Compartilhar via


Como criar e implantar políticas de Antimalware para o Endpoint Protection no Configuration Manager

 

Aplica-se a: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Você pode implantar políticas de antimalware para coleções de Microsoft System Center 2012 Configuration Manager computadores cliente para especificar como Proteção de ponto de extremidade protege contra malware e outras ameaças.Essas políticas de antimalware incluem informações sobre o agendamento de verificação, os tipos de arquivos e pastas para exame e as ações a serem tomadas quando um malware é detectado.Quando você habilita Proteção de ponto de extremidade, uma política de antimalware padrão é aplicada a computadores cliente.Você também pode usar modelos de diretiva adicionais que são fornecidos ou criar suas próprias políticas de antimalware personalizadas para atender às necessidades específicas do seu ambiente.

System_CAPS_noteObservação

Gerenciador de Configurações Fornece uma seleção de modelos predefinidos que são otimizados para vários cenários e podem ser importados para Gerenciador de Configurações.Esses modelos estão disponíveis na pasta < pasta de instalação do ConfigMgr >\AdminConsole\XMLStorage\EPTemplates.

System_CAPS_importantImportante

Se você cria uma nova política de antimalware e implantá-lo em uma coleção, esta política de antimalware substitui a política de antimalware padrão.

Use os procedimentos deste tópico para criar ou importar políticas de antimalware e atribuí-los ao System Center 2012 Configuration Manager computadores cliente em sua hierarquia.

System_CAPS_noteObservação

Antes de executar esses procedimentos, verifique se Gerenciador de Configurações está configurado para Proteção de ponto de extremidade conforme descrito em Configurando o Endpoint Protection no Configuration Manager.

Para modificar a política de antimalware padrão

  1. No console do Gerenciador de Configurações, clique em Ativos e Conformidade.

  2. No ativos e conformidade espaço de trabalho, expanda Proteção de ponto de extremidade, e, em seguida, clique em políticas de Antimalware.

  3. Selecione a política de antimalware política de Antimalware do cliente padrão e, em seguida, no Home guia de propriedades clique em propriedades.

  4. No política de Antimalware padrão caixa de diálogo caixa, defina as configurações que você precisa para esta política de antimalware e, em seguida, clique em OK.

    System_CAPS_noteObservação

    Para obter uma lista de configurações que você pode configurar, consulte Lista de configurações de política de Antimalware neste tópico.

Para criar uma nova política de antimalware

  1. No console do Gerenciador de Configurações, clique em Ativos e Conformidade.

  2. No ativos e conformidade espaço de trabalho, expanda Proteção de ponto de extremidade, e, em seguida, clique em políticas de Antimalware.

  3. Sobre o Home guia o criar clique em Criar política de Antimalware.

  4. No geral seção o Criar política de Antimalware caixa de diálogo, digite um nome e uma descrição para a política.

  5. No Criar política de Antimalware caixa de diálogo caixa, defina as configurações que você precisa para esta política de antimalware e, em seguida, clique em OK.

    System_CAPS_noteObservação

    Para obter uma lista de configurações que você pode configurar, consulte Lista de configurações de política de Antimalware neste tópico.

  6. Verifique se a nova política de antimalware é exibida no políticas de Antimalware lista.

Para importar uma política de antimalware

  1. No console do Gerenciador de Configurações, clique em Ativos e Conformidade.

  2. No ativos e conformidade espaço de trabalho, expanda Proteção de ponto de extremidade, e, em seguida, clique em políticas de Antimalware.

  3. No Home guia de criar clique em importação.

  4. No Abrir caixa de diálogo, navegue até o arquivo de diretiva para importar e clique em Abrir.

  5. No Criar política de Antimalware caixa de diálogo caixa, examine as configurações para usar e, em seguida, clique em OK.

  6. Verifique se a nova política de antimalware é exibida no políticas de Antimalware lista.

Para implantar uma política antimalware nos computadores cliente

  1. No console do Gerenciador de Configurações, clique em Ativos e Conformidade.

  2. No ativos e conformidade espaço de trabalho, expanda Proteção de ponto de extremidade, e, em seguida, clique em políticas de Antimalware.

  3. No políticas de Antimalware selecione a política de antimalware para implantar.Em seguida, no Home guia de implantação clique em Deploy.

    System_CAPS_noteObservação

    O Deploy opção não pode ser usada com a diretiva de malware de cliente padrão.

  4. No Selecionar coleção caixa de diálogo, selecione a coleção de dispositivos aos quais você deseja implantar a política de antimalware e, em seguida, clique em OK.

Lista de configurações de política de Antimalware

Muitas das configurações de antimalware são auto-explicativos.Use as seções a seguir para obter mais informações sobre as configurações que podem precisar de mais informações antes de configurá-las.

Verificações agendadas

Nome da configuração

Descrição

Tipo de verificação

Você pode especificar um dos dois tipos de verificação para executar em computadores cliente:

  • Verificação rápida – esse tipo de verificação verifica os processos na memória e as pastas em que o malware geralmente é encontrada.Ele requer menos recursos do que uma verificação completa.

  • Varredura completa – esse tipo de verificação adiciona uma verificação completa de todos os arquivos e pastas locais para os itens verificados na verificação rápida.Essa verificação demora mais do que uma verificação rápida e usa mais recursos de processamento e memória da CPU nos computadores cliente.

Na maioria dos casos, usar verificação rápida para minimizar o uso de recursos do sistema em computadores cliente.Se uma verificação completa, requer a remoção de malware Proteção de ponto de extremidade gera um alerta é exibido na Gerenciador de Configurações console.

O valor padrão é verificação rápida.

Tornar aleatório as horas de início da varredura agendada (dentro de 30 minutos)

Selecione True (Configuration Manager sem service pack) ou Sim (Configuration Manager SP1) para ajudar a evitar a saturação da rede, que pode ocorrer se todos os computadores enviam seu antimalware examina os resultados para o Gerenciador de Configurações banco de dados ao mesmo tempo.

Essa configuração também é útil quando você executa várias máquinas virtuais em um único host.Selecione esta opção para reduzir a quantidade de acesso de disco simultâneas de verificação antimalware.

System_CAPS_noteObservação

Na Gerenciador de Configurações SP1, essa configuração aparece no Avançado seção das configurações de política de antimalware.

Configurações de verificação

Nome da configuração

Descrição

Verificar unidades de rede ao executar uma verificação completa

Definido como True (Configuration Manager sem service pack) ou Sim (Configuration Manager SP1) se você quiser verificar nenhuma mapeado unidades de rede em computadores cliente.

System_CAPS_importantImportante

Se você habilitar essa configuração, ela pode aumenta significativamente o tempo de verificação nos computadores cliente.

Ações padrão

Selecione a ação a ser tomada quando um malware é detectado nos computadores cliente.As seguintes ações podem ser aplicadas, dependendo do nível de alerta de ameaça do malware detectado.

  • Recomendado – Use a ação recomendada no arquivo de definição de malware.

  • Quarentena – o malware em quarentena, mas não removê-lo.

  • Remover – remover malware do computador.

  • Permitir – não remover ou colocar em quarentena o malware.

Proteção em tempo real

Nome da configuração

Descrição

Habilitar proteção em tempo real

Definido como True (Configuration Manager sem service pack) ou Sim (Configuration Manager SP1) se você quiser configurar a proteção em tempo real para computadores cliente.É recomendável que você habilitar essa configuração.

Monitorar a atividade de arquivos e programas no seu computador

Definido como True (Configuration Manager sem service pack) ou Sim (Configuration Manager SP1) se você quiser Proteção de ponto de extremidade para monitorar quando os arquivos e programas iniciam para executar em computadores cliente e alertar você sobre quaisquer ações que eles executam ou ações executadas neles.

Verificar arquivos do sistema

Essa configuração permite configurar se a entrada, saída ou arquivos do sistema de entrada e saída são monitorados por malware.Por motivos de desempenho, você precisará alterar o valor padrão de Verificar arquivos de entrada e saídos se um servidor tiver a atividade de arquivos de entrada ou saída alta.

Habilitar o comportamento de monitoramento

Habilite essa configuração usar a atividade do computador e os dados do arquivo para detectar ameaças desconhecidas.Quando essa configuração está habilitada, ela pode aumentar o tempo necessário para examinar os computadores de malware.

Ativar a proteção contra explorações baseadas em rede

Habilite essa configuração proteger os computadores contra explorações de rede conhecido, inspecionar o tráfego de rede e bloqueando qualquer atividade suspeita.

Ativar a verificação de script

Para o Configuration Manager sem service pack só.

Habilite essa configuração se você quiser verificar os scripts que são executados em computadores para atividades suspeitas.

Configurações de exclusão

Nome da configuração

Descrição

Pastas e arquivos excluídos

Clique em definido para abrir o arquivo de configuração e exclusões de pasta caixa de diálogo caixa e especifique os nomes dos arquivos e pastas a serem excluídos do Proteção de ponto de extremidade examina.

Se você quiser excluir arquivos e pastas que estão localizadas em uma unidade de rede mapeada, especifique o nome de cada pasta na unidade de rede individualmente.Por exemplo, se uma unidade de rede for mapeada como F:\MyFolder e ela contém subpastas nomeadas pasta1 pasta2 e 3 de pasta, especifique as exclusões a seguintes:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

Avançado

Nome da configuração

Descrição

Habilitar a verificação de ponto de nova análise

Para o System Center 2012 Configuration Manager SP1 e posterior:

Definido como Sim se você quiser Proteção de ponto de extremidade para examinar NTFS pontos de nova análise.

Para obter mais informações sobre pontos de nova análise, consulte pontos de nova análise no Centro de desenvolvimento do Windows.

Substituições de ameaça

Nome da configuração

Descrição

Nome de ameaças e substituir ação

Clique em definir para personalizar a ação de atualização a ser executada para cada ID de ameaça quando detectado durante uma verificação.

System_CAPS_noteObservação

A lista de nomes de ameaça pode não estar disponível imediatamente após a configuração do Proteção de ponto de extremidade.Aguarde até que o Proteção de ponto de extremidade ponto sincronizou as informações de ameaça e tente novamente.

Atualizações de Definições

Nome da configuração

Descrição

Definir fontes e ordem de Proteção de ponto de extremidade atualizações do cliente

Clique em Definir origem para especificar as fontes para definição e atualizações de mecanismos de verificação e também especificar a ordem na qual eles são usados.Se Gerenciador de Configurações for especificado como uma das fontes de outras fontes são usadas apenas se as atualizações de software Falha ao baixar as atualizações do cliente.

Se você usar qualquer um dos seguintes métodos para atualizar as definições em computadores cliente, os computadores cliente devem ser capazes de acessar a Internet.

  • Atualizações distribuídas pelo Microsoft Update

  • Atualizações distribuídas do Microsoft Malware Protection Center

System_CAPS_importantImportante

Os clientes baixam atualizações de definição usando a conta interna do sistema.Você deve configurar um servidor proxy para essa conta permitir que esses clientes para se conectar à Internet.

Se você tiver configurado uma regra de implantação automática de atualizações de software para fornecer atualizações de definições para os computadores cliente, essas atualizações serão fornecidas independentemente das configurações de atualizações de definição.