如何创建和部署 Configuration Manager 中 Endpoint Protection 反恶意软件策略
适用对象:System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1
可以将反恶意软件策略部署到的集合 Microsoft System Center 2012 Configuration Manager 客户端计算机来指定如何 Endpoint Protection 保护它们免受恶意软件和其他威胁的侵害。这些反恶意软件策略包括扫描计划、 文件和文件夹的扫描以及在检测到恶意软件时要执行的操作的类型有关的信息。如果您启用 Endpoint Protection, ,默认值的反恶意软件策略应用到客户端计算机。此外可以使用其他策略模板提供或创建您自己的自定义反恶意软件策略以满足您的环境的特定需求。
注意 |
---|
配置管理器 提供的针对各种方案进行了优化并可以导入到的预定义模板选择 配置管理器。这些模板的文件夹中有 < ConfigMgr 安装文件夹 >\AdminConsole\XMLStorage\EPTemplates。 |
重要事项 |
---|
如果创建新的反恶意软件策略并将其部署到集合时,此反恶意软件策略将替代默认反恶意软件策略。 |
使用本主题中的过程来创建或导入反恶意软件策略并将其分配给 System Center 2012 Configuration Manager 层次结构中的客户端计算机。
注意 |
---|
执行这些过程之前,请确保 配置管理器 配置为 Endpoint Protection 中所述 在配置管理器中配置终结点的保护。 |
若要修改默认反恶意软件策略
-
在 配置管理器 控制台中,单击 资产和符合性。
-
在 资产和符合性 工作区中,展开 Endpoint Protection, ,然后单击 反恶意软件策略。
-
选择的反恶意软件策略 默认客户端反恶意软件策略 ,然后在 主页 选项卡上,在 属性 组中,单击 属性。
-
在 默认反恶意软件策略 对话框框中,配置设置,您需要为此反恶意软件策略,然后单击 确定。
注意 您可以配置的设置的列表,请参阅 反恶意软件策略设置的列表 本主题中。
若要创建新的反恶意软件策略
-
在 配置管理器 控制台中,单击 资产和符合性。
-
在 资产和符合性 工作区中,展开 Endpoint Protection, ,然后单击 反恶意软件策略。
-
在上 主页 选项卡上,在 创建 组中,单击 创建反恶意软件策略。
-
在 常规 部分 创建反恶意软件策略 对话框框中,输入名称和策略的描述。
-
在 创建反恶意软件策略 对话框框中,配置设置,您需要为此反恶意软件策略,然后单击 确定。
注意 您可以配置的设置的列表,请参阅 反恶意软件策略设置的列表 本主题中。
-
验证新的反恶意软件策略是否显示在 反恶意软件策略 列表。
若要导入反恶意软件策略
-
在 配置管理器 控制台中,单击 资产和符合性。
-
在 资产和符合性 工作区中,展开 Endpoint Protection, ,然后单击 反恶意软件策略。
-
在 主页 选项卡上,在 创建 组中,单击 导入。
-
在 打开 对话框中,浏览到该策略文件以导入,然后单击 打开。
-
在 创建反恶意软件策略 对话框框中,查看设置以使用,然后单击 确定。
-
验证新的反恶意软件策略是否显示在 反恶意软件策略 列表。
若要部署到客户端计算机的反恶意软件策略
-
在 配置管理器 控制台中,单击 资产和符合性。
-
在 资产和符合性 工作区中,展开 Endpoint Protection, ,然后单击 反恶意软件策略。
-
在 反恶意软件策略 列表中,选择要部署的反恶意软件策略。然后,在 主页 选项卡上,在 部署 组中,单击 部署。
注意 部署 选项不能与默认客户端恶意软件策略一起使用。
-
在 选择集合 对话框框中,选择您希望以部署反恶意软件策略,然后单击的设备集合 确定。
反恶意软件策略设置的列表
许多反恶意软件设置都很容易理解。有关在配置之前可能需要的详细信息的设置的详细信息中使用以下各节。
计划的扫描
设置名 |
描述 |
||
---|---|---|---|
扫描类型 |
您可以指定在客户端计算机上运行的两种扫描类型之一:
在大多数情况下,使用 快速扫描 尽量减少客户端计算机上的系统资源的使用。如果恶意软件删除需要完全扫描, Endpoint Protection 会生成将显示在警报 配置管理器 控制台。 默认值是 快速扫描。 |
||
随机化 (在 30 分钟内) 的计划的扫描开始时间 |
选择 True (不带 service pack 的 Configuration Manager) 或 是 (Configuration Manager SP1) 如果您想要帮助避免填满网络,如果所有计算机都发送其反恶意软件可能会出现扫描结果显示为 配置管理器 在同一时间的数据库。 此设置也很有用的一台主机上运行多个虚拟机时。选择此选项可减少的反恶意软件扫描的同时进行磁盘访问量。
|
扫描设置
设置名 |
描述 |
||
---|---|---|---|
运行完全扫描时扫描的网络驱动器 |
设置为 True (不带 service pack 的 Configuration Manager) 或 是 (Configuration Manager SP1) 如果您想要扫描任何映射的客户端计算机上的网络驱动器。
|
默认操作
选择当客户端计算机上检测到恶意软件时要执行的操作。可以应用以下操作,具体取决于检测到恶意软件的警报的威胁级别。
推荐 – 使用恶意软件定义文件中建议的操作。
隔离 – 隔离恶意软件但不是删除它。
删除 – 从计算机中删除恶意软件。
允许 – 不删除或隔离恶意软件。
实时保护
设置名 |
描述 |
---|---|
启用实时保护 |
设置为 True (不带 service pack 的 Configuration Manager) 或 是 (Configuration Manager SP1) 如果您想要配置客户端计算机的实时保护设置。我们建议您启用此设置。 |
监视您的计算机上的文件和程序活动 |
设置为 True (不带 service pack 的 Configuration Manager) 或 是 (Configuration Manager SP1) 所需 Endpoint Protection 可以监视何时文件和程序开始在客户端计算机上运行并向您发出警报有关的任何他们执行的操作或对其所采取的操作。 |
扫描系统文件 |
此设置允许你配置是否传入、 传出,或传入和传出的系统文件所监视的恶意软件。出于性能原因,您可能需要更改的默认值 扫描传入和传出文件 如果服务器具有高的传入或传出文件的活动。 |
启用行为监视 |
启用此设置以使用计算机的活动和文件数据来检测未知的威胁。启用此设置后,它可能增加扫描恶意软件的计算机所需的时间。 |
启用针对基于网络的攻击的保护 |
启用此设置以通过检查网络流量并阻止任何可疑的活动来保护计算机免受已知的网络攻击。 |
启用脚本扫描 |
为 Configuration Manager 不带 service pack 仅。 如果您想要扫描的可疑活动的计算机运行任何脚本,启用此设置。 |
排除设置
设置名 |
描述 |
---|---|
排除的文件和文件夹 |
单击 设置 若要打开 配置文件和文件夹排除 对话框框中,并指定名称的文件和文件夹排除 Endpoint Protection 扫描。 如果您想要排除文件和位于映射的网络驱动器的文件夹,每个文件夹的名称在网络驱动器中单独指定。例如,如果网络驱动器映射为 F:\MyFolder 并且它包含名为 Folder1、 Folder2 和文件夹 3 的子文件夹,指定以下例外:
|
高级
设置名 |
描述 |
---|---|
启用重新分析点扫描 |
适用于 System Center 2012 Configuration Manager SP1 和更高版本: 设置为 是 如果您希望 Endpoint Protection 扫描 NTFS,重新分析点。 有关重新分析点的详细信息,请参阅 重新分析点 Windows 开发人员中心中。 |
威胁替代
设置名 |
描述 |
||
---|---|---|---|
威胁名称并重写操作 |
单击 设置 若要自定义时在扫描期间检测到它为每个威胁 ID 采取修正操作。
|
定义更新
设置名 |
描述 |
||
---|---|---|---|
将源设置和订单 Endpoint Protection 客户端更新 |
单击 设为源 指定用于定义和扫描引擎更新的源以及还指定使用它们的顺序。如果 配置管理器 被指定为其中一个源,则仅使用其他源如果软件更新无法下载客户端的更新。 如果使用任何以下方法来更新客户端计算机上的定义,客户端计算机必须能够访问 Internet。
|