Endpoint Protection freischalten
In der SCCM Konsole zu “Verwaltung” > “Übersicht” > “Clienteinstellungen” navigieren. Dort eine neue “Benutzerdefinierte Geräteclienteinstellung(en) erstellen”. Der Einstellung einen sinnvollen Namen geben und außerdem “Endpoint Protection” anklicken.
Anschließend den Reiter “Endpoint Protection” (links) anklicken. Nun lässt sich Endpoint Protection folgendermaßen konfigurieren:
Hinweis: Die Option “Endpoint Protection-Clientinstallation und Neustarts außerhalb der Wartungsfenster zulassen.” kann auch bei “Nein” belassen werden. Falls man den Endpoint Protection-Client im laufenden Betrieb installieren möchte und die Rechner nicht auch abends/nachts laufen, sollte hier “Ja” ausgewählt werden. Nutzt man die Betriebssystem-Installation des SCCMs, lässt sich der Client ohnehin bereits während der Installation installieren, sodass diese Option praktisch keine Auswirkungen hat.
TODO: Bereitstellen!
Endpoint Protection konfigurieren
Die weitere Konfiguration der Endpoint Protection erfolgt über Richtlinien für Antischadsoftware, welche man unter “Assets und Konformität” > “Übersicht” > “Endpoint Protection” > “Richtlinien für Antischadsoftware” findet.
Wichtig
Hyper-V Hosts
Für Hyper-V Hosts gibt es von Microsoft Empfehlungen, wie man Endpoint Protection konfigurieren sollte. Diese können mithilfe der folgenden XML-Datei importiert werden.
Datei-Download
Anschließend muss die Richtlinie für die Gerätesammlung “Hyper-V” bereitgestellt werden.
Domain Controller
Für Domain Controller gibt es von Microsoft Empfehlungen, wie man Endpoint Protection konfigurieren sollte. Diese können mithilfe der folgenden XML-Datei importiert werden.
Datei-Download
Anschließend muss die Richtlinie für die Gerätesammlung “Domain Controllers” bereitgestellt werden.
Definitionsupdates
Definitionsupdates lassen sich über verschiedene Wege an die Clients verteilen:
- lokal: WSUS, SCCM oder Dateifreigabe
- online: Microsoft Update
Verteilungswege
WSUS
Eine sehr praktikable Lösung ist die Verteilung über einen lokalen WSUS-Server. Da ohnehin ein WSUS auf dem SCCM-Server läuft, kann man diesen zur Verteilung der Definitionsupdates nutzen. Dazu nutzt man die Funktion, Updates automatisch zu genehmigen.
Dazu in der WSUS Konsole unter “Optionen” den Punkt “Automatische Genehmigungen” anklicken. Dort eine neue Regel erstellen:
WSUS Konfiguration der Rechner
SCCM
Entscheidet man sich für die Verteilung über das SCCM müssen die Updates über die SCCM Konsole in irgendeiner Weise für die Clients freigeschaltet werden (siehe Updates).
Unsere Erfahrung
Microsoft Update
Am wenigsten Arbeit hat man bei der Bereitstellung der Updates durch Microsoft Update. Allerdings werden die Updates dann pro Rechner über die Internetleitung heruntergeladen.
Wichtig
Richtlinie erstellen
Egal für welchen Verteilungsweg man sich entscheidet, man muss eine Richtlinie erstellen, mit der dieser Weg den Clients bekanntgemacht wird. Dazu eine neue Richtlinie erstellen:
In den eigentlichen Einstellungen für die Definitionsupdates diese dann nach eigenen Wünschen konfigurieren. Unsere Konfiguration sieht folgedermaßen aus:
Unter “Quelle festlegen” legt man dann den gewünschten Weg (siehe oben) fest:
Anschließend muss die Richtlinie für die Sammlung “Alle Systeme” bereitgestellt werden.