Nun, da unsere Hierarchie konfiguriert ist, und wir haben erfolgreich installiert und alle der Configuration Manager Rollen validiert werden wir brauchen, ist es Zeit für uns, die Agenten und Endpoint Protection-Richtlinien zu konfigurieren.

Wir werden zunächst die Endpoint Protection Standard-Richtlinieneinstellungen zu konfigurieren. Navigieren Sie zu Assets und Compliance> Endpoint Protection> Anti-Malware-Policies. Rechtsklick auf den Standard-Client-Anti-Malware-Politik.

Sie werden dann von allen Programmteilen auf der linken Seite, und die Erläuterung der einzelnen Abschnitte sowie konfigurierbaren Optionen auf der rechten Seite begrüßt. Gehen Sie durch jede der Seiten und die Optionen zu dem, was funktioniert am besten für Ihre Situation.

Hinweis: Sie können benutzerdefinierte Anti-Malware-Richtlinien erstellen, wenn Sie das möchten, gelten würde auf bestimmte Clients / Servern.

In meinem Umfeld möchte ich nicht geplante Scans ausgeführt werden, möchte ich den Echtzeitschutz zu aktivieren, und bestimmte Ausnahmen für Ordner, Dienste und Dateierweiterungen festgelegt. Hier ist, wie ich diese Einstellungen konfiguriert:

Geplante Prüfungen, ich werde nicht einen geplanten Scan ausführen.

Scaneinstellungen, möchte ich nicht, E-Mail und E-Mail-Anhänge, austauschbare Laufwerke, Netzlaufwerke oder archivierten Dateien zu scannen. Ich will nicht alle Benutzer CPU-Einstellungen zu ändern, obwohl ich dem Anwender die volle Kontrolle über geben, wenn geplante Scans laufen soll ich jemals diese Option aktivieren.

Die Standardaktionen funktionieren.

Echtzeit-Schutz-Einstellungen Standardwerte sind in Ordnung.

Ausschluss-Einstellungen, werde ich verschiedene Arten in allen drei Abschnitten werden ausgenommen:

Hier ist eine Liste der Dinge, die ich ohne sein werde, was wiederum eine Server-Umgebung im Auge behalten. Auch werde ich auch die Standardregeln in-Takt verlassen:

Ordner:% (WINDOWS)% Softwaredistribution \ Datastore% ALLUSERSPROFILE% \% (SYSTEM)% Grouppolicy \ C: \ Programme \ Microsoft DPM \ DPM \ Volumes C: \ Virtual Machines

Dienstleistungen: Mailservice.exe Dpmra.exe DPM.exe sqlserver.exe vmms.exe Vmwp.exe vmswp.exe

Dateierweiterungen: .avhd bak .iso LDF MDF- NDF .trn VFD VHD .vhdx .vsv .xml

Die Standardwerte für den Bereich Erweitert sind in Ordnung. Ich will nicht, ein System Punkt erstellt wiederherstellen, bevor säubert, ich habe keine lästigen Meldungen auf dem Server, ich will die Dateien in Quarantäne und Ausgrenzungsprozesse zur Durchsetzung einheitlich über Politik verwaltet werden.

Ich werde keine Bedrohung Überschreibungen angeben.

Microsoft Active Protection Service wird während der Endpoint Rollenkonfiguration auf Ihre Mitgliedschaft Einstellung zurück. Wie wähle ich die Basis-Mitgliedschaft und das ist in Ordnung. Ich möchte nicht, Benutzer, dies zu ändern zu können.

Ich werde auch die Definition Updates bei Standard verlassen. Jeder Server wird nach Updates dreimal täglich standardmäßig 8-Stunden-Intervallen. Meine Quellen wird WSUS, Windows Update, und Microsoft Malware Protection Center. Zu dieser Zeit ist meine Software-Update-Funktion nicht konfiguriert ist, so mit dem Configuration Manager als Quelle sollte nicht passieren.

Klicken Sie auf OK, um die Standard-Anti-Malware-Policysettings zu schließen. Jetzt müssen wir die E-Mail-Benachrichtigungseinstellungen für Endpoint Protection zu konfigurieren.

Klicken Sie auf der Registerkarte Administration und navigieren Sie zu Site-Konfiguration> Seiten. Rechtsklicken Sie auf Ihrer Website und klicken Sie auf Konfigurieren von Standortkomponenten> E-Mail-Benachrichtigung. Füllen Sie die Seite in geeigneter Weise für den SMTP-Server.

Nun sind alle Client-Einstellungen haben für System Center Endpoint Protection für Ihre Configuration Manager-Clients konfiguriert. Jetzt werden wir zur Einstellung der Configuration Agent-Richtlinien fortzufahren.

Klicken Sie auf die Registerkarte Administration> Client-Einstellungen. Rechtsklicken Sie auf Standard-Client-Einstellungen und klicken Sie auf Eigenschaften.

BITS, werde ich Vorgabe, nicht oder Grenzen Drosselung.

Client Policy, Standard ist wieder in Ordnung.

Compliance-Einstellungen, ich werde diese jetzt auf True verlassen, falls ich jemals wollen / müssen Compliance-Einstellungen zu konfigurieren.

Computer-Agent, werde ich hier einige geringfügige Änderungen vornehmen. Change In Standard-App Katalog Site Zone vertrauenswürdige Sites auf True. die Org Name in Software Center Customized. Stellen Sie sicher, Agent-Erweiterungen verwalten die Bereitstellung von Anwendungen und Software-Updates auf False zu verlassen. Configuration Manager ist nicht Setup für Updates zu diesem Zeitpunkt bereitstellen, wenn wir die Rolle als Futures-Option installiert haben. Ändern Sie Powershell-Ausführungsrichtlinie zu umgehen.

Computer neu starten, verließ ich diese Standard.

Endpoint Protection, wichtige Änderungen hier. Wir setzen Endpoint Protection-Client auf den Client-Computern auf True verwalten. Wir stellen sicher, alle anderen Felder als auch wahr sind. Wir wollen Endpoint Protection zum automatischen Entfernen Sie alle vorhandenen AV auf unsere Kunden und EP installieren. Wir wollen auch die ersten Definitionen von WSUS, Windows Update oder von Microsoft Anti-Malware Protection Center, je nachdem welche Quelle mit den neuesten Definitionen verfügbar ist, ist in Ordnung.

Hardware-Inventar, das einmal wöchentlich läuft, ist in Ordnung.

Network Access Protection (NAP), werden wir diese Funktion nicht nutzen.

Power Management, wobei diese Server wollen wir Power-Management nicht, und ich habe erlaubt Benutzer ihr Gerät ausschließen sollte es an einer beliebigen Stelle aktiviert werden.

Remote Tools, aktiviert I Fernbedienung auf alle Firewall Befreiung Profile (Domäne, Privat, Öffentlich). Benutzer können nicht ihre Politik ändern, ich Fernbedienung von unbeaufsichtigten Computer erlauben, ich möchte nicht, Benutzer aufzufordern, für die Erlaubnis, Lokale Administratoren der Maschine wird die Erlaubnis Fernbedienung haben. I Vollzugriff wollen, habe ich Domänen-Admins als Zugelassene Viewer, eine Taskleiste Symbol in der Taskleiste Popup, wenn eine Sitzung in Gebrauch ist, möchte ich die Verbindungsleiste zu zeigen. Diese sind Server, kein Sound wiedergeben auf Client, setzen die Zugriffsrechte für die Remoteunterstützung auf Vollzugriff, möchte ich Remote-Desktop-Einstellungen zu verwalten, lassen Sie die zulässigen Zuschauer von Remote Desktop zu verbinden, und ich benötigen keine NLA-Einstellungen aktiviert.

Hinweis - Damit dies funktioniert, müssen die Kunden die TCP-Ports 2701 und 2702 offen für die SCCM-Server zu haben. Ich empfehlen, diese über ein Gruppenrichtlinienobjekt (GPO) oder das Hinzufügen zu einem vorhandenen GPO vorzugsweise auf Root-Ebene Ihrer Domäne.

Software Deployment, ich verlasse diese bei Standard.

Software-Inventar, hier Standardwerte sind in Ordnung. Wenn Sie möchten, auf bestimmte Inventory-Software dies hier einstellen.

Software-Metering, Standard 7 Tage für die Datenerfassung in Ordnung.

Software-Updates werden wir diese False jetzt verlassen. Management von Software-Updates nicht innerhalb von SCCM konfiguriert, obwohl Rolle für zukünftige installiert ist.

Staats Messaging, 15 Minuten Standard ist einfach gut.

Nutzer- und Geräte-Affinität, das ein Server-Umgebung zu sein, Standardwerte sind in Ordnung.

Und das ist es! Sie haben das System Center-Agenten und Anti-Malware-(Endpoint Protection) Richtlinien konfiguriert. Dies ist möglicherweise der einfachste Teil dieser Konfiguration zu diesem Punkt. Denken Sie daran, Sie können benutzerdefinierte Agenten und Anti-Malware-Richtlinien erstellen, die Sie auf Geräte oder ganze Gerätegruppen zuweisen können, wenn Sie benötigen.

In Teil VII der letzte Teil dieser SCCM 2012 Installation und Erstkonfiguration Serie, werden wir den Configuration Manager-Agenten auf einem Server innerhalb unserer Domäne schieben und die erfolgreiche Installation auf dem Client und in der SCCM-Konsole bestätigen. Ich werde erklären, welche Dateien auf dem Client installiert werden, in dem sie installiert sind, und vieles mehr.