2012/01/24

System Center 2012 RC > Endpoint Protection 2012 ってどう!?

Forefront Endpoint Protection 2010 の特徴というか良いところは、ドメイン コントローラーや Hyper-V 、IIS の役割に応じた定義済みポリシーが提供され、Configuration Manager やグループポリシーの基盤を使って簡単に展開できる点にあると思っています。詳しくは、こちらをどうぞ。

Forefront Endpoint Protection 2010 ってどう!? (その1)
Forefront Endpoint Protection 2010 ってどう!? (その2)


System Center 2012 に組み込まれた System Center 2012 Endpoint Protection の場合、そのあたりどうなったのか RC2 (System Center 2012 Configuration Manager RC2 に同梱) で確認してみました。
 
クライアントへの System Center 2012 Endpoint Protection の展開手順は、こんな感じ。System Center 2012 Configuration Manager の一部として完全に統合されました。

1. 「管理」の「サイトの構成」で、サイト システムの役割として「Endpoint Protection ポイント」を有効化します。


2. 「管理」の「クライアント設定」で、「既定のクライアント設定」(エージェントの設定)の「Endpoint Protection」の項目を開き、「クライアント コンピューターの Endpoint Protection を管理する」を「True」に設定します。いくつか既定で「True」に切り替わります。


3. 「資産と準拠」の「Endpoint Protection」の「マルウェア対策ポリシー」を開き、「既定のクライアント マルウェア対策ポリシー」を確認します。この既定のポリシーは、クライアントへのエージェント展開時の初期設定になります。必要があれば変更します。

4. Configuration Manager のクライアント エージェントを展開します(プッシュ インストールなど、手順は省略)。以下は、既定のポリシーが適用されたコンピューターの設定です。特にカスタマイズしなくても、「現在サポートされているバージョンの Windows を実行しているエンタープライズ コンピューターでウイルス スキャンを行う場合の推奨事項」にある標準的な設定が含まれています。


5. ドメイン コントローラーや Hyper-V ホストなどは、除外設定で特別な配慮が必要です。Configuration Manager には、Forefront Endpoint Protection 2010 と同様に、定義済みのテンプレート (.xml) が提供されていて、簡単にインポートできます (C:\Program Files(x86)\Microsoft Configuration Manager\AdminConsole\XmlStorage\EPTemplates から)。FEP_ から始まるテンプレートは、Forefront Endpoint Protection 2010 とたぶん同等のものでしょう。SCEP12_ から始まるテンプレートは、新しいようです。具体的にどう使い分けるのかは、まだ確認していません。


6. ドメイン コントローラーや Hyper-V 用のテンプレートは、ファイル名から容易に識別できます。2 つのテンプレートをインポートして、カスタム ポリシーを作成してみました。以下は、Hyper-V 用の定義済みのポリシー (FEP_Default_HyperV_Host.xml) です。こちらは、「Hyper-V をインストールした Windows Server 2008 ベースのコンピューターまたは Microsoft Hyper-V Server 2008 ベースのコンピューターで仮想マシンを作成または起動すると、エラー コード "0x800704C8"、"0x80070037"、または "0x800703E3" が表示されることがある」で説明されている、推奨設定が反映されています。ドメイン コントローラー用ポリシー (FEP_Default_DC.xml) には、「現在サポートされているバージョンの Windows を実行しているエンタープライズ コンピューターでウイルス スキャンを行う場合の推奨事項」で説明されている設定が反映されていました。


7. カスタム ポリシーを作成したら、「展開」を実行し、適用対象のコレクション (既定のコレクションまたはカスタム コレクション) にポリシーを展開します。

8. 以下は、ポリシーが適用された Hyper-V ホストの設定です。(Windows Developer Preview なので英語。)


Windows の役割やマイクロソフト製品 (SQL Server や SharePoint) に適切な設定が、定義済みテンプレートとして提供されるので、マルウェア対策に起因する無用なトラブルに巻き込まれることが少ないと思います。

0 件のコメント: