示例方案:使用 Endpoint Protection 保护计算机免受恶意软件的侵害

适用于: Configuration Manager(current branch)

本文提供了一个示例方案,说明如何在 Configuration Manager 中实现 Endpoint Protection,以保护组织中的计算机免受恶意软件攻击。

方案概述

Configuration Manager安装在 Woodgrove Bank 中并使用。 该银行当前使用 Endpoint Protection 来保护计算机免受恶意软件攻击。 此外,银行使用 Windows 组策略来确保在公司中的所有计算机上都启用了 Windows 防火墙,并在 Windows 防火墙阻止新程序时通知用户。

Configuration Manager管理员被要求将 Woodgrove Bank 反恶意软件升级到 Endpoint Protection,以便银行可以从最新的反恶意软件功能中受益,并能够从 Configuration Manager 控制台集中管理反恶意软件解决方案。

业务要求

此实现具有以下要求:

  • 使用 Configuration Manager 管理当前由 组策略 管理的 Windows 防火墙设置。

  • 使用Configuration Manager软件更新将恶意软件定义下载到计算机。 如果软件更新不可用,例如,如果计算机未连接到公司网络,则计算机必须从 Microsoft Update 下载定义更新。

  • 用户的计算机必须每天执行快速恶意软件扫描。 但是,服务器必须在每周六凌晨 1 点(营业时间外)运行完全扫描。

  • 每当发生以下任一事件时发送电子邮件警报:

    • 在任何计算机上检测到恶意软件

    • 超过 5% 的计算机上检测到相同的恶意软件威胁

    • 在任何 24 小时内检测到相同的恶意软件威胁超过 5 次

    • 在任何 24 小时内检测到超过 3 种不同类型的恶意软件

    然后,管理员执行以下步骤来实现 Endpoint Protection:

实现 Endpoint Protection 的步骤

流程 参考
管理员查看有关 Configuration Manager 中 Endpoint Protection 的基本概念的可用信息。 有关 Endpoint Protection 的概述信息,请参阅 Endpoint Protection
管理员仅在 Woodgrove Bank 层次结构顶部的一台站点系统服务器上安装 Endpoint Protection 站点系统角色。 有关如何安装 Endpoint Protection 站点系统角色的详细信息,请参阅 配置 Endpoint Protection 中的“先决条件”。
管理员将Configuration Manager配置为使用 SMTP 服务器发送电子邮件警报。

注意: 仅当希望在生成 Endpoint Protection 警报时通过电子邮件通知时,才必须配置 SMTP 服务器。
有关详细信息,请参阅 在 Endpoint Protection 中配置警报
管理员创建一个设备集合,其中包含用于安装 Endpoint Protection 客户端的所有计算机和服务器。 他们将此集合命名为 Endpoint Protection 保护的所有计算机

提示: 无法为用户集合配置警报。
有关如何创建集合的详细信息,请参阅 如何创建集合
管理员为集合配置以下警报:

1) 检测到恶意软件:管理员将警报严重性配置为 “严重”。

2) 在 多台计算机上检测到相同类型的恶意软件:管理员将警报严重性配置为 “严重 ”,并指定当超过 5% 的计算机检测到恶意软件时,将生成警报。

3) 在计算机上的 指定时间间隔内重复检测到同一类型的恶意软件:管理员将警报严重性配置为“严重”,并指定在 24 小时内检测到恶意软件超过 5 次时将生成警报。

4) 在指定的时间间隔内在同一台计算机上检测到多种类型的恶意软件:管理员配置警报严重性为“严重”,并指定在 24 小时内生成 3 种以上恶意软件时将生成警报。

“警报严重性”的值指示将在Configuration Manager控制台和电子邮件中收到的警报中显示的警报级别。

此外,他们还在 Endpoint Protection 仪表板中选择“查看此集合”选项,以便监视Configuration Manager控制台中的警报。
请参阅配置 Endpoint Protection 中的“ 配置 Endpoint Protection 警报”。
管理员使用自动部署规则将Configuration Manager软件更新配置为每天下载和部署定义更新三次。 有关详细信息,请参阅使用Configuration Manager软件更新传递定义更新中的“使用Configuration Manager软件汇报传递定义汇报”部分。
管理员检查默认反恶意软件策略中的设置,该策略包含来自 Microsoft 的建议安全设置。 对于每天执行快速扫描的计算机,会更改以下设置:

1) 在 客户端计算机上运行每日快速扫描

2) 每日快速扫描计划时间上午 9:00

管理员注意,默认情况下,从 Microsoft 更新分发汇报作为定义更新源。 这满足了当计算机无法接收Configuration Manager软件更新时从 Microsoft 更新下载定义的业务要求。
请参阅 如何为 Endpoint Protection 创建和部署反恶意软件策略
管理员创建一个集合,该集合仅包含名为 Woodgrove Bank Servers 的 Woodgrove Bank 服务器 请参阅 如何创建集合
管理员创建名为 Woodgrove Bank Server Policy 的自定义反恶意软件策略。 它们仅添加 计划扫描 的设置,并进行以下更改:

扫描类型完整

扫描日期星期六

扫描时间凌晨 1:00

在客户端计算机上运行每日快速扫描
请参阅 如何为 Endpoint Protection 创建和部署反恶意软件策略
管理员将 Woodgrove Bank Server Policy 自定义反恶意软件策略部署到 Woodgrove Bank Servers 集合。 请参阅“将反恶意软件策略部署到客户端计算机” 如何为 Endpoint Protection 创建和部署反恶意软件策略 一文。
管理员为 Endpoint Protection 创建一组新的自定义客户端设备设置,并命名这些 Woodgrove Bank Endpoint Protection 设置

注意: 如果不希望在层次结构中的所有客户端上安装并启用 Endpoint Protection,请确保在默认客户端设置中,“ 在客户端计算机上管理 Endpoint Protection 客户端 ”和 “在客户端计算机上安装 Endpoint Protection 客户端 ”选项均配置为 “否 ”。
有关详细信息,请参阅 配置 Endpoint Protection 的自定义客户端设置
他们为 Endpoint Protection 配置以下设置:

管理客户端计算机上的 Endpoint Protection 客户端

此设置和值可确保安装的任何现有 Endpoint Protection 客户端都由 Configuration Manager 进行管理。

在客户端计算机上安装 Endpoint Protection 客户端
管理员将 Woodgrove Bank Endpoint Protection 设置 客户端设置部署到 Endpoint Protection 保护的所有计算机 集合。 请参阅在 Configuration Manager 中配置 Endpoint Protection 中的“配置 Endpoint Protection 的自定义客户端设置”。
管理员使用“创建 Windows 防火墙策略向导”为域配置文件配置以下设置来创建策略:

1) 启用 Windows 防火墙

2)
Windows 防火墙阻止新程序时通知用户
请参阅 如何为 Endpoint Protection 创建和部署 Windows 防火墙策略
管理员将新的防火墙策略部署到他们之前创建的 受 Endpoint Protection 保护的所有计算机 集合。 请参阅如何为 Endpoint Protection 创建和部署 Windows 防火墙策略中的“部署 Windows 防火墙策略
管理员使用 Endpoint Protection 的可用管理任务来管理反恶意软件和 Windows 防火墙策略,在必要时对计算机执行按需扫描,强制计算机下载最新定义,并指定在检测到恶意软件时要采取的任何进一步操作。 请参阅 如何管理 Endpoint Protection 的反恶意软件策略和防火墙设置
管理员使用以下方法监视 Endpoint Protection 的状态以及 Endpoint Protection 执行的操作:

1) 使用“监视”工作区中“安全性”下的“Endpoint Protection 状态”节点。

2) 使用“资产和符合性”工作区中的 Endpoint Protection 节点。

3) 使用内置Configuration Manager报表。
请参阅 如何监视 Endpoint Protection

管理员向其经理报告 Endpoint Protection 的成功实施情况,并确认 Woodgrove Bank 的计算机现在已受到保护,使其免受反恶意软件的防护,这符合为其提供的业务需求。

后续步骤

有关详细信息,请参阅 如何配置 Endpoint Protection