• Artikel

Erstellen und Bereitstellen von Richtlinien für Antischadsoftware für Endpoint Protection in Configuration Manager

 

Betrifft: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Bereitstellen von Richtlinien für Antischadsoftware auf Sammlungen von Microsoft System Center 2012 Configuration Manager -Clientcomputern an, wie Endpoint Protection Dient zum Schutz vor Malware und anderen Gefahren.Diese Antischadsoftware-Richtlinien enthalten Informationen zu den Scan-Zeitplan, die Typen von Dateien und Ordnern zu scannen und die Aktionen an, wenn Malware erkannt wird.Wenn Sie aktivieren Endpoint Protection, eine Standardrichtlinie für Antischadsoftware auf Clientcomputer angewendet wird.Sie können auch zusätzliche Vorlagen verwenden, die bereitgestellt werden, oder erstellen eigene benutzerdefinierte Antischadsoftware-Richtlinien, um den Erfordernissen Ihrer Umgebung.

System_CAPS_noteHinweis

Configuration Manager bietet eine Auswahl vordefinierter Vorlagen, die für verschiedene Szenarien optimiert sind und in Configuration Manager importiert werden können.Diese Vorlagen stehen im Ordner < ConfigMgr-Installationsordner >\AdminConsole\XMLStorage\EPTemplates.
System_CAPS_importantWichtig

Wenn Sie eine neue Richtlinie für Antischadsoftware erstellen und auf Sammlungen anwenden, wird dadurch die Standardrichtlinie für Antischadsoftware außer Kraft gesetzt.

Verwenden Sie die Verfahren in diesem Thema erstellen oder Importieren von Richtlinien für Antischadsoftware und weisen sie Sie System Center 2012 Configuration Manager Clientcomputer in Ihrer Hierarchie.

System_CAPS_noteHinweis

Bevor Sie diese Verfahren durchführen, vergewissern Sie sich, dass Configuration Manager für Endpoint Protection konfiguriert ist. Anweisungen hierzu finden Sie unter Konfigurieren von Endpoint Protection in Configuration Manager.

So ändern Sie die Standardrichtlinie für Antischadsoftware

  1. Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.

  2. In der Bestand und Kompatibilität Arbeitsbereich, erweitern Sie Endpoint Protection, und klicken Sie dann auf Richtlinien für Antischadsoftware.

  3. Wählen Sie die Richtlinie Standardclientrichtlinie für Antischadsoftware aus und klicken Sie dann auf der Registerkarte Startseite in der Gruppe Eigenschaften auf Eigenschaften.

  4. Konfigurieren Sie im Dialogfeld Standardrichtlinie für Antischadsoftware die Einstellungen, die Sie für diese Antischadsoftware-Richtlinie benötigen, und klicken dann auf OK.

    System_CAPS_noteHinweis

    Eine Liste der Einstellungen, die Sie konfigurieren können, finden Sie unter Liste der Richtlinieneinstellungen für Antischadsoftware in diesem Thema.

So erstellen Sie eine neue Richtlinie für Antischadsoftware

  1. Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.

  2. In der Bestand und Kompatibilität Arbeitsbereich, erweitern Sie Endpoint Protection, und klicken Sie dann auf Richtlinien für Antischadsoftware.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Richtlinie für Antischadsoftware erstellen.

  4. In der Allgemeine Teil der Richtlinie für Antischadsoftware erstellen Dialogfeld Geben Sie einen Namen und eine Beschreibung für die Richtlinie.

  5. Konfigurieren Sie im Dialogfeld Richtlinie für Antischadsoftware erstellen die Einstellungen, die Sie für diese Richtlinie benötigen, und klicken dann auf OK.

    System_CAPS_noteHinweis

    Eine Liste der Einstellungen, die Sie konfigurieren können, finden Sie unter Liste der Richtlinieneinstellungen für Antischadsoftware in diesem Thema.

  6. Vergewissern Sie sich, dass die neue Richtlinie für Antischadsoftware in der Liste Richtlinien für Antischadsoftware angezeigt wird.

So importieren Sie eine Richtlinie für Antischadsoftware

  1. Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.

  2. In der Bestand und Kompatibilität Arbeitsbereich, erweitern Sie Endpoint Protection, und klicken Sie dann auf Richtlinien für Antischadsoftware.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Importieren.

  4. In der Öffnen (Dialogfeld), navigieren Sie zu der Richtliniendatei, und klicken Sie dann auf Öffnen.

  5. Überprüfen Sie im Dialogfeld Richtlinie für Antischadsoftware erstellen die zu verwendenden Einstellungen, und klicken Sie dann auf OK.

  6. Vergewissern Sie sich, dass die neue Richtlinie für Antischadsoftware in der Liste Richtlinien für Antischadsoftware angezeigt wird.

So stellen Sie eine Richtlinie für Antischadsoftware für Clientcomputer bereit

  1. Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.

  2. In der Bestand und Kompatibilität Arbeitsbereich, erweitern Sie Endpoint Protection, und klicken Sie dann auf Richtlinien für Antischadsoftware.

  3. In der Richtlinien für Antischadsoftware Liste, wählen Sie die Richtlinie bereitstellen.Klicken Sie dann auf die Home Registerkarte der Bereitstellung auf Bereitstellen.

    System_CAPS_noteHinweis

    Die Bereitstellen Option kann nicht mit der Standard-Clientrichtlinie Malware verwendet werden.

  4. Wählen Sie im Dialogfeld Sammlung auswählen die Gerätesammlung, für die Sie die Richtlinie für Antischadsoftware bereitstellen möchten, und klicken Sie dann auf OK.

Liste der Richtlinieneinstellungen für Antischadsoftware

Viele Einstellungen für Antischadsoftware sind selbsterklärend.In den nachfolgenden Abschnitten finden Sie weitere Informationen zu den Einstellungen, für die Sie möglicherweise einige Informationen benötigen, bevor Sie sie konfigurieren.

Geplante Überprüfung

Name der Einstellung

Beschreibung

Überprüfungstyp

Sie können einen von zwei Überprüfungstypen zur Ausführung auf Clientcomputern angeben:

  • Schnellüberprüfung – diese Art der Suche prüft, die in-Memory-Prozesse und die Ordner, in denen Schadsoftware üblicherweise gefunden.Es werden weniger Ressourcen benötigt als bei einer vollständigen Überprüfung.

  • Vollständige Überprüfung: Mit diesem Typ werden darüber hinaus sämtliche lokalen Dateien und Ordner überprüft.Dafür werden mehr Zeit, mehr Prozessor- und mehr Speicherressourcen auf den Clientcomputern benötigt als für die Schnellüberprüfung.

Verwenden Sie überwiegend die Schnellüberprüfung, um die Auslastung der Systemressourcen auf den Clientcomputern zu minimieren.Erfordert eine Schadsoftwareentfernung eine vollständige Überprüfung, wird von Endpoint Protection eine Warnung ausgegeben, die in der Configuration Manager-Konsole angezeigt wird.

Der Standardwert ist Schnellüberprüfung.

Startzeiten der geplanten Überprüfungen zufällig festlegen (in einem Zeitraum von 30 Minuten)

Wählen Sie True (Configuration Manager ohne Service Pack) oder Ja (Configuration Manager SP1) vermeiden Überfluten des Netzwerks, die auftreten können, wenn alle Computer der Antischadsoftware senden soll scannt die Ergebnisse in der Configuration Manager Datenbank zur gleichen Zeit.

Diese Einstellung ist auch dann nützlich, wenn Sie mehrere virtuelle Maschinen auf einem einzigen Host ausführen.Wählen Sie diese Option, um den gleichzeitigen Zugriff auf Antimalware-Überprüfung zu verringern.

System_CAPS_noteHinweis

In Configuration Manager SP1, diese Einstellung erscheint in der Erweitert Teil der Antischadsoftware-Richtlinien.

Überprüfungseinstellungen

Name der Einstellung

Beschreibung

Bei Ausführung einer vollständigen Überprüfung Netzlaufwerke überprüfen

Legen Sie auf True (Configuration Manager ohne Service Pack) oder Ja (Configuration Manager SP1) sollten Sie einen scan zugeordnete Netzlaufwerke auf Clientcomputern.

System_CAPS_importantWichtig

Wenn Sie diese Einstellung aktivieren, kann dies die Überprüfungsdauer auf den Clientcomputern erheblich verlängern.

Standardaktionen

Wählen Sie aus, welche Aktion ausgeführt werden soll, wenn Schadsoftware auf Clientcomputern erkannt wird.Die folgenden Aktionen können je nach bedrohungsebene der gefundenen Schadsoftware angewendet werden.

  • Empfohlen: Es wird die Aktion ausgeführt, die in der Definitionsdatei der Schadsoftware empfohlen wird.

  • Quarantäne: Die Schadsoftware wird isoliert, jedoch nicht entfernt.

  • Entfernen: Die Schadsoftware wird vom Computer entfernt.

  • Zulassen: Die Schadsoftware wird weder entfernt noch isoliert.

Echtzeitschutz

Name der Einstellung

Beschreibung

Echtzeitschutz aktivieren

Legen Sie auf True (Configuration Manager ohne Service Pack) oder Ja (Configuration Manager SP1) Echtzeitschutz-Einstellungen für Clientcomputer konfigurieren möchten.Es wird empfohlen, diese Einstellung zu aktivieren.

Datei- und Programmaktivität auf Ihrem Computer überwachen

Legen Sie auf True (Configuration Manager ohne Service Pack) oder Ja (Configuration Manager SP1) soll Endpoint Protection zum Überwachen von Dateien und Programme starten, auf Clientcomputern ausgeführt und informiert Sie über Aktionen oder Aktionen durchgeführt werden.

Systemdateien überprüfen

Mit dieser Einstellung können Sie konfigurieren, ob eingehende, ausgehende und eingehende und ausgehende Systemdateien auf Schadsoftware überwacht werden.Aus Leistungsgründen möglicherweise so ändern Sie den Standardwert des Scannen eingehende und ausgehende Dateien wenn ein Server hohe ein- bzw. ausgehende Dateiaktivitäten aufweist.

Aktivieren der Verhaltensüberwachung

Aktivieren Sie diese Einstellung, um Computeraktivitäten und Dateidaten zur Erkennung unbekannter Bedrohungen zu verwenden.Wenn diese Einstellung aktiviert ist, können sie die erforderliche Zeit zum Computer auf Malware überprüfen erhöhen.

Schutz gegen netzwerkbasierte Exploits aktivieren

Aktivieren Sie diese Einstellung, um Computer vor netzwerkbasierten Exploits zu schützen, indem der Netzwerkverkehr überprüft wird und verdächtige Aktivitäten blockiert werden.

Skriptüberprüfung aktivieren

Für Configuration Manager ohne Servicepack nur.

Aktivieren Sie diese Einstellung, wenn Skripts zu scannen, die auf Computern auf verdächtige Aktivitäten ausgeführt werden soll.

Ausschlusseinstellungen

Name der Einstellung

Beschreibung

Ausgeschlossene Dateien und Ordner

Klicken Sie auf festgelegt Öffnen der Konfigurieren von Datei- und Ordnerausschlüsse Dialogfeld ein, und geben Sie die Namen der Dateien und Ordner zum Ausschließen der Endpoint Protection scannt.

Wenn Sie auszuschließende Dateien und Ordnern, die auf einem zugeordneten Netzlaufwerk befinden, geben Sie den Namen der einzelnen Ordner einzeln in das Laufwerk.Wenn ein Netzlaufwerk als F:\MyFolder zugeordnet ist, und er Unterordner mit dem Namen Ordner1 und Ordner2 mit Ordner 3 enthält, geben Sie z. B. die folgenden Ausnahmen:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

Erweitert

Name der Einstellung

Beschreibung

Analysepunkt Punkt Scannen aktivieren

Für System Center 2012 Configuration Manager SP1 und höher:

Legen Sie auf Ja Sie ggf. Endpoint Protection Scannen NTFS Analysepunkte.

Weitere Informationen zu Analysepunkten finden Sie unter Analysepunkte im Windows Developer Center.

Außerkraftsetzungen von Bedrohungen

Name der Einstellung

Beschreibung

Bedrohungsname und Außerkraftsetzungsaktion

Klicken Sie auf Festlegen, um die Wiederherstellungsaktion anzupassen, die für jede Bedrohungs-ID bei einem Fund ausgeführt werden soll.

System_CAPS_noteHinweis

Die Liste der Bedrohungsnamen ist möglicherweise nicht verfügbar sind sofort nach der Konfiguration der Endpoint Protection.Warten Sie, bis die Endpoint Protection zeigen Informationen über die Bedrohung synchronisiert wurde, und versuchen Sie es erneut.

Definitionsupdates

Name der Einstellung

Beschreibung

Legen Sie die Quellen und die Reihenfolge für Endpoint Protection Clientupdates

Klicken Sie auf Quelle festgelegt Quellen für die Definition und die Scan-Engine-Updates an, und auch die Reihenfolge angeben, in denen sie verwendet werden.Wenn Configuration Manager angegeben wird als eine der Quellen, die anderen Quellen nur verwendet werden, wenn Softwareupdates ein Fehler auftritt, um die Clientupdates herunterzuladen.

Wenn Sie auf eine der folgenden Methoden verwenden, die Definitionen auf den Clientcomputern aktualisieren, müssen der Clientcomputer auf das Internet zugreifen können.

  • Updates von Microsoft Update

  • Updates, die von Microsoft Malware Protection Center verteilt werden

System_CAPS_importantWichtig

Die Definitionsupdates werden von den Clients über das integrierte Systemkonto heruntergeladen.Sie müssen für dieses Konto einen Proxyserver konfigurieren, damit diese Clients auf das Internet zugreifen können.

Wenn Sie eine Regel zur automatischen Bereitstellung von Software-Updates zum Übermitteln von Definitionsupdates an Clientcomputer konfiguriert haben, werden diese Updates unabhängig von den Einstellungen der Definition Updates übermittelt.