Przykładowy scenariusz: ochrona komputerów przed złośliwym oprogramowaniem przy użyciu programu Endpoint Protection
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Ten artykuł zawiera przykładowy scenariusz wdrażania programu Endpoint Protection w Configuration Manager w celu ochrony komputerów w organizacji przed atakami złośliwego oprogramowania.
Omówienie scenariusza
Configuration Manager jest zainstalowany i używany w Woodgrove Bank. Bank obecnie używa programu Endpoint Protection do ochrony komputerów przed atakami złośliwego oprogramowania. Ponadto bank używa systemu Windows zasady grupy, aby upewnić się, że zapora systemu Windows jest włączona na wszystkich komputerach w firmie i że użytkownicy są powiadamiani, gdy Zapora systemu Windows blokuje nowy program.
Administratorzy Configuration Manager zostali poproszeni o uaktualnienie oprogramowania chroniącego przed złośliwym kodem Woodgrove Bank do programu Endpoint Protection, aby bank mógł korzystać z najnowszych funkcji ochrony przed złośliwym kodem i być w stanie centralnie zarządzać rozwiązaniem chroniącym przed złośliwym kodem z konsoli Configuration Manager.
Wymagania biznesowe
Ta implementacja ma następujące wymagania:
Użyj Configuration Manager, aby zarządzać ustawieniami zapory systemu Windows, które są obecnie zarządzane przez zasady grupy.
Użyj Configuration Manager aktualizacji oprogramowania, aby pobrać definicje złośliwego oprogramowania na komputery. Jeśli aktualizacje oprogramowania nie są dostępne, na przykład jeśli komputer nie jest połączony z siecią firmową, komputery muszą pobrać aktualizacje definicji z Microsoft Update.
Komputery użytkowników muszą codziennie przeprowadzać szybkie skanowanie pod kątem złośliwego oprogramowania. Serwery muszą jednak uruchamiać pełne skanowanie w każdą sobotę, poza godzinami pracy, o godzinie 1:00.
Wyślij alert e-mail za każdym razem, gdy wystąpi jedno z następujących zdarzeń:
Złośliwe oprogramowanie jest wykrywane na dowolnym komputerze
To samo zagrożenie złośliwym oprogramowaniem jest wykrywane na ponad 5 procentach komputerów
To samo zagrożenie złośliwym oprogramowaniem jest wykrywane ponad 5 razy w dowolnym okresie 24-godzinnym
W dowolnym okresie 24-godzinnym wykryto więcej niż 3 różne typy złośliwego oprogramowania
Następnie administratorzy wykonają następujące kroki, aby zaimplementować program Endpoint Protection:
Kroki implementowania programu Endpoint Protection
Proces | Odwołanie |
---|---|
Administratorzy zapoznają się z dostępnymi informacjami na temat podstawowych pojęć dotyczących programu Endpoint Protection w Configuration Manager. | Aby uzyskać omówienie informacji o programie Endpoint Protection, zobacz Endpoint Protection. |
Administratorzy instalują rolę systemu lokacji programu Endpoint Protection tylko na jednym serwerze systemu lokacji w górnej części hierarchii banku Woodgrove Bank. | Aby uzyskać więcej informacji na temat instalowania roli systemu lokacji programu Endpoint Protection, zobacz "Wymagania wstępne" w temacie Konfigurowanie programu Endpoint Protection. |
Administratorzy konfigurują Configuration Manager do wysyłania alertów e-mail przy użyciu serwera SMTP. Uwaga: Serwer SMTP należy skonfigurować tylko wtedy, gdy chcesz otrzymywać powiadomienia pocztą e-mail o wygenerowaniu alertu programu Endpoint Protection. |
Aby uzyskać więcej informacji, zobacz Konfigurowanie alertów w programie Endpoint Protection. |
Administratorzy tworzą kolekcję urządzeń zawierającą wszystkie komputery i serwery do zainstalowania klienta programu Endpoint Protection. Nadają tej kolekcji nazwę Wszystkie komputery chronione przez program Endpoint Protection. Wskazówka: Nie można skonfigurować alertów dla kolekcji użytkowników. |
Aby uzyskać więcej informacji na temat tworzenia kolekcji, zobacz How to create collections (Jak tworzyć kolekcje) |
Administratorzy konfigurują następujące alerty dla kolekcji: 1) Wykryto złośliwe oprogramowanie: administratorzy konfigurują ważność alertu o znaczeniu Krytycznym. 2) Ten sam typ złośliwego oprogramowania jest wykrywany na wielu komputerach: administratorzy konfigurują ważność alertu o znaczeniu Krytycznym i określają, że alert zostanie wygenerowany po wykryciu złośliwego oprogramowania przez ponad 5 procent komputerów. 3) Ten sam typ złośliwego oprogramowania jest wielokrotnie wykrywany w określonym przedziale czasu na komputerze: administratorzy konfigurują ważność alertu Krytyczne i określają, że alert zostanie wygenerowany, gdy złośliwe oprogramowanie zostanie wykryte ponad 5 razy w ciągu 24 godzin. 4) Na tym samym komputerze wykryto wiele typów złośliwego oprogramowania w określonym przedziale czasu: administratorzy konfigurują ważność alertu o znaczeniu Krytycznym i określają, że alert zostanie wygenerowany, gdy w ciągu 24 godzin zostaną wygenerowane więcej niż 3 typy złośliwego oprogramowania. Wartość ważności alertu wskazuje poziom alertu, który będzie wyświetlany w konsoli Configuration Manager i w alertach otrzymywanych w wiadomości e-mail. Ponadto wybierają opcję Wyświetl tę kolekcję na pulpicie nawigacyjnym programu Endpoint Protection, aby mogli monitorować alerty w konsoli Configuration Manager. |
Zobacz "Konfigurowanie alertów dla programu Endpoint Protection" w temacie Konfigurowanie programu Endpoint Protection. |
Administratorzy konfigurują Configuration Manager aktualizacje oprogramowania w celu pobierania i wdrażania aktualizacji definicji trzy razy dziennie przy użyciu reguły wdrażania automatycznego. | Aby uzyskać więcej informacji, zobacz sekcję "Using Configuration Manager Software Aktualizacje to Deliver Definition Aktualizacje" (Używanie Configuration Manager oprogramowania do dostarczania Aktualizacje definicji) w temacie Używanie Configuration Manager aktualizacji oprogramowania do dostarczania aktualizacji definicji. |
Administratorzy sprawdzają ustawienia domyślnych zasad ochrony przed złośliwym kodem, które zawierają zalecane ustawienia zabezpieczeń z Microsoft. Aby komputery mogły codziennie przeprowadzać szybkie skanowanie, zmieniają następujące ustawienia: 1) Uruchom codzienne szybkie skanowanie na komputerach klienckich: Tak. 2) Dzienny harmonogram szybkiego skanowania: 9:00. Administratorzy zauważają, że Aktualizacje dystrybuowane z Microsoft Update jest domyślnie wybierane jako źródło aktualizacji definicji. Spełnia to wymaganie biznesowe, aby komputery pobierały definicje z Microsoft Update, gdy nie mogą odbierać Configuration Manager aktualizacji oprogramowania. |
Zobacz Jak tworzyć i wdrażać zasady ochrony przed złośliwym kodem dla programu Endpoint Protection. |
Administratorzy tworzą kolekcję zawierającą tylko serwery banku Woodgrove Bank o nazwie Woodgrove Bank Servers. | Zobacz Jak tworzyć kolekcje |
Administratorzy tworzą niestandardowe zasady ochrony przed złośliwym kodem o nazwie Woodgrove Bank Server Policy. Dodają tylko ustawienia dla zaplanowanych skanów i wprowadzają następujące zmiany: Typ skanowania: Pełny Dzień skanowania: sobota Godzina skanowania: 1:00 Uruchom codzienne szybkie skanowanie na komputerach klienckich: Nie. |
Zobacz Jak tworzyć i wdrażać zasady ochrony przed złośliwym kodem dla programu Endpoint Protection. |
Administratorzy wdrażają niestandardowe zasady ochrony przed złośliwym kodem w zasadach serwera Woodgrove Bank w kolekcji Serwery banku Woodgrove Bank . | Zobacz artykuł "Aby wdrożyć zasady ochrony przed złośliwym kodem na komputerach klienckich" Jak tworzyć i wdrażać zasady ochrony przed złośliwym kodem dla programu Endpoint Protection . |
Administratorzy tworzą nowy zestaw niestandardowych ustawień urządzeń klienckich dla programu Endpoint Protection i nazwiją te ustawienia programu Woodgrove Bank Endpoint Protection. Uwaga: Jeśli nie chcesz instalować i włączać programu Endpoint Protection na wszystkich klientach w hierarchii, upewnij się, że opcje Zarządzanie klientem programu Endpoint Protection na komputerach klienckich i Instalowanie klienta programu Endpoint Protection na komputerach klienckich są skonfigurowane jako Nie w domyślnych ustawieniach klienta. |
Aby uzyskać więcej informacji, zobacz Konfigurowanie niestandardowych ustawień klienta dla programu Endpoint Protection. |
Konfigurują następujące ustawienia dla programu Endpoint Protection: Zarządzanie klientem programu Endpoint Protection na komputerach klienckich: Tak To ustawienie i wartość zapewniają, że każdy zainstalowany klient programu Endpoint Protection będzie zarządzany przez Configuration Manager. Zainstaluj klienta programu Endpoint Protection na komputerach klienckich: Tak. |
|
Administratorzy wdrażają ustawienia klienta ustawień programu Woodgrove Bank Endpoint Protection w kolekcji Wszystkie komputery chronione przez program Endpoint Protection . | Zobacz "Konfigurowanie niestandardowych ustawień klienta dla programu Endpoint Protection" w temacie Konfigurowanie programu Endpoint Protection w Configuration Manager. |
Administratorzy używają Kreatora tworzenia zasad zapory systemu Windows, aby utworzyć zasady, konfigurując następujące ustawienia profilu domeny: 1) Włącz zaporę systemu Windows: Tak 2) Powiadom użytkownika, gdy Zapora systemu Windows blokuje nowy program: Tak |
Zobacz How to create and deploy Windows Firewall policies for Endpoint Protection (Jak tworzyć i wdrażać zasady zapory systemu Windows dla programu Endpoint Protection) |
Administratorzy wdrażają nowe zasady zapory w kolekcji Wszystkie komputery chronione przez program Endpoint Protection , które zostały utworzone wcześniej. | Zobacz "Aby wdrożyć zasady zapory systemu Windows" w temacie How to create and deploy Windows Firewall policies for Endpoint Protection (Jak tworzyć i wdrażać zasady zapory systemu Windows dla programu Endpoint Protection) |
Administratorzy używają dostępnych zadań zarządzania programu Endpoint Protection do zarządzania zasadami ochrony przed złośliwym kodem i zapory systemu Windows, przeprowadzania skanowania komputerów na żądanie w razie potrzeby, wymuszania na komputerach pobierania najnowszych definicji oraz określania wszelkich dalszych działań, które należy podjąć po wykryciu złośliwego oprogramowania. | Zobacz Jak zarządzać zasadami ochrony przed złośliwym kodem i ustawieniami zapory dla programu Endpoint Protection |
Administratorzy używają następujących metod do monitorowania stanu programu Endpoint Protection i akcji wykonywanych przez program Endpoint Protection: 1) Przy użyciu węzła Stan programu Endpoint Protection w obszarze Zabezpieczenia w obszarze roboczym Monitorowanie . 2) Przy użyciu węzła Endpoint Protection w obszarze roboczym Zasoby i zgodność . 3) Przy użyciu wbudowanych raportów Configuration Manager. |
Zobacz Jak monitorować program Endpoint Protection |
Administratorzy raport pomyślne wdrożenie programu Endpoint Protection do swojego menedżera i potwierdza, że komputery w Woodgrove Bank są teraz chronione przed złośliwym oprogramowaniem, zgodnie z wymaganiami biznesowymi, które zostały podane.
Następne kroki
Aby uzyskać więcej informacji, zobacz How to Configure Endpoint Protection (Jak skonfigurować program Endpoint Protection)