SCCM終點(diǎn)防護(hù)保護(hù)系統(tǒng)安全

安裝終點(diǎn)防護(hù)角色

打 開System Center 2012 Configuration Manager控制臺(tái)，在左下角選擇“管理”項(xiàng)，在管理面板中選擇“站點(diǎn)配置→站點(diǎn)”項(xiàng)，在右側(cè)顯示中心管理站點(diǎn)、主站點(diǎn)、復(fù)制站點(diǎn)等。

在一般情況下，建議將EndPoint Protection角色安裝到Center Site（中心管理站點(diǎn)）上。在左側(cè)選擇“站點(diǎn)配置→服務(wù)器和站點(diǎn)系統(tǒng)角色”項(xiàng)，選擇Center Site服 務(wù) 器（如“\cas.xxx.com”），在其右鍵菜單上點(diǎn)擊“添加站點(diǎn)系統(tǒng)角色”項(xiàng)，在向?qū)Ы缑嬷悬c(diǎn)擊“下一步”按鈕，選擇“Endpoint Protection”項(xiàng)，系統(tǒng)會(huì)提示在默認(rèn)情況下，系統(tǒng)會(huì)使用WSUS來部署定義更新，即執(zhí)行病毒庫的更新操作。

而在部署Endpoint Protection之前，需要正確配置軟件更新管理。之后依次點(diǎn)擊“下一步”按鈕，采用默認(rèn)設(shè)置，執(zhí)行添加該站點(diǎn)系統(tǒng)角色操作。當(dāng)安裝好Endpoint Protection角色之后，需要在客戶端執(zhí)行相應(yīng)的部署來啟動(dòng)Endpoint Protection程序。

在左側(cè)選擇“客戶端設(shè)置”項(xiàng)，點(diǎn)擊工具欄上的“創(chuàng)建自定義客戶端設(shè)備設(shè)置”按鈕，打開窗口中輸入其名稱（例如“zzfh”），在 列 表 中 選 擇“Endpoint Protection”模塊。在左側(cè)選擇“Endpoint Protection”項(xiàng)，在右側(cè)可以查看該模塊的詳細(xì)信息。在“在客戶端計(jì)算機(jī)上管理Endpoint Protection客戶端”列表中選擇“真”項(xiàng)來啟用該功能。

在默認(rèn)情況下，會(huì)自動(dòng)在客戶端上安裝Endpoint Protection程序，如果在客戶端上安裝有其他的反惡意軟件，則將其卸載。當(dāng)安裝Endpoint Protection程序后，取消客戶端自動(dòng)重啟。點(diǎn)擊“確定”按鈕保存配置信息。點(diǎn)擊工具欄上的“部署”按鈕，在選擇集合窗口中選擇特定的集合，以及對(duì)應(yīng)集合中成員數(shù)量。

所謂集合指的是規(guī)劃好的某些計(jì)算機(jī)，例如所有臺(tái)式機(jī)和服務(wù)器客戶端、所有移動(dòng)設(shè)備、所有系統(tǒng)、所有未知計(jì)算機(jī)等。可以使用SCCM自帶的集合，也可以自定義集合。例如事先創(chuàng)建了名為Windows 10”的集合，其中包含所有安裝了Windows 10的客戶端。選擇所需的集合，點(diǎn)擊“確定”按鈕，就可以在該集合中的所有客戶機(jī)上啟用Endpoint Protection客戶端程序。

安裝客戶端Endpoint Protection

例如，在該集合中的某臺(tái)客戶機(jī)上打開控制面板，在“系統(tǒng)和安全”欄中啟動(dòng)Configuration Manager”項(xiàng)，在其屬性窗口中的“操作”面板（如圖1）中選擇“計(jì)算機(jī)策略檢索和評(píng)估周期”項(xiàng)，點(diǎn)擊“立即運(yùn)行”按鈕來添加Endpoint Protection客戶端程序。之后在開始菜單中選擇“System Center 2012 Endpoint Protection”項(xiàng)，顯示其操作界面。

圖1 配置Endpoint Protection客戶端程序

這樣在客戶端上成功配置了Endpoint Protection安全模塊，可以執(zhí)行防病毒和反間諜軟件等功能。因?yàn)槭浅醮问褂茫摮绦驎?huì)提示存在安全風(fēng)險(xiǎn)，點(diǎn)擊“更新”按鈕來更新所需病毒庫和針對(duì)間諜軟件的定義信息。

對(duì)于有些內(nèi)網(wǎng)來說，處于安全考慮，是不允許客戶端隨意訪問Internet的。為實(shí)現(xiàn)更新操作，需要在SCCM服務(wù)器上來配置更新參數(shù)。

配置反惡意軟件策略

圖2 創(chuàng)建反惡意軟件策略

在SCCM管理控制臺(tái)左下角點(diǎn)擊“資產(chǎn)和符合性”項(xiàng)，在左側(cè)選擇“Endpoint Protection→反惡意軟件策略”項(xiàng)（如圖2所示），在工具欄上點(diǎn)擊“創(chuàng)建反惡意軟件策略”按鈕，在打開窗口中輸入該策略的名稱（例如celue”），在左側(cè)選擇“計(jì)劃掃描”項(xiàng)，在右側(cè)可以針對(duì)在客戶端計(jì)算機(jī)上運(yùn)行計(jì)劃掃描、掃描類型、掃描日、掃描時(shí)間，在客戶端計(jì)算機(jī)上運(yùn)行每日快速掃描、每日快速掃描計(jì)劃時(shí)間、運(yùn)行掃描之前才開始計(jì)劃的掃描、隨機(jī)化計(jì)劃的掃描開始時(shí)間，如果客戶端計(jì)算機(jī)在兩個(gè)或兩個(gè)以上的計(jì)劃掃描過程中脫機(jī)則強(qiáng)制執(zhí)行所選擇掃描類型的掃描，在掃描期間將CPU使用率限制在以下值等參數(shù)進(jìn)行合理的配置。

在左側(cè)選擇“默認(rèn)操作”項(xiàng)，在右側(cè)指定Endpoint Protection如何響應(yīng)依據(jù)預(yù)設(shè)的警報(bào)級(jí)別（包括嚴(yán)重、高、中、低等）分類的威脅，對(duì)每種威脅的建議響應(yīng)（如推薦、隔離、允許等）。在左側(cè)選擇“實(shí)時(shí)保護(hù)”項(xiàng)，在右側(cè)針對(duì)啟用實(shí)時(shí)保護(hù)、監(jiān)視計(jì)算機(jī)上的文件和程序活動(dòng)、掃描系統(tǒng)文件、掃描所有下載的文件和附件、啟動(dòng)行為監(jiān)視、啟用基于網(wǎng)絡(luò)的攻擊保護(hù)、啟用腳本掃描、允許客戶端計(jì)算機(jī)上的用戶配置實(shí)時(shí)保護(hù)設(shè)置等項(xiàng)目進(jìn)行合理配置。在左側(cè)選擇“排除設(shè)置”項(xiàng)，在右側(cè)指定排除的文件、文件夾、文件類型及進(jìn)程。

在左側(cè)選擇“高級(jí)”項(xiàng)，在右側(cè)針對(duì)清理計(jì)算機(jī)之前創(chuàng)建的系統(tǒng)還原點(diǎn)，當(dāng)用戶需要執(zhí)行對(duì)應(yīng)操作（例如運(yùn)行完整掃描，下載最新的Endpoint Protection軟件，下載Microsoft獨(dú)立系統(tǒng)清理程序等）是向其顯示通知消息，刪除指定過期天數(shù)的隔離文件，允許用戶配置已隔離文件的刪除設(shè)置，允許用戶排除文件和文件夾，文件類型以及進(jìn)程，允許所有用戶查看完整歷史記錄結(jié)果等項(xiàng)目進(jìn)行配置。

在左側(cè)選擇“威脅替代”項(xiàng)，在右側(cè)設(shè)置威脅名稱和替代操作。在左側(cè)選擇“定義更新”項(xiàng)，在右側(cè)的“按以下特定間隔(小時(shí))檢查Endpoint Protection定義”欄中調(diào)整更新檢查的時(shí)間周期，默認(rèn)為8小時(shí)。在“每天在以下時(shí)間檢查Endpoint Protection定義”欄中設(shè)置檢查每天更新的時(shí)間點(diǎn)。在“設(shè)置Endpoint Protection定義更新的源和順序”欄中點(diǎn)擊“設(shè)置源”按鈕，在打開窗口中顯示更新的方式，包括通過Configuration Manager分發(fā)的更新，從WSUS中分發(fā)的更新、從Microsoft Update分發(fā)的更新、從Microsoft惡意軟件防護(hù)中心分發(fā)的更新、來自UNC文件共享的更新等。

對(duì)于第三種和第四種方式來說，必須要求客戶端能夠訪問Internet。對(duì)于無法訪問外網(wǎng)的用戶，建議只選擇前兩項(xiàng)。點(diǎn)擊“確定”按鈕保存配置。

注意，使用策略可以對(duì)客戶機(jī)進(jìn)行統(tǒng)一的配置。選擇該策略項(xiàng)，點(diǎn)擊工具欄上的“部署”按鈕，選擇目標(biāo)集合，將其部署到與之相關(guān)的所有客戶機(jī)上。之后需要設(shè)置所需的軟件更新點(diǎn)以及WSUS參數(shù)，讓其可以同步上述策略中的定義更新。在左下角點(diǎn)擊“管理”項(xiàng)，在左側(cè)選擇“站點(diǎn)配置→站點(diǎn)”項(xiàng)，在右側(cè)選取合適的站點(diǎn)（例 如“Center Site”），點(diǎn)擊工具欄上的按鈕菜單“設(shè)置→配置站點(diǎn)組件→軟件更新點(diǎn)”項(xiàng)，在打開窗口中的“分類”面板中選擇“定義更新”項(xiàng)，在“產(chǎn)品”面板中選 擇“Forefront Endpoint Protection 2010”項(xiàng)，點(diǎn)擊“應(yīng)用”按鈕保存配置。

在左下角點(diǎn)擊“軟件庫”項(xiàng)，在左側(cè)選擇“軟件更新→所有軟件更新”項(xiàng)，點(diǎn)擊工具欄上的“同步軟件更新”按鈕執(zhí)行更新操作，稍后一段時(shí)間同步即可完成。在更新列表中進(jìn)行查詢，可以看到與Endpoint Protection相關(guān)的定義更新項(xiàng)目，包括補(bǔ)丁包名稱和版本信息。選擇所有和Endpoint Protection相關(guān)的補(bǔ)丁包，點(diǎn)擊工具欄上的“常見軟件更新組”按鈕，在打開窗口中輸入組的名稱（例如“PackGroup”），點(diǎn)擊“創(chuàng)建”，創(chuàng)建該更新組。

注意，為了實(shí)現(xiàn)上述操作，需要在SCCM站點(diǎn)服務(wù)器上配置活動(dòng)的軟件更新點(diǎn)，并在其中的軟件更新分類中選 用“Security Updates”類別，在根據(jù)需要選擇需要合適的操作系統(tǒng)。例如，針對(duì)Windows 7更新補(bǔ)丁等。

在左側(cè)選擇“軟件更新→軟件更新組”項(xiàng)，在右側(cè)選擇“PackGroup”組，點(diǎn)擊工具欄上的“部署”按鈕，在向?qū)Ы缑嬷械摹凹稀睓谥悬c(diǎn)擊“瀏覽”按鈕，選擇特定的集合。依次點(diǎn)擊“下一步”按鈕，選擇“創(chuàng)建新的部署包”項(xiàng)，輸入其名稱（例如“NewPack”）和描述信息，在“包源”欄中輸入合適的共享路徑，例如“\xxxyyy”其中的“xxx”為SCCM站點(diǎn)服務(wù)器的名稱，“yyy”為其上的共享文件夾，該文件夾應(yīng)該允許Everyone用戶進(jìn)行讀寫。點(diǎn)擊“下一步”按鈕，在“分發(fā)點(diǎn)或分發(fā)點(diǎn)組”欄中點(diǎn)擊“添加→分發(fā)點(diǎn)”項(xiàng)，選擇合適的分發(fā)點(diǎn)（即對(duì)應(yīng)的主要或者輔助SCCM站點(diǎn)等），其余選項(xiàng)均保持默認(rèn)。

在客戶端更新病毒庫

依次點(diǎn)擊“下一步”按鈕，該向?qū)Ь蜁?huì)依據(jù)上述設(shè)定，從網(wǎng)上下載相應(yīng)的Endpoint Protection補(bǔ)丁包，并將其保存到指定的共享文件夾中。在SCCM管理控制局左下角選擇“監(jiān)視”項(xiàng)，在左側(cè)選擇“分發(fā)狀態(tài)→內(nèi)容狀態(tài)”，在右側(cè)可以看到名為NewPack”的更新包正在進(jìn)行同步到指定的分發(fā)點(diǎn)上。

當(dāng)同步完成后，在指定集合中的某臺(tái)客戶機(jī)上打開控制面板，在“系統(tǒng)和安全”欄中啟動(dòng)“Configuration Manager”項(xiàng)，在其屬性窗口中的“操作”面板中依次選擇“計(jì)算機(jī)策略檢索和評(píng)估周期”、“軟件更新部署評(píng)估周期”、“軟件更新掃描周期”等項(xiàng)，點(diǎn)擊“立即運(yùn)行”按鈕。

圖3 運(yùn)行客戶端Endpoint Protection程序

之后在開始菜單中打開“Microsoft System Center 2012→Configuration Manager→軟件中心”項(xiàng)，在軟件中心窗口中的“安裝狀態(tài)”面板中就可以看到上述更新項(xiàng)目。選擇最新的Endpoint Protection補(bǔ)丁包，點(diǎn)擊“安裝”按鈕，客戶機(jī)會(huì)從上述預(yù)設(shè)Endpoint Protection分發(fā)點(diǎn)來下載和安裝所需的補(bǔ)丁包。

這樣，當(dāng)在打開客戶機(jī)上的System Center 2012 Endpoint Protection程序后，會(huì)看到病毒庫和反間諜定義信息處于最新狀態(tài)（如圖3）。點(diǎn)擊其中的“立即掃描”按鈕，就可對(duì)系統(tǒng)進(jìn)行安全檢測(cè)，發(fā)現(xiàn)并清除潛藏的病毒等惡意程序。實(shí)際上，因?yàn)楣芾韱T使用了策略對(duì)客戶端的System Center 2012 Endpoint Protection保護(hù)程序進(jìn)行了設(shè)置，所以客戶端是沒有能力隨意對(duì)其更改的。

在“設(shè)置”面板左側(cè)選擇對(duì)應(yīng)的項(xiàng)目，在右側(cè)是禁止修改其運(yùn)行參數(shù)的。例如選擇“計(jì)劃掃描”項(xiàng)，在右側(cè)所有的設(shè)置項(xiàng)目均處于不可選狀態(tài)。當(dāng)然，在SCCM管理控制臺(tái)，還可以對(duì)客戶端的防火墻策略進(jìn)行集中控制。在左下角點(diǎn)擊“資產(chǎn)和符合性”項(xiàng)，在左側(cè)選擇“Endpoint Protection→Windows防火墻策略”項(xiàng)，在工具欄上點(diǎn)擊“創(chuàng)建Windows防火墻策略”按鈕，在向?qū)Т翱谥休斎敕恋K策略的名稱和描述信息，點(diǎn)擊“下一步”按鈕，在“啟用Windows防火墻”欄中針對(duì)域網(wǎng)絡(luò)、家庭或工作網(wǎng)絡(luò)、公共網(wǎng)絡(luò)等場(chǎng)景，設(shè)置防火墻狀態(tài)（包括是、否、未配置等）。在“阻止所有傳入連接，包括位于運(yùn)行程序列表中的程序”欄中針對(duì)上述網(wǎng)絡(luò)環(huán)境，設(shè)置是否阻止所有傳入的連接。在“在Windows防火墻阻止新的程序時(shí)通知我”欄中針對(duì)上述網(wǎng)絡(luò)環(huán)境，設(shè)置當(dāng)Windows防火墻阻止新的程序時(shí)，是否通知用戶。點(diǎn)擊“完成”按鈕，創(chuàng)建該策略。之后選擇該策略，點(diǎn)擊工具欄上的“部署”按鈕，按照上述談到的方法，將其部署到集合中的客戶機(jī)上。