Endpoint Protection

Applies to: Configuration Manager (current branch)

Endpoint Protection manages antimalware policies and Windows Defender Firewall security for client computers in your Configuration Manager hierarchy.

You must be licensed to use Endpoint Protection to manage clients in your Configuration Manager hierarchy.

When you use Endpoint Protection with Configuration Manager, you have the following benefits:

• Configure antimalware policies, Windows Defender Firewall settings, and manage Microsoft Defender Advanced Threat Protection to selected groups of computers
• Use Configuration Manager software updates to download the latest antimalware definition files to keep client computers up-to-date
• Send email notifications, use in-console monitoring, and view reports. These actions inform administrative users when malware is detected on client computers.

Beginning with Windows 10 and Windows Server 2016 computers, Microsoft Defender Antivirus is already installed. For these operating systems, a management client for Microsoft Defender Antivirus is installed when the Configuration Manager client installs. On Windows 8.1 and earlier computers, the Endpoint Protection client is installed with the Configuration Manager client. Microsoft Defender Antivirus and the Endpoint Protection client have the following capabilities:

• Malware and spyware detection and remediation
• Rootkit detection and remediation
• Critical vulnerability assessment and automatic definition and engine updates
• Network vulnerability detection through Network Inspection System
• Integration with Cloud Protection Service to report malware to Microsoft. When you join this service, the Endpoint Protection client or Microsoft Defender Antivirus downloads the latest definitions from the Malware Protection Center when unidentified malware is detected on a computer.

The Endpoint Protection client can be installed on a server that runs Hyper-V and on guest virtual machines with supported operating systems. To prevent excessive CPU usage, Endpoint Protection actions have a built-in randomized delay so that protection services do not run simultaneously.

In addition, you manage Windows Defender Firewall settings with Endpoint Protection in the Configuration Manager console.

Managing Malware with Endpoint Protection

Endpoint Protection in Configuration Manager allows you to create antimalware policies that contain settings for Endpoint Protection client configurations. Deploy these antimalware policies to client computers. Then monitor compliance in the Endpoint Protection Status node under Security in the Monitoring workspace. Also use Endpoint Protection reports in the Reporting node.

How to create and deploy antimalware policies for Endpoint Protection — Create, deploy, and monitor antimalware policies with a list of the settings that you can configure

How to monitor Endpoint Protection — Monitoring activity reports, infected client computers, and more.

Managing Windows Defender Firewall with Endpoint Protection

Endpoint Protection in Configuration Manager provides basic management of the Windows Defender Firewall on client computers. For each network profile, you can configure the following settings:

Enable or disable the Windows Defender Firewall.

Block incoming connections, including those in the list of allowed programs.

Notify the user when Windows Defender Firewall blocks a new program.

Endpoint Protection supports managing the Windows Defender Firewall only.

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint manages and monitors Microsoft Defender Advanced Threat Protection (ATP), formerly known as Windows Defender ATP. The Microsoft Defender for Endpoint service helps enterprises detect, investigate, and respond to advanced attacks on the corporate network. For more information, see Microsoft Defender Advanced Threat Protection.

Endpoint Protection Workflow

Use the following diagram to help you understand the workflow to implement Endpoint Protection in your Configuration Manager hierarchy.

Endpoint Protection Endpoint Protection

Область применения: Configuration Manager (Current Branch) Applies to: Configuration Manager (current branch)

Endpoint Protection управляет политиками антивредоносного ПО и параметрами безопасности брандмауэра Защитника Windows для клиентских компьютеров в иерархии Configuration Manager. Endpoint Protection manages antimalware policies and Windows Defender Firewall security for client computers in your Configuration Manager hierarchy.

Чтобы использовать Endpoint Protection для управления клиентами в иерархии Configuration Manager, необходима лицензия. You must be licensed to use Endpoint Protection to manage clients in your Configuration Manager hierarchy.

Совместное использование Endpoint Protection и Configuration Manager обеспечивает следующие преимущества: When you use Endpoint Protection with Configuration Manager, you have the following benefits:

• Настройка политик антивредоносного ПО и параметров брандмауэра Защитника Windows, а также управление Расширенной защитой от угроз в Microsoft Defender для выбранных групп компьютеров. Configure antimalware policies, Windows Defender Firewall settings, and manage Microsoft Defender Advanced Threat Protection to selected groups of computers
• Использование обновлений программного обеспечения Configuration Manager для загрузки актуальных файлов определений вредоносных программ на клиентские компьютеры. Use Configuration Manager software updates to download the latest antimalware definition files to keep client computers up-to-date
• Отправка уведомлений по электронной почте, использование средств мониторинга в консоли и просмотр отчетов. Send email notifications, use in-console monitoring, and view reports. Эти действия позволяют информировать пользователей с правами администратора об обнаружении вредоносных программ на клиентских компьютерах. These actions inform administrative users when malware is detected on client computers.

Антивирусная программа в Microsoft Defender уже установлена на компьютерах под управлением Windows 10 или Windows Server 2016 и более поздних версий. Beginning with Windows 10 and Windows Server 2016 computers, Microsoft Defender Antivirus is already installed. В этих операционных системах клиент управления для антивирусной программы в Microsoft Defender устанавливается при установке клиента Configuration Manager. For these operating systems, a management client for Microsoft Defender Antivirus is installed when the Configuration Manager client installs. На компьютерах под управлением Windows 8.1 и более ранних версий вместе с клиентом Configuration Manager также устанавливается клиент Endpoint Protection. On Windows 8.1 and earlier computers, the Endpoint Protection client is installed with the Configuration Manager client. Возможности антивирусной программы в Microsoft Defender и клиента Endpoint Protection: Microsoft Defender Antivirus and the Endpoint Protection client have the following capabilities:

• обнаружение и исправление вредоносных программ и шпионского программного обеспечения; Malware and spyware detection and remediation
• обнаружение и исправление пакетов программ rootkit; Rootkit detection and remediation
• оценка критических уязвимостей и автоматическое обновление определений и антивирусного модуля; Critical vulnerability assessment and automatic definition and engine updates
• обнаружение уязвимости сети с помощью системы проверки сети; Network vulnerability detection through Network Inspection System
• интеграция со службой Cloud Protection Service для передачи сведений о вредоносных программах в Майкрософт. Integration with Cloud Protection Service to report malware to Microsoft. При подключении этой службы клиент Endpoint Protection или антивирусная программа в Microsoft Defender, обнаружив на компьютере неопознанную вредоносную программу, скачивает новейшие определения из Центра по защите от вредоносных программ. When you join this service, the Endpoint Protection client or Microsoft Defender Antivirus downloads the latest definitions from the Malware Protection Center when unidentified malware is detected on a computer.

Клиент Endpoint Protection можно установить на сервере под управлением Hyper-V и на гостевых виртуальных машинах с поддерживаемыми операционными системами. The Endpoint Protection client can be installed on a server that runs Hyper-V and on guest virtual machines with supported operating systems. Во избежание чрезмерного использования ресурсов ЦП действия Endpoint Protection имеют встроенную случайную задержку, чтобы службы защиты не запускались одновременно. To prevent excessive CPU usage, Endpoint Protection actions have a built-in randomized delay so that protection services do not run simultaneously.

Кроме того, Endpoint Protection используется для управления параметрами брандмауэра Защитника Windows в консоли Configuration Manager. In addition, you manage Windows Defender Firewall settings with Endpoint Protection in the Configuration Manager console.

Защита от вредоносных программ с помощью Endpoint Protection Managing Malware with Endpoint Protection

Endpoint Protection в Configuration Manager позволяет создавать политики защиты от вредоносных программ, содержащие параметры для конфигураций клиента Endpoint Protection. Endpoint Protection in Configuration Manager allows you to create antimalware policies that contain settings for Endpoint Protection client configurations. Созданные политики защиты от вредоносных программ можно развертывать на клиентских компьютерах. Deploy these antimalware policies to client computers. Их применение отслеживается в узле Состояние Endpoint Protection в разделе Безопасность рабочей области Наблюдение. Then monitor compliance in the Endpoint Protection Status node under Security in the Monitoring workspace. Кроме того, в узле Отчеты можно использовать отчеты Endpoint Protection. Also use Endpoint Protection reports in the Reporting node.

Дополнительные сведения: Additional information:

Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection. Сведения о создании, развертывании и мониторинге политик защиты от вредоносных программ со списком параметров, которые можно настраивать How to create and deploy antimalware policies for Endpoint Protection — Create, deploy, and monitor antimalware policies with a list of the settings that you can configure

Мониторинг Endpoint Protection — отчеты о действиях мониторинга, сведения о зараженных клиентских компьютерах и другие возможности. How to monitor Endpoint Protection — Monitoring activity reports, infected client computers, and more.

Управление брандмауэром Защитника Windows с помощью Endpoint Protection Managing Windows Defender Firewall with Endpoint Protection

Endpoint Protection в Configuration Manager позволяет управлять основными параметрами брандмауэра Защитника Windows на клиентских компьютерах. Endpoint Protection in Configuration Manager provides basic management of the Windows Defender Firewall on client computers. Для каждого сетевого профиля можно настроить следующие параметры: For each network profile, you can configure the following settings:

включение и отключение брандмауэра Защитника Windows; Enable or disable the Windows Defender Firewall.

блокирование входящих подключений, включая указанные в списке разрешенных программ; Block incoming connections, including those in the list of allowed programs.

уведомление пользователя о блокировке брандмауэром Защитника Windows какой-то новой программы. Notify the user when Windows Defender Firewall blocks a new program.

Endpoint Protection поддерживает только управление брандмауэром Защитника Windows. Endpoint Protection supports managing the Windows Defender Firewall only.

Защитник Майкрософт для конечных точек Microsoft Defender for Endpoint

Microsoft Defender для конечной точки контролирует и отслеживает работу службы «Расширенная защита от угроз (ATP) в Microsoft Defender» (прежнее название — ATP в Защитнике Windows). Microsoft Defender for Endpoint manages and monitors Microsoft Defender Advanced Threat Protection (ATP), formerly known as Windows Defender ATP. Служба Microsoft Defender для конечной точки помогает предприятиям обнаруживать и анализировать сложные атаки в своих сетях, а также принимать необходимые меры. The Microsoft Defender for Endpoint service helps enterprises detect, investigate, and respond to advanced attacks on the corporate network. Подробные сведения см. в статье Microsoft Defender Advanced Threat Protection (Расширенная защита от угроз в Microsoft Defender). For more information, see Microsoft Defender Advanced Threat Protection.

Рабочий процесс Endpoint Protection Endpoint Protection Workflow

Приведенная ниже схема поможет вам понять рабочий процесс для внедрения Endpoint Protection в вашей иерархии Configuration Manager. Use the following diagram to help you understand the workflow to implement Endpoint Protection in your Configuration Manager hierarchy.

Использование параметров групповых политик для управления Endpoint Protection в более ранних версиях Windows Use Group Policy settings to manage Endpoint Protection in previous versions of Windows

Относится к Applies to:

• Расширенной защите от угроз в Microsoft Defender (ATP в Защитнике Microsoft); Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP)
• System Center Endpoint Protection на следующих устройствах нижнего уровня: System Center Endpoint Protection on the following down-level devices:
  • Windows Server 2012 R2 Windows Server 2012 R2
  • Windows 8.1 Windows 8.1
  • Windows Server 2012 Windows Server 2012
  • Windows 8 Windows 8
  • Windows Server 2008 R2 с пакетом обновления 1 (SP1) Windows Server 2008 R2 SP1
  • Windows 7 с пакетом обновления 1 (SP1) Windows 7 SP1
  • Windows Server 2008 с пакетом обновления 2 (SP2) Windows Server 2008 SP2
  • Windows Vista Windows Vista

У вас может быть несколько устройств нижнего уровня или устройств с устаревшими версиями Windows, которые поддерживают Endpoint Protection, но находятся вне иерархии Configuration Manager. You may have a number of down-level or legacy Windows devices that are enabled with Endpoint Protection—but are outside of your Configuration Manager hierarchy. Например, это могут быть устройства в промежуточной подсети или устройства, интегрированные в процессе слияния и поглощения. For example, devices in a demilitarized zone or devices that are integrated through mergers and acquisitions.

Вы можете управлять Endpoint Protection на таких устройствах с помощью параметров групповых политик, как описано ниже: You can manage Endpoint Protection in such devices using Group Policy settings, described as follows:

Сведения об использовании параметров групповых политик для управления антивирусной программой Microsoft Defender в Windows 10, Windows Server 2019 и Windows Server 2016 см. в статье Настройка и администрирование антивирусной программы Microsoft Defender с помощью параметров групповых политик. For information on how to use Group Policy settings to manage Microsoft Defender Antivirus in Windows 10, Windows Server 2019, and Windows Server 2016, see Use Group Policy settings to configure and manage Microsoft Defender Antivirus.

Копирование определений политики Endpoint Protection Copy Endpoint Protection policy definitions

На устройстве с Windows нижнего уровня под управлением Endpoint Protection скопируйте файлы определения политик Endpoint Protection. On a down-level Windows device that is managed by Endpoint Protection, copy the Endpoint Protection policy definition files.

Перейдите по адресу C:\Program Files\Microsoft Security Client\Admx. Go to C:\Program Files\Microsoft Security Client\Admx.

Выполните сжатие следующих файлов в ZIP-файл, например SCEP_admx.zip : Compress the following files into a zip file, for example SCEP_admx.zip :

• EndPointProtection.adml ; EndPointProtection.adml
• EndPointProtection.admx. EndPointProtection.admx

Скопируйте ZIP-файл во временную папку Copy the zip file into a temporary folder. (например, C:\temp_SCEP_GPO_admx ). For example, C:\temp_SCEP_GPO_admx.

Извлеките файл. Extract the file.

Разделы реестра для настройки параметров политики Endpoint Protection можно найти по пути Hkey_Local_Machine\Software\Policies\Microsoft\Microsoft Antimalware. The registry keys to configure Endpoint Protection policy settings are located in Hkey_Local_Machine\Software\Policies\Microsoft\Microsoft Antimalware.

Загрузка параметров групповых политик Endpoint Protection в центральное хранилище в контроллере домена Load Endpoint Protection Group Policy settings into a Central Store on a Domain Controller

Если вы используете центральное хранилище для административных шаблонов групповых политик, выполните описанные ниже действия, чтобы загрузить и настроить параметры групповых политик Endpoint Protection. If you are using a Central Store for Group Policy Administrative Templates, perform the following steps to load and configure Endpoint Protection Group policy settings. Рекомендуем использовать этот метод. This is the recommended method.

Перейдите к папке, в которую были извлечены файлы определений политик Endpoint Protection. Go to the folder where you extracted the Endpoint Protection policy definition files.

Скопируйте файлы ADMX и ADML в папку PolicyDefinitions в контроллере домена: Copy the .admx and .adml files into the PolicyDefinitions folder on the domain controller:

1. Скопируйте EndPointProtection.admx в папку \\ \SYSVOL\ \Policies\PolicyDefinitions. Copy EndPointProtection.admx into \\ \SYSVOL\ \Policies\PolicyDefinitions.
2. Скопируйте EndPointProtection.adml в папку \\ \SYSVOL\ \Policies\PolicyDefinitions\en-US. Copy EndPointProtection.adml into \\ \SYSVOL\ \Policies\PolicyDefinitions\en-US.

Пример: For example:

• Скопируйте EndPointProtection.admx в папку \DC\SYSVOL\contoso.com\Policies\PolicyDefinitions. Copy EndPointProtection.admx into \DC\SYSVOL\contoso.com\Policies\PolicyDefinitions.
• Скопируйте EndPointProtection.adml в папку \DC\SYSVOL\contoso.com\Policies\PolicyDefinitions\en-US. Copy EndPointProtection.adml into \DC\SYSVOL\contoso.com\Policies\PolicyDefinitions\en-US.

Здесь DC — это имя контроллера домена, а contoso.com — ваш домен. where DC is the name of your Domain Controller and contoso.com is your domain.

Откройте консоль управления групповыми политиками и создайте в своем домене объект групповой политики, например Endpoint Protection. Open the Group Policy Management Console and create a new Group Policy Object (GPO) in your domain, for example Endpoint Protection.

Щелкните правой кнопкой мыши объект групповой политики для Endpoint Protection и выберите команду Изменить. Right-click the GPO for Endpoint Protection and click Edit.

В окне редактора управления групповой политикой перейдите к разделу Конфигурация компьютера > Политики > Административные шаблоны: определения политик > Компоненты Windows > Endpoint Protection. In the Group Policy Management Editor, go to Computer Configuration > Policies > Administrative Templates: Policy definitions > Windows Components > Endpoint Protection.

Отобразится список групповых политик Endpoint Protection. The list of Endpoint Protection Group Policies is displayed.

Разверните раздел с параметром, который нужно настроить. Дважды щелкните параметр, чтобы открыть его и внести изменения в конфигурацию. Expand the section that contains the setting you want to configure, double-click the setting to open it, and make configuration changes.

Загрузка параметров групповых политик Endpoint Protection на локальное устройство Load Endpoint Protection Group Policy settings into your local device

Вместо использования центрального хранилища для загрузки определений политик Endpoint Protection их можно сохранить на локальном устройстве. Instead of using Central Store for loading Endpoint Protection policy definitions, you can store them locally into your device.

Перейдите к папке, в которую были извлечены файлы определений политик Endpoint Protection. Go to the folder where you extracted the Endpoint Protection policy definition files.

Скопируйте файлы ADMX и ADML в локальную папку PolicyDefinitions. Copy the .admx and .adml files into your local PolicyDefinitions folder.

1. Скопируйте EndPointProtection.admx в папку %SystemRoot%/PolicyDefinitions. Copy EndPointProtection.admx into %SystemRoot%/PolicyDefinitions.
2. Скопируйте EndPointProtection.adml в папку %SystemRoot%/PolicyDefinitions/en-US. Copy EndPointProtection.adml into %SystemRoot%/PolicyDefinitions/en-US.

Пример: For example:

• Скопируйте EndPointProtection.admx в папку C:\Windows\PolicyDefinitions. Copy EndPointProtection.admx into C:\Windows\PolicyDefinitions.
• Скопируйте EndPointProtection.adml в папку C:\Windows\PolicyDefinitions\en-US. Copy EndPointProtection.adml into C:\Windows\PolicyDefinitions\en-US.

Откройте редактор локальных групповых политик. Open Local Group Policy Editor.

Перейдите к разделу Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Endpoint Protection. Go to Computer Configuration > Administrative Templates > Windows Components > Endpoint Protection.

Отобразится список групповых политик Endpoint Protection. The list of Endpoint Protection Group Policies is displayed.

Разверните раздел с параметром, который нужно настроить. Дважды щелкните параметр, чтобы открыть его и внести изменения в конфигурацию. Expand the section that contains the setting you want to configure, double-click the setting to open it, and make configuration changes.