SCCM 2012 LAB Part3.软件更新点SUP + Endpoint Protection端点保护
在第一部分的实验中,我准备并安装了SCCM 2012独立主站点。
链接:http://xutonglin.blog.51cto.com/8549515/1362338
在第二部分的实验中,我只要示范了SCCM 2012管理管理控制台的配置。
链接:http://xutonglin.blog.51cto.com/8549515/1362847
-------------------------------------------------------------------------------------------------------
实验环境:
-------------------------------------------------------------------------------------------------------
Endpoint Protection能够帮助PC抵御恶意软件,例如病毒、间谍软件和其它可能对计算机有害的软件。提供三种方式来提高计算机的安全性:实时保护、扫描选项、检测。
Endpoint Protection需要经常性的定义更新其病毒库、杀毒引擎和信息库,以保证提供最佳的安全性,而定义更新是通过软件更新点SUP来实现的。所以Endpoint Protection整个应用的实现过程跟SUP是息息相关的。
本节一共包括4个模块来组合成整个Endpoint Protection部署到应用的全过程。
1.添加软件更新点。
2.添加站点服务器角色“Endpoint Protection点”。
3.创建“自定义客户端设置”。
4.创建“反恶意软件策略”。
------------------------------------------------------------------------------------------------
1.添加软件更新点。
打开SCCM 2012管理控制台,点击“管理”――“概述”――“站点配置”――“服务器和站点系统角色”――“添加站点系统角色”。
实验环境只有一台站点系统服务器SCCM1,所以这里不需要选择,直接下一步。
选择“软件更新点”。
指定软件更新点设置。
指定活动软件更新点设置。由于前面章节在安装WSUS时使用的是“自定义网站”,所以这里选择"WSUS配置为自定义网站"。
域中没有上游服务器,直接选择“从Microsoft Update同步”。
设置同步计划,这里的设置因环境而异。
设置“被取代软件更新行为”。
选择要同步的软件更新分类,这里一定需要选择“Definition Updates”。这个“定义更新”是用来更新Endpoint Protection的。
选择需要同步的产品,这里除了需要选择网络环境当中必须的软件更新外,特别注意需要勾选“Forefront EndpointProtection 2010”,这个就是用于定义更新System Center 2012 EndpointProtection。
选择同步语言。
完成安装,点击关闭退出向导。
2.添加站点服务器角色“Endpoint Protection点”。
打开SCCM 2012管理控制台,点击“管理”――“站点配置”――“服务器和站点系统角色”――“添加站点系统角色”。
选择即将安装该站点角色的服务器,我们只有一台站点服务器,所以默认下一步。
选择Endpoint Protection点,点击下一步。
阅读条款并且同意条款:
完成安装:
等待一会,将看到System Center 2012 Endpoint Protection出现在SCCM1站点服务器上:
接下来配置Endpoint Protection警报,警报可以通过SCCM 2012管理控制台显示警报信息,也可以配置警报通知邮件来通知相关的用户。
打开SCCM 2012管理控制台,点击“管理”――“概述”――“站点配置”――“站点”――“设置”――“电子邮件通知”。
实验环境没有架设邮件服务器,所以这里设置不了,后面实验架设了邮件服务器再来测试这个功能。
接下来设置Endpoint Protection的设备集合警报,首先要设置特定集合,并将该集合添加到警报成员当中。
创建设备集合Endpoint Protection。
使用直接查询规则添加client1客户端。
完成Endpoint Protection设备集合的创建。
打开新创建的设备集合“Endpoint Protection”属性,切换到“警报”。启用设备集合警报。
点击“警报”选项卡页面“添加”按钮。设置客户端状态属性和Endpoint Protection属性。
点击确定完成Endpoint Protection针对设备集合警报的设置。
由于Endpoint Protection是通过软件更新点SUP来定义更新和同步的,所以需要配置软件更新点SUP设置。所以这也是我将SUP和Endpoint Protection放在同一节讲解的原因。
勾选产品“Forefront EndpointProtection 2010”。点击确定。
设置“同步计划”。
设置“取代规则”。
运行软件更新同步。
查看软件更新同步状态:
创建软件更新自动部署规则。软件更新自动部署规则是SCCM 2012一大主要功能,能够实现Microsoft产品自动周期检测更新。
设置规则名称。
添加属性筛选器“发布或修订日期”。
设置属性筛选器“发布或修订日期”的搜索条件。
同样操作添加属性筛选器“产品”。
选择属性筛选器“产品”的搜索条件“Forefront EndpointProtection 2010”。点击下一步。
设置规则生效时间和运行计划:
选择UTC时间校对,并且设置软件可用时间。
设置用户体验设置:
设置更新警报:
设置软件更新下载行为:
定义自动部署规则的部署包,而且该部署包是需要去放在可用的共享网络路径上的,所有首先我们将在SCCM1服务器上的D盘中去创建共享文件夹Resource,给予Everyone读取权限,并且在resource下创建子文件夹Endpoint Protection。
自定义自动部署规则包名称和网络共享路径。
将自定义规则部署包放置到分发点上。
选择下载更新位置:
选择更新文件语言:
完成设置向导,点击关闭。
查看新建的endpoint protection部署包:
查看新创建的endpoint protection自动部署规则:
选择Endpoint protection自动部署规则,点击“立即运行”。
3.创建“自定义客户端设置”。
SCCM 2012管理控制台有一个默认的“默认客户端设置”。我们一般不修改这个配置,因为该默认客户端设置影响着ConfigMgr2012层次结构中发现到的所有设备。对于Endpoint Protection一般新创建专用的自定义客户端设置。而且最好的做法是在设备集合中也创建相关Endpoint Protection专用的设备集合。跟AD组策略与组织单位的关系很相似。我在上一节已经是创建了设备集合“Endpoint Protection”。
打开“管理”――“客户端设置”――“创建自定义客户端设备设置”。定义名称为“Endpoint Protection”,勾选自定义设置“Endpoint Protection”。
选择自定义客户端设置“Endpoint Protection”右键属性。
修改设备设置属性,点击确定完成。
完成自定义客户端设备创建后需要将该配置关联到相关的设备集合。在SCCM2012中使用的是“部署”。右键“部署”。
选择设备集合“Endpoint Protection”。
由于现在设备集合“Endpoint Protection”中成员之一Client1.所以只有Client1会在一段时间后自动安装上Endpoint Protection 2012软件。
4.创建“反恶意软件策略”。
反恶意软件策略是用于控制Endpoint Protection客户端扫描计划和定义更新方式。打开SCCM 2012管理控制台。点击“资产和符合性”――“Endpoint Protection”――“反恶意软件策略”。
切换到“计划扫描”,启用检查最新定义更新。
切换到“扫描设置”,根据需要修改相关的设置。
切换到“定义更新”,点击右侧“设置源”。修改设置源。
将新创建的反恶意软件策略部署到设备集合“Endpoint Protection”中。
选择部署的设备集合“Endpoint Protection”。
查看部署情况:
至此,我们就完成了System Center Endpoint Protection2012的部署和应用,通过创建“自定义客户端设置”来定义Endpoint Protection的安装方式。通过创建“自定义反恶意软件策略”来定义Endpoint Protection的扫描方式和更新方式。