Escenario de ejemplo para proteger equipos contra software malintencionado mediante la configuración de Endpoint Protection en Configuration Manager

 

Se aplica a: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Este tema proporciona un escenario de ejemplo de cómo puede implementar Endpoint Protection en Microsoft System Center 2012 Configuration Manager para proteger los equipos de una organización frente a ataques de malware.

Juan es el Configuration Manager Administrador de Woodgrove Bank. El banco usa actualmente Microsoft Forefront Endpoint Protection 2010 para proteger los equipos frente a ataques malintencionados. Además, el banco utiliza Directiva de grupo de Windows para asegurarse de que el Firewall de Windows está habilitado en todos los equipos de la empresa y que los usuarios reciben notificaciones cuando Firewall de Windows bloquea un programa nuevo.

Se le ha pedido que actualizar el software antimalware de Woodgrove Bank a John System Center 2012 Endpoint Protection para que pueda beneficiarse de las características más recientes de antimalware y ser capaz de administrar de forma centralizada la solución antimalware desde el banco la Configuration Manager consola. Esta implementación tiene los siguientes requisitos:

  • Utilice Configuration Manager para administrar la configuración de Firewall de Windows que están administrada por la directiva de grupo.

  • Utilice Configuration Manager las actualizaciones de software para descargar las definiciones de malware en equipos. Si las actualizaciones de software no están disponibles, por ejemplo, si el equipo no está conectado a la red corporativa, los equipos deben descargar actualizaciones de definiciones de Microsoft Update.

  • Los equipos de usuarios deben realizar un examen rápido de malware cada día. Servidores, sin embargo, deben ejecutar un examen completo de todos los sábados, fuera del horario comercial, a la 1 A.M.

  • Enviar una alerta de correo electrónico cada vez que se produce cualquiera de los siguientes eventos:

    • Se detecta software malintencionado en cualquier equipo

    • Se detectó la amenaza de software malintencionado mismo en más de un 5 por ciento de equipos

    • El mismo amenazas de malware se detectan más de 5 veces en un período de 24 horas

    • Se detectan más de 3 diferentes tipos de malware en un período de 24 horas

  • Desinstalar la solución antimalware existente.

John, a continuación, realiza los siguientes pasos para implementar Endpoint Protection:

Pasos para implementar la protección de extremo

Proceso

Referencia

Juan revisa la información disponible sobre los conceptos básicos de Endpoint Protection en Configuration Manager.

Para obtener información general sobre Endpoint Protection, consulte Introducción a Endpoint Protection en Configuration Manager.

Juan revisa e implementa los requisitos previos necesarios para usar Endpoint Protection.

Para obtener información acerca de los requisitos previos para Endpoint Protection, consulte Requisitos previos para Endpoint Protection en Configuration Manager.

John instala el Endpoint Protection en el servidor de sistema de un sitio, la función del sistema de sitio en la parte superior de la jerarquía de Woodgrove Bank.

Para obtener más información sobre cómo instalar los Endpoint Protection rol de sistema de sitio, consulte la Paso 1: instalar el rol de sistema de sitio de punto de Endpoint Protection sección el Configuración de Endpoint Protection en Configuration Manager tema.

Juan configura Configuration Manager utilizar un servidor SMTP para enviar las alertas de correo electrónico.

Nota

Debe configurar un servidor SMTP sólo si desea recibir una notificación por correo electrónico cuando un Endpoint Protection se genera la alerta.

Para obtener más información, vea Cómo configurar alertas de Endpoint Protection en Configuration Manager.

Nota

La configuración de notificación de correo electrónico es diferente para Configuration Manager SP1 y Configuration Manager sin ningún service pack.

Juan crea una colección de dispositivo que contiene todos los equipos y servidores para instalar el Endpoint Protection cliente. Esta colección le da el nombre todos los equipos protegidos por Endpoint Protection.

System_CAPS_tipSugerencia

No puede configurar alertas para recopilaciones de usuario.

Para obtener más información sobre cómo crear colecciones, vea Cómo crear colecciones en Configuration Manager

Configura las siguientes alertas para la colección:

  • Se detecta software malintencionado: Juan configura una gravedad de alerta de crítico.

  • El mismo tipo de malware se detecta en un número de equipos : Juan configura una gravedad de alerta de crítico y especifica que la alerta se generará cuando más de un 5 por ciento de los equipos tienen software malintencionado detectado.

  • El mismo tipo de malware se detecta repetidamente en el intervalo especificado en un equipo: Juan configura una gravedad de alerta de crítico y especifica que la alerta se generará cuando se detecta software malintencionado más de 5 veces en un período de 24 horas.

  • Se detectan varios tipos de malware en el mismo equipo en el intervalo especificado: Juan configura una gravedad de alerta de crítico y especifica que la alerta se generará cuando se generan más de 3 tipos de malware en un período de 24 horas.

Nota

El valor de gravedad de alerta indica el nivel de alerta que se mostrarán en el Configuration Manager consola y en las alertas que recibe un mensaje de correo electrónico.

Además selecciona la opción ver esta colección en el panel de Endpoint Protection para que pueda supervisar las alertas en el Configuration Manager consola.

Para obtener más información, vea Cómo configurar alertas de Endpoint Protection en Configuration Manager.

Juan configura Configuration Manager actualizaciones de software para descargar e implementar actualizaciones de definiciones de tres veces al día, mediante una regla de implementación automática.

System_CAPS_importantImportante

Esta frecuencia es adecuada para Configuration Manager SP1. Sin embargo, por motivos de rendimiento en Configuration Manager sin ningún service pack, no programe la reglas de implementación automática para entregar actualizaciones de definiciones de más de una vez al día.

Para obtener más información, consulte la sección El uso de las actualizaciones de Software de Configuration Manager para entregar actualizaciones de definiciones del tema Cómo configurar las actualizaciones de definiciones de Endpoint Protection en Configuration Manager.

Juan examina la configuración de la directiva antimalware predeterminada, que contiene la configuración de seguridad recomendada de Microsoft. Para que los equipos realizar un examen rápido diario a, cambia los valores siguientes:

  • Ejecutar un examen rápido diario en los equipos cliente: .

  • Tiempo de programación de examen rápido diario: 9:00 A.M..

John notas que las actualizaciones que se distribuyen desde Microsoft Update está seleccionada de forma predeterminada como un origen de actualización de definición. Esto cumple el requisito de negocio que los equipos descargan definiciones de Microsoft Update cuando no se reciben Configuration Manager las actualizaciones de software.

Para obtener más información, vea Cómo crear e implementar directivas Antimalware para Endpoint Protection en Configuration Manager.

Juan crea una colección que contiene sólo los servidores de Woodgrove Bank denominados servidores de Woodgrove Bank.

Para obtener más información sobre cómo crear colecciones, vea Cómo crear colecciones en Configuration Manager

Juan crea una directiva antimalware personalizada denominada Directiva de servidor de Woodgrove Bank. Agrega sólo la configuración de exámenes programados y realiza los cambios siguientes:

  • Tipo de recorrido: completo

  • Días de análisis: el sábado

  • Tiempo de análisis: 1:00 A.M.

  • Ejecutar un examen rápido diario en los equipos cliente: No.

Para obtener más información, vea Cómo crear e implementar directivas Antimalware para Endpoint Protection en Configuration Manager.

Juan implementa la Directiva de servidor de Woodgrove Bank directiva antimalware personalizada a la servidores de Woodgrove Bank colección.

Para obtener más información, consulte la sección Para implementar una directiva antimalware en los equipos cliente del tema Cómo crear e implementar directivas Antimalware para Endpoint Protection en Configuration Manager.

Juan crea un nuevo conjunto de cliente personalizado para la configuración del dispositivo Endpoint Protection nombres y configuración de Endpoint Protection de Woodgrove Bank.

System_CAPS_warningAdvertencia

Si no desea instalar y habilitar Endpoint Protection en todos los clientes en la jerarquía, asegúrese de que las opciones cliente administrar Endpoint Protection en equipos cliente y cliente instalar Endpoint Protection en equipos cliente configurados como No en la configuración predeterminada del cliente.

Para obtener más información, consulte la sección Paso 5: configurar opciones de cliente personalizadas para Endpoint Protection del tema Configuración de Endpoint Protection en Configuration Manager.

Configura las opciones siguientes para Endpoint Protection:

  • Cliente administrar Endpoint Protection en equipos cliente:  

    Este valor y el valor garantiza que cualquier existente Endpoint Protection cliente instalado pasa a ser administrado por Configuration Manager.

  • Cliente instalar Endpoint Protection en equipos cliente: .

  • Automáticamente quitar previamente instalado software antimalware antes de instalar Endpoint Protection: .

    Este valor y el valor cumple el requisito de negocio que se quita el software antimalware existente antes de Endpoint Protection está instalado y habilitado.

Para obtener más información, consulte la sección Paso 5: configurar opciones de cliente personalizadas para Endpoint Protection del tema Configuración de Endpoint Protection en Configuration Manager.

Juan implementa la configuración de Endpoint Protection de Woodgrove Bank configuración del cliente para la todos los equipos protegidos por Endpoint Protection colección.

Para obtener más información, consulte la sección Crear e implementar la configuración de cliente predeterminada del tema Cómo establecer la configuración del cliente en Configuration Manager.

Juan utiliza el Asistente para crear directivas de Firewall de Windows para crear una directiva mediante la configuración de los siguientes valores para el perfil de dominio:

  • Habilite Firewall de Windows:

  • Notificar al usuario cuando Firewall de Windows bloquea un programa nuevo:

Para obtener más información, consulte la Para crear una directiva de Firewall de Windows sección en el Cómo crear e implementar las directivas de Firewall de Windows para Endpoint Protection en Configuration Manager

Juan implementa la nueva directiva de firewall a la colección todos los equipos protegidos por Endpoint Protection que creó anteriormente.

Para obtener más información, consulte la Para implementar una directiva de Firewall de Windows sección en el Cómo crear e implementar las directivas de Firewall de Windows para Endpoint Protection en Configuration Manager

Juan utiliza las tareas de administración disponibles para Endpoint Protection para administrar directivas de Firewall de Windows y antimalware, realizar análisis de petición de equipos cuando sea necesario, obligar a los equipos para descargar las definiciones más recientes y para especificar las acciones adicionales que se realiza cuando se detecta software malintencionado.

Para obtener más información acerca de la Endpoint Protection tareas de administración, consulte Cómo administrar Antimalware directivas y configuración de Firewall para Endpoint Protection en Configuration Manager.

Juan utiliza los métodos siguientes para supervisar el estado de Endpoint Protection y las acciones que se realizan por Endpoint Protection:

  • Mediante el uso de la estado de System Center 2012 Endpoint Protection nodo en el supervisión área de trabajo.

  • Mediante el uso de la Endpoint Protection nodo en el activos y compatibilidad área de trabajo.

  • Mediante el uso de integrada Configuration Manager informes.

Para obtener más información acerca de la estado de System Center 2012 Endpoint Protection nodo, consulte el Supervisión Endpoint Protection utilizando el System Center 2012 Endpoint Protection nodo estado sección el Supervisión de Endpoint Protection en Configuration Manager tema.

Para obtener más información acerca de cómo supervisar Endpoint Protection en los activos y área de trabajo de cumplimiento, consulte la Supervisión Endpoint Protection en los activos y el área de trabajo de cumplimiento sección el Supervisión de Endpoint Protection en Configuration Manager tema.

Para obtener más información acerca de cómo supervisar Endpoint Protection mediante informes, consulte la Supervisión Endpoint Protection mediante informes sección el Supervisión de Endpoint Protection en Configuration Manager tema.

Juan notifica una implementación correcta de Endpoint Protection a su administrador y confirma que los equipos de Woodgrove Bank ahora están protegidos contra código malintencionado, según los requisitos empresariales que proporcionó.