Поделиться через


Пример сценария: использование Endpoint Protection для защиты компьютеров от вредоносных программ

Относится к Configuration Manager (Current Branch)

В этой статье представлен пример сценария реализации Endpoint Protection в Configuration Manager для защиты компьютеров в организации от атак с использованием вредоносных программ.

Обзор сценария

Configuration Manager устанавливается и используется в Банке Woodgrove. В настоящее время банк использует Endpoint Protection для защиты компьютеров от вредоносных атак. Кроме того, банк использует групповая политика Windows, чтобы убедиться, что брандмауэр Windows включен на всех компьютерах в компании и что пользователи получают уведомления о блокировке новой программы брандмауэром Windows.

Администраторам Configuration Manager было предложено обновить антивредоносное программное обеспечение Woodgrove Bank до Endpoint Protection, чтобы банк мог воспользоваться новейшими функциями защиты от вредоносных программ и централизованно управлять решением для защиты от вредоносных программ из консоли Configuration Manager.

Бизнес-требования

Эта реализация имеет следующие требования:

  • Используйте Configuration Manager для управления параметрами брандмауэра Windows, которые в настоящее время управляются групповая политика.

  • Используйте Configuration Manager обновления программного обеспечения для скачивания определений вредоносных программ на компьютеры. Если обновления программного обеспечения недоступны, например, если компьютер не подключен к корпоративной сети, компьютеры должны скачивать обновления определений из Майкрософт Update.

  • Компьютеры пользователей должны выполнять быструю проверку вредоносных программ каждый день. Серверы, однако, должны выполнять полную проверку каждую субботу, в нерабочее время, в 1:00.

  • Отправка оповещения по электронной почте при возникновении любого из следующих событий:

    • Обнаружена вредоносная программа на любом компьютере

    • Одна и та же угроза вредоносных программ обнаружена на более чем 5% компьютеров

    • Одна и та же угроза вредоносных программ обнаруживается более 5 раз за любой 24-часовой период

    • За любой 24-часовый период обнаруживается более 3 различных типов вредоносных программ

    Затем администраторы выполняют следующие действия для реализации Endpoint Protection.

Шаги по реализации Endpoint Protection

Процесс Ссылка
Администраторы просматривают доступные сведения об основных понятиях Endpoint Protection в Configuration Manager. Общие сведения о Endpoint Protection см. в разделе Endpoint Protection.
Администраторы устанавливают роль системы сайта Endpoint Protection только на одном сервере системы сайта в верхней части иерархии Woodgrove Bank. Дополнительные сведения об установке роли системы сайта Endpoint Protection см. в разделе Предварительные требования в разделе Настройка Endpoint Protection.
Администраторы настраивают Configuration Manager использовать SMTP-сервер для отправки оповещений по электронной почте.

Примечание: Необходимо настроить SMTP-сервер только в том случае, если вы хотите получать уведомления по электронной почте при создании оповещения Endpoint Protection.
Дополнительные сведения см . в разделе Настройка оповещений в Endpoint Protection.
Администраторы создают коллекцию устройств, содержащую все компьютеры и серверы для установки клиента Endpoint Protection. Они называют эту коллекцию Все компьютеры, защищенные Endpoint Protection.

Совет: Вы не можете настроить оповещения для коллекций пользователей.
Дополнительные сведения о создании коллекций см. в статье Создание коллекций.
Администраторы настраивают следующие оповещения для коллекции:

1) Обнаружена вредоносная программа. Администраторы настраивают уровень серьезности оповещений Критическое.

2) На нескольких компьютерах обнаруживается один и тот же тип вредоносных программ. Администраторы настраивают уровень серьезности оповещения Критическое и указывают, что оповещение будет создано при обнаружении вредоносных программ более чем на 5 процентах компьютеров.

3) Один и тот же тип вредоносных программ неоднократно обнаруживается в течение указанного интервала на компьютере. Администраторы настраивают уровень серьезности оповещения Критическое и указывают, что оповещение будет создаваться при обнаружении вредоносных программ более 5 раз в течение 24-часового периода.

4) На одном компьютере в течение указанного интервала обнаруживается несколько типов вредоносных программ. Администраторы настраивают уровень серьезности оповещения Критическое и указывают, что оповещение будет создано при создании более 3 типов вредоносных программ в течение 24-часового периода.

Значение серьезности оповещения указывает уровень оповещения, который будет отображаться в консоли Configuration Manager и в оповещениях, которые они получают в сообщении электронной почты.

Кроме того, они выбирают параметр Просмотреть эту коллекцию на панели мониторинга Endpoint Protection, чтобы можно было отслеживать оповещения в консоли Configuration Manager.
См. раздел Настройка оповещений для Endpoint Protection в разделе Настройка Endpoint Protection.
Администраторы настраивают Configuration Manager обновления программного обеспечения для скачивания и развертывания обновлений определений три раза в день с помощью правила автоматического развертывания. Дополнительные сведения см. в разделе "Использование Configuration Manager программного обеспечения Обновления для доставки Обновления определений" статьи Использование обновлений программного обеспечения Configuration Manager для доставки обновлений определений.
Администраторы проверяют параметры в политике защиты от вредоносных программ по умолчанию, которая содержит рекомендуемые параметры безопасности из Майкрософт. Чтобы компьютеры выполняли быструю проверку каждый день, они изменяют следующие параметры:

1) Выполнять ежедневную быструю проверку на клиентских компьютерах: Да.

2) Ежедневное расписание быстрой проверки: 9:00.

Администраторы отмечают, что Обновления, распространяемые из Майкрософт Update, по умолчанию выбраны в качестве источника обновления определения. Это соответствует бизнес-требованию о том, что компьютеры скачивают определения из Майкрософт Update, если они не могут получать Configuration Manager обновления программного обеспечения.
См . статью Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection.
Администраторы создают коллекцию, содержащую только серверы Банка Woodgrove с именем Woodgrove Bank Servers. См . статью Создание коллекций
Администраторы создают настраиваемую политику защиты от вредоносных программ с именем Woodgrove Bank Server Policy. Они добавляют только параметры для запланированных проверок и вносят следующие изменения:

Тип сканирования: Полный

День сканирования: суббота

Время сканирования: 1:00

Выполнение ежедневной быстрой проверки на клиентских компьютерах: Нет.
См . статью Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection.
Администраторы развертывают настраиваемую политику защиты от вредоносных программ в коллекции серверов Woodgrove Bank. См. статью Развертывание политики защиты от вредоносных программ на клиентских компьютерах. Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection .
Администраторы создают новый набор пользовательских параметров клиентского устройства для Endpoint Protection и присваивают имена этим параметрам Защиты конечных точек Woodgrove Bank.

Примечание: Если вы не хотите устанавливать и включать Endpoint Protection на всех клиентах в иерархии, убедитесь, что параметры Управление клиентом Endpoint Protection на клиентских компьютерах и Установка клиента Endpoint Protection на клиентских компьютерах настроены как Нет в параметрах клиента по умолчанию.
Дополнительные сведения см. в разделе Настройка пользовательских параметров клиента для Endpoint Protection.
Они настраивают следующие параметры для Endpoint Protection:

Управление клиентом Endpoint Protection на клиентских компьютерах: Да

Этот параметр и значение гарантируют, что любой установленный клиент Endpoint Protection будет управляться Configuration Manager.

Установка клиента Endpoint Protection на клиентских компьютерах. Да.
Администраторы развертывают параметры клиента Woodgrove Bank Endpoint Protection Settings в коллекции Все компьютеры, защищенные Endpoint Protection . См. раздел Настройка пользовательских параметров клиента для Endpoint Protection в разделе Настройка Endpoint Protection в Configuration Manager.
Администраторы используют мастер создания политики брандмауэра Windows для создания политики, настроив следующие параметры для профиля домена:

1) Включение брандмауэра Windows: Да

2)
Уведомление пользователя, когда брандмауэр Windows блокирует новую программу: Да
См. статью Создание и развертывание политик брандмауэра Windows для Endpoint Protection.
Администраторы развертывают новую политику брандмауэра в созданной ранее коллекции Все компьютеры, защищенные Endpoint Protection . См. статью Развертывание политики брандмауэра Windows в разделе Создание и развертывание политик брандмауэра Windows для Endpoint Protection.
Администраторы используют доступные задачи управления для Endpoint Protection для управления политиками защиты от вредоносных программ и брандмауэра Windows, при необходимости выполняют проверку компьютеров по запросу, принудительно загружают последние определения и указывают дальнейшие действия при обнаружении вредоносных программ. См . статью Управление политиками защиты от вредоносных программ и параметрами брандмауэра для Endpoint Protection.
Администраторы используют следующие методы для мониторинга состояния Endpoint Protection и действий, выполняемых Endpoint Protection:

1) С помощью узла Состояние Endpoint Protection в разделе Безопасность в рабочей области Мониторинг .

2) С помощью узла Endpoint Protection в рабочей области Активы и соответствие .

3) С помощью встроенных отчетов Configuration Manager.
См. раздел Мониторинг Endpoint Protection.

Администраторы сообщают об успешной реализации Endpoint Protection своему руководителю и подтверждают, что компьютеры в Woodgrove Bank теперь защищены от вредоносных программ в соответствии с бизнес-требованиями, которые они были предоставлены.

Дальнейшие действия

Дополнительные сведения см. в статье Настройка Endpoint Protection.