在 SCCM 中安装端点保护角色 - 简单指南

本文是在 SCCM (ConfigMgr) 中安装端点保护角色的分步指南。您将了解如何启用 Endpoint Protection 客户端并创建 Endpoint Protection 反恶意软件策略。

必须先安装 Endpoint Protection 点站点系统角色，然后才能使用 Endpoint Protection。

SCCM 中的端点保护管理 Configuration Manager 层次结构中客户端计算机的反恶意软件策略和 Windows Defender 防火墙安全。

从 Windows 10 和 Windows Server 2016 计算机开始，已安装 Microsoft Defender 防病毒软件。安装 Windows 11 时，已安装 Microsoft Defender。

SCCM 中的端点保护角色是什么？

SCCM 中的 Endpoint Protection允许您创建包含 Endpoint Protection 客户端配置设置的反恶意软件策略。您可以将这些反恶意软件策略部署到客户端计算机

SCCM 中的端点保护角色有哪些优势？

在 SCCM 中启用端点保护角色具有以下优势：

• 配置反恶意软件策略、Windows Defender 防火墙设置，并管理选定计算机组的 Microsoft Defender for Endpoint。
• 使用配置管理器软件更新下载最新的反恶意软件定义文件，以使客户端计算机保持最新状态。了解如何使用 SCCM 部署 Endpoint Protection 更新。
• 发送电子邮件通知、使用控制台内监控以及查看报告。当客户端计算机上检测到恶意软件时，这些操作会通知管理用户。
• Endpoint Protection 可帮助保护您的 PC 免受病毒、间谍软件和其他潜在有害软件等恶意软件的侵害。

端点保护角色先决条件

SCCM 中的端点保护点角色需要以下 Windows Server 功能作为先决条件：

• .NET框架3.5
• Windows Defender 功能 (Windows Server 2016)
• Windows Defender 防病毒功能 (Windows Server 2019)
• Microsoft Defender 防病毒功能（Windows Server 2022 或更高版本）

如果要使用 Configuration Manager 软件更新来交付定义和引擎更新，则必须安装软件更新点站点系统角色并将其配置为交付定义更新。

我应该在哪里安装端点保护角色？

SCCM Endpoint Protection 点角色必须仅安装在一台站点系统服务器上，并且必须安装在管理中心站点或独立 SCCM 主站点的层次结构的顶部。

在开始安装端点保护角色之前，您必须安装 WSUS 并配置软件更新同步。了解如何安装配置管理器的 WSUS。

注意：安装 Endpoint Protection 点时，Endpoint Protection 客户端会安装在托管 Endpoint Protection 点的服务器上。

在 SCCM 中安装端点保护角色

让我们看看如何在 SCCM 中安装端点保护角色：

• 启动配置管理器控制台。
• 转到管理 > 站点配置 > 服务器和站点系统角色
• 右键单击服务器并选择添加站点系统角色。
• 从角色列表中，选择端点保护点。单击下一步。

除非您接受许可条款，否则无法在 Configuration Manager 中使用 Endpoint Protection。选择我接受 Endpoint Protection 许可条款，然后单击下一步。

此选项配置默认使用的云保护服务（以前称为 Microsoft Active Protection Service 或 MAPS）设置。然后，您可以为您创建的每个反恶意软件策略配置自定义设置。

选择基本会员，点击下一步。

在摘要页面上，检查设置并单击下一步。 Endpoint Protection 角色已成功安装。单击关闭。

使用自定义设备设置启用端点保护

在 SCCM 中安装端点保护角色后，让我们创建自定义客户端设备设置以在客户端计算机上启用端点保护。

您需要启用此设置才能在系统上安装 Endpoint Protection 客户端。在配置管理器控制台中，单击管理，在站点配置下，右键单击客户端设备设置，然后单击创建自定义客户端设备设置 站点配置 >站点。

在产品选项卡中，选择Forefront Endpoint Protection 2010作为产品，单击应用，然后单击确定。

在 SCCM 中同步端点保护更新

在 Configuration Manager 控制台中，单击软件库，展开软件更新，右键单击所有软件更新，然后选择同步软件更新。同步过程结束后，您应该会在所有软件更新下看到定义更新列表。

我们现在将选择所有定义更新并将它们放入软件更新组中。要创建 SUG，请选择更新并右键单击，然后单击创建软件更新组。为 SUG 提供名称并单击创建。

使用 SCCM 部署端点保护更新

在配置管理器中，有两种部署定义的方法

• 手动部署 Endpoint Protection 更新
• 自动部署 Endpoint Protection 更新

在此示例中，我们将手动部署 Endpoint Protection 客户端定义。如果您想使用自动方法部署定义更新，则可以在 SCCM 中创建自动部署规则。

单击软件更新组，右键单击我们创建的软件更新组，然后单击部署。

指定部署名称，选择要将此软件更新部署部署到的集合。单击下一步。

将部署类型设置为必需，并将详细级别设置为仅成功和错误消息。单击下一步。

选择时间依据至客户端本地时间、软件可用时间至特定时间、安装截止时间到尽快。单击下一步。

单击下一步。

如果使用配置管理器软件更新来分发定义更新，请考虑将定义更新放置在不包含其他软件更新的包中。这使得定义更新包的大小更小，从而可以更快地复制到分发点。

我们将创建一个新的部署包来部署定义更新。指定名称和包源，然后单击下一步。

添加DP，然后单击下一步。

选择从 Internet 下载软件更新。 单击下一步，然后单击关闭以关闭向导。

在客户端计算机上，我们看到一条通知，指出需要更改软件。

定义更新从 DP 下载，然后安装在客户端系统上。

定义更新已成功安装。

现在看到变化，Endpoint Protection 客户端的状态为绿色，病毒和间谍软件定义是最新的。