SCCM 2012 R2 从入门到精通 Part7 Endpoint和客户端策略

yanglgzh

　　SystemCenterConfigurationManager2012R2配置Endpoint和客户端策略。
　　1.在CAS服务器上启用EndpointProtectionRole
　　在Administration中打开SiteConfiguration，点击ServersandSiteSystemRoles，选择CAS服务器
　　右键AddSiteSystemRoles--勾选EndpointProtectionPoint

　　EndpointProtectionPoint即可安装成功，稍后我们就会在CM01服务器的有效较看到小盾牌了。
　　接下来我们需要让加域的客户端默认全部安装EndpointProtection。
　　重新定位到Administration--ClientSettings--CreateCustomClientDeviceSettings
　　为该策略命名并勾选EndpointProtection

　　左侧选项卡点击EndpointProtection，将第一个选项：ManageEndpointProtectionClientOnClientComputers改为True，下面的选项会自动改变，可以进行一些自定义的定制，这里全部默认。

　　点击OK保存策略，之后我们可以看到我们新建的策略了：

　　接下来我们需要设置该策略在什么目标上生效了，记得刚才我们的那台Client01么，它刚刚安装了CM的Client但是没有安装EndpointProtection，我们就以它为例：
　　定位到AssetsandComplianceDeviceCollections，我们看到ContosoBeijingWorkStations里面已经有一个成员了：

　　这就是我们之前设置的自动增量更新起作用了，好，回到刚才的ClientSettings，选择我们新建的这个Policy，右键选择Deploy，选择将其部署在所有的BeijingWorkstations,其实只有一台Client01

　　接下来大概需要等待15分钟左右，我们在Client01的右下角找到了小盾牌了。

　　接下来我们需要为EndpointProtection配置病毒定期包自动更新。
　　登录到CM02主站点上，首先打开Softwarelibrary--AllSoftwareUpdates，在搜索中输入Endpoint

　　确保软件中心已经正确的从WSUS中获取到了定义更新包的信息，我们要做的就是自动部署这些更新包了。
　　定位到AutomaticDeploymentRules--CreateAutomaticDeploymentRule，输入名称，选择工作站集合，选择新创建软件包，因为我们目前没有创建过软件包。

　　选择自动批准安装这个Rule的软件，这个其实就类似WSUS中的autoapprove。

　　勾选DateReleasedorRevised，Product，UpdateClassification。按图所示配置好，意思大概就是，所有Endpoint产品的1天以内的Definition更新全都自动安装更新。

　　之后的配置都采用默认的即可，有兴趣的可以自己研究一下每个选项。
　　之后到了Packge的部分，指定名称和包所在的路径，此处要记住路径，一会儿还要配置：

　　将包发布到CM02上。

　　选择从Internet下载更新包：

　　选择更新包语言：

　　之后部署完成，接下来我们定位到如图位置选贼SoftwareDistribution：

选择NetworkAccessAccount：

　　指定一个域账户，该域账户需要对刚才的Package的路径有Write的权限。

　　同时我们要对该CM02计算机赋予同样的权限：

　　关于这个权限，Technet的原文是这么说的：
　　TheSMSProvidercomputeraccountandtheuserthatisrunningthewizardtodownloadthesoftwareupdatesmustbothhaveWriteNTFSpermissionsonthedownloadlocation.
　　之后定位到AutomaticDeploymentRules,右键选择Runnow，稍等片刻。看到状态为Success即可

　　我们定位到刚才那个文件夹，可以看到里面已经有下载的文件了：

　　同样我们打开SoftwareUpdateGroups会看到它根据日期自动创建了一个软件包部署：

　　接下来我们配置客户端的安全策略：
　　定位到：AssetsandCompliance--EndpointProtection--AntimalwarePolicies
　　选择CreateAntimalwarePolicy，输入名称，勾选所有策略，我们一条条配置：

　　简单的就不说了，定期扫描啊，扫描设置啊，默认采取的措施。
　　主要说最后一项Definitionupdates：
　　这个配置是客户端更新病毒包的方式，既然我们上面已经配置了由SCCM自动部署更新包，所以我们点击SetSource：
　　确保SCCM和WSUS在最优先选择上，这样自动部署更新包才有意义：

　　最后记得将该Policy部署在ContosoBeijingWorkstations群集上。
　　这样在到达默认设置的扫描更新包时间后，我们登陆Client01客户端，就能看到提示更新了