Példaforgatókönyv: Az Endpoint Protection használata a számítógépek kártevők elleni védelmére
A következőre vonatkozik: Configuration Manager (aktuális ág)
Ez a cikk egy példaforgatókönyvet tartalmaz arra vonatkozóan, hogyan valósíthatja meg az Endpoint Protectiont Configuration Manager a szervezet számítógépeinek kártevők elleni védelme érdekében.
Forgatókönyv áttekintése
Configuration Manager a Woodgrove Bankban van telepítve és használva. A bank jelenleg az Endpoint Protection használatával védi a számítógépeket a kártevők elleni támadások ellen. Emellett a bank a Windows Csoportházirend használatával biztosítja, hogy a Windows tűzfal engedélyezve legyen a vállalat összes számítógépén, és hogy a felhasználók értesítést kapnak, ha a Windows tűzfal letilt egy új programot.
A Configuration Manager rendszergazdáitól azt kérték, hogy frissítse a Woodgrove Bank kártevőirtó szoftverét az Endpoint Protectionre, hogy a bank kihasználhassa a legújabb kártevőirtó-funkciókat, és központilag felügyelhesse a kártevőirtó megoldást a Configuration Manager konzolról.
Üzleti követelmények
Ez a megvalósítás a következő követelményekkel rendelkezik:
A Configuration Manager használatával kezelheti az Csoportházirend által jelenleg kezelt Windows tűzfalbeállításokat.
A Configuration Manager szoftverfrissítések használatával töltse le a kártevő-definíciókat a számítógépekre. Ha a szoftverfrissítések nem érhetők el, például ha a számítógép nem csatlakozik a vállalati hálózathoz, a számítógépeknek le kell töltenie a definíciófrissítéseket Microsoft Update-ből.
A felhasználók számítógépein minden nap gyors kártevővizsgálatot kell végezni. A kiszolgálóknak azonban minden szombaton, munkaidőn kívül, reggel 1-kor teljes vizsgálatot kell futtatniuk.
E-mailes riasztás küldése az alábbi események bármelyike esetén:
A rendszer bármilyen számítógépen kártevőt észlel
A számítógépek több mint 5%-ában ugyanaz a kártevő fenyegetés észlelhető
Ugyanazt a kártevő-fenyegetést 5-nél többször észleli a rendszer bármely 24 órás időszakban
Minden 24 órás időszakban több mint 3 különböző típusú kártevőt észlel a rendszer
Ezután a rendszergazdák az alábbi lépéseket követve implementálják az Endpoint Protectiont:
Az Endpoint Protection implementálásának lépései
Folyamat | Hivatkozás |
---|---|
A rendszergazdák áttekintik az Endpoint Protection alapfogalmaival kapcsolatos rendelkezésre álló információkat Configuration Manager. | Az Endpoint Protection szolgáltatással kapcsolatos áttekintő információkért lásd: Endpoint Protection. |
A rendszergazdák csak egy helyrendszer-kiszolgálóra telepítik az Endpoint Protection helyrendszerszerepkört a Woodgrove Bank-hierarchia tetején. | Az Endpoint Protection helyrendszerszerepkör telepítéséről további információt az Endpoint Protection konfigurálása című témakör "Előfeltételek" című szakaszában talál. |
A rendszergazdák úgy konfigurálják a Configuration Manager, hogy SMTP-kiszolgálót használjanak az e-mail-riasztások küldéséhez. Megjegyzés: Csak akkor konfiguráljon SMTP-kiszolgálót, ha e-mailben szeretne értesítést kapni az Endpoint Protection-riasztás létrehozásakor. |
További információ: Riasztások konfigurálása az Endpoint Protectionben. |
A rendszergazdák létrehoznak egy eszközgyűjteményt, amely tartalmazza az összes számítógépet és kiszolgálót az Endpoint Protection-ügyfél telepítéséhez. Ezt a gyűjteményt az Endpoint Protection által védett összes számítógépnek nevezik el. Tipp: Felhasználói gyűjteményekhez nem konfigurálhat riasztásokat. |
További információ a gyűjtemények létrehozásáról: Gyűjtemények létrehozása |
A rendszergazdák a következő riasztásokat konfigurálják a gyűjteményhez: 1) A rendszer kártevőt észlel: A rendszergazdák kritikus súlyosságot konfigurálnak. 2) A rendszer számos számítógépen ugyanazt a kártevőtípust észleli: A rendszergazdák a Kritikus súlyosságú riasztást konfigurálják, és megadják, hogy a riasztás akkor jön létre, ha a számítógépek több mint 5%-a észlelt kártevőt. 3) Ugyanazt a kártevőtípust a rendszer a megadott időközönként ismételten észleli a számítógépen: A rendszergazdák a Kritikus súlyosságú riasztást konfigurálják, és megadják, hogy a riasztás akkor jön létre, ha egy 24 órás időszakban több mint 5 alkalommal észlelnek kártevőt. 4) A megadott időközön belül a rendszer több kártevőtípust is észlel ugyanazon a számítógépen: A rendszergazdák a Kritikus súlyosságú riasztást konfigurálják, és megadják, hogy a riasztás akkor jön létre, ha 24 órás időszakban több mint 3 kártevőtípus jön létre. A Riasztás súlyossága érték azt a riasztási szintet jelzi, amely az Configuration Manager konzolon és az e-mailben kapott riasztásokban jelenik meg. Emellett kiválasztják a Gyűjtemény megtekintése lehetőséget az Endpoint Protection irányítópultján, hogy az Configuration Manager-konzolon figyelhessenek riasztásokat. |
Lásd: "Riasztások konfigurálása az Endpoint Protectionhöz" az Endpoint Protection konfigurálása című témakörben. |
A rendszergazdák naponta háromszor konfigurálják Configuration Manager szoftverfrissítéseket a definíciófrissítések letöltésére és központi telepítésére egy automatikus központi telepítési szabály használatával. | További információkért lásd a definíciófrissítések Configuration Manager szoftverfrissítések Configuration Manager szoftverfrissítésekkel való kézbesítését ismertető cikk "A definíciófrissítések Configuration Manager szoftveres Frissítések Frissítések használata a definíciófrissítések továbbításához" című szakaszát. |
A rendszergazdák az alapértelmezett kártevőirtó-házirend beállításait vizsgálják, amely Microsoft ajánlott biztonsági beállításait tartalmazza. Ahhoz, hogy a számítógépek minden nap elvégezhessenek egy gyorsvizsgálatot, a következő beállításokat módosítják: 1) Futtasson napi gyorsvizsgálatot az ügyfélszámítógépeken: Igen. 2) Napi gyorsvizsgálat ütemezési ideje: 9:00. A rendszergazdák megjegyzik, hogy a Microsoft Update-ből terjesztett Frissítések alapértelmezés szerint definíciófrissítési forrásként van kiválasztva. Ez megfelel annak az üzleti követelménynek, hogy a számítógépek akkor töltsenek le definíciókat Microsoft Update-ből, ha nem tudják fogadni Configuration Manager szoftverfrissítéseket. |
Lásd: Kártevőirtó-házirendek létrehozása és üzembe helyezése az Endpoint Protectionben. |
A rendszergazdák létrehoznak egy gyűjteményt, amely csak a Woodgrove Bank Servers nevű Woodgrove Bank-kiszolgálókat tartalmazza. | Lásd: Gyűjtemények létrehozása |
A rendszergazdák létrehoznak egy Woodgrove Bank Server Policy nevű egyéni kártevőirtó-házirendet. Csak az ütemezett vizsgálatok beállításait adnak hozzá, és a következő módosításokat hajtják végre: Vizsgálat típusa: Teljes Vizsgálat napja: szombat Vizsgálat ideje: 1:00 Napi gyorsvizsgálat futtatása ügyfélszámítógépeken: Nem. |
Lásd: Kártevőirtó-házirendek létrehozása és üzembe helyezése az Endpoint Protectionben. |
A rendszergazdák a Woodgrove Bank Server Policy egyéni kártevőirtó házirendet helyezik üzembe a Woodgrove Bank Servers gyűjteményben. | Lásd: "Kártevőirtó-házirend telepítése ügyfélszámítógépeken" Az Endpoint Protection kártevőirtó-házirendjeinek létrehozása és telepítése . |
A rendszergazdák új egyéni ügyféleszköz-beállításokat hoznak létre az Endpoint Protection számára, és ezeket a Woodgrove Bank Endpoint Protection-beállításokat nevezik el. Megjegyzés: Ha nem szeretné telepíteni és engedélyezni az Endpoint Protectiont a hierarchiában lévő összes ügyfélen, győződjön meg arról, hogy az Endpoint Protection-ügyfél kezelése az ügyfélszámítógépeken és az Endpoint Protection-ügyfél telepítése ügyfélszámítógépeken beállítás az alapértelmezett ügyfélbeállítások között egyaránt Nem értékre van konfigurálva. |
További információ: Az Endpoint Protection egyéni ügyfélbeállításainak konfigurálása. |
Az Endpoint Protection következő beállításait konfigurálják: Endpoint Protection-ügyfél kezelése ügyfélszámítógépeken: Igen Ez a beállítás és érték biztosítja, hogy a telepített meglévő Endpoint Protection-ügyfelet a Configuration Manager felügyelje. Az Endpoint Protection-ügyfél telepítése ügyfélszámítógépekre: Igen. |
|
A rendszergazdák üzembe helyezik a Woodgrove Bank Endpoint Protection-beállítások ügyfélbeállításait az Endpoint Protection által védett összes számítógépen gyűjteményben. | Az Endpoint Protection konfigurálása az Configuration Manager-ben című cikk "Az Endpoint Protection egyéni ügyfélbeállításainak konfigurálása" című szakaszában talál. |
A rendszergazdák a Windows tűzfalszabályzat létrehozása varázslóval hozhatnak létre házirendet a tartományprofil alábbi beállításainak konfigurálásával: 1) Windows tűzfal engedélyezése: Igen 2) Értesítse a felhasználót, ha a Windows tűzfal letilt egy új programot: Igen |
Lásd: Az Endpoint Protection Windows tűzfalszabályzatainak létrehozása és telepítése |
A rendszergazdák az új tűzfalszabályzatot a korábban létrehozott Minden, Endpoint Protection által védett számítógép gyűjteményben helyezik üzembe. | Lásd: "Windows tűzfalszabályzat telepítése" a Windows tűzfalszabályzatok létrehozása és telepítése az Endpoint Protection szolgáltatásban című témakörben |
A rendszergazdák az Endpoint Protection rendelkezésre álló felügyeleti feladatait használják a kártevőirtó és a Windows tűzfal házirendjeinek kezelésére, szükség esetén a számítógépek igény szerinti vizsgálatára, a számítógépek kényszerítésére a legújabb definíciók letöltésére, valamint a kártevők észlelésekor végrehajtandó további műveletek megadására. | Lásd: Kártevőirtó-házirendek és tűzfalbeállítások kezelése az Endpoint Protectionben |
A rendszergazdák az alábbi módszerekkel monitorozzák az Endpoint Protection állapotát és az Endpoint Protection által végrehajtott műveleteket: 1) Használja az Endpoint Protection állapotcsomópontját a Figyelés munkaterület Biztonság területén. 2) Használja az Endpoint Protection csomópontot az Eszközök és megfelelőség munkaterületen. 3) A beépített Configuration Manager jelentések használatával. |
Lásd : Az Endpoint Protection monitorozása |
A rendszergazdák jelentik az Endpoint Protection sikeres megvalósítását a felettesüknek, és megerősítik, hogy a Woodgrove Bank számítógépei az általuk megadott üzleti követelményeknek megfelelően védve vannak a kártevőirtóktól.
Következő lépések
További információ: Az Endpoint Protection konfigurálása