配置终结点保护的自定义客户端设置
适用于: Configuration Manager(current branch)
此过程为 Endpoint Protection 配置自定义客户端设置,可将其部署到层次结构中的设备集合。
重要
仅当确定要将默认 Endpoint Protection 客户端设置应用于层次结构中的所有计算机时,才配置这些设置。
启用 Endpoint Protection 并配置自定义客户端设置
在Configuration Manager控制台中,单击“管理”。
在 “管理 ”工作区中,单击“ 客户端设置”。
在“ 主页 ”选项卡上的“ 创建 ”组中,单击“ 创建自定义客户端设备设置”。
在 “创建自定义客户端设备设置” 对话框中,提供设置组的名称和说明,然后选择“ Endpoint Protection”。
配置所需的 Endpoint Protection 客户端设置。 有关可以配置的 Endpoint Protection 客户端设置的完整列表,请参阅 关于客户端设置中的 Endpoint Protection 部分。
重要
在为 Endpoint Protection 配置客户端设置之前,请安装 Endpoint Protection 站点系统角色。
单击“ 确定” 关闭“ 创建自定义客户端设备设置 ”对话框。 新的客户端设置显示在“管理”工作区的“客户端设置”节点中。
接下来,将自定义客户端设置部署到集合。 选择要部署的自定义客户端设置。 在“ 主页 ”选项卡的 “客户端设置” 组中,单击“ 部署”。
在 “选择集合 ”对话框中,选择要将客户端设置部署到的集合,然后单击“ 确定”。 新部署显示在详细信息窗格 的“部署 ”选项卡中。
客户端在下次下载客户端策略时使用这些设置进行配置。 有关详细信息,请参阅启动Configuration Manager客户端的策略检索。
如何在磁盘映像中预配 Endpoint Protection 客户端
在要用作Configuration Manager OS 部署的磁盘映像源的计算机上安装 Endpoint Protection 客户端。 此计算机通常称为引用计算机。 创建 OS 映像后,使用 Configuration Manager OS 部署部署映像。
重要
从 Windows 10 和 Windows Server 2016 开始,默认情况下会安装 Windows Defender。 在这些版本或更高版本的 Windows 上不需要此过程。
使用以下过程来帮助在引用计算机上安装和配置 Endpoint Protection 客户端。
先决条件
以下列表包含在引用计算机上安装 Endpoint Protection 客户端软件所需的先决条件。
必须有权访问 Endpoint Protection 客户端安装包 ,scepinstall.exe。 在站点服务器上Configuration Manager安装文件夹的“客户端”文件夹中找到此包。
若要使用组织所需的配置部署 Endpoint Protection 客户端,请创建并导出反恶意软件策略。 然后,在手动安装 Endpoint Protection 客户端时指定此策略。 有关详细信息,请参阅 如何创建和部署反恶意软件策略。
注意
无法导出 默认客户端反恶意软件策略。
如果要安装具有最新定义的 Endpoint Protection 客户端,请从安全智能Windows Defender下载它们。
如何在引用计算机上安装 Endpoint Protection 客户端
从命令提示符在引用计算机上本地安装 Endpoint Protection 客户端。 首先获取 安装文件scepinstall.exe。 有关详细信息,请参阅 从命令提示符安装 Endpoint Protection 客户端。
如有必要,还可以包括预配置的反恶意软件策略或之前导出的反恶意软件策略。
从命令提示符安装 Endpoint Protection 客户端
将scepinstall.exe从Configuration Manager安装文件夹的“客户端”文件夹复制到要安装 Endpoint Protection 客户端软件的计算机。
以管理员身份打开命令提示符。 使用安装程序将目录更改为文件夹。 然后运行
scepinstall.exe
,添加所需的任何其他命令行属性:属性 说明 /s
以无提示方式运行安装程序 /q
以无提示方式提取安装程序文件 /i
正常运行安装程序 /policy
指定反恶意软件策略文件以在安装期间配置客户端 /sqmoptin
选择加入MICROSOFT客户体验改善计划 (CEIP) 按照屏幕上的说明完成客户端安装。
如果下载了最新的更新定义包,请将该包复制到客户端计算机,然后双击该定义包进行安装。
注意
Endpoint Protection 客户端安装完成后,客户端会自动执行定义更新检查。 如果此更新检查成功,则无需手动安装最新的定义更新包。
示例:使用反恶意软件策略安装客户端
scepinstall.exe /policy <full path>\<policy file>
验证 Endpoint Protection 客户端安装
在引用计算机上安装 Endpoint Protection 客户端后,请验证客户端是否正常工作。
在引用计算机上,从 Windows 通知区域打开System Center Endpoint Protection。
在“System Center Endpoint Protection”对话框的“开始”选项卡上,验证“实时保护”是否设置为“开”。
验证是否为病毒和间谍软件定义显示最新。
若要确保参考计算机已准备好进行映像处理,请在“ 扫描选项”下选择“ 完整”,然后单击“ 立即扫描”。
准备 Endpoint Protection 客户端进行映像处理
执行以下步骤来准备 Endpoint Protection 客户端进行映像处理:
在引用计算机上,以管理员身份登录。
从 Windows SysInternals 下载并安装 PsExec。
以管理员身份运行命令提示符,将目录更改为安装 PsTools 的文件夹,然后键入以下命令:
psexec.exe -s -i regedit.exe
重要
以这种方式运行注册表编辑器时请谨慎。 PsExec.exe LocalSystem 上下文中运行它。
在注册表编辑器中,删除以下注册表项:
重要
删除这些注册表项作为映像化引用计算机之前的最后一个步骤。 Endpoint Protection 客户端会在启动时重新创建这些密钥。 如果重启引用计算机,请再次删除注册表项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\InstallTime
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanRun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanType
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastQuickScanID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastFullScanID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT\GUID
现在,你已准备好为映像准备参考计算机。
部署包含 Endpoint Protection 客户端的 OS 映像时,它会自动向设备分配Configuration Manager站点报告信息。 客户端下载并应用任何有针对性的反恶意软件策略。
另请参阅
有关 Configuration Manager 中的 OS 部署的详细信息,请参阅管理 OS 映像。