Client Security 最佳作法

請考慮遵循下列作法來管理您的 Client Security 部署。

每天執行下列工作的最佳作法:

  • 開啟 Microsoft Forefront Client Security 主控台並檢視儀表板。檢閱圖表資料、問題和通知。調查趨勢,例如惡意程式碼或其他問題的增加趨勢。如需詳細資訊,請參閱存取儀表板
  • 檢查安全性摘要報表。您可以使用這份報表來監視原則部署和用戶端連線的狀態,也可以檢視目前狀態和 30 天趨勢圖來找出電腦報告的問題、發現的惡意程式碼、安全性狀態評估 (SSA) 掃描結果和警示。
    請仔細檢閱報表的每個區段,並在需要時使用連結來檢閱更詳細的報表,以調查該報表顯示的所有資訊。
    Bb418840.note(zh-tw,TechNet.10).gif附註
    建議您使用報表管理員的訂閱功能,接收電子郵件每日送達的安全性摘要報表。如需以電子郵件傳遞報表的詳細資訊,請參閱以電子郵件傳送報告
  • 檢查定義部署問題,並調查超過三天未接收定義更新的電腦。若要這麼做,請檢視下列報表:
    • 間諜軟體定義部署狀態
    • 病毒定義部署狀態
    • 漏洞定義部署狀態
    您可以透過部署摘要報表來存取以上各份報表;但請考慮訂閱以電子郵件每日傳遞的報表。
  • 立即調查警示。及時處理感染和惡意程式碼爆發有助於防止進一步損害。處理漏洞有助於降低組織的風險。
    在 MOM 操作員主控台中,請考慮執行下列動作:
    • 使用警示的 [公司知識] 索引標籤,維護解決各類型 Client Security 警示的相關資訊,例如您組織的特定步驟,或可協助您更快解決某警示類型的詳細資料。
    • 針對每個 Client Security 警示類型建立自訂的警示檢視。這個動作可協助您尋找重要的警示,並且不會因夾雜在一些較不重要的警示中而將其忽略。
      例如,在警示等級 4 或 5 的電腦上,Client Security 會為每個定義更新失敗產生一個警示,MOM 操作員主控台會保留該警示,即使下一次更新成功也一樣。同時,「電腦受感染 - 無法回應」警示一天可能只發生一次,並可能因夾雜在成打的更新失敗相關警示中而被忽略。「電腦受感染 - 無法回應」警示的自訂檢視能協助您輕鬆找到這些重要警示。
    如需詳細資訊,請參閱回應警示

每週執行下列工作的最佳作法:

  • 檢查這些報表,瞭解惡意程式碼和可能漏洞的最近偵測趨勢:
    • 惡意程式碼記錄
    • 安全性狀態評估記錄
    調查偵測的增加量,並判定是否有緩和的步驟,例如封鎖對一般的感染源存取。
  • 檢查部署摘要報表。您可以使用這份報表,檢查原則部署與定義和掃描引擎更新的問題。
  • 檢查連線摘要報表。您可以使用這份報表,識別已有一段很長的時間未與集合伺服器連絡的用戶端電腦,原因可能是電腦故障、使用者篡改 Client Security 軟體、惡意程式碼感染,或電腦單純只因無關緊要的原因而呈現離線。
  • 檢查惡意程式碼摘要報表。您可以使用這份報表來識別未分類的軟體。排除檢查識別為合法的任何軟體。減輕判定為無法接受的軟體所發生的任何問題。
  • 備份集合資料庫和報告資料庫。建議您自動備份。如需詳細資訊,請參閱Client Security 嚴重損壞修復指南 (http://go.microsoft.com/fwlink/?LinkID=86617)。
  • 從 MOM 系統管理員主控台中移除不再需要部署的所有 Client Security 用戶端電腦,包括重新命名的電腦之舊名稱。如此可防止連線摘要報表等類似報表出現不正確的資料。如需詳細資訊,請參閱從部署中移除電腦

每月執行下列工作的最佳作法:

  • 在每個月的第二個星期二後,使用安全性狀態評估摘要來監視您組織中的 Microsoft 安全性更新部署的進度。疑難排解和解決探索到的任何部署問題。
  • 檢閱 Client Security 從 Microsoft Update 接收的新 SSA 檢查。Client Security 會將新的 SSA 檢查新增到 SSA 相關報表,而且您應該瞭解任何新的 SSA 檢查的掃描結果。請針對每項檢查,決定您的組織所接受的分數,以及如何處理您不接受的分數 (在發生的時候)。
  • 檢閱已部署的 Client Security 原則,瞭解是否能調整原則的設定,或已部署該原則的電腦設定。考量原則設定是否正確反映您組織的安全性需求、用戶端和伺服器效能,以及處理發生之警示的能力。
    考量這類項目,判定掃描的發生頻率是否足夠、排程掃描的次數是否適當,及檢查更新的頻率是否適當或太高。
  • 檢閱您的更新管理策略:
    • 修改您的 WSUS 設定、變更更新檢查的原則設定,或啟用 Microsoft Update 後援以進行更新,以便在部署摘要報表中尋找您可以解決的問題。
    • 使用 WSUS 系統管理報表來確認接收更新的電腦狀態。如需詳細資訊,請參閱保護您的 WSUS 部署 (英文) (http://go.microsoft.com/fwlink/?LinkId=86562)。
  • 檢閱您的 MOM 通知策略。評估 Client Security 的相關通知是否送達正確的人員。必要時修改 MOM 系統管理員主控台的通知群組。
  • 從 WSUS 伺服器移除舊版更新。如需詳細資訊,請參閱從 WSUS 移除舊版更新
  • 檢閱您的資料保留管理策略。如需詳細資訊,請參閱嚴重損壞修復 (http://go.microsoft.com/fwlink/?LinkId=86617)。

在需要時執行下列工作的最佳作法:

顯示: