Compartir vía


Escenario de ejemplo: Uso de Endpoint Protection para proteger los equipos frente a malware

Se aplica a: Configuration Manager (rama actual)

En este artículo se proporciona un escenario de ejemplo de cómo puede implementar Endpoint Protection en Configuration Manager para proteger los equipos de su organización frente a ataques de malware.

Introducción al escenario

Configuration Manager se instala y se usa en Woodgrove Bank. Actualmente, el banco usa Endpoint Protection para proteger los equipos frente a ataques de malware. Además, el banco usa Windows directiva de grupo para asegurarse de que firewall de Windows está habilitado en todos los equipos de la empresa y de que se notifica a los usuarios cuando Firewall de Windows bloquea un nuevo programa.

Se ha pedido a los administradores de Configuration Manager que actualicen el software antimalware Woodgrove Bank a Endpoint Protection para que el banco pueda beneficiarse de las características antimalware más recientes y poder administrar centralmente la solución antimalware desde la consola de Configuration Manager.

Requisitos empresariales

Esta implementación tiene los siguientes requisitos:

  • Usa Configuration Manager para administrar la configuración de Firewall de Windows que administra actualmente directiva de grupo.

  • Use Configuration Manager actualizaciones de software para descargar definiciones de malware en equipos. Si las actualizaciones de software no están disponibles, por ejemplo, si el equipo no está conectado a la red corporativa, los equipos deben descargar las actualizaciones de definición de Microsoft Update.

  • Los equipos de los usuarios deben realizar un examen rápido de malware todos los días. Los servidores, sin embargo, deben ejecutar un examen completo todos los sábados, fuera del horario comercial, a la 1 a.m.

  • Envíe una alerta de correo electrónico cada vez que se produzca alguno de los siguientes eventos:

    • Se detecta malware en cualquier equipo

    • Se detecta la misma amenaza de malware en más del 5 por ciento de los equipos

    • La misma amenaza de malware se detecta más de 5 veces en cualquier período de 24 horas

    • Se detectan más de 3 tipos diferentes de malware en cualquier período de 24 horas

    A continuación, los administradores realizan los pasos siguientes para implementar Endpoint Protection:

Pasos para implementar Endpoint Protection

Proceso Referencia
Los administradores revisan la información disponible sobre los conceptos básicos de Endpoint Protection en Configuration Manager. Para obtener información general sobre Endpoint Protection, consulte Endpoint Protection.
Los administradores instalan el rol de sistema de sitio de Endpoint Protection solo en un servidor de sistema de sitio, en la parte superior de la jerarquía de Woodgrove Bank. Para obtener más información sobre cómo instalar el rol de sistema de sitio de Endpoint Protection, consulte "Requisitos previos" en Configurar Endpoint Protection.
Los administradores configuran Configuration Manager para usar un servidor SMTP para enviar las alertas de correo electrónico.

Nota: Solo debe configurar un servidor SMTP si desea recibir una notificación por correo electrónico cuando se genera una alerta de Endpoint Protection.
Para obtener más información, consulte Configuración de alertas en Endpoint Protection.
Los administradores crean una colección de dispositivos que contiene todos los equipos y servidores para instalar el cliente de Endpoint Protection. Denominan a esta colección Todos los equipos protegidos por Endpoint Protection.

Propina: No se pueden configurar alertas para colecciones de usuarios.
Para obtener más información sobre cómo crear colecciones, vea How to create collections (Cómo crear colecciones).
Los administradores configuran las siguientes alertas para la colección:

1) Se detecta malware: los administradores configuran una gravedad de alerta crítica.

2) Se detecta el mismo tipo de malware en varios equipos: los administradores configuran una gravedad de alerta de Crítico y especifican que la alerta se generará cuando más del 5 por ciento de los equipos tengan malware detectado.

3) El mismo tipo de malware se detecta repetidamente dentro del intervalo especificado en un equipo: los administradores configuran una gravedad de alerta de Crítico y especifican que la alerta se generará cuando se detecte malware más de 5 veces en un período de 24 horas.

4) Se detectan varios tipos de malware en el mismo equipo dentro del intervalo especificado: los administradores configuran una gravedad de alerta de Crítico y especifican que la alerta se generará cuando se generen más de 3 tipos de malware en un período de 24 horas.

El valor de Gravedad de alerta indica el nivel de alerta que se mostrará en la consola de Configuration Manager y en las alertas que reciben en un mensaje de correo electrónico.

Además, seleccionan la opción Ver esta colección en el panel de Endpoint Protection para que puedan supervisar las alertas en la consola de Configuration Manager.
Consulte "Configurar alertas para Endpoint Protection" en Configuración de Endpoint Protection.
Los administradores configuran Configuration Manager actualizaciones de software para descargar e implementar actualizaciones de definiciones tres veces al día mediante una regla de implementación automática. Para obtener más información, consulte la sección "Uso de Configuration Manager Software Novedades para entregar Novedades de definición" en Uso de actualizaciones de software Configuration Manager para entregar actualizaciones de definiciones.
Los administradores examinan la configuración de la directiva antimalware predeterminada, que contiene la configuración de seguridad recomendada de Microsoft. Para que los equipos realicen un examen rápido todos los días, cambian la siguiente configuración:

1) Ejecutar un examen rápido diario en equipos cliente: .

2) Horario diario de examen rápido: 9:00 AM.

Los administradores notan que Novedades distribuido desde Microsoft Update está seleccionado de forma predeterminada como un origen de actualización de definición. Esto cumple el requisito empresarial de que los equipos descarguen definiciones de Microsoft Update cuando no puedan recibir Configuration Manager actualizaciones de software.
Consulte Creación e implementación de directivas antimalware para Endpoint Protection.
Los administradores crean una colección que contiene solo los servidores de Woodgrove Bank denominados Servidores de Woodgrove Bank. Consulte Creación de colecciones
Los administradores crean una directiva antimalware personalizada denominada Directiva de servidor de Woodgrove Bank. Agregan solo la configuración para los exámenes programados y realizan los siguientes cambios:

Tipo de examen: Completo

Día del examen: sábado

Tiempo de examen: 1:00 AM

Ejecute un examen rápido diario en equipos cliente: No.
Consulte Creación e implementación de directivas antimalware para Endpoint Protection.
Los administradores implementan la directiva antimalware personalizada de directiva de servidor de Woodgrove Bank en la colección Servidores de Woodgrove Bank . Consulte el artículo "Para implementar una directiva antimalware en equipos cliente" Creación e implementación de directivas antimalware para Endpoint Protection .
Los administradores crean un nuevo conjunto de configuraciones de dispositivo cliente personalizadas para Endpoint Protection y denominan a esta configuración de Woodgrove Bank Endpoint Protection.

Nota: Si no desea instalar y habilitar Endpoint Protection en todos los clientes de la jerarquía, asegúrese de que las opciones Administrar cliente de Endpoint Protection en equipos cliente e Instalar cliente de Endpoint Protection en equipos cliente están configuradas como No en la configuración de cliente predeterminada.
Para obtener más información, vea Configurar opciones de cliente personalizadas para Endpoint Protection.
Configuran los siguientes valores para Endpoint Protection:

Administración del cliente de Endpoint Protection en equipos cliente:

Esta configuración y valor garantizan que cualquier cliente de Endpoint Protection existente instalado se administre mediante Configuration Manager.

Instalación del cliente de Endpoint Protection en equipos cliente: .
Los administradores implementan la configuración de cliente de Woodgrove Bank Endpoint Protection en la colección Todos los equipos protegidos por Endpoint Protection . Consulte "Configurar opciones de cliente personalizadas para Endpoint Protection" en Configuración de Endpoint Protection en Configuration Manager.
Los administradores usan el Asistente para crear directivas de Firewall de Windows para crear una directiva mediante la configuración de los siguientes valores para el perfil de dominio:

1) Habilitar Firewall de Windows:

2)
Notificar al usuario cuando Firewall de Windows bloquee un nuevo programa:
Consulte Creación e implementación de directivas de Firewall de Windows para Endpoint Protection
Los administradores implementan la nueva directiva de firewall en la colección Todos los equipos protegidos por Endpoint Protection que crearon anteriormente. Consulta "Para implementar una directiva de Firewall de Windows" en Cómo crear e implementar directivas de Firewall de Windows para Endpoint Protection
Los administradores usan las tareas de administración disponibles para Endpoint Protection para administrar directivas antimalware y Firewall de Windows, realizar exámenes a petición de equipos cuando sea necesario, forzar a los equipos a descargar las definiciones más recientes y especificar las acciones adicionales que se deben realizar cuando se detecta malware. Consulte Administración de directivas antimalware y configuración de firewall para Endpoint Protection
Los administradores usan los métodos siguientes para supervisar el estado de Endpoint Protection y las acciones realizadas por Endpoint Protection:

1) Mediante el nodo Estado de Endpoint Protection en Seguridad en el área de trabajo Supervisión .

2) Mediante el nodo Endpoint Protection en el área de trabajo Activos y cumplimiento .

3) Mediante el uso de los informes de Configuration Manager integrados.
Consulte Supervisión de Endpoint Protection

Los administradores informan de una implementación correcta de Endpoint Protection a su administrador y confirman que los equipos de Woodgrove Bank ahora están protegidos contra antimalware, según los requisitos empresariales que se les han dado.

Pasos siguientes

Para obtener más información, consulte Configuración de Endpoint Protection.