System Center Windows 端點安全 SCCM 微軟 資安

集中管理端點系統安全 SCCM 2012技巧TOP 7

2013-09-23
SCCM 2012不僅可以控管整個企業軟硬體資產與應用程式及作業系統的部署,也能做到集中管理整個Windows網路運作環境的基礎安全,例如內建防火牆的管制、NAP用戶端的管制、惡意程式的防護、系統與軟體的更新,而且還可以結合SQL Server Reporting Services來產生各類的分析報告。
如圖11所示,在「Default Antimalware Policy」視窗內,可以強制設定在「Scheduled scans」頁面中的排程掃描時間(完整掃描或快速掃描),在這裡的設定還可以特別指定CPU的負載不能超過多少百分比。


▲圖11 排程掃描設定。

在「Real-time protection」頁面內,則可以設定是否要啟用即時保護,以及監視程式與各類的檔案活動情形,如圖12所示。強烈建議前兩項設定務必設定為「True」,以即時防止可能的惡意程式。


▲圖12 即時防護設定。

接著,可以設定是否掃描所有下載的檔案以及電子郵件的附件檔案,這項設定建議也設定為「True」。至於最後一項設定,則可以決定是否讓用戶端使用者能夠自行修改此頁面的組態,建議設定成「False」。

完成用戶端代理程式的各項防護原則設定與部署後,接著觀察所有可能有風險的用戶端狀態。同樣在「Assets and Compliance」功能區內,點選至「Devices」→「All Systems :Active client at risk」節點。

如圖13所示,在這個範例中可以發現目前WIN701-PC雖然已經安裝SCCM安全防護程式,但由於尚未重新開機,因此仍處於有風險的狀態。


▲圖13 檢視端點保護狀態。

接下來,將畫面轉移到WIN701-PC端點來查看。當開啟桌面右下角的「System Center 2012 Endpoint Protection」介面時,便可以在「首頁」中看到系統以紅字提示必須完成定義檔的更新與重新開機,如圖14所示。


▲圖14 用戶端防護代理程式。

端點的電腦重新開機之後,如果發現桌面右下角的「System Center 2012 Endpoint Protection」圖示呈現綠色,即表示目前是處於安全防護的狀態下(圖15),可以將其連續點選,以便進一步查看。


▲圖15 狀態檢視。

圖16所示是在正常防護中的「System Center 2012 Endpoint Protection」程式狀態,可以檢視到即時保護的功能是否已經開啟,以及病毒碼與定義檔是否處於最新版本的狀態。必要的話,使用者也可以隨時進行本機電腦的立即掃描。


▲圖16 正常防護中。

除此之外,使用者也可以在如圖17所示的「更新」頁面內隨時手動更新最新的病毒碼。


▲圖17 更新狀態。

再回到SCCM 2012的管理主控台,這回點選至「Monitoring」功能區,然後再點選至「System Center 2012 Endpoint Protection Status」節點頁面,在此可以檢視各端點保護的健康狀態百分比統計,並且能夠看到端點防護程式安裝失敗的數量,以及超過7天尚未進行更新的端點統計等等,如圖18所示。


▲圖18 主控台防護狀態檢視。

緊接著,嘗試在任一SCCM 2012的端點電腦上執行或下載一個測試用的惡意程式。執行之後,會立即出現如圖19所示的警示視窗,可以點選「顯示詳細資料」連結,或者按下〔清理電腦〕按鈕來防止惡意程式進行破壞。


▲圖19 偵測到可能的威脅。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!