• Artikel

Konfigurieren von Endpoint Protection in Configuration Manager

 

Betrifft: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Bevor Sie Endpoint Protection zum Verwalten von Sicherheit und Schadsoftware auf System Center 2012 Configuration Manager-Clientcomputern verwenden können, müssen Sie die Konfigurationsschritte ausführen, die in diesem Thema erläutert sind.

Schritte zum Konfigurieren von Endpoint Protection in Configuration Manager

In der folgenden Tabelle finden Sie die Schritte, Details und weitere Informationen zum Konfigurieren von Endpoint Protection.

System_CAPS_importantWichtig

Wenn Sie Endpoint Protection für Windows 10-Computer verwalten, müssen Sie System Center 2012 Configuration Manager so konfigurieren, dass Schadsoftwaredefinitionen für Windows Defender aktualisiert und verteilt werden. Da Windows Defender in Windows 10 enthalten ist, muss kein Endpoint Protection-Agent auf Clientcomputern bereitgestellt werden.

Schritte

Details

Weitere Informationen

Schritt 1: Erstellen Sie eine Standortsystemrolle für den Endpoint Protection-Punkt.

Die Standortsystemrolle für den Endpoint Protection-Punkt muss installiert sein, bevor Sie Endpoint Protection verwenden können. Sie darf nur auf einem einzigen Standortsystemserver installiert sein, und sie muss auf der obersten Hierarchieebene eines zentralen Verwaltungsstandorts oder eines eigenständigen primären Standorts installiert sein.

Informationen finden Sie unter Schritt 1: Erstellen Sie eine Standortsystemrolle für den Endpoint Protection-Punkt. in diesem Thema.

Schritt 2: Konfigurieren Sie Warnungen für Endpoint Protection.

Von Warnungen wird der Administrator über bestimmte Ereignisse wie Infektionen mit Schadsoftware informiert. Die Warnungen werden im Knoten Warnungen des Arbeitsbereichs Überwachung angezeigt oder können optional per E-Mail an angegebene Benutzer versendet werden.

Siehe Konfigurieren von Warnungen für Endpoint Protection in Configuration Manager.

Schritt 3: Konfigurieren Sie Definitionsupdatequellen für Endpoint Protection-Clients.

Endpoint Protection kann so konfiguriert werden, dass verschiedene Quellen zum Herunterladen von Definitionsupdates verwendet werden.

Siehe Konfigurieren von Definitionsupdates für Endpoint Protection in Configuration Manager.

Schritt 4: Konfigurieren Sie die Standardrichtlinie für Antischadsoftware, und erstellen Sie benutzerdefinierte Richtlinien für Antischadsoftware.

Bei der Installation des Endpoint Protection-Clients wird die Standardrichtlinie für Antischadsoftware angewendet. Alle benutzerdefinierten Richtlinien für Antischadsoftware, die Sie bereitgestellt haben, werden innerhalb von 60 Minuten nach der Bereitstellung des Clients in der Standardeinstellung angewendet. Vergewissern Sie sich, dass Richtlinien für Antischadsoftware konfiguriert sind, bevor Sie den Endpoint Protection-Client bereitstellen.

Siehe Erstellen und Bereitstellen von Richtlinien für Antischadsoftware für Endpoint Protection in Configuration Manager.

Schritt 5: Konfigurieren Sie benutzerdefinierte Clienteinstellungen für Endpoint Protection.

Verwenden Sie benutzerdefinierte Clienteinstellungen, um Endpoint Protection-Einstellungen für Computersammlungen in Ihrer Hierarchie zu konfigurieren.

System_CAPS_importantWichtig

Konfigurieren Sie nicht die Standard-Endpoint Protection-Clienteinstellungen, es sei denn, Sie sind sicher, dass diese Einstellungen auf alle Computer in Ihrer Hierarchie angewendet werden sollen.

Informationen finden Sie unter Schritt 5: Konfigurieren Sie benutzerdefinierte Clienteinstellungen für Endpoint Protection. in diesem Thema.

Zusätzliche Verfahren zum Konfigurieren von Endpoint Protection in Configuration Manager

Verwenden Sie die folgenden Informationen, wenn die Schritte in der vorstehenden Tabelle zusätzliche Verfahren erfordern.

Schritt 1: Erstellen Sie eine Standortsystemrolle für den Endpoint Protection-Punkt.

Verwenden Sie je nachdem, ob Sie einen neuen Standortsystemserver für Endpoint Protection installieren oder einen bestehenden Standortsystemserver verwenden möchten, eins der folgenden Verfahren.

System_CAPS_importantWichtig

Wenn Sie einen Endpoint Protection-Punkt installieren, wird ein Endpoint Protection-Client auf dem Server installiert, von dem der Endpoint Protection-Punkt gehostet wird. Dienste und Überprüfungen sind auf diesem Client deaktiviert, damit er gemeinsam mit einer bestehenden Antischadsoftwarelösung auf dem Server installiert sein kann. Wenn Sie diesen Server später für die Verwaltung mit Endpoint Protection aktivieren und die Option auswählen, Antischadsoftware-Lösungen von Drittanbietern zu entfernen, werden Produkte von Drittanbietern nicht entfernt. Solche Produkte müssen manuell deinstalliert werden.

So installieren und konfigurieren Sie die Standortsystemrolle für den Endpoint Protection-Punkt: Neuer Standortsystemserver

  1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Bereich Standortkonfiguration, und klicken Sie dann auf Server und Standortsystemrollen.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Standortsystemserver erstellen.

  4. Geben Sie auf der Seite Allgemein die allgemeinen Einstellungen für den Standortsystemserver an, und klicken Sie dann auf Weiter.

  5. Wählen Sie auf der Seite Systemrollenauswahl in der Liste der verfügbaren Rollen Endpoint Protection-Punkt aus, und klicken Sie dann auf Weiter.

  6. Aktivieren Sie auf der Seite Endpoint Protection das Kontrollkästchen Ich stimme den Endpoint Protection-Lizenzbedingungen zu, und klicken Sie dann auf Weiter.

    System_CAPS_importantWichtig

    Sie können Endpoint Protection in Configuration Manager nicht verwenden, wenn Sie den Lizenzbedingungen nicht zustimmen.

  7. Wählen Sie auf der Seite Microsoft Active Protection Service die Ebene der Informationen aus, die Sie an Microsoft senden wollen, um die Entwicklung neuer Definitionen zu unterstützen, und klicken Sie dann auf Weiter.

    System_CAPS_noteHinweis

    Mit dieser Option werden die Einstellungen von Microsoft Active Protection Service konfiguriert, die als Standard verwendet werden. Anschließend können Sie benutzerdefinierte Einstellungen für jede Richtlinie für Antischadsoftware konfigurieren, die Sie erstellen. Treten Sie Microsoft Active Protection Service bei, um Ihre Computer besser sichern zu können, indem Sie Microsoft Schadsoftwarebeispiele zur Aktualisierung der Virendefinitionen bereitstellen. Ferner kann vom Endpoint Protection-Client der Dienst für dynamische Signaturen verwendet werden, um neue Definitionen herunterzuladen, bevor diese in Windows Update veröffentlicht werden, wenn Sie Microsoft Active Protection Service beitreten. Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Richtlinien für Antischadsoftware für Endpoint Protection in Configuration Manager.

  8. Schließen Sie den Assistenten ab.

So installieren und konfigurieren Sie die Standortsystemrolle für den Endpoint Protection-Punkt: Bestehender Standortsystemserver

  1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Bereich Standortkonfiguration, klicken Sie auf Server und Standortsystemrollen, und wählen Sie den Server aus, den Sie für Endpoint Protection verwenden möchten.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Server auf Standortsystemrollen hinzufügen.

  4. Geben Sie auf der Seite Allgemein die allgemeinen Einstellungen für den Standortsystemserver an, und klicken Sie dann auf Weiter.

  5. Wählen Sie auf der Seite Systemrollenauswahl in der Liste der verfügbaren Rollen Endpoint Protection-Punkt aus, und klicken Sie dann auf Weiter.

  6. Aktivieren Sie auf der Seite Endpoint Protection das Kontrollkästchen Ich stimme den Endpoint Protection-Lizenzbedingungen zu, und klicken Sie dann auf Weiter.

    System_CAPS_importantWichtig

    Sie können Endpoint Protection in Configuration Manager nicht verwenden, wenn Sie den Lizenzbedingungen nicht zustimmen.

  7. Wählen Sie auf der Seite Microsoft Active Protection Service die Ebene der Informationen aus, die Sie an Microsoft senden wollen, um die Entwicklung neuer Definitionen zu unterstützen, und klicken Sie dann auf Weiter.

    System_CAPS_noteHinweis

    Mit dieser Option werden die Einstellungen von Microsoft Active Protection Service konfiguriert, die als Standard verwendet werden. Anschließend können Sie benutzerdefinierte Einstellungen für jede Richtlinie für Antischadsoftware konfigurieren, die Sie erstellen. Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Richtlinien für Antischadsoftware für Endpoint Protection in Configuration Manager.

  8. Schließen Sie den Assistenten ab.

Schritt 5: Konfigurieren Sie benutzerdefinierte Clienteinstellungen für Endpoint Protection.

Mit diesem Verfahren können benutzerdefinierte Clienteinstellungen für Endpoint Protection konfiguriert werden, die sich dann auf eine Computersammlung in Ihrer Hierarchie anwenden lassen.

System_CAPS_importantWichtig

Konfigurieren Sie nicht die Standard-Endpoint Protection-Clienteinstellungen, es sei denn, Sie sind sicher, dass diese Einstellungen auf alle Computer in Ihrer Hierarchie angewendet werden sollen.

So aktivieren Sie Endpoint Protection und konfigurieren benutzerdefinierte Clienteinstellungen

  1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

  2. Klicken Sie im Arbeitsbereich Verwaltung auf Clienteinstellungen.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Benutzerdefinierte Geräteclienteinstellungen erstellen.

  4. Geben Sie im Dialogfeld Benutzerdefinierte Geräteclienteinstellungen erstellen einen Namen und eine Beschreibung für die Einstellungsgruppe ein, und wählen Sie dann Endpoint Protection aus.

  5. Konfigurieren Sie die erforderlichen Endpoint Protection-Clienteinstellungen. Eine vollständige Liste der Endpoint Protection-Clienteinstellungen, die Sie konfigurieren können, finden Sie im Abschnitt Endpoint Protection des Themas Informationen zu Clienteinstellungen in Configuration Manager.

    System_CAPS_importantWichtig

    Sie müssen die Endpoint Protection-Standortsystemrolle installieren, bevor Sie Clienteinstellungen für Endpoint Protection konfigurieren können.

  6. Klicken Sie auf OK, um das Dialogfeld Benutzerdefinierte Geräteclienteinstellungen erstellen zu schließen. Die neuen Clienteinstellungen erscheinen im Knoten Clienteinstellungen des Arbeitsbereichs Verwaltung.

  7. Bevor die benutzerdefinierten Clienteinstellungen verwendet werden können, müssen sie für eine Sammlung bereitgestellt werden. Wählen Sie die benutzerdefinierten Clienteinstellungen aus, die Sie bereitstellen möchten, und klicken Sie dann auf der Registerkarte Startseite in der Gruppe Clienteinstellungen auf Bereitstellen.

  8. Wählen Sie im Dialogfeld Sammlung auswählen die Sammlung aus, für die Sie die Clienteinstellungen bereitstellen möchten, und klicken Sie dann auf OK. Die neue Bereitstellung erscheint im Detailbereich auf der Registerkarte Bereitstellungen.

Die Clientcomputer werden beim nächsten Clientrichtliniendownload mit diesen Einstellungen konfiguriert. Informationen zum Initiieren des Abrufens von Richtlinien für einen einzelnen Client finden Sie im Abschnitt Initiieren des Richtlinienabrufs für einen Configuration Manager-Client des Themas Verwalten von Clients in Configuration Manager.

Bereitstellen von potenziell unerwünschte Anwendung Schutzrichtlinie für Endpointprotection in Configuration Manager

Mögliche unerwünschte Anwendung (PUA) ist eine Klassifizierung basierend auf den Ruf und Research-driven Kennung. In den meisten Fällen sind diese PUA unerwünschte Anwendung hin oder gebündelte benutzerbasiert.

Sie können Ihre Benutzer vor PUA schützen, durch eine Richtlinie für Antischadsoftware in Ihrer Microsoft System Center 2012 Endpoint Protection Configuration Manager bereitstellen. Der Schutz-Einstellung ist standardmäßig deaktiviert. Wenn aktiviert, wird diese Funktion blockieren PUA beim Herunterladen und zu installieren. Sie können jedoch bestimmte Dateien oder Ordner ausschließen, um den spezifischen Anforderungen in Ihrer Umgebung zu entsprechen.

Erstellen Sie ein Konfigurationselement zum PUA-Schutz aktivieren

  1. Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.

  2. In der Bestand und Kompatibilität Arbeitsbereich, öffnen Sie die Complianceeinstellungen Ordner mit der rechten Maustaste auf Konfigurationselemente, und klicken Sie dann auf Konfigurationselement erstellen.

  3. In der Konfigurationselement -Assistenten die Option einen Namen und die Windows-Desktops und Server (Benutzerdefiniert) Konfigurationselement-Typ, bevor Sie auf Weiter. Wählen Sie die gezielte Betriebssysteme, und wechseln Sie zur nächsten Seite. Klicken Sie auf Neu zum Erstellen einer neuen Einstellung.

  4. In der Einstellung erstellen klicken Sie im Dialogfeld Wählen Sie einen Namen für die Einstellung ein, und geben Sie die folgende zusätzliche Informationen:

    - **Datentyp** – wählen Sie aus der **Ganzzahl** Typ, den Werttyp verwendeten festgelegt

- **Hive** - wählen HKEY\_LOCAL\_MACHINE als Hive-Stamm

- **Schlüssel** – wählen Sie den Schlüssel entsprechend Ihrer Produktversion:

  <table>
  <colgroup>
  <col style="width: 50%" />
  <col style="width: 50%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><p>Produktname</p></th>
  <th><p>Schlüssel</p></th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>System Center Endpoint Protection</p></td>
  <td><p>Software\Policies\Microsoft\Microsoft Antimalware\MpEngine</p></td>
  </tr>
  <tr class="even">
  <td><p>Forefront Endpoint Protection</p></td>
  <td><p>Software\Policies\Microsoft\Microsoft Antimalware\MpEngine</p></td>
  </tr>
  <tr class="odd">
  <td><p>Microsoft Security Essentials</p></td>
  <td><p>Software\Policies\Microsoft\Microsoft Antimalware\MpEngine</p></td>
  </tr>
  <tr class="even">
  <td><p>Windows Defender</p></td>
  <td><p>Software\Policies\Microsoft\Windows Defender\MpEngine</p></td>
  </tr>
  </tbody>
  </table>

- **Wert** – Geben Sie MpEnablePus als Namen des Registrierungswerts konfiguriert werden

- Wählen Sie **dieser Registrierungswert ist einer 64-Bit-Anwendung zugeordnet**

    Klicken Sie auf die eingehaltene Regeln Registerkarte

  5. In der eingehaltene Regeln auf der Neu um eine Regel zu erstellen.

  6. In der Create Rule Dialogfeld geben die folgende Informationen:

    - Geben Sie einen **Namen** für die Regel

- Wählen Sie eine **Regeltyp** von **Wert**

- Wählen Sie die **gleich** Operator für den Vergleich

- Wählen Sie einen Wert entsprechend der PUA-Einstellung, die Sie bereitstellen möchten:

  <table>
  <colgroup>
  <col style="width: 50%" />
  <col style="width: 50%" />
  </colgroup>
  <tbody>
  <tr class="odd">
  <td><p>Wert</p></td>
  <td><p>Beschreibung</p></td>
  </tr>
  <tr class="even">
  <td><p>0 (Standard)</p></td>
  <td><p>Potenziell ist unerwünschte Anwendungsschutz deaktiviert</p></td>
  </tr>
  <tr class="odd">
  <td><p>1</p></td>
  <td><p>Möglicherweise ist die unerwünschte Anwendungsschutz aktiviert. Die Anwendung mit unerwünschte Verhalten werden Download und Installation blockiert.</p></td>
  </tr>
  </tbody>
  </table>

- Wählen Sie **nicht kompatible Regeln unterstützt Wiederherstellen**

- Wählen Sie **Nichtkompatibilität melden, wenn diese Einstellungsinstanz nicht gefunden wird**

    Klicken Sie auf OK um die Erstellung der Regelnamens abzuschließen.

  7. In der Einstellung erstellen im Dialogfeld klicken Sie auf Übernehmen. Klicken Sie auf Weiter aus, bis Sie im Dialogfeld Zusammenfassung. Überprüfen Sie die Voreinstellungen für die Konfiguration vor dem Klicken auf Weiter und Schließen. Sie haben nun das Konfigurationselement erstellt.

Die Konfigurationselements können eine Basiskonfiguration hinzugefügt und bereitgestellt werden. Finden Sie unter Erstellen von Konfigurationsbasislinien für Kompatibilitätseinstellungen in Configuration Manager und Bereitstellen von Konfigurationsbasislinien in Configuration Manager für Weitere Informationen. Wählen Sie beim Bereitstellen der Konfigurationsbasislinie nicht kompatible Regeln unterstützt Wiederherstellen damit die Änderung des Konfigurationselements Registrierung angewendet wird.

Bestimmte Dateien oder Ordner ausschließen

System_CAPS_noteHinweis

Seien Sie vorsichtig, wenn Sie Ausschlüsse hinzufügen, da die Sicherheit der betroffenen Computer reduziert werden kann.

Wenn Sie glauben, dass eine Anwendung fälschlicherweise als PUA identifiziert wurde, senden Sie die Datei, die Malware Protection Center für die Evaluierung. Enthalten Sie PUA und den Erkennungsnamen in das Feld Kommentare ein.