Este artículo se tradujo automáticamente. Para ver el artículo en inglés, active la casilla Inglés. Además, puede mostrar el texto en inglés en una ventana emergente si mueve el puntero del mouse sobre el texto.
Traducción
Inglés

Cómo crear e implementar directivas Antimalware para Endpoint Protection en Configuration Manager

 

Se aplica a: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Puede implementar directivas antimalware en recopilaciones de Microsoft System Center 2012 Configuration Manager los equipos cliente para especificar cómo Endpoint Protection les protege de malware y otras amenazas.Estas directivas antimalware incluyen información sobre la programación de exámenes, los tipos de archivos y carpetas para el análisis y las acciones que se realiza cuando se detecta software malintencionado.Al habilitar Endpoint Protection, una directiva de antimalware predeterminada se aplica a los equipos cliente.También puede utilizar plantillas de directiva adicionales que se proporcionan o creación sus propias directivas antimalware personalizadas para satisfacer las necesidades específicas de su entorno.

System_CAPS_noteNota

Configuration Manager Proporciona una selección de plantillas predefinidas que se optimizan para varios escenarios y se pueden importar a Configuration Manager.Estas plantillas están disponibles en la carpeta < carpeta de instalación de Configuration Manager >\AdminConsole\XMLStorage\EPTemplates.

System_CAPS_importantImportante

Si crea una nueva directiva antimalware e implementarlo en una colección, esta directiva antimalware invalida la directiva antimalware predeterminada.

Utilice los procedimientos de este tema para crear o importar directivas antimalware y asignarlas a System Center 2012 Configuration Manager los equipos cliente en la jerarquía.

System_CAPS_noteNota

Antes de realizar estos procedimientos, asegúrese de que Configuration Manager está configurado para Endpoint Protection como se describe en Configuración en el Administrador de configuración de la protección de extremo.

  1. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

  2. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

  3. Seleccione la directiva antimalware Directiva Antimalware de cliente predeterminada y, a continuación, en la Inicio ficha el propiedades de grupo, haga clic en propiedades.

  4. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

    System_CAPS_noteNota

    Para obtener una lista de opciones que puede configurar, vea Lista de configuración de directiva Antimalware en este tema.

  1. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

  2. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

  3. En el Inicio ficha el crear de grupo, haga clic en Crear directiva Antimalware.

  4. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

  5. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

    System_CAPS_noteNota

    Para obtener una lista de opciones que puede configurar, vea Lista de configuración de directiva Antimalware en este tema.

  6. Compruebe que la nueva directiva antimalware se muestra en el directivas Antimalware lista.

  1. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

  2. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

  3. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

  4. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

  5. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

  6. Compruebe que la nueva directiva antimalware se muestra en el directivas Antimalware lista.

  1. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

  2. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

  3. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe . A continuación, en la Inicio ficha el implementación de grupo, haga clic en implementar.

    System_CAPS_noteNota

    El implementar opción no puede utilizarse con la directiva de software malintencionado de cliente predeterminada.

  4. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo, %comspec% o C:\Windows\System32\cmd.exe .

Muchas de las configuraciones antimalware son autoexplicativos.Utilice las siguientes secciones para obtener más información acerca de la configuración que pueden requerir más información antes de configurarlas.

Nombre de la configuración

Descripción

Tipo de examen

Puede especificar uno de los dos tipos de análisis para que se ejecute en equipos cliente:

  • Examen rápido : este tipo de análisis comprueba los procesos de en memoria y las carpetas donde normalmente se encuentra software malintencionado.Requiere menos recursos que un examen completo.

  • Análisis completo : este tipo de análisis agrega una comprobación completa de todas las carpetas y archivos locales a los elementos analizados en el examen rápido.Este análisis tarda más de un examen rápido y utiliza más recursos de memoria y procesamiento de CPU en los equipos cliente.

En la mayoría de los casos, utilice examen rápido para minimizar el uso de recursos del sistema en los equipos cliente.Si la eliminación de malware requiere un examen completo, Endpoint Protection genera una alerta que se muestra en el Configuration Manager consola.

El valor predeterminado es examen rápido.

Randomize las horas de inicio del examen programado (dentro de 30 minutos)

Seleccione True (Configuration Manager sin service Pack) o (Configuration Manager SP1) si desea ayudar a evitar la saturación de la red, lo que puede ocurrir si todos los equipos enviarán su antimalware examina los resultados a la Configuration Manager base de datos al mismo tiempo.

Esta configuración también es útil cuando se ejecutan varias máquinas virtuales en un solo host.Seleccione esta opción para reducir la cantidad de acceso de disco simultáneos para antimalware de exploración.

System_CAPS_noteNota

En Configuration Manager SP1, esta opción aparece en la avanzadas sección de la configuración de directiva antimalware.

Nombre de la configuración

Descripción

Analizar unidades de red al ejecutar un examen completo

Establecido en True (Configuration Manager sin service Pack) o (Configuration Manager SP1) si desea analizar ninguno asignar unidades de red en los equipos cliente.

System_CAPS_importantImportante

Si habilita a esta configuración, podría aumentar significativamente el tiempo de análisis en los equipos cliente.

Seleccione la acción que se realizará cuando se detecta software malintencionado en los equipos cliente.Se pueden aplicar las acciones siguientes, según el nivel de alerta amenaza del software malintencionado detectado.

  • Recomendado : usar la acción recomendada en el archivo de definición de malware.

  • Cuarentena : poner en cuarentena el malware, pero no la quita.

  • Quitar : quitar el malware del equipo.

  • Permitir : no quite ni poner en cuarentena el software malintencionado.

Nombre de la configuración

Descripción

Habilitar protección en tiempo real

Establecido en True (Configuration Manager sin service Pack) o (Configuration Manager SP1) si desea configurar la protección en tiempo real para los equipos cliente.Se recomienda que habilite a esta configuración.

Supervisar la actividad de archivos y programas en su equipo

Establecido en True (Configuration Manager sin service Pack) o (Configuration Manager SP1) si desea Endpoint Protection para supervisar cuándo los archivos y programas de inician para ejecutar en los equipos cliente y para alertarle acerca de todas las acciones que realizan o las acciones realizadas en ellos.

Examine los archivos de sistema

Esta configuración le permite especificar si entrantes, salientes o archivos del sistema de entrada y salida se supervisan en busca de malware.Por motivos de rendimiento, tendrá que cambiar el valor predeterminado de Examinar los archivos entrantes y salientes si un servidor tiene actividad en el archivo de entrada o salida alta.

Habilitar supervisión del comportamiento

Habilite esta opción para usar la actividad del equipo y los datos de archivo para detectar amenazas desconocidas.Cuando se habilita esta configuración, podría aumentar el tiempo necesario para examinar equipos en busca de malware.

Habilitar la protección contra ataques basados en red

Habilite esta configuración para proteger los equipos frente a ataques de red conocidos inspeccionando el tráfico de red y bloquear cualquier actividad sospechosa.

Habilitar análisis de scripts

Para Configuration Manager sin service pack únicamente.

Habilite a esta opción si desea analizar las secuencias de comandos que se ejecutan en equipos de cualquier actividad sospechosa.

Nombre de la configuración

Descripción

Las carpetas y archivos excluidos

Click

Si desea excluir archivos y carpetas que se encuentran en una unidad de red, especifique el nombre de cada carpeta individualmente en la unidad de red.Por ejemplo, si se asigna una unidad de red como F:\MyFolder y contiene subcarpetas denominadas Carpeta1 y Carpeta2, carpeta 3, especifique las exclusiones siguientes:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

Nombre de la configuración

Descripción

Habilitar el análisis de punto de reanálisis

Para System Center 2012 Configuration Manager SP1 y versiones posteriores:

Establecido en si desea Endpoint Protection para analizar puntos de análisis de NTFS.

Para obtener más información acerca de los puntos de reanálisis, consulte puntos de reanálisis en el centro de desarrollo de Windows.

Nombre de la configuración

Descripción

Nombre de amenaza y reemplazar la acción

Click

System_CAPS_noteNota

La lista de nombres de amenazas no estén disponible inmediatamente después de la configuración de Endpoint Protection.Espere hasta que el Endpoint Protection punto se ha sincronizado la información de amenazas y, a continuación, vuelva a intentarlo.

Nombre de la configuración

Descripción

Definir orígenes y ordenar para Endpoint Protection las actualizaciones de cliente

Click Si no existe catalog_name, Microsoft SQL Server devuelve un error y no lleva a cabo la operación DROP.

Si utiliza cualquiera de los métodos siguientes para actualizar las definiciones de los equipos cliente, los equipos cliente debe tener acceso a Internet.

  • Actualizaciones que se distribuyen desde Microsoft Update

  • Actualizaciones que se distribuyen desde Microsoft Malware Protection Center

System_CAPS_importantImportante

Los clientes descargan actualizaciones de definiciones mediante el uso de la cuenta del sistema integrada.Debe configurar un servidor proxy para esta cuenta para que estos clientes puedan conectarse a Internet.

Si ha configurado una regla de implementación automática de actualizaciones de software para entregar actualizaciones de definiciones a los equipos cliente, estas actualizaciones se entregarán independientemente de la configuración de las actualizaciones de definición.

Mostrar: