Scenario di esempio per la protezione dei computer da Malware tramite la configurazione di Endpoint Protection in Configuration Manager

 

Si applica a: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

In questo argomento viene fornito uno scenario di esempio per la modalità di implementazione di Endpoint Protection in Microsoft System Center 2012 Configuration Manager per proteggere i computer in un'organizzazione dagli attacchi malware.

Giorgio è il Configuration Manager amministratore presso la Woodgrove Bank. La banca utilizza attualmente Microsoft Forefront Endpoint Protection 2010 per proteggere i computer da attacchi malware. Inoltre, la banca utilizza criteri di gruppo Windows per assicurarsi che Windows Firewall è abilitato in tutti i computer dell'azienda e che gli utenti vengono informati quando Windows Firewall blocca un nuovo programma.

John è stato chiesto di aggiornare il software antimalware di Woodgrove Bank per System Center 2012 Endpoint Protection in modo che la banca può trarre vantaggio dalla funzionalità antimalware più recenti e in grado di gestire centralmente la soluzione antimalware dal Configuration Manager console. Questa implementazione presenta i seguenti requisiti:

  • Utilizzare Configuration Manager per gestire le impostazioni del Firewall di Windows attualmente gestiti da criteri di gruppo.

  • Utilizzare Configuration Manager gli aggiornamenti software per scaricare le definizioni malware nei computer. Se gli aggiornamenti software non sono disponibili, ad esempio se il computer non è connesso alla rete aziendale, computer necessario scaricare gli aggiornamenti delle definizioni da Microsoft Update.

  • Nei computer degli utenti è necessario eseguire un'analisi rapida di malware ogni giorno. Server, tuttavia, devono eseguire un'analisi completa ogni sabato, fuori dagli orari, all'1 del mattino

  • Inviare un messaggio di avviso ogni volta che si verifica uno qualsiasi dei seguenti eventi:

    • Malware viene rilevato su qualsiasi computer

    • Gli stessi rischi di malware viene rilevato in più del 5% dei computer

    • Gli stessi rischi di malware viene rilevato più di 5 volte in un periodo di 24 ore

    • Vengono rilevati più di 3 diversi tipi di malware in un periodo di 24 ore

  • Disinstallare la soluzione antimalware esistente.

Giorgio esegue quindi la procedura seguente per implementare Endpoint Protection:

Passaggi per l'implementazione di Endpoint Protection

Processo

Riferimento

Giorgio verifica le informazioni disponibili sui concetti di base per Endpoint Protection in Configuration Manager.

Per informazioni generali sulla Endpoint Protection, vedere Introduzione a Endpoint Protection in Configuration Manager.

Giorgio verifica e implementa i prerequisiti necessari per utilizzare Endpoint Protection.

Per informazioni sui prerequisiti per Endpoint Protection, vedere Prerequisiti per Endpoint Protection in Configuration Manager.

John installa il Endpoint Protection sito ruolo del sistema del sito di un sistema solo sul server, nella parte superiore della gerarchia di Woodgrove Bank.

Per ulteriori informazioni su come installare il Endpoint Protection ruolo del sistema del sito, vedere il Passaggio 1: Creare un ruolo del sistema del sito punto Endpoint Protection sezione il Come configurare Endpoint Protection in Configuration Manager argomento.

Giorgio configura Configuration Manager per utilizzare un server SMTP per inviare gli avvisi di posta elettronica.

Nota

È necessario configurare un server SMTP solo se si desidera ricevere una notifica da inviare tramite posta elettronica quando un Endpoint Protection viene generato l'avviso.

Per ulteriori informazioni, vedere Come configurare gli avvisi per Endpoint Protection in Configuration Manager.

Nota

Le impostazioni di notifica tramite posta elettronica sono diverse per Configuration Manager SP1 e Configuration Manager senza service pack.

Giorgio crea una raccolta di dispositivi che contiene tutti i computer e server per installare il Endpoint Protection client. Raccolta ha il nome tutti i computer protetti da Endpoint Protection.

System_CAPS_tipSuggerimento

Non è possibile configurare avvisi per raccolte di utenti.

Per ulteriori informazioni su come creare raccolte, vedere Come creare raccolte in Configuration Manager

Configura gli avvisi seguenti per la raccolta:

  • Rilevato Malware: Giorgio configura una gravità degli avvisi di critico.

  • Lo stesso tipo di malware viene rilevato un numero di computer : Giorgio configura una gravità degli avvisi di critico e specifica che l'avviso viene generato quando più del 5% dei computer dispone di software dannoso rilevato.

  • Lo stesso tipo di software dannoso è stato rilevato più volte entro l'intervallo specificato in un computer: Giorgio configura una gravità degli avvisi di critico e specifica che l'avviso viene generato quando viene rilevato malware più di 5 volte in un periodo di 24 ore.

  • Più tipi di malware vengono rilevati nello stesso computer entro l'intervallo specificato: Giorgio configura una gravità degli avvisi di critico e specifica che l'avviso viene generato quando vengono generati più di 3 tipi di malware in un periodo di 24 ore.

Nota

Il valore per gravità avviso indica il livello di avviso che verrà visualizzato nel Configuration Manager console e negli avvisi che si riceve un messaggio di posta elettronica.

Seleziona inoltre l'opzione Visualizza questa raccolta nel dashboard di Endpoint Protection in modo che è possibile monitorare gli avvisi nel Configuration Manager console.

Per ulteriori informazioni, vedere Come configurare gli avvisi per Endpoint Protection in Configuration Manager.

Giorgio configura Configuration Manager aggiornamenti software da scaricare e distribuire gli aggiornamenti delle definizioni tre volte al giorno utilizzando una regola di distribuzione automatica.

System_CAPS_importantImportante

Questa frequenza è adatta per Configuration Manager SP1. Tuttavia, per motivi di prestazioni, in Configuration Manager senza service pack, non pianificare le regole di distribuzione automatica per distribuire gli aggiornamenti delle definizioni più di una volta al giorno.

Per ulteriori informazioni, vedere la sezione Utilizzo degli aggiornamenti Software di Configuration Manager per distribuire gli aggiornamenti delle definizioni nell'argomento Come configurare gli aggiornamenti delle definizioni di Endpoint Protection in Configuration Manager.

John esamina le impostazioni nei criteri antimalware predefiniti, che contiene le impostazioni di protezione consigliate da Microsoft. Per i computer eseguire un'analisi veloce ogni giorno, modifica le impostazioni seguenti:

  • Eseguire un'analisi veloce giornaliera nei computer client: .

  • Ora pianificazione analisi veloce giornaliera: 9:00 AM.

Annota John aggiornamenti distribuiti da Microsoft Update selezionata per impostazione predefinita come origine aggiornamento definizione. Per soddisfare i requisiti aziendali, computer di scaricare le definizioni da Microsoft Update quando non ricevono Configuration Manager gli aggiornamenti software.

Per ulteriori informazioni, vedere Come creare e distribuire criteri Antimalware per Endpoint Protection in Configuration Manager.

Giorgio crea una raccolta che contiene solo i server di Woodgrove Bank denominati Woodgrove Bank server.

Per ulteriori informazioni su come creare raccolte, vedere Come creare raccolte in Configuration Manager

Giorgio crea un criterio personalizzato antimalware denominato criteri di Woodgrove Bank Server. Aggiungere solo le impostazioni per le analisi pianificate e apporta le modifiche seguenti:

  • Tipo di analisi: Full

  • Analisi giorno: sabato

  • Analisi tempo: 1:00 AM

  • Eseguire un'analisi veloce giornaliera nei computer client: No.

Per ulteriori informazioni, vedere Come creare e distribuire criteri Antimalware per Endpoint Protection in Configuration Manager.

Giorgio distribuisce il criteri di Woodgrove Bank Server criterio personalizzato antimalware per il Woodgrove Bank server insieme.

Per ulteriori informazioni, vedere la sezione Per distribuire un criterio antimalware nei computer client nell'argomento Come creare e distribuire criteri Antimalware per Endpoint Protection in Configuration Manager.

Giorgio crea un nuovo set di client personalizzate impostazioni della periferica per Endpoint Protection e nomi di questi le impostazioni di protezione Endpoint di Woodgrove Bank.

System_CAPS_warningAvviso

Se non si desidera installare e abilitare Endpoint Protection su tutti i client nella gerarchia, assicurarsi che le opzioni client gestire Endpoint Protection nei computer client e client installa Endpoint Protection nei computer client sono configurati come No nelle impostazioni del client predefinito.

Per ulteriori informazioni, vedere la sezione Passaggio 5: Configurare le impostazioni Client personalizzate per Endpoint Protection nell'argomento Come configurare Endpoint Protection in Configuration Manager.

Configura le impostazioni seguenti per Endpoint Protection:

  • Client gestire Endpoint Protection nei computer client:  

    L'impostazione e il valore assicura che tutte le classi esistenti Endpoint Protection client installato diventa gestito da Configuration Manager.

  • Client installa Endpoint Protection nei computer client: .

  • Automaticamente i software antimalware remove precedentemente installato prima dell'installazione di Endpoint Protection: .

    L'impostazione e il valore soddisfa i requisiti di business che viene rimosso il software antimalware esistente prima di Endpoint Protection viene installato e attivato.

Per ulteriori informazioni, vedere la sezione Passaggio 5: Configurare le impostazioni Client personalizzate per Endpoint Protection nell'argomento Come configurare Endpoint Protection in Configuration Manager.

Giorgio distribuisce il le impostazioni di protezione Endpoint di Woodgrove Bank impostazioni client per il tutti i computer protetti da Endpoint Protection insieme.

Per ulteriori informazioni, vedere la sezione Come creare e distribuire le impostazioni client personalizzate nell'argomento Come configurare le impostazioni client in Configuration Manager.

Giorgio utilizza la creazione guidata criteri di Firewall Windows per creare un criterio configurando le impostazioni seguenti per il profilo di dominio:

  • Abilitare Windows Firewall:

  • Notifica all'utente quando Windows Firewall blocca un nuovo programma:

Per ulteriori informazioni, vedere il Per creare un criterio di Windows Firewall sezione il Come creare e distribuire criteri di Windows Firewall per Endpoint Protection in Configuration Manager

Giorgio distribuisce il nuovo criterio firewall nella raccolta tutti i computer protetti da Endpoint Protection che ha creato in precedenza.

Per ulteriori informazioni, vedere il Per distribuire un criterio di Windows Firewall sezione il Come creare e distribuire criteri di Windows Firewall per Endpoint Protection in Configuration Manager

Giorgio utilizza le attività di gestione disponibili per Endpoint Protection per gestire le impostazioni antimalware e criteri di Windows Firewall, eseguire analisi su richiesta dei computer quando necessario, forzare il computer per scaricare le definizioni più recenti e per specificare eventuali ulteriori azioni da intraprendere quando viene rilevato malware.

Per ulteriori informazioni sui Endpoint Protection attività di gestione, vedere Come gestire Antimalware criteri e le impostazioni del Firewall per Endpoint Protection in Configuration Manager.

Giorgio utilizza i metodi seguenti per monitorare lo stato di Endpoint Protection e le azioni che vengono eseguite da Endpoint Protection:

  • Tramite il stato di System Center 2012 Endpoint Protection nodo il monitoraggio area di lavoro.

  • Tramite il Endpoint Protection nodo il asset e conformità area di lavoro.

  • Utilizzando l'elemento predefinito Configuration Manager report.

Per ulteriori informazioni sul stato di System Center 2012 Endpoint Protection nodo, vedere il Come monitorare Endpoint Protection utilizzando il System Center 2012 Endpoint Protection nodo stato sezione il Come monitorare Endpoint Protection in Configuration Manager argomento.

Per ulteriori informazioni su come monitorare Endpoint Protection negli asset e conformità dell'area di lavoro, vedere il Come monitorare Endpoint Protection nel asset e conformità dell'area di lavoro sezione il Come monitorare Endpoint Protection in Configuration Manager argomento.

Per ulteriori informazioni su come monitorare Endpoint Protection utilizzando i report, vedere il Come monitorare Endpoint Protection utilizzando i report sezione il Come monitorare Endpoint Protection in Configuration Manager argomento.

John segnala una corretta implementazione di Endpoint Protection dal suo responsabile e conferma che il computer di Woodgrove Bank ora sono protette da antimalware, secondo i requisiti di business che ha specificato.