Jak lze nakonfigurovat Endpoint Protection v produktu Configuration Manager
Rozsah platnosti: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1
Než budete moct pomocí produktu Endpoint Protection spravovat zabezpečení a malware v klientských počítačích nástroje System Center 2012 Configuration Manager, musíte provést kroky konfigurace popsané v tomto tématu.
Postup pro konfiguraci produktu Endpoint Protection v nástroji Configuration Manager
V následující tabulce najdete kroky, podrobnosti a další informace, které se týkají konfigurace aplikace Endpoint Protection.
.jpeg "System_CAPS_important") Důležité |
|---|
Pokud spravujete aplikaci Endpoint Protection pro počítače s Windows 10, musíte System Center 2012 Configuration Manager nakonfigurovat tak, aby aktualizoval a distribuoval definice malwaru pro program Windows Defender. Program Windows Defender je součástí Windows 10, takže na klientské počítače nemusíte nasazovat agenta aplikace Endpoint Protection. |
Kroky |
Podrobnosti |
Další informace |
||
|---|---|---|---|---|
Krok 1: Vytvoření role systému lokality bodu Endpoint Protection |
Roli systému lokality bodu Endpoint Protection je potřeba nainstalovat ještě před tím, než začnete aplikaci Endpoint Protection používat. Musí se nainstalovat jenom na jeden server systému lokality a na vrchol hierarchie v lokalitě centrální správy nebo samostatné primární lokalitě. |
Viz část Krok 1: Vytvoření role systému lokality bodu Endpoint Protection v tomto tématu. |
||
Krok 2: Konfigurace výstrah pro aplikaci Endpoint Protection |
Výstrahy upozorňují správce na výskyt určitých událostí, jako třeba napadení malwarem. Výstrahy se zobrazují v uzlu Výstrahy pracovního prostoru Monitorování nebo taky můžete nastavit, že se budou odesílat e-mailem určitým uživatelům. |
Viz Postup konfigurace oznámení pro Endpoint Protection v produktu Configuration Manager. |
||
Krok 3: Konfigurace zdrojů aktualizace definic pro klienty aplikace Endpoint Protection |
Aplikaci Endpoint Protection můžete nakonfigurovat tak, aby ke stahování aktualizací definic používala různé zdroje. |
Viz Jak lze nakonfigurovat aktualizace definicí pro Endpoint Protection v produktu Configuration Manager. |
||
Krok 4: Konfigurace výchozí antimalwarové zásady a vytvoření vlastních antimalwarových zásad |
Výchozí antimalwarová zásada se použije při instalaci klienta aplikace Endpoint Protection. Všechny vlastní zásady, které jste nasadili, se ve výchozím nastavení použijí do 60 minut od nasazení klienta. Před nasazením klienta aplikace Endpoint Protection nezapomeňte nakonfigurovat antimalwarové zásady. |
|||
Krok 5: Konfigurace vlastního nastavení klienta pro aplikaci Endpoint Protection |
Pomocí vlastního nastavení můžete nakonfigurovat nastavení aplikace Endpoint Protection pro kolekce počítačů ve vaší hierarchii.
|
Viz část Krok 5: Konfigurace vlastního nastavení klienta pro aplikaci Endpoint Protection v tomto tématu. |
Doplňkové postupy pro konfiguraci aplikace Endpoint Protection v Configuration Manageru
Pokud kroky v předchozí tabulce vyžadují další postupy, použijte následující informace.
Krok 1: Vytvoření role systému lokality bodu Endpoint Protection
Použijte jeden z následujících postupů podle toho, jestli chcete pro aplikaci Endpoint Protection instalovat nový server systému lokality, nebo použijete stávající server systému lokality.
| Důležité |
|---|
Při instalaci bodu Endpoint Protection se na server, který je hostitelem bodu Endpoint Protection, nainstaluje klient aplikace Endpoint Protection. V tomto klientovi jsou zakázané služby a kontroly, aby nevznikaly konflikty s antimalwarovým řešením, které může být na serveru nainstalované. Pokud později na tomto serveru povolíte správu pomocí aplikace Endpoint Protection a vyberte možnost odebrání antimalwarových řešení jiných výrobců, nedojde k odebrání tohoto produktu jiného výrobce. Produkt musíte odinstalovat ručně. |
Postup instalace a konfigurace role systému lokality bodu Endpoint Protection – nový server systému lokality
V konzole aplikace Configuration Manager klikněte na položku Správa.
V pracovním prostoru Správa rozbalte nabídku Konfigurace lokality a klikněte na možnost Servery a role serveru.
Na kartě Domů ve skupině Vytvoření klikněte na možnost Vytvořit server systému lokalit.
Na stránce Obecné definujte obecné nastavení systému lokalit a klikněte na Další.
Na stránce Výběr systémové role vyberte v seznamu dostupných rolí možnost Bod ochrany koncového bodu Endpoint Protection a potom klikněte na Další.
Na stránce Endpoint Protection zaškrtněte políčko Přijímám licenční podmínky ochrany koncového bodu Endpoint Protection a potom klikněte na Další.
DůležitéPokud licenční podmínky nepřijmete, nebudete moct aplikaci Endpoint Protection v produktu Configuration Manager používat.
Na stránce Microsoft Active Protection Service vyberte úroveň informací, které chcete odesílat Microsoftu a které pomáhají s vývojem nových definic, a potom klikněte na Další.
Poznámka
Tato možnost konfiguruje výchozí nastavení služby Microsoft Active Protection Service. Potom můžete nakonfigurovat vlastní nastavení pro každou antimalwarovou zásadu, kterou vytvoříte. Připojte se ke službě Microsoft Active Protection Service, abyste přispěli k lepšímu zabezpečení svých počítačů tím, že Microsoftu dodáte vzorky malwaru, které můžou pomoct k aktualizaci antimalwarových definic. Kromě toho po připojení ke službě Microsoft Active Protection Service může klient aplikace Endpoint Protection pomocí služby dynamického podpisu stahovat nové definice dřív, než je zveřejní služba Windows Update. Další informace naleznete v části Postup vytvoření a nasazení antimalwarových zásad pro Endpoint Protection v produktu Configuration Manager.
Dokončete průvodce.
Postup instalace a konfigurace role systému lokality bodu Endpoint Protection – stávající server systému lokality
V konzole aplikace Configuration Manager klikněte na položku Správa.
V pracovním prostoru Správa rozbalte položku Konfigurace lokality, klikněte na Servery a role systému lokality a potom vyberte server, který chcete použít pro aplikaci Endpoint Protection.
Na kartě Domů ve skupině Server klikněte na možnost Přidat role systému lokality.
Na stránce Obecné definujte obecné nastavení systému lokalit a klikněte na Další.
Na stránce Výběr systémové role vyberte v seznamu dostupných rolí možnost Bod ochrany koncového bodu Endpoint Protection a potom klikněte na Další.
Na stránce Endpoint Protection zaškrtněte políčko Přijímám licenční podmínky ochrany koncového bodu Endpoint Protection a potom klikněte na Další.
DůležitéPokud licenční podmínky nepřijmete, nebudete moct aplikaci Endpoint Protection v produktu Configuration Manager používat.
Na stránce Microsoft Active Protection Service vyberte úroveň informací, které chcete odesílat Microsoftu a které pomáhají s vývojem nových definic, a potom klikněte na Další.
Poznámka
Tato možnost konfiguruje výchozí nastavení služby Microsoft Active Protection Service. Můžete nakonfigurovat vlastní nastavení pro každou antimalwarovou zásadu, kterou vytvoříte. Další informace naleznete v části Postup vytvoření a nasazení antimalwarových zásad pro Endpoint Protection v produktu Configuration Manager.
Dokončete průvodce.
Krok 5: Konfigurace vlastního nastavení klienta pro aplikaci Endpoint Protection
Tento postup umožňuje nakonfigurovat vlastní nastavení klienta pro aplikaci Endpoint Protection, které potom můžete nasadit do kolekcí počítačů v hierarchii.
| Důležité |
|---|
Výchozí nastavení klienta aplikace Endpoint Protection nekonfigurujte, pokud si nejste jistí, jestli chcete toto nastavení použít pro všechny počítače v hierarchii. |
Postup povolení aplikace Endpoint Protection a konfigurace vlastního nastavení klienta
V konzole aplikace Configuration Manager klikněte na položku Správa.
V pracovním prostoru Správa klikněte na Nastavení klienta.
Na kartě Domů ve skupině Vytvořit klikněte na Vytvořit vlastní nastavení klientského zařízení.
V dialogu Vytvořit vlastní nastavení klientského zařízení zadejte název a popis skupiny nastavení a potom vyberte Endpoint Protection.
Určete nastavení klienta aplikace Endpoint Protection podle svých požadavků. Úplný seznam nastavení klienta aplikace Endpoint Protection, které můžete konfigurovat, najdete v části Endpoint Protection v tématu Nastavení klientů ve Správci konfigurace.
DůležitéNastavení klienta pro aplikaci Endpoint Protection můžete konfigurovat, teprve až nainstalujete roli systému lokality aplikace Endpoint Protection.
Kliknutím na tlačítko OK zavřete dialog Vytvořit vlastní nastavení klientského zařízení. Nové nastavení klienta se zobrazí v uzlu Nastavení klienta v pracovním prostoru Správa.
Než budete moct vlastní nastavení klienta používat, musíte ho nasadit do kolekce. Vyberte vlastní nastavení klienta, které chcete nasadit, a potom na kartě Domů ve skupině Nastavení klienta klikněte na Nasadit.
V dialogu Vybrat kolekci vyberte kolekci, do které chcete nasadit nastavení klienta, a klikněte na OK. Nová nasazení se zobrazí na kartě Nasazení v podokně podrobností.
Při příštím stažení zásad klienta se klientské počítače nakonfigurují tímto nastavením. Pokud chcete iniciovat načtení zásady pro jednoho klienta, viz část Spuštění načtení zásad pro klienta nástroje Configuration Manager v tématuSpráva klientů v nástroji Configuration Manager.
Jak nasadit zásady ochrany potenciálně nežádoucí aplikace pro aplikaci Endpoint Protection v nástroji Configuration Manager
Potenciální nežádoucí aplikace (PUA) je hrozba klasifikace na základě pověst a řízené research identifikace. Nejčastěji jsou tyto aplikace PUA bundlers nežádoucí aplikace nebo jejich připojené aplikace.
Můžete chránit vaši uživatelé z PUA nasazením antimalwarovou zásadu v vaše Microsoft System Center 2012 Endpoint Protection Configuration Manager. Nastavení zásad ochrany je standardně zakázáno. Pokud je povoleno, tato funkce bude blokovat PUA na stažení a čas instalace. Můžete ale konkrétní soubory nebo složky vyloučit, abyste splnili specifické požadavky prostředí.
Chcete-li vytvořit položku konfigurace k povolení ochrany PUA
V konzole Configuration Manageru klikněte na Prostředky a kompatibilita.
V prostředky a Kompatibilita otevřete pracovní prostor Nastavení dodržování předpisů složku, klikněte pravým tlačítkem na položky konfigurace, a potom klikněte na tlačítko vytvořit položku konfigurace.
V položku konfigurace průvodce, vyberte název a počítačů se systémem Windows a serveru (vlastní) typ položky konfigurace před klepnutím na tlačítko Další. Vyberte cílové operační systémy a přejít na další stránku. Klikněte na tlačítko Nový k vytvoření nového nastavení.
V Vytvořit nastavení dialogové okno, vyberte název pro nastavení a zadejte následující doplňkové informace:
Datový typ – vyberte celé číslo typu nastavte typ hodnoty používané
Podregistru – vyberte HKEY_LOCAL_MACHINE jako kořenového podregistru
Klíč – vyberte klíč podle vaší verze produktu:
Název produktu
Klíč
System Center Endpoint Protection
Software\Policies\Microsoft\Microsoft Antimalware\MpEngine
Forefront Endpoint Protection
Software\Policies\Microsoft\Microsoft Antimalware\MpEngine
Microsoft Security Essentials
Software\Policies\Microsoft\Microsoft Antimalware\MpEngine
Windows Defender
Software\Policies\Microsoft\Windows Defender\MpEngine
Hodnotu – Enter MpEnablePus jako název hodnoty registru, která má být konfigurována
Vyberte Tato hodnota registru je přidružen k 64-bit aplikaci
Klikněte na tlačítko odpovídajících pravidlech karta
V odpovídajících pravidlech klikněte na tlačítko Nový tlačítko můžete vytvořit pravidlo.
V vytvořit pravidlo dialogovém okně zadejte následující informace:
Zadejte název pro pravidlo
Vyberte pravidlo typu z hodnotu
Vyberte rovná se operátor pro porovnání
Vyberte hodnotu podle PUA nastavení, které chcete nasadit:
Hodnota
Popis
0 (výchozí)
Potenciálně nežádoucí aplikace ochrana je zakázána.
1
Potenciálně nežádoucí aplikace ochrana je povolena. Aplikace s nežádoucí chování se zablokuje při stažení a instalace.
Vyberte napravit pravidla nesplňující požadavky, pokud se podporuje
Vyberte ohlásit nekompatibilitu, pokud není nalezena instance tohoto nastavení
Klikněte na tlačítko OK na dokončení při vytváření pravidla.
V Vytvořit nastavení dialogové okno, klikněte na tlačítko použít. Klikněte na tlačítko Další klikáním dialogového okna souhrnu. Před klepnutím na tlačítko Ověřit Předvolby konfigurace Další a Zavřít. Nyní jste vytvořili položku konfigurace.
Položky konfigurace lze přidat do standardních hodnot konfigurace a nasazení. Viz Jak vytvořit standardní hodnoty konfigurace pro nastavení dodržování předpisů v produktu Configuration Manager a Jak lze nasadit standardní hodnoty konfigurace v produktu Configuration Manager Další informace. Při nasazování směrný plán konfigurace, vyberte napravit pravidla nesplňující požadavky, pokud se podporuje tak, aby se použijí změny klíče registru položku konfigurace.
Chcete-li vyloučit určité soubory nebo složky
V části "Nastavení vyloučení" v Postup vytvoření a nasazení antimalwarových zásad pro Endpoint Protection v produktu Configuration Manager vyloučit určité soubory nebo složky v rámci vašeho PUA antimalwarových zásad.
Ke správě Windows Defender, jsou požadavky na minimální verzi nástroje Configuration Manager 2012 SP2 a Defender 4.8.X.X nebo novější.
V závislosti na zásadách na místě mohou uživatelé přidat vyloučení uživatelským rozhraním pro obnovení a ignorovat zjištěné soubory.
Poznámka
Buďte opatrní při přidání vyloučení, protože může snížit zabezpečení ovlivněné počítače.
Pokud se domníváte, že aplikace byla nesprávně identifikována jako PUA, soubor odeslat Malware Protection Center pro hodnocení. Zahrnout PUA a detekce název do pole komentáře.
Viz také
Konfigurace ochrany koncového bodu v produktu Configuration Manager