Teilen über


Beispielszenario: Verwenden von Endpoint Protection zum Schutz von Computern vor Schadsoftware

Gilt für: Configuration Manager (Current Branch)

Dieser Artikel enthält ein Beispielszenario für die Implementierung von Endpoint Protection in Configuration Manager, um Computer in Ihrer Organisation vor Schadsoftwareangriffen zu schützen.

Übersicht über das Szenario

Configuration Manager wird bei der Woodgrove Bank installiert und verwendet. Die Bank verwendet derzeit Endpoint Protection, um Computer vor Schadsoftwareangriffen zu schützen. Darüber hinaus verwendet die Bank Windows Gruppenrichtlinie, um sicherzustellen, dass die Windows-Firewall auf allen Computern im Unternehmen aktiviert ist und dass Benutzer benachrichtigt werden, wenn die Windows-Firewall ein neues Programm blockiert.

Die Configuration Manager Administratoren wurden gebeten, die Antischadsoftware der Woodgrove Bank auf Endpoint Protection zu aktualisieren, damit die Bank von den neuesten Antischadsoftwarefeatures profitieren und die Antischadsoftwarelösung zentral über die Configuration Manager-Konsole verwalten kann.

Geschäftsanforderungen

Für diese Implementierung gelten die folgenden Anforderungen:

  • Verwenden Sie Configuration Manager, um die Einstellungen der Windows-Firewall zu verwalten, die derzeit von Gruppenrichtlinie verwaltet werden.

  • Verwenden Sie Configuration Manager Softwareupdates, um Schadsoftwaredefinitionen auf Computer herunterzuladen. Wenn keine Softwareupdates verfügbar sind, z. B. wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden ist, müssen Computer Definitionsupdates von Microsoft Update herunterladen.

  • Die Computer der Benutzer müssen jeden Tag eine schnelle Malware-Überprüfung durchführen. Server müssen jedoch jeden Samstag außerhalb der Geschäftszeiten um 1:00 Uhr eine vollständige Überprüfung durchführen.

  • Senden Sie eine E-Mail-Warnung, wenn eines der folgenden Ereignisse auftritt:

    • Schadsoftware wird auf jedem Computer erkannt

    • Die gleiche Malware-Bedrohung wird auf mehr als 5 Prozent der Computer erkannt

    • Dieselbe Malware-Bedrohung wird in einem Zeitraum von 24 Stunden mehr als 5 Mal erkannt.

    • In einem Zeitraum von 24 Stunden werden mehr als 3 verschiedene Arten von Schadsoftware erkannt.

    Die Administratoren führen dann die folgenden Schritte aus, um Endpoint Protection zu implementieren:

Schritte zum Implementieren von Endpoint Protection

Prozess Referenz
Die Administratoren überprüfen die verfügbaren Informationen zu den grundlegenden Konzepten für Endpoint Protection in Configuration Manager. Eine Übersicht über Endpoint Protection finden Sie unter Endpoint Protection.
Die Administratoren installieren die Endpoint Protection-Standortsystemrolle nur auf einem Standortsystemserver ganz oben in der Hierarchie der Woodgrove Bank. Weitere Informationen zum Installieren der Endpoint Protection-Standortsystemrolle finden Sie unter "Voraussetzungen" unter Konfigurieren von Endpoint Protection.
Die Administratoren konfigurieren Configuration Manager so, dass zum Senden der E-Mail-Warnungen ein SMTP-Server verwendet wird.

Hinweis: Sie müssen einen SMTP-Server nur konfigurieren, wenn Sie per E-Mail benachrichtigt werden möchten, wenn eine Endpoint Protection-Warnung generiert wird.
Weitere Informationen finden Sie unter Konfigurieren von Warnungen in Endpoint Protection.
Die Administratoren erstellen eine Gerätesammlung, die alle Computer und Server enthält, um den Endpoint Protection-Client zu installieren. Sie nennen diese Sammlung Alle Computer, die von Endpoint Protection geschützt sind.

Tipp: Sie können keine Warnungen für Benutzersammlungen konfigurieren.
Weitere Informationen zum Erstellen von Sammlungen finden Sie unter Erstellen von Sammlungen.
Die Administratoren konfigurieren die folgenden Warnungen für die Sammlung:

1) Schadsoftware wird erkannt: Die Administratoren konfigurieren den Warnungsschweregrad Kritisch.

2) Die gleiche Art von Schadsoftware wird auf einer Reihe von Computern erkannt: Die Administratoren konfigurieren den Warnungsschweregrad Kritisch und geben an, dass die Warnung generiert wird, wenn bei mehr als 5 Prozent der Computer Schadsoftware erkannt wurde.

3) Dieselbe Art von Schadsoftware wird wiederholt innerhalb des angegebenen Intervalls auf einem Computer erkannt: Die Administratoren konfigurieren den Warnungsschweregrad Kritisch und geben an, dass die Warnung generiert wird, wenn Schadsoftware in einem Zeitraum von 24 Stunden mehr als 5 Mal erkannt wird.

4) Mehrere Arten von Schadsoftware werden innerhalb des angegebenen Intervalls auf demselben Computer erkannt: Die Administratoren konfigurieren den Warnungsschweregrad Kritisch und geben an, dass die Warnung generiert wird, wenn in einem Zeitraum von 24 Stunden mehr als 3 Arten von Schadsoftware generiert werden.

Der Wert für Warnungsschweregrad gibt die Warnungsebene an, die in der Configuration Manager-Konsole und in Warnungen angezeigt wird, die sie in einer E-Mail-Nachricht erhalten.

Sie wählen außerdem die Option Diese Sammlung im Endpoint Protection-Dashboard anzeigen aus, damit sie die Warnungen in der Configuration Manager-Konsole überwachen können.
Weitere Informationen finden Sie unter "Konfigurieren von Warnungen für Endpoint Protection" unter Konfigurieren von Endpoint Protection.
Die Administratoren konfigurieren Configuration Manager Softwareupdates, um Definitionsupdates mithilfe einer automatischen Bereitstellungsregel dreimal täglich herunterzuladen und bereitzustellen. Weitere Informationen finden Sie im Abschnitt "Using Configuration Manager Software Aktualisierungen to Deliver Definition Aktualisierungen" in Use Configuration Manager software updates to deliver definition updates (Verwenden von Configuration Manager Softwareupdates zum Bereitstellen von Definitionsupdates).
Die Administratoren überprüfen die Einstellungen in der Standardrichtlinie für Antischadsoftware, die empfohlene Sicherheitseinstellungen von Microsoft enthält. Damit Computer täglich eine Schnellüberprüfung durchführen können, ändern sie die folgenden Einstellungen:

1) Ausführen einer täglichen Schnellüberprüfung auf Clientcomputern: Ja.

2) Zeitplan für tägliche Schnellscans: 9:00 Uhr.

Die Administratoren beachten, dass Aktualisierungen, die über Microsoft Update verteilt werden, standardmäßig als Definitionsupdatequelle ausgewählt ist. Dadurch wird die geschäftliche Anforderung erfüllt, dass Computer Definitionen aus Microsoft Update herunterladen, wenn sie keine Configuration Manager Softwareupdates erhalten können.
Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Antischadsoftwarerichtlinien für Endpoint Protection.
Die Administratoren erstellen eine Sammlung, die nur die Woodgrove Bank-Server mit dem Namen Woodgrove Bank Servers enthält. Weitere Informationen finden Sie unter Erstellen von Sammlungen.
Die Administratoren erstellen eine benutzerdefinierte Richtlinie für Antischadsoftware mit dem Namen Woodgrove Bank Server Policy. Sie fügen nur die Einstellungen für geplante Überprüfungen hinzu und nehmen die folgenden Änderungen vor:

Scantyp: Vollständig

Scantag: Samstag

Scanzeit: 1:00 Uhr

Ausführen einer täglichen Schnellüberprüfung auf Clientcomputern: Nein.
Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Antischadsoftwarerichtlinien für Endpoint Protection.
Die Administratoren stellen die benutzerdefinierte Richtlinie für Antischadsoftware von Woodgrove Bank Policy für die Woodgrove Bank Servers-Sammlung bereit. Weitere Informationen finden Sie im Artikel Zum Erstellen und Bereitstellen von Antischadsoftwarerichtlinien für Endpoint Protection .
Die Administratoren erstellen einen neuen Satz von benutzerdefinierten Clientgeräteeinstellungen für Endpoint Protection und benennen diese Woodgrove Bank Endpoint Protection-Einstellungen.

Hinweis: Wenn Sie Endpoint Protection nicht auf allen Clients in Ihrer Hierarchie installieren und aktivieren möchten, stellen Sie sicher, dass die Optionen Endpoint Protection-Client auf Clientcomputern verwalten und Endpoint Protection-Client auf Clientcomputern installieren in den Standardclienteinstellungen als Nein konfiguriert sind.
Weitere Informationen finden Sie unter Konfigurieren von benutzerdefinierten Clienteinstellungen für Endpoint Protection.
Sie konfigurieren die folgenden Einstellungen für Endpoint Protection:

Verwalten des Endpoint Protection-Clients auf Clientcomputern: Ja

Diese Einstellung und der Wert stellen sicher, dass jeder vorhandene Endpoint Protection-Client, der installiert wird, von Configuration Manager verwaltet wird.

Installieren des Endpoint Protection-Clients auf Clientcomputern: Ja.
Die Administratoren stellen die Clienteinstellungen für die Woodgrove Bank Endpoint Protection-Einstellungen in der Sammlung Alle durch Endpoint Protection geschützten Computer bereit. Weitere Informationen finden Sie unter Konfigurieren von benutzerdefinierten Clienteinstellungen für Endpoint Protection in Configuration Manager.
Die Administratoren verwenden den Assistenten zum Erstellen von Windows-Firewallrichtlinien, um eine Richtlinie zu erstellen, indem sie die folgenden Einstellungen für das Domänenprofil konfigurieren:

1) Windows-Firewall aktivieren: Ja

2)
Benutzer benachrichtigen, wenn die Windows-Firewall ein neues Programm blockiert: Ja
Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Windows-Firewallrichtlinien für Endpoint Protection.
Die Administratoren stellen die neue Firewallrichtlinie für die Zuvor erstellte Sammlung Alle durch Endpoint Protection geschützten Computer bereit. Weitere Informationen finden Sie unter "So stellen Sie eine Windows-Firewallrichtlinie bereit" unter Erstellen und Bereitstellen von Windows-Firewallrichtlinien für Endpoint Protection.
Die Administratoren verwenden die verfügbaren Verwaltungsaufgaben für Endpoint Protection, um Antischadsoftware- und Windows-Firewallrichtlinien zu verwalten, bei Bedarf Überprüfungen von Computern durchzuführen, computer zum Herunterladen der neuesten Definitionen zu erzwingen und alle weiteren Aktionen anzugeben, die bei erkennung von Schadsoftware ausgeführt werden sollen. Weitere Informationen finden Sie unter Verwalten von Antischadsoftwarerichtlinien und Firewalleinstellungen für Endpoint Protection.
Die Administratoren verwenden die folgenden Methoden, um den Status von Endpoint Protection und die von Endpoint Protection ausgeführten Aktionen zu überwachen:

1) Mithilfe des Knotens Endpoint Protection-Status unter Sicherheit im Arbeitsbereich Überwachung .

2) Mithilfe des Endpoint Protection-Knotens im Arbeitsbereich Bestand und Kompatibilität .

3) Mithilfe der integrierten Configuration Manager Berichte.
Weitere Informationen finden Sie unter Überwachen von Endpoint Protection.

Die Administratoren melden ihrem Vorgesetzten eine erfolgreiche Implementierung von Endpoint Protection und bestätigen, dass die Computer der Woodgrove Bank nun gemäß den geschäftlichen Anforderungen vor Antischadsoftware geschützt sind.

Nächste Schritte

Weitere Informationen finden Sie unter Konfigurieren von Endpoint Protection.