Planear o Endpoint Protection no System Center Configuration Manager

 

Aplica-se A: System Center Configuration Manager (current branch)

Utilize os tópicos seguintes desta secção para planear a utilização do Endpoint Protection no System Center 2012 Configuration Manager.

Utilize o seguinte fluxo de trabalho como uma referência para o ajudar a ativar, configurar, gerir e monitorizar Endpoint Protection no System Center 2012 Configuration Manager.

PassoMais informações
Reveja as informações de pré-requisitos do Endpoint Protection.Planear o Endpoint Protection no Configuration Manager.
Crie uma função de sistema de sites de ponto do Endpoint Protection.Configurar o Endpoint Protection no System Center Configuration Manager.
Configure alertas para o Endpoint Protection.Configurar o Endpoint Protection no System Center Configuration Manager
Configure métodos de atualização de definições para atualizar os computadores cliente.Veja "Como Configurar Atualizações de Definições para o Endpoint Protection no Configuration Manager" em Configurar o Endpoint Protection no System Center Configuration Manager
Configure definições de antimalware para coleções de computadores.Como criar e implementar políticas antimalware para o Endpoint Protection no System Center Configuration Manager
Configure definições de cliente para o Endpoint Protection.Configurar o Endpoint Protection no System Center Configuration Manager
Crie e implemente políticas de firewall para coleções de computadores.Como criar e implementar políticas da Firewall do Windows para o Endpoint Protection no System Center Configuration Manager.
Monitorize a atividade do Endpoint Protection.Como monitorizar o Endpoint Protection no System Center Configuration Manager.

O Endpoint Protection no System Center 2012 Configuration Manager tem dependências externas e dependências no produto.

Dependências Externas ao Gestor de configuração

A tabela seguinte lista as dependências externas para executar o Endpoint Protection no Gestor de configuração.

Dependências

  • O Windows Server Update Services (WSUS) tem de ser instalado e configurado para sincronização de atualizações de software se pretender utilizar as atualizações de software do Gestor de configuração para a entrega de atualizações de definições e de motor. Veja Pré-requisitos para atualizações de software no System Center Configuration Manager

  • Alguns métodos de atualização de definições requerem que os computadores cliente tenham acesso à Internet. Se utilizar qualquer um dos seguintes métodos para atualizar definições nos computadores cliente, o computador cliente tem de ter acesso à Internet:

    • Atualizações distribuídas do Microsoft Update

    • Atualizações distribuídas do Microsoft Malware Protection Center

    System_CAPS_ICON_important.jpg Importante


    Os clientes transferem as atualizações de definições utilizando a conta de sistema incorporada. Tem de configurar um servidor proxy para que esta conta ative estes clientes para ligarem à Internet. Pode utilizar a Política de Grupos do Windows para configurar um servidor proxy em vários computadores.

  • Um servidor SMTP se pretender enviar alertas por e-mail. Veja o Passo 1 (Opcional): Configurar Definições de E-mail para Alertas do tópico Configurar o Endpoint Protection no System Center Configuration Manager.

  • Requisito de correção para implementar políticas de Firewall do Windows. Se pretender implementar as políticas da Firewall do Windows em computadores com o Windows Server 2008 e o Windows Vista Service Pack 1, primeiro tem de instalar a Correção KB971800 nesses computadores.

Dependências do Configuration Manager

A tabela seguinte lista as dependências contidas no Gestor de configuração para executar o Endpoint Protection.

Dependências

  • O site primário autónomo ou de administração central tem de executar o System Center 2012 Configuration Manager e ter a função de sistema de sites de ponto do Endpoint Protection instalada e configurada. Para obter mais informações sobre os requisitos da função de sistema de sites de ponto do Endpoint Protection, veja a secção Requisitos do Sistema de Sites do tópico Configurações suportadas do System Center Configuration Manager. Para obter mais informações sobre como instalar esta função de sistema de sites, veja Configurar o Endpoint Protection no System Center Configuration Manager.

    System_CAPS_ICON_important.jpg Importante


    A função de sistema de sites de ponto do Endpoint Protection tem de ser instalada antes de poder utilizar o Endpoint Protection. Tem de ser instalada apenas num servidor do sistema de sites e tem de ser instalada na parte superior da hierarquia num site de administração central ou num site primário autónomo.

  • Uma função de sistema de sites de ponto tem de ser instalada e configurada para a entrega de atualizações de definições se pretender utilizar as atualizações de software do Gestor de configuração para a entrega de atualizações de definições e de motor. Para obter mais informações sobre os requisitos da função de sistema de sites do ponto de atualização de software, veja a secção Requisitos do Sistema de Sites do tópico Configurações suportadas do System Center Configuration Manager. Para obter mais informações sobre como instalar esta função do sistema de sites e configurá-la para o Endpoint Protection, veja Configurar atualizações de software no System Center Configuration Manager e Configurar o Endpoint Protection no System Center Configuration Manager.

  • Definições de cliente que instalam o cliente do Endpoint Protection e configuram o Endpoint Protection. Para obter mais informações sobre como configurar as definições de cliente no Endpoint Protection, veja "Configurar Definições de Cliente Personalizadas" em Configurar o Endpoint Protection no System Center Configuration Manager.

  • A função do sistema de sites do ponto do Reporting Services tem de ser instalada para que os relatórios do Endpoint Protection possam ser apresentados. Veja Os relatórios do System Center Configuration Manager

  • Permissões de segurança para gerir o Endpoint Protection. Tem de ter as seguintes permissões de segurança para gerir o Endpoint Protection:

    • Para criar e gerir subscrições de alertas do Endpoint Protection: Criar, Eliminar, Modificar, Ler, Definir Âmbito de Segurança para o objeto Subscrição de Alerta.

    • Para criar e modificar alertas do Endpoint Protection: Criar, Eliminar, Modificar, Modificar Relatório, Ler, Executar Relatório para o objeto Alertas.

    • Para criar e modificar as políticas antimalware: Criar, Eliminar, Modificar, Modificar Predefinição, Modificar Relatório, Ler, Ler Predefinição, Executar Relatório para o objeto Política Antimalware.

    • Para implementar políticas antimalware e de Firewall do Windows em computadores: Segurança de Auditoria, Eliminar, Implementar Políticas Antimalware, Implementar Políticas de Firewall, Impor Segurança, Ler, Ler Recurso para o objeto Coleção.

    • Para ver e gerir o Endpoint Protection na consola do Gestor de configuração: permissões de Leitura para o objeto Site.

    • Para criar e modificar as políticas de Firewall do Windows: Criar Política, Eliminar Política, Modificar Política, Ler Política, Ler Definições para o objeto Política da Firewall do Windows.

    A função de segurança Gestor do Endpoint Protection inclui estas permissões, que são necessárias para gerir o Endpoint Protection no Gestor de configuração.

    System_CAPS_ICON_note.jpg Nota


    Para executar as seguintes ações, terá de ser membro da função de segurança Administrador Total.

    • Configure a função de sistema de sites de ponto do Endpoint Protection.
    • Configure notificações por e-mail para alertas do Endpoint Protection.

Utilize as seguintes melhores práticas no Endpoint Protection do System Center 2012 Configuration Manager.

Configurar definições de cliente personalizadas para o Endpoint Protection

Ao configurar as definições de cliente para o Endpoint Protection, não utilize as predefinições do cliente porque estas aplicam definições a todos os computadores na sua hierarquia. Em vez disso, configure definições de cliente personalizadas e atribua estas definições a coleções de computadores na sua hierarquia.

Ao configurar definições de cliente personalizadas, pode:

  • Personalizar as definições de antimalware e de segurança para diferentes partes da organização.

  • Testar os efeitos da execução do Endpoint Protection num pequeno grupo de computadores, antes de implementá-lo em toda a hierarquia.

  • Adicionar mais clientes à coleção ao longo do tempo, para fasear a implementação do cliente do Endpoint Protection.

Distribuir atualizações de definições ao utilizar atualizações de software

Se estiver a utilizar atualizações de software do Gestor de configuração para distribuir atualizações de definições, considere colocar as atualizações de definições num pacote que não contenha outras atualizações de software. Esta opção mantém o tamanho do pacote de atualizações de definições mais pequeno, permitindo-lhe replicar para pontos de distribuição mais rapidamente.

Mostrar: