הגדרת System Center Configuration Manager 2012 Endpoint Protection
הקדמה, Endpoint Protection הוא למעשה חלק בתוך SCCM ושמו הישן הוא Forefront Endpoint Protection והוא אחראי על התקנת "אנטי וירוס" "אנטי רוגלות" בעצם תוכנת אבטחה על ידי SCCM ניתן לנהל את Endpoint Protection ניתן לנהל את ההתקנות על עמדות הקצה, עדכונים, לשלוט ב Firewall להגדיר Antimalware הוא יוצר דוחות ב SCCM של למי מותקן Endpoint Protection, באיזה מחשבים נמצאו X או Y סיכונים ווירוסים ניתן לקבל התראות למייל, ניתן לנהל פרוטוקולים, פורטים, הורדות חשודות בווירוסים ועל כל זה ניתן לקבל דו"ח.
הוא למעשה דומה Windows Security Essentials השוואתם –
1. הוא נתון לניהול ארגוני לעומת SE שהוא פר-מחשב
2. הם דומים ברמת האבטחה
3. שליטת ההתקנה וקבלת הדוחות על כלל הארגון
אז למה טוב לנו ה Endpoint Protection אל מול מוצרים אחרים, היכולת לקבל במינמום השקעה אנטי וירוס עם עדכונים עקביים, היכולת לבצע התקנה לכלל הארגון ולנהל את העדכונים על פי צורך, קבלת הדוחות על כלל המערכת והתראות, סיבות שיכולות להגיד לנו למה לא כדאי להשתמש ב Endpoint Protection הם שחובה שיותקן בארגון SCCM וחלק מתוצאות והשוואות אל מול המתחרות מראה כי Endpoint Protection הוא דיי בסיסי בהגנותיו
במאמר זה נראה כיצד מגדירים את SCCM לכל המשתמשים וכיצד מבוצע עדכונים יומיים לEndpoint Protection
נתחיל,
תחילה נוסיף את Endpoint Protection לכללי השרת
Administration -> Site Configuration -> Sites
קליק ימני על האתר , ואז Add Site System Roles
הבא
סמנו ב V את Endpoint Protection Point
במסך זה תוכלו להגדיר אם להצטרף לMAPS
MAPS הוא למעשה קהילה של חברות וארגונים עם SCCM ששולחים מידע אוטומטית למיקרוסופט ובה הם מעלים את היכולות למציאת מזיקין ורוגלות
הגדרתי שלא לחצו הבא
סיום
אנו ניצור כללים חדשים ל Antimalware Policy
הגיעו ל Assets and Compliance -> Endpoint Protection -> Antimalware Policies
לחצו קליק ימני ואז Create Antimalware Policy
ניתן שם ונסמן את הכל ב V (בסוף המדריך נעבור על האפשרויות שקיימות ב Endpoint Protection) (כותרת אפשרויות ב Endpoint Protection)
נלחץ על ה Policy קליק ימני ואז Deploy
נבחר בכל הארגון, או רק בחלק על פי הגדרת הCollection שלכם
נעבור ל Client Settings ב Administration
נלחץ קליק ימני ואז Create Custom Client Device Settings
נלחץ קליק ימני ואז Create Custom Client Device Settings
נסמן בV את Manage Endpoint Protection סמנו ב Yes
ניתן להגדיר כמה הגדרות כמו:
1. האם להסיר התקנה ישנה למשל של Forefront Endpoint Protection
2.האם להתקין את ה Client (ברור שכן… זה מטרת המדריך)
3. האם לתת למשתמש את האפשרות לדחות את ההתקנה ועוד אפשרויות
כעת נלחץ קליק ימני ואז Deploy ויתחיל בהפצת ה Endpoint Protection
נבחר את המחשבים אליהם נפיץ
ניתן להגדיר לאיפה יגיעו התראות לאיזה מייל
ב – Administration -> Site Configuration ->Configure Site Components
כאן הגדירו את המייל (עדיף ליצור ייעודי לכך)
ניתן לראות את ה System Center Endpoint Protection על השרת
ואת ה System Center Endpoint Protection על עמדות הקצה
אפשרויות ב Endpoint Protection
Scheduled Scans
קבעו כל כמה זמן להריץ סריקה על עמדת הקצה, סריקה מהירה או רגילה (בשעות עבודה עדיף מהירה, אם זו תיהיה סריקה רגילה המשתמש עלול להרגיש האטה במהירות המחשב ובמחשבים ישנים עד כדי איטיות רצינית)
ניתן להגדיר האם לבצע עדכון לפני כל סריקה, הסריקה תחל רק שהמחשב לא בשימוש (Idle), הגדרה חשובה נוספת היא שאם המחשב של המשתמש מכובה כל פעם בזמן שצריך סריקה אחרי כמה פעמים הוא יבצע סריקה ברגע שהמחשב יהיה דלוק בפעם ה- X
וכמובן מבחינת ה CPU והאיטיות הוא מוגבל אוטומטית ל50% שכן אבל בזמן סריקה גם ההרדיסק מאט את המחשב
ניתן להגדיר האם הוא סורק כל מייל שנכנס, התקנים חיצוניים, כונני רשת (עדיף שלא , עקב נפח וכמות הקבצים בכוננים אלו), קבצי ארכיון
האם לתת למשתמש לאפשר להשתמש בקובץ המוגדר כאיום, אם האיום גבוהה אז הוא יהיה בהסגר מידי ואם הוא ברמה נמוכה יהיה ניתן עדיין להשתמש בו אך המשתמש יקבל אזהרה
real–time protection בודק האם תוכנה מנסה להתקין את עצמה ללא אישור או תוכנית הרצה כ Service או ברגע מנסה לגשת לקבצי מערכת מסויימים
ניתן לראות שההגדרה מופעלת אוטומטית שכן, קיים לוג, הוא יסרוק כל קובץ אשר מורד מהאינטרנט , נגד Exploit
(אני מדלג על מה שאין בו צורך להגדיר כלל או רק במקרים מיוחדים כמו איזה קבצים הוא לא יסרוק…)
כאן ניתן להגדיר האם כאשר הוא ביצע סריקה האם ליצור נקודת שחזור (מצב זה יעלה את נפח הכוננים בעמדות הקצה ויעמיס עליהם)
האם לבטל את הממשק הגרפי של התוכנה או רק להשאיר את האייקון, האם להציג הודעות על סריקה,עדכונים או כל הגדרה (מוגדר לא כברירת מחדל)
כל כמה זמן למחוק קבצים נגועים שנמצאים ב"הסגר" או "בכספת"
האם לתת למשתמשים להגדיר מחיקה, להגדיר קבצים יוצאי מהכלל וכו' מוגדר כלא
אם אתם רוצים להצטרף ל MAPS תוכלו להגדיר פה
מסך זה גם חשוב שכן הוא מגדיר את העדכונים המגיעים לSCCM וממנו מופצים למשתמשים קראו הגדרה הגדרה והגדירו כרצונכם