Nem anti-malware med System Center 2012 Endpoint Protection

Sidste år skrev jeg om implementering af Forefront Endpoint Protection 2010 (FEP), forgængeren til System Center Endpoint Protection 2012 (SCEP). I denne artikel dækkede jeg en kort historie om FEP, dens oprindelse (Forefront Client Security, FCS) og pårørende (Microsoft Security Essentials, MSE). I dag ejer ejere af Microsoft System Center 2012-administrationslicenser til klient- og / eller servercomputere allerede SCEP, fordi en endepunktbeskyttelseslicens er inkluderet i System Center 2012. Høj investering i tredjeparts anti-malware-produkter er muligvis ikke nødvendig for disse organisationer.

SCEP er en "V3" -udgivelse af Microsofts fremste anti-malware-klient. Integrationen af ​​SCEP med dets administrationsramme, System Center Configuration Manager 2012 (SCCM), er afsluttet. SCEP-installationsfilen installeres nu automatisk med hver SCCM-agent. Din beslutning er hvornår og hvis du vil aktivere SCEP-opsætning med en SCCM-enhedsindstilling. Installation, konfiguration og opdatering af et tredjeparts anti-malware-produkt, hvis du allerede ejer System Center, er en ekstra omkostning til nøje at overveje behovet for.

Det kan ikke være lettere at installere anti-malware-agent

For kunder, der allerede kører SCCM 2012, er det nyttigt, at SCEP-installationsfilen, en enkelt 18-MB-fil "SCEPInstall.exe", er forinstalleret i% windir% \ ccmsetup-mappen for hver SCCM-agent. Figur A viser installationsfilen, der kan køres manuelt eller mere sandsynligt køres automatisk af en SCEP-politik, der anvendes til en SCCM-samling af computere.

Figur A

Hver SCCM-agent er et klik væk fra at være en SCEP-klient.

Manuel installation af SCEP bør undgås, da dette kan udelukke automatisk SCEP-klientservice af SCCM. Men hvis du har brug for det, kan du bare køre SCEPInstall.exe og acceptere standardopsætningsmulighederne. Her er kommandolinjen til installation af SCEP manuelt med en eksporteret SCEP-politik:

 SCEPInstall.exe / policy  .xml 

Implementering og styring af SCEP med SCCM 2012

Den rigtige måde at implementere SCEP er ved hjælp af SCCM-konsollen: til at konfigurere SCEP-klienten, der skal installeres, og anvende en anti-malware-politik. SCEPs forgænger, FEP 2010, blev integreret med og implementeret af SCCM 2007 R3. Samme historie med SCEP 2012 og SCCM 2012. SCEP's integration med SCCM 2012 er imidlertid helt anderledes og kræver en genindlæring for SCCM 2007 og FEP 2010 administratorer. SCCM 2012 har en helt ny grænseflade fra SCCM 2007. Den nye grænseflade har opgavevinduer og bånd som Outlook eller en anden System Center 2012-komponent, backup-applikationen Data Protection Manager (DPM) 2012. Tidligere i FEP 2010 var administrationsfunktioner placeret i FEP-delen af ​​SCCM 2007 R3-konsollen. Nu med SCEP 2012 og SCCM 2012 er funktioner til implementering og styring af SCEP indlejret i visningsspecifikke områder på SCCM 2012-konsollen. Figur B viser den nye visning af status overvågning af endepunktbeskyttelse.

Figur B

En del af visningen af ​​Endpoint Protection Status Monitoring i SCCM 2012.

Konfigurer slutpunktsbeskyttelse i SCCM

Mens alle brikker og dele er der for at tænde SCEP i en standardinstallation af SCCM 2012, er du nødt til at beslutte at implementere denne funktion på SCCM-serversiden og på SCCM-klientsiden. De detaljerede procedurer findes på dette link: http://technet.microsoft.com/en-us/library/hh508770.aspx

Her er trin på højt niveau til at konfigurere SCEP i SCCM:

  1. Opret en endepunktbeskyttelsessystem- rolle i SCCM 2012. Føj stedssystemrollen i SCCM Administration-arbejdsområdet til et eksisterende SCCM-sted.
  2. Konfigurer den ønskede SCEP-politik. I SCCM-konsolens arbejdsområde Assets and Compliance skal du navigere til Endpoint Protection -> Antimalware Policies. Opret en brugerdefineret politik til computere, såsom scanningsfritagelser eller en plan for udførelse af scanninger.
  3. Distribuer SCEP-politikken til den ønskede SCCM-samling. Hvis du ikke allerede har gjort det, skal du oprette en SCCM-samling, der definerer de computere, du vil installere SCEP på.
    • I rummet Assets and Compliance -> Endpoint Protection -> Antimalware Policies skal du vælge den anti-malware-politik, der er oprettet i trin 2.
    • Højreklik, og vælg Distribuer . Vælg derefter den samling, du vil installere indstillingerne til, og klik på OK .
  4. Konfigurer tilpassede SCCM-klientindstillinger til SCEP. Opret brugerdefinerede klientenhedsindstillinger på administrationsområdet -> Klientindstillinger som vist i figur C. Indstil klienten til slutpunktsbeskyttelse til True.

    Fig

    Denne brugerdefinerede enhedsindstilling installerer SCEP-klienten.
  5. Distribuer de tilpassede enhedsindstillinger til en SCCM-samling.
  6. I administrationsområdet -> Klientindstillinger skal du vælge de tilpassede enhedsindstillinger, der er oprettet i trin 4.
  7. Højreklik, og vælg Distribuer . Vælg derefter den samling, du vil installere indstillingerne til, og klik på OK .

Konfigurer alarmer til endepunktbeskyttelse i SCCM

Det er virkelig vigtigt at konfigurere SCCM 2012 for at give dig feedback på advarslerne og tilstanden til Endpoint Protection-tjenesten. Hvis du har implementeret System Center Operations Manager (SCOM) og importeret SCEP 2012-administrationspakken, er du muligvis ikke nødt til eller ønsker at aktivere SCCM-alarm. Bortset fra SCOM-administrationspakke-scenariet, vil du imidlertid slå SCCM-alarm til SCEP-begivenheder til, så du ved, hvornår et malware-udbrud eller anden alvorlig begivenhed har fundet sted.

De detaljerede procedurer for at aktivere alarmer findes på dette link: http://technet.microsoft.com/en-us/library/hh427334.aspx. Her er trin på højt niveau for at aktivere alarmering:

  1. Aktivér SCCM for at sende SMTP-advarsler. Placeringen for SMTP-serverindstillinger er forskellig for SCCM 2012 og SCCM 2012 SP1.
    • SCCM 2012 (ingen SP1) : Administration af arbejdsområdet, vælg SCCM-serveren, og klik derefter på e-mail-meddelelse på fanen Indstillinger i Konfigurer webstedskomponenter .
    • SCCM 2012 SP1 : Overvågning af arbejdsområdet -> Alarmer -> Abonnementer. Klik på Konfigurer e-mail-meddelelse i fanen Hjem i gruppen Opret.
  2. Opret en e-mail-advarsel. Overvågning af arbejdsområdet -> Alarmer -> Abonnementer-> Opret abonnement. Angiv e-mail- og navnoplysningerne, og vælg en af ​​de fire typer SCEP-advarsler, du ønsker, i e-mail-meddelelsen. Figur D viser en SCEP-alarm sendt via SCCM.

Figur D

En e-mail-besked om endepunktbeskyttelse, vist i Microsoft Outlook. (Klik for større billede)

© Copyright 2020 | mobilegn.com