Vytvoření a nasazení antimalwarových zásad pro službu Endpoint Protection v Nástroji Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Můžete nasadit antimalwarové zásady do kolekcí klientských počítačů nástroje Configuration Manager a určit, jak je služba Endpoint Protection chrání před malwarem a dalšími hrozbami. Tyto zásady zahrnují informace o plánu kontrol, typech souborů a složek, které se mají zkontrolovat, a akcích, které se mají provést při zjištění malwaru. Když povolíte službu Endpoint Protection, použijí se na klientské počítače výchozí antimalwarové zásady. Můžete také použít některou z dodaných šablon zásad nebo vytvořit vlastní zásadu, která bude vyhovovat konkrétním potřebám vašeho prostředí.

Configuration Manager poskytuje výběr předdefinovaných šablon. Jsou optimalizované pro různé scénáře a dají se importovat do nástroje Configuration Manager. Tyto šablony jsou k dispozici ve složce <ConfigMgr Install Folder>\AdminConsole\XMLStorage\EPTemplates.

Důležité

Pokud vytvoříte novou antimalwarovou zásadu a nasadíte ji do kolekce, přepíše tato antimalwarová zásada výchozí antimalwarové zásady.

Postupy v tomto tématu slouží k vytvoření nebo importu antimalwarových zásad a jejich přiřazení ke klientským počítačům nástroje Configuration Manager ve vaší hierarchii.

Poznámka

Před provedením těchto postupů se ujistěte, že je Configuration Manager nakonfigurovaný pro službu Endpoint Protection, jak je popsáno v tématu Konfigurace služby Endpoint Protection.

Úprava výchozích antimalwarových zásad

  1. V konzole nástroje Configuration Manager klikněte na Prostředky a kompatibilita.

  2. V pracovním prostoru Prostředky a kompatibilita rozbalte položku Endpoint Protection a potom klikněte na Antimalwarové zásady.

  3. Vyberte antimalwarovou zásadu Výchozí antimalwarová zásada klienta a potom na kartě Domů ve skupině Vlastnosti klikněte na Vlastnosti.

  4. V dialogovém okně Výchozí antimalwarové zásady nakonfigurujte nastavení, která pro tuto antimalwarovou zásadu požadujete, a potom klikněte na OK.

    Poznámka

    Seznam nastavení, která můžete konfigurovat, najdete v části Seznam nastavení antimalwarových zásad v tomto tématu.

Vytvoření nové antimalwarové zásady

  1. V konzole nástroje Configuration Manager klikněte na Prostředky a kompatibilita.

  2. V pracovním prostoru Prostředky a kompatibilita rozbalte položku Endpoint Protection a potom klikněte na Antimalwarové zásady.

  3. Na kartě Domů ve skupině Vytvořit klikněte na Vytvořit antimalwarové zásady.

  4. V části Obecné dialogového okna Vytvořit antimalwarové zásady zadejte název a popis zásady.

  5. V dialogovém okně Vytvořit antimalwarové zásady nakonfigurujte nastavení, která pro tuto antimalwarovou zásadu požadujete, a potom klikněte na OK. Seznam nastavení, která můžete konfigurovat, najdete v tématu Seznam nastavení antimalwarových zásad.

  6. Ověřte, že se nové antimalwarové zásady zobrazují v seznamu Antimalwarové zásady .

Import antimalwarových zásad

  1. V konzole nástroje Configuration Manager klikněte na Prostředky a kompatibilita.

  2. V pracovním prostoru Prostředky a kompatibilita rozbalte položku Endpoint Protection a potom klikněte na Antimalwarové zásady.

  3. Na kartě Domů ve skupině Vytvořit klikněte na Importovat.

  4. V dialogovém okně Otevřít přejděte k souboru zásad, který chcete importovat, a klikněte na Otevřít.

  5. V dialogovém okně Vytvořit antimalwarové zásady zkontrolujte nastavení, která chcete použít, a klikněte na OK.

  6. Ověřte, že se nové antimalwarové zásady zobrazují v seznamu Antimalwarové zásady .

Nasazení antimalwarových zásad do klientských počítačů

  1. V konzole nástroje Configuration Manager klikněte na Prostředky a kompatibilita.

  2. V pracovním prostoru Prostředky a kompatibilita rozbalte položku Endpoint Protection a potom klikněte na Antimalwarové zásady.

  3. V seznamu Antimalwarové zásady vyberte antimalwarové zásady, které chcete nasadit. Potom na kartě Domů ve skupině Nasazení klikněte na Nasadit.

    Poznámka

    Možnost Nasadit nelze použít s výchozími zásadami malwaru klienta.

  4. V dialogovém okně Vybrat kolekci vyberte kolekci zařízení, do které chcete nasadit antimalwarové zásady, a klikněte na OK.

Seznam nastavení antimalwarových zásad

Mnoho antimalwarových nastavení je samovysvětlovacích. V následujících částech najdete další informace o nastaveních, která můžou vyžadovat další informace, než je nakonfigurujete.

Nastavení naplánovaných kontrol

Typ kontroly – Můžete zadat jeden ze dvou typů kontroly, které se mají spustit na klientských počítačích:

  • Rychlá kontrola – Tento typ kontroly kontroluje procesy v paměti a složky, ve kterých se obvykle nachází malware. Vyžaduje méně prostředků než úplná kontrola.

  • Úplná kontrola – Tento typ kontroly přidá úplnou kontrolu všech místních souborů a složek k položkám kontrolovaným v rámci rychlé kontroly. Tato kontrola trvá déle než rychlá kontrola a v klientských počítačích využívá více prostředků procesoru a paměti.

    Ve většině případů můžete pomocí rychlé kontroly minimalizovat použití systémových prostředků na klientských počítačích. Pokud odstranění malwaru vyžaduje úplnou kontrolu, endpoint Protection vygeneruje výstrahu, která se zobrazí v konzole nástroje Configuration Manager. Výchozí hodnota je Rychlá kontrola.

Poznámka

Při plánování se kontroluje časy, kdy se koncové body nepoužívají, je důležité si uvědomit, že se nedodržuje konfigurace omezování procesoru. Kontroly budou plně využívat dostupné prostředky k co nejrychlejšímu dokončení.

Nastavení kontroly

Kontrolovat e-maily a e-mailové přílohy – Pokud chcete zapnout kontrolu e-mailů, nastavte na Ano .

Skenování vyměnitelných úložných zařízení, jako jsou jednotky USB – Pokud chcete kontrolovat vyměnitelné jednotky během úplných kontrol, nastavte na Ano .

Kontrola síťových souborů – Pokud chcete zkontrolovat síťové soubory, nastavte na Ano .

Kontrola namapovaných síťových jednotek při spuštění úplné kontroly – Pokud chcete zkontrolovat všechny namapované síťové jednotky v klientských počítačích, nastavte na Ano . Povolení tohoto nastavení může výrazně prodloužit dobu kontroly na klientských počítačích.

  • Nastavení Prohledat síťové soubory musí být nastavené na Ano , aby bylo toto nastavení dostupné ke konfiguraci.

  • Ve výchozím nastavení je toto nastavení nastaveno na Ne, což znamená, že úplná kontrola nebude mít přístup k mapovaným síťovým jednotkám.

Kontrolovat archivované souboryPokud chcete kontrolovat archivované soubory, jako jsou soubory .zip nebo .rar, nastavte na Ano.

Povolit uživatelům konfigurovat využití procesoru během kontrol – Pokud chcete uživatelům povolit zadat maximální procento využití procesoru během kontroly, nastavte na Ano . Kontroly nebudou vždy používat maximální zatížení definované uživateli, ale nemohou ho překročit.

Řízení naplánovaných kontrol uživatelem – Určuje úroveň uživatelského řízení. Umožněte uživatelům nastavit na jejich zařízeních jenom dobu procházení nebo Úplnou kontrolu nad antivirovými kontrolami.

Výchozí nastavení akcí

Vyberte akci, která se má provést při zjištění malwaru na klientských počítačích. V závislosti na úrovni výstrahy zjištěného malwaru je možné použít následující akce.

  • Doporučeno – Použijte akci doporučenou v definičním souboru malwaru.

  • Karanténa – Umístí malware do karantény, ale neodeberte ho.

  • Odebrat – Odeberte malware z počítače.

  • Povolit – Neodstraňujte malware ani ho neumisujte do karantény.

Nastavení ochrany v reálném čase

Nastavení názvu Popis
Povolení ochrany v reálném čase Nastavte na Ano , pokud chcete nakonfigurovat nastavení ochrany v reálném čase pro klientské počítače. Toto nastavení doporučujeme povolit.
Monitorování aktivity souborů a programů na počítači Nastavte na Ano , pokud chcete, aby služba Endpoint Protection monitorovala, kdy se soubory a programy spustí na klientských počítačích, a upozorňovala vás na všechny akce, které provádí, nebo na akce provedené na nich.
Kontrola systémových souborů Toto nastavení umožňuje nakonfigurovat, jestli se v příchozích, odchozích nebo příchozích a odchozích systémových souborech monitoruje malware. Z důvodů výkonu možná budete muset změnit výchozí hodnotu Kontrolovat příchozí a odchozí soubory , pokud server má vysokou aktivitu příchozích nebo odchozích souborů.
Povolení monitorování chování Povolte toto nastavení, pokud chcete k detekci neznámých hrozeb používat data o aktivitách počítače a souborech. Pokud je toto nastavení povolené, může se prodloužit doba potřebná ke kontrole malwaru v počítačích.
Povolení ochrany před síťovými zneužitími Povolením tohoto nastavení ochráníte počítače před známými síťovými zneužitími kontrolou síťového provozu a blokováním podezřelých aktivit.
Povolení kontroly skriptů Pouze pro Configuration Manager bez aktualizace Service Pack.

Toto nastavení povolte, pokud chcete kontrolovat podezřelé aktivity ve skriptech spuštěných v počítačích.
Blokování potenciálně nežádoucích aplikací při stažení a před instalací Potenciální nežádoucí aplikace (PUA) je klasifikace hrozeb založená na reputaci a identifikaci řízené výzkumem. Nejčastěji se jedná o nežádoucí balíčky aplikací nebo jejich seskupené aplikace.

Microsoft Edge také poskytuje nastavení pro blokování potenciálně nežádoucích aplikací. Prozkoumejte tyto možnosti pro úplnou ochranu před nežádoucími aplikacemi.

Toto nastavení zásad ochrany je dostupné a ve výchozím nastavení je nastavené na Povoleno . Pokud je tato možnost povolená, blokuje pua v době stahování a instalace. Můžete ale vyloučit konkrétní soubory nebo složky tak, aby vyhovovaly konkrétním potřebám vaší firmy nebo organizace.

Od verze 2107 nástroje Configuration Manager můžete toto nastavení auditovat . Pomocí ochrany PUA v režimu auditování můžete detekovat potenciálně nežádoucí aplikace bez jejich blokování. Ochrana PROTI PUA v režimu auditování je užitečná, pokud vaše společnost chce zjistit, jaký dopad bude mít povolení ochrany PUA na vaše prostředí. Povolení ochrany v režimu auditování vám umožní určit dopad na koncové body před povolením ochrany v režimu blokování.

Nastavení vyloučení

Informace o složkách, souborech a procesech, které se doporučují k vyloučení v nástroji Configuration Manager 2012 a Current Branch, najdete v tématu Doporučená antivirová vyloučení pro configuration manager 2012 a servery lokalit aktuální větve, systémy lokality a klienty.

Vyloučené soubory a složky:

Kliknutím na Nastavit otevřete dialogové okno Konfigurovat vyloučení souborů a složek a zadejte názvy souborů a složek, které se mají vyloučit z kontrol služby Endpoint Protection.

Pokud chcete vyloučit soubory a složky, které se nacházejí na mapované síťové jednotce, zadejte názvy jednotlivých složek na síťové jednotce zvlášť. Pokud je například síťová jednotka namapovaná jako F:\MyFolder a obsahuje podsložky s názvy Folder1, Folder2 a Folder 3, zadejte následující vyloučení:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

Od verze 1602 je stávající nastavení Vyloučit soubory a složky v části Nastavení vyloučení antimalwarových zásad vylepšené tak, aby umožňovalo vyloučení zařízení. Teď můžete například jako vyloučení zadat následující: \device\mvfs (pro systém souborů Multiversion). Zásady neověřují cestu zařízení. Zásady endpoint Protection jsou poskytovány antimalwarovém modulu v klientovi, který musí být schopen interpretovat řetězec zařízení.

Vyloučené typy souborů:

Kliknutím na Nastavit otevřete dialogové okno Konfigurovat vyloučení typů souborů a určete přípony souborů, které se mají vyloučit z kontrol služby Endpoint Protection. Při definování položek v seznamu vyloučení můžete použít zástupné cardy. Další informace najdete v tématu Použití zástupných znaků v seznamech názvů souborů a cest ke složce nebo v seznamech vyloučení přípon.

Vyloučené procesy:

Kliknutím na Nastavit otevřete dialogové okno Konfigurovat vyloučení procesů a určete procesy, které se mají vyloučit z kontrol služby Endpoint Protection. Při definování položek v seznamu vyloučení můžete použít zástupné é ou, ale existují určitá omezení. Další informace najdete v tématu Použití zástupných znaků v seznamu vyloučení procesů.

Poznámka

Pokud se na zařízení cílí dvě nebo více antimalwarových zásad, nastavení pro vyloučení antivirového softwaru se před použitím na klienta sloučí.

Upřesňující nastavení

Povolit prohledávání spojovacích bodů – Nastavte na Ano , pokud chcete, aby služba Endpoint Protection prohledává body analýzy NTFS.

Další informace o spojovacích bodech najdete v tématu Spojovací body na webu Windows Dev Center.

Náhodné nastavení naplánovaných časů spuštění kontroly (do 30 minut)Pokud chcete zabránit zahlcenému síťovému prostředí, ke kterému může dojít v případě, že všechny počítače odešlou výsledky antimalwarových kontrol do databáze nástroje Configuration Manager najednou. V případě Antivirové ochrany v programu Windows Defender se čas zahájení kontroly náhodně provede v intervalu od 0 do 4 hodin nebo v případě FEP a SCEP do libovolného intervalu plus mínus 30 minut. To může být užitečné v nasazeních virtuálních počítačů nebo VDI. Toto nastavení je také užitečné, když na jednom hostiteli spouštíte více virtuálních počítačů. Tuto možnost vyberte, pokud chcete snížit souběžný přístup k disku pro antimalwarovou kontrolu.

Počínaje verzí 1602 Configuration Manageru může antimalwarový modul požádat o odeslání ukázek souborů do Microsoftu k další analýze. Ve výchozím nastavení se před odesláním takových ukázek vždy zobrazí výzva. Správci teď můžou spravovat následující nastavení a nakonfigurovat toto chování:

Povolte automatické odesílání ukázkových souborů, abyste Microsoftu pomohli určit, jestli jsou některé zjištěné položky škodlivé – Nastavte na Ano , pokud chcete povolit automatické odesílání ukázkových souborů. Ve výchozím nastavení je toto nastavení Ne , což znamená, že automatické odesílání ukázkových souborů je zakázané a uživatelům se před odesláním ukázek zobrazí výzva.

Povolit uživatelům upravit nastavení automatického odesílání ukázkových souborů – Určuje, jestli uživatel s oprávněními místního správce na zařízení může změnit nastavení automatického odesílání ukázkových souborů v klientském rozhraní. Ve výchozím nastavení je toto nastavení "Ne", což znamená, že ho lze změnit pouze z konzoly nástroje Configuration Manager a místní správci na zařízení tuto konfiguraci nemohou změnit.
Následující příklad ukazuje toto nastavení nastavené správcem jako povolené a zobrazené šedě, aby se zabránilo změnám uživatelem.

Windows Defender – automatické odesílání vzorků

Nastavení přepsání hrozeb

Název hrozby a akce přepsání – Kliknutím na Nastavit můžete přizpůsobit nápravnou akci, která se má provést pro každé ID hrozby, když se zjistí během kontroly.

Poznámka

Seznam názvů hrozeb nemusí být k dispozici ihned po konfiguraci služby Endpoint Protection. Počkejte, až bod endpoint Protection synchronizuje informace o hrozbě, a pak to zkuste znovu.

Služba Cloud Protection

Služba Cloud Protection umožňuje shromažďování informací o zjištěném malwaru ve spravovaných systémech a provedených akcích. Tyto informace se odesílají společnosti Microsoft.

Členství ve službě Cloud Protection Service

  • Nepřipojovat se ke službě Cloud Protection – Neodesílají se žádné informace
  • Základní – shromažďování a odesílání seznamů zjištěného malwaru
  • Pokročilé – základní informace i komplexnější informace, které by mohly obsahovat osobní údaje. Například cesty k souborům a částečné výpisy paměti.

Povolit uživatelům upravovat nastavení služby Cloud Protection – Přepíná uživatelské řízení nastavení služby Cloud Protection.

Úroveň blokování podezřelých souborů – Zadejte úroveň, na které bude služba Endpoint Protection Cloud Protection blokovat podezřelé soubory.

  • Normální – výchozí úroveň blokování v programu Windows Defender
  • Vysoká – agresivně blokuje neznámé soubory při optimalizaci výkonu (větší pravděpodobnost blokování souborů, které nejsou škodlivé)
  • Vysoká s dodatečnou ochranou – Agresivně blokuje neznámé soubory a používá další ochranná opatření (může mít vliv na výkon klientského zařízení).
  • Blokovat neznámé programy – Zablokuje všechny neznámé programy.

Povolit rozšířené kontrole cloudu blokovat a kontrolovat až (sekundy) – Určuje počet sekund, po které může služba Cloud Protection Service blokovat soubor, zatímco služba zkontroluje, jestli soubor není známý jako škodlivý.

Poznámka

Počet sekund, které vyberete pro toto nastavení, je navíc k výchozímu 10sekundovém časovému limitu. Pokud například zadáte 0 sekund, služba Cloud Protection Service soubor po dobu 10 sekund zablokuje.

Podrobnosti o vytváření sestav služby Cloud Protection

Frekvence Shromážděná nebo odeslaná data Použití dat
Když Windows Defender aktualizuje antivirovou a spywarovou ochranu nebo definiční soubory – Verze definic
virů a spywaru – verze ochrany proti virům a spywaru
Společnost Microsoft používá tyto informace k zajištění přítomnosti nejnovějších aktualizací virů a spywaru v počítačích. Pokud není k dispozici, windows defender se aktualizuje automaticky, aby ochrana počítače zůstala aktuální.
Pokud Program Windows Defender najde v počítačích potenciálně škodlivý nebo nežádoucí software - Název potenciálně škodlivého nebo nežádoucího softwaru
– Jak byl software nalezen
– Všechny akce, které program Windows Defender provedl při práci se softwarem
– Soubory ovlivněné softwarem
– Informace o počítači od výrobce (Sysconfig, SysModel, SysMarker)
Windows Defender tyto informace používá k určení typu a závažnosti potenciálně nežádoucího softwaru a nejlepší akce, kterou je třeba provést. Společnost Microsoft tyto informace používá také ke zlepšení přesnosti ochrany před viry a spywarem.
Jednou za měsíc - Stav
aktualizace definic virů a spywaru – Stav monitorování virů a spywaru v reálném čase (zapnuto nebo vypnuto)
Program Windows Defender tyto informace používá k ověření, že počítače mají nejnovější verzi a definice ochrany proti virům a spywaru. Společnost Microsoft chce také zajistit, aby bylo zapnuté monitorování virů a spywaru v reálném čase. To je důležitá součást ochrany počítačů před potenciálně škodlivým nebo nežádoucím softwarem.
Během instalace nebo vždy, když uživatelé ručně provedou kontrolu virů a spywaru vašeho počítače Seznam spuštěných procesů v paměti počítače K identifikaci procesů, které mohly být ohroženy potenciálně škodlivým softwarem.

Společnost Microsoft shromažďuje pouze názvy ovlivněných souborů, nikoli obsah samotných souborů. Tyto informace pomáhají určit, které systémy jsou obzvláště zranitelné vůči konkrétním hrozbám.

Nastavení aktualizací definic

Nastavení zdrojů a pořadí aktualizací klienta služby Endpoint Protection – Kliknutím na Nastavit zdroj určete zdroje pro aktualizace definic a skenovacího modulu. Můžete také určit pořadí, ve kterém se tyto zdroje použijí. Pokud je Configuration Manager zadaný jako jeden ze zdrojů, pak se ostatní zdroje použijí jenom v případě, že se aktualizacím softwaru nepodaří stáhnout aktualizace klienta.

Pokud k aktualizaci definic v klientských počítačích použijete některou z následujících metod, klientské počítače musí mít přístup k internetu.

  • Aktualizace distribuované ze služby Microsoft Update

  • Aktualizace distribuované z Centra microsoftu pro ochranu před malwarem

Důležité

Klienti stahují aktualizace definic pomocí integrovaného systémového účtu. Abyste těmto klientům umožnili připojení k internetu, musíte pro tento účet nakonfigurovat proxy server.

Pokud jste nakonfigurovali pravidlo automatického nasazení aktualizací softwaru pro doručování aktualizací definic do klientských počítačů, budou tyto aktualizace doručeny bez ohledu na nastavení aktualizací definic.