在独立客户端上配置终结点保护

适用于: Configuration Manager(current branch)

你的组织可能有许多无法使用 Microsoft Configuration Manager管理或保护的独立客户端。 如果没有任何终结点保护，这些独立客户端容易受到潜在的恶意软件攻击。 若要保护此类独立客户端，可以使用 Endpoint Protection 手动配置它们，如本主题中所述。

注意

如果在非 Configuration Manager 管理的设备上安装 endpoint Protection 客户端，则设备可能需要管理许可证 (ML) 。

若要在独立客户端上手动配置 Endpoint Protection，请执行以下操作：

• 为独立客户端创建反恶意软件策略
• 将 Endpoint Protection 客户端安装包传输到独立客户端
• 在独立客户端上安装 Endpoint Protection

先决条件

以下是在独立客户端上配置 Endpoint Protection 的先决条件：

• 必须有权访问 Endpoint Protection 客户端安装包 ，scepinstall.exe。 可以在 C：\Program Files\Microsoft Configuration Manager\Client 文件夹中找到此包。
• 确保已安装 Endpoint Protection 客户端的 2017 年 1 月反恶意软件平台更新 。

为独立客户端创建反恶意软件策略

在此步骤中，将在 Configuration Manager 控制台中创建自定义反恶意软件策略，然后将其传输到独立客户端。

创建反恶意软件策略时，必须配置定义更新源，以使策略定义在独立客户端上保持最新。 如果独立客户端已连接到 Internet，则可以将定义更新源配置为 Microsoft 更新和Microsoft 恶意软件防护中心。 或者，选择 “网络共享 ”作为定义分发源，并使用最新的定义更新包定期更新它。

若要为独立客户端创建反恶意软件策略，请执行以下操作：

1. 在Configuration Manager控制台中，单击“资产和符合性”。

2. 在 “资产和符合性” 工作区中，展开 “终结点保护”，然后单击“ 反恶意软件策略”。

3. 在“ 开始 ”选项卡上的“ 创建 ”组中，单击“ 创建反恶意软件策略”。

4. 在“创建反恶意软件策略”对话框的“常规”部分中，输入策略的名称和说明。

5. 在“ 创建反恶意软件策略 ”对话框中，配置此反恶意软件策略所需的设置，然后单击“ 确定”。 有关可配置的设置列表，请参阅 反恶意软件策略设置列表。

   注意

   对于“定义汇报”设置，请选择“汇报从 Microsoft 更新分发”，如果独立客户端已连接到 Internet，汇报从Microsoft 恶意软件防护中心分发。
   或者，从 UNC 文件共享中选择“汇报”，通过网络共享分发策略定义。 然后，将一个或多个 UNC 路径添加到网络共享上定义更新文件的位置。

6. 将新创建的策略导出为 XML：

   1. 在 “反恶意软件策略” 列表中，右键单击策略。
   2. 选择"导出"。
   3. 将策略另存为 XML，例如 ，standalone.xml。

7. 将新的反恶意软件策略 XML 传输到要配置 Endpoint Protection 的目标独立客户端。

将 Endpoint Protection 客户端安装包传输到独立客户端

在此步骤中，从Configuration Manager服务器复制 Endpoint Protection 客户端安装包 (scepinstall.exe) ，并将其传输到独立客户端。

1. 登录到 Configuration Manager 服务器。
2. 导航到 Configuration Manager 安装文件夹的“客户端”文件夹， (C：\Program Files\Microsoft Configuration Manager\Client) 。
3. 复制 scepinstall.exe。
4. 将 scepinstall.exe 传输到要安装 Endpoint Protection 客户端软件的目标独立客户端。

在独立客户端上安装 Endpoint Protection

在此步骤中， (scepinstall.exe) 和 反恶意软件策略 (之前从独立客户端的命令提示符) 从Configuration Manager服务器传输的安装程序包。

若要在独立客户端上安装 Endpoint Protection，请执行以下操作：

1. 在独立客户端上，以管理员身份打开命令提示符。

2. 将目录更改为保存 scepinstall.exe 安装程序文件的文件夹。

3. 输入以下命令以使用反恶意软件策略运行 scepinstall.exe ：

   scepinstall.exe /policy <full path>\<policy file>
   

   将 替换为保存反恶意软件策略 XML 文件的路径，并将 policy file 替换为full path反恶意软件策略文件名。

   将提取安装程序并启动安装向导。

4. 按照屏幕上的说明完成客户端安装。

   在安装向导的最后一个屏幕上，默认选择在获取最新更新后扫描计算机中的潜在威胁的选项。 可以清除复选框以跳过扫描。

更改独立 Endpoint Protection 客户端上的反恶意软件策略设置

若要更改或更新独立 Endpoint Protection 客户端上的反恶意软件策略，请执行以下操作：

1. 为独立客户端创建反恶意软件策略。
2. 在独立客户端上运行以下命令：

C:\Program Files\Microsoft Security Client\ConfigSecurityPolicy.exe <full path>\<policy file>

将 替换为保存新反恶意软件策略 XML 文件的路径，并将 policy file 替换为full path反恶意软件策略文件名。

后续步骤

有关如何使用 Endpoint Protection 管理Configuration Manager客户端计算机上的安全性和恶意软件的信息，请参阅配置 Endpoint Protection。