• 發行項

可以來保護電腦防範惡意程式碼設定 Endpoint Protection Configuration Manager 中的範例案例

 

適用於: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

本主題提供範例案例如何實作中的 Endpoint Protection Microsoft System Center 2012 Configuration Manager 以保護組織中的電腦免於惡意程式碼攻擊。

John 是 Configuration Manager Woodgrove bank 的系統管理員。 銀行目前使用 Microsoft Forefront Endpoint Protection 2010 來保護電腦免於惡意軟體攻擊。 此外,銀行會使用 Windows 群組原則以確保公司中的所有電腦上會啟用 Windows 防火牆和使用者都會在 Windows 防火牆阻擋新程式時收到通知。

John 被要求升級 Woodgrove Bank 反惡意程式碼軟體 System Center 2012 Endpoint Protection 如此銀行可以受益於最新的反惡意程式碼功能而且能夠集中管理反惡意程式碼解決方案從 Configuration Manager 主控台。 這個實作具有下列需求:

  • 使用 Configuration Manager 來管理目前由群組原則管理的 Windows 防火牆設定。

  • 使用 Configuration Manager 軟體更新下載到電腦的惡意程式碼定義。 如果軟體更新無法使用,例如如果電腦未連線到公司網路,電腦必須從 Microsoft Update 下載程式碼定義更新。

  • 使用者的電腦必須執行快速的惡意程式碼掃描每一天。 伺服器,不過,必須執行完整掃描在上班時間之外的每個星期六在凌晨 1 點

  • 每次任一下列事件發生時傳送電子郵件警示:

    • 在任何電腦上偵測到惡意程式碼

    • 超過 5%的電腦上偵測到相同的惡意程式碼威脅

    • 相同的惡意程式碼威脅中偵測到 5 倍以上任何 24 小時的週期

    • 3 個以上的不同類型的惡意程式碼會偵測到任何 24 小時的週期

  • 解除安裝現有的反惡意程式碼方案。

John 然後執行下列步驟來實作 Endpoint Protection:

若要實作 Endpoint Protection 的步驟

程序

參考

John 檢閱可用的基本概念資訊 Endpoint Protection 中 Configuration Manager。

如需有關的概觀資訊 Endpoint Protection, ,請參閱 Configuration Manager 中的 Endpoint Protection 簡介

John 檢閱和實作使用所需的必要條件 Endpoint Protection。

如需有關必要條件的詳細資訊 Endpoint Protection, ,請參閱 Configuration Manager 中的 Endpoint Protection 必要條件

John 會安裝 Endpoint Protection Woodgrove Bank 階層頂端站台系統角色僅一個站台系統伺服器上的。

如需有關如何安裝 Endpoint Protection 站台系統角色,請參閱 步驟 1: 建立 Endpoint Protection 點站台系統角色 一節中 如何設定 Configuration Manager 中的 Endpoint Protection 主題。

John 設定 Configuration Manager 要用於 SMTP 伺服器傳送電子郵件警示。

System_CAPS_note注意事項

您必須設定 SMTP 伺服器只有當您想要收到通知電子郵件時 Endpoint Protection 產生警示。

如需詳細資訊,請參閱如何針對 Endpoint Protection Configuration Manager 中設定警示

System_CAPS_note注意事項

電子郵件通知設定都不同的 Configuration Manager SP1 和 Configuration Manager 不含 service pack。

John 會建立包含所有電腦和伺服器安裝的裝置集合 Endpoint Protection 用戶端。 他命名此集合 所有電腦受到 Endpoint Protection

System_CAPS_tip提示

您無法設定使用者集合的警示。

如需有關如何建立集合的詳細資訊,請參閱 如何在 Configuration Manager 中建立集合

他會設定下列警示集合:

  • 偵測到惡意程式碼: John 設定的警示嚴重性 嚴重

  • 數量的電腦上偵測到相同類型的惡意程式碼 : John 設定的警示嚴重性 嚴重 並指定當超過 5%的電腦有偵測到的惡意程式碼就會產生警示。

  • 相同類型的惡意程式碼重複偵測到的電腦上指定的間隔內: John 設定的警示嚴重性 嚴重 並指定當惡意程式碼中偵測到 5 倍以上的 24 小時內就會產生警示。

  • 多種類型的惡意程式碼會在同一部電腦上偵測到指定的間隔內: John 設定的警示嚴重性 嚴重 並指定在 24 小時內產生 3 個以上類型的惡意程式碼時就會產生警示。

System_CAPS_note注意事項

警示嚴重性 表示將會顯示在警示層級 Configuration Manager 主控台和他會收到電子郵件訊息中的警示。

他另外選取選項 Endpoint Protection 儀表板中檢視這一系列 以便讓他可以監視警示 Configuration Manager 主控台。

如需詳細資訊,請參閱如何針對 Endpoint Protection Configuration Manager 中設定警示

John 設定 Configuration Manager 下載並使用自動部署規則部署定義更新檔三次一天的軟體更新。

System_CAPS_important重要事項

這個頻率是適用於 Configuration Manager SP1。 不過,基於效能考量,在 Configuration Manager 不含 service pack、 未排程自動部署規則來傳遞定義更新一次以上每一天。

如需詳細資訊,請參閱使用 Configuration Manager 軟體更新傳遞定義更新檔主題中的如何設定 Configuration Manager 中的 Endpoint Protection 定義更新檔一節。

John 會檢查包含來自 Microsoft 的建議的安全性設定的預設反惡意程式碼原則中的設定。 若要執行快速掃描每一天到電腦,他變更下列設定:

  • 用戶端電腦上執行每日快速掃描:

  • 每日快速掃描排程時間: 上午 9:00

John 再度 分散式從 Microsoft Update 更新 做為定義更新來源的預設為選取狀態。 這可滿足該電腦定義從 Microsoft Update 時下載它們無法接收的商務需求 Configuration Manager 軟體更新。

如需詳細資訊,請參閱如何建立和部署針對 Endpoint Protection Configuration Manager 中的反惡意程式碼原則

John 會建立包含只有名為 Woodgrove Bank 伺服器集合 Woodgrove Bank 伺服器

如需有關如何建立集合的詳細資訊,請參閱 如何在 Configuration Manager 中建立集合

John 會建立名為自訂的反惡意程式碼原則 Woodgrove Bank 伺服器原則。 他只會將設定新增 排程掃描 並進行下列變更:

  • 掃描類型: 完整

  • 掃描天: 星期六

  • 掃描時間: 上午 1:00

  • 用戶端電腦上執行每日快速掃描:

如需詳細資訊,請參閱如何建立和部署針對 Endpoint Protection Configuration Manager 中的反惡意程式碼原則

John 部署 Woodgrove Bank 伺服器原則 自訂反惡意程式碼原則 Woodgrove Bank 伺服器 集合。

如需詳細資訊,請參閱若要部署到用戶端電腦的反惡意程式碼原則主題中的如何建立和部署針對 Endpoint Protection Configuration Manager 中的反惡意程式碼原則一節。

John 會建立一組新的自訂用戶端裝置設定 Endpoint Protection 與這些名稱 Woodgrove Bank Endpoint Protection 設定

System_CAPS_warning警告

如果您不想要安裝和啟用 Endpoint Protection 在階層中的所有用戶端,請確定選項 管理端點保護用戶端電腦上的用戶端用戶端電腦上的安裝端點保護用戶端 都已設定為 中的預設用戶端設定。

如需詳細資訊,請參閱步驟 5: 設定 Endpoint Protection 的自訂用戶端設定主題中的如何設定 Configuration Manager 中的 Endpoint Protection一節。

他會設定下列設定 Endpoint Protection:

  • 管理端點保護用戶端電腦上的用戶端:  

    此設定與值可確保任何現有 Endpoint Protection 已安裝的用戶端會變成受 Configuration Manager。

  • 用戶端電腦上的安裝端點保護用戶端:

  • 自動移除先前安裝的反惡意程式碼軟體安裝 Endpoint Protection 之前:

    此設定與值可滿足之前先移除現有的反惡意程式碼軟體的商務需求 Endpoint Protection 已安裝並啟用。

如需詳細資訊,請參閱步驟 5: 設定 Endpoint Protection 的自訂用戶端設定主題中的如何設定 Configuration Manager 中的 Endpoint Protection一節。

John 部署 Woodgrove Bank Endpoint Protection 設定 用戶端設定 所有電腦受到 Endpoint Protection 集合。

如需詳細資訊,請參閱如何建立及部署自訂用戶端設定主題中的如何在 Configuration Manager 中設定用戶端設定一節。

John 會使用建立的 Windows 防火牆原則精靈來建立原則設定網域設定檔的下列設定:

  • 啟用 Windows 防火牆:

  • Windows 防火牆阻擋新程式時通知使用者:

如需詳細資訊,請參閱 若要建立 Windows 防火牆原則 一節中 如何建立和 Endpoint protection Configuration Manager 中部署 Windows 防火牆原則

John 會將新的防火牆原則部署到集合 所有電腦受到 Endpoint Protection 他在稍早所建立。

如需詳細資訊,請參閱 若要部署的 Windows 防火牆原則 一節中 如何建立和 Endpoint protection Configuration Manager 中部署 Windows 防火牆原則

John 會使用可用的管理工作的 Endpoint Protection 管理反惡意程式碼和 Windows 防火牆原則,執行隨選掃描的電腦在必要時,強制電腦下載最新的定義並指定當偵測到惡意程式碼時要採取任何進一步動作。

如需有關 Endpoint Protection 管理工作,請參閱 如何管理反惡意程式碼原則和 Endpoint Protection Configuration Manager 中的防火牆設定

John 會使用下列方法來監視狀態 Endpoint Protection 以及所採取的動作 Endpoint Protection:

  • 使用 System Center 2012 Endpoint Protection 狀態 中的節點 監視 工作區。

  • 使用 Endpoint Protection 中的節點 資產與相容性 工作區。

  • 使用內建 Configuration Manager 報表。

如需有關 System Center 2012 Endpoint Protection 狀態 節點,請參閱 如何監視 Endpoint Protection 使用 System Center 2012 Endpoint Protection 狀態節點 一節中 如何監視 Configuration Manager 中的 Endpoint Protection 主題。

如需有關如何監視 Endpoint Protection 在資產和符合性工作區,請參閱 如何監視 Endpoint Protection 資產和符合性的工作區中 一節中 如何監視 Configuration Manager 中的 Endpoint Protection 主題。

如需有關如何監視 Endpoint Protection 所使用的報表,請參閱 如何監視 Endpoint Protection 使用報表 一節中 如何監視 Configuration Manager 中的 Endpoint Protection 主題。

John 會報告成功實作 Endpoint Protection 給他的經理和確認 Woodgrove bank 的電腦現在它會防止反惡意程式碼,根據他所提供的商務需求。