Cómo crear e implementar directivas Antimalware para Endpoint Protection en Configuration Manager

 

Se aplica a: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Puede implementar directivas antimalware en recopilaciones de Microsoft System Center 2012 Configuration Manager los equipos cliente para especificar cómo Endpoint Protection les protege de malware y otras amenazas.Estas directivas antimalware incluyen información sobre la programación de exámenes, los tipos de archivos y carpetas para el análisis y las acciones que se realiza cuando se detecta software malintencionado.Al habilitar Endpoint Protection, una directiva de antimalware predeterminada se aplica a los equipos cliente.También puede utilizar plantillas de directiva adicionales que se proporcionan o creación sus propias directivas antimalware personalizadas para satisfacer las necesidades específicas de su entorno.

Nota

Configuration Manager Proporciona una selección de plantillas predefinidas que se optimizan para varios escenarios y se pueden importar a Configuration Manager.Estas plantillas están disponibles en la carpeta < carpeta de instalación de Configuration Manager >\AdminConsole\XMLStorage\EPTemplates.

System_CAPS_importantImportante

Si crea una nueva directiva antimalware e implementarlo en una colección, esta directiva antimalware invalida la directiva antimalware predeterminada.

Utilice los procedimientos de este tema para crear o importar directivas antimalware y asignarlas a System Center 2012 Configuration Manager los equipos cliente en la jerarquía.

Nota

Antes de realizar estos procedimientos, asegúrese de que Configuration Manager está configurado para Endpoint Protection como se describe en Configuración en el Administrador de configuración de la protección de extremo.

Para modificar la directiva antimalware predeterminada

  1. En la consola de Configuration Manager, haga clic en Activos y compatibilidad.

  2. En el activos y compatibilidad área de trabajo, expanda Endpoint Protection, y, a continuación, haga clic en directivas Antimalware.

  3. Seleccione la directiva antimalware Directiva Antimalware de cliente predeterminada y, a continuación, en la Inicio ficha el propiedades de grupo, haga clic en propiedades.

  4. En el Directiva Antimalware predeterminada diálogo cuadro, configure las opciones que necesita para esta directiva antimalware y, a continuación, haga clic en Aceptar.

    Nota

    Para obtener una lista de opciones que puede configurar, vea Lista de configuración de directiva Antimalware en este tema.

Para crear una nueva directiva de antimalware

  1. En la consola de Configuration Manager, haga clic en Activos y compatibilidad.

  2. En el activos y compatibilidad área de trabajo, expanda Endpoint Protection, y, a continuación, haga clic en directivas Antimalware.

  3. En el Inicio ficha el crear de grupo, haga clic en Crear directiva Antimalware.

  4. En el General sección de la Crear directiva Antimalware diálogo cuadro, escriba un nombre y una descripción para la directiva.

  5. En el Crear directiva Antimalware diálogo cuadro, configure las opciones que necesita para esta directiva antimalware y, a continuación, haga clic en Aceptar.

    Nota

    Para obtener una lista de opciones que puede configurar, vea Lista de configuración de directiva Antimalware en este tema.

  6. Compruebe que la nueva directiva antimalware se muestra en el directivas Antimalware lista.

Para importar una directiva antimalware

  1. En la consola de Configuration Manager, haga clic en Activos y compatibilidad.

  2. En el activos y compatibilidad área de trabajo, expanda Endpoint Protection, y, a continuación, haga clic en directivas Antimalware.

  3. En el Inicio ficha el crear de grupo, haga clic en importación.

  4. En el abiertos cuadro de diálogo, busque el archivo de directivas para importar y, a continuación, haga clic en abiertos.

  5. En el Crear directiva Antimalware diálogo cuadro, revise la configuración para usar y, a continuación, haga clic en Aceptar.

  6. Compruebe que la nueva directiva antimalware se muestra en el directivas Antimalware lista.

Para implementar una directiva antimalware en los equipos cliente

  1. En la consola de Configuration Manager, haga clic en Activos y compatibilidad.

  2. En el activos y compatibilidad área de trabajo, expanda Endpoint Protection, y, a continuación, haga clic en directivas Antimalware.

  3. En el directivas Antimalware seleccione la directiva antimalware para implementar.A continuación, en la Inicio ficha el implementación de grupo, haga clic en implementar.

    Nota

    El implementar opción no puede utilizarse con la directiva de software malintencionado de cliente predeterminada.

  4. En el Seleccionar colección cuadro de diálogo, seleccione la recopilación de dispositivos a la que desea implementar la directiva antimalware y, a continuación, haga clic en Aceptar.

Lista de configuración de directiva Antimalware

Muchas de las configuraciones antimalware son autoexplicativos.Utilice las siguientes secciones para obtener más información acerca de la configuración que pueden requerir más información antes de configurarlas.

Análisis programados

Nombre de la configuración

Descripción

Tipo de examen

Puede especificar uno de los dos tipos de análisis para que se ejecute en equipos cliente:

  • Examen rápido : este tipo de análisis comprueba los procesos de en memoria y las carpetas donde normalmente se encuentra software malintencionado.Requiere menos recursos que un examen completo.

  • Análisis completo : este tipo de análisis agrega una comprobación completa de todas las carpetas y archivos locales a los elementos analizados en el examen rápido.Este análisis tarda más de un examen rápido y utiliza más recursos de memoria y procesamiento de CPU en los equipos cliente.

En la mayoría de los casos, utilice examen rápido para minimizar el uso de recursos del sistema en los equipos cliente.Si la eliminación de malware requiere un examen completo, Endpoint Protection genera una alerta que se muestra en el Configuration Manager consola.

El valor predeterminado es examen rápido.

Randomize las horas de inicio del examen programado (dentro de 30 minutos)

Seleccione True (Configuration Manager sin service Pack) o (Configuration Manager SP1) si desea ayudar a evitar la saturación de la red, lo que puede ocurrir si todos los equipos enviarán su antimalware examina los resultados a la Configuration Manager base de datos al mismo tiempo.

Esta configuración también es útil cuando se ejecutan varias máquinas virtuales en un solo host.Seleccione esta opción para reducir la cantidad de acceso de disco simultáneos para antimalware de exploración.

Nota

En Configuration Manager SP1, esta opción aparece en la avanzadas sección de la configuración de directiva antimalware.

Configuración de análisis

Nombre de la configuración

Descripción

Analizar unidades de red al ejecutar un examen completo

Establecido en True (Configuration Manager sin service Pack) o (Configuration Manager SP1) si desea analizar ninguno asignar unidades de red en los equipos cliente.

System_CAPS_importantImportante

Si habilita a esta configuración, podría aumentar significativamente el tiempo de análisis en los equipos cliente.

Acciones predeterminadas

Seleccione la acción que se realizará cuando se detecta software malintencionado en los equipos cliente.Se pueden aplicar las acciones siguientes, según el nivel de alerta amenaza del software malintencionado detectado.

  • Recomendado : usar la acción recomendada en el archivo de definición de malware.

  • Cuarentena : poner en cuarentena el malware, pero no la quita.

  • Quitar : quitar el malware del equipo.

  • Permitir : no quite ni poner en cuarentena el software malintencionado.

Protección en tiempo real

Nombre de la configuración

Descripción

Habilitar protección en tiempo real

Establecido en True (Configuration Manager sin service Pack) o (Configuration Manager SP1) si desea configurar la protección en tiempo real para los equipos cliente.Se recomienda que habilite a esta configuración.

Supervisar la actividad de archivos y programas en su equipo

Establecido en True (Configuration Manager sin service Pack) o (Configuration Manager SP1) si desea Endpoint Protection para supervisar cuándo los archivos y programas de inician para ejecutar en los equipos cliente y para alertarle acerca de todas las acciones que realizan o las acciones realizadas en ellos.

Examine los archivos de sistema

Esta configuración le permite especificar si entrantes, salientes o archivos del sistema de entrada y salida se supervisan en busca de malware.Por motivos de rendimiento, tendrá que cambiar el valor predeterminado de Examinar los archivos entrantes y salientes si un servidor tiene actividad en el archivo de entrada o salida alta.

Habilitar supervisión del comportamiento

Habilite esta opción para usar la actividad del equipo y los datos de archivo para detectar amenazas desconocidas.Cuando se habilita esta configuración, podría aumentar el tiempo necesario para examinar equipos en busca de malware.

Habilitar la protección contra ataques basados en red

Habilite esta configuración para proteger los equipos frente a ataques de red conocidos inspeccionando el tráfico de red y bloquear cualquier actividad sospechosa.

Habilitar análisis de scripts

Para Configuration Manager sin service pack únicamente.

Habilite a esta opción si desea analizar las secuencias de comandos que se ejecutan en equipos de cualquier actividad sospechosa.

Opciones de exclusión

Nombre de la configuración

Descripción

Las carpetas y archivos excluidos

Haga clic en establecer para abrir el Configurar archivo y carpeta exclusiones diálogo cuadro y especifique los nombres de los archivos y carpetas que se excluirán Endpoint Protection examina.

Si desea excluir archivos y carpetas que se encuentran en una unidad de red, especifique el nombre de cada carpeta individualmente en la unidad de red.Por ejemplo, si se asigna una unidad de red como F:\MyFolder y contiene subcarpetas denominadas Carpeta1 y Carpeta2, carpeta 3, especifique las exclusiones siguientes:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

Opciones avanzadas

Nombre de la configuración

Descripción

Habilitar el análisis de punto de reanálisis

Para System Center 2012 Configuration Manager SP1 y versiones posteriores:

Establecido en si desea Endpoint Protection para analizar puntos de análisis de NTFS.

Para obtener más información acerca de los puntos de reanálisis, consulte puntos de reanálisis en el centro de desarrollo de Windows.

Invalidaciones de amenazas

Nombre de la configuración

Descripción

Nombre de amenaza y reemplazar la acción

Haga clic en establecer para personalizar las medidas correctivas que se realiza para cada identificador de amenazas cuando se detecta durante un examen.

Nota

La lista de nombres de amenazas no estén disponible inmediatamente después de la configuración de Endpoint Protection.Espere hasta que el Endpoint Protection punto se ha sincronizado la información de amenazas y, a continuación, vuelva a intentarlo.

Actualizaciones de definiciones

Nombre de la configuración

Descripción

Definir orígenes y ordenar para Endpoint Protection las actualizaciones de cliente

Haga clic en Establecer origen para especificar los orígenes de definición y actualizaciones del motor de análisis y también especificar el orden en que se utilizan.Si Configuration Manager se especifica como uno de los orígenes, los demás orígenes se utiliza sólo si se produce un error al descargar las actualizaciones de cliente las actualizaciones de software.

Si utiliza cualquiera de los métodos siguientes para actualizar las definiciones de los equipos cliente, los equipos cliente debe tener acceso a Internet.

  • Actualizaciones que se distribuyen desde Microsoft Update

  • Actualizaciones que se distribuyen desde Microsoft Malware Protection Center

System_CAPS_importantImportante

Los clientes descargan actualizaciones de definiciones mediante el uso de la cuenta del sistema integrada.Debe configurar un servidor proxy para esta cuenta para que estos clientes puedan conectarse a Internet.

Si ha configurado una regla de implementación automática de actualizaciones de software para entregar actualizaciones de definiciones a los equipos cliente, estas actualizaciones se entregarán independientemente de la configuración de las actualizaciones de definición.