Пример сценария: использование Endpoint Protection для защиты компьютеров от вредоносных программ
Относится к Configuration Manager (Current Branch)
В этой статье представлен пример сценария реализации Endpoint Protection в Configuration Manager для защиты компьютеров в организации от атак с использованием вредоносных программ.
Обзор сценария
Configuration Manager устанавливается и используется в Банке Woodgrove. В настоящее время банк использует Endpoint Protection для защиты компьютеров от вредоносных атак. Кроме того, банк использует групповая политика Windows, чтобы убедиться, что брандмауэр Windows включен на всех компьютерах в компании и что пользователи получают уведомления о блокировке новой программы брандмауэром Windows.
Администраторам Configuration Manager было предложено обновить антивредоносное программное обеспечение Woodgrove Bank до Endpoint Protection, чтобы банк мог воспользоваться новейшими функциями защиты от вредоносных программ и централизованно управлять решением для защиты от вредоносных программ из консоли Configuration Manager.
Бизнес-требования
Эта реализация имеет следующие требования:
Используйте Configuration Manager для управления параметрами брандмауэра Windows, которые в настоящее время управляются групповая политика.
Используйте Configuration Manager обновления программного обеспечения для скачивания определений вредоносных программ на компьютеры. Если обновления программного обеспечения недоступны, например, если компьютер не подключен к корпоративной сети, компьютеры должны скачивать обновления определений из Майкрософт Update.
Компьютеры пользователей должны выполнять быструю проверку вредоносных программ каждый день. Серверы, однако, должны выполнять полную проверку каждую субботу, в нерабочее время, в 1:00.
Отправка оповещения по электронной почте при возникновении любого из следующих событий:
Обнаружена вредоносная программа на любом компьютере
Одна и та же угроза вредоносных программ обнаружена на более чем 5% компьютеров
Одна и та же угроза вредоносных программ обнаруживается более 5 раз за любой 24-часовой период
За любой 24-часовый период обнаруживается более 3 различных типов вредоносных программ
Затем администраторы выполняют следующие действия для реализации Endpoint Protection.
Шаги по реализации Endpoint Protection
| Процесс | Ссылка |
|---|---|
| Администраторы просматривают доступные сведения об основных понятиях Endpoint Protection в Configuration Manager. | Общие сведения о Endpoint Protection см. в разделе Endpoint Protection. |
| Администраторы устанавливают роль системы сайта Endpoint Protection только на одном сервере системы сайта в верхней части иерархии Woodgrove Bank. | Дополнительные сведения об установке роли системы сайта Endpoint Protection см. в разделе Предварительные требования в разделе Настройка Endpoint Protection. |
| Администраторы настраивают Configuration Manager использовать SMTP-сервер для отправки оповещений по электронной почте. Примечание: Необходимо настроить SMTP-сервер только в том случае, если вы хотите получать уведомления по электронной почте при создании оповещения Endpoint Protection. |
Дополнительные сведения см . в разделе Настройка оповещений в Endpoint Protection. |
| Администраторы создают коллекцию устройств, содержащую все компьютеры и серверы для установки клиента Endpoint Protection. Они называют эту коллекцию Все компьютеры, защищенные Endpoint Protection. Совет: Вы не можете настроить оповещения для коллекций пользователей. |
Дополнительные сведения о создании коллекций см. в статье Создание коллекций. |
| Администраторы настраивают следующие оповещения для коллекции: 1) Обнаружена вредоносная программа. Администраторы настраивают уровень серьезности оповещений Критическое. 2) На нескольких компьютерах обнаруживается один и тот же тип вредоносных программ. Администраторы настраивают уровень серьезности оповещения Критическое и указывают, что оповещение будет создано при обнаружении вредоносных программ более чем на 5 процентах компьютеров. 3) Один и тот же тип вредоносных программ неоднократно обнаруживается в течение указанного интервала на компьютере. Администраторы настраивают уровень серьезности оповещения Критическое и указывают, что оповещение будет создаваться при обнаружении вредоносных программ более 5 раз в течение 24-часового периода. 4) На одном компьютере в течение указанного интервала обнаруживается несколько типов вредоносных программ. Администраторы настраивают уровень серьезности оповещения Критическое и указывают, что оповещение будет создано при создании более 3 типов вредоносных программ в течение 24-часового периода. Значение серьезности оповещения указывает уровень оповещения, который будет отображаться в консоли Configuration Manager и в оповещениях, которые они получают в сообщении электронной почты. Кроме того, они выбирают параметр Просмотреть эту коллекцию на панели мониторинга Endpoint Protection, чтобы можно было отслеживать оповещения в консоли Configuration Manager. |
См. раздел Настройка оповещений для Endpoint Protection в разделе Настройка Endpoint Protection. |
| Администраторы настраивают Configuration Manager обновления программного обеспечения для скачивания и развертывания обновлений определений три раза в день с помощью правила автоматического развертывания. | Дополнительные сведения см. в разделе "Использование Configuration Manager программного обеспечения Обновления для доставки Обновления определений" статьи Использование обновлений программного обеспечения Configuration Manager для доставки обновлений определений. |
| Администраторы проверяют параметры в политике защиты от вредоносных программ по умолчанию, которая содержит рекомендуемые параметры безопасности из Майкрософт. Чтобы компьютеры выполняли быструю проверку каждый день, они изменяют следующие параметры: 1) Выполнять ежедневную быструю проверку на клиентских компьютерах: Да. 2) Ежедневное расписание быстрой проверки: 9:00. Администраторы отмечают, что Обновления, распространяемые из Майкрософт Update, по умолчанию выбраны в качестве источника обновления определения. Это соответствует бизнес-требованию о том, что компьютеры скачивают определения из Майкрософт Update, если они не могут получать Configuration Manager обновления программного обеспечения. |
См . статью Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection. |
| Администраторы создают коллекцию, содержащую только серверы Банка Woodgrove с именем Woodgrove Bank Servers. | См . статью Создание коллекций |
| Администраторы создают настраиваемую политику защиты от вредоносных программ с именем Woodgrove Bank Server Policy. Они добавляют только параметры для запланированных проверок и вносят следующие изменения: Тип сканирования: Полный День сканирования: суббота Время сканирования: 1:00 Выполнение ежедневной быстрой проверки на клиентских компьютерах: Нет. |
См . статью Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection. |
| Администраторы развертывают настраиваемую политику защиты от вредоносных программ в коллекции серверов Woodgrove Bank. | См. статью Развертывание политики защиты от вредоносных программ на клиентских компьютерах. Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection . |
| Администраторы создают новый набор пользовательских параметров клиентского устройства для Endpoint Protection и присваивают имена этим параметрам Защиты конечных точек Woodgrove Bank. Примечание: Если вы не хотите устанавливать и включать Endpoint Protection на всех клиентах в иерархии, убедитесь, что параметры Управление клиентом Endpoint Protection на клиентских компьютерах и Установка клиента Endpoint Protection на клиентских компьютерах настроены как Нет в параметрах клиента по умолчанию. |
Дополнительные сведения см. в разделе Настройка пользовательских параметров клиента для Endpoint Protection. |
| Они настраивают следующие параметры для Endpoint Protection: Управление клиентом Endpoint Protection на клиентских компьютерах: Да Этот параметр и значение гарантируют, что любой установленный клиент Endpoint Protection будет управляться Configuration Manager. Установка клиента Endpoint Protection на клиентских компьютерах. Да. |
|
| Администраторы развертывают параметры клиента Woodgrove Bank Endpoint Protection Settings в коллекции Все компьютеры, защищенные Endpoint Protection . | См. раздел Настройка пользовательских параметров клиента для Endpoint Protection в разделе Настройка Endpoint Protection в Configuration Manager. |
| Администраторы используют мастер создания политики брандмауэра Windows для создания политики, настроив следующие параметры для профиля домена: 1) Включение брандмауэра Windows: Да 2) Уведомление пользователя, когда брандмауэр Windows блокирует новую программу: Да |
См. статью Создание и развертывание политик брандмауэра Windows для Endpoint Protection. |
| Администраторы развертывают новую политику брандмауэра в созданной ранее коллекции Все компьютеры, защищенные Endpoint Protection . | См. статью Развертывание политики брандмауэра Windows в разделе Создание и развертывание политик брандмауэра Windows для Endpoint Protection. |
| Администраторы используют доступные задачи управления для Endpoint Protection для управления политиками защиты от вредоносных программ и брандмауэра Windows, при необходимости выполняют проверку компьютеров по запросу, принудительно загружают последние определения и указывают дальнейшие действия при обнаружении вредоносных программ. | См . статью Управление политиками защиты от вредоносных программ и параметрами брандмауэра для Endpoint Protection. |
| Администраторы используют следующие методы для мониторинга состояния Endpoint Protection и действий, выполняемых Endpoint Protection: 1) С помощью узла Состояние Endpoint Protection в разделе Безопасность в рабочей области Мониторинг . 2) С помощью узла Endpoint Protection в рабочей области Активы и соответствие . 3) С помощью встроенных отчетов Configuration Manager. |
См. раздел Мониторинг Endpoint Protection. |
Администраторы сообщают об успешной реализации Endpoint Protection своему руководителю и подтверждают, что компьютеры в Woodgrove Bank теперь защищены от вредоносных программ в соответствии с бизнес-требованиями, которые они были предоставлены.
Дальнейшие действия
Дополнительные сведения см. в статье Настройка Endpoint Protection.