Dela via


Exempel för att skydda datorer från skadlig kod genom att konfigurera Endpoint Protection i Configuration Manager

 

Gäller för: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Det här avsnittet innehåller ett exempel för hur du implementerar Endpoint Protection i Microsoft System Center 2012 Configuration Manager att skydda datorer i en organisation från skadlig kod attacker.

John är den Configuration Manager administratören Woodgrove Bank. Banken använder för närvarande Microsoft Forefront Endpoint Protection 2010 för att skydda datorer mot skadlig kod attacker. Dessutom använder banken grupprinciper för Windows och kontrollera att Windows-brandväggen är aktiverat på alla datorer i företaget samt att användare meddelas när Windows-brandväggen blockerar ett nytt program.

John har blivit ombedd att uppgradera Woodgrove Bank skadlig programvara till Slutpunktsskydd för System Center 2012 så att banken kan dra nytta av de senaste funktionerna skadlig och att kunna hantera centralt skadlig lösning från den Configuration Manager konsolen. Den här implementeringen har följande krav:

  • Använd Configuration Manager att hantera Windows-brandväggsinställningarna som för närvarande hanteras av en Grupprincip.

  • Använd Configuration Manager programvaruuppdateringar att ladda ned definitioner för skadlig kod till datorer. Om programvaruuppdateringar som inte är tillgängliga, till exempel om datorn inte är ansluten till företagets nätverk måste datorer hämta uppdateringar från Microsoft Update.

  • Användarna måste utför en snabb skadlig kod varje dag. Servrar, men måste köra en fullständig genomsökning varje lördag utanför kontorstid, 1 klockan

  • Skicka ett e-postavisering när någon av följande händelser inträffar:

    • Skadlig kod har upptäckts på en dator

    • Samma risken för skadlig kod har upptäckts på mer än 5 procent av datorer

    • Samma skadlig kod hot upptäcks fler än 5 gånger i alla 24 timmar

    • Mer än 3 olika typer av skadlig kod har identifierats i alla 24 timmar

  • Avinstallera befintliga skadlig lösningen.

John sedan utför följande steg för att implementera Endpoint Protection:

Steg för att implementera Endpoint Protection

Process

Referens

John granskar tillgänglig information om grundläggande begrepp för Endpoint Protection i Configuration Manager.

Mer information om Endpoint Protection, se Introduktion till Endpoint Protection i Configuration Manager.

John granskar och implementerar komponenterna att använda Endpoint Protection.

Information om förutsättningar för Endpoint Protection, se Förutsättningar för Endpoint Protection i Configuration Manager.

John installerar den Endpoint Protection webbplats Systemroll på ett system platsservern endast överst i hierarkin Woodgrove Bank.

Mer information om hur du installerar den Endpoint Protection webbplats Systemroll, se de Steg 1: Skapa en Endpoint Protection-platssystemroll avsnitt i den Så här konfigurerar du Endpoint Protection i Configuration Manager ämne.

John konfigurerar Configuration Manager att använda en SMTP-server för att skicka e-postaviseringar.

System_CAPS_noteInformation

Du måste konfigurera en SMTP-server endast om du vill bli meddelad av e-post när en Endpoint Protection varning ska genereras.

Mer information finns i Så här konfigurerar du aviseringar för Endpoint Protection i Configuration Manager.

System_CAPS_noteInformation

Inställningar för e-postavisering skiljer sig för Configuration Manager SP1 och Configuration Manager utan service Pack.

John skapar en enhet samling som innehåller alla datorer och servrar för att installera de Endpoint Protection klienten. Han namn på den här samlingen alla datorer skyddas av Endpoint Protection.

System_CAPS_tipTips

Det går inte att konfigurera aviseringar för användarsamlingar.

Läs mer om hur du skapar samlingar Så här skapar du samlingar i Configuration Manager

Han konfigurerar följande varningar för samlingen:

  • Skadlig kod har upptäckts: John konfigurerar en allvarlighetsgrad för kritisk.

  • Samma typ av skadlig kod har upptäckts på ett antal datorer : John konfigurerar en allvarlighetsgrad för kritisk och anger att en avisering genereras när mer än 5 procent av datorer som har skadlig kod har upptäckts.

  • Samma typ av skadlig kod har upptäckts upprepade gånger inom det angivna intervallet på en dator: John konfigurerar en allvarlighetsgrad för kritisk och anger att en avisering genereras när skadlig kod har upptäckts fler än 5 gånger i 24 timmar.

  • Flera typer av skadlig kod har identifierats på samma dator inom det angivna intervallet: John konfigurerar en allvarlighetsgrad för kritisk och anger att en avisering genereras när mer än 3 typer av skadlig kod skapas i 24 timmar.

System_CAPS_noteInformation

Värdet för avisering allvarlighetsgrad anger den varning som visas i den Configuration Manager konsolen och aviseringar som han tar emot i ett e-postmeddelande.

Dessutom väljer han alternativet Visa den här samlingen i instrumentpanelen Endpoint Protection så att han kan övervaka aviseringar i den Configuration Manager konsolen.

Mer information finns i Så här konfigurerar du aviseringar för Endpoint Protection i Configuration Manager.

John konfigurerar Configuration Manager programvaruuppdateringar att hämta och distribuera definitionsuppdateringar tre gånger per dag med hjälp av en distributionsregel för automatisk.

System_CAPS_importantViktigt

Den här frekvensen lämpar sig för Configuration Manager SP1. Dock på grund av prestanda i Configuration Manager utan service Pack inte schemalägga automatisk distribution regler för att leverera definitionsuppdateringar mer än en gång varje dag.

Mer information finns i avsnittet Använda Configuration Manager-programuppdateringar för att leverera definitionsuppdateringar i hjälpavsnittet Så här konfigurerar du definitionsuppdateringar för Endpoint Protection i Configuration Manager.

John undersöker inställningarna i policyn för skadlig kod, som innehåller rekommenderade säkerhetsinställningarna från Microsoft. Att utföra en snabb genomgång varje dag till datorer, ändrar han följande inställningar:

  • Kör en dag snabb genomgång på klientdatorer: Ja.

  • Dagliga snabbt schema inläsningstid: 9:00:00.

John anteckningar som uppdateringar som distribueras från Microsoft Update är markerat som standard som definition update källa. Detta uppfyller de affärsmässiga skäl att datorer ladda ned definitioner från Microsoft Update när de inte kan ta emot Configuration Manager programuppdateringar.

Mer information finns i Skapa och distribuera principerna för skadlig programvara för Endpoint Protection i Configuration Manager.

John skapar en samling som innehåller bara Woodgrove Bank servrar med namnet Woodgrove Bank servrar.

Läs mer om hur du skapar samlingar Så här skapar du samlingar i Configuration Manager

John skapar en princip för anpassad skadlig med namnet Woodgrove Bank serverprincip. Han lägger till inställningarna för schemalagda sökningar och gör följande ändringar:

  • Skanna typen: fullständiga

  • Sökning dag: lördag

  • Skanna tid: 1:00:00

  • Kör en dag snabb genomgång på klientdatorer: nr.

Mer information finns i Skapa och distribuera principerna för skadlig programvara för Endpoint Protection i Configuration Manager.

John distribuerar den Woodgrove Bank serverprincip anpassade policyn för skadlig kod till den Woodgrove Bank servrar samling.

Mer information finns i avsnittet Distribuera en policyn för skadlig kod till klientdatorer i hjälpavsnittet Skapa och distribuera principerna för skadlig programvara för Endpoint Protection i Configuration Manager.

John skapar en ny grupp anpassad klient inställningar för Endpoint Protection och namn dessa Woodgrove Bank Endpoint Protection-inställningar.

System_CAPS_warningVarning

Om du inte vill installera och aktivera Endpoint Protection för alla klienter i hierarkin, kontrollera att alternativen Hantera slutpunktsskyddsklient på klientdatorer och Installera slutpunktsskyddsklient på klientdatorer är konfigurerade som nr i klienten standardinställningar.

Mer information finns i avsnittet Steg 5: Konfigurera anpassade klientinställningar för Endpoint Protection. i hjälpavsnittet Så här konfigurerar du Endpoint Protection i Configuration Manager.

Han anger följande inställningar för Endpoint Protection:

  • Hantera slutpunktsskyddsklient på klientdatorer: Ja 

    Den här inställningen och värde ser till att alla befintliga Endpoint Protection klienten installeras blir hanteras av Configuration Manager.

  • Installera slutpunktsskyddsklient på klientdatorer: Ja.

  • Automatiskt ta bort tidigare installerade skadlig programvara innan Endpoint Protection installeras: Ja.

    Den här inställningen och värde uppfyller affärsmässiga skäl befintlig skadlig programvara tas bort innan Endpoint Protection är installerade och aktiverade.

Mer information finns i avsnittet Steg 5: Konfigurera anpassade klientinställningar för Endpoint Protection. i hjälpavsnittet Så här konfigurerar du Endpoint Protection i Configuration Manager.

John distribuerar den Woodgrove Bank Endpoint Protection-inställningar klientinställningar till den alla datorer skyddas av Endpoint Protection samling.

Mer information finns i avsnittet Hur du skapar och distribuerar anpassade klientinställningar i hjälpavsnittet Så här konfigurerar du klientinställningar i Configuration Manager.

John använder skapa Windows-brandväggen guiden för att skapa en princip genom att konfigurera följande inställningar för Domänprofil:

  • Aktivera Windows-brandväggen: Ja

  • Meddela användaren när Windows-brandväggen blockerar ett nytt program: Ja

Mer information finns i Skapa en princip för Windows-brandväggen under den Skapa och distribuera Windows-brandväggen principer för Endpoint Protection i Configuration Manager

John distribuerar nya brandväggsprincipen i samlingen alla datorer skyddas av Endpoint Protection som han skapade tidigare.

Mer information finns i Distribuera en princip för Windows-brandväggen under den Skapa och distribuera Windows-brandväggen principer för Endpoint Protection i Configuration Manager

John använder tillgängliga hanteringsuppgifter för Endpoint Protection Om du vill hantera Windows-brandväggen principer för skadlig och utföra sökningar på begäran för datorer vid behov, tvinga datorer att hämta de senaste definitionerna och ange alla ytterligare åtgärder som ska vidtas om skadlig kod har upptäckts.

Mer information om den Endpoint Protection hanteringsuppgifter, se Så här hanterar du skadlig principer och brandväggsinställningarna för Endpoint Protection i Configuration Manager.

John använder följande metoder för att övervaka status för Endpoint Protection och vilka åtgärder som vidtas av Endpoint Protection:

  • Med hjälp av den System Center 2012 Endpoint Protection Status nod i den övervakning arbetsytan.

  • Med hjälp av den Endpoint Protection nod i den tillgångar och efterlevnad arbetsytan.

  • Med hjälp av inbyggt Configuration Manager rapporter.

Mer information om den System Center 2012 Endpoint Protection Status nod, finns i Så här övervakaren Endpoint Protection med hjälp av den Slutpunktsskydd för System Center 2012 Status nod under den Så här övervakar Endpoint Protection i Configuration Manager ämne.

Mer information om hur du övervakar Endpoint Protection i tillgångar och efterlevnad arbetsytan finns i Så här övervakaren Endpoint Protection i tillgångar och efterlevnad arbetsyta avsnitt i den Så här övervakar Endpoint Protection i Configuration Manager ämne.

Mer information om hur du övervakar Endpoint Protection via rapporter finns i Så här övervakaren Endpoint Protection genom att använda rapporter under den Så här övervakar Endpoint Protection i Configuration Manager ämne.

John rapporterar en lyckad implementering av Endpoint Protection till sin manager och bekräftar att datorer Woodgrove Bank nu skyddas från skadlig, enligt kraven som han har fått.