Share via


Voorbeeldscenario: Endpoint Protection gebruiken om computers te beschermen tegen malware

Van toepassing op: Configuration Manager (current branch)

Dit artikel bevat een voorbeeldscenario voor het implementeren van Endpoint Protection in Configuration Manager om computers in uw organisatie te beschermen tegen malware-aanvallen.

Scenariooverzicht

Configuration Manager wordt geïnstalleerd en gebruikt bij Woodgrove Bank. De bank gebruikt momenteel Endpoint Protection om computers te beschermen tegen malware-aanvallen. Daarnaast gebruikt de bank Windows groepsbeleid om ervoor te zorgen dat Windows Firewall is ingeschakeld op alle computers in het bedrijf en dat gebruikers op de hoogte worden gesteld wanneer Windows Firewall een nieuw programma blokkeert.

De Configuration Manager beheerders zijn gevraagd om de Woodgrove Bank antimalwaresoftware te upgraden naar Endpoint Protection, zodat de bank kan profiteren van de nieuwste antimalwarefuncties en de antimalwareoplossing centraal kan beheren vanuit de Configuration Manager-console.

Bedrijfsvereisten

Deze implementatie heeft de volgende vereisten:

  • Gebruik Configuration Manager om de Windows Firewall-instellingen te beheren die momenteel worden beheerd door groepsbeleid.

  • Gebruik Configuration Manager software-updates om malwaredefinities naar computers te downloaden. Als software-updates niet beschikbaar zijn, bijvoorbeeld als de computer niet is verbonden met het bedrijfsnetwerk, moeten computers definitie-updates downloaden van Microsoft Update.

  • De computers van gebruikers moeten elke dag een snelle malwarescan uitvoeren. Servers moeten echter elke zaterdag, buiten kantooruren, om 1.00 uur een volledige scan uitvoeren.

  • Een e-mailwaarschuwing verzenden wanneer een van de volgende gebeurtenissen plaatsvindt:

    • Malware wordt gedetecteerd op elke computer

    • Dezelfde malware-bedreiging wordt gedetecteerd op meer dan 5 procent van de computers

    • Dezelfde malware-bedreiging wordt meer dan 5 keer in een periode van 24 uur gedetecteerd

    • Meer dan 3 verschillende soorten malware worden gedetecteerd in een periode van 24 uur

    De beheerders voeren vervolgens de volgende stappen uit om Endpoint Protection te implementeren:

Stappen voor het implementeren van Endpoint Protection

Proces Verwijzing
De beheerders bekijken de beschikbare informatie over de basisconcepten voor Endpoint Protection in Configuration Manager. Zie Endpoint Protection voor overzichtsinformatie over Endpoint Protection.
De beheerders installeren de endpoint protection-sitesysteemrol op slechts één sitesysteemserver, bovenaan de Woodgrove Bank-hiërarchie. Zie Vereisten in Endpoint Protection configureren voor meer informatie over het installeren van de Endpoint Protection-sitesysteemrol.
De beheerders configureren Configuration Manager om een SMTP-server te gebruiken om de e-mailwaarschuwingen te verzenden.

Opmerking: U moet een SMTP-server alleen configureren als u per e-mail een melding wilt ontvangen wanneer er een Endpoint Protection-waarschuwing wordt gegenereerd.
Zie Waarschuwingen configureren in Endpoint Protection voor meer informatie.
De beheerders maken een apparaatverzameling die alle computers en servers bevat om de Endpoint Protection-client te installeren. Ze noemen deze verzameling Alle computers beveiligd door Endpoint Protection.

Tip: U kunt geen waarschuwingen configureren voor gebruikersverzamelingen.
Zie Verzamelingen maken voor meer informatie over het maken van verzamelingen
De beheerders configureren de volgende waarschuwingen voor de verzameling:

1) Malware wordt gedetecteerd: de beheerders configureren de ernst van de waarschuwing kritiek.

2) Hetzelfde type malware wordt gedetecteerd op een aantal computers: de beheerders configureren de ernst van de waarschuwing Kritiek en geven aan dat de waarschuwing wordt gegenereerd wanneer op meer dan 5 procent van de computers malware is gedetecteerd.

3) Hetzelfde type malware wordt herhaaldelijk gedetecteerd binnen het opgegeven interval op een computer: de beheerders configureren de ernst van de waarschuwing kritiek en geven aan dat de waarschuwing wordt gegenereerd wanneer malware meer dan 5 keer in een periode van 24 uur wordt gedetecteerd.

4) Er worden meerdere soorten malware gedetecteerd op dezelfde computer binnen het opgegeven interval: de beheerders configureren de ernst van de waarschuwing Kritiek en geven aan dat de waarschuwing wordt gegenereerd wanneer meer dan 3 soorten malware worden gegenereerd in een periode van 24 uur.

De waarde voor Ernst van waarschuwingen geeft het waarschuwingsniveau aan dat wordt weergegeven in de Configuration Manager-console en in waarschuwingen die ze in een e-mailbericht ontvangen.

Daarnaast selecteren ze de optie Deze verzameling weergeven in het Endpoint Protection-dashboard, zodat ze de waarschuwingen in de Configuration Manager-console kunnen bewaken.
Zie Waarschuwingen configureren voor Endpoint Protection in Endpoint Protection configureren.
De beheerders configureren Configuration Manager software-updates om definitie-updates drie keer per dag te downloaden en implementeren met behulp van een regel voor automatische implementatie. Zie de sectie 'Using Configuration Manager Software Updates to Deliver Definition Updates' in Use Configuration Manager software updates to deliver definition updates (Configuration Manager software-updates gebruiken om definitie-updates te leveren) voor meer informatie.
De beheerders bekijken de instellingen in het standaard antimalwarebeleid, dat aanbevolen beveiligingsinstellingen van Microsoft bevat. Voor computers om elke dag een snelle scan uit te voeren, wijzigen ze de volgende instellingen:

1) Voer een dagelijkse snelle scan uit op clientcomputers: Ja.

2) Dagelijkse tijd voor snelle scanplanning: 9:00 uur.

De beheerders merken op dat Updates die wordt gedistribueerd vanuit Microsoft Update standaard is geselecteerd als een definitie-updatebron. Dit voldoet aan de zakelijke vereiste dat computers definities downloaden van Microsoft Update wanneer ze geen Configuration Manager software-updates kunnen ontvangen.
Zie Antimalwarebeleid maken en implementeren voor Endpoint Protection.
De beheerders maken een verzameling die alleen de Woodgrove Bank-servers met de naam Woodgrove Bank-servers bevat. Zie Verzamelingen maken
De beheerders maken een aangepast antimalwarebeleid met de naam Woodgrove Bank Server Policy. Ze voegen alleen de instellingen voor geplande scans toe en brengen de volgende wijzigingen aan:

Scantype: Volledig

Scandag: zaterdag

Scantijd: 01:00 uur

Een dagelijkse snelle scan uitvoeren op clientcomputers: Nee.
Zie Antimalwarebeleid maken en implementeren voor Endpoint Protection.
De beheerders implementeren het aangepaste antimalwarebeleid van Woodgrove Bank Server naar de verzameling Woodgrove Bank Servers . Zie het artikel 'Een antimalwarebeleid implementeren op clientcomputers' Het artikel Antimalwarebeleid voor Endpoint Protection maken en implementeren .
De beheerders maken een nieuwe set aangepaste clientapparaatinstellingen voor Endpoint Protection en noemen deze Woodgrove Bank Endpoint Protection-instellingen.

Opmerking: Als u Endpoint Protection niet wilt installeren en inschakelen op alle clients in uw hiërarchie, moet u ervoor zorgen dat de opties Endpoint Protection-client beheren op clientcomputers en Endpoint Protection-client installeren op clientcomputers beide zijn geconfigureerd als Nee in de standaardclientinstellingen.
Zie Aangepaste clientinstellingen configureren voor Endpoint Protection voor meer informatie.
Ze configureren de volgende instellingen voor Endpoint Protection:

Endpoint Protection-client beheren op clientcomputers: Ja

Deze instelling en waarde zorgen ervoor dat elke bestaande Endpoint Protection-client die is geïnstalleerd, wordt beheerd door Configuration Manager.

Endpoint Protection-client installeren op clientcomputers: Ja.
De beheerders implementeren de clientinstellingen van Woodgrove Bank Endpoint Protection Settings in de verzameling Alle computers die worden beveiligd door Endpoint Protection . Zie 'Aangepaste clientinstellingen configureren voor Endpoint Protection' in Endpoint Protection configureren in Configuration Manager.
De beheerders gebruiken de wizard Windows Firewall-beleid maken om een beleid te maken door de volgende instellingen voor het domeinprofiel te configureren:

1) Windows Firewall inschakelen: Ja

2)
De gebruiker waarschuwen wanneer Windows Firewall een nieuw programma blokkeert: Ja
Zie Windows Firewall-beleid maken en implementeren voor Endpoint Protection
De beheerders implementeren het nieuwe firewallbeleid in de verzameling Alle computers beveiligd door Endpoint Protection die ze eerder hebben gemaakt. Zie 'Een Windows Firewall-beleid implementeren' in het artikel Windows Firewall-beleid maken en implementeren voor Endpoint Protection
De beheerders gebruiken de beschikbare beheertaken voor Endpoint Protection om antimalware- en Windows Firewall-beleid te beheren, zo nodig scans van computers op aanvraag uit te voeren, computers af te dwingen de nieuwste definities te downloaden en om verdere acties op te geven die moeten worden uitgevoerd wanneer malware wordt gedetecteerd. Zie Antimalwarebeleid en firewallinstellingen beheren voor Endpoint Protection
De beheerders gebruiken de volgende methoden om de status van Endpoint Protection en de acties die door Endpoint Protection worden uitgevoerd te controleren:

1) Gebruik het knooppunt Endpoint Protection-status onder Beveiliging in de werkruimte Bewaking .

2) Met behulp van het knooppunt Endpoint Protection in de werkruimte Activa en naleving .

3) Met behulp van de ingebouwde Configuration Manager rapporten.
Zie Endpoint Protection bewaken

De beheerders melden een geslaagde implementatie van Endpoint Protection aan hun manager en bevestigen dat de computers bij Woodgrove Bank nu zijn beveiligd tegen antimalware, afhankelijk van de bedrijfsvereisten die aan hen zijn gegeven.

Volgende stappen

Zie Endpoint Protection configureren voor meer informatie