SCCM 2012不僅可以控管整個企業軟硬體資產與應用程式及作業系統的部署,也能做到集中管理整個Windows網路運作環境的基礎安全,例如內建防火牆的管制、NAP用戶端的管制、惡意程式的防護、系統與軟體的更新,而且還可以結合SQL Server Reporting Services來產生各類的分析報告。
圖4所示為站台系統角色的安裝精靈,在「General」頁面內可以設定安裝站台系統的帳戶,以及所屬的Active Directory樹系與網域,在單一樹系與網域的環境中全部採用預設值即可。
|
▲圖4 站台系統設定。 |
此外,當站台有發佈到網際網路來連線使用時,才需要設定相對的Internet FQDN。按下〔Next〕按鈕繼續。
接著,在如圖5所示的「System Role Selection」頁面內勾選「Endpoint Protection point」系統角色,然後按下〔Next〕按鈕。
|
▲圖5 系統角色選擇。 |
緊接著可能會出現如圖6所示的警告訊息,告知後續端點保護的定義檔,預設將透過SCCM 2012本身的軟體更新管理功能進行部署,因此這項設定務必完成相關的正確設定。按一下〔確定〕按鈕繼續。
|
▲圖6 出現警告訊息。 |
如圖7所示,在「Microsoft Active Protection Service」頁面內,可以決定是否加入Microsoft的安全防護改善計畫,建議採用預設的「Basic membership」即可,以協助回傳分析相關的安全風險,讓未來能夠提供更好的安全防護能力。
|
▲圖7 加入安全防護改善計畫。 |
圖8所示是成功完成「Endpoint Protection point」站台系統角色新增安裝的結果頁面。按下〔完成〕按鈕即可。
|
▲圖8 站台系統角色新增成功。 |
Q3:如何控管端點保護代理程式設定
在完成端點保護的站台系統角色安裝後,展開「Administration」功能區,接著切換至「Client Settings」節點,進行用戶端代理程式的組態設定。
如圖9所示,在「Endpoint Protection」節點頁面內,先決定是否在SCCM 2012的用戶端電腦上啟用端點保護的功能,然後選擇是否自動移除版本較舊的防護程式,以及是否要防止要求重新開機的訊息出現等等。請注意!前兩項務必皆設定為「True」。
|
▲圖9 端點保護啟用設定。 |
接下來回到「Assets and Compliance」功能區內,然後點選至如圖10所示的「Antimalware Policies」節點頁面,點選預設的「Default Client Antimalware Policy」項目並按一下上方工具列中的〔Properties〕圖示按鈕。
|
▲圖10 惡意程式防護原則管理。 |