Skapa och distribuera principerna för skadlig programvara för Endpoint Protection i Configuration Manager

 

Gäller för: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Du kan distribuera principerna för skadlig programvara till samlingar med Microsoft System Center 2012 Configuration Manager klientdatorer att ange hur Endpoint Protection skyddar dem från skadlig programvara och andra hot.De här principerna för skadlig programvara innehåller information om sökning schema, vilka typer av filer och mappar till sökning och åtgärderna som vidtas om skadlig kod har upptäckts.När du aktiverar Endpoint Protection, en skadlig standardprincip används på klientdatorer.Du kan också använda ytterligare principmallar som tillhandahålls eller skapa egna anpassade protections principer för att tillgodose i din miljö.

System_CAPS_noteInformation

Configuration Manager tillhandahåller en uppsättning fördefinierade mallar som har optimerats för olika scenarier och kan importeras till Configuration Manager.Mallarna finns i mappen < ConfigMgr installera mapp >\AdminConsole\XMLStorage\EPTemplates.

System_CAPS_importantViktigt

Om du skapar en ny skadlig princip och distribuera den till en samling åsidosätter standard policyn för skadlig kod i den här policyn för skadlig kod.

Använda procedurer i det här avsnittet för att skapa eller importera principerna för skadlig programvara och tilldela dem till System Center 2012 Configuration Manager klientdatorer i hierarkin.

System_CAPS_noteInformation

Innan du utför dessa procedurer måste du se till att Configuration Manager har konfigurerats för Endpoint Protection enligt beskrivningen i .

Så här ändrar du standardvärdet policyn för skadlig kod

  1. Klicka på Tillgångar och efterlevnad i Configuration Manager-konsolen.

  2. I den tillgångar och efterlevnad arbetsytan Expandera Endpoint Protection, och klicka sedan på principerna för skadlig programvara.

  3. Välj policyn för skadlig kod standardprincip för klienten skadlig och klicka sedan på den Start under den Egenskaper klickar Egenskaper.

  4. I den standardprincip skadlig dialogrutan och konfigurera inställningarna som du behöver för den här policyn för skadlig kod och klicka sedan på OK.

    System_CAPS_noteInformation

    En lista över inställningar som du kan konfigurera Se Lista över skadlig principinställningar i det här avsnittet.

Skapa en ny policyn för skadlig kod

  1. Klicka på Tillgångar och efterlevnad i Configuration Manager-konsolen.

  2. I den tillgångar och efterlevnad arbetsytan Expandera Endpoint Protection, och klicka sedan på principerna för skadlig programvara.

  3. På den Start under den skapa klickar Skapa policyn för skadlig kod.

  4. I den allmänna delen av den Skapa policyn för skadlig kod dialogrutan Ange ett namn och en beskrivning för principen.

  5. I den Skapa policyn för skadlig kod dialogrutan och konfigurera inställningarna som du behöver för den här policyn för skadlig kod och klicka sedan på OK.

    System_CAPS_noteInformation

    En lista över inställningar som du kan konfigurera Se Lista över skadlig principinställningar i det här avsnittet.

  6. Kontrollera att nya policyn för skadlig kod visas i den principerna för skadlig programvara lista.

Så här importerar du ett policyn för skadlig kod

  1. Klicka på Tillgångar och efterlevnad i Configuration Manager-konsolen.

  2. I den tillgångar och efterlevnad arbetsytan Expandera Endpoint Protection, och klicka sedan på principerna för skadlig programvara.

  3. I den Start under den skapa klickar Importera.

  4. I den Öppna dialogrutan Bläddra till filen för att importera och klicka sedan på Öppna.

  5. I den Skapa policyn för skadlig kod dialogrutan skriver, granskar du inställningarna om du vill använda och klicka sedan på OK.

  6. Kontrollera att nya policyn för skadlig kod visas i den principerna för skadlig programvara lista.

Distribuera en policyn för skadlig kod till klientdatorer

  1. Klicka på Tillgångar och efterlevnad i Configuration Manager-konsolen.

  2. I den tillgångar och efterlevnad arbetsytan Expandera Endpoint Protection, och klicka sedan på principerna för skadlig programvara.

  3. I den principerna för skadlig programvara Välj policyn för skadlig kod ska distribueras.Klicka sedan på den Start under den distribution klickar distribuera.

    System_CAPS_noteInformation

    Den distribuera alternativet kan inte användas med klienten standardprincip för skadlig kod.

  4. I den Välj samlingen dialogrutan Välj samlingen enheten som du vill distribuera policyn för skadlig kod och klicka sedan på OK.

Lista över skadlig principinställningar

Många av inställningarna för skadlig är förklaring.Använd följande avsnitt för mer information om de inställningar som kan behöva mer information innan du konfigurerar dem.

Schemalagda sökningar

Inställningsnamn

Beskrivning

Genomsökningstyp

Du kan ange ett av två typer av genomgångar ska köras på klientdatorer:

  • Snabb genomgång – den här typen av sökning kontrollerar InMemory-processer och mappar där skadlig kod vanligtvis har hittats.Den kräver färre resurser än en fullständig genomsökning.

  • Fullständig sökning – den här typen av sökning lägger till en fullständig kontroll av alla lokala filer och mappar till de objekt som lästs in i en snabb genomgång.Sökningen tar längre tid än en snabb genomgång och använder flera bearbetning och minne processorresurser på klientdatorer.

I de flesta fall använda Snabb genomgång minimera användning av systemresurser på klientdatorer.Om borttagning av skadlig kod kräver en fullständig genomsökning Endpoint Protection genererar en avisering som visas i den Configuration Manager konsolen.

Standardvärdet är Snabb genomgång.

Slumpmässig starttider schemalagd sökning (inom 30 minuter)

Välj Sant (Configuration Manager utan service Pack) eller Ja (Configuration Manager SP1) om du vill undvika att nätverket, vilket kan inträffa om alla datorer skicka sina skadlig igenom resultat för att den Configuration Manager databasen samtidigt.

Den här inställningen används också när du kör flera virtuella datorer på en värd.Välj det här alternativet för att minska mängden samtidiga diskåtkomst för skadlig sökning.

System_CAPS_noteInformation

I Configuration Manager SP1 kan den här inställningen visas i den Avancerat delen av skadlig principinställningar.

Skanna inställningar

Inställningsnamn

Beskrivning

Skanna nätverksenheter när du kör en fullständig sökning

Ange till Sant (Configuration Manager utan service Pack) eller Ja (Configuration Manager SP1) om du vill söka igenom alla mappade nätverksenheter på klientdatorer.

System_CAPS_importantViktigt

Om den här inställningen kan det betydligt inläsningstid på klientdatorer.

Standardåtgärder

Välj åtgärden som ska vidtas om skadlig kod har upptäckts på klientdatorer.Följande åtgärder kan användas, beroende på varning hot andelen den skadliga kod.

  • Rekommenderas – Använd åtgärd i definitionsfilen av skadlig kod.

  • Karantän – karantän den skadliga koden men inte bort.

  • Ta bort – ta bort den skadliga programvaran från datorn.

  • Tillåt – inte ta bort eller karantän den skadliga koden.

Realtidsskydd

Inställningsnamn

Beskrivning

Aktivera realtidsskydd

Ange till Sant (Configuration Manager utan service Pack) eller Ja (Configuration Manager SP1) om du vill konfigurera inställningar för realtidsskydd för klientdatorer.Vi rekommenderar att du aktiverar den här inställningen.

Övervaka fil- och aktiviteter på datorn

Ange till Sant (Configuration Manager utan service Pack) eller Ja (Configuration Manager SP1) om du vill Endpoint Protection att övervaka när filer och program som ska starta ska köras på klientdatorer och varningsmeddelande om åtgärder som att utföra eller åtgärder som vidtas på dem.

Skanna systemfiler

Den här inställningen kan du konfigurera om inkommande, utgående eller inkommande och utgående systemfiler övervakas för skadlig kod.På grund av prestanda, du kan behöva ändra standardvärdet för igenom inkommande och utgående filer om en server har hög inkommande eller utgående filen aktivitet.

Aktivera prestandaövervakning

Aktivera den här inställningen kan använda datorn och data från att identifiera okända hot.När den här inställningen är aktiverad kan det öka den tid som krävs för att söka igenom datorer för skadlig kod.

Aktivera skydd mot nätverksbaserade kod

Aktivera den här inställningen för att skydda datorer mot kända nätverk kod genom att kontrollera nätverkstrafik och blockera alla misstänkt aktivitet.

Aktivera skript sökning

I Configuration Manager utan service Pack.

Aktivera den här inställningen om du vill söka igenom alla skript som körs på datorer för misstänkt aktivitet.

Inställningar för undantag

Inställningsnamn

Beskrivning

Exkluderade filer och mappar

Klicka på Ange att öppna den Konfigurera filen och mappen undantag dialogrutan rutan och ange namn på filer och mappar ska undantas från Endpoint Protection igenom.

Om du vill undanta filer och mappar som finns på en mappad nätverksenhet ange namnet på varje mapp i nätverksenheten enskilt.Exempel: om en nätverksenhet mappas som F:\MyFolder och innehåller undermappar med namnet Mapp1 mapp2 och mappen 3, ange följande undantag:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

Avancerad

Inställningsnamn

Beskrivning

Aktivera sökning reparse-punkt

För System Center 2012 Configuration Manager SP1 och senare:

Ange till Ja om du vill att Endpoint Protection kan skanna NTFS referenspunkter.

Mer information om referenspunkter finns referenspunkter i Windows Dev Center.

Åsidosättningar av hot

Inställningsnamn

Beskrivning

Hot namn och åsidosätter åtgärd

Klicka på Ange att anpassa den justering åtgärden som ska vidtas för varje hot-ID om det upptäcks under en sökning.

System_CAPS_noteInformation

Listan över hot namn kanske inte är tillgängliga omedelbart efter konfigurationen av Endpoint Protection.Vänta tills den Endpoint Protection punkt har synkroniserats informationen om hot och försök sedan igen.

Uppdaterade definitioner

Inställningsnamn

Beskrivning

Ange datakällor och för Endpoint Protection client uppdateringar

Klicka på Ange källa att ange källor för definition och avsökning av motorn uppdateringar och även ange i vilken ordning som de används.Om Configuration Manager har angetts som källor, sedan de andra källorna används bara om programuppdateringar går inte att hämta klientuppdateringar av.

Om du använder någon av följande metoder för att uppdatera definitioner på klientdatorer måste klientdatorerna att kunna ansluta till Internet.

  • Uppdateringar som distribueras från Microsoft Update

  • Uppdateringar som distribueras från Microsoft Malware Protection Center

System_CAPS_importantViktigt

Klienter hämta definitionsuppdateringar med hjälp av det inbyggda systemkontot.Du måste konfigurera en proxyserver för det här kontot för att dessa klienter att ansluta till Internet.

Om du har konfigurerat en programvara uppdateringar automatisk distributionsregel för att förse klientdatorer definitionsuppdateringar meddelas uppdateringarna oavsett inställningarna för definition uppdateringar.

Se även