Введение в Endpoint Protection в диспетчере конфигурации
Применимо к:System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1
Endpoint Protection в System Center 2012 Configuration Manager позволяет управлять политиками защиты от вредоносных программ и безопасности брандмауэра Windows для клиентских компьютеров в вашей Configuration Manager иерархии.
.jpeg "System_CAPS_important") Важно |
|---|
Чтобы использовать Endpoint Protection для управления клиентами в иерархии Configuration Manager, необходима лицензия. |
При использовании Endpoint Protection с Configuration Manager, имеют следующие преимущества:
Можно настроить политики защиты от вредоносных программ и параметры брандмауэра Windows для выбранных групп компьютеров, используя настраиваемые политики и параметры клиента.
Обновления программного обеспечения Configuration Manager можно использовать для загрузки последних версий файлов определений вредоносных программ на клиентские компьютеры.
Можно отправлять уведомления по электронной почте, использовать средства мониторинга консоли и просматривать отчеты, чтобы информировать пользователей об обнаружении вредоносных программ на клиентских компьютерах.
Endpoint Protection устанавливает собственный клиент в дополнение к клиенту Configuration Manager.Возможности клиента Endpoint Protection:
обнаружение и исправление вредоносных программ и шпионского программного обеспечения;
обнаружение и исправление пакетов программ rootkit;
оценка критических уязвимостей и автоматическое обновление определений и антивирусного модуля;
Обнаружение уязвимости сети через систему проверки сети.
интеграция со службами Microsoft Active Protection для передачи сведений о вредоносных программах в Майкрософт.При подключении этой службы клиент Endpoint Protection, обнаружив на компьютере неопознанную вредоносную программу, может загружать новейшие определения из Центра по защите от вредоносных программ.
.jpeg "System_CAPS_note") Примечание |
|---|
Endpoint Protection Клиент можно установить на сервере под управлением Hyper-V и гостевых машин с поддерживаемых операционных систем.Во избежание чрезмерного использования ресурсов ЦП, Endpoint Protection действия имеют встроенную случайную задержку, чтобы они не происходят одновременно на всех гостевых машин, размещенных на сервере. |
Кроме того Endpoint Protection в Configuration Manager позволяет управлять параметрами брандмауэра Windows в Configuration Manager консоли.
Пример сценария, показывающий, как можно настраивать и управлять Endpoint Protection и брандмауэр Windows, в разделе Пример сценария для защиты компьютеров от вредоносных программ путем настройки Endpoint Protection в диспетчере конфигурации.
Защита от вредоносных программ с помощью Endpoint Protection
Endpoint Protection в Configuration Manager позволяет создавать политики защиты от вредоносных программ, которые содержат параметры для конфигураций клиента Endpoint Protection.Созданные политики защиты от вредоносных программ можно развертывать на клиентских компьютерах и отслеживать их применение в узле Состояние System Center 2012 Endpoint Protection рабочей области Мониторинг (или с помощью отчетов Configuration Manager).В разделе Список параметров политики защиты от вредоносных программ список параметров, которые можно настроить.
Дополнительные сведения о том, как создавать, развертывать и отслеживать политики защиты от вредоносных программ см. в разделе Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection в Configuration Manager и Наблюдение за Endpoint Protection в диспетчере конфигурации.
Сведения о способах устранения вредоносных программ, находящийся на клиентских компьютерах см. в разделе Как управлять противодействия вредоносному программному обеспечению политики и параметры брандмауэра для защиты конечной точки в диспетчере конфигурации.
Управление брандмауэром Windows с помощью Endpoint Protection
Endpoint Protection в Configuration Manager позволяет управлять основными параметрами брандмауэра Windows на клиентских компьютерах.Для каждого сетевого профиля можно настроить следующие параметры:
включение и отключение брандмауэра Windows;
блокирование входящих подключений, включая указанные в списке разрешенных программ;
уведомление пользователя о блокировании брандмауэром Windows новой программы.
| Примечание |
|---|
Endpoint Protection поддерживает управление только брандмауэром Windows. |
Дополнительные сведения о создании и развертывании политик брандмауэра Windows для Endpoint Protection см. в разделе Способы создания и развертывания политик брандмауэра Windows для защиты конечной точки в диспетчере конфигурации.
Рабочий процесс защиты конечной точки
Используется следующая схема помогут вам разобраться в рабочем процессе для реализации Endpoint Protection в вашей Configuration Manager иерархии.
.jpeg "Поток процесса Endpoint Protection")
Клиента Endpoint Protection для компьютеров Mac и серверы Linux
System Center 2012 включает клиента Endpoint Protection для компьютеров Mac и Linux.Эти клиенты не поставляются с Configuration Manager; вместо этого необходимо загрузить следующие продукты из Microsoft Volume Licensing Service Center.
System Center 2012 Endpoint Protection для Mac
System Center 2012 Endpoint Protection для Linux
| Важно |
|---|
Должен быть клиента корпоративного лицензирования Майкрософт для загрузки файлов установки Endpoint Protection для Linux и Mac. |
Эти продукты не могут управляться из консоли Configuration Manager.Тем не менее пакет управления System Center Operations Manager предоставляется с установочными файлами позволяет управлять клиентом для Linux с помощью Operations Manager.
Дополнительные сведения о том, как устанавливать и управлять клиентами Endpoint Protection для компьютеров Linux и Mac, используйте документации этих продуктов, который находится в документации папки.
Новые возможности в Configuration Manager 2012
| Примечание |
|---|
Сведения из этого раздела также содержатся в в руководстве Приступая к работе с System Center 2012 Configuration Manager. |
Компонент Endpoint Protection в System Center 2012 теперь интегрирован с System Center 2012 Configuration Manager.Перечисленные ниже элементы являются новыми для Endpoint Protection или были изменены с момента выпуска Forefront Endpoint Protection 2010.
Поскольку Endpoint Protection теперь полностью интегрирован с Configuration Manager, необходимо запустить программу отдельной установки для установки сервера Endpoint Protection.Нужно просто выбрать точку Endpoint Protection в качестве одной из доступных ролей системы сайта Configuration Manager.
Клиент Endpoint Protection можно установить с помощью Configuration Manager параметров клиента, либо можно управлять существующими клиентами Endpoint Protection.Для установки клиента Endpoint Protection не требуется использовать пакет и программу.
Endpoint Protection Manager роль безопасности ролевого администрирования обеспечивает пользователю минимальные разрешения, необходимые для управления Endpoint Protection в иерархии.
Endpoint Protection в Configuration Manager включает новые отчеты, поддерживающие интеграцию с функцией составления отчетов Configuration Manager.Например, теперь можно выявлять пользователей, компьютеры которых чаще всего передают данные об угрозах безопасности.
Обновления программного обеспечения Configuration Manager можно использовать для автоматического обновления определений и антивирусного ядра с помощью правил автоматического развертывания.
Чтобы получать уведомления при обнаружении Endpoint Protection вредоносных программ на компьютерах, можно настроить несколько типов оповещений.Кроме того, можно настроить подписки для получения уведомлений об этих оповещениях по электронной почте.
Панель мониторинга Endpoint Protection интегрирована с консолью Configuration Manager,то есть ее не нужно устанавливать отдельно.Для просмотра панели мониторинга Endpoint Protection щелкните узел Состояние System Center 2012 Endpoint Protection в рабочей области Мониторинг.
Новые возможности в Configuration Manager 2012 SP1
| Примечание |
|---|
Сведения из этого раздела также содержатся в в руководстве Приступая к работе с System Center 2012 Configuration Manager. |
Следующие элементы представлены впервые или были изменены с момента выпуска Configuration Manager с пакетом обновления 1 (SP1).
Теперь можно включить клиентский параметр Endpoint Protection, выполняющий установку клиента Endpoint Protection на устройствах Windows Embedded с включенными фильтрами записи.Дополнительные сведения об этом параметре клиента см. в разделе Endpoint Protection статьи О параметрах клиентов в Configuration Manager.
Кроме того обновления определений, развертываемые обновлениями программного обеспечения можно настроить для записи в оверлей на устройствах Windows Embedded, чтобы эти обновления установить немедленно, без перезапуска.Дополнительные сведения см. в разделе Поддержка устройств Windows Embedded, использующих фильтры записи раздела Общие сведения об обновлении программного обеспечения в Configuration Manager раздела.
Теперь клиент Endpoint Protection можно настроить так, чтобы он устанавливал самого себя только в течение настроенных периодов обслуживания.Окна обслуживания должен быть менее 30 минут, чтобы установки вступили в силу.
Endpoint Protection в Configuration Manager теперь использует клиентские уведомления для запуска следующих действий как можно быстрее, вместо интервала опроса политики обычного клиента:
принудительное обновление определений средств защиты от вредоносного ПО;
запуск быстрой проверки;
запуск полного сканирования;
разрешить угрозы;
исключить файлы и папки;
восстановить файлы, помещенные на карантин.
Улучшения, связанные с обновлениями программного обеспечения, позволяют чаще выполнять распространение обновлений для определений Endpoint Protection.
При наличии нескольких политик защиты от вредоносного ПО, развернутых на одном и том же компьютере, производится их слияние на стороне клиента.При наличии двух конфликтующих параметров используется более высокоприоритетный.Некоторые другие параметры также подвергаются слиянию, такие как списки исключений в различных политиках защиты от вредоносного ПО.Слияние на стороне клиента также учитывает приоритеты, настроенные для каждой политики защиты от вредоносного ПО.
Шаблон развертывания обновлений программного обеспечения под названием Обновления определений включен в состав мастера развертывания обновлений программного обеспечения и мастера автоматических правил развертывания.Этот шаблон включает в себя типичные параметры, используемые при развертывании обновлений для определений программного обеспечения в Endpoint Protection.
Новые возможности в Configuration Manager 2012 с пакетом обновления 2
Configuration Manager 2 (SP2) добавляет управления встроенные Защитником Windows агента защиты от вредоносных программ в Технический обзор Windows 10., Не требуется развернуть агент System Center Endpoint Protection на клиентских компьютерах Windows 10.