终结点保护

适用于: Configuration Manager(current branch)

Endpoint Protection 管理Configuration Manager层次结构中客户端计算机的反恶意软件策略和Windows Defender防火墙安全性。

将 Endpoint Protection 与 Configuration Manager 配合使用时,具有以下优势:

  • 配置反恶意软件策略,Windows Defender防火墙设置,并管理对所选计算机组的Microsoft Defender for Endpoint。
  • 使用Configuration Manager软件更新下载最新的反恶意软件定义文件,使客户端计算机保持最新状态。
  • 发送电子邮件通知、使用控制台内监视和查看报告。 在客户端计算机上检测到恶意软件时,这些操作会通知管理用户。

从Windows 10计算机和Windows Server 2016计算机开始,已安装Microsoft Defender防病毒。 对于这些操作系统,安装 Configuration Manager 客户端时,将安装用于 Microsoft Defender 防病毒的管理客户端。 在Windows 8.1和早期计算机上,Endpoint Protection 客户端随 Configuration Manager 客户端一起安装。 Microsoft Defender防病毒和 Endpoint Protection 客户端具有以下功能:

  • 恶意软件和间谍软件检测和修正
  • Rootkit 检测和修正
  • 关键漏洞评估和自动定义和引擎更新
  • 通过网络检查系统检测网络漏洞
  • 与 Cloud Protection Service 集成,向Microsoft报告恶意软件。 加入此服务时,当在计算机上检测到身份不明的恶意软件时,Endpoint Protection 客户端或Microsoft Defender防病毒将从恶意软件防护中心下载最新定义。

注意

Endpoint Protection 客户端可以安装在运行 Hyper-V 的服务器上,也可以安装在具有支持操作系统的来宾虚拟机上。 为了防止 CPU 使用率过高,Endpoint Protection 操作具有内置的随机延迟,因此保护服务不会同时运行。

还可以在 Configuration Manager 控制台中使用 Endpoint Protection 管理Windows Defender防火墙设置。

管理恶意软件

Configuration Manager 中的 Endpoint Protection 允许创建包含 Endpoint Protection 客户端配置设置的反恶意软件策略。 将这些反恶意软件策略部署到客户端计算机。 然后,在“监视”工作区的“安全性”下的“Endpoint Protection 状态”节点中监视合规性。 此外,在 “报告 ”节点中使用 Endpoint Protection 报表。

有关详细信息,请参阅以下文章:

管理Windows Defender防火墙

Configuration Manager 中的 Endpoint Protection 提供对客户端计算机上Windows Defender防火墙的基本管理。 对于每个网络配置文件,可以配置以下设置:

  • 启用或禁用Windows Defender防火墙。

  • 阻止传入连接,包括允许程序列表中的连接。

  • Windows Defender防火墙阻止新程序时通知用户。

注意

Endpoint Protection 仅支持管理Windows Defender防火墙。

有关详细信息,请参阅如何创建和部署Windows Defender防火墙策略

Microsoft Defender for Endpoint

Configuration Manager管理和监视Microsoft Defender for Endpoint,以前称为 Endpoint Windows Defender。 Microsoft Defender for Endpoint服务可帮助你检测、调查和响应网络上的高级攻击。 有关详细信息,请参阅终结点Microsoft Defender

Endpoint Protection 工作流

使用下图可帮助你了解在Configuration Manager层次结构中实现 Endpoint Protection 的工作流。

终结点保护工作流。

建议

在 Configuration Manager 中使用以下 Endpoint Protection 建议。

配置自定义客户端设置

配置 Endpoint Protection 的客户端设置时,请勿使用默认客户端设置。 默认设置将设置应用于层次结构中的所有计算机。 请改为配置自定义客户端设置,并将这些设置分配给层次结构中的计算机集合。

配置自定义客户端设置时,可以执行以下操作:

  • 为组织的不同部分自定义反恶意软件和安全设置。
  • 在将 Endpoint Protection 部署到整个层次结构之前,先测试在一小组计算机上运行 Endpoint Protection 的效果。
  • 随着时间的推移,将更多客户端添加到集合,以分阶段部署 Endpoint Protection 设置。

使用软件更新分发定义更新

如果使用Configuration Manager软件更新来分发定义更新,请将定义更新放在不包含其他软件更新的包中。 这种做法使定义更新包的大小更小,从而可以更快地复制到分发点。

后续步骤

示例方案:使用 Endpoint Protection 保护计算机免受恶意软件的侵害