Cenário exemplo: Use a Proteção de Pontos Finais para proteger os computadores de malware

Aplica-se a: Configuration Manager (ramo atual)

Este artigo fornece um cenário de exemplo para como pode implementar a Proteção de Pontos Finais no Gestor de Configuração para proteger os computadores da sua organização contra ataques de malware.

Scenario overview (Descrição geral do cenário)

O Gestor de Configuração é instalado e utilizado no Woodgrove Bank. Atualmente, o banco utiliza System Center Endpoint Protection para proteger computadores contra ataques de malware. Além disso, o banco utiliza a Política de Grupo do Windows para assegurar que a Firewall do Windows está ativada em todos os computadores da empresa e que os utilizadores são notificados quando esta bloqueia um programa novo.

Os administradores do Gestor de Configuração foram convidados a atualizar o software antimalware do Woodgrove Bank para System Center Endpoint Protection para que o banco possa beneficiar das mais recentes funcionalidades antimalware e ser capaz de gerir centralmente a solução antimalware a partir da consola Do Gestor de Configuração.

Requisitos comerciais

Esta implementação tem os seguintes requisitos:

  • Utilize o Gestor de Configuração para gerir as definições de firewall Windows que são atualmente geridas pela Política de Grupo.

  • Utilize atualizações de software do Gestor de Configuração para descarregar definições de malware para computadores. Se as atualizações de software não estiverem disponíveis, por exemplo, se o computador não estiver ligado à rede corporativa, os computadores devem descarregar atualizações de definição a partir do Microsoft Update.

  • Os computadores dos utilizadores devem realizar uma rápida pesquisa de malware todos os dias. No entanto, os servidores têm de efetuar uma análise completa todos os sábados, fora do horário comercial, à 1:00.

  • Enviar um alerta por e-mail sempre que ocorrer qualquer um dos seguintes eventos:

    • É detetado software maligno num computador

    • A mesma ameaça de software maligno é detetada em mais de cinco por cento dos computadores

    • A mesma ameaça de malware é detetada mais de 5 vezes em qualquer período de 24 horas

    • Mais de 3 tipos diferentes de malware são detetados em qualquer período de 24 horas

    Em seguida, os administradores fazem as seguintes etapas para implementar a Proteção de Pontos Finais:

Passos para implementar o Endpoint Protection

Processo Referência
Os administradores analisam as informações disponíveis sobre os conceitos básicos para a Proteção de Pontos Finais no Gestor de Configuração. Para obter informações gerais sobre a Proteção do Ponto Final, consulte a Proteção do Ponto Final.
Os administradores analisam e implementam os pré-requisitos necessários para a utilização da Proteção de Pontos Finais. Para obter informações sobre os pré-requisitos para a proteção do ponto final, consulte Planeamento para a Proteção de Pontos Finais.
Os administradores instalam a função do sistema de sistema endpoint Protection apenas num servidor de sistema de site, no topo da hierarquia do Woodgrove Bank. Para obter mais informações sobre como instalar a função do sistema do site endpoint Protection, consulte "Pré-requisitos" na Proteção de Pontos Finais Configure.
O gestor de configuração de administração configurar para usar um servidor SMTP para enviar os alertas de e-mail.

Nota: Só tem de configurar um servidor SMTP se pretender ser notificado por e-mail quando for gerado um alerta de Proteção de Pontos Finais.
Para obter mais informações, consulte alertas de configuração na Proteção endpoint.
Os administradores criam uma coleção de dispositivos que contém todos os computadores e servidores para instalar o cliente Endpoint Protection. Eles nomeiam esta coleção Todos os Computadores Protegidos por Endpoint Protection.

Dica: Não é possível configurar alertas para as coleções de utilizadores.
Para obter mais informações sobre como criar coleções, consulte Como criar coleções
Os administradores configuram os seguintes alertas para a coleção:

1) Malware é detetado: Os administradores configuram uma gravidade de alerta da Critical.

2) O mesmo tipo de malware é detetado em vários computadores: Os administradores configuram uma gravidade de alerta da Critical e especificam que o alerta será gerado quando mais de 5% dos computadores tiverem malware detetado.

3) O mesmo tipo de malware é detetado repetidamente dentro do intervalo especificado num computador: Os administradores configuram uma gravidade de alerta da Critical e especificam que o alerta será gerado quando o malware for detetado mais de 5 vezes num período de 24 horas.

4) Vários tipos de malware são detetados no mesmo computador dentro do intervalo especificado: Os administradores configuram uma gravidade de alerta da Critical e especificam que o alerta será gerado quando mais de 3 tipos de malware forem gerados num período de 24 horas.

O valor para Alerta Severidade indica o nível de alerta que será apresentado na consola Do Gestor de Configuração e nos alertas que recebem numa mensagem de correio eletrónico.

Além disso, selecionam a opção Ver esta coleção no painel de instrumentos de proteção endpoint para que possam monitorizar os alertas na consola Do Gestor de Configuração.
Consulte "Alertas de Configuração para Proteção de Pontos Finais" na Proteção de Pontos finais configurantes.
Os administradores configuram atualizações de software do Gestor de Configuração para descarregar e implementar atualizações de definição três vezes por dia utilizando uma regra de implementação automática. Para obter mais informações, consulte a secção "Utilizar atualizações de software do Gestor de Configuração para entregar atualizações de definição" nas atualizações de software do Gestor de Configuração para entregar atualizações de definição.
Os administradores examinam as definições na política antimalware predefinido, que contém definições de segurança recomendadas da Microsoft. Para que os computadores realizem uma verificação rápida todos os dias, alteram as seguintes definições:

1) Fazer uma verificação rápida diária nos computadores clientes: Sim.

2) Horário de verificação rápida diária: 9:00 AM.

Os administradores notam que as atualizações distribuídas a partir do Microsoft Update são selecionadas por padrão como fonte de atualização de definição. Isto preenche o requisito de negócio que os computadores descarregam definições do Microsoft Update quando não podem receber atualizações de software do Gestor de Configuração.
Ver como criar e implementar políticas antimalware para proteção de pontos finais.
Os administradores criam uma coleção que contém apenas os servidores do Woodgrove Bank chamados Woodgrove Bank Servers. Ver Como criar coleções
Os administradores criam uma política antimalware personalizada chamada Woodgrove Bank Server Policy. Adicionam apenas as definições para as verificações programadas e fazem as seguintes alterações:

Tipo de análise: Completa

Dia da análise: Sábado

Hora da análise: 1:00

Executar uma análise rápida diária nos computadores cliente: Não.
Ver como criar e implementar políticas antimalware para proteção de pontos finais.
Os administradores implementam a política de antimalware personalizado woodgrove Bank Server Policy para a coleção Woodgrove Bank Servers. Consulte "Implementar uma política antimalware para computadores clientes" Como criar e implementar políticas antimalware para artigo de Proteção de Pontos Finais.
Os administradores criam um novo conjunto de configurações personalizadas do dispositivo cliente para a Proteção de Pontos Finais e nomeia estes Definições de Proteção de Pontos Finais do Woodgrove Bank.

Nota: Se não pretender instalar e ativar a Endpoint Protection em todos os clientes da sua hierarquia, certifique-se de que as opções Gerir o cliente Endpoint Protection nos computadores clientes e instalar o cliente Endpoint Protection nos computadores clientes estão configuradas como Não nas definições do cliente predefinido.
Para obter mais informações, consulte Definições de cliente personalizado configurar para proteção de ponto final.
Configuram as seguintes definições para a Proteção do Ponto Final:

Gerir o cliente do Endpoint Protection nos computadores cliente: Sim

Esta definição e valor garantem que qualquer cliente existente de Endpoint Protection que esteja instalado seja gerido pelo Gestor de Configuração.

Instalar o cliente do Endpoint Protection nos computadores cliente: Sim.

Nota A partir do Gestor de Configuração 1802, Windows 10 dispositivos não precisam de ter o agente de Proteção de Pontos Finais instalado. Se já estiver instalado em dispositivos Windows 10, o Gestor de Configuração não o removerá. Os administradores podem remover o agente de Proteção Endpoint em Windows 10 dispositivos que estão a executar pelo menos a versão do cliente de 1802.
Para obter mais informações, consulte Definições de cliente personalizado configurar para proteção de ponto final.
Os administradores implantam a Proteção de Pontos Finais do Woodgrove Bank Definições as definições dos clientes para a coleção All Computers Protected by Endpoint Protection. Consulte "Configurar Definições de cliente personalizado para proteção de pontos de finalização" em Configurar a Proteção de Pontos finais no Gestor de Configuração.
Os administradores usam o Assistente de Política de Firewall Create Windows para criar uma política configurando as seguintes definições para o perfil de domínio:

1) Ativar Windows Firewall: Sim

2)
Notificar o utilizador quando a Firewall do Windows bloquear um programa novo: Sim
Ver como criar e implementar políticas de firewall Windows para proteção de pontos finais
Os administradores implementam a nova política de firewall para a coleção All Computers Protected by Endpoint Protection que criaram anteriormente. Consulte "Implementar uma política de Firewall Windows" na forma de criar e implementar políticas de firewall Windows para proteção de pontos finais
Os administradores usam as tarefas de gestão disponíveis para a Endpoint Protection para gerir as políticas de antimalware e Windows Firewall, executar pesquisas a pedido de computadores quando necessário, forçar os computadores a descarregar as definições mais recentes e especificar quaisquer outras ações a tomar quando o malware for detetado. Ver como gerir políticas antimalware e definições de firewall para proteção de pontos de final
Os administradores utilizam os seguintes métodos para monitorizar o estado da Proteção do Ponto Final e as ações que são tomadas pela Endpoint Protection:

1) Utilizando o nó de estado de proteção do ponto final sob segurança no espaço de trabalho de monitorização.

2) Utilizando o nó de proteção de pontos finais no espaço de trabalho Ativos e Conformidade.

3) Utilizando os relatórios do Gestor de Configuração incorporado.
Ver Como monitorizar a Proteção de Pontos Finais

Os administradores reportam uma implementação bem sucedida da Endpoint Protection ao seu gestor, e confirma que os computadores do Woodgrove Bank estão agora protegidos contra antimalware, de acordo com os requisitos de negócio que lhes foram dados.

Passos seguintes

Para mais informações, consulte Como Configurar a Proteção de Pontos Finais