如何在 System Center Configuration Manager 中建立和部署 Endpoint Protection 的反惡意程式碼原則

 

適用於: System Center Configuration Manager (current branch)

您可以將反惡意程式碼原則部署到 System Center Configuration Manager 用戶端電腦的集合,以指定 Endpoint Protection 如何保護其免於惡意程式碼和其他威脅傷害。 這些反惡意程式碼原則包含掃描排程、 檔案和資料夾來掃描和偵測到惡意程式碼時應採取的動作類型的相關資訊。 當您啟用 Endpoint Protection, ,預設反惡意程式碼原則會套用到用戶端電腦。 您也可以使用其他原則範本會提供或建立您自己自訂的反惡意程式碼的原則以符合您環境的特定需求。

System_CAPS_ICON_note.jpg 注意


Configuration Manager 提供的預先定義的範本適用於各種案例,可以匯入選取 Configuration Manager。 這些範本可在 < Configuration Manager 安裝資料夾>\AdminConsole\XMLStorage\EPTemplates 資料夾中取得。

System_CAPS_ICON_important.jpg 重要


如果您建立新的反惡意程式碼原則並將它部署到集合,這個反惡意程式碼原則會覆寫預設的反惡意程式碼原則。

使用本主題中的程序來建立或反惡意程式碼原則匯入並將它們指派給 System Center 2012 Configuration Manager 階層中的用戶端電腦。

System_CAPS_ICON_note.jpg 注意


執行這些程序之前,請確定 Configuration Manager 已如設定 System Center Configuration Manager 中的 Endpoint Protection 中所述,針對 Endpoint Protection 進行設定。

  1. 在 Configuration Manager 主控台中,按一下 資產與相容性

  2. 資產與相容性 工作區中,展開 Endpoint Protection, ,然後按一下 反惡意程式碼原則

  3. 選取的反惡意程式碼原則 預設用戶端反惡意程式碼原則 然後在 Home 索引標籤的 屬性 群組中,按一下 屬性

  4. 預設反惡意程式碼原則 對話方塊方塊中,設定您需要為此反惡意程式碼原則,然後再按一下 確定

    System_CAPS_ICON_note.jpg 注意


    如需您可以設定的設定清單,請參閱本主題中的 List of Antimalware Policy Settings

  1. 在 Configuration Manager 主控台中,按一下 資產與相容性

  2. 資產與相容性 工作區中,展開 Endpoint Protection, ,然後按一下 反惡意程式碼原則

  3. Home 索引標籤的 建立 群組中,按一下 建立反惡意程式碼原則

  4. 一般 區段 建立反惡意程式碼原則 對話方塊方塊中輸入的名稱和原則的描述。

  5. 建立反惡意程式碼原則 對話方塊方塊中,設定您需要為此反惡意程式碼原則,然後再按一下 確定

    System_CAPS_ICON_note.jpg 注意


    如需您可以設定的設定清單,請參閱本主題中的 List of Antimalware Policy Settings

  6. 確認新的反惡意程式碼原則會顯示在 反惡意程式碼原則 清單。

  1. 在 Configuration Manager 主控台中,按一下 資產與相容性

  2. 資產與相容性 工作區中,展開 Endpoint Protection, ,然後按一下 反惡意程式碼原則

  3. Home 索引標籤的 建立 群組中,按一下 匯入

  4. 開啟 對話方塊,原則檔案以匯入,然後按一下瀏覽 開啟

  5. 建立反惡意程式碼原則 ] 對話方塊中,檢閱的設定來使用,然後按一下 確定

  6. 確認新的反惡意程式碼原則會顯示在 反惡意程式碼原則 清單。

  1. 在 Configuration Manager 主控台中,按一下 資產與相容性

  2. 資產與相容性 工作區中,展開 Endpoint Protection, ,然後按一下 反惡意程式碼原則

  3. 反惡意程式碼原則 清單中選取要部署的反惡意程式碼原則。 然後在 Home 索引標籤的 部署 群組中,按一下 部署

    System_CAPS_ICON_note.jpg 注意


    部署 選項不能與預設用戶端惡意程式碼的原則。

  4. 選取集合 ] 對話方塊中,選取您想要部署反惡意程式碼原則,然後按一下裝置集合 確定

許多反惡意程式碼設定都簡單易懂。 利用以下各節取得與設定相關的詳細資訊,在進行這些設定之前您可能會需要詳細的資訊。

本文章包含 System Center Configuration Manager (最新分支) 的版本 1602 引入之新功能相關資訊。 若要使用新功能,您必須安裝 1602 更新。 如果您尚未更新到最新版本的 Configuration Manager,您可以從 TechNet 組件庫下載您所使用之版本的文件

排程掃描設定

  • 掃描類型 - 您可以指定在用戶端電腦上執行下列二種掃描類型的其中之一:

    • 快速掃描 – 這種類型的掃描會檢查記憶體中處理程序和惡意程式碼通常所在的資料夾。 它需要較少的資源比完整掃描。

    • 完整掃描 – 這種類型的掃描來掃描快速掃描中的項目加入所有本機檔案和資料夾的完整檢查。 這個掃描所花費的時間比快速掃描和用戶端電腦上使用更多的 CPU 處理和記憶體資源。

    大部分的情況下使用 快速掃描 用戶端電腦上的系統資源的使用降至最低。 如果惡意程式碼移除需要完整掃描 Endpoint Protection 就會產生警示中顯示 Configuration Manager 主控台。 預設值是 快速掃描

  • 隨機設定排定之掃描的開始時間 (在 30 分鐘內) - 設定為 [是] 可協助避免資料大量湧入網路,如果所有電腦同時將其反惡意程式碼掃描結果傳送到 Configuration Manager 資料庫,就可能發生這種情況。 這項設定也很有用的單一主機上執行多個虛擬機器時。 選取此選項可減少的反惡意程式碼掃描的磁碟同時存取。

掃描設定

在執行完整掃描時掃描網路磁碟機 -
設為 [是] 可掃描用戶端電腦上的任何對應網路磁碟機。 注意:如果您啟用此設定,可能會大幅增加用戶端電腦上的掃描時間。

執行完整掃描時,掃描對應的網路磁碟機 - 從 Configuration Manager 1602 版開始,此設定可讓系統管理員以更細微的方式隨選掃描網路檔案,而能避開進行排定的完整掃描時會一律掃描對應之網路磁碟機的風險。 也請注意︰

  • [掃描網路檔案] 設定必須設定為 [是],才可以設定此設定。

  • 此設定預設是設定為 [否],表示完整掃描將不會存取對應的網路磁碟機。

預設動作設定

選取在用戶端電腦上偵測到惡意程式碼時要採取的動作。 根據警示威脅層級偵測到惡意程式碼,可以套用下列動作。

  • 建議 – 使用建議的惡意程式碼定義檔中的動作。

  • 隔離 – 隔離惡意程式碼但不是移除它。

  • 移除 – 從電腦移除惡意程式碼。

  • 允許 – 請勿移除或隔離惡意程式碼。

即時保護設定

設定名稱說明
啟用即時保護設為 [是] 設定用戶端電腦的即時保護設定。 建議您啟用此設定。
監視電腦上的檔案和程式活動如果您想讓 在檔案和程式開始在用戶端電腦上執行時進行監視,並警示您關於其所執行或針對其所採取的任何動作,請設為 [是]Endpoint Protection 。
掃描系統檔案此設定可讓您設定是否傳入、 傳出,或惡意程式碼用於監視傳入和傳出的系統檔案。 基於效能考量,您可能必須變更預設值的 掃描傳入及傳出檔案 如果伺服器具有高的內送或外寄檔案活動。
啟用行為監視啟用此設定来用於偵測不明威脅的入侵電腦活動與檔案資料。 啟用此設定時,可能會增加掃描電腦的惡意程式碼所需的時間。
啟用對於網路架構的入侵保護啟用此設定來保護電腦對抗已知的網路入侵藉由檢查網路流量和封鎖任何可疑的活動。
啟用指令碼掃描Configuration Manager 不含 service pack 只。

如果您想要掃描任何在電腦上執行的指令碼以找出可疑活動,請啟用此設定。
在下載時及安裝前封鎖潛在的垃圾應用程式潛在的垃圾應用程式 (PUA) 是依據評價與研究導向識別碼所區分的威脅分類。 這些最常見的潛在垃圾應用程式為垃圾應用程式搭配程式或其搭配的應用程式。

從 Configuration Manager 1602 版開始,即有此保護原則設定可供使用且預設是設定為 [是]。 在啟用的情況下,這個設定於下載和安裝時,會封鎖 PUA。 不過,您可以排除特定的檔案或資料夾,以符合您業務或組織的特定需求。

排除設定

排除的檔案和資料夾
按一下 設定 開啟 設定檔案和資料夾排除 對話方塊並指定名稱的檔案和資料夾排除 Endpoint Protection 掃描。

如果您想要排除的檔案和位於對應的網路磁碟機的資料夾,請個別網路磁碟機中指定每個資料夾的名稱。 例如,如果網路磁碟機對應為 F:\MyFolder,而且其包含命名為 Folder1、Folder2 和 Folder 3 的子資料夾,則指定下列的排除項目:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

從 Configuration Manager 1602 版開始,Endpoint Protection 反惡意程式碼原則的 [排除設定] 區段中現有的 [排除檔案及資料夾] 設定已改進為可以排除裝置。 例如:您現已可以指定排除下列項目:\device\mvfs (適用於多版本檔案系統)。 此原則不會驗證裝置路徑;Endpoint Protection 原則是用來提供給用戶端上必須能夠解譯裝置字串的反惡意程式碼引擎。

進階設定

啟用重新分析點掃描 - 設定為 [是]如果您想讓 Endpoint Protection 掃描 NTFS 重新分析點。
如需重新分析點的詳細資訊,請參閱 重新分析點 Windows 開發人員中心。

從 Configuration Manager 1602 版開始,反惡意程式碼引擎可要求將檔案範例傳送給 Microsoft 以供進一步分析。 根據預設,在傳送這類範例前一律會出現提示。 系統管理員現已可管理下列設定,來設定此行為:

啟用自動提交範例檔案,協助 Microsoft 判斷某些偵測到的項目是否出於惡意:將設定為 [是] 可啟用自動提交範例檔案。 此設定預設為 [否],表示停用自動提交範例檔案,而且在傳送範例之前將提示使用者。 (此設定最初是在 System Center 2012 R2 Configuration Manager SP1 中導入。)

允許使用者修改自動提交範例檔設定 - 此設定會決定對裝置具有本機系統管理權限的使用者,是否可以在用戶端介面中變更自動提交範例檔案設定。 此設定預設為 [否],表示設定只能從 Configuration Manager console 中變更,裝置的本機系統管理員權限無法變更此設定。
例如,下圖顯示系統管理員已啟用 Windows 10 中的 Windows Defender 設定,而且不允許使用者進行修改

TechRef_WinDefender

威脅覆寫設定

威脅名稱及覆寫動作 - 按一下 [設定],自訂在掃描期間偵測到每個威脅識別碼時要採取的修復動作。

System_CAPS_ICON_note.jpg 注意


在設定 Endpoint Protection之後,可能無法立即使用威脅名稱的清單。 等到 Endpoint Protection 指向已同步處理的威脅資訊並再試一次。

Microsoft Active Protection Services

啟用 Microsoft Active Protection Services (MAPS),就可啟用在受管理虛擬機器上所偵測到之惡意程式碼的相關資訊集合,以及採取的動作。 這項資訊會傳送給 Microsoft。

Microsoft Active Protection Service 成員資格

  • 基本 - 收集並傳送偵測到的惡意程式碼清單
  • 進階 - 基本資訊和更完整的資訊,有時可能會包含像是檔案路徑和部分記憶體傾印之類的個人資訊

允許使用者修改 Microsoft Active Protection Service 設定 - 切換 MAPS 設定的使用者控制項

定義更新設定

設定 Endpoint Protection 用戶端更新的來源和順序 - 按一下 [設定來源] 以指定定義與掃描引擎更新的來源,以及指定所使用的順序。 如果指定 Configuration Manager 作為其中一個來源,則只有在軟體更新無法下載用戶端更新時,才會使用其他來源。

如果您使用下列任何方法來更新用戶端電腦上的定義,則用戶端電腦必須可以存取網際網路。

  • 從 Microsoft Update 發佈的更新

  • 從 Microsoft 惡意程式碼防護中心發佈的更新

System_CAPS_ICON_important.jpg 重要


用戶端會使用內建系統帳戶來下載定義更新。 您必須為這個帳戶設定 Proxy 伺服器,以便讓這些用戶端連線到網際網路。

如果您已設定要將程式碼定義更新傳送到用戶端電腦的軟體更新自動部署規則,這些更新會傳遞不論定義更新設定。

顯示: