Mit Microsoft Endpoint Protection Endgeräte absichern

System Center und die Endpoint Protection

System Center Configuration Manager (SCCM) hat aufgrund seiner langen Tradition einen großen Anwenderkreis. Seine Wurzeln liegen im System Management Server (SMS). Durch die Neuausrichtung der Funktionen wurde SMS zu SCCM. Die Rolle von System Center 2012 Endpoint Protection (SCEP) liegt in der Gewährleitung der Systemsicherheit. Durch diese neue Architektur von SCEP und dessen Einbettung in den SCCM werden erstmals Funktionen der Systemverwaltung mit jenen der Sicherheit verschmolzen. Da der SCEP auf dem SCCM aufsetzt, benötigen Sie, um eine SCEP-Umgebung einzurichten, eine funktionierende SCCM-2012-Umgebung. SCEP arbeitet also nicht mit dem Vorgänger, dem SCCM 2007, zusammen. Unternehmen, die den SCEP einsetzen wollen, müssen daher vorab ihre SCCM-Umgebung auf die Version 2012 heben. Das Upgrade von FEP 20120 auf SCEP 2012 wird aber unterstützt.

Das Rollenmodell des SCCM

Nach der Installation des SCCM müssen, sofern noch nicht geschehen, noch ein paar Vorarbeiten erfolgen. Dazu gehören Anpassungen zur Integration in das Active Directory, mitunter ist auch das AD-Schema zu erweitern. Ferner muss der Administrator den SCCM-Verwaltungsbaum mit den unterschiedlichen Rollen und Standorten einrichten. Aufschluss über diese Arbeiten sind dem Handbuch des SCCM beziehungsweise der Microsoft-Website zu entnehmen.

Microsoft unterstützt im SCCM seit mehreren Versionen ein rollenbasiertes Betriebsmodell. Durch Rollen zerlegt man den gesamten Funktionsumfang einer SCCM-Installation in mehrere Module, die separat betrieben und überwacht werden können. Dies erhöht generell die Flexibilität des Gesamtsystems und erlaubt auch eine bessere Skalierung. Beim SCCM werden diese Rollen als "Points" bezeichnet.

Im Management Point etwa erfolgt die zentrale Verwaltung, das Management des SCCM, der Reporting Point liefert Bericht und Auswertungen, und der Distribution Point dient für die eigentliche Verteilung der Softwarepakete auf die Client; er wird, um die Netze nicht zu überlasten, naturgemäß nahe bei den Clients stehen. Hinzu kommt ein Service Point zur Unterstützung für den PXE-Boot bei der Client-Installation. Der State Migration Point dient zur Migration von Rechnersystemen.

Die Kommunikation mit den verwalteten Clients (und auch Servern) erfolgt durch den SCCM-Client, ein Softwaremodul, das die Aufträge des SCCM-Servers entgegennimmt und ausführt. Genau genommen handelt es sich beim Client wiederum um mehrere unabhängige Agenten. Gesteuert werden diese allerdings durch den Anker des allgemeinen SCCM-Clients. Eines dieser Module stellt der SCEP-Client dar. Um SCEP einzusetzen, muss er im ersten Schritt durch SCCM verteilt werden. Der SCEP-Client nimmt die Aufträge vom SCEP-Server entgegen und arbeitet sie ab. Die Konfiguration einer System-Center-Umgebung beginnt mit dem Einrichten des SCEP-Points. In dieser Hinsicht orientiert sich SCEP am Rollenaufbau und an den Konzepten der "SCCM-Points".

Um den SCEP -Point einzurichten, muss dieser als Rolle definiert werden. Unter der Rubrik Site Configuration / Site System Rolles sind diese Rollen in der SCCM-Verwaltungskonsole zu bestimmen und zu konfigurieren. Anschließend muss die Option SCEP aktiviert werden. Dies geschieht über den Eintrag der Default Client Policy. Neben der Default-Policy sind natürlich benutzerspezifische Policies nach Nutzergruppen konfigurierbar. Der SCEP-Client kommuniziert mit dem SCEP-Server auf dem SCCM. Sofern auf dem Client-Gerät bereits eine frühere Version eines Virenscanners oder die Module des SCEP-Vorgängers liegen, müssen diese vorher deinstalliert werden. Dies kann auch durch den SCEP-Setupprozesse erfolgen. Der Großteil der SCEP-Verwaltung geht durch einen Eintrag im SCEP unter der Rubrik Computer Management des SCCM vonstatten.