Freigeben über

  • Artikel

Beispielszenario für den Schutz von Computern vor Malware durch Konfigurieren von Endpoint Protection in Configuration Manager

 

Betrifft: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Dieses Thema enthält ein Beispielszenario für die Implementierung von Endpoint Protection in Microsoft System Center 2012 Configuration Manager auf Computern in einer Organisation vor Malwareangriffen zu schützen.

John ist der Configuration Manager Administrator bei der Woodgrove Bank. Die Bank verwendet derzeit Microsoft Forefront Endpoint Protection 2010, um Computer vor Malwareangriffen zu schützen. Darüber hinaus verwendet die Bank Windows-Gruppenrichtlinien, um sicherzustellen, dass die Windows-Firewall auf allen Computern im Unternehmen aktiviert ist, und ob Benutzer benachrichtigt werden, wenn Windows-Firewall ein neues Programm blockiert.

John wurde gebeten, aktualisieren Sie die Woodgrove Bank Antimalware-Software für die System Center 2012 Endpoint Protection sodass die Bank kann die aktuellen Antimalware-Features profitieren können zentral verwalten, die Antimalware-Lösung von der Configuration Manager Konsole. Diese Implementierung ist Folgendes erforderlich:

  • Verwendung Configuration Manager die Windows-Firewall-Einstellungen zu verwalten, die derzeit von der Gruppenrichtlinie verwaltet werden.

  • Verwendung Configuration Manager Softwareupdates Malwaredefinitionen auf Computer herunterladen. Wenn Softwareupdates nicht verfügbar, z. B. sind Wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden ist, müssen der Computer Definitionsupdates von Microsoft Update herunterladen.

  • Computern der Benutzer müssen einen schnellen Malwarescan täglich ausführen. Server müssen jedoch eine vollständige Überprüfung jeden Samstag, außerhalb der Geschäftszeiten, um 1 Uhr morgens ausgeführt.

  • Senden Sie eine e-Mail-Benachrichtigung, wenn eine der folgenden Ereignisse eintritt:

    • Malware wird auf jedem Computer erkannt.

    • Auf mehr als 5 Prozent der Computer wird die gleiche Bedrohung durch Malware erkannt.

    • Die gleichen Bedrohung durch Malware wird in jedem Zeitraum von 24 Stunden mehr als 5-Mal erkannt.

    • Mehr als 3 verschiedene Arten von Malware erkannt werden in jedem Zeitraum von 24 Stunden

  • Deinstallieren Sie die vorhandene Antimalware-Lösung.

John führt dann die folgenden Schritte zur Implementierung Endpoint Protection:

Schritte zum Implementieren von Endpoint Protection

Prozess

Reference

Peter prüft die verfügbare Informationen über die grundlegenden Konzepte für Endpoint Protection in Configuration Manager.

Überblick über Endpoint Protection, finden Sie unter Einführung in Endpoint Protection in Configuration Manager.

John überprüft und implementiert die erforderlichen Komponenten mit Endpoint Protection.

Weitere Informationen zu den erforderlichen Komponenten für Endpoint Protection, finden Sie unter Voraussetzungen für Endpoint Protection in Configuration Manager.

John installiert die Endpoint Protection -Standortsystemrolle auf einem standortsystemserver nur am oberen Rand der Hierarchie der Woodgrove Bank.

Weitere Informationen zum Installieren der Endpoint Protection -Standortsystemrolle, finden Sie unter der Schritt 1: Erstellen einer Endpoint Protection-Standortsystemrolle im Abschnitt der Konfigurieren von Endpoint Protection in Configuration Manager Thema.

John konfiguriert Configuration Manager an einen SMTP-Server zu verwenden, um die e-Mail-Benachrichtigungen zu senden.

System_CAPS_noteHinweis

Sie müssen einen SMTP-Server konfigurieren, nur dann, wenn Sie benachrichtigt werden möchten per e-Mail, wenn eine Endpoint Protection Warnung wird generiert.

Weitere Informationen finden Sie unter Konfigurieren von Warnungen für Endpoint Protection in Configuration Manager.

System_CAPS_noteHinweis

Die e-Mail-Benachrichtigungseinstellungen unterscheiden sich für Configuration Manager SP1 und Configuration Manager ohne Service Pack.

John erstellt eine Geräte-Auflistung, die alle Computer und Server installieren enthält die Endpoint Protection Client. Er benennt diese Auflistung alle Computer geschützt Endpoint Protection.

System_CAPS_tipTipp

Es können keine Benachrichtigungen für Benutzersammlungen konfiguriert werden.

Weitere Informationen zum Erstellen von Sammlungen finden Sie unter Erstellen von Sammlungen in Configuration Manager

Er konfiguriert die folgenden Warnungen für die Sammlung:

  • Malware erkannt: John konfiguriert eine Warnungsschweregrads kritischen.

  • Die gleiche Art von Malware erkannt wird, auf eine Anzahl von Computern : John konfiguriert eine Warnungsschweregrads kritischen und gibt an, dass die Warnung generiert wird, wenn mehr als 5 Prozent der Computer Malware entdeckt haben.

  • Die gleiche Art von Malware ist wiederholt innerhalb eines angegebenen Zeitraums auf einem Computer erkannt: John konfiguriert eine Warnungsschweregrads kritischen und gibt an, dass die Warnung generiert wird, wenn Malware mehr als 5-Mal in einem Zeitraum von 24 Stunden erkannt wird.

  • Mehrere Arten von Malware auf demselben Computer erkannt werden, innerhalb des angegebenen Intervalls: John konfiguriert eine Warnungsschweregrads kritischen und gibt an, dass die Warnung generiert wird, wenn mehr als 3 Arten von Malware in einem Zeitraum von 24 Stunden erstellt werden.

System_CAPS_noteHinweis

Der Wert für Schweregrad der Warnung gibt die Warnstufe, die in angezeigt werden die Configuration Manager Konsole und Warnungen, die er in einer e-Mail-Nachricht empfängt.

Außerdem wählt er die Option dieser Sammlung im Endpoint Protection-Dashboard anzeigen damit er in überwachen die Configuration Manager Konsole.

Weitere Informationen finden Sie unter Konfigurieren von Warnungen für Endpoint Protection in Configuration Manager.

John konfiguriert Configuration Manager Softwareupdates herunterladen und Bereitstellen von Definitionsupdates dreimal täglich mit einer Regel zur automatischen Bereitstellung.

System_CAPS_importantWichtig

Diese Frequenz eignet sich für Configuration Manager SP1. Jedoch aus Leistungsgründen im Configuration Manager ohne Service Pack nicht planen Regeln zur automatischen Bereitstellung zum Übermitteln von Definitionsupdates mehr als einmal täglich.

Weitere Informationen finden Sie im Abschnitt Verwenden Configuration Manager-Softwareupdates zum Übermitteln von Definitionsupdates des Themas Konfigurieren von Definitionsupdates für Endpoint Protection in Configuration Manager.

John überprüft die Einstellungen in der Standardrichtlinie für Antischadsoftware, die von Microsoft empfohlene Sicherheitsstufe enthält. Damit Computer jeden Tag um einen schnellen-Scan ausführen ändert er die folgenden Einstellungen:

  • Eine tägliche schnellüberprüfung auf Clientcomputern ausgeführt: Ja.

  • Tägliche schnell-Scan geplante Zeit: 9:00 Uhr.

John weist darauf hin, Updates von Microsoft Update standardmäßig als eine definitionsupdatequelle ausgewählt ist. Dies erfüllt die Anforderung, dass Computer Definitionen von Microsoft Update herunterladen, wenn sie empfangen können Configuration Manager Softwareupdates.

Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Richtlinien für Antischadsoftware für Endpoint Protection in Configuration Manager.

John erstellt eine Auflistung, die nur die Woodgrove Bank-Server, die mit dem Namen Server für Woodgrove Bank.

Weitere Informationen zum Erstellen von Sammlungen finden Sie unter Erstellen von Sammlungen in Configuration Manager

John erstellt eine benutzerdefinierte Antischadsoftware-Richtlinie mit der Bezeichnung Richtlinie der Woodgrove Bank-Server. Er fügt nur die Einstellungen für Geplanter Scans und nimmt folgende Änderungen:

  • Überprüfungstyp: vollständige

  • Scan Tag: Samstag

  • Scan-Zeit: 1:00 Uhr

  • Eine tägliche schnellüberprüfung auf Clientcomputern ausgeführt: Nr..

Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Richtlinien für Antischadsoftware für Endpoint Protection in Configuration Manager.

John bereitstellt der Richtlinie der Woodgrove Bank-Server benutzerdefinierte Antischadsoftware-Richtlinie, um die Server für Woodgrove Bank Auflistung.

Weitere Informationen finden Sie im Abschnitt So stellen Sie eine Richtlinie für Antischadsoftware für Clientcomputer bereit des Themas Erstellen und Bereitstellen von Richtlinien für Antischadsoftware für Endpoint Protection in Configuration Manager.

John erstellt einen neuen Satz von benutzerdefinierten Client-geräteeinstellungen für Endpoint Protection und benennt diese Woodgrove Bank Endpoint Protection-Einstellungen.

System_CAPS_warningWarnung

Wenn Sie nicht möchten, installieren und aktivieren Endpoint Protection stellen sicher, dass auf allen Clients in Ihrer Hierarchie, die Optionen Verwalten von Endpoint Protection-Client auf Clientcomputern und Installieren Endpoint Protection-Client auf Clientcomputern sind so konfiguriert, als Nr. in den Standardeinstellungen für den Client.

Weitere Informationen finden Sie im Abschnitt Schritt 5: Konfigurieren Sie benutzerdefinierte Clienteinstellungen für Endpointprotection des Themas Konfigurieren von Endpoint Protection in Configuration Manager.

Er konfiguriert die folgenden Einstellungen für Endpoint Protection:

  • Verwalten von Endpoint Protection-Client auf Clientcomputern: Ja 

    Diese Einstellung und der Wert wird sichergestellt, dass alle vorhandenen Endpoint Protection Client installiert ist, die von verwalteten wird Configuration Manager.

  • Installieren Endpoint Protection-Client auf Clientcomputern: Ja.

  • Automatisch entfernen, die zuvor installierte Antimalware-Software vor der Installation von Endpoint Protection: Ja.

    Diese Einstellung und Wert erfüllt die Anforderung, die vorhandene Antischadsoftware entfernt wird, bevor Endpoint Protection installiert und aktiviert ist.

Weitere Informationen finden Sie im Abschnitt Schritt 5: Konfigurieren Sie benutzerdefinierte Clienteinstellungen für Endpointprotection des Themas Konfigurieren von Endpoint Protection in Configuration Manager.

John stellt die Woodgrove Bank Endpoint Protection-Einstellungen -Clienteinstellungen die alle Computer geschützt Endpoint Protection Auflistung.

Weitere Informationen finden Sie im Abschnitt Erstellen und Bereitstellen von benutzerdefinierten Clienteinstellungen des Themas Konfigurieren von Clienteinstellungen in Configuration Manager.

John verwendet den Windows-Firewall-Richtlinie Assistenten zum Erstellen, um eine Richtlinie zu erstellen, indem Sie die folgenden Einstellungen für das Domänenprofil konfigurieren:

  • Windows-Firewall aktiviert: Ja

  • Benutzer benachrichtigen, wenn Windows-Firewall ein neues Programm blockiert: Ja

Weitere Informationen finden Sie unter der So erstellen Sie eine Windows-Firewall-Richtlinie im Abschnitt die Erstellen und Bereitstellen von Windows-Firewall-Richtlinien für Endpoint Protection in Configuration Manager

John stellt die neue Firewall-Richtlinie für die Sammlung alle Computer geschützt Endpoint Protection die er zuvor erstellt haben.

Weitere Informationen finden Sie unter der So stellen Sie eine Windows-Firewall-Richtlinie bereit im Abschnitt die Erstellen und Bereitstellen von Windows-Firewall-Richtlinien für Endpoint Protection in Configuration Manager

John verwendet die verfügbaren Verwaltungsaufgaben für Endpoint Protection um Malware- und Windows-Firewall-Richtlinien zu verwalten, Ausführen von Scans auf Anforderung von Computern bei Bedarf, erzwingen Sie die Computer, die neuesten Definitionen herunterladen sowie an weiteren Maßnahmen zu ergreifen, wenn Malware erkannt wird.

Weitere Informationen zu den Endpoint Protection Management-Aufgaben finden Sie unter Verwalten von Richtlinien für Antischadsoftware und Firewalleinstellungen für Endpoint Protection in Configuration Manager.

John verwendet die folgenden Methoden zum Überwachen des Status der Endpoint Protection und die Aktionen, die ausgeführt werden, indem Sie Endpoint Protection:

  • Mithilfe der System Center 2012 Endpoint Protection-Status Knoten in der Überwachung Arbeitsbereich.

  • Mithilfe der Endpoint Protection Knoten in der Bestand und Kompatibilität Arbeitsbereich.

  • Mithilfe der integriertes Configuration Manager Berichten.

Weitere Informationen zu den System Center 2012 Endpoint Protection-Status Knoten finden Sie unter der Überwachen von Endpoint Protection über den Knoten "System Center 2012 Endpoint Protection-Status" im Abschnitt der Überwachen von Endpoint Protection in Configuration Manager Thema.

Weitere Informationen zum Überwachen von Endpoint Protection Bestand und Kompatibilität im Arbeitsbereich finden Sie unter der Überwachen von Endpoint Protection im Arbeitsbereich "Bestand und Kompatibilität" im Abschnitt der Überwachen von Endpoint Protection in Configuration Manager Thema.

Weitere Informationen zum Überwachen von Endpoint Protection mithilfe von Berichten finden Sie unter der Überwachen von Endpoint Protection mithilfe von Berichten im Abschnitt der Überwachen von Endpoint Protection in Configuration Manager Thema.

John meldet eine erfolgreiche Implementierung von Endpoint Protection zu seinem Vorgesetzten und bestätigt, dass der Computer bei der Woodgrove Bank jetzt geschützt sind, von Antimalware, entsprechend den geschäftlichen Anforderungen, der er zugewiesen wurde.