SCCM2012升级SP1系列之配置管理SCCM2012②配置SCCM2012 Endpoint Protection上
上篇我们完成了发现和管理SCCM2012客户端,本篇我们开始配置SCCM2012 Endpoint Protection。由于本篇内容较多,我分了上下两小篇文章来讲述。
配置SCCM2012 Endpoint Protection上篇主要讲述:
1)部署Endpoint Protection客户端
2)配置Endpoint Protection邮件提醒
3)配置Endpoint Protection反恶意软件策略
配置SCCM2012 Endpoint Protection下篇主要讲述:
4)配置Endpoint Protection客户端更新
4.2 配置SCCM 2012 Endpoint Protection
1) 部署Endpoint Protection客户端
A. Endpoint Protection简介
System Center Endpoint Protection是微软的企业级杀毒软件,前身是FCS,然后是Forefront Endpoint Protection 2010;FCS具备独立的管理控制台,从FEP2010开始就不再具备独立的管理控制台,管理控制台需要安装在SCCM平台之上。
在使用Endpoint Protection之前,可以先设置EP客户端的配置信息,EP站点必须安装在层次结构的顶部中央管理中心站点或独立的主站点服务器上。
B. 添加Endpoint Protection站点系统角色
a) 在管理中心站点服务器上,打开“管理”选项卡“概述”-“站点配置”-“服务器和站点系统角色”中,右侧选择“管理中心站点服务器”,右键“添加站点系统角色”。
b) 下一步
c) 勾选“Endpoint Protection 点”
d) 接受许可条款,下一步
e) 默认成员身份类型,下一步
f) 确认设置摘要无误后,下一步
g) 完成,点击关闭。
h) 过一会在管理中心站点服务器和装有SCCM客户端的机器上就会自动安装好SCEP的反病毒软件客户端,病毒库更新前后如下两图所示
C. 默认客户端设置
System Center Endpoint Protection客户端更新依赖软件更新角色,因此在开启System Center Endpoint Protection角色之前需要开启站点的软件更新角色。
a) 首先需要让客户端安装部署System Center Endpoint Protection客户端,那么需要在服务器上配置好客户端的属性,在管理中心站点服务器上的“管理”选项卡中选择“概述”-“客户端设置”,右击“默认客户端设置”选择属性
b) 点击Endpoint Protection,在右侧把“在客户端计算机上管理Endpoint Protection客户端”选择成“真”。
c) 红色框的意思是在客户端电脑安装EP客户端;橙色框的意思是在安装EP客户端之前自动删除卸载第三方的杀毒软件,这个功能就很强大了,让IT管理员方便的从第三方的反病毒平台转换成微软的反病毒平台
D. 创建新的自定义客户端配置策略
a) 创建自定义客户端配置策略可以针对不同的设备集合下发不同的客户端配置策略,便于分开管理。这一小节只是告诉配置的方法,通过上一小节就已经可以对全局的SCCM客户端下发默认策略了,要对特定的集合设定不同的SCCM策略可以参考此小节;选择“客户端设置”右键“创建自定义客户端设备设置”
b) 输入名称,勾选“Endpoint Protection”
c) 勾选“Endpoint Protection”以后,选择出现的“Endpoint Protection”选项,可以详细设置EP的参数,确定。
d) 选择刚刚创建的配置策略右键“部署”
e) 如下图,我选择对“所有Windows7系统”这个集合进行下发此策略,确定
2) 配置Endpoint Protection邮件提醒
配置了防病毒当然还希望能自动的通过邮件提醒企业内部的防毒波及范围和感染范围以及防护了多少PC ,下面就配置自动的邮件提醒,这样管理员也省心
A. 配置电子邮件通知
a) 在SCCM管理中心站点中打开“管理”选项卡,在“站点配置”-“站点”中,选择右侧的管理中心站点服务器右键“配置站点范围的组件”-“电子邮件通知”
b) 勾选“为Endpoint Protection警报启用电子邮件通知”,并设置SMTP地址,最后点击“测试SMTP服务器”以验证EP的电子邮件通知能否送达到,这里建议使用内部邮箱,如果可以看到收到了EP的测试电子邮件,确认配置是正常且成功的
c) 配置好后就可以收到来自客户端恶意软件或病毒的警报监控信息了
B. 配置EP监控警报信息
a) 在“资产和符合性”选项卡里,选择“设备集合”,右侧选择“所有Windows7系统”右键属性
b) 在“警报”选项卡里,勾选“在Endpoint Protection仪表板中查看此集合”,并添加警报的内容
c) 添加成功以后,可以在每一个警报内容的条件设定阀值
3) 配置Endpoint Protection反恶意软件策略
a) 在SCCM 2012中自带了很多反恶意软件策略的模板,可以直接导入使用,如下图可以看到很多定义好的策略,针对不同的微软产品或服务器,非常强大
b) 当然也可以自己创建新的反恶意软件策略,右键“创建反恶意软件策略”
c) 输入名称
d) 设置扫描计划。
e) 设置定义更新的更新源,以及更新的顺序从上到下,这里只选择从SCCM分发点进行更新。这样可以避免内部EP客户端占用上外网的带宽资源进行更新
f) 部署自定义好的反恶意软件策略
g) 我们选择针对”所有Windows7系统“集合下发此策略,确定