Mit Microsoft Endpoint Protection Endgeräte absichern

Die Verwaltung durch das SCCM

Für den SCCM-Administrator sind der Aufbau und die Konsole des SCCM sicherlich bekannt. Neu in der Version 2012 ist aber das GUI des SCCM. Dieses orientiert sich nun amRibbon-Style, das Microsoft mit Office vor wenigen Jahren einführte. Unter Assets and Compliance befinden sich beispielsweise die Einträge für User, Devices, User Collections, Device Collections, User State Migration und - ganz unten in der Liste - Endpoint Protection. Dieser Eintrag ist neu, alle anderen waren bereits in den Vorgängerversionen vorhanden, wenngleich auch ein wenig abgewandelt.

Unter Endpoint Protection finden Sie nun die Einträge Antimalware Policy und Firewall Policy. Bevor eine Policy auf die Benutzersysteme ausgerollt werden kann, muss noch der Endpoint Protection Client installiert werden. Dieser befindet sich unter dem Eintrag Default Client Setting Policy. Anschließend können Sie damit beginnen, spezifische Sicherheits-Policies auf die Benutzergeräte zu verteilen. Um eine neue Policy für Benutzer anzuwenden, ist die Option der Antimalware Policy aus dem Menübaum aufzurufen. Die Default Policy wird, ganz ihrem Namen entsprechend, als Standard-Policy auf alle Geräte ausgerollt. Daneben lassen sich Policies selbst definieren und an die spezifischen Anforderungen anpassen.

Policy-Roll-out durch SCCM Collections

Die Operationen des SCCM werden in der Regel immer auf eine Gruppe an Geräten angewandt. Eine solche Ansammlung an Geräten wird im SCCM als "Collection" bezeichnet. Durch eine Collection können beispielsweise all jene Geräte, die veraltete Virensignaturen aufweisen, gemeinsam erneuert werden. Collections sind für eine effiziente Verwaltung der Geräte unerlässlich und bündeln gleichartige Systeme in einen größeren Verbund. Ansonsten müssten alle Operationen einzeln auf die Geräte angewandt werden, was den Verwaltungsaufwand erhöhen würde. Collections lassen sich nun auch auf die Sicherheitskriterien der Geräte anwenden. Um die Verwaltung zu vereinfachen, hat Microsoft beim SCCM die wichtigsten Collections bereits dazugepackt.

Dies sind beispielsweise Collections für jene Geräte, die als "gesund" (healthy) bezeichnet werden. Die Geräte, mit denen der SCEP-Server derzeit, aus welchen Gründen auch immer, keine Verbindung hat, bilden eine weitere Collection. Ferner gibt es eine Collection für all jene Geräte, die den SCEP-Client installiert haben. Auch eine Collection über den Malware-Zustand der Geräte ist bereits vordefiniert.