分享方式:


範例案例:使用 Endpoint Protection 保護電腦免于惡意程式碼

適用於:Configuration Manager (目前的分支)

本文提供範例案例,說明如何在Configuration Manager中實作 Endpoint Protection,以保護組織中的電腦免于遭受惡意程式碼攻擊。

案例概觀

Configuration Manager會安裝並用於 Woodgrove Bank。 銀行目前使用 Endpoint Protection 來保護電腦免于遭受惡意程式碼攻擊。 此外,銀行會使用 Windows 群組原則,以確保在公司的所有電腦上都已啟用 Windows 防火牆,而且當 Windows 防火牆封鎖新程式時,使用者會收到通知。

系統會要求Configuration Manager系統管理員將 Woodgrove Bank 反惡意程式碼軟體升級至 Endpoint Protection,讓銀行可以受益于最新的反惡意程式碼功能,並能夠從 Configuration Manager 主控台集中管理反惡意程式碼解決方案。

商務需求

此實作有下列需求:

  • 使用Configuration Manager來管理目前由 群組原則 管理的 Windows 防火牆設定。

  • 使用Configuration Manager軟體更新將惡意程式碼定義下載到電腦。 如果無法使用軟體更新,例如,如果電腦未連線到公司網路,則電腦必須從 Microsoft Update 下載定義更新。

  • 使用者的電腦必須每天執行快速的惡意程式碼掃描。 不過,伺服器必須在每週六的上班時間以外,于上午 1 點執行完整掃描。

  • 每當發生下列任何一個事件時,傳送電子郵件警示:

    • 在任何電腦上偵測到惡意程式碼

    • 在超過 5% 的電腦上偵測到相同的惡意程式碼威脅

    • 在任何 24 小時內偵測到相同的惡意程式碼威脅超過 5 次

    • 在任何 24 小時內偵測到超過 3 種不同類型的惡意程式碼

    系統管理員接著會執行下列步驟來實作 Endpoint Protection:

實作 Endpoint Protection 的步驟

程序 參考
系統管理員會檢閱 Configuration Manager 中 Endpoint Protection 基本概念的可用資訊。 如需 Endpoint Protection 的概觀資訊,請參閱 Endpoint Protection
系統管理員只會在 Woodgrove Bank 階層頂端的一部月臺系統伺服器上安裝 Endpoint Protection 月臺系統角色。 如需如何安裝 Endpoint Protection 月臺系統角色的詳細資訊,請參閱設定 Endpoint Protection中的。
系統管理員會將Configuration Manager設定為使用 SMTP 伺服器來傳送電子郵件警示。

注意: 只有在您想要在產生 Endpoint Protection 警示時收到電子郵件通知時,才必須設定 SMTP 伺服器。
如需詳細資訊, 請參閱在 Endpoint Protection 中設定警示
系統管理員會建立裝置集合,其中包含安裝 Endpoint Protection 用戶端的所有電腦和伺服器。 他們會將此集合命名 為 Endpoint Protection 保護的所有電腦

提示: 您無法設定使用者集合的警示。
如需如何建立集合的詳細資訊,請參閱 如何建立集合
系統管理員會為集合設定下列警示:

1) 偵測到惡意程式碼:系統管理員將警示嚴重性設定為 [重大]

2) 在多部電腦上偵測到相同類型的惡意程式碼:系統管理員會設定 [ 重大 ] 的警示嚴重性,並指定當超過 5% 的電腦偵測到惡意程式碼時,將會產生警示。

3) 在 電腦的指定間隔內重複偵測到相同類型的惡意程式碼:系統管理員會設定 [重大] 的警示嚴重性,並指定在 24 小時內偵測到惡意程式碼超過 5 次時,將會產生警示。

4) 在 指定的間隔內,在同一部電腦上偵測到多種類型的惡意程式碼:系統管理員會設定 [重大] 的警示嚴重性,並指定在 24 小時內產生超過 3 種類型的惡意程式碼時,將會產生警示。

[警示嚴重性] 的值表示警示層級,將會顯示在Configuration Manager主控台中,以及在電子郵件訊息中收到的警示中。

他們還會在 Endpoint Protection 儀表板中選取 [檢視此集合] 選項,以便在 Configuration Manager 主控台中監視警示。
See "Configure Alerts for Endpoint Protection" in Configuring Endpoint Protection.
系統管理員會使用自動部署規則,設定Configuration Manager軟體更新,每天下載和部署定義更新三次。 For more information, see the "Using Configuration Manager Software Updates to Deliver Definition Updates" section in Use Configuration Manager software updates to deliver definition updates.
系統管理員會檢查預設反惡意程式碼原則中的設定,其中包含來自 Microsoft 的建議安全性設定。 若要讓電腦每天執行快速掃描,他們會變更下列設定:

1) 在用戶端電腦上執行每日快速掃描

2) 每日快速掃描排程時間上午 9:00

系統管理員會注意,預設會選取從 Microsoft Update 散發的更新做為定義更新來源。 這可滿足電腦在無法接收Configuration Manager軟體更新時,從 Microsoft Update 下載定義的商務需求。
請參閱 如何建立和部署 Endpoint Protection 的反惡意程式碼原則
系統管理員會建立集合,其中只包含名為 Woodgrove Bank Servers 的 Woodgrove Bank 伺服器 請參閱 如何建立集合
系統管理員會建立名為 Woodgrove Bank 伺服器原則的自訂反惡意程式碼原則。 它們只會新增 排程掃描的 設定,並進行下列變更:

掃描類型完整

掃描日星期六

掃描時間上午 1:00

在用戶端電腦上執行每日快速掃描
請參閱 如何建立和部署 Endpoint Protection 的反惡意程式碼原則
系統管理員會將 Woodgrove Bank Server 原則 自訂反惡意程式碼原則部署至 Woodgrove Bank Servers 集合。 請參閱如何 建立及部署 Endpoint Protection 的反惡意程式碼 原則一文。
系統管理員會為 Endpoint Protection 建立一組新的自訂用戶端裝置設定,並將這些 Woodgrove Bank Endpoint Protection 設定命名為

注意: 如果您不想在階層中的所有用戶端上安裝和啟用 Endpoint Protection,請確定預設用戶端設定中的 [ 管理用戶端電腦上的 Endpoint Protection 客戶 端] 和 [ 在用戶端電腦上安裝 Endpoint Protection 客戶 端] 選項都設定為 [否 ]。
如需詳細資訊, 請參閱設定 Endpoint Protection 的自訂用戶端設定
他們會為 Endpoint Protection 設定下列設定:

在用戶端電腦上管理 Endpoint Protection 用戶端

此設定和值可確保任何已安裝的現有 Endpoint Protection 用戶端都會由Configuration Manager管理。

在用戶端電腦上安裝 Endpoint Protection 用戶端
系統管理員會將 Woodgrove Bank Endpoint Protection 設定 用戶端設定部署到 Endpoint Protection 保護的所有電腦 集合。 See "Configure Custom Client Settings for Endpoint Protection" in Configuring Endpoint Protection in Configuration Manager.
系統管理員會使用 [建立 Windows 防火牆原則精靈] 來建立原則,方法是為網域設定檔設定下列設定:

1) 啟用 Windows 防火牆

2)
當 Windows 防火牆封鎖新程式時通知使用者
請參閱 如何建立和部署 Endpoint Protection 的 Windows 防火牆原則
系統管理員會將新的防火牆原則部署到他們稍早建立 的 Endpoint Protection 保護的所有電腦 集合。 See "To deploy a Windows Firewall policy" in the How to create and deploy Windows Firewall policies for Endpoint Protection
系統管理員會使用 Endpoint Protection 可用的管理工作來管理反惡意程式碼和 Windows 防火牆原則、視需要執行電腦的隨選掃描、強制電腦下載最新的定義,以及指定偵測到惡意程式碼時要採取的任何進一步動作。 請參閱 如何管理 Endpoint Protection 的反惡意程式碼原則和防火牆設定
系統管理員會使用下列方法來監視 Endpoint Protection 的狀態,以及 Endpoint Protection 所採取的動作:

1) 使用 [監視] 工作區中 [安全性] 下的 [Endpoint Protection 狀態] 節點。

2) 使用[資產與相容性] 工作區中的[Endpoint Protection] 節點。

3) 使用內建Configuration Manager報表。
請參閱 如何監視 Endpoint Protection

系統管理員會向其管理員回報 Endpoint Protection 的成功實作,並確認 Woodgrove Bank 的電腦現在受到保護,不會受到反惡意程式碼軟體的保護,

後續步驟

如需詳細資訊,請參閱 如何設定 Endpoint Protection