Endpoint Protection
適用於:Configuration Manager (目前的分支)
Endpoint Protection 會管理Configuration Manager階層中用戶端電腦的反惡意程式碼原則和Windows Defender防火牆安全性。
當您搭配使用 Endpoint Protection 與 Configuration Manager 時,您有下列優點:
- 設定反惡意程式碼原則、Windows Defender防火牆設定,以及管理所選電腦群組的適用於端點的 Microsoft Defender。
- 使用Configuration Manager軟體更新來下載最新的反惡意程式碼定義檔案,讓用戶端電腦保持在最新狀態。
- 傳送電子郵件通知、使用主控台內監視,以及檢視報告。 這些動作會在用戶端電腦上偵測到惡意程式碼時通知系統管理使用者。
從Windows 10和Windows Server 2016電腦開始,已安裝Microsoft Defender防毒軟體。 針對這些作業系統,Configuration Manager用戶端安裝時,會安裝 Microsoft Defender 防毒軟體的管理用戶端。 在Windows 8.1和更早的電腦上,Endpoint Protection 用戶端會與Configuration Manager用戶端一起安裝。 Microsoft Defender防毒軟體和 Endpoint Protection 用戶端具有下列功能:
- 惡意程式碼和間諜軟體偵測和補救
- Rootkit 偵測和補救
- 重大弱點評估和自動定義和引擎更新
- 透過網路檢查系統偵測網路弱點
- 與雲端保護服務整合,以向Microsoft報告惡意程式碼。 當您加入此服務時,當電腦上偵測到無法辨識的惡意程式碼時,Endpoint Protection 用戶端或Microsoft Defender防毒軟體會從惡意程式碼保護中心下載最新的定義。
注意事項
Endpoint Protection 用戶端可以安裝在執行 Hyper-V 的伺服器上,以及支援作業系統的客體虛擬機器上。 為了避免過度使用 CPU,Endpoint Protection 動作會有內建的隨機延遲,因此保護服務不會同時執行。
您也可以在 Configuration Manager 主控台中使用 Endpoint Protection 管理Windows Defender防火牆設定。
管理惡意程式碼
Configuration Manager中的 Endpoint Protection 可讓您建立包含 Endpoint Protection 用戶端組態設定的反惡意程式碼原則。 將這些反惡意程式碼原則部署至用戶端電腦。 然後在 [監視] 工作區中 [安全性] 下的[Endpoint Protection 狀態] 節點中監視合規性。 也請在 [報告] 節點中使用 Endpoint Protection 報告 。
如需詳細資訊,請參閱下列文章:
如何建立和部署反惡意程式碼原則:使用您可以設定的設定清單來建立、部署及監視反惡意程式碼原則。
如何監視 Endpoint Protection:監視活動報告、受感染的用戶端電腦等等。
如何管理反惡意程式碼原則和防火牆設定:補救在用戶端電腦上找到的惡意程式碼。
管理Windows Defender防火牆
Configuration Manager中的 Endpoint Protection 提供用戶端電腦上Windows Defender防火牆的基本管理。 針對每個網路設定檔,您可以設定下列設定:
啟用或停用Windows Defender防火牆。
封鎖連入連線,包括允許程式清單中的連線。
Windows Defender防火牆封鎖新程式時通知使用者。
注意事項
Endpoint Protection 僅支援管理Windows Defender防火牆。
如需詳細資訊,請參閱如何建立和部署Windows Defender防火牆原則。
適用於端點的 Microsoft Defender
Configuration Manager管理及監視適用於端點的 Microsoft Defender,先前稱為端點Windows Defender。 適用於端點的 Microsoft Defender服務可協助您偵測、調查及回應網路上的進階攻擊。 如需詳細資訊,請參閱端點Microsoft Defender。
Endpoint Protection 工作流程
使用下圖可協助您瞭解在Configuration Manager階層中實作 Endpoint Protection 的工作流程。
建議
在 Configuration Manager 中使用下列 Endpoint Protection 建議。
設定自訂用戶端設定
當您設定 Endpoint Protection 的用戶端設定時,請勿使用預設用戶端設定。 預設值會將設定套用至階層中的所有電腦。 請改為設定自訂用戶端設定,並將這些設定指派給階層中的電腦集合。
當您設定自訂用戶端設定時,您可以執行下列動作:
- 自訂群組織不同部分的反惡意程式碼和安全性設定。
- 在將 Endpoint Protection 部署到整個階層之前,請先測試在一小組電腦上執行 Endpoint Protection 的效果。
- 隨著時間將更多用戶端新增至集合,以分階段部署 Endpoint Protection 設定。
使用軟體更新散發定義更新
如果您使用Configuration Manager軟體更新來散發定義更新,請將定義更新放在不包含其他軟體更新的套件中。 此做法會讓定義更新套件的大小變小,使其能夠更快速地複寫到發佈點。