在配置管理器中的端点保护简介
适用对象:System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1
中的 endpoint Protection System Center 2012 Configuration Manager 允许您管理反恶意软件策略和 Windows 防火墙中客户端计算机的安全您 配置管理器 层次结构。
.jpeg "System_CAPS_important"){kind=icon} 重要事项 |
|---|
您必须具有许可证使用 Endpoint Protection 来管理中的客户端您 配置管理器 层次结构。 |
当您使用 Endpoint Protection 与 配置管理器, ,具有以下优点:
可以使用自定义反恶意软件策略和客户端设置来配置反恶意软件策略和 Windows 防火墙设置应用于所选计算机组。
您可以使用 配置管理器 要下载最新的反恶意软件定义文件以使客户端计算机保持最新的软件更新。
您可以发送电子邮件通知、 使用控制台中监视,并查看报告,以使客户端计算机上检测到恶意软件时得到通知的管理用户。
Endpoint Protection 安装到除其自身客户端 配置管理器 客户端。Endpoint Protection 客户端具有以下功能:
恶意软件和间谍软件检测和修正。
Rootkit 检测和修正。
严重的漏洞评估和自动定义和引擎更新。
通过网络检查系统的网络的漏洞检测。
与 Microsoft Active Protection 服务以向 Microsoft 报告恶意软件相集成。当加入此服务时,Endpoint Protection 客户端可以下载最新的定义从恶意软件防护中心无法识别的恶意软件检测到的计算机上时。
.jpeg "System_CAPS_note"){kind=icon} 注意 |
|---|
Endpoint Protection 可以独立运行 HYPER-V 的服务器上并在来宾计算机与受支持的操作系统上安装客户端。若要防止 CPU 使用率过高, Endpoint Protection 操作具有内置的随机化的延迟,以便它们不同时发生在由该服务器托管的所有来宾计算机上。 |
此外, Endpoint Protection 中 配置管理器 允许您管理 Windows 防火墙设置中的 配置管理器 控制台。
有关演示如何配置和管理的示例方案 Endpoint Protection 和 Windows 防火墙,请参阅 为保护计算机免受恶意软件,通过在配置管理器中配置端点保护方案示例。
管理 Endpoint Protection 恶意软件侵害
中的 endpoint Protection 配置管理器 允许您创建包含有关 Endpoint Protection 客户端配置设置的反恶意软件策略。然后可以将这些反恶意软件策略部署到客户端计算机并监视在这些服务器 System Center 2012 Endpoint Protection 状态 中的节点 监视 工作区中,或通过使用 配置管理器 报表。请参阅 反恶意软件策略设置的列表 有关您可以配置的设置的列表。
有关如何创建、 部署和监视反恶意软件策略的详细信息,请参阅 如何创建和部署 Configuration Manager 中 Endpoint Protection 反恶意软件策略 和 如何监视终端防护配置管理器中。
有关如何修正客户端计算机找到的恶意软件的信息,请参阅 如何管理反恶意软件的策略和端点保护配置管理器中的防火墙设置。
管理 Windows 防火墙使用 Endpoint Protection
中的 endpoint Protection 配置管理器 提供客户端计算机上的 Windows 防火墙的基本管理。对于每个网络配置文件中,您可以配置以下设置:
启用或禁用 Windows 防火墙。
阻止传入连接,包括位于允许的程序列表。
Windows 防火墙阻止新程序时通知用户。
| 注意 |
|---|
Endpoint Protection 支持管理 Windows 防火墙仅。 |
有关如何创建和部署针对 Endpoint Protection 的 Windows 防火墙策略的详细信息,请参阅 如何创建和部署端点保护配置管理器中的 Windows 防火墙策略。
终结点保护工作流
使用下面的关系图来帮助你了解工作流来实现 Endpoint Protection 中您 配置管理器 层次结构。
.jpeg "Endpoint Protection 流程流")
为 Mac 计算机和 Linux 服务器的 endpoint Protection 客户端
System Center 2012 包括适用于 Linux 和 Mac 计算机的 Endpoint Protection 客户端。这些客户端未配有 配置管理器; 相反,您必须下载中的以下产品 Microsoft 批量许可服务中心。
适用于 Mac 的 system Center 2012 Endpoint Protection
适用于 Linux 的 system Center 2012 Endpoint Protection
| 重要事项 |
|---|
您必须是 Microsoft 批量许可客户若要下载适用于 Linux 和 mac 的 Endpoint Protection 安装文件 |
不能从 Configuration Manager 控制台中管理这些产品。但是,System Center Operations Manager 管理包提供的安装文件中,它允许您通过使用 Operations Manager 管理适用于 Linux 客户端。
有关如何安装和管理的 Mac 和 Linux 计算机的 Endpoint Protection 客户端,请使用这些产品附带的文档的详细信息,位于 文档 文件夹。
Configuration Manager 2012 中的新增功能
| 注意 |
|---|
本节中的信息还出现在System Center 2012 Configuration Manager 入门指南中。 |
System Center 2012 Endpoint Protection 现在已与 System Center 2012 Configuration Manager 集成。下列各项为适用于 Endpoint Protection 的新功能或自 Forefront Endpoint Protection 2010 推出以来已发生了更改:
因为 Endpoint Protection 现在已完全集成与 配置管理器, ,无需运行单独的安装程序来安装 Endpoint Protection 服务器。而是选择 Endpoint Protection 点作为可用的 配置管理器 站点系统角色之一。
可以通过使用安装 Endpoint Protection 客户端 配置管理器 客户端设置,或者可以管理现有的 Endpoint Protection 客户端。你未使用包和程序来安装 Endpoint Protection 客户端。
Endpoint Protection 管理员 基于角色的管理安全角色提供了管理用户与层次结构中管理 Endpoint Protection 所需的最低权限。
配置管理器 中的 Endpoint Protection 提供了与 配置管理器 报表集成的新报表。例如,你现在可以标识具有最经常报告安全威胁的计算机的用户。
你可以使用 配置管理器 软件更新以及自动部署规则来自动更新定义和定义引擎。
你可以配置多种恶意软件警报类型,以当 Endpoint Protection 在计算机上检测到恶意软件时通知你。你也可以将订阅配置为使用电子邮件通知你关于这些警报的情况。
Endpoint Protection 仪表板已与 配置管理器 控制台集成。你不必单独安装仪表板。要查看 Endpoint Protection 仪表板,请单击“监视”工作区中的“System Center 2012 Endpoint Protection 状态”节点。
什么是 Configuration Manager 2012 SP1 中的新增功能
| 注意 |
|---|
本节中的信息还出现在System Center 2012 Configuration Manager 入门指南中。 |
下列与 Endpoint Protection 有关的各项是在 配置管理器 SP1 中新提供的或已改变的:
你现在可以启用 Endpoint Protection 客户端设置,以在启用了写入筛选器的 Windows Embedded 设备上执行 Endpoint Protection 客户端安装。有关该客户端设置的详细信息,请参阅 Endpoint Protection 主题中的 关于 Configuration Manager 中的客户端设置 部分。
此外,软件更新部署的定义更新可以将配置为写入到覆盖区 Windows Embedded 设备上,以便这些更新立即安装,无需重新启动。有关详细信息,请参阅对使用写入筛选器的 Windows Embedded 设备的支持主题中的Configuration Manager 中的软件更新简介部分。
你现在可以将 Endpoint Protection 客户端配置为仅在配置的维护时段安装。在维护时段必须是至少 30 分钟长时间以允许安装做好准备。
Endpoint Protection 在 配置管理器 现在使用客户端通知在通常的客户端策略轮询间隔期间而不是中尽快,启动以下操作:
强制执行反恶意软件定义更新
运行快速扫描
运行完全扫描
允许威胁
排除文件夹和文件
还原隔离的文件
改进软件更新以允许更加频繁地分发 Endpoint Protection 定义更新。
在客户端上合并了部署到相同客户端计算机的多个反恶意软件策略。当两个设置冲突时,使用最高优先级选项。也合并了某些设置,如单独反恶意软件策略中的排除列表。客户端合并也服从为每个反恶意软件策略配置的优先级。
部署软件更新向导和自动部署规则向导中包括名为“定义更新”的软件更新部署模板。此模板包括为 Endpoint Protection 部署定义软件更新时要使用的典型设置。
什么是 Configuration Manager 2012 SP2 中的新增功能
配置管理器 SP2 增加了在 Windows 10 技术预览中的内置的 Windows Defender 的反恶意软件代理管理。您不需要部署 System Center Endpoint Protection 代理到 Windows 10 客户端计算机。