在SCCM中安装端点保护角色-一个简单指南
本文是在SCCM (ConfigMgr)中安装端点保护角色的逐步指南。您将学习如何启用端点保护客户端和创建端点保护反恶意软件策略。
在使用端点保护之前,必须安装端点保护点站点系统角色。
SCCM中的端点保护在配置管理器层次结构中管理客户端计算机的反恶意软件策略和Windows防御防火墙安全。
从Windows 10开始Windows Server 2016电脑,微软防御病毒已经安装。安装Windows 11时,已经安装了Microsoft Defender。
SCCM中端点保护的作用是什么?
SCCM中的端点保护允许您创建包含端点保护客户端配置设置的反恶意软件策略.可以将这些反恶意软件策略部署到客户端计算机
SCCM中端点保护角色的优势是什么?
在SCCM中启用端点保护角色提供了以下优势:
- 配置反恶意软件策略,Windows防御防火墙设置,并管理选定计算机组的Microsoft防御终端。
- 使用配置管理器软件更新下载最新的反恶意软件定义文件,华体会体育系列使客户端计算机保持最新状态。学习如何使用SCCM部署端点保护更新.
- 发送电子邮件通知、使用控制台监控和查看报告。当在客户端计算机上检测到恶意软件时,这些操作将通知管理用户。
- 端点保护有助于保护您的PC免受恶意软件(恶意软件),如病毒,间谍软件和其他潜在的有害软件。华体会体育系列
终端保护角色前提条件
SCCM中的端点保护点角色需要以下Windows Server特性作为先决条件:
- .NET Framework 3.5
- Windows Defender功能(Windows Server 2016)
- Windows Defender防病毒特性(Windows Server 2019)
- Microsoft Defender防病毒功能(Windows Server 2022或更高版本)
一个华体会体育系列软件更新点站点的系统角色如果您想使用配置管理器软件更新来交付定义和引擎更新,则必须安装和配置以交付定义更新。华体会体育系列
端点保护角色应该安装在哪里?
SCCM端点保护点角色必须仅安装在一个站点系统服务器上,并且必须安装在中央管理站点或独立SCCM主站点的层次结构顶部。
在开始安装端点保护角色之前,必须为软件更新同步安装和配置WSUS。华体会体育系列学习如何安装WSUS for Configuration Manager.
请注意:当您安装端点保护点时,端点保护客户端将安装在承载端点保护点的服务器上。
在SCCM中安装端点保护角色
让我们看看如何在SCCM中安装Endpoint protection角色:
- 启动Configuration Manager控制台。
- 去政府>网站配置>服务器和站点系统角色
- 右键单击服务器并选择添加站点系统角色.
- 从角色列表中选择端点保护点.点击下一个.
除非接受许可条款,否则无法在配置管理器中使用端点保护。选择我接受端点保护许可条款并点击下一个.
此选项配置默认使用的Cloud Protection 欢迎您~Service(以前称为Microsoft Active Protection Service或MAPS)设置。然后,您可以为创建的每个反恶意软件策略配置自定义设置。
选择基本会员,点击下一个.
在总结页,查看“设置”,然后单击下一个.Endpoint Protection角色已成功安装。点击关闭.
使用自定义设备设置启用端点保护
在SCCM中安装端点保护角色之后,让我们创建一个定制客户端设备设置在客户端计算机上启用端点保护。
您需要启用此设置才能在系统上安装Endpoint Protection客户端。在配置管理器控制台中单击管理,下网站配置,右击客户端设备设置点击创建自定义客户端设备设置年代。
为自定义客户端设备设置指定名称并进行检查端点保护并点击好吧.
- 在左侧窗格中单击端点保护设置,在右边设置在客户计算机上管理端点保护客户端来是的。
- 启用此设置后,可以使用配置管理器管理客户端计算机上的端点保护客户端。
- 还有另一种设置在客户端计算机上安装端点保护客户端.启用此设置时,如果将此设备设置部署到目标集合,则端点保护客户端将安装在目标集合内的所有计算机上。点击好吧.
部署端点保护客户端设置
通过自定义设置启用端点保护后的下一步是将端点保护客户端设置部署到设备集合。
部署Endpoint Protection客户端设置:
- 启动SCCM控制台。
- 导航到政府\概述\客户端设置.
- 右键单击端点设置并选择部署.
- 在选择集合窗口中,选择要将设置部署到其中的设备集合。
部署端点保护客户端设置后,客户端将安装最新的端点保护客户端。这些客户端计算机将获得您在上述步骤中创建的端点保护设置。
在客户端计算机上,当您启动端点保护客户端时,它会显示PC状态:存在风险。别担心,因为客户端是新安装的,所以会读取状态,因为没有下载更新。
单击更新按钮将在客户端计算机上下载最新的端点保护定义更新。
创建端点保护反恶意软件策略
反恶意软件策略包括有关扫描时间表、要扫描的文件和文件夹类型以及检测到恶意软件时要采取的行动的信息。
部署到设备集合时的反恶意软件策略指定端点保护如何保护它们免受恶意软件和其他威胁。
在SCCM中安装端点保护角色后,必须立即创建反恶意软件策略。当您在SCCM中启用端点保护角色时,将对客户端计算机应用默认的反恶意软件策略。
您可以编辑默认的客户端反恶意软件策略,也可以创建一个新的反恶意软件策略,定义设置并将其应用于您的计算机。
此外,您还可以使用提供的其他策略模板,或创建自己的自定义反恶意软件策略,以满足您的环境的特定需求。
建议创建自己的反恶意软件策略。通过这种方式,您可以自定义组织所需的设置。
以下是创建端点保护反恶意软件策略的步骤:
- 启动Configuration Manager控制台。
- 去资产和合规\概述\端点保护\防病毒策略.
- 右键单击“反恶意软件策略”并选择创建反恶意软件策略.
为新的反恶意软件策略指定一个名称,并启用如下面的截图所示的所有设置。点击好吧.
自定义反恶意软件策略设置
让我们看看定制反恶意软件策略设置的步骤。在左侧窗格中,单击定义更新.在这里,您可以配置端点保护客户端如何接收定义更新。
点击设置源,我们将看到一个新窗口,其中显示了用于将定义更新部署到EP客户端的选项。取消勾选所有源并选择从配置管理器分发的更新并点击好吧.此选项使用配置管理器软件更新将定义和引擎更新交付到层次结构中的计算机。华体会体育系列
在左侧窗格中选择扫描设置,在右侧窗格,你会发现扫描设置,如扫描电子邮件和附件,扫描可移动驱动器等。请根据需要配置这些设置,然后单击好吧.
下一步是将自定义反恶意软件策略部署到集合。右键单击反恶意软件策略并单击部署.选择目标集合并单击好吧.
在Configuration Manager控制台中,单击资产和合规选择设备并选择设备集合,右键单击部署了反恶意软件策略的目标集合,然后单击属性。点击警报,勾选方框在端点保护仪表板中查看此集合。点击添加.
在添加新的收集提醒窗口,检查所有的盒子并点击好吧.点击好吧再次关闭“计算机”属性窗口。
在软件更新点中启用定义更新华体会体育系列
下面的步骤向您展示如何配置华体会体育系列软件更新点以启用端点保护定义更新。
- 启动Configuration Manager控制台。
- 去政府>网站配置>网站.
- 下配置站点组件,点击华体会体育系列软件更新点。
- 在分类必须选择的选项卡定义更新.点击应用.
在产品选项卡上,选择前沿端点保护2010作为产品和点击应用然后点击好吧.
同步SCCM中的端点保护更新
在Configuration Manager控制台中,单击华体会体育系列软件库,扩大华体会体育系列软件更新右键点击所有软件华体会体育系列更新并选择同步软件更新华体会体育系列.在同步过程结束后,您应该看到下面的定义更新列表所有软件华体会体育系列更新.
现在我们将选择所有的定义更新,并将它们放在华体会体育系列软件更新组.要创建SUG,请选择更新并右击并单击创建软件更新组华体会体育系列.向SUG提供名称并单击创建.
使用SCCM部署端点保护更新
在Configuration Manager中,有两种部署定义的方法
- 手动部署端点保护更新
- 自动部署端点保护更新
在本例中,我们将手动部署Endpoint Protection客户端定义。如果您希望使用Automatic方法部署定义更新,那么可以这样做在SCCM中创建自动部署规则.
点击华体会体育系列软件更新组,右键单击我们创建的软件更新组并单击华体会体育系列部署.
指定部署的名字,选择要将此软件更新部署部署到的集合。华体会体育系列点击下一个.
设置部署类型来要求并设置详细级别来只有成功和错误消息.点击下一个.
选择时间基于来客户端本地时间,华体会体育系列软件可用时间来特定的时间,安装的最后期限来尽快.点击下一个.
点击下一个.
如果您正在使用Configuration Manager软件更新来分发定义更新华体会体育系列,请考虑将定义更新放在不包含其他软件更新的包中。这使得定义更新包的大小更小,从而允许它更快地复制到分发点。
我们将创建一个新的部署包来部署定义更新。指定的名字而且包的来源并点击下一个.
添加DP并点击下一个.
选择从互联网下载软件更华体会体育系列新。点击下一个并点击关闭关闭向导.
在客户端机器上,我们看到一条通知华体会体育系列需要更改软件.
定义更新从DP下载,然后安装在客户端系统上。
成功安装定义更新。
现在可以看到更改,“端点保护”客户端的状态为绿色,病毒和间谍软件定义是最新的。
你好,
谢谢你的这份文件。我在CM安装的客户端上有SCEP 4.7.214.0,但我在本地安装的SCEP有SCEP 4.10.209.0,我如何在CM控制台升级SCEP,然后部署它…?
我已经更改了反恶意软件策略,但我没有看到新策略应用在客户端上,它仍然是手动创建的自定义策略…我如何更新客户端策略?
谢谢,
Dom
我已经创建了端点保护服务器角色,并将端点保护客户机部署到一组设备上。我还创建了反恶意软件策略,并将其部署到一组设备上。但是该策略不会显示在控制面板的配置管理器配置选项卡中。我做错了什么,反恶意软件策略应该显示在哪里以及如何显示?
以管理员身份运行控制台,并告诉我是否显示了策略。
我已经创建了端点保护服务器角色,并将端点保护客户机部署到一组设备上。我还创建了反恶意软件策略,并将其部署到一组设备上。但是该策略不会显示在控制面板的配置管理器配置选项卡中。我做错了什么,反恶意软件策略应该显示在哪里以及如何显示?
你好,
我有memm - cm 2006,我应该在哪里安装新的角色端点保护?
需要考虑哪些标准?
我有19台服务器:
1主服务器:资产智能同步点、组件服务器、管理点、服务连接点、站点服务器、站点系统、短信提供商
1管理服务器:组件服务器,注册点,注册代理点,管理点,站点系统
3软华体会体育系列件更新服务器:组件服务器、站点系统、软件更新点
1报表服务器:应用程序目录Web服务点,应用程序目录网站点,组件服务器,回退状态点,报表服务点,站点系统
1基于internet的客户端管理:组件服务器,分发点,管理点,站点系统,软件更新点华体会体育系列
13分发点服务器:站点系统,分发点
1 SQL Server:组件服务器,站点数据库服务器,站点系统
我应该在哪里安装端点保护点角色?
谢谢,
Dom
嗨,Prajwal,在你上面的指南中,你提到在配置软件更新点时,从产品选项卡中选择“前沿端点保护2010”。华体会体育系列我知道这已经不复存在了(至少我在SCCM CB 2006的产品列表中没有看到它)。默认情况下,我看到“系统中心端点保护”已被选中。这足以部署SCEP更新吗?我们现在都是Windows 10的客户。只是想知道,我也看到“微软防御病毒”列在Windows类别下,以及其他前沿类别…谢谢!
嗨
我们现在正在使用Azure补丁修补我们的服务器,因此我已经禁用了服务器的软件更新点。华体会体育系列更新定义的最佳选择是什么?
嗨Prajwal,
我遵循了你的步骤,但前沿端点保护2010似乎在产品标签上缺失。你知道我如何启用或安装它吗?
非常感谢
我相信FEP 2010将不再可用,因为它已经达到EOL -//www.photo-critics.com/sccm-2007-end-of-support/
你好,谢谢你的帖子。我们的端点保护点已经到位2年了。Onprem和互联网客户端已成功更新。
我们现在正在添加云交付保护服务订阅作为WDA欢迎您~TP报告的基础,我们的内部客户端更新设置,但互联网客户端不会。我们有DMZ, SUP, DP, MP。
如果我创建了一个新策略,我可以在互联网客户端的注册表中看到它,但没有遇到云交付保护设置。欢迎您~
有什么建议吗?
谢谢
嗨Prajwal,
这是我第一次接触sccm。需要有关如何使用SCCM或在客户端升级到win10的帮助。
谢谢你!
威廉
你好,
这是我对你博客的第一个问题。我想知道我们是否可以通过SCCM在所有客户端上升级windows防御器定义{目前我们无法设置升级病毒和威胁防护更新的过程}。
我们在所有客户端上都安装了赛门铁克端点保护,同时我们希望通过SCCM更新windows防御器定义,并让windows防御器每天运行一次快速扫描。有没有可能两个杀毒软件都开着?
如果是,请让我知道如何。
提前谢谢你。
你好,
谁做过这件事&可以帮助我?
问候,
阿米特·德赛。
你好,我们正在删除SEP,只保留端点保护。
有时候两个软件使用兴奋剂会导致误报。
因此,我一直在非常严格地遵循本文(以及您以前的指南)中的步骤,但是在我同步软件更新之后,我没有看到一个用于Microsoft端点保护的定义更新。华体会体育系列我有其他更新(我遵循了之前的“如何使用SCCM 2012 R2部署Microsoft Office 2013”指南),但没有定义更新。我错过了什么?
你好,斯凯拉·拉根。你找到解决办法了吗?
要检测所有设备上安装的所有SCEP,查询是什么?
谢谢
大家好!hth华体会体育全站Prajwal Desai感谢你发布这些安装。是否有人遇到过这样的问题:通过ADR规则部署了最新的定义更新,但当您在软件库下查看实际定义时,它显示为Required 0 ?华体会体育系列直到16年3月21日,一切都很正常。我所有的客户端上次更新的定义是1.215.2461.0,现在他们的定义已经过时了。他们显然需要最新的定义,但根据sccm,他们是0需要最新的定义吗?Windows更新仍然在正确地部署和安装,所以我的客户端正确地向我的主站点服务器报告。我不知道还能找什么。有什么建议吗?我正在运行2012 R2 SP1 CU3更新,我的客户端正在运行CU3更新的最新热修复程序,它是5.00.8239.1403
你好,
我也面临着同样的问题。如何解决这个问题?
嗨Prajwal,
你知道SUP产品“前沿客户端安全”是做什么的吗?
谢谢,
安德鲁
前沿客户端安全是一种安全软件,更像AV。后来微软用一款名为前沿端点保护2010的新华体会体育系列产品取代了前沿客户端安全。但恶意软件更新仍可用于前沿客户端安全客户端。
好的,所以如果我们在客户端部署了前沿端点保护,并且在SUP设置中选择了该产品,那么我们不需要选择前沿客户端安全(我猜一定是几年前的旧设置)
正确的。
嗨Prajwal,
喜欢你的向导,一直按照他们设置ConfigMgr
我有一个关于EP定义部署的问题。
我正在使用带有每月维护华体会体育系列窗口的软件更新部署。我想部署EP定义并立即安装。
我一直在尝试一些不同的方法,但我只是看到软件中心的定义更新准备安装。华体会体育系列
如何配置我的设置,使EP定义在维护窗口外立即安装?
KL_Dane
好朋友,真的很感谢你的努力工作。
当我们创建软件更新组时,我们可华体会体育系列以单击并下载与这些元数据相关的数据,并将它们保存在单独的共享文件夹中。
我们可以直接下载这些更新,同时部署更新以及显示在这篇文章…
@Naveen -是的,你可以下载之前的更新,并将它们存储在一个文件夹。这是正常的做法。
您还可以选择在将更新部署到客户端时下载更新。然而,如果更新下载失败,你可能不得不重新开始,所以第一个方法是推荐的。
你好,Reza,你可以通过为该警报创建订阅来获得警报。
Prajwal,
在我当前的SCCM 2007 R3 SP2和FEP 2010上,我设置了FEP警报,以电子邮件通知我任何病毒爆发。我在SCCM 2012 R2和SCEP 2012上似乎找不到这个设置(我已经配置了)。
你能告诉我吗?
谢谢,雷扎
嗨Prajwal,
很好。我将通过打开门票来提供更多信息。
问候,
艾尔沙德
这就跟你问声好!
客户端故障排除的任何提示。有时每天会有一两个客户端开始扫描。他们有正确的政策和一切,但不明白为什么他们每天扫描。
嗨Prajwal,
不错的职位。
我想知道你是否有卡巴斯基10客户端推送步骤到SCCM 212。
当我试图推动一些客户端作为Kasperskey 10测试时,它在软件中心安装失败,有时无法在SC上看到任何东西华体会体育系列
我的程序:
创建为应用程序包与手动脚本文件和程序选项卡“setup.exe”/ a / s.(也DP添加),你能帮助我在哪里我做错了.......?
(2)在KP 10推送&我们可以在现有客户端KP 10上推送更新10.2
感谢你
致以最亲切的问候
艾尔沙德
KP 10可以下载吗?我将在我的实验室尝试应用程序部署,并将给你确切的步骤。
嗨,Prajwal,我已经创建了SCEP ADR,它可以工作,只是一些服务器定义没有更新。我每次都卸载和安装SCEP。然后只有定义得到更新。你能给我一些建议吗