Scenario di esempio: Usare Endpoint Protection per proteggere i computer da malware
Si applica a: Configuration Manager (Current Branch)
Questo articolo offre uno scenario di esempio per l'implementazione di Endpoint Protection in Configuration Manager per proteggere i computer dell'organizzazione da attacchi malware.
Panoramica sullo scenario
Configuration Manager viene installato e usato in Woodgrove Bank. La banca attualmente usa Endpoint Protection per proteggere i computer da attacchi malware. Inoltre, la banca usa Windows Criteri di gruppo per assicurarsi che Windows Firewall sia abilitato in tutti i computer della società e che gli utenti vengano informati quando Windows Firewall blocca un nuovo programma.
Agli amministratori Configuration Manager è stato chiesto di aggiornare il software antimalware di Woodgrove Bank a Endpoint Protection in modo che la banca possa trarre vantaggio dalle funzionalità antimalware più recenti ed essere in grado di gestire centralmente la soluzione antimalware dalla console di Configuration Manager.
Requisiti aziendali
Questa implementazione presenta i requisiti seguenti:
Usare Configuration Manager per gestire le impostazioni di Windows Firewall attualmente gestite da Criteri di gruppo.
Usare Configuration Manager aggiornamenti software per scaricare le definizioni di malware nei computer. Se gli aggiornamenti software non sono disponibili, ad esempio se il computer non è connesso alla rete aziendale, i computer devono scaricare gli aggiornamenti delle definizioni da Microsoft Update.
I computer degli utenti devono eseguire un'analisi rapida del malware ogni giorno. I server, tuttavia, devono eseguire un'analisi completa ogni sabato, al di fuori dell'orario di ufficio, all'una del mattino.
Inviare un avviso di posta elettronica ogni volta che si verifica uno degli eventi seguenti:
Il malware viene rilevato in qualsiasi computer
La stessa minaccia malware viene rilevata in più del 5% dei computer
La stessa minaccia malware viene rilevata più di 5 volte in qualsiasi periodo di 24 ore
Più di 3 diversi tipi di malware vengono rilevati in qualsiasi periodo di 24 ore
Gli amministratori ese rono quindi i passaggi seguenti per implementare Endpoint Protection:
Passaggi per implementare Endpoint Protection
Procedura | Riferimento |
---|---|
Gli amministratori esaminano le informazioni disponibili sui concetti di base per Endpoint Protection in Configuration Manager. | Per informazioni generali su Endpoint Protection, vedere Endpoint Protection. |
Gli amministratori installano il ruolo del sistema del sito di Endpoint Protection solo in un server del sistema del sito, nella parte superiore della gerarchia di Woodgrove Bank. | Per altre informazioni su come installare il ruolo del sistema del sito di Endpoint Protection, vedere "Prerequisiti" in Configurare Endpoint Protection. |
Gli amministratori configurano Configuration Manager per l'uso di un server SMTP per inviare gli avvisi di posta elettronica. Nota: È necessario configurare un server SMTP solo se si vuole ricevere una notifica tramite posta elettronica quando viene generato un avviso di Endpoint Protection. |
Per altre informazioni, vedere Configurare gli avvisi in Endpoint Protection. |
Gli amministratori creano una raccolta di dispositivi che contiene tutti i computer e i server per installare il client Endpoint Protection. Questa raccolta viene denominata Tutti i computer protetti da Endpoint Protection. Mancia: Non è possibile configurare gli avvisi per le raccolte utenti. |
Per altre informazioni su come creare raccolte, vedere Come creare raccolte |
Gli amministratori configurano gli avvisi seguenti per la raccolta: 1) Viene rilevato malware: gli amministratori configurano un livello di gravità dell'avviso critico. 2) Lo stesso tipo di malware viene rilevato in un certo numero di computer: gli amministratori configurano un livello di gravità dell'avviso critico e specificano che l'avviso verrà generato quando più del 5% dei computer ha rilevato malware. 3) Lo stesso tipo di malware viene rilevato ripetutamente entro l'intervallo specificato in un computer: gli amministratori configurano un livello di gravità dell'avviso critico e specificano che l'avviso verrà generato quando viene rilevato malware più di 5 volte in un periodo di 24 ore. 4) Vengono rilevati più tipi di malware nello stesso computer entro l'intervallo specificato: gli amministratori configurano un livello di gravità dell'avviso critico e specificano che l'avviso verrà generato quando vengono generati più di 3 tipi di malware in un periodo di 24 ore. Il valore per Gravità avviso indica il livello di avviso che verrà visualizzato nella console di Configuration Manager e negli avvisi ricevuti in un messaggio di posta elettronica. Selezionano inoltre l'opzione Visualizza questa raccolta nel dashboard di Endpoint Protection in modo che possano monitorare gli avvisi nella console di Configuration Manager. |
Vedere "Configurare avvisi per Endpoint Protection" in Configurazione di Endpoint Protection. |
Gli amministratori configurano Configuration Manager aggiornamenti software per scaricare e distribuire gli aggiornamenti delle definizioni tre volte al giorno usando una regola di distribuzione automatica. | Per altre informazioni, vedere la sezione "Uso di Configuration Manager Software Aggiornamenti per recapitare la definizione Aggiornamenti" in Usare gli aggiornamenti software Configuration Manager per distribuire gli aggiornamenti delle definizioni. |
Gli amministratori esaminano le impostazioni nei criteri antimalware predefiniti, che contiene le impostazioni di sicurezza consigliate da Microsoft. Per consentire ai computer di eseguire ogni giorno un'analisi rapida, modificano le impostazioni seguenti: 1) Eseguire un'analisi rapida giornaliera nei computer client: Sì. 2) Orario di pianificazione dell'analisi rapida giornaliera: 9:00. Gli amministratori notano che Aggiornamenti distribuito da Microsoft Update è selezionato per impostazione predefinita come origine di aggiornamento delle definizioni. Ciò soddisfa i requisiti aziendali che i computer scaricano le definizioni da Microsoft Update quando non possono ricevere gli aggiornamenti software Configuration Manager. |
Vedere Come creare e distribuire criteri antimalware per Endpoint Protection. |
Gli amministratori creano una raccolta che contiene solo i server di Woodgrove Bank denominati Woodgrove Bank Servers. | Vedere Come creare raccolte |
Gli amministratori creano un criterio antimalware personalizzato denominato Woodgrove Bank Server Policy. Aggiungono solo le impostazioni per le analisi pianificate e apportano le modifiche seguenti: Tipo di analisi: Completo Giorno di analisi: sabato Ora di analisi: 1:00 Eseguire un'analisi rapida giornaliera nei computer client: No. |
Vedere Come creare e distribuire criteri antimalware per Endpoint Protection. |
Gli amministratori distribuiscono i criteri antimalware personalizzati di Woodgrove Bank Server Policy nella raccolta Woodgrove Bank Servers . | Vedere l'articolo "Per distribuire criteri antimalware nei computer client" Come creare e distribuire criteri antimalware per Endpoint Protection . |
Gli amministratori creano un nuovo set di impostazioni del dispositivo client personalizzato per Endpoint Protection e denominano le impostazioni di Woodgrove Bank Endpoint Protection. Nota: Se non si vuole installare e abilitare Endpoint Protection in tutti i client nella gerarchia, assicurarsi che le opzioni Gestisci client Endpoint Protection nei computer client e Installa client Endpoint Protection nei computer client siano entrambe configurate come No nelle impostazioni client predefinite. |
Per altre informazioni, vedere Configurare le impostazioni client personalizzate per Endpoint Protection. |
Configurano le impostazioni seguenti per Endpoint Protection: Gestire il client di Endpoint Protection nei computer client: Sì Questa impostazione e questo valore garantiscono che qualsiasi client Endpoint Protection esistente installato venga gestito da Configuration Manager. Installare il client Endpoint Protection nei computer client: Sì. |
|
Gli amministratori distribuiscono le impostazioni client di Woodgrove Bank Endpoint Protection Settings nella raccolta Tutti i computer protetti da Endpoint Protection . | Vedere "Configurare impostazioni client personalizzate per Endpoint Protection" in Configurazione di Endpoint Protection in Configuration Manager. |
Gli amministratori usano la Creazione guidata criteri di Windows Firewall per creare un criterio configurando le impostazioni seguenti per il profilo di dominio: 1) Abilitare Windows Firewall: Sì 2) Notificare all'utente quando Windows Firewall blocca un nuovo programma: Sì |
Vedere Come creare e distribuire criteri di Windows Firewall per Endpoint Protection |
Gli amministratori distribuiscono i nuovi criteri del firewall nella raccolta Tutti i computer protetti da Endpoint Protection creati in precedenza. | Vedere "Per distribuire un criterio di Windows Firewall" in Come creare e distribuire criteri di Windows Firewall per Endpoint Protection |
Gli amministratori usano le attività di gestione disponibili per Endpoint Protection per gestire i criteri antimalware e Windows Firewall, eseguire analisi su richiesta dei computer quando necessario, forzare i computer a scaricare le definizioni più recenti e specificare eventuali ulteriori azioni da eseguire quando viene rilevato malware. | Vedere Come gestire i criteri antimalware e le impostazioni del firewall per Endpoint Protection |
Gli amministratori usano i metodi seguenti per monitorare lo stato di Endpoint Protection e le azioni eseguite da Endpoint Protection: 1) Usando il nodo Stato di Endpoint Protection in Sicurezza nell'area di lavoro Monitoraggio . 2) Usando il nodo Endpoint Protection nell'area di lavoro Asset e conformità . 3) Usando i report di Configuration Manager predefiniti. |
Vedere Come monitorare Endpoint Protection |
Gli amministratori segnalano un'implementazione corretta di Endpoint Protection al proprio manager e conferma che i computer di Woodgrove Bank sono ora protetti da antimalware, in base ai requisiti aziendali che sono stati forniti.
Passaggi successivi
Per altre informazioni, vedere Come configurare Endpoint Protection