Exempelscenario: Använd Endpoint Protection för att skydda datorer mot skadlig kod
Gäller för: Konfigurationshanteraren (current branch)
Den här artikeln innehåller ett exempelscenario för hur du kan implementera Endpoint Protection i Configuration Manager för att skydda datorer i din organisation från attacker mot skadlig kod.
Scenarioöversikt
Configuration Manager installeras och används på Woodgrove Bank. Banken använder för närvarande Endpoint Protection för att skydda datorer mot attacker mot skadlig kod. Dessutom använder banken Windows grupprincip för att säkerställa att Windows-brandväggen är aktiverad på alla datorer i företaget och att användarna meddelas när Windows-brandväggen blockerar ett nytt program.
De Configuration Manager administratörerna har ombetts att uppgradera Woodgrove Banks programvara mot skadlig kod till Endpoint Protection så att banken kan dra nytta av de senaste funktionerna för program mot skadlig kod och centralt hantera lösningen mot skadlig kod från Configuration Manager-konsolen.
Affärskrav
Den här implementeringen har följande krav:
Använd Configuration Manager för att hantera inställningarna för Windows-brandväggen som för närvarande hanteras av grupprincip.
Använd Configuration Manager programuppdateringar för att ladda ned definitioner av skadlig kod till datorer. Om programuppdateringar inte är tillgängliga, till exempel om datorn inte är ansluten till företagsnätverket, måste datorer hämta definitionsuppdateringar från Microsoft Update.
Användarnas datorer måste utföra en snabb skanning av skadlig kod varje dag. Servrar måste dock köra en fullständig genomsökning varje lördag, utanför kontorstid, kl. 01.00.
Skicka en e-postavisering när någon av följande händelser inträffar:
Skadlig kod identifieras på alla datorer
Samma hot om skadlig kod identifieras på mer än 5 procent av datorerna
Samma hot mot skadlig kod identifieras mer än 5 gånger under en 24-timmarsperiod
Mer än 3 olika typer av skadlig kod identifieras under en 24-timmarsperiod
Administratörerna utför sedan följande steg för att implementera Endpoint Protection:
Steg för att implementera Endpoint Protection
| Process | Referens |
|---|---|
| Administratörerna granskar den tillgängliga informationen om de grundläggande begreppen för Endpoint Protection i Configuration Manager. | Översiktsinformation om Endpoint Protection finns i Endpoint Protection. |
| Administratörerna installerar endast platssystemrollen Endpoint Protection på en platssystemserver överst i Woodgrove Bank-hierarkin. | Mer information om hur du installerar platssystemrollen Endpoint Protection finns i "Krav" i Konfigurera Endpoint Protection. |
| Administratörerna konfigurerar Configuration Manager att använda en SMTP-server för att skicka e-postaviseringar. Observera: Du måste bara konfigurera en SMTP-server om du vill bli meddelad via e-post när en Endpoint Protection-avisering genereras. |
Mer information finns i Konfigurera aviseringar i Endpoint Protection. |
| Administratörerna skapar en enhetssamling som innehåller alla datorer och servrar för att installera Endpoint Protection-klienten. De namnger den här samlingen Alla datorer som skyddas av Endpoint Protection. Tips: Du kan inte konfigurera aviseringar för användarsamlingar. |
Mer information om hur du skapar samlingar finns i Så här skapar du samlingar |
| Administratörerna konfigurerar följande aviseringar för samlingen: 1) Skadlig kod identifieras: Administratörerna konfigurerar allvarlighetsgraden Kritisk avisering. 2) Samma typ av skadlig kod identifieras på ett antal datorer: Administratörerna konfigurerar allvarlighetsgraden Kritisk och anger att aviseringen ska genereras när mer än 5 procent av datorerna har skadlig kod upptäckt. 3) Samma typ av skadlig kod identifieras upprepade gånger inom det angivna intervallet på en dator: Administratörerna konfigurerar allvarlighetsgraden Kritisk och anger att aviseringen ska genereras när skadlig kod identifieras mer än 5 gånger under en 24-timmarsperiod. 4) Flera typer av skadlig kod identifieras på samma dator inom det angivna intervallet: Administratörerna konfigurerar allvarlighetsgraden Kritisk och anger att aviseringen ska genereras när mer än 3 typer av skadlig kod genereras under en 24-timmarsperiod. Värdet för Allvarlighetsgrad för avisering anger den aviseringsnivå som ska visas i Configuration Manager-konsolen och i aviseringar som de får i ett e-postmeddelande. De väljer dessutom alternativet Visa den här samlingen på instrumentpanelen för Endpoint Protection så att de kan övervaka aviseringarna i Configuration Manager-konsolen. |
Se "Konfigurera aviseringar för Endpoint Protection" i Konfigurera Endpoint Protection. |
| Administratörerna konfigurerar Configuration Manager programuppdateringar för att ladda ned och distribuera definitionsuppdateringar tre gånger om dagen med hjälp av en regel för automatisk distribution. | Mer information finns i avsnittet "Använda Configuration Manager Software Uppdateringar för att leverera definition Uppdateringar" i Använda Configuration Manager programuppdateringar för att leverera definitionsuppdateringar. |
| Administratörerna undersöker inställningarna i standardprincipen för program mot skadlig kod, som innehåller rekommenderade säkerhetsinställningar från Microsoft. För datorer som ska utföra en snabbgenomsökning varje dag till ändrar de följande inställningar: 1) Kör en daglig snabbsökning på klientdatorer: Ja. 2) Schematid för daglig snabbsökning: 09:00. Administratörerna noterar att Uppdateringar som distribueras från Microsoft Update väljs som standard som en definitionsuppdateringskälla. Detta uppfyller affärskravet att datorer laddar ned definitioner från Microsoft Update när de inte kan ta emot Configuration Manager programuppdateringar. |
Se Skapa och distribuera principer för program mot skadlig kod för Endpoint Protection. |
| Administratörerna skapar en samling som endast innehåller Woodgrove Bank-servrarna med namnet Woodgrove Bank Servers. | Se Så här skapar du samlingar |
| Administratörerna skapar en anpassad princip för program mot skadlig kod med namnet Woodgrove Bank Server Policy. De lägger bara till inställningarna för schemalagda genomsökningar och gör följande ändringar: Genomsökningstyp: Fullständig Genomsökningsdag: Lördag Genomsökningstid: 01:00 Kör en daglig snabbsökning på klientdatorer: Nej. |
Se Skapa och distribuera principer för program mot skadlig kod för Endpoint Protection. |
| Administratörerna distribuerar den anpassade principen för woodgrove bankserverprincip för program mot skadlig kod till Woodgrove Bank Servers-samlingen . | Se artikeln "Distribuera en princip för program mot skadlig kod till klientdatorer" Så här skapar och distribuerar du principer för program mot skadlig kod för Endpoint Protection . |
| Administratörerna skapar en ny uppsättning anpassade klientenhetsinställningar för Endpoint Protection och namnger dessa Woodgrove Bank Endpoint Protection-inställningar. Observera: Om du inte vill installera och aktivera Endpoint Protection på alla klienter i hierarkin kontrollerar du att alternativen Hantera Endpoint Protection-klienten på klientdatorer och Installera Endpoint Protection-klienten på klientdatorerna båda är konfigurerade som Nej i standardklientinställningarna. |
Mer information finns i Konfigurera anpassade klientinställningar för Endpoint Protection. |
| De konfigurerar följande inställningar för Endpoint Protection: Hantera Endpoint Protection-klienten på klientdatorer: Ja Den här inställningen och värdet säkerställer att alla befintliga Endpoint Protection-klienter som är installerade hanteras av Configuration Manager. Installera Endpoint Protection-klienten på klientdatorer: Ja. |
|
| Administratörerna distribuerar klientinställningarna för Woodgrove Bank Endpoint Protection Settings till samlingen Alla datorer som skyddas av Endpoint Protection . | Se "Konfigurera anpassade klientinställningar för Endpoint Protection" i Konfigurera Endpoint Protection i Configuration Manager. |
| Administratörerna använder guiden Skapa princip för Windows-brandväggen för att skapa en princip genom att konfigurera följande inställningar för domänprofilen: 1) Aktivera Windows-brandväggen: Ja 2) Meddela användaren när Windows-brandväggen blockerar ett nytt program: Ja |
Se Så här skapar och distribuerar du Principer för Windows-brandväggen för Endpoint Protection |
| Administratörerna distribuerar den nya brandväggsprincipen till samlingen Alla datorer som skyddas av Endpoint Protection som de skapade tidigare. | Se "Distribuera en princip för Windows-brandväggen" i Så här skapar och distribuerar du Principer för Windows-brandväggen för Endpoint Protection |
| Administratörerna använder de tillgängliga hanteringsuppgifterna för Endpoint Protection för att hantera principer för program mot skadlig kod och Windows-brandväggen, utföra genomsökningar på begäran av datorer vid behov, tvinga datorer att ladda ned de senaste definitionerna och ange eventuella ytterligare åtgärder som ska vidtas när skadlig kod identifieras. | Se Hantera principer för program mot skadlig kod och brandväggsinställningar för Endpoint Protection |
| Administratörerna använder följande metoder för att övervaka statusen för Endpoint Protection och de åtgärder som vidtas av Endpoint Protection: 1) Genom att använda noden Endpoint Protection Status under Säkerhet på arbetsytan Övervakning . 2) Genom att använda noden Endpoint Protection på arbetsytan Tillgångar och efterlevnad . 3) Med hjälp av de inbyggda Configuration Manager rapporterna. |
Se Övervaka Endpoint Protection |
Administratörerna rapporterar en lyckad implementering av Endpoint Protection till sin chef och bekräftar att datorerna på Woodgrove Bank nu skyddas från program mot skadlig kod, enligt de affärskrav som de fick.
Nästa steg
Mer information finns i Konfigurera Endpoint Protection
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för