如何建立和部署針對 Endpoint Protection Configuration Manager 中的反惡意程式碼原則

 

適用於: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

您可以部署反惡意程式碼原則的集合 Microsoft System Center 2012 Configuration Manager 來指定用戶端電腦如何 Endpoint Protection 防止惡意程式碼和其他威脅。這些反惡意程式碼原則包含掃描排程、 檔案和資料夾來掃描和偵測到惡意程式碼時應採取的動作類型的相關資訊。當您啟用 Endpoint Protection, ,預設反惡意程式碼原則會套用到用戶端電腦。您也可以使用其他原則範本會提供或建立您自己自訂的反惡意程式碼的原則以符合您環境的特定需求。

System_CAPS_note注意事項

Configuration Manager 提供的預先定義的範本適用於各種案例,可以匯入選取 Configuration Manager。這些範本都是在資料夾 < ConfigMgr 安裝資料夾 >\AdminConsole\XMLStorage\EPTemplates。

System_CAPS_important重要事項

如果您建立新的反惡意程式碼原則並將它部署到集合,這個反惡意程式碼原則會覆寫預設的反惡意程式碼原則。

使用本主題中的程序來建立或反惡意程式碼原則匯入並將它們指派給 System Center 2012 Configuration Manager 階層中的用戶端電腦。

System_CAPS_note注意事項

執行這些程序之前,請確定 Configuration Manager 已針對 Endpoint Protection 中所述 在中設定端點保護

若要修改預設的反惡意程式碼原則

  1. 在 Configuration Manager 主控台中,按一下 資產與相容性

  2. 資產與相容性 工作區中,展開 Endpoint Protection, ,然後按一下 反惡意程式碼原則

  3. 選取的反惡意程式碼原則 預設用戶端反惡意程式碼原則 然後在 Home 索引標籤的 屬性 群組中,按一下 屬性

  4. 預設反惡意程式碼原則 對話方塊方塊中,設定您需要為此反惡意程式碼原則,然後再按一下 確定

    System_CAPS_note注意事項

    如需您可以設定的設定,請參閱 反惡意程式碼的原則設定的清單 本主題中。

若要建立新的反惡意程式碼原則

  1. 在 Configuration Manager 主控台中,按一下 資產與相容性

  2. 資產與相容性 工作區中,展開 Endpoint Protection, ,然後按一下 反惡意程式碼原則

  3. Home 索引標籤的 建立 群組中,按一下 建立反惡意程式碼原則

  4. 一般 區段 建立反惡意程式碼原則 對話方塊方塊中輸入的名稱和原則的描述。

  5. 建立反惡意程式碼原則 對話方塊方塊中,設定您需要為此反惡意程式碼原則,然後再按一下 確定

    System_CAPS_note注意事項

    如需您可以設定的設定,請參閱 反惡意程式碼的原則設定的清單 本主題中。

  6. 確認新的反惡意程式碼原則會顯示在 反惡意程式碼原則 清單。

若要匯入的反惡意程式碼原則

  1. 在 Configuration Manager 主控台中,按一下 資產與相容性

  2. 資產與相容性 工作區中,展開 Endpoint Protection, ,然後按一下 反惡意程式碼原則

  3. Home 索引標籤的 建立 群組中,按一下 匯入

  4. 開啟 對話方塊,原則檔案以匯入,然後按一下瀏覽 開啟

  5. 建立反惡意程式碼原則 ] 對話方塊中,檢閱的設定來使用,然後按一下 確定

  6. 確認新的反惡意程式碼原則會顯示在 反惡意程式碼原則 清單。

若要部署到用戶端電腦的反惡意程式碼原則

  1. 在 Configuration Manager 主控台中,按一下 資產與相容性

  2. 資產與相容性 工作區中,展開 Endpoint Protection, ,然後按一下 反惡意程式碼原則

  3. 反惡意程式碼原則 清單中選取要部署的反惡意程式碼原則。然後在 Home 索引標籤的 部署 群組中,按一下 部署

    System_CAPS_note注意事項

    部署 選項不能與預設用戶端惡意程式碼的原則。

  4. 選取集合 ] 對話方塊中,選取您想要部署反惡意程式碼原則,然後按一下裝置集合 確定

反惡意程式碼的原則設定的清單

許多反惡意程式碼設定都簡單易懂。如需有關可能需要更多資訊才能設定這些設定中使用下列各節。

排定的掃描

設定名稱

說明

掃描類型

您可以指定下列其中一種掃描在用戶端電腦上執行:

  • 快速掃描 – 這種類型的掃描會檢查記憶體中處理程序和惡意程式碼通常所在的資料夾。它需要較少的資源比完整掃描。

  • 完整掃描 – 這種類型的掃描來掃描快速掃描中的項目加入所有本機檔案和資料夾的完整檢查。這個掃描所花費的時間比快速掃描和用戶端電腦上使用更多的 CPU 處理和記憶體資源。

大部分的情況下使用 快速掃描 用戶端電腦上的系統資源的使用降至最低。如果惡意程式碼移除需要完整掃描 Endpoint Protection 就會產生警示中顯示 Configuration Manager 主控台。

預設值是 快速掃描

隨機設定排定的掃描的開始時間 (在 30 分鐘)

選取 True (不含 service pack 的組態管理員) 或 (Configuration Manager SP1) 如果您想要協助避免網路,如果所有的電腦會傳送其反惡意程式碼可能會發生掃描結果 Configuration Manager 資料庫在相同的時間。

這項設定也很有用的單一主機上執行多個虛擬機器時。選取此選項可減少的反惡意程式碼掃描的磁碟同時存取。

System_CAPS_note注意事項

在 Configuration Manager SP1,此設定會出現在 進階 反惡意程式碼的原則設定] 區段。

掃描設定

設定名稱

說明

執行完整掃描時掃描網路磁碟機

設定為 True (不含 service pack 的組態管理員) 或 (Configuration Manager SP1) 如果您想要掃描任何對應的用戶端電腦上的網路磁碟機。

System_CAPS_important重要事項

如果您啟用此設定,可能會大幅增加用戶端電腦上的掃描時間。

預設動作

選取用戶端電腦上偵測到惡意程式碼時要採取的動作。根據警示威脅層級偵測到惡意程式碼,可以套用下列動作。

  • 建議 – 使用建議的惡意程式碼定義檔中的動作。

  • 隔離 – 隔離惡意程式碼但不是移除它。

  • 移除 – 從電腦移除惡意程式碼。

  • 允許 – 請勿移除或隔離惡意程式碼。

即時保護

設定名稱

說明

啟用即時保護

設定為 True (不含 service pack 的組態管理員) 或 (Configuration Manager SP1) 如果您想要設定用戶端電腦的即時保護設定。我們建議您啟用這個設定。

監視您的電腦上的檔案和程式活動

設定為 True (不含 service pack 的組態管理員) 或 (Configuration Manager SP1) 如果您想 Endpoint Protection 來監視檔案及程式開始在用戶端電腦上執行並提醒您有關任何他們執行的動作或所採取的動作。

掃描系統檔案

此設定可讓您設定是否傳入、 傳出,或惡意程式碼用於監視傳入和傳出的系統檔案。基於效能考量,您可能必須變更預設值的 掃描傳入及傳出檔案 如果伺服器具有高的內送或外寄檔案活動。

啟用行為監視

啟用此設定来用於偵測不明威脅的入侵電腦活動與檔案資料。啟用此設定時,可能會增加掃描電腦的惡意程式碼所需的時間。

啟用對於網路架構的入侵保護

啟用此設定來保護電腦對抗已知的網路入侵藉由檢查網路流量和封鎖任何可疑的活動。

啟用指令碼掃描

Configuration Manager 不含 service pack 只。

如果您想要掃描在偵測到可疑活動的電腦執行任何指令碼,啟用此設定。

排除設定

設定名稱

說明

排除的檔案和資料夾

按一下 設定 開啟 設定檔案和資料夾排除 對話方塊並指定名稱的檔案和資料夾排除 Endpoint Protection 掃描。

如果您想要排除的檔案和位於對應的網路磁碟機的資料夾,請個別網路磁碟機中指定每個資料夾的名稱。例如,如果網路磁碟機對應為 F:\MyFolder 且包含子資料夾名為 Folder1,Folder2 和資料夾 3 指定下列的排除項目:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

進階

設定名稱

說明

啟用重新分析點掃描

對於 System Center 2012 Configuration Manager SP1 及更新版本:

設定為 如果您想 Endpoint Protection 掃描 NTFS 重新分析點。

如需有關重新分析點的詳細資訊,請參閱 重新分析點 Windows 開發人員中心。

威脅覆寫

設定名稱

說明

威脅名稱並覆寫動作

按一下 設定 ,自訂時要採取的每個威脅識別碼在掃描期間偵測到的修復動作。

System_CAPS_note注意事項

威脅名稱的清單可能無法使用的組態之後立即 Endpoint Protection。等到 Endpoint Protection 指向已同步處理的威脅資訊並再試一次。

定義更新

設定名稱

說明

設定來源和訂購 Endpoint Protection 用戶端更新

按一下 設定來源 指定定義與掃描引擎的更新來源和也指定所使用的順序。如果 Configuration Manager 指定為其中一個來源,然後只使用其他來源如果軟體更新下載用戶端更新失敗。

如果您使用下列方法之一來更新用戶端電腦上的定義,用戶端電腦必須能夠存取網際網路。

  • 從 Microsoft Update 散佈的更新

  • 從 Microsoft Malware Protection Center 分散式的更新

System_CAPS_important重要事項

用戶端會使用內建系統帳戶下載程式碼定義更新。您必須設定此帳戶可讓這些用戶端連線到網際網路的 proxy 伺服器。

如果您已設定要將程式碼定義更新傳送到用戶端電腦的軟體更新自動部署規則,這些更新會傳遞不論定義更新設定。