操作系统部署和 Endpoint Protection 客户端安装

通过将 Endpoint Protection 集成到 System Center 2012 Configuration Manager 中，您可轻松、快速地保护客户端免遭恶意软件的侵袭，并使用 System Center 2012 Endpoint Protection 管理客户端，同时将其作为操作系统部署 (OSD) 流程中的一部分。因此，今天我将向您介绍 Endpoint Protection 客户端安装步骤的最佳做法，以及作为 OSD 任务序列一部分的定义。此处所介绍的步骤是确保客户端能够在任务序列过程中获得定义的优化方式，且该方式能够最大程度减少 Endpoint Protection 客户端通过 WAN 下载大于 60 MB 的引擎和定义负载的任何潜在带宽影响。 

您可利用映像的离线维护来保持您的映像处于最新状态，进而可最大程度减少任务序列中需要应用的更新数量（如果您使用该方法来应用更新）。作为一项一般性的建议，这一点对您同样重要。由于该操作与应用软件更新的步骤独立，因此该操作并不与此处概述的 Endpoint Protection 客户端和定义的部署直接相关，而只是优化操作系统部署性能的一个一般指导要点。

在较高的级别中，该流程包括将客户端设置策略的目标设置为收集管理 Endpoint Protection，（利用脚本和计划任务）为定义创建和更新一个源文件夹，为 Endpoint Protection 客户端和定义生成数据包和程序，然后将这些客户端和定义添加为您 OSD 流程中的任务序列。我假定您已经掌握了 OSD 的一般知识，因此我并不会深入介绍 OSD 知识，而是集中探讨如何以最佳方式将 Endpoint Protection 集成到您的任务序列，以及一些确保定义保持最新状态的流程指导。

Endpoint Protection 的客户端设置策略

用户可通过客户端设置来安装和管理 Endpoint Protection 客户端，或仅管理 Endpoint Protection 客户端。如果客户端获得了一个策略来安装 Endpoint Protection 客户端，而客户端已经存在，那么其将开始管理现有的 Endpoint Protection 客户端。当完成任务序列中的 Configuration Manager 客户端安装步骤之后，将 Endpoint Protection 客户端安装为一个数据包，由此系统将在客户端接收安装客户端设置策略之前安装 Endpoint Protection 客户端。因此当客户端稍后获得客户端设置策略时，其将处于受管状态，并不会重新安装。长话短说，对于运行任务序列的客户端而言，您将其目标设置为 Endpoint Protection 安装或单一管理策略实际上并不重要，任务序列将在客户端获得策略之前安装客户端，并在获得策略之时处于受管状态。

定义更新源

由于我们将使用数据包和程序来在 OSD 期间传递初始定义，因此我们首先需要为这些定义创建一个源，并自动更新该源。我建议使用此方法而非使用任务序列中可用的软件更新方法的原因在于这可让您“仅”更新定义，而且该方法不需要扫描和应用所有可用的更新。由于我们仅将启动一个包含最新定义的二进制文件，因此您的客户端无需对更新运行相容性扫描，从而可形成一个更为迅速的方法来在您安装完客户端后立即更新 Endpoint Protection 定义。您可随意将应用软件更新步骤与数据包一同使用，但是为了在安装 Endpoint Protection 时加速定义传递，您应使用此数据包流程。此外，与稍后引用的命令行和 AM 策略设置一同使用该流程可确保您的客户端将定义作为数据包中的一部分来安装，且不通过 WAN 下载。

首个步骤是创建您的定义更新源，并将作为您的 Configuration Manager 的数据包源。您可在您的 Configuration Manager 站点服务器可访问的任何路径上创建该源，然后使用此处记录的脚本流程或此处的完整脚本示例来将定义下载到您所定义的路径。很显然，您需要修改脚本才能映射您所选择作为数据包源使用的路径。您也可按照链接中所概述的方式，使用此流程来分段您的初始网络检查系统 (NIS) 定义更新。这些更新可位于与定义相同的文件夹中，您只需为 EP 和 NIS 定义的 32 位和 64 位数据而区分文件夹。 

要自动化脚本，您只需将其作为承载您定义源的服务器上的一项计划任务来每天运行一次，以获得最新的定义文件。我们并不建议您每天同步超过一次，因为这样将对您的内容分发系统造成不必要的负担，而且对于支持 OSD 而言，这一频率已经足够。客户端将通过您的标准定义部署流程后期 OSD 来获得任何更新的定义。

配置数据包

在我们处理好定义源和自动更新流程后，下一个步骤是继续创建我们将在任务序列中用于部署客户端的数据包。在软件库中，在 [Application Management | Packages]（应用程序管理 | 数据包）下，选择 [Create Package]（创建数据包）。我们需要为 Endpoint Protection 客户端创建首个数据包。您可在您的 Configuration Manager 站点服务器安装文件夹中的客户端文件夹中获得客户端 SCEPInstall.exe，并将其复制到您希望此数据包源自的任何位置。您还需要一个简单的 CMD 文件（下述第 1 步）和一个基础反恶意软件策略 XML 文件，由于我们将与 SCEPInstall.exe /policy 一同调用该文件，因此 1) 所需的策略可在安装时（通过您所选择的、对该策略文件进行的操作）得以配置，以及 2) 我们可设置 DisableUpdateOnStartupWithoutEngine，其可确保客户端从序列任务中的下一步中获得其定义，而不是作为从备用源下载的内容。让我们来了解一下这些步骤： 

1. 创建一个简单的 .CMD 文件，其中包含 scepinstall.exe 和所需调用的参数：scepinstall.exe /s /q /NoSigsUpdateAtInitialExp /policy %~dp0EPAMPolicy2.xml
2. 该 .CMD 文件将是我们构建下一个程序时在命令行中需调用的内容。以下是每个参数的含义：
   1. /s = 无提示安装。
   2. /q = 无提示抽取安装文件
   3. /NoSigsUpdateAtInitialExp = 作为安装一部分的无定义更新。该操作可让您确保安装程序并不会接触诸如 Windows Update 等远程源，即可获得初始定义和引擎更新。定义将作为其自有的数据包而在下一个任务序列中从分发点传递，这将减少潜在的 WAN 影响。请注意：您还需要针对 DisableUpdateOnStartupWithoutEngine 设置 AM 策略，否则客户端也将尝试在服务启动时从远程源更新定义。 
   4. /policy = 在安装时应用指定的 AM 策略。
   5.  %~dp0EPAMPolicy2.xml = 确保 SCEPInstall 在引用策略文件时其将从本地路径调用。/policy 参数需要一个特定的路径，而且该字符串可确保系统将调用一个本地路径（该路径与面向您 Endpoint Protection 客户端数据包所使用的路径相同）。
3. 为数据包创建一个源文件夹，并将 SCEPInstall.exe、附加的 AM 策略（根据您的使用偏好修改），以及在第 1 步创建的 .CMD 文件复制到该文件夹中。
4. 在 [Create Package and Program]（创建数据包和程序）向导中，命名您的数据包，选择 [This package contains source files]（此数据包包含源文件），并浏览到您存放 .CMD 文件的位置，以选中该文件作为运行的命令行（可作为本地源或 UNC）。在下一页面中，选择标准程序。
5. 在标准程序页面中，命名您的程序，然后再次浏览到您承载 CMD 文件的位置。
6.  将数据包设置为无论用户是否登录均可正常运行，且在运行时包含管理权限。 
7. 将要求页面保持原状，并完成向导。

接下来，我们需要创建一个数据包来部署定义更新。与上述步骤相似，启动向导，命名数据包，并（使用拥有面向 32 位和 64 位定义二进制文件的文件夹的根目录）导航到源位置，然后选择标准程序。 在此，我们将需要分别创建程序（共 4 个），其中每个程序对应 32 位和 64 位的定义 (mpam-fe.exe)，以及网络检查系统 (NIS) (nis_full.exe)。这些二进制文件不需要参数。此外，也请将数据包设置为无论用户是否登录均可正常运行，且运行时包含管理权限。将要求页面保持原状，并完成向导。

现在已经创建了两类数据包，您应在时间表中计划定义数据包更新的分发点。转到数据包属性，在 [data source]（数据源）下，选中 [update distribution points on a schedule (no more than once a day)]（在时间表中更新分发点（一天不超过一次）），并调整时间表，使其与您正在运行的计划任务一致，以将定义文件更新到源目录中。现在您已经拥有了需要添加到任务序列中的两类数据包。

利用 Endpoint Protection 数据包创建任务序列

我假定您已经创建使用了操作系统映像，也可能创建了一个任务序列，因此我并不会在此处深入介绍这些内容。这些步骤十分简单：只需使用您在之前步骤中为 Endpoint Protection 客户端和定义更新创建的数据包，并通过任务序列编辑功能中的 [General]（常规）选项来将其添加为安装数据包操作。这些数据包的顺序应该先是客户端，然后是定义，最后是 NIS 定义更新。在您确认了这些数据包的独立文件，而且您的基本映像和引导 wim 已经分布到相应的分发点后，那么您已经准备好继续下一步，并可通过在一个测试客户端上启动操作系统部署来验证所有内容。在完成任务序列后，您应在完整操作系统中看到一个运行的 Endpoint Protection 客户端显示为绿色，而且在 Endpoint Protection 客户端 UI 的 [update]（更新）选项卡中看到应用的最新定义。从此之后，定义将通过您（使用软件更新管理功能）创建的自动部署规则或从您在反恶意软件策略中定义的源顺序中拉入定义的 Endpoint Protection 客户端来进行分发。

总结

将 Endpoint Protection 客户端部署作为您的操作系统部署中的一部分是确保系统安全中的一个重要部分。在任务序列中将 Endpoint Protection 客户端和定义作为数据包传递是在配置操作系统过程中迅速传递反恶意软件的良好方式，而且该方式能够最大程度减少对带宽的影响。希望您已经从我在此介绍的内容中清楚了解了如何以最佳方式实现这一目标。

 --Jason Githens

本篇博文按照“原样”提供，且不提供任何担保和授予任何权利。