Пример сценария: использование Endpoint Protection для защиты компьютеров от вредоносных программ
Относится к Configuration Manager (Current Branch)
В этой статье представлен пример сценария реализации Endpoint Protection в Configuration Manager для защиты компьютеров в организации от атак с использованием вредоносных программ.
Обзор сценария
Configuration Manager устанавливается и используется в Банке Woodgrove. В настоящее время банк использует Endpoint Protection для защиты компьютеров от вредоносных атак. Кроме того, банк использует групповая политика Windows, чтобы убедиться, что брандмауэр Windows включен на всех компьютерах в компании и что пользователи получают уведомления о блокировке новой программы брандмауэром Windows.
Администраторам Configuration Manager было предложено обновить антивредоносное программное обеспечение Woodgrove Bank до Endpoint Protection, чтобы банк мог воспользоваться новейшими функциями защиты от вредоносных программ и централизованно управлять решением для защиты от вредоносных программ из консоли Configuration Manager.
Бизнес-требования
Эта реализация имеет следующие требования:
Используйте Configuration Manager для управления параметрами брандмауэра Windows, которые в настоящее время управляются групповая политика.
Используйте Configuration Manager обновления программного обеспечения для скачивания определений вредоносных программ на компьютеры. Если обновления программного обеспечения недоступны, например если компьютер не подключен к корпоративной сети, компьютеры должны скачивать обновления определений из Центра обновления Майкрософт.
Компьютеры пользователей должны выполнять быструю проверку вредоносных программ каждый день. Серверы, однако, должны выполнять полную проверку каждую субботу, в нерабочее время, в 1:00.
Отправка оповещения по электронной почте при возникновении любого из следующих событий:
Обнаружена вредоносная программа на любом компьютере
Одна и та же вредоносная угроза обнаружена на более чем 5 процентах компьютеров
Одна и та же угроза вредоносных программ обнаруживается более 5 раз за любой 24-часовой период
За любой 24-часовый период обнаруживается более 3 различных типов вредоносных программ
Затем администраторы выполняют следующие действия для реализации Endpoint Protection:
Шаги по реализации Endpoint Protection
| Процесс | Справочные материалы |
|---|---|
| Администраторы просматривают доступные сведения об основных понятиях Endpoint Protection в Configuration Manager. | Общие сведения о Endpoint Protection см. в разделе Endpoint Protection. |
| Администраторы устанавливают роль системы сайта Endpoint Protection только на одном сервере системы сайта в верхней части иерархии Woodgrove Bank. | Дополнительные сведения об установке роли системы сайта Endpoint Protection см. в разделе Предварительные требования в разделе Настройка Endpoint Protection. |
| Администраторы настраивают Configuration Manager использовать SMTP-сервер для отправки оповещений по электронной почте. Заметка: Необходимо настроить SMTP-сервер только в том случае, если вы хотите получать уведомления по электронной почте при создании оповещения Endpoint Protection. |
Дополнительные сведения см . в разделе Настройка оповещений в Endpoint Protection. |
| Администраторы создают коллекцию устройств, содержащую все компьютеры и серверы для установки клиента Endpoint Protection. Они называют эту коллекцию Все компьютеры, защищенные Endpoint Protection. Кончик: Вы не можете настроить оповещения для коллекций пользователей. |
Дополнительные сведения о создании коллекций см. в статье Создание коллекций. |
| Администраторы настраивают следующие оповещения для коллекции: 1) Обнаружена вредоносная программа. Администраторы настраивают уровень серьезности оповещений Критическое. 2) На нескольких компьютерах обнаруживается один и тот же тип вредоносных программ. Администраторы настраивают уровень серьезности оповещения Критическое и указывают, что оповещение будет создано при обнаружении вредоносных программ более чем на 5 процентах компьютеров. 3 ) Один и тот же тип вредоносных программ неоднократно обнаруживается в течение указанного интервала на компьютере. Администраторы настраивают уровень серьезности оповещения Критическое и указывают, что оповещение будет создаваться при обнаружении вредоносных программ более 5 раз в течение 24-часового периода. 4) На одном компьютере в течение указанного интервала обнаруживается несколько типов вредоносных программ. Администраторы настраивают уровень серьезности оповещения Критическое и указывают, что оповещение будет создаваться при создании более 3 типов вредоносных программ в течение 24-часового периода. Значение серьезности оповещения указывает уровень оповещения, который будет отображаться в консоли Configuration Manager и в оповещениях, которые они получают в сообщении электронной почты. Кроме того, они выбирают параметр Просмотреть эту коллекцию на панели мониторинга Endpoint Protection, чтобы можно было отслеживать оповещения в консоли Configuration Manager. |
См. раздел Настройка оповещений для Endpoint Protection в разделе Настройка Endpoint Protection. |
| Администраторы настраивают Configuration Manager обновления программного обеспечения для скачивания и развертывания обновлений определений три раза в день с помощью правила автоматического развертывания. | Дополнительные сведения см. в разделе "Использование Configuration Manager программного обеспечения Обновления для доставки Обновления определений" статьи Использование обновлений программного обеспечения Configuration Manager для доставки обновлений определений. |
| Администраторы проверяют параметры в политике защиты от вредоносных программ по умолчанию, которая содержит рекомендуемые параметры безопасности от корпорации Майкрософт. Чтобы компьютеры выполняли быструю проверку каждый день, они изменяют следующие параметры: 1) Выполнять ежедневную быструю проверку на клиентских компьютерах: Да. 2) Ежедневное расписание быстрой проверки: 9:00. Администраторы отмечают, что Обновления, распространяемые из Центра обновления Майкрософт, по умолчанию выбираются в качестве источника обновления определений. Это соответствует бизнес-требованию, чтобы компьютеры загружали определения из Центра обновления Майкрософт, если они не могут получать Configuration Manager обновления программного обеспечения. |
См . статью Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection. |
| Администраторы создают коллекцию, содержащую только серверы Woodgrove Bank с именем Woodgrove Bank Servers. | См . статью Создание коллекций |
| Администраторы создают настраиваемую политику защиты от вредоносных программ с именем Woodgrove Bank Server Policy. Они добавляют только параметры для запланированных проверок и вносят следующие изменения: Тип сканирования: Полный День сканирования: суббота Время сканирования: 1:00 Выполнение ежедневной быстрой проверки на клиентских компьютерах: Нет. |
См . статью Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection. |
| Администраторы развертывают настраиваемую политику защиты от вредоносных программ в коллекции серверов Woodgrove Bank. | См. статью Развертывание политики защиты от вредоносных программ на клиентских компьютерах. Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection . |
| Администраторы создают новый набор пользовательских параметров клиентского устройства для Endpoint Protection и присваивают имена этим параметрам Защиты конечных точек Woodgrove Bank. Заметка: Если вы не хотите устанавливать и включать Endpoint Protection на всех клиентах в иерархии, убедитесь, что параметры Управление клиентом Endpoint Protection на клиентских компьютерах и Установка клиента Endpoint Protection на клиентских компьютерах настроены как Нет в параметрах клиента по умолчанию. |
Дополнительные сведения см. в разделе Настройка пользовательских параметров клиента для Endpoint Protection. |
| Они настраивают следующие параметры для Endpoint Protection: Управление клиентом Endpoint Protection на клиентских компьютерах: Да Этот параметр и значение гарантируют, что любой установленный клиент Endpoint Protection будет управляться Configuration Manager. Установка клиента Endpoint Protection на клиентских компьютерах. Да. |
|
| Администраторы развертывают параметры клиента Woodgrove Bank Endpoint Protection Settings в коллекции Все компьютеры, защищенные Endpoint Protection . | См. раздел Настройка пользовательских параметров клиента для Endpoint Protection в разделе Настройка Endpoint Protection в Configuration Manager. |
| Администраторы используют мастер создания политики брандмауэра Windows для создания политики, настроив следующие параметры для профиля домена: 1) Включение брандмауэра Windows: Да 2) Уведомление пользователя, когда брандмауэр Windows блокирует новую программу: Да |
См. статью Создание и развертывание политик брандмауэра Windows для Endpoint Protection. |
| Администраторы развертывают новую политику брандмауэра в созданной ранее коллекции Все компьютеры, защищенные Endpoint Protection . | См. статью Развертывание политики брандмауэра Windows в разделе Создание и развертывание политик брандмауэра Windows для Endpoint Protection. |
| Администраторы используют доступные задачи управления для Endpoint Protection для управления политиками защиты от вредоносных программ и брандмауэра Windows, при необходимости выполняют проверку компьютеров по запросу, принудительно загружают последние определения и указывают дальнейшие действия при обнаружении вредоносных программ. | См . статью Управление политиками защиты от вредоносных программ и параметрами брандмауэра для Endpoint Protection. |
| Администраторы используют следующие методы для мониторинга состояния Endpoint Protection и действий, выполняемых Endpoint Protection: 1) С помощью узла Состояние Endpoint Protection в разделе Безопасность в рабочей области Мониторинг . 2) С помощью узла Endpoint Protection в рабочей области Активы и соответствие . 3) С помощью встроенных отчетов Configuration Manager. |
См. раздел Мониторинг Endpoint Protection. |
Администраторы сообщают об успешной реализации Endpoint Protection своему руководителю и подтверждают, что компьютеры в Woodgrove Bank теперь защищены от вредоносных программ в соответствии с бизнес-требованиями, которые они были предоставлены.
Дальнейшие действия
Дополнительные сведения см. в статье Настройка Endpoint Protection.