Endpoint Protection Endpoint Protection

Область применения: Configuration Manager (Current Branch) Applies to: Configuration Manager (current branch)

Endpoint Protection управляет политиками антивредоносного ПО и параметрами безопасности брандмауэра Защитника Windows для клиентских компьютеров в иерархии Configuration Manager. Endpoint Protection manages antimalware policies and Windows Defender Firewall security for client computers in your Configuration Manager hierarchy.

Чтобы использовать Endpoint Protection для управления клиентами в иерархии Configuration Manager, необходима лицензия. You must be licensed to use Endpoint Protection to manage clients in your Configuration Manager hierarchy.

Совместное использование Endpoint Protection и Configuration Manager обеспечивает следующие преимущества: When you use Endpoint Protection with Configuration Manager, you have the following benefits:

• Настройка политик антивредоносного ПО и параметров брандмауэра Защитника Windows, а также управление Расширенной защитой от угроз в Microsoft Defender для выбранных групп компьютеров. Configure antimalware policies, Windows Defender Firewall settings, and manage Microsoft Defender Advanced Threat Protection to selected groups of computers
• Использование обновлений программного обеспечения Configuration Manager для загрузки актуальных файлов определений вредоносных программ на клиентские компьютеры. Use Configuration Manager software updates to download the latest antimalware definition files to keep client computers up-to-date
• Отправка уведомлений по электронной почте, использование средств мониторинга в консоли и просмотр отчетов. Send email notifications, use in-console monitoring, and view reports. Эти действия позволяют информировать пользователей с правами администратора об обнаружении вредоносных программ на клиентских компьютерах. These actions inform administrative users when malware is detected on client computers.

Антивирусная программа в Microsoft Defender уже установлена на компьютерах под управлением Windows 10 или Windows Server 2016 и более поздних версий. Beginning with Windows 10 and Windows Server 2016 computers, Microsoft Defender Antivirus is already installed. В этих операционных системах клиент управления для антивирусной программы в Microsoft Defender устанавливается при установке клиента Configuration Manager. For these operating systems, a management client for Microsoft Defender Antivirus is installed when the Configuration Manager client installs. На компьютерах под управлением Windows 8.1 и более ранних версий вместе с клиентом Configuration Manager также устанавливается клиент Endpoint Protection. On Windows 8.1 and earlier computers, the Endpoint Protection client is installed with the Configuration Manager client. Возможности антивирусной программы в Microsoft Defender и клиента Endpoint Protection: Microsoft Defender Antivirus and the Endpoint Protection client have the following capabilities:

• обнаружение и исправление вредоносных программ и шпионского программного обеспечения; Malware and spyware detection and remediation
• обнаружение и исправление пакетов программ rootkit; Rootkit detection and remediation
• оценка критических уязвимостей и автоматическое обновление определений и антивирусного модуля; Critical vulnerability assessment and automatic definition and engine updates
• обнаружение уязвимости сети с помощью системы проверки сети; Network vulnerability detection through Network Inspection System
• интеграция со службой Cloud Protection Service для передачи сведений о вредоносных программах в Майкрософт. Integration with Cloud Protection Service to report malware to Microsoft. При подключении этой службы клиент Endpoint Protection или антивирусная программа в Microsoft Defender, обнаружив на компьютере неопознанную вредоносную программу, скачивает новейшие определения из Центра по защите от вредоносных программ. When you join this service, the Endpoint Protection client or Microsoft Defender Antivirus downloads the latest definitions from the Malware Protection Center when unidentified malware is detected on a computer.

Клиент Endpoint Protection можно установить на сервере под управлением Hyper-V и на гостевых виртуальных машинах с поддерживаемыми операционными системами. The Endpoint Protection client can be installed on a server that runs Hyper-V and on guest virtual machines with supported operating systems. Во избежание чрезмерного использования ресурсов ЦП действия Endpoint Protection имеют встроенную случайную задержку, чтобы службы защиты не запускались одновременно. To prevent excessive CPU usage, Endpoint Protection actions have a built-in randomized delay so that protection services do not run simultaneously.

Кроме того, Endpoint Protection используется для управления параметрами брандмауэра Защитника Windows в консоли Configuration Manager. In addition, you manage Windows Defender Firewall settings with Endpoint Protection in the Configuration Manager console.

Защита от вредоносных программ с помощью Endpoint Protection Managing Malware with Endpoint Protection

Endpoint Protection в Configuration Manager позволяет создавать политики защиты от вредоносных программ, содержащие параметры для конфигураций клиента Endpoint Protection. Endpoint Protection in Configuration Manager allows you to create antimalware policies that contain settings for Endpoint Protection client configurations. Созданные политики защиты от вредоносных программ можно развертывать на клиентских компьютерах. Deploy these antimalware policies to client computers. Их применение отслеживается в узле Состояние Endpoint Protection в разделе Безопасность рабочей области Наблюдение. Then monitor compliance in the Endpoint Protection Status node under Security in the Monitoring workspace. Кроме того, в узле Отчеты можно использовать отчеты Endpoint Protection. Also use Endpoint Protection reports in the Reporting node.

Дополнительные сведения: Additional information:

Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection. Сведения о создании, развертывании и мониторинге политик защиты от вредоносных программ со списком параметров, которые можно настраивать How to create and deploy antimalware policies for Endpoint Protection — Create, deploy, and monitor antimalware policies with a list of the settings that you can configure

Мониторинг Endpoint Protection — отчеты о действиях мониторинга, сведения о зараженных клиентских компьютерах и другие возможности. How to monitor Endpoint Protection — Monitoring activity reports, infected client computers, and more.

Управление брандмауэром Защитника Windows с помощью Endpoint Protection Managing Windows Defender Firewall with Endpoint Protection

Endpoint Protection в Configuration Manager позволяет управлять основными параметрами брандмауэра Защитника Windows на клиентских компьютерах. Endpoint Protection in Configuration Manager provides basic management of the Windows Defender Firewall on client computers. Для каждого сетевого профиля можно настроить следующие параметры: For each network profile, you can configure the following settings:

включение и отключение брандмауэра Защитника Windows; Enable or disable the Windows Defender Firewall.

блокирование входящих подключений, включая указанные в списке разрешенных программ; Block incoming connections, including those in the list of allowed programs.

уведомление пользователя о блокировке брандмауэром Защитника Windows какой-то новой программы. Notify the user when Windows Defender Firewall blocks a new program.

Endpoint Protection поддерживает только управление брандмауэром Защитника Windows. Endpoint Protection supports managing the Windows Defender Firewall only.

Защитник Майкрософт для конечных точек Microsoft Defender for Endpoint

Microsoft Defender для конечной точки контролирует и отслеживает работу службы «Расширенная защита от угроз (ATP) в Microsoft Defender» (прежнее название — ATP в Защитнике Windows). Microsoft Defender for Endpoint manages and monitors Microsoft Defender Advanced Threat Protection (ATP), formerly known as Windows Defender ATP. Служба Microsoft Defender для конечной точки помогает предприятиям обнаруживать и анализировать сложные атаки в своих сетях, а также принимать необходимые меры. The Microsoft Defender for Endpoint service helps enterprises detect, investigate, and respond to advanced attacks on the corporate network. Подробные сведения см. в статье Microsoft Defender Advanced Threat Protection (Расширенная защита от угроз в Microsoft Defender). For more information, see Microsoft Defender Advanced Threat Protection.

Рабочий процесс Endpoint Protection Endpoint Protection Workflow

Приведенная ниже схема поможет вам понять рабочий процесс для внедрения Endpoint Protection в вашей иерархии Configuration Manager. Use the following diagram to help you understand the workflow to implement Endpoint Protection in your Configuration Manager hierarchy.

An IT Blog by Noah Swanson

Solutions for IT Management Frustrations

Installing System Center Endpoint Protection on Windows 10

July 2015: Now that Windows 10 is RTM, is strongly recommend upgrading your SCCM infrastructure to the appropriate service pack. SCCM 2012 SP2 (or SCCM 2012 R2 SP1) provides native support for Windows 10. If you experience issues past the Service Pack upgrade, please consult your Microsoft Support contacts.

With Windows 10, you do not need to deploy SCEP as SCCM Can now manage Windows Defender out of the box: https://technet.microsoft.com/en-us/library/hh508770.aspx

Leaving this workaround up now that a supported process is in place, I fear that some may try to implement this non-support workaround in a production environment.

Share this:

Like this:

Related

17 thoughts on “ Installing System Center Endpoint Protection on Windows 10 ”

Hi Noah…. great… !
I tried but fails in the last install (epp.msi)…
I’m trying to use it “stand-alone” like in my previous SCEPInstall in Win 8 and 8.1…
Must I change some parameter in the last step ?

Forget it…!
After running it in an elevated command prompt it worked….!

Thanks again…!
Javier.

Looks like with build 9926 this no longer works. If you run an OS upgrade scep is uninstalled even. I’ve submitted the feedback to Microsoft so we’ll see how fast this gets fixed!

Hi Noah…. I’m in 9926 and it’s working… just needed to run (at least the last step) in an Elevated Command prompt…
Kind Regards !

I just got this to work on Build 9926 x64 – thank you! I’m not sure yet if it’s hooked in to my SCCM environment, but at least SCEP is installed and updating from Microsoft directly for now. Thanks for figuring this out and sharing!

I just tried the above steps on build 10061 and had no issues. Great post!

On the latest build (10122) the setup file seems to work normally. But instead of installing SCEP, it adds a “Managed Windows Defender” folder to program files.

Hi, FYI you can easily obtain the required files from the SCEPInstall.exe file via running the below command line from a command prompt:

You are then prompted to enter a path for the extracted files.

The installation works fine this way. But when I tested with an Eicar text string something went wrong. The text file was detected as malware and put in quarantine. But when I open History and try top view details there is an error code 0x8007000d.

This works perfectly on Build 10240 – you have to run msseces.exe as an Administrator and you won’t get the 0x8007000d error.

I’m just installed the RTM verison (Build 10240) and when I try these steps a message comes up saying “A newer version of the program is already installed on this system” There is no mention of SCEP in Programs or Features or in C:\program files. Any idea what could be causing this?

It seems that SCEP is replaced/swapped with Windows Defender. After updating to 10240 I only see Defender, yet it still shows the name of my SCEP Offices policy in Help –> About…

https://technet.microsoft.com/en-us/library/Hh508770.aspx SCCM 2012 SP2 / R2 SP1 will manage the inbox windows defender, deploying the SCEP client is no longer necessary, just configure client policy appropriately.

All installed OK, and even via MDT

Antimalware Client Version: 4.3.220.0
Engine Version: 1.1.11903.0
Antivirus definition: 1.203.1805.0
Antispyware definition: 1.203.1805.0
Network Inspection System Engine Version: 2.1.8904.0
Network Inspection System Definition Version: 17.921.0.0

HOWEVER, if you try to make a change (such as “Check for latest virus defs before running a scan”), and hit “Save Settings”, you get an Error – “The data is invalid, click Help for more info about hits problem”, the help of which, give no help.

Ok, I have got a little further on our systems. The original client (4.3,2.220.0 as seen above) isn’t going to install, and in MS’s wisdom, updates are provided by Windows Updates so you can’t actually download the client download the new client. However, if you have a WSUS server, you can extract the update.

I created a view filter in WSUS for the ‘Forefront Endpoint Protection 2010’ product (which is how SCEP is still seen). In the List, I can home in on in he SCEP 2012 client 4.7.209.0, and check its “File Information. This will give you the URI of the file and is WSUS name, which is a long string of number a characters.This was:

This is the SCEPInstall.exe you are used to. Run the installer no machines that have the incorrect client forced onto them, it will uninstall that client and attempt to reinstall the new client. On my test machine, this failed, so required a reboot, but then another install an all worked as expected. Another reboot, and we were in business. The next Windows Update, should update this client to 4.8.204.0.

BUT….. Although the SCEP 2012 client shows as installed in “Programs and Features”, it is Windows Defender GUI that still remains active. I tried installing the “updateinstall.exe” (also extracted from WSUS in the same fashion) to take the client to 4.8.204.0, but this failed.

You can also get the latest SCEPInstall from SC2013 SP2 (4.7.213.0 – which is slight newer that the one I had from WSUS:

SCCM 2012 — Настраиваем System Center 2012 Endpoint Protection

Настройку Endpoint Protection (SCEP) в System Center 2012 Configuration Manager (SCCM) начинаем с поднятия роли Endpoint Protection Point (EPP) на сервере сайта верхнего уровня иерархии SCCM. В нашем случае таким сервером является сервер Central Administration site (CAS). После включения роли EPP на сайте верхнего уровня функциональность SCEP станет доступна на всех сайтах нижнего уровня иерархии.

Включение роли Endpoint Protection Point

В консоли SCCM переходим в раздел
Administration\Overview\Site Configuration\Servers and Site System Roles
и выбрав сервер CAS вызываем мастер добавления ролей Add Site System Roles

Выбираем соответствующую роль — Endpoint Protection Point и принимаем предупреждение о том что необходима дополнительная настройка источников обновления антивирусных описаний.

Следующим шагом принимаем условия лицензии и подтверждаем то, что у нас действительно есть право использовать SCEP в инфраструктуре SCCM

Затем нам будет предложено выбрать вариант членства в программе Microsoft Active Protection Service (MAPS) — уровень информации, которую требуется отправлять в Microsoft для помощи в разработке новых определений. Выдержка из документации по этому поводу:

Присоединитесь к службе Microsoft Active Protection Service, чтобы повысить уровень защиты своих компьютеров, предоставляя корпорации Майкрософт образцы вредоносных программ, и быстрее получать новые определения для антивредоносных приложений. Кроме того, присоединение к Microsoft Active Protection Service позволяет клиенту Endpoint Protection использовать службу динамических подписей для загрузки новых определений до того, как они будут опубликованы в Центре обновления Windows.

Если обновление антивирусных описаний более одного раза в сутки не требуется, то вполне можно отказаться от участия в данной программе.

По окончании работы мастера добавления роли можно выполнить настройку общих параметров оповещений для роли FEP. Эта настройка является глобальной для всей иерархии и должна выполняться на CAS.

Для оповещения о проблемах SCEP (отсутствие активности клиентов, вирусные “вспышки” и т.п.) можно использовать электронную почту, создавая на сайтах иерархии соответствующие подписки на уведомления.

Прежде чем можно будет приступать к настройке подписок электронной почты на сайтах нижних уровней для получения уведомлений, необходимо настроить SMTP-сервер в иерархии. SMTP-сервер можно указать только в сайте верхнего уровня иерархии Configuration Manager.

В консоли SCCM переходим в раздел
Administration\Overview\Site Configuration\Sites
и выбрав CAS вызываем настройку его компоненты Settings > Email Notification

Включаем опцию оповещений, указываем имя SMTP-сервера и почтовый адрес, с которого будут отправляться оповещения. Здесь же можно протестировать функцию отправки почты.

На этом нехитрые глобальные настройки верхнего уровня закончены.

Теперь можно перейти к подчинённому первичному сайту и начать настройку уже под конкретное клиентское окружение.

Настройка оповещений по коллекциям

Определившись с тем, для каких коллекций компьютеров мы будем включать установку и использование SCEP, мы сразу можем настроить оповещения для этих самых коллекций. Сразу два замечания:
— Нельзя настраивать оповещения для коллекций пользователей
— Настройка недоступна для коллекции Все системы (All Systems).

В разделе консоли SCCM
Assets and Compliance\Overview\Device Collections
переходим к списку коллекций и открыв свойства интересующей нас коллекции переходим на закладку Alerts
Вот настройки, которые нам доступны на данный момент:

После того как включено оповещение для нужных коллекций, можно увидеть сводную информацию по всем оповещениям в разделе консоли
Monitoring\Overview\Alerts

На включенные оповещения создаём подписки в разделе консоли
Monitoring\Overview\Alerts\Subscriptions
где указываем кому именно и по каким событиям будут отправляться письма.

Настройка политик клиентов

В силу того, что дистрибутив клиента SCEP фактически распространяется на компьютеры уже при установке клиента SCCM (файл %windir%\ccmsetup\SCEPInstall.exe ), то всё что нам нужно сделать для того, чтобы установить клиента SCEP на какую-либо коллекцию компьютеров, – это включить параметры политики клиента в разделе консоли
Administration\Overview\Client Settings

Если вы не хотите запускать установку SCEP сразу на всех компьютерах являющихся клиентами SCCM, то в клиентской политике по-умолчанию Default Client Settings можно выключить настройки в разделе Endpoint Protection…

…и создать отдельную клиентскую политику с включенными параметрами SCEP…

… а затем нацелить эту клиентскую политику на определённые коллекции компьютеров, на которые вы хотите выполнить установку.

Настройка политик защиты от вредоносных программ

Разворачиваемые клиенты SCEP управляются с помощью параметров, передаваемых через механизм политик защиты от вредоносных программ — Antimalware Policies.

Политики включают сведения о расписании проверок, типах проверяемых файлов и папок, а также действиях, выполняемых при обнаружении вредоносных программ. При включении Endpoint Protection стандартная политика защиты от вредоносных программ применяется к клиентским компьютерам; однако вы можете использовать дополнительные стандартные шаблоны политик или создать собственные политики для настройки параметров работы функции в конкретной среде.

При создании и развертывании новой политики защиты от вредоносных программ для коллекции такая политика переопределяет политику по умолчанию.

Configuration Manager включает несколько стандартных шаблонов, оптимизированных для использования в различных сценариях, которые можно импортировать в Configuration Manager. Эти шаблоны можно найти в папке \AdminConsole\XMLStorage\EPTemplates .

Я обнаружил в этой папке 25 шаблонов, оптимизированных в основном под разные серверные роли. Чтобы не плодить лишние сущности в принципе можно собрать в основном различающиеся настройки реестра для веток

SOFTWARE\Policies\Microsoft\Microsoft Antimalware\Exclusions\Paths
SOFTWARE\Policies\Microsoft\Microsoft Antimalware\Exclusions\Processes

в один XML шаблон для серверных систем. За основу можно взять содержимое шаблона FEP_Default_DC.xml

Изучить политику по-умолчанию (Default Client Antimalware Policy) или импортировать из шаблона новую политику можно в разделе консоли SCCM:
Assets and Compliance\Overview\Endpoint Protection\Antimalware Policies

Настройки политики особой сложности не представляют, и если у вас возникнут вопросы по настройке каких либо отдельных параметров можно воспользоваться разделом Список параметров политики защиты от вредоносных программ в ранее указанном документе. У меня возник вопрос только по механизму применения исключений, который был снят в ветке обсуждения SCEP 2012 и список исключений.

Особое внимание строит обратить на параметры настройки источников обновления антивирусных описаний. Если у вас в SCCM не используется роль Software Update Point (SUP), и для установки обновлений Windows используется локальный сервер WSUS – то его можно определить в качестве основного источника обновлений.

Источник обновлений можно указывать как единственный так и использовать их комбинацию, самостоятельно определяя приоритет их использования.

Для того чтобы локальный сервер WSUS мог выступать в качестве источника обновлений антивирусных описаний SCEP на нём должна быть включена категория Forefront Endpoint Protection 2010 и класс Обновления определений в настройках параметров синхронизации с серверами Microsoft Windows Update.

Помимо этого на WSUS должно быть создано и включено правило автоматического одобрения с соответствующими условиями

Быстрая проверка работоспособности

Когда антивирус уже развёрнут и настроен можно быстро проверить работоспособность реал-тайм сканирования, создав на любом защищаемом компьютере текстовый файл со следующим содержимым:

Сохраняем файл и смотрим на реакцию антивируса, который тут же должен будет заблокировать доступ к файлу и сообщить о найденной угрозе

Мониторинг

Статус текущего состояния инфраструктуры Endpoint Protection в SCCM можно видеть в разделе консоли
Monitoring\Overview\System Center 2012 Endpoint Protection Status

Также доступна группа отчетов в разделе консоли
Monitoring\Overview\Reporting\Reports

Для расширения анализа ситуации можно самостоятельно разработать собственные отчёты, как например, это описано в статье Building Custom Endpoint Protection Reports in System Center 2012 Configuration Manager

Дополнительно есть возможность мониторить состояние клиентов SCEP с помощью пакетов мониторинга (Management/Monitoring Pack) SCCM/FEP для System Center 2012 Operations Manager.

В следующих заметках мы рассмотрим процедуру настройки роли SUP в SCCM и создание правила автоматического развёртывания (Automatic Deployment Rule) для антивирусных описаний SCEP.