如何创建 Configuration Manager 中的集合

John 创建一个名为自定义反恶意软件策略 Woodgrove Bank 服务器策略。 他补充仅用于设置 计划的扫描 并且做出以下更改:

  • 扫描类型: 完整

  • 扫描天: 星期六

  • 扫描时间: 1:00 AM

  • 在客户端计算机上运行每日快速扫描:

有关详细信息,请参阅如何创建和部署 Configuration Manager 中 Endpoint Protection 反恶意软件策略

在 John 部署 Woodgrove Bank 服务器策略 自定义反恶意软件策略应用到 Woodgrove Bank 服务器 集合。

有关详细信息,请参阅若要部署到客户端计算机的反恶意软件策略主题中的如何创建和部署 Configuration Manager 中 Endpoint Protection 反恶意软件策略部分。

John 创建一组新的自定义客户端设备设置 Endpoint Protection 及名称 Woodgrove Bank Endpoint Protection 设置

System_CAPS_warning警告

如果不想安装并启用 Endpoint Protection 在层次结构中的所有客户端,请确保选项 客户端计算机上的管理 Endpoint Protection 客户端客户端计算机上的安装 Endpoint Protection 客户端 被配置为 默认客户端设置中。

有关详细信息,请参阅步骤 5: 配置 Endpoint Protection 的自定义客户端设置主题中的如何配置 Configuration Manager 中的 Endpoint Protection部分。

他配置的以下设置 Endpoint Protection:

  • 客户端计算机上的管理 Endpoint Protection 客户端:  

    此设置和值,可确保任何现有 Endpoint Protection 已安装的客户端将成为由 配置管理器。

  • 客户端计算机上的安装 Endpoint Protection 客户端:

  • 自动删除以前安装的反恶意软件软件安装 Endpoint Protection 之前:

    此设置和值可满足现有反恶意软件之前,将删除的业务要求 Endpoint Protection 已安装并启用。

有关详细信息,请参阅步骤 5: 配置 Endpoint Protection 的自定义客户端设置主题中的如何配置 Configuration Manager 中的 Endpoint Protection部分。

在 John 部署 Woodgrove Bank Endpoint Protection 设置 客户端设置应用于 所有计算机受 Endpoint Protection 集合。

有关详细信息,请参阅如何创建和部署自定义客户端设置主题中的如何在 Configuration Manager 中配置客户端设置部分。

John 使用创建的 Windows 防火墙策略向导创建策略通过配置域配置文件的以下设置:

  • 启用 Windows 防火墙:

  • Windows 防火墙阻止新程序时通知用户:

有关详细信息,请参阅 若要创建 Windows 防火墙策略 部分中 如何创建和部署 Configuration Manager 中的终结点保护的 Windows 防火墙策略

John 将新的防火墙策略部署到集合 所有计算机受 Endpoint Protection 他早创建的。

有关详细信息,请参阅 若要部署 Windows 防火墙策略 部分中 如何创建和部署 Configuration Manager 中的终结点保护的 Windows 防火墙策略

John 使用的可用的管理任务 Endpoint Protection 若要管理反恶意软件和 Windows 防火墙策略,对执行按需扫描的计算机在必要时,强制计算机下载最新的定义,并指定在检测到恶意软件时要执行任何进一步操作。

有关详细信息 Endpoint Protection 管理任务,请参阅 如何管理反恶意软件策略和 Endpoint Protection 在 Configuration Manager 中的防火墙设置

John 使用以下方法来监视的状态 Endpoint Protection 和通过采取的操作 Endpoint Protection:

  • 通过使用 System Center 2012 Endpoint Protection 状态 中的节点 监视 工作区。

  • 通过使用 Endpoint Protection 中的节点 资产和符合性 工作区。

  • 通过使用内置 配置管理器 报表。

有关详细信息 System Center 2012 Endpoint Protection 状态 节点,请参阅 如何监视 Endpoint Protection 使用 System Center 2012 Endpoint Protection 状态节点如何监视 Configuration Manager 中的终结点保护 主题。

有关如何监视的详细信息 Endpoint Protection 中所用资产和符合性工作区中,请参阅 如何监视 Endpoint Protection 资产和符合性工作区中 部分中 如何监视 Configuration Manager 中的终结点保护 主题。

有关如何监视的详细信息 Endpoint Protection 通过使用报表,请参阅 如何监视 Endpoint Protection 通过使用报表如何监视 Configuration Manager 中的终结点保护 主题。

John 报告的成功实施 Endpoint Protection 给他的经理,并且根据他给出的业务要求可以确认在 Woodgrove Bank 的计算机能够从反恶意软件,现在受保护。