Configuration Manager の Endpoint Protection の構成方法

 

適用対象: System Center 2012 R2 Endpoint Protection,System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 Endpoint Protection SP1,System Center 2012 Endpoint Protection,System Center 2012 R2 Configuration Manager SP1

Endpoint Protection を使用して System Center 2012 Configuration Manager クライアント コンピューターのセキュリティとマルウェアを管理するには、事前にこのトピックの構成手順を実行する必要があります。

Endpoint Protection の Configuration Manager の構成手順

次の表に、Endpoint Protection の構成に関する手順、説明、および参照情報を示します。

System_CAPS_important重要

Windows 10 コンピューターの Endpoint Protection を管理する場合は、System Center 2012 Configuration Manager を構成して Windows Defender のマルウェア定義を更新し、配布する必要があります。 Windows Defender は Windows 10 に含まれているため、Endpoint Protection エージェントをクライアント コンピューターに展開する必要はありません。

手順

説明

説明

手順 1:Endpoint Protection ポイント サイト システムの役割を作成する

Endpoint Protection を使用するには、事前に Endpoint Protection ポイント サイト システムの役割をインストールしておく必要があります。 これは、1 つのサイト システム サーバーのみにインストールします。また、中央管理サイトまたはスタンドアロンのプライマリ サイトの階層の最上位にインストールしなければなりません。

このトピックの「手順 1: Endpoint Protection ポイント サイト システムの役割を作成する」をご覧ください。

手順 2:Endpoint Protection のアラートを構成する

マルウェア感染などの特定のイベントが発生すると、管理者にアラートが通知されます。 アラートは、[監視] ワークスペースの [アラート] ノードに表示されます。必要に応じて、指定のユーザーに電子メールで送信することもできます。

Configuration Manager での Endpoint Protection 用のアラートの構成方法」を参照してください。

手順 3:Endpoint Protection クライアント用の定義ファイルの更新ソースを構成する

Endpoint Protection は、さまざまなソースを使用して定義ファイルの更新をダウンロードするように構成できます。

Configuration Manager で Endpoint Protection の定義の更新を構成する方法」を参照してください。

手順 4: 既定のマルウェア対策ポリシーを構成してカスタムのマルウェア対策ポリシーを作成する

既定のマルウェア対策ポリシーは、Endpoint Protection クライアントがインストールされると適用されます。 展開されているカスタムのポリシーは、クライアント展開の 60 分以内に既定で適用されます。Endpoint Protection クライアントを展開する前に、マルウェア対策ポリシーを構成していることを確認します。

Configuration Manager で Endpoint Protection 用にマルウェア対策ポリシーを作成し展開する方法」を参照してください。

手順 5: Endpoint Protection のカスタム クライアント設定を構成する

カスタム クライアント設定を使用して、階層内のコンピューターのコレクションに Endpoint Protection 設定を構成します。

System_CAPS_important重要

階層内のすべてのコンピューターに適用する場合を除き、既定の Endpoint Protection クライアント設定は構成しないでください。

このトピックの「手順 5: Endpoint Protection のカスタム クライアント設定を構成する」をご覧ください。

Configuration Manager で Endpoint Protection を構成するための補足手順

前の表の手順で補足手順が必要な場合は、次の情報を参考にしてください。

手順 1: Endpoint Protection ポイント サイト システムの役割を作成する

Endpoint Protection の新しいサイト システム サーバーをインストールするのか、既存のサイト システム サーバーをインストールするのかに応じて、次のいずれかの手順に従います。

System_CAPS_important重要

Endpoint Protection ポイントをインストールすると、Endpoint Protection ポイントをホストするサーバーに Endpoint Protection クライアントがインストールされます。 サーバーにインストールされている既存のマルウェア対策ソリューションとの共存を有効にするサービスとスキャンは、このクライアント上で無効になっています。 後で Endpoint Protection による管理にこのサーバーを有効にする際、サードパーティのマルウェア対策ソリューションを削除するオプションを選択しても、サードパーティ製品は削除されません。 サードパーティ製品は手動でアンインストールする必要があります。

Endpoint Protection ポイント サイト システムの役割をインストールして構成するには (新しいサイト システム サーバーの場合)

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [管理] ワークスペースで [サイトの構成] を展開して、[サーバーとサイト システムの役割] をクリックします。

  3. [ホーム] タブの [作成] グループで、[サイト システム サーバーの作成] をクリックします。

  4. [全般] ページで、サイト システムの全般設定を指定し、[次へ] をクリックします。

  5. [システムの役割の選択] ページの利用可能な役割の一覧で [Endpoint Protection ポイント] を選択し、[次へ] をクリックします。

  6. [Endpoint Protection] ページで [Endpoint Protection のライセンス条項に同意します] チェック ボックスをオンにし、[次へ] をクリックします。

    System_CAPS_important重要

    ライセンス条項に同意しない限り、Endpoint Protection の Configuration Manager を使用することはできません。

  7. [Microsoft Active Protection サービス] ページで、新しい定義の作成に役立つようにマイクロソフトに送信する情報のレベルを選択し、[次へ] をクリックします。

    [!メモ]

    このオプションで、既定で使用する Microsoft Active Protection サービスの設定を構成します。 その後で、作成した各マルウェア対策ポリシーのカスタム設定を構成できます。 Microsoft Active Protection サービスに参加すると、常に最新のマルウェア対策定義を提供するのに役立つマルウェア サンプルをマイクロソフトに提供して、コンピューターのセキュリティを強化できます。 また、Microsoft Active Protection サービスに参加すると、Endpoint Protection クライアントが動的シグネチャ サービスを使用して、Windows Update に公開される前に新しい定義をダウンロードできます。 詳細については、「Configuration Manager で Endpoint Protection 用にマルウェア対策ポリシーを作成し展開する方法」をご覧ください。

  8. ウィザードを完了します。

Endpoint Protection ポイント サイト システムの役割をインストールして構成するには (既存サイト システム サーバーの場合)

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [管理] ワークスペースで [サイトの構成] を展開し、[サーバーとサイト システムの役割] をクリックしてから、Endpoint Protection に使用するサーバーを選択します。

  3. [ホーム] タブの [サーバー] グループで、[サイト システムの役割の追加] をクリックします。

  4. [全般] ページで、サイト システムの全般設定を指定し、[次へ] をクリックします。

  5. [システムの役割の選択] ページの利用可能な役割の一覧で [Endpoint Protection ポイント] を選択し、[次へ] をクリックします。

  6. [Endpoint Protection] ページで [Endpoint Protection のライセンス条項に同意します] チェック ボックスをオンにし、[次へ] をクリックします。

    System_CAPS_important重要

    ライセンス条項に同意しない限り、Endpoint Protection の Configuration Manager を使用することはできません。

  7. [Microsoft Active Protection サービス] ページで、新しい定義の作成に役立つようにマイクロソフトに送信する情報のレベルを選択し、[次へ] をクリックします。

    [!メモ]

    このオプションで、既定で使用する Microsoft Active Protection サービスの設定を構成します。 構成した各マルウェア対策ポリシーのカスタム設定を構成できます。 詳細については、「Configuration Manager で Endpoint Protection 用にマルウェア対策ポリシーを作成し展開する方法」をご覧ください。

  8. ウィザードを完了します。

手順 5: Endpoint Protection のカスタム クライアント設定を構成する

この手順に従って、階層内のコンピューターのコレクションに展開する Endpoint Protection のカスタム クライアント設定を構成します。

System_CAPS_important重要

階層内のすべてのコンピューターに適用する場合を除き、既定の Endpoint Protection クライアント設定は構成しないでください。

Endpoint Protection を有効にしてカスタム クライアント設定を構成するには

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [管理] ワークスペースで [クライアント設定] をクリックします。

  3. [ホーム] タブの [作成] グループで、[カスタム クライアント デバイス設定の作成] をクリックします。

  4. [カスタム クライアント デバイス設定の作成] ダイアログ ボックスで、設定のグループの名前と説明を指定し、[Endpoint Protection] を選択します。

  5. 必要な Endpoint Protection クライアント設定を構成します。 構成できる Endpoint Protection クライアント設定の完全な一覧については、「Endpoint Protection」の「Configuration Manager のクライアント設定について」セクションを参照してください。

    System_CAPS_important重要

    Endpoint Protection のクライアント設定を構成するには、事前に Endpoint Protection サイト システムの役割をインストールしておく必要があります。

  6. [OK] をクリックして [カスタム クライアント デバイス設定の作成] ダイアログ ボックスを閉じます。 新しいクライアント設定は、[管理] ワークスペースの [クライアント設定] ノードに表示されます。

  7. カスタム クライアント設定を使用する前に、この設定をコレクションに展開する必要があります。 展開するカスタム クライアント設定を選択し、[ホーム] タブの [クライアント設定] グループで [展開] をクリックします。

  8. [コレクションの選択] ダイアログ ボックスで、クライアント設定を展開するコレクションを選択し、[OK] をクリックします。 新しい展開は、詳細ウィンドウの [展開] タブに表示されます。

クライアント コンピューターは、次にクライアント ポリシーをダウンロードするときに、これらの設定で構成されます。 1 つのクライアントのポリシーの取得を開始する場合は、「Configuration Manager クライアントのポリシーの取得開始」トピックの「Configuration Manager でクライアントを管理する方法」セクションを参照してください。

Configuration Manager で Endpoint Protection の望ましくない可能性がアプリケーションの保護ポリシーを展開する方法

潜在的な望ましくないアプリケーション (PUA) は、評価および研究主導の識別に基づく脅威の分類です。 ほとんどの場合、このような PUA アプリケーションには、不要なアプリケーション bundlers または、バンドルされているアプリケーションです。

PUA から、Microsoft System Center 2012 Endpoint Protection Configuration Manager のマルウェア対策ポリシーを展開することにより、ユーザーを保護できます。 既定では、保護のポリシー設定が無効です。 有効な場合、この機能はダウンロード PUA をブロックして、インストール時。 ただし、環境内の特定のニーズを満たすよう特定のファイルやフォルダーを除外することができます。

PUA 保護を有効にする構成項目を作成するには

  1. Configuration Manager コンソールで、[資産とコンプライアンス] をクリックします。

  2. 資産とコンプライアンス ] ワークスペースで、開く、 コンプライアンス設定 フォルダーを右クリックし 構成項目, 、] をクリックし、 構成項目の作成します。

  3. 構成項目 ウィザードで、名前を選択し、 Windows デスクトップおよびサーバー (カスタム) クリックする前に、構成項目の種類 します。 対象のオペレーティング システムを選択し、次のページに移動します。 クリックして 新規 に新しい設定を作成します。

  4. 設定の作成 ] ダイアログ ボックスで、設定の名前を指定し、次の情報を指定します。

    - **データ型** – Select、 **整数** に設定する値の型に使用される型
    
    - **Hive** 選択 - HKEY\_LOCAL\_MACHINE hive ルートとして
    
    - **キー** – キーに従って、製品のバージョンを選択します。
    
      <table>
      <colgroup>
      <col style="width: 50%" />
      <col style="width: 50%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><p>[製品名]</p></th>
      <th><p>キー</p></th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>System Center Endpoint Protection</p></td>
      <td><p>Software\Policies\Microsoft\Microsoft Antimalware\MpEngine</p></td>
      </tr>
      <tr class="even">
      <td><p>Forefront Endpoint Protection</p></td>
      <td><p>Software\Policies\Microsoft\Microsoft Antimalware\MpEngine</p></td>
      </tr>
      <tr class="odd">
      <td><p>Microsoft Security Essentials</p></td>
      <td><p>Software\Policies\Microsoft\Microsoft Antimalware\MpEngine</p></td>
      </tr>
      <tr class="even">
      <td><p>Windows Defender</p></td>
      <td><p>Software\Policies\Microsoft\Windows Defender\MpEngine</p></td>
      </tr>
      </tbody>
      </table>
    
    - **値** – Enter MpEnablePus レジストリ値の名前を構成します。
    
    - 選択 **このレジストリ値は 64 ビット アプリケーションに関連付けられた**
    

    クリックして、 対応規則 ] タブ

  5. 対応規則 ] タブをクリックして、 新規 ルールを作成する] ボタンをクリックします。

  6. ルールを作成する ] ダイアログ ボックスで、次の情報を指定します。

    - 入力、 **名** ルール
    
    - 選択、 **規則の種類** の **値**
    
    - 選択、 **Equals** 比較演算子
    
    - 展開したい PUA 設定に従って値を選択します。
    
      <table>
      <colgroup>
      <col style="width: 50%" />
      <col style="width: 50%" />
      </colgroup>
      <tbody>
      <tr class="odd">
      <td><p>値</p></td>
      <td><p>説明</p></td>
      </tr>
      <tr class="even">
      <td><p>0 (既定)</p></td>
      <td><p>不要なアプリケーションの保護が無効になっている可能性があります。</p></td>
      </tr>
      <tr class="odd">
      <td><p>1</p></td>
      <td><p>不要なアプリケーションの保護が有効になっている可能性があります。 望ましくない動作にアプリケーションをダウンロードおよびインストール時にブロックされます。</p></td>
      </tr>
      </tbody>
      </table>
    
    - 選択 **サポートされている場合、準拠していない規則を修復する**
    
    - 選択 **この設定インスタンスが見つからない場合は、非準拠を報告**
    

    をクリックして OK ルールの作成を完了します。

  7. 設定の作成 ] ダイアログ ボックスをクリックして 適用します。 クリックして の概要] ダイアログ ボックスが表示されるまでです。 クリックする前に、構成設定を検証 閉じるします。 構成項目が作成されました。

構成項目は、構成基準に追加して配置することができます。 参照してください Configuration Manager のコンプライアンス設定の構成基準の作成方法Configuration Manager での構成基準の展開方法 の詳細。 構成基準を展開するときに選択 サポートされている場合、準拠していない規則を修復する 構成項目レジストリ キーの変更が適用できるようにします。

特定のファイルやフォルダーを除外するには

  • 「除外の設定」を参照してください Configuration Manager で Endpoint Protection 用にマルウェア対策ポリシーを作成し展開する方法 PUA のマルウェア対策ポリシー特定のファイルまたはフォルダーを除外します。

  • Windows Defender を管理するため、最小要件は、Configuration Manager 2012 SP2 および Defender バージョン 4.8.X.X またはそれ以降。

  • によって、ポリシーを適用するには、ユーザーは、復元し、検出されたファイルを無視するには、ユーザー インターフェイスを除外する項目を追加できます。

[!メモ]

その影響を受けたコンピューターのセキュリティが低下するための除外を追加するときは注意をしてください。

アプリケーション PUA として正常に特定したことを考えの場合にファイルを提出、 マルウェア対応センター 評価のためです。 コメント フィールドの PUA 検出名を記入します。