项目
10/26/2015

如何创建和部署 Configuration Manager 中 Endpoint Protection 反恶意软件策略

适用对象：System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

可以将反恶意软件策略部署到的集合 Microsoft System Center 2012 Configuration Manager 客户端计算机来指定如何 Endpoint Protection 保护它们免受恶意软件和其他威胁的侵害。这些反恶意软件策略包括扫描计划、文件和文件夹的扫描以及在检测到恶意软件时要执行的操作的类型有关的信息。如果您启用 Endpoint Protection, ，默认值的反恶意软件策略应用到客户端计算机。此外可以使用其他策略模板提供或创建您自己的自定义反恶意软件策略以满足您的环境的特定需求。

注意
配置管理器提供的针对各种方案进行了优化并可以导入到的预定义模板选择配置管理器。这些模板的文件夹中有 < ConfigMgr 安装文件夹 >\AdminConsole\XMLStorage\EPTemplates。

重要事项
如果创建新的反恶意软件策略并将其部署到集合时，此反恶意软件策略将替代默认反恶意软件策略。

使用本主题中的过程来创建或导入反恶意软件策略并将其分配给 System Center 2012 Configuration Manager 层次结构中的客户端计算机。

注意
执行这些过程之前，请确保配置管理器配置为 Endpoint Protection 中所述在配置管理器中配置终结点的保护。

若要修改默认反恶意软件策略

在配置管理器控制台中，单击 资产和符合性。
在 资产和符合性 工作区中，展开 Endpoint Protection, ，然后单击 反恶意软件策略。
选择的反恶意软件策略 默认客户端反恶意软件策略 ，然后在主页选项卡上，在属性组中，单击属性。
在 默认反恶意软件策略 对话框框中，配置设置，您需要为此反恶意软件策略，然后单击确定。

注意

您可以配置的设置的列表，请参阅反恶意软件策略设置的列表本主题中。

注意
您可以配置的设置的列表，请参阅反恶意软件策略设置的列表本主题中。

若要创建新的反恶意软件策略

在配置管理器控制台中，单击 资产和符合性。
在 资产和符合性 工作区中，展开 Endpoint Protection, ，然后单击 反恶意软件策略。
在上主页选项卡上，在创建组中，单击 创建反恶意软件策略。
在常规部分 创建反恶意软件策略 对话框框中，输入名称和策略的描述。
在 创建反恶意软件策略 对话框框中，配置设置，您需要为此反恶意软件策略，然后单击确定。

注意

您可以配置的设置的列表，请参阅反恶意软件策略设置的列表本主题中。
验证新的反恶意软件策略是否显示在 反恶意软件策略 列表。

注意
您可以配置的设置的列表，请参阅反恶意软件策略设置的列表本主题中。

若要导入反恶意软件策略

在配置管理器控制台中，单击 资产和符合性。
在 资产和符合性 工作区中，展开 Endpoint Protection, ，然后单击 反恶意软件策略。
在主页选项卡上，在创建组中，单击导入。
在打开对话框中，浏览到该策略文件以导入，然后单击打开。
在 创建反恶意软件策略 对话框框中，查看设置以使用，然后单击确定。
验证新的反恶意软件策略是否显示在 反恶意软件策略 列表。

若要部署到客户端计算机的反恶意软件策略

在配置管理器控制台中，单击 资产和符合性。
在 资产和符合性 工作区中，展开 Endpoint Protection, ，然后单击 反恶意软件策略。
在 反恶意软件策略 列表中，选择要部署的反恶意软件策略。然后，在主页选项卡上，在部署组中，单击部署。

注意

部署选项不能与默认客户端恶意软件策略一起使用。
在 选择集合 对话框框中，选择您希望以部署反恶意软件策略，然后单击的设备集合确定。

注意
部署选项不能与默认客户端恶意软件策略一起使用。

反恶意软件策略设置的列表

许多反恶意软件设置都很容易理解。有关在配置之前可能需要的详细信息的设置的详细信息中使用以下各节。

计划的扫描

扫描类型

您可以指定在客户端计算机上运行的两种扫描类型之一：

快速扫描 – 此类型的扫描检查的内存中的进程和通常找到恶意软件的文件夹。它要求更少的资源比完整扫描。
完全扫描 – 这种扫描将所有本地文件和文件夹的完整检查添加到快速扫描在扫描的项。此扫描时间超过一次快速扫描，并在客户端计算机上使用更多的 CPU 处理和内存资源。

在大多数情况下，使用 快速扫描 尽量减少客户端计算机上的系统资源的使用。如果恶意软件删除需要完全扫描， Endpoint Protection 会生成将显示在警报配置管理器控制台。

默认值是 快速扫描。

随机化 (在 30 分钟内) 的计划的扫描开始时间

选择 True （不带 service pack 的 Configuration Manager）或是 (Configuration Manager SP1) 如果您想要帮助避免填满网络，如果所有计算机都发送其反恶意软件可能会出现扫描结果显示为配置管理器在同一时间的数据库。

此设置也很有用的一台主机上运行多个虚拟机时。选择此选项可减少的反恶意软件扫描的同时进行磁盘访问量。

注意
在配置管理器 SP1 中，此设置将出现在高级反恶意软件策略设置的部分。

扫描设置

运行完全扫描时扫描的网络驱动器

设置为 True （不带 service pack 的 Configuration Manager）或是 (Configuration Manager SP1) 如果您想要扫描任何映射的客户端计算机上的网络驱动器。

重要事项
如果启用此设置，它可能会显著增加客户端计算机上的扫描时间。

默认操作

选择当客户端计算机上检测到恶意软件时要执行的操作。可以应用以下操作，具体取决于检测到恶意软件的警报的威胁级别。

推荐 – 使用恶意软件定义文件中建议的操作。
隔离 – 隔离恶意软件但不是删除它。
删除 – 从计算机中删除恶意软件。
允许 – 不删除或隔离恶意软件。

实时保护

设置名	描述
启用实时保护	设置为 True （不带 service pack 的 Configuration Manager）或是 (Configuration Manager SP1) 如果您想要配置客户端计算机的实时保护设置。我们建议您启用此设置。
监视您的计算机上的文件和程序活动	设置为 True （不带 service pack 的 Configuration Manager）或是 (Configuration Manager SP1) 所需 Endpoint Protection 可以监视何时文件和程序开始在客户端计算机上运行并向您发出警报有关的任何他们执行的操作或对其所采取的操作。
扫描系统文件	此设置允许你配置是否传入、传出，或传入和传出的系统文件所监视的恶意软件。出于性能原因，您可能需要更改的默认值扫描传入和传出文件如果服务器具有高的传入或传出文件的活动。
启用行为监视	启用此设置以使用计算机的活动和文件数据来检测未知的威胁。启用此设置后，它可能增加扫描恶意软件的计算机所需的时间。
启用针对基于网络的攻击的保护	启用此设置以通过检查网络流量并阻止任何可疑的活动来保护计算机免受已知的网络攻击。
启用脚本扫描	为 Configuration Manager 不带 service pack 仅。如果您想要扫描的可疑活动的计算机运行任何脚本，启用此设置。

排除设置

设置名	描述
排除的文件和文件夹	单击设置若要打开配置文件和文件夹排除对话框框中，并指定名称的文件和文件夹排除 Endpoint Protection 扫描。如果您想要排除文件和位于映射的网络驱动器的文件夹，每个文件夹的名称在网络驱动器中单独指定。例如，如果网络驱动器映射为 F:\MyFolder 并且它包含名为 Folder1、 Folder2 和文件夹 3 的子文件夹，指定以下例外： F:\MyFolder\Folder1 F:\MyFolder\Folder2 F:\MyFolder\Folder3

排除的文件和文件夹

单击设置若要打开 配置文件和文件夹排除 对话框框中，并指定名称的文件和文件夹排除 Endpoint Protection 扫描。

如果您想要排除文件和位于映射的网络驱动器的文件夹，每个文件夹的名称在网络驱动器中单独指定。例如，如果网络驱动器映射为 F:\MyFolder 并且它包含名为 Folder1、 Folder2 和文件夹 3 的子文件夹，指定以下例外：

F:\MyFolder\Folder1
F:\MyFolder\Folder2
F:\MyFolder\Folder3

高级

设置名	描述
启用重新分析点扫描	适用于 System Center 2012 Configuration Manager SP1 和更高版本：设置为是如果您希望 Endpoint Protection 扫描 NTFS，重新分析点。有关重新分析点的详细信息，请参阅重新分析点 Windows 开发人员中心中。

启用重新分析点扫描

适用于 System Center 2012 Configuration Manager SP1 和更高版本：

设置为是如果您希望 Endpoint Protection 扫描 NTFS，重新分析点。

有关重新分析点的详细信息，请参阅重新分析点 Windows 开发人员中心中。

威胁替代

威胁名称并重写操作

单击设置若要自定义时在扫描期间检测到它为每个威胁 ID 采取修正操作。

注意
威胁名称的列表可能不可用的配置后立即 Endpoint Protection。请等待，直到 Endpoint Protection 点是否同步威胁的信息，然后再试。

定义更新

将源设置和订单 Endpoint Protection 客户端更新

单击 设为源 指定用于定义和扫描引擎更新的源以及还指定使用它们的顺序。如果配置管理器被指定为其中一个源，则仅使用其他源如果软件更新无法下载客户端的更新。

如果使用任何以下方法来更新客户端计算机上的定义，客户端计算机必须能够访问 Internet。

从 Microsoft Update 分发的更新
从 Microsoft 恶意软件防护中心分发的更新

客户端通过使用内置系统帐户下载定义更新。您必须配置此帐户以使这些客户端以连接到 Internet 的代理服务器。

如果已配置软件更新自动部署规则以将定义更新交付到客户端计算机，这些更新将被传送而不考虑定义更新设置。

请参阅

操作和维护的终端防护配置管理器中