Enkel anti-malware med System Center 2012 Endpoint Protection

I fjor skrev jeg om distribusjon av Forefront Endpoint Protection 2010 (FEP), forgjengeren til System Center Endpoint Protection 2012 (SCEP). I den artikkelen dekket jeg en kort historie om FEP, dens opprinnelse (Forefront Client Security, FCS) og pårørende (Microsoft Security Essentials, MSE). I dag eier eiere av administrasjonslisenser for Microsoft System Center 2012 for klient- og / eller serverdatamaskiner allerede SCEP fordi en endepunktbeskyttelseslisens er inkludert i System Center 2012. Det kan hende at det ikke er nødvendig med høye investeringer i tredjeparts anti-malware-produkter for disse organisasjonene.

SCEP er en "V3" -utgivelse av Microsofts fremste anti-malware-klient. Integrasjonen av SCEP med dets administrasjonsramme, System Center Configuration Manager 2012 (SCCM), er fullført. SCEP-installasjonsfilen blir nå automatisk installert med hver SCCM-agent. Din beslutning er når og om du vil aktivere SCEP-oppsett med en SCCM-enhetsinnstilling. Å installere, konfigurere og oppdatere et tredjeparts anti-malware produkt, hvis du allerede eier System Center, er en ekstra kostnad å nøye vurdere behovet for.

Det kan ikke være enklere å installere anti-malware agent

For kunder som allerede kjører SCCM 2012, er det nyttige at SCEP-installasjonsfilen, en enkelt 18 MB-fil "SCEPInstall.exe", er forhåndsinstallert i% windir% \ ccmsetup-mappen til hver SCCM-agent. Figur A viser installasjonsfilen som kan kjøres manuelt, eller mer sannsynlig kjøres automatisk av en SCEP-policy som brukes på en SCCM-samling av datamaskiner.

Figur A

Hver SCCM-agent er ett klikk unna å være en SCEP-klient.

Manuell installering av SCEP bør unngås, fordi dette kan utelukke automatisk SCEP-klienttjeneste av SCCM. Men hvis du trenger det, kan du bare kjøre SCEPInstall.exe og godta standardoppsettalternativene. Her er kommandolinjen for å installere SCEP manuelt med en eksportert SCEP-policy:

 SCEPInstall.exe / policy  XML 

Distribuere og administrere SCEP med SCCM 2012

Den rette måten å distribuere SCEP er å bruke SCCM-konsollen: for å konfigurere SCEP-klienten som skal installeres, og bruke en anti-malware-policy. SCEPs forgjenger, FEP 2010, ble integrert med og distribuert av SCCM 2007 R3. Samme historie med SCEP 2012 og SCCM 2012. Imidlertid er SCEPs integrasjon med SCCM 2012 helt annerledes og krever en omlæring for SCCM 2007 og FEP 2010 administratorer. SCCM 2012 har et helt nytt grensesnitt fra SCCM 2007. Det nye grensesnittet har oppgaveruter og bånd som Outlook eller en annen System Center 2012-komponent, backup-applikasjonen Data Protection Manager (DPM) 2012. Tidligere, i FEP 2010, ble administrasjonsfunksjonene lokalisert i FEP-delen av SCCM 2007 R3-konsollen. Nå med SCEP 2012 og SCCM 2012, er funksjoner for å distribuere og administrere SCEP innebygd i visningsspesifikke områder på SCCM 2012-konsollen. Figur B viser den nye visningen av endepunktbeskyttelsesstatus.

Figur B

En del av Endpoint Protection Status Monitoring-visningen i SCCM 2012.

Konfigurer sluttpunktbeskyttelse i SCCM

Mens alle brikkene og delene er der for å lyse opp SCEP i en standardinstallasjon av SCCM 2012, må du bestemme deg for å distribuere denne funksjonen på SCCM-serversiden og på SCCM-klientsiden. De detaljerte prosedyrene finnes på denne lenken: http://technet.microsoft.com/en-us/library/hh508770.aspx

Her er trinnene på høyt nivå for å konfigurere SCEP i SCCM:

  1. Opprett en endepunktbeskyttelsessystemets rolle i SCCM 2012. Legg til områdesystemrollen i SCCM Administration-arbeidsområdet til et eksisterende SCCM-område.
  2. Konfigurer ønsket SCEP-policy. Naviger til Endpoint Protection -> Antimalware Policies i arbeidsområdet Assets and Compliance på SCCM-konsollen. Lag en tilpasset policy for datamaskiner, for eksempel skanning av unntak eller en plan for utføring av skanninger.
  3. Distribuer SCEP-policyen til ønsket SCCM-samling. Hvis du ikke allerede har gjort det, oppretter du en SCCM-samling som definerer datamaskinene du vil installere SCEP på.
    • I området Assets and Compliance -> Endpoint Protection -> Antimalware Policy, velg policyen for malware som opprettes i trinn 2.
    • Høyreklikk og velg Distribuere . Velg deretter samlingen du vil distribuere innstillingene til, og klikk OK .
  4. Konfigurer tilpassede SCCM-klientinnstillinger for SCEP. Lag egendefinerte klientenhetsinnstillinger på administrasjonsområdet -> Klientinnstillinger som vist i figur C. Sett installasjonsendepunktbeskyttelsesklienten til sann.

    Figur C

    Denne tilpassede enhetsinnstillingen vil installere SCEP-klienten.
  5. Distribuer de tilpassede enhetsinnstillingene til en SCCM-samling.
  6. I administrasjonsområdet -> Klientinnstillinger, velger du de tilpassede enhetsinnstillingene som er opprettet i trinn 4.
  7. Høyreklikk og velg Distribuere . Velg deretter samlingen du vil distribuere innstillingene til, og klikk OK .

Konfigurer varsler for Endpoint Protection i SCCM

Det er veldig viktig å konfigurere SCCM 2012 for å gi deg tilbakemelding på varslene og tilstanden til Endpoint Protection-tjenesten. Hvis du har implementert System Center Operations Manager (SCOM) og importert SCEP 2012-administrasjonspakken, trenger du kanskje ikke eller ønsker å aktivere SCCM-varsel. Bortsett fra SCOM-administrasjonspakke-scenariet, vil du imidlertid slå på SCCM-varsel for SCEP-hendelser, slik at du vet når et malware utbrudd eller annen alvorlig hendelse har oppstått.

De detaljerte prosedyrene for å aktivere varsler finnes på denne lenken: http://technet.microsoft.com/en-us/library/hh427334.aspx. Her er trinn på høyt nivå for å aktivere varsling:

  1. Aktiver SCCM for å sende SMTP-varsler. Plasseringen for SMTP-serverinnstillinger er forskjellig for SCCM 2012 og SCCM 2012 SP1.
    • SCCM 2012 (ingen SP1) : Administrasjonsarbeidsområde, velg SCCM-serveren, og klikk deretter E-postvarsling i Innstillinger-fanen i Konfigurer nettstedskomponenter .
    • SCCM 2012 SP1 : Overvåking av arbeidsområdet -> Varsler -> Abonnementer. I Opprett-gruppen klikker du på Konfigurer e-postvarsling .
  2. Opprett en varsling om e-post. Overvåking arbeidsområde -> Varsler -> Abonnement-> Opprett abonnement. Oppgi e-post- og navninformasjon, og velg hvilken som helst av de fire typene SCEP-varsler du ønsker i e-postvarslingen. Figur D viser et SCEP-varsel som er sendt fra SCCM.

Figur D

Et varsel om endepunktbeskyttelse, vist i Microsoft Outlook. (Klikk for å forstørre)

© Copyright 2021 | pepebotifarra.com