範例案例:使用 Endpoint Protection 保護計算機免於惡意代碼
適用於:Configuration Manager (目前的分支)
本文提供範例案例,說明如何在 Configuration Manager 中實作 Endpoint Protection,以保護組織中的計算機免於遭受惡意代碼攻擊。
案例概觀
Configuration Manager 安裝並用於 Woodgrove Bank。 銀行目前使用 Endpoint Protection 來保護計算機免於遭受惡意代碼攻擊。 此外,銀行會使用 Windows 群組原則,以確保在公司的所有計算機上都啟用 Windows 防火牆,並在 Windows 防火牆封鎖新程式時通知使用者。
系統會要求 Configuration Manager 系統管理員將 Woodgrove Bank 反惡意代碼軟體升級至 Endpoint Protection,讓銀行可以受益於最新的反惡意代碼功能,並能夠從 Configuration Manager 控制台集中管理反惡意代碼解決方案。
商務需求
此實作有下列需求:
使用 Configuration Manager 來管理目前由 群組原則 管理的 Windows 防火牆設定。
使用 Configuration Manager 軟體更新將惡意代碼定義下載到計算機。 如果無法使用軟體更新,例如,如果計算機未連線到公司網路,則計算機必須從 Microsoft Update 下載定義更新。
用戶的計算機必須每天執行快速的惡意代碼掃描。 不過,伺服器必須在每週六的上班時間以外,於上午 1 點執行完整掃描。
每當發生下列任何一個事件時,傳送電子郵件警示:
在任何電腦上偵測到惡意代碼
在超過 5% 的電腦上偵測到相同的惡意代碼威脅
在任何 24 小時內偵測到相同的惡意代碼威脅超過 5 次
在任何 24 小時內偵測到超過 3 種不同類型的惡意代碼
系統管理員接著會執行下列步驟來實作 Endpoint Protection:
實作 Endpoint Protection 的步驟
| 程序 | 參考 |
|---|---|
| 系統管理員會檢閱 Configuration Manager 中 Endpoint Protection 基本概念的可用資訊。 | 如需 Endpoint Protection 的概觀資訊,請參閱 Endpoint Protection。 |
| 系統管理員只會在 Woodgrove Bank 階層頂端的一部月台系統伺服器上安裝 Endpoint Protection 月台系統角色。 | 如需如何安裝 Endpoint Protection 月台系統角色的詳細資訊,請參閱設定 Endpoint Protection 中的。 |
| 系統管理員會將 Configuration Manager 設定為使用 SMTP 伺服器來傳送電子郵件警示。 注意: 只有在您想要在產生 Endpoint Protection 警示時收到電子郵件通知時,才必須設定 SMTP 伺服器。 |
如需詳細資訊, 請參閱在 Endpoint Protection 中設定警示。 |
| 系統管理員會建立裝置集合,其中包含安裝 Endpoint Protection 用戶端的所有計算機和伺服器。 他們會將此集合命名 為 Endpoint Protection 保護的所有電腦。 提示: 您無法設定使用者集合的警示。 |
如需如何建立集合的詳細資訊,請參閱 如何建立集合 |
| 系統管理員會為集合設定下列警示: 1) 偵測到惡意代碼:系統管理員將警示嚴重性設定為 [重大]。 2) 在多部計算機上偵測到相同類型的惡意代碼:系統管理員會設定 [ 重大 ] 的警示嚴重性,並指定當超過 5% 的計算機偵測到惡意代碼時,將會產生警示。 3) 在 計算機的指定間隔內重複偵測到相同類型的惡意代碼:系統管理員會設定 [重大] 的警示嚴重性,並指定在 24 小時內偵測到惡意代碼超過 5 次時,將會產生警示。 4) 在 指定的間隔內,在同一部計算機上偵測到多種類型的惡意代碼:系統管理員會設定 [重大] 的警示嚴重性,並指定在24小時內產生超過3種類型的惡意代碼時,將會產生警示。 [警示嚴重性] 的值會指出警示層級,該警示層級會顯示在 Configuration Manager 控制台中,以及它們在電子郵件訊息中收到的警示中。 他們還會在 Endpoint Protection 儀錶板中選取 [檢視此集合] 選項,以便在 Configuration Manager 控制台中監視警示。 |
See "Configure Alerts for Endpoint Protection" in Configuring Endpoint Protection. |
| 系統管理員會設定 Configuration Manager 軟體更新,以使用自動部署規則,每天下載和部署定義更新三次。 | For more information, see the "Using Configuration Manager Software Updates to Deliver Definition Updates" section in Use Configuration Manager software updates to deliver definition updates. |
| 系統管理員會檢查預設反惡意代碼原則中的設定,其中包含來自 Microsoft 的建議安全性設定。 若要讓電腦每天執行快速掃描,他們會變更下列設定: 1) 在用戶端電腦上執行每日快速掃描: 是。 2) 每日快速掃描排程時間: 上午 9:00。 系統管理員會注意,預設會選取從 Microsoft Update 散發的 匯報 做為定義更新來源。 這可滿足計算機在無法接收 Configuration Manager 軟體更新時,從 Microsoft Update 下載定義的商務需求。 |
請參閱 如何建立和部署 Endpoint Protection 的反惡意代碼原則。 |
| 系統管理員會建立集合,其中只包含名為 Woodgrove Bank Servers 的 Woodgrove Bank 伺服器。 | 請參閱 如何建立集合 |
| 系統管理員會建立名為 Woodgrove Bank 伺服器原則的自定義反惡意代碼原則。 它們只會新增 排程掃描的 設定,並進行下列變更: 掃描類型: 完整 掃描日: 星期六 掃描時間: 上午 1:00 在用戶端電腦上執行每日快速掃描: 否。 |
請參閱 如何建立和部署 Endpoint Protection 的反惡意代碼原則。 |
| 系統管理員會將 Woodgrove Bank Server 原則 自定義反惡意代碼原則部署至 Woodgrove Bank Servers 集合。 | 請參閱如何 建立及部署 Endpoint Protection 的反惡意代碼 原則一文。 |
| 系統管理員會為 Endpoint Protection 建立一組新的自訂用戶端裝置設定,並將這些 Woodgrove Bank Endpoint Protection 設定命名為 。 注意: 如果您不想在階層中的所有用戶端上安裝並啟用 Endpoint Protection,請確定預設客戶端設定中的 [ 管理客戶端電腦上的 Endpoint Protection 客戶 端] 和 [ 在用戶端計算機上安裝 Endpoint Protection 客戶 端] 選項都設定為 [否 ]。 |
如需詳細資訊, 請參閱設定 Endpoint Protection 的自定義客戶端設定。 |
| 他們會為 Endpoint Protection 設定下列設定: 在用戶端電腦上管理 Endpoint Protection 用戶端: 是 此設定和值可確保任何已安裝的現有 Endpoint Protection 用戶端都會由 Configuration Manager 管理。 在用戶端電腦上安裝 Endpoint Protection 用戶端: 是。 |
|
| 系統管理員會將 Woodgrove Bank Endpoint Protection 設定 客戶端設定部署到 Endpoint Protection 保護的所有電腦 集合。 | See "Configure Custom Client Settings for Endpoint Protection" in Configuring Endpoint Protection in Configuration Manager. |
| 系統管理員會使用 [建立 Windows 防火牆原則精靈] 來建立原則,方法是為網域配置檔設定下列設定: 1) 啟用 Windows 防火牆: 是 2) 當 Windows 防火牆封鎖新程式時通知使用者: 是 |
請參閱 如何建立和部署 Endpoint Protection 的 Windows 防火牆原則 |
| 系統管理員會將新的防火牆原則部署到他們稍早建立 的 Endpoint Protection 保護的所有計算機 集合。 | See "To deploy a Windows Firewall policy" in the How to create and deploy Windows Firewall policies for Endpoint Protection |
| 系統管理員會使用 Endpoint Protection 可用的管理工作來管理反惡意代碼和 Windows 防火牆原則、視需要執行電腦的隨選掃描、強制計算機下載最新的定義,以及指定偵測到惡意代碼時要採取的任何進一步動作。 | 請參閱 如何管理 Endpoint Protection 的反惡意代碼原則和防火牆設定 |
| 系統管理員會使用下列方法來監視 Endpoint Protection 的狀態,以及 Endpoint Protection 所採取的動作: 1) 使用 [監視] 工作區中 [安全性] 下的 [Endpoint Protection 狀態] 節點。 2) 使用 [資產與兼容性] 工作區中的 [Endpoint Protection] 節點。 3) 使用內建 Configuration Manager 報表。 |
請參閱 如何監視 Endpoint Protection |
系統管理員會向其管理員回報 Endpoint Protection 的成功實作,並確認 Woodgrove Bank 的電腦現在受到保護,不會受到反惡意代碼軟體的保護,
後續步驟
如需詳細資訊,請參閱 如何設定 Endpoint Protection