• Articolo

Come creare e distribuire criteri Antimalware per Endpoint Protection in Configuration Manager

 

Si applica a: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

È possibile distribuire i criteri antimalware in raccolte di Microsoft System Center 2012 Configuration Manager ai computer client di specificare la modalità Endpoint Protection li protegge da malware e altre minacce.Questi criteri antimalware includono informazioni sulla pianificazione di analisi, i tipi di file e cartelle per l'analisi e le azioni da intraprendere quando viene rilevato software dannoso.Quando si abilita Endpoint Protection, un criterio antimalware predefinito viene applicato ai computer client.È inoltre possibile utilizzare modelli di criteri aggiuntive che vengono forniti o creano criteri personalizzati antimalware personalizzato per soddisfare esigenze specifiche dell'ambiente.

Nota

Configuration Manager fornisce una selezione di modelli predefiniti sono ottimizzate per vari scenari che possono essere importati in Configuration Manager.Questi modelli sono disponibili nella cartella < cartella di installazione di ConfigMgr >\AdminConsole\XMLStorage\EPTemplates.

System_CAPS_importantImportante

Se si crea un nuovo criterio antimalware e distribuirlo a una raccolta, questo criterio antimalware sostituisce il criterio antimalware predefinito.

Utilizzare le procedure descritte in questo argomento per creare o importare criteri antimalware e assegnarle a System Center 2012 Configuration Manager computer client nella gerarchia.

Nota

Prima di eseguire queste procedure, assicurarsi che Configuration Manager è configurata per Endpoint Protection come descritto in Configurazione di Endpoint Protection in Configuration Manager.

Per modificare il criterio antimalware predefinito

  1. Nella console di Configuration Manager fare clic su Asset e conformità.

  2. Nel asset e conformità area di lavoro, espandere Endpoint Protection, quindi fare clic su criteri Antimalware.

  3. Selezionare il criterio antimalware criterio Antimalware Client predefinito e quindi scegliere il Home nella scheda il proprietà di gruppo, fare clic su proprietà.

  4. Nel criteri Antimalware predefiniti finestra di dialogo, configurare le impostazioni necessarie per il criterio antimalware, quindi fare clic su OK.

    Nota

    Per un elenco di impostazioni che è possibile configurare, vedere Elenco di impostazioni di criteri Antimalware in questo argomento.

Per creare un nuovo criterio antimalware

  1. Nella console di Configuration Manager fare clic su Asset e conformità.

  2. Nel asset e conformità area di lavoro, espandere Endpoint Protection, quindi fare clic su criteri Antimalware.

  3. Nel Home nella scheda il Crea di gruppo, fare clic su Crea criterio Antimalware.

  4. Nel Generale sezione del Crea criterio Antimalware finestra di dialogo immettere un nome e una descrizione per il criterio.

  5. Nel Crea criterio Antimalware finestra di dialogo, configurare le impostazioni necessarie per il criterio antimalware, quindi fare clic su OK.

    Nota

    Per un elenco di impostazioni che è possibile configurare, vedere Elenco di impostazioni di criteri Antimalware in questo argomento.

  6. Verificare che venga visualizzato il nuovo criterio antimalware nel criteri Antimalware elenco.

Per importare un criterio antimalware

  1. Nella console di Configuration Manager fare clic su Asset e conformità.

  2. Nel asset e conformità area di lavoro, espandere Endpoint Protection, quindi fare clic su criteri Antimalware.

  3. Nel Home nella scheda il Crea di gruppo, fare clic su importazione.

  4. Nel Apri nella finestra di dialogo selezionare il file di criteri per importare e quindi fare clic su Apri.

  5. Nel Crea criterio Antimalware finestra di dialogo esaminare le impostazioni da utilizzare e quindi fare clic su OK.

  6. Verificare che venga visualizzato il nuovo criterio antimalware nel criteri Antimalware elenco.

Per distribuire un criterio antimalware nei computer client

  1. Nella console di Configuration Manager fare clic su Asset e conformità.

  2. Nel asset e conformità area di lavoro, espandere Endpoint Protection, quindi fare clic su criteri Antimalware.

  3. Nel criteri Antimalware selezionare i criteri antimalware da distribuire.Quindi, nel Home nella scheda il distribuzione di gruppo, fare clic su Distribuisci.

    Nota

    Il Distribuisci opzione non può essere utilizzata con il criterio di malware client predefinito.

  4. Nel Seleziona raccolta finestra di dialogo, selezionare la raccolta di dispositivi a cui si desidera distribuire il criterio antimalware, quindi fare clic su OK.

Elenco di impostazioni di criteri Antimalware

Molte delle impostazioni antimalware sono di chiara interpretazione.Utilizzare le sezioni seguenti per ulteriori informazioni sulle impostazioni che potrebbero richiedere ulteriori informazioni prima di essere configurate.

Analisi pianificate

Nome impostazione

Descrizione

Tipo di analisi

È possibile specificare uno dei due tipi di analisi per l'esecuzione nei computer client:

  • Analisi veloce : questo tipo di analisi controlla i processi in memoria e le cartelle in cui si trova in genere malware.Richiede meno risorse rispetto a un'analisi completa.

  • Full Scan : questo tipo di analisi viene aggiunto un controllo completo di tutti i file e cartelle locali per gli elementi analizzati durante l'analisi rapida.Questa analisi richiede più di un'analisi veloce e utilizza più risorse di memoria e di elaborazione della CPU nei computer client.

Nella maggior parte dei casi, utilizzare analisi veloce per ridurre al minimo l'utilizzo delle risorse di sistema nei computer client.Se la rimozione di malware richiede un'analisi completa Endpoint Protection Genera un avviso che viene visualizzato nel Configuration Manager console.

Il valore predefinito è analisi veloce.

Randomize gli orari di inizio analisi pianificata (entro 30 minuti)

Selezionare True (Configuration Manager senza service pack) o (Configuration Manager SP1) se si desidera evitare il sovraccarico della rete, che può verificarsi se tutti i computer inviano loro antimalware esegue l'analisi dei risultati per il Configuration Manager database contemporaneamente.

Questa impostazione è utile anche quando si esegue più macchine virtuali in un singolo host.Selezionare questa opzione per ridurre la quantità di accesso di disco simultanei per l'analisi antimalware.

Nota

In Configuration Manager SP1, questa impostazione nel Avanzate sezione delle impostazioni dei criteri antimalware.

Impostazioni di analisi

Nome impostazione

Descrizione

Analizza unità di rete quando si esegue un'analisi completa

Impostare su True (Configuration Manager senza service pack) o (Configuration Manager SP1) se si desidera analizzare qualsiasi unità connesse nei computer client.

System_CAPS_importantImportante

Se si abilita questa impostazione, potrebbe aumentare significativamente il tempo di analisi nei computer client.

Azioni predefinite

Selezionare l'azione da intraprendere quando viene rilevato malware nei computer client.Le azioni seguenti possono essere applicate a seconda del livello di avviso di malware rilevato.

  • Consigliato : utilizzare l'azione consigliata nel file di definizione di malware.

  • Quarantena : mettere in quarantena il malware, ma non rimuoverla.

  • Rimuovere : rimuovere il malware dal computer.

  • Consenti : non rimuovere o mettere in quarantena il malware.

Protezione in tempo reale

Nome impostazione

Descrizione

Abilita protezione in tempo reale

Impostare su True (Configuration Manager senza service pack) o (Configuration Manager SP1) se si desidera configurare le impostazioni di protezione in tempo reale per i computer client.È consigliabile abilitare questa impostazione.

Monitorare l'attività file e programmi nel computer in uso

Impostare su True (Configuration Manager senza service pack) o (Configuration Manager SP1) se si desidera Endpoint Protection per monitorare l'avvio di programmi e file per l'esecuzione nei computer client e di avviso che eseguono azioni o azioni eseguite su di essi.

Analisi dei file di sistema

Questa impostazione consente di configurare se in entrata, in uscita o file di sistema in ingresso e in uscita vengono monitorati per il malware.Per motivi di prestazioni, potrebbe essere necessario modificare il valore predefinito di analisi dei file in ingresso e in uscita se dispone di un server di attività file in ingresso o in uscita elevata.

Abilita monitoraggio del comportamento

Abilitare questa impostazione per utilizzare dati di file e attività del computer per rilevare le minacce sconosciute.Quando questa impostazione è abilitata, potrebbe aumentare il tempo necessario per analizzare i computer da malware.

Abilitare la protezione contro gli attacchi basati sulla rete

Attivare questa impostazione proteggere i computer contro gli attacchi di rete noti esaminando il traffico di rete e di bloccare eventuali attività sospette.

Abilita analisi degli script

Per Configuration Manager senza service pack solo.

Attivare questa impostazione se si desidera analizzare gli script in esecuzione sui computer per un'attività sospetta.

Impostazioni di esclusione

Nome impostazione

Descrizione

Le cartelle e file esclusi

Fare clic su Set per aprire la File di configurazione e le esclusioni di cartelle finestra di dialogo e specificare i nomi dei file e cartelle da escludere dalla Endpoint Protection esegue l'analisi.

Se si desidera escludere file e cartelle che si trovano su un'unità di rete, specificare il nome di ogni cartella singolarmente in unità di rete.Ad esempio, se viene eseguito il mapping di un'unità di rete come F:\MyFolder e contiene sottocartelle denominate Cartella1 e Cartella2 cartella 3, specificare le esclusioni seguenti:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

Avanzate

Nome impostazione

Descrizione

Abilitare l'analisi dei punti di analisi

per System Center 2012 Configuration Manager SP1 e versioni successive:

Impostare su se si desidera Endpoint Protection per analizzare NTFS reparse point.

Per ulteriori informazioni sui punti di analisi, vedere Reparse Point nel centro per sviluppatori Windows.

Esegue l'override di minaccia

Nome impostazione

Descrizione

Nome delle minacce ed eseguire l'override di azione

Fare clic su Set per personalizzare l'azione di correzione da eseguire per ogni ID minaccia quando viene rilevato durante un'analisi.

Nota

L'elenco dei nomi minaccia potrebbe non essere disponibile immediatamente dopo la configurazione di Endpoint Protection.Attendere il Endpoint Protection punto sia sincronizzato le informazioni relative a minacce e riprovare.

Aggiornamenti delle definizioni

Nome impostazione

Descrizione

Impostare le origini e ordine di Endpoint Protection gli aggiornamenti client

Fare clic su impostare origine per specificare le origini per la definizione e gli aggiornamenti del motore di analisi e anche specificare l'ordine in cui vengono utilizzati.Se Configuration Manager viene specificato come una delle origini, le altre fonti vengono utilizzate solo se non riesce a scaricare gli aggiornamenti client degli aggiornamenti software.

Se si utilizza uno dei metodi seguenti per aggiornare le definizioni nei computer client, i computer client devono essere in grado di accedere a Internet.

  • Aggiornamenti distribuiti da Microsoft Update

  • Aggiornamenti distribuiti da Microsoft Malware Protection Center

System_CAPS_importantImportante

I client scaricano gli aggiornamenti delle definizioni utilizzando l'account di sistema predefiniti.È necessario configurare un server proxy per questo account abilitare questi client per connettersi a Internet.

Se è stata configurata una regola di distribuzione automatica degli aggiornamenti software per distribuire gli aggiornamenti delle definizioni ai computer client, questi aggiornamenti verranno recapitati indipendentemente dalle impostazioni di aggiornamenti di definizione.