Konfigurowanie ochrony punktu końcowego w programie Configuration Manager
Dotyczy: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1
Aby umożliwić programowi Ochrona punktu końcowego zarządzanie bezpieczeństwem i złośliwym kodem na komputerach klienckich programu System Center 2012 Configuration Manager, należy wykonać kroki konfiguracji szczegółowo opisane w tym temacie.
Kroki konfigurowania programu Ochrona punktu końcowego w programie Menedżer konfiguracji
W poniższej tabeli przedstawiono kroki, szczegóły i dodatkowe informacje o sposobie konfigurowania programu Endpoint Protection.
.jpeg "System_CAPS_important"){kind=icon} Ważne |
|---|
W przypadku zarządzania programem Endpoint Protection na komputerach z systemem Windows 10 należy skonfigurować program System Center 2012 Configuration Manager tak, aby aktualizował i rozpowszechniał definicje złośliwego oprogramowania na potrzeby usługi Windows Defender. Ze względu na to, że usługa Windows Defender została uwzględniona w systemie Windows 10, na komputerach klienckich nie trzeba wdrażać agenta programu Endpoint Protection. |
Kroki |
Szczegóły |
Więcej informacji |
||
|---|---|---|---|---|
Krok 1. Tworzenie roli systemu lokacji punktu programu Ochrona punktu końcowego. |
Rolę systemu lokacji punktu programu Ochrona punktu końcowego należy zainstalować przed rozpoczęciem korzystania z programu Ochrona punktu końcowego. Ta rola musi być zainstalowana tylko na serwerze systemu lokacji oraz na najwyższym poziomie w hierarchii centralnej lokacji administracyjnej lub autonomicznej lokacji głównej. |
Zobacz Krok 1. Tworzenie roli systemu lokacji punktu programu Endpoint Protection w tym temacie. |
||
Krok 2. Konfigurowanie alertów dla programu Ochrona punktu końcowego. |
Alerty służą do informowania administratora o wystąpieniu określonych zdarzeń, takich jak zainfekowanie złośliwym kodem. Alerty są wyświetlane w węźle Alerty obszaru roboczego Monitorowanie. Mogą być również wysyłane pocztą e-mail do określonych użytkowników. |
Zapoznaj się z tematem Konfigurowanie alertów dla programu Endpoint Protection w programie Configuration Manager. |
||
Krok 3. Konfigurowanie źródeł aktualizacji definicji dla klientów programu Ochrona punktu końcowego. |
Program Ochrona punktu końcowego można skonfigurować tak, aby pobierać aktualizacje definicji przy użyciu różnych źródeł. |
Zapoznaj się z tematem Jak skonfigurować aktualizacje definicji dla programu Endpoint Protection w programie Configuration Manager. |
||
Krok 4. Konfigurowanie domyślnych zasad ochrony przed złośliwym kodem i tworzenie niestandardowych zasad ochrony przed złośliwym kodem. |
Domyślne zasady ochrony przed złośliwym kodem są stosowane po zainstalowaniu klienta Ochrona punktu końcowego. Wszystkie wdrożone zasady niestandardowe są domyślnie stosowane w ciągu 60 minut od wdrożenia klienta. Przed wdrożeniem klienta programu Ochrona punktu końcowego sprawdź, czy zasady ochrony przed złośliwym kodem zostały skonfigurowane. |
Zapoznaj się z tematem Sposób tworzenia i wdrażania zasad ochrony przed złośliwym oprogramowaniem dla programu Endpoint Protection w programie Configuration Manager. |
||
Krok 5. Konfigurowanie niestandardowych ustawień klienta dla programu Endpoint Protection. |
Użyj niestandardowych ustawień klienta, aby skonfigurować ustawienia programu Ochrona punktu końcowego dla kolekcji komputerów w hierarchii.
|
Zobacz Krok 5. Konfigurowanie niestandardowych ustawień klienta dla programu Endpoint Protection w tym temacie. |
Uzupełniające procedury konfigurowania programu Endpoint Protection w programie Configuration Manager
Jeżeli kroki opisane w poprzedniej tabeli wymagają wykonania dodatkowych czynności, zapoznaj się z poniższymi informacjami.
Krok 1. Tworzenie roli systemu lokacji punktu programu Endpoint Protection
Użyj jednej z tych procedur w zależności od tego, czy chcesz zainstalować nowy serwer systemu lokacji dla programu Ochrona punktu końcowego, czy użyć istniejącego serwera systemu lokacji.
| Ważne |
|---|
Po zainstalowaniu punktu programu Ochrona punktu końcowego klient programu Ochrona punktu końcowego jest instalowany na serwerze hostującym ten punkt. Usługi i możliwości skanowania są wyłączane na tym kliencie, aby umożliwić współistnienie z każdym istniejącym rozwiązaniem chroniącym przed złośliwym kodem, które zostało zainstalowane na serwerze. Jeśli później uwzględnisz ten serwer w procesach zarządzania w programie Ochrona punktu końcowego i wybierzesz opcję usuwania wszelkich rozwiązań innych firm chroniących przed złośliwym kodem, produkt innej firmy nie zostanie usunięty. Trzeba będzie odinstalować go ręcznie. |
Aby zainstalować i skonfigurować rolę systemu lokacji punktu programu Endpoint Protection w przypadku nowego serwera systemu lokacji
-
W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.
-
W obszarze roboczym Administracja rozwiń węzeł Konfiguracja lokacji, a następnie kliknij przycisk Serwery i role systemu lokacji.
-
Na karcie Narzędzia główne w grupie Tworzenie kliknij przycisk Utwórz serwer systemu lokacji.
-
Na stronie Ogólne określ ustawienia ogólne systemu lokacji, a następnie kliknij przycisk Dalej.
-
Na stronie Wybór roli systemu wybierz na liście dostępnych ról element Punkt programu Endpoint Protection, a następnie kliknij przycisk Dalej.
-
Na stronie Endpoint Protection zaznacz pole wyboru Akceptuję postanowienia licencyjne programu Endpoint Protection, a następnie kliknij przycisk Dalej.
WażneJeśli postanowienia licencyjne nie zostaną zaakceptowane, nie będzie można używać programu Ochrona punktu końcowego w programie Menedżer konfiguracji.
-
Na stronie Usługa Microsoft Active Protection wybierz poziom informacji, które chcesz wysyłać do firmy Microsoft, aby pomóc w tworzeniu nowych definicji, a następnie kliknij przycisk Dalej.
Uwaga
Ta opcja powoduje skonfigurowanie ustawień usługi Microsoft Active Protection używanych domyślnie. Następnie możesz skonfigurować niestandardowe ustawienia dla każdej utworzonej zasady ochrony przed złośliwym kodem. Dołącz do użytkowników usługi Microsoft Active Protection, aby lepiej chronić komputery, dostarczając firmie Microsoft przykłady złośliwego kodu, które mogą pomóc w aktualizowaniu definicji oprogramowania chroniącego przed złośliwym kodem. Ponadto po dołączeniu do usługi Microsoft Active Protection klient programu Ochrona punktu końcowego może używać usługi podpisu dynamicznego do pobierania nowych definicji przed ich opublikowaniem w witrynie Windows Update. Aby uzyskać więcej informacji, zobacz Sposób tworzenia i wdrażania zasad ochrony przed złośliwym oprogramowaniem dla programu Endpoint Protection w programie Configuration Manager.
-
Ukończ pracę kreatora.
Aby zainstalować i skonfigurować rolę systemu lokacji punktu programu Endpoint Protection w przypadku istniejącego serwera systemu lokacji
-
W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.
-
W obszarze roboczym Administracja rozwiń węzeł Konfiguracja lokacji, kliknij przycisk Serwery i role systemu lokacji, a następnie wybierz serwer, którego chcesz użyć dla programu Ochrona punktu końcowego.
-
Na karcie Narzędzia główne w grupie Serwer kliknij przycisk Dodaj role systemu lokacji.
-
Na stronie Ogólne określ ustawienia ogólne systemu lokacji, a następnie kliknij przycisk Dalej.
-
Na stronie Wybór roli systemu wybierz na liście dostępnych ról element Punkt programu Endpoint Protection, a następnie kliknij przycisk Dalej.
-
Na stronie Endpoint Protection zaznacz pole wyboru Akceptuję postanowienia licencyjne programu Endpoint Protection, a następnie kliknij przycisk Dalej.
WażneJeśli postanowienia licencyjne nie zostaną zaakceptowane, nie będzie można używać programu Ochrona punktu końcowego w programie Menedżer konfiguracji.
-
Na stronie Usługa Microsoft Active Protection wybierz poziom informacji, które chcesz wysyłać do firmy Microsoft, aby pomóc w tworzeniu nowych definicji, a następnie kliknij przycisk Dalej.
Uwaga
Ta opcja powoduje skonfigurowanie ustawień usługi Microsoft Active Protection używanych domyślnie. Następnie możesz skonfigurować niestandardowe ustawienia dla każdej skonfigurowanej zasady ochrony przed złośliwym kodem. Aby uzyskać więcej informacji, zobacz Sposób tworzenia i wdrażania zasad ochrony przed złośliwym oprogramowaniem dla programu Endpoint Protection w programie Configuration Manager.
-
Ukończ pracę kreatora.
Krok 5. Konfigurowanie niestandardowych ustawień klienta dla programu Endpoint Protection
Ta procedura umożliwia skonfigurowanie niestandardowych ustawień klienta programu Ochrona punktu końcowego, które można wdrożyć w kolekcjach komputerów w hierarchii.
| Ważne |
|---|
Nie konfiguruj domyślnych ustawień klienta programu Ochrona punktu końcowego, jeśli nie masz pewności, że chcesz je zastosować do wszystkich komputerów w hierarchii. |
Aby skonfigurować niestandardowe ustawienia klienta dla programu Endpoint Protection
-
W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.
-
W obszarze roboczym Administracja kliknij przycisk Ustawienia klienta.
-
Na karcie Narzędzia główne w grupie Tworzenie kliknij pozycję Utwórz niestandardowe ustawienia urządzenia klienckiego.
-
W oknie dialogowym Tworzenie niestandardowych ustawień urządzenia klienckiego podaj nazwę i opis grupy ustawień, a następnie wybierz pozycję Endpoint Protection.
-
Skonfiguruj wymagane ustawienia klienta programu Ochrona punktu końcowego. Pełną listę ustawień klienta programu Endpoint Protection, które można skonfigurować, zawiera sekcja Ochrona punktu końcowego w temacie Informacje o ustawieniach klientów w programie Configuration Manager.
WażneNależy zainstalować rolę systemu lokacji programu Ochrona punktu końcowego, aby można było skonfigurować ustawienia klienta dla programu Ochrona punktu końcowego.
-
Kliknij przycisk OK, aby zamknąć okno dialogowe Tworzenie niestandardowych ustawień urządzenia klienckiego. Nowe ustawienia klienta są wyświetlane w węźle Ustawienia klienta w obszarze roboczym Administracja.
-
Przed użyciem niestandardowych ustawień klienta należy je wdrożyć w kolekcji. Wybierz niestandardowe ustawienia klienta do wdrożenia, a następnie na karcie Narzędzia główne w grupie Ustawienia klienta kliknij przycisk Wdróż.
-
W oknie dialogowym Wybieranie kolekcji wybierz kolekcję, do której chcesz wdrożyć ustawienia klienta, a następnie kliknij przycisk OK. Nowe wdrożenie jest wyświetlane na karcie Wdrożenia okienka szczegółów.
Klienci zostaną skonfigurowani przy użyciu tych ustawień podczas następnego pobierania zasad klienta. Aby zainicjować pobieranie zasad dla jednego klienta, zobacz sekcję Inicjowanie pobierania zasad dla klienta programu Configuration Manager w temacie Jak zarządzać klientami w programie Configuration Manager.
Wdrażanie aplikacji potencjalnie niechciane zasady ochrony dla programu Endpoint Protection w programie Configuration Manager
Potencjalne niepożądane aplikacji (PUA) jest oparte na pozycję w rankingu i zmiennych badań identyfikacji klasyfikacji zagrożenia. Najczęściej są te aplikacje PUA bundlers niechciane aplikacji lub ich powiązane aplikacje.
Użytkowników można chronić przed PUA wdrażanie zasad ochrony przed złośliwym oprogramowaniem w programu Microsoft System Center 2012 Endpoint ochrony Configuration Manager. Ustawienie zasad ochrony jest domyślnie wyłączona. Jeśli włączona, ta funkcja blokowania PUA na pobieranie i zainstalowanie. Możesz jednak wyłączyć blokowanie określonych plików lub folderów w celu spełnienia specyficznych potrzeb danego środowiska.
Aby utworzyć element konfiguracji, aby włączyć ochronę PUA
-
W konsoli programu Configuration Manager kliknij przycisk Zasoby i zgodność.
-
W zasoby i zgodność obszaru roboczego, otwórz ustawień zgodności folderu, kliknij prawym przyciskiem myszy elementy konfiguracji, a następnie kliknij przycisk utworzyć element konfiguracji.
-
W elementu konfiguracji kreatora, wybierz nazwę i systemu Windows, komputerów stacjonarnych i serwera (niestandardowy) typu elementu konfiguracji przed kliknięciem przycisku Dalej. Wybierz docelowych systemów operacyjnych, a następnie przejdź do następnej strony. Kliknij przycisk Nowy do tworzenia nowych ustawień.
-
W Tworzenie ustawienia okno dialogowe, wybierz nazwę dla ustawienia i podaj następujące informacje dodatkowe:
- **Typu danych** — wybierz **całkowitą** typu na typ wartości używany zestaw - **Gałąź** — wybierz HKEY\_LOCAL\_MACHINE jako główny gałęzi - **Klucz** — wybierz klucz zgodnie z danej wersji produktu: <table> <colgroup> <col style="width: 50%" /> <col style="width: 50%" /> </colgroup> <thead> <tr class="header"> <th><p>Nazwa produktu</p></th> <th><p>Klucz</p></th> </tr> </thead> <tbody> <tr class="odd"> <td><p>System Center Endpoint Protection</p></td> <td><p>Software\Policies\Microsoft\Microsoft Antimalware\MpEngine</p></td> </tr> <tr class="even"> <td><p>Forefront Endpoint Protection</p></td> <td><p>Software\Policies\Microsoft\Microsoft Antimalware\MpEngine</p></td> </tr> <tr class="odd"> <td><p>Microsoft Security Essentials</p></td> <td><p>Software\Policies\Microsoft\Microsoft Antimalware\MpEngine</p></td> </tr> <tr class="even"> <td><p>Usługa Windows Defender</p></td> <td><p>Software\Policies\Microsoft\Windows Defender\MpEngine</p></td> </tr> </tbody> </table> - **Wartość** — wprowadź MpEnablePus jako nazwę wartości rejestru do skonfigurowania - Wybierz **tej wartości rejestru jest skojarzony z aplikacją 64-bitowych**Kliknij przycisk niezgodnych reguł kartę
-
W niezgodnych reguł kliknij pozycję Nowy przycisk, aby utworzyć regułę.
-
W Utwórz regułę oknie dialogowym wprowadź następujące informacje:
- Wprowadź **Nazwa** reguły - Wybierz **reguły typu** z **wartość** - Wybierz **jest równa** operator porównania - Wybierz wartość zgodnie z ustawieniem PUA, którą chcesz wdrożyć: <table> <colgroup> <col style="width: 50%" /> <col style="width: 50%" /> </colgroup> <tbody> <tr class="odd"> <td><p>Wartość</p></td> <td><p>Opis</p></td> </tr> <tr class="even"> <td><p>0 (domyślnie)</p></td> <td><p>Potencjalnie niechciane aplikacji ochrona jest wyłączona</p></td> </tr> <tr class="odd"> <td><p>1</p></td> <td><p>Potencjalnie niechciane aplikacji jest chroniony. Aplikacje z niepożądane zachowanie zostanie zablokowane na czas instalacji i pobierania.</p></td> </tr> </tbody> </table> - Wybierz **Koryguj niezgodne reguły, jeśli są obsługiwane** - Wybierz **Zgłaszaj niezgodności, jeśli wystąpienie tego ustawienia nie można odnaleźć**Kliknij przycisk OK na zakończenie tworzenia zasady.
-
W Tworzenie ustawienia okno dialogowe, kliknij przycisk Zastosuj. Kliknij przycisk Dalej aż okno dialogowe podsumowania. Sprawdź poprawność konfiguracji preferencje przed kliknięciem przycisku Dalej i Zamknij. Teraz utworzono element konfiguracji.
Przedmiot konfiguracji mogą być dodawane do linii bazowej konfiguracji lub wdrożony. Zobacz Tworzenie podstaw konfiguracji dla ustawień zgodności w programie Configuration Manager i Jak wdrożyć podstaw konfiguracji w programie Configuration Manager uzyskać więcej informacji. Podczas wdrażania z linii bazowej konfiguracji, wybierz Koryguj niezgodne reguły, jeśli są obsługiwane tak, aby zmiany klucza rejestru elementu konfiguracji zostaną zastosowane.
Aby wykluczyć określonych plików lub folderów
Zobacz sekcję "Ustawienia wykluczania" w Sposób tworzenia i wdrażania zasad ochrony przed złośliwym oprogramowaniem dla programu Endpoint Protection w programie Configuration Manager do wykluczenia określonych plików lub folderów w zasadach ochrony przed złośliwym oprogramowaniem PUA.
Do zarządzania usługą Windows Defender, minimalne wymagania są w wersji programu Configuration Manager 2012 z dodatkiem SP2 i Defender 4.8.X.X lub nowszym.
W zależności od zasad obowiązujących użytkownicy mogą dodawać wykluczenia za pomocą interfejsu użytkownika, aby przywrócić i Ignoruj wykrytych plików.
Uwaga
Należy zachować ostrożność podczas dodawania wykluczenia, ponieważ jego zmniejszenie bezpieczeństwa komputerów, których dotyczy.
Jeśli uważasz, że aplikacja została niepoprawnie zidentyfikowana jako PUA, przesłać plik Centrum ochrony przed złośliwym oprogramowaniem do oceny. W polu Komentarze, zawierają PUA i nazwę wykrywania.