System Center Configuration Manager 中的 Endpoint Protection 規劃

 

適用於: System Center Configuration Manager (current branch)

使用本節中的下列主題,可協助您規劃在 Endpoint Protection 中使用 System Center 2012 Configuration Manager。

使用下列工作流程作為參考,協助您啟用、設定以及管理和監視 System Center 2012 Configuration Manager 中的 Endpoint Protection。

步驟詳細資訊
請檢閱 Endpoint Protection的必要條件資訊。Planning for Endpoint Protection in Configuration Manager
建立 Endpoint Protection 點站台系統角色。設定 System Center Configuration Manager 中的 Endpoint Protection
設定警示 Endpoint Protection。設定 System Center Configuration Manager 中的 Endpoint Protection
設定用戶端電腦的定義更新方法。請參閱設定 System Center Configuration Manager 中的 Endpoint Protection 中的<如何設定 Configuration Manager 中 Endpoint Protection 的定義更新>。
設定的電腦集合的反惡意程式碼設定。如何在 System Center Configuration Manager 中建立和部署 Endpoint Protection 的反惡意程式碼原則
設定用戶端設定 Endpoint Protection。設定 System Center Configuration Manager 中的 Endpoint Protection
建立及部署防火牆原則的電腦集合。如何建立及部署 System Center Configuration Manager 中 Endpoint Protection 的 Windows 防火牆原則
監視器 Endpoint Protection 活動。如何監視 System Center Configuration Manager 中的 Endpoint Protection

System Center 2012 Configuration Manager 中的 Endpoint Protection 具有外部相依性和產品中的相依性。

外部相依性 Configuration Manager

下表列出執行外部相依性 Endpoint Protection 中 Configuration Manager。

相依性

  • 如果您想要使用 Windows Server Update Services (WSUS) 必須是安裝及設定的軟體更新同步處理 Configuration Manager 傳遞定義和引擎更新的軟體更新。 請參閱 System Center Configuration Manager 軟體更新的必要條件

  • 某些定義更新方法需要用戶端電腦能夠存取網際網路。 用戶端電腦必須能夠存取網際網路,才能使用下列方法之一來更新用戶端電腦上的定義:

    • 從 Microsoft Update 發佈的更新

    • 從 Microsoft 惡意程式碼防護中心發佈的更新

    System_CAPS_ICON_important.jpg 重要


    用戶端會使用內建系統帳戶來下載定義更新。 您必須為這個帳戶設定 Proxy 伺服器,以便讓這些用戶端連線到網際網路。 您可以使用 Windows 群組原則來設定多部電腦上的 proxy 伺服器。

  • 如果您想要傳送電子郵件警示,則要使用 SMTP 伺服器。 請參閱設定 System Center Configuration Manager 中的 Endpoint Protection 主題中的<步驟 1 (選擇性):設定警示的電子郵件設定>。

  • 若要部署的 Windows 防火牆原則的 hotfix。 如果您想要將 Windows 防火牆原則部署到執行 Windows Server 2008 和 Windows Vista Service Pack 1 的電腦,您必須先安裝 Hotfix KB971800 這些電腦上。

Configuration Manager 相依性

下表列出之間的相依性 Configuration Manager 執行 Endpoint Protection。

相依性

  • 必須執行獨立的主要或中央管理站台 System Center 2012 Configuration Manager 還有 Endpoint Protection 點站台系統角色安裝和設定。 如需 Endpoint Protection 點站台系統角色需求的詳細資訊,請參閱 System Center Configuration Manager 的支援設定的<站台系統需求>一節。 如需安裝此站台系統角色的詳細資訊,請參閱設定 System Center Configuration Manager 中的 Endpoint Protection

    System_CAPS_ICON_important.jpg 重要


    必須先安裝 Endpoint Protection 點站台系統角色,才能使用 Endpoint Protection。 其只能安裝在一部站台系統伺服器上,而且必須安裝於管理中心網站或獨立主要站台的階層頂端。

  • 如果您想要使用 Configuration Manager 軟體更新提供定義和引擎更新,則必須安裝和設定軟體更新點站台系統角色才能提供定義更新。 如需軟體更新點站台系統角色需求的詳細資訊,請參閱 Supported configurations for System Center Configuration Manager的<站台系統需求>一節。 如需如何安裝此站台系統角色並針對 Endpoint Protection 進行設定的詳細資訊,請參閱在 System Center Configuration Manager 中設定軟體更新設定 System Center Configuration Manager 中的 Endpoint Protection

  • 安裝 Endpoint Protection 用戶端以及設定 Endpoint Protection 的用戶端設定。 如需如何進行 Endpoint Protection 用戶端設定的詳細資訊,請參閱設定 System Center Configuration Manager 中的 Endpoint Protection 中的<設定自訂用戶端設定>一節。

  • 報告服務之前必須先安裝點站台系統角色 Endpoint Protection 可以顯示報表。 請參閱 System Center Configuration Manager 中的報告

  • 管理 Endpoint Protection。 您必須具備下列安全性權限,才能管理 Endpoint Protection:

    • 建立和管理 Endpoint Protection 警示訂閱:[警示訂閱] 物件的 [建立] 、[刪除] 、[修改] 、[讀取] 、[設定安全性範圍] 。

    • 建立和修改 Endpoint Protection的警示:[警示] 物件的 [建立] 、[刪除] 、[修改] 、[修改報告] 、[讀取] 、[執行報告] 。

    • 建立和修改反惡意程式碼原則:[反惡意程式碼原則] 物件的 [建立] 、[刪除] 、[修改] 、[修改預設值] 、[修改報告] 、[讀取] 、[讀取預設值] 、[執行報告] 。

    • 將反惡意程式碼和 Windows 防火牆原則部署至電腦:[集合] 物件的 [稽核安全性] 、[刪除] 、[部署反惡意程式碼原則] 、[部署防火牆原則] 、[強制執行安全性] 、[讀取] 、[讀取資源] 。

    • 在 Endpoint Protection 主控台中檢視和管理 Configuration Manager :[站台] 物件的 [讀取] 權限。

    • 建立和修改 Windows 防火牆原則:[Windows 防火牆原則] 物件的 [建立原則] 、[刪除原則] 、[修改原則] 、[讀取原則] 、[讀取設定] 。

    Endpoint Protection 管理員 安全性角色包括這些管理所需的權限 Endpoint Protection 中 Configuration Manager。

    System_CAPS_ICON_note.jpg 注意


    若要執行下列動作,您必須是 [系統高權限管理員] 安全性角色的成員。

    • 設定 Endpoint Protection 點站台系統角色。
    • 設定 Endpoint Protection 警示的電子郵件通知。

使用 System Center 2012 Configuration Manager 中之 Endpoint Protection 的下列最佳做法。

設定 Endpoint Protection

當您設定用戶端設定 Endpoint Protection, ,不要使用預設的用戶端設定,因為它們將設定套用到您的階層中的所有電腦。 設定自訂用戶端設定而將這些設定指派給您的階層中的電腦集合中。

當您設定自訂用戶端設定時,您可以執行下列:

  • 自訂您的組織的不同部分的反惡意程式碼和安全性設定。

  • 測試的執行效果 Endpoint Protection 一小群之前將它部署到整個階層架構的電腦上。

  • 經過一段時間階段部署的集合中加入更多用戶端 Endpoint Protection 用戶端。

使用軟體更新散發的定義更新檔

如果您使用 Configuration Manager 散佈定義更新的軟體更新請考慮將程式碼定義更新放在不包含其他軟體更新的封裝中。 如此一來定義更新封裝的大小較小使得複寫到更快速地發佈點。

顯示: