次の方法で共有


シナリオ例: Endpoint Protection を使用してマルウェアからコンピューターを保護する

Configuration Manager (現在のブランチ) に適用

この記事では、Configuration Managerで Endpoint Protection を実装して、組織内のコンピューターをマルウェア攻撃から保護する方法のシナリオ例を示します。

シナリオの概要

Configuration Managerは、Woodgrove Bank にインストールされ、使用されます。 現在、銀行は Endpoint Protection を使用して、マルウェア攻撃からコンピューターを保護しています。 さらに、銀行は Windows グループ ポリシーを使用して、社内のすべてのコンピューターで Windows ファイアウォールが有効になっていることを確認し、Windows ファイアウォールが新しいプログラムをブロックしたときにユーザーに通知されるようにします。

Configuration Manager管理者は、最新のマルウェア対策機能の恩恵を受け、Configuration Manager コンソールからマルウェア対策ソリューションを一元的に管理できるように、Woodgrove Bank マルウェア対策ソフトウェアを Endpoint Protection にアップグレードするよう求められました。

ビジネス要件

この実装には、次の要件があります。

  • Configuration Managerを使用して、現在グループ ポリシーによって管理されている Windows ファイアウォール設定を管理します。

  • Configuration Managerソフトウェア更新プログラムを使用して、マルウェア定義をコンピューターにダウンロードします。 ソフトウェア更新プログラムを利用できない場合 (たとえば、コンピューターが企業ネットワークに接続されていない場合)、コンピューターは Microsoft Update から定義の更新プログラムをダウンロードする必要があります。

  • ユーザーのコンピューターは、毎日クイック マルウェア スキャンを実行する必要があります。 ただし、サーバーは毎週土曜日、営業時間外の午前 1 時にフル スキャンを実行する必要があります。

  • 次のいずれかのイベントが発生するたびに電子メール アラートを送信します。

    • 任意のコンピューターでマルウェアが検出される

    • コンピューターの 5% 以上で同じマルウェアの脅威が検出される

    • 24 時間の間に同じマルウェアの脅威が 5 回以上検出される

    • 24 時間の間に 3 種類以上のマルウェアが検出される

    その後、管理者は次の手順を実行して Endpoint Protection を実装します。

Endpoint Protection を実装する手順

プロセス 関連情報
管理者は、Configuration Managerの Endpoint Protection の基本的な概念に関する利用可能な情報を確認します。 Endpoint Protection の概要については、「 Endpoint Protection」を参照してください。
管理者は、Woodgrove Bank 階層の上部にある 1 つのサイト システム サーバーにのみ Endpoint Protection サイト システムの役割をインストールします。 Endpoint Protection サイト システムの役割をインストールする方法の詳細については、「Endpoint Protection の 構成」の「前提条件」を参照してください。
管理者は、SMTP サーバーを使用して電子メール アラートを送信するようにConfiguration Managerを構成します。

メモ: エンドポイント保護アラートが生成されたときに電子メールで通知を受け取る場合にのみ、SMTP サーバーを構成する必要があります。
詳細については、「 Endpoint Protection でアラートを構成する」を参照してください。
管理者は、Endpoint Protection クライアントをインストールするすべてのコンピューターとサーバーを含むデバイス コレクションを作成します。 このコレクションには、 Endpoint Protection によって保護されているすべてのコンピューターという名前が付けられます

ヒント: ユーザー コレクションのアラートを構成することはできません。
コレクションを作成する方法の詳細については、「コレクションを作成する方法」を参照してください。
管理者は、コレクションに対して次のアラートを構成します。

1) マルウェアが検出されました: 管理者は、アラートの重大度を [重大] に構成します。

2) 同じ種類のマルウェアが多数のコンピューターで検出される: 管理者は、アラートの重大度を [重大] に構成し、5% を超えるコンピューターでマルウェアが検出されたときにアラートが生成されるように指定します。

3) 同じ種類のマルウェアがコンピューター上の指定された期間内に繰り返し検出されます:管理者は、アラートの重大度を [重大] に構成し、マルウェアが 24 時間で 5 回以上検出されたときにアラートが生成されるように指定します。

4) 指定した期間内に同じコンピューターで複数の種類のマルウェアが検出される: 管理者は、アラートの重大度を [重大] に構成し、24 時間以内に 3 種類を超えるマルウェアが生成されたときにアラートを生成するように指定します。

[アラートの重大度] の値は、Configuration Manager コンソールおよび電子メール メッセージで受信するアラートに表示されるアラート レベルを示します。

また、Configuration Manager コンソールでアラートを監視できるように、[Endpoint Protection] ダッシュボードで [このコレクションを表示する] オプションを選択します。
Endpoint Protection の構成に関するページの「 Endpoint Protection のアラートの構成」を参照してください。
管理者は、自動展開規則Configuration Manager使用して、定義更新プログラムを 1 日に 3 回ダウンロードして展開するようにソフトウェア更新プログラムを構成します。 詳細については、「Configuration Manager ソフトウェア更新プログラムを使用して定義更新プログラムを配信する」の「Configuration Manager ソフトウェア 更新を使用して定義更新を配信する」セクションを参照してください。
管理者は、既定のマルウェア対策ポリシーの設定を確認します。このポリシーには、Microsoftからの推奨されるセキュリティ設定が含まれています。 コンピューターで毎日クイック スキャンを実行するには、次の設定を変更します。

1) クライアント コンピューターで毎日のクイック スキャンを実行する: はい

2) 毎日のクイックスキャンスケジュール時間: 午前9時00分

管理者は、Microsoft Update から配布された更新は、既定で定義の更新ソースとして選択されていることに注意してください。 これは、コンピューターがConfiguration Managerソフトウェア更新プログラムを受け取ることができない場合Microsoft更新プログラムから定義をダウンロードするというビジネス要件を満たします。
Endpoint Protection のマルウェア対策ポリシーを作成して展開する方法に関するページを参照してください。
管理者は、 Woodgrove Bank Servers という名前の Woodgrove Bank サーバーのみを含むコレクションを作成します。 「コレクションを作成する方法」を参照してください
管理者は、 Woodgrove Bank Server Policy という名前のカスタムマルウェア対策ポリシーを作成します。 スケジュールされたスキャンの設定のみを追加し、次の変更を行います。

スキャンの種類: 完全

スキャン日: 土曜日

スキャン時間: 午前 1 時

クライアント コンピューターで毎日のクイック スキャンを実行する: いいえ
Endpoint Protection のマルウェア対策ポリシーを作成して展開する方法に関するページを参照してください。
管理者は 、Woodgrove Bank Server Policy カスタムマルウェア対策ポリシーを Woodgrove Bank Servers コレクションに展開します。 「マルウェア対策ポリシーをクライアント コンピューターに展開するには」 を参照してください。Endpoint Protection のマルウェア対策ポリシーを作成して展開する方法に関する 記事を参照してください。
管理者は、Endpoint Protection 用のカスタム クライアント デバイス設定の新しいセットを作成し、 これらの Woodgrove Bank Endpoint Protection 設定に名前を付けます

メモ: 階層内のすべてのクライアントに Endpoint Protection をインストールして有効にしない場合は、 クライアント コンピューターで Endpoint Protection クライアントを管理するオプションとクライアント コンピューターにEndpoint Protection クライアントをインストール するオプションの両方が、既定のクライアント設定で [いいえ ] として構成されていることを確認します。
詳細については、「 Endpoint Protection のカスタム クライアント設定を構成する」を参照してください。
Endpoint Protection に対して次の設定を構成します。

クライアント コンピューターで Endpoint Protection クライアントを管理する: はい

この設定と値により、インストールされている既存の Endpoint Protection クライアントがConfiguration Managerによって管理されるようになります。

クライアント コンピューターに Endpoint Protection クライアントをインストールする: はい
管理者は、 Woodgrove Bank Endpoint Protection Settings クライアント設定Endpoint Protection によって保護されたすべてのコンピューターコレクションに展開します Configuration Managerでの Endpoint Protection の構成に関するページの「Endpoint Protection のカスタム クライアント設定を構成する」を参照してください。
管理者は、Windows ファイアウォール ポリシーの作成ウィザードを使用して、ドメイン プロファイルに対して次の設定を構成してポリシーを作成します。

1) Windows ファイアウォールを有効にする: はい

2)
Windows ファイアウォールが新しいプログラムをブロックしたときにユーザーに通知する: はい
「Endpoint Protection 用の Windows ファイアウォール ポリシーを作成して展開する方法」を参照してください
管理者は、新しいファイアウォール ポリシーを、前に作成 した Endpoint Protection によって保護されたすべてのコンピューター のコレクションに展開します。 Endpoint Protection 用の Windows ファイアウォール ポリシーを作成して展開する方法に関するページの「Windows ファイアウォール ポリシーを展開するには」を参照してください。
管理者は、Endpoint Protection で使用可能な管理タスクを使用してマルウェア対策ポリシーと Windows ファイアウォール ポリシーを管理し、必要に応じてコンピューターのオンデマンド スキャンを実行し、コンピューターに最新の定義をダウンロードさせ、マルウェアが検出されたときに実行するその他のアクションを指定します。 Endpoint Protection のマルウェア対策ポリシーとファイアウォール設定を管理する方法に関するページを参照してください
管理者は、Endpoint Protection の状態と Endpoint Protection によって実行されるアクションを監視するために、次の方法を使用します。

1) [監視] ワークスペースの [セキュリティ] の [Endpoint Protection Status] ノードを使用します。

2) [資産とコンプライアンス] ワークスペースの [Endpoint Protection] ノードを使用します。

3) 組み込みのConfiguration Managerレポートを使用します。
「Endpoint Protection を監視する方法」を参照してください

管理者は Endpoint Protection の正常な実装をマネージャーに報告し、Woodgrove Bank のコンピューターが、与えられたビジネス要件に従ってマルウェア対策から保護されていることを確認します。

次の手順

詳細については、「Endpoint Protection を構成する方法」を参照してください。