Konfigurowanie niestandardowych ustawień klienta dla programu Endpoint Protection

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Ta procedura konfiguruje niestandardowe ustawienia klienta programu Endpoint Protection, które można wdrożyć w kolekcjach urządzeń w hierarchii.

Ważna

Skonfiguruj domyślne ustawienia klienta programu Endpoint Protection tylko wtedy, gdy masz pewność, że mają one być stosowane do wszystkich komputerów w hierarchii.

Aby włączyć program Endpoint Protection i skonfigurować niestandardowe ustawienia klienta

  1. W konsoli Configuration Manager kliknij pozycję Administracja.

  2. W obszarze roboczym Administracja kliknij pozycję Ustawienia klienta.

  3. Na karcie Narzędzia główne w grupie Tworzenie kliknij pozycję Utwórz niestandardowe ustawienia urządzenia klienckiego.

  4. W oknie dialogowym Tworzenie niestandardowych ustawień urządzenia klienta podaj nazwę i opis grupy ustawień, a następnie wybierz pozycję Endpoint Protection.

  5. Skonfiguruj wymagane ustawienia klienta programu Endpoint Protection. Aby uzyskać pełną listę ustawień klienta programu Endpoint Protection, które można skonfigurować, zobacz sekcję Endpoint Protection w temacie About client settings (Informacje o ustawieniach klienta).

    Ważna

    Zainstaluj rolę systemu lokacji programu Endpoint Protection przed skonfigurowaniem ustawień klienta programu Endpoint Protection.

  6. Kliknij przycisk OK , aby zamknąć okno dialogowe Tworzenie niestandardowych ustawień urządzenia klienckiego . Nowe ustawienia klienta są wyświetlane w węźle Ustawienia klienta obszaru roboczego Administracja .

  7. Następnie wdróż niestandardowe ustawienia klienta w kolekcji. Wybierz niestandardowe ustawienia klienta, które chcesz wdrożyć. Na karcie Narzędzia główne w grupie Ustawienia klienta kliknij pozycję Wdróż.

  8. W oknie dialogowym Wybieranie kolekcji wybierz kolekcję, do której chcesz wdrożyć ustawienia klienta, a następnie kliknij przycisk OK. Nowe wdrożenie jest wyświetlane na karcie Wdrożenia w okienku szczegółów.

Klienci są konfigurowane z tymi ustawieniami podczas następnego pobierania zasad klienta. Aby uzyskać więcej informacji, zobacz Inicjowanie pobierania zasad dla klienta Configuration Manager.

Jak aprowizować klienta programu Endpoint Protection na obrazie dysku

Zainstaluj klienta programu Endpoint Protection na komputerze, którego zamierzasz użyć jako źródła obrazu dysku na potrzeby wdrożenia systemu operacyjnego Configuration Manager. Ten komputer jest zwykle nazywany komputerem odniesienia. Po utworzeniu obrazu systemu operacyjnego użyj Configuration Manager wdrożenia systemu operacyjnego, aby wdrożyć obraz.

Ważna

Począwszy od Windows 10 i Windows Server 2016, Windows Defender jest instalowany domyślnie. Ta procedura nie jest potrzebna w tych wersjach ani w nowszych wersjach systemu Windows.

Poniższe procedury ułatwiają instalowanie i konfigurowanie klienta programu Endpoint Protection na komputerze odniesienia.

Wymagania wstępne

Poniższa lista zawiera wymagane wymagania wstępne dotyczące instalowania oprogramowania klienckiego programu Endpoint Protection na komputerze odniesienia.

  • Musisz mieć dostęp do pakietu instalacyjnego klienta programu Endpoint Protection ,scepinstall.exe. Ten pakiet znajduje się w folderze Client folderu instalacji Configuration Manager na serwerze lokacji.

  • Aby wdrożyć klienta programu Endpoint Protection z wymaganą konfiguracją organizacji, utwórz i wyeksportuj zasady ochrony przed złośliwym kodem. Następnie określ te zasady podczas ręcznej instalacji klienta programu Endpoint Protection. Aby uzyskać więcej informacji, zobacz Jak tworzyć i wdrażać zasady ochrony przed złośliwym kodem.

    Uwaga

    Nie można wyeksportować domyślnych zasad ochrony przed złośliwym kodem klienta.

  • Jeśli chcesz zainstalować klienta programu Endpoint Protection z najnowszymi definicjami, pobierz go z Windows Defender Security Intelligence.

Jak zainstalować klienta programu Endpoint Protection na komputerze odniesienia

Zainstaluj klienta programu Endpoint Protection lokalnie na komputerze odniesienia z poziomu wiersza polecenia. Najpierw pobierz plik instalacyjny scepinstall.exe. Aby uzyskać więcej informacji, zobacz Instalowanie klienta programu Endpoint Protection w wierszu polecenia.

W razie potrzeby dołącz również wstępnie skonfigurowane zasady ochrony przed złośliwym kodem lub wcześniej wyeksportowane zasady ochrony przed złośliwym kodem.

Aby zainstalować klienta programu Endpoint Protection z poziomu wiersza polecenia

  1. Skopiuj scepinstall.exe z folderu Client folderu instalacyjnego Configuration Manager na komputer, na którym chcesz zainstalować oprogramowanie klienckie programu Endpoint Protection.

  2. Otwórz okno wiersza polecenia jako administrator. Zmień katalog na folder przy użyciu instalatora. Następnie uruchom polecenie scepinstall.exe, dodając wymagane dodatkowe właściwości wiersza polecenia:

    Właściwość Opis
    /s Uruchamianie instalatora w trybie dyskretnym
    /q Wyodrębnianie plików konfiguracji w trybie dyskretnym
    /i Uruchamianie instalatora normalnie
    /policy Określanie pliku zasad ochrony przed złośliwym kodem w celu skonfigurowania klienta podczas instalacji
    /sqmoptin Zgoda na program poprawy jakości obsługi klienta Microsoft (CEIP)

  3. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby ukończyć instalację klienta.

  4. Jeśli pobrano najnowszy pakiet definicji aktualizacji, skopiuj pakiet na komputer kliencki, a następnie kliknij dwukrotnie pakiet definicji, aby go zainstalować.

    Uwaga

    Po zakończeniu instalacji klienta programu Endpoint Protection klient automatycznie przeprowadza sprawdzanie aktualizacji definicji. Jeśli to sprawdzanie aktualizacji zakończy się pomyślnie, nie trzeba ręcznie instalować najnowszego pakietu aktualizacji definicji.

Przykład: instalowanie klienta przy użyciu zasad ochrony przed złośliwym kodem

scepinstall.exe /policy <full path>\<policy file>

Weryfikowanie instalacji klienta programu Endpoint Protection

Po zainstalowaniu klienta programu Endpoint Protection na komputerze odniesienia sprawdź, czy klient działa prawidłowo.

  1. Na komputerze odniesienia otwórz System Center Endpoint Protection z obszaru powiadomień systemu Windows.

  2. Na karcie Narzędzia główne okna dialogowego System Center Endpoint Protection sprawdź, czy ochrona w czasie rzeczywistym jest ustawiona na Włączone.

  3. Sprawdź, czy dla definicji wirusów i programów szpiegujących jest wyświetlana aktualność.

  4. Aby upewnić się, że komputer odniesienia jest gotowy do przetwarzania obrazów, w obszarze Opcje skanowania wybierz pozycję Pełne, a następnie kliknij przycisk Skanuj teraz.

Przygotowywanie klienta programu Endpoint Protection do przetwarzania obrazów

Wykonaj następujące kroki, aby przygotować klienta programu Endpoint Protection do przetwarzania obrazów:

  1. Na komputerze odniesienia zaloguj się jako administrator.

  2. Pobierz i zainstaluj program PsExec z systemu Windows SysInternals.

  3. Uruchom wiersz polecenia jako administrator, zmień katalog na folder, w którym zainstalowano narzędzie PsTools, a następnie wpisz następujące polecenie:

    psexec.exe -s -i regedit.exe

    Ważna

    Zachowaj ostrożność podczas uruchamiania Edytora rejestru w ten sposób. PsExec.exe uruchamia go w kontekście LocalSystem.

  4. W Edytorze rejestru usuń następujące klucze rejestru:

    Ważna

    Usuń te klucze rejestru jako ostatni krok przed obrazowaniem komputera odniesienia. Klient programu Endpoint Protection ponownie tworzy te klucze po jego uruchomieniu. W przypadku ponownego uruchomienia komputera odniesienia ponownie usuń klucze rejestru.

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\InstallTime

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanRun

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanType

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastQuickScanID

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastFullScanID

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT\GUID

Teraz możesz przygotować komputer odniesienia do przetwarzania obrazów.

Podczas wdrażania obrazu systemu operacyjnego zawierającego klienta programu Endpoint Protection automatycznie raportuje informacje do przypisanej Configuration Manager lokacji urządzenia. Klient pobiera i stosuje wszelkie docelowe zasady ochrony przed złośliwym kodem.

Zobacz też

Aby uzyskać więcej informacji na temat wdrażania systemu operacyjnego w Configuration Manager, zobacz Zarządzanie obrazami systemu operacyjnego.