20、配置管理与端点保护：从启用到故障修复

配置管理与端点保护：从启用到故障修复

在当今数字化的时代，保护系统免受恶意软件的侵害至关重要。本文将详细介绍如何启用和配置 System Center Endpoint Protection（SCEP），以及如何处理客户端健康问题。

启用 System Center Endpoint Protection

在完成相关操作后，你可以删除之前创建的名为“Endpoint Protection Definitions”的组。此时，反恶意软件更新已存在于你的 ConfigMgr 环境中，并且有规则确保这一过程持续进行。接下来，你可以激活 SCEP。

启用端点保护服务器角色

与设置软件更新点（SUP）组件相比，在 ConfigMgr 服务器上启用 SCEP 相对简单。端点保护服务器角色在 SCEP 客户端和 ConfigMgr 数据库之间建立了通信通道，通过在承载端点保护角色的 ConfigMgr 服务器上安装 SCEP 来实现。启用该角色时，安装过程会自动进行，无需手动操作。

要启用端点保护服务器角色，请按以下步骤操作：
1. 导航至“Administration”>“Site Configuration”>“Servers and Site System Roles”。
2. 右键单击“CM01”并选择“Add Site System Roles”。
3. 点击向导页面，直到到达“System Role Selection”页面，然后选择“Endpoint Protection point”。
4. 你会收到关于设置 ConfigMgr 以下载端点保护更新的警告，由于你已经完成此操作，接受警告并点击“Next”。
5. 接受 SCEP 许可条款并点击“Next”。
6. 在“Microsoft Active Protection Service (MAPS)”页面，选择“Do not join MAPS”，然后点击向导结束。

安装端点保护点角色的过程很快结束。你可以查看 EPSetup.log 来监控安装进度，并验证 SCEP 是否正在 ConfigMgr 服务器上安装（你也可以在任务栏中看到）。

需要注意的是，端点保护自动部署规则（ADR）虽然配置为每天运行，但 SUP 未设置为自动运行。ADR 评估 ConfigMgr 数据库中的软件更新元数据，如果该元数据未更新（因为 SUP 仅手动更新），则 ADR 始终根据过时的数据评估其规则。在企业环境中，应安排 ADR 在成功的 SUP 同步后运行，以确保 ADR 始终使用最新的更新元数据。

配置客户端上的端点保护

你可以手动在受管理的客户端上安装 SCEP，也可以使用传统的 Active Directory 组策略或 ConfigMgr 应用程序/包部署。此外，还可以使用 ConfigMgr 驱动的客户端设置。

任何客户端都可以手动安装 SCEP，因为安装程序可通过 SMS_ 共享获得。导航到“\ CM01\ SMS_PS1\Client”，你将看到 SCEPInstall.exe 客户端安装包。在已安装 ConfigMgr 客户端的客户端上，你会在“C: \ Windows \ CCMSetup”中找到相同的安装程序，它作为客户端负载的一部分被推送下来。

使用客户端设置，你可以指示 ConfigMgr 在任何尚未安装 SCEP 的受管理系统上安装它。要部署 SCEP，请按以下步骤操作：
1. 导航至“Administration”>“Client Settings”。
2. 右键单击并选择“Create Custom Client Device Settings”。
3. 对于设置名称，输入“Endpoint Protection Settings”，并勾选“Endpoint Protection”复选框。
4. 使用表 16.3 中的值配置端点保护设置，然后点击“OK”。
5. 右键单击新创建的设置并选择“Deploy”。
6. 选择“All Windows 10 Clients”设备集合并点击“OK”。

Endpoint Protection setting	Value
Manage Endpoint Protection client on client computers	Yes
Install Endpoint Protection client on client computers	Yes
Automatically remove previously installed anti-malware software	Yes
Allow Endpoint Protection client installation and restarts outside maintenance windows	No
For Windows Embedded devices…	Yes
Suppress any required computer restarts after the Endpoint Protection client is installed	Yes
Disable alternate sources for the initial definition update on client computers	Yes

设置创建和部署完成后，验证其是否生效：
1. 导航至“Assets and Compliance”>“Device Collections”并选择“All Windows 10 Clients”。
2. 右键单击该集合并选择“Client Notification”>“Download Computer Policy”。
3. 登录到 CLIENT01 并打开任务管理器。在“Processes”选项卡中，一两分钟后你应该会看到 SCEPInstall.exe 包启动，这表明 SCEP 正在安装。

使用反恶意软件策略

SCEP 客户端功能由反恶意软件策略管理，这些策略决定了客户端的行为，如计划扫描、更新位置和排除设置。当使用 ConfigMgr 客户端设置部署 SCEP 客户端时，会同时安装一个默认策略。

要查看默认策略的设置，可以在 ConfigMgr 控制台中打开该策略：
1. 导航至“Assets and Compliance”>“Endpoint Protection”>“Antimalware Policies”。
2. 右键单击“Default Client Antimalware Policy”并选择“Properties”。

接下来，我们将创建一个自定义反恶意软件策略，允许客户端通过 MAPS 向 Microsoft 发送报告数据，并采用更积极的定义更新策略。创建自定义策略的步骤如下：
1. 在“Antimalware Policies”中，右键单击并选择“Create Antimalware Policy”。
2. 名称使用“Custom Workstation Antimalware Policy”。
3. 选择“Microsoft Active Protection Service”，然后选择“Definition Updates”。
4. 对于 MAPS 设置，将成员类型更改为“Advanced membership”。
5. 对于定义更新设置，将“Force a definition update”更改为“Yes”，将更新源更改为仅“ConfigMgr”和“Microsoft Update”，并将“If Configuration Manager is used as a source”更改为“36 hours”。
6. 点击“OK”。然后右键单击新创建的策略并选择“Deploy”。
7. 选择“All Windows 10 Clients”设备集合。
8. 导航回“Assets and Compliance”>“Device Collections”，选择“All Windows 10 Clients”集合并触发客户端策略更新。
9. 在 CLIENT01 上，通过打开 SCEP 代理并转到“Help”>“About”，验证 SCEP 代理是否已收到策略更新。新策略将与默认策略一起应用，因为新策略会覆盖默认策略，但仅覆盖少量设置。

SCEP 客户端信息会传回 ConfigMgr 中的计算机对象，你可以在 CM01 上导航至“Assets and Compliance”>“Devices”>“CLIENT01”，展开屏幕底部的“Information”选项卡，查看客户端的端点保护状态信息。你还可以使用 ConfigMgr 控制台执行基本的端点保护任务，例如导航至“Assets and Compliance”>“Device Collections”>“All Windows 10 Clients”，右键单击该集合并选择“Endpoint Protection”>“Full Scan”，触发集合中所有系统上的 Windows Defender 客户端进行全面扫描。

处理恶意软件爆发

尽管 Defender 已部署且更新正常下载，但恶意软件仍可能来袭。为了测试 Defender 对恶意软件的反应，我们可以使用 EICAR 提供的测试工具，该工具能模拟恶意软件爆发，而不会对实验室环境造成实际危害。

测试反恶意软件非常重要，就像备份一样，你希望永远不需要它们，但在需要时会感激拥有。如果反恶意软件解决方案未经测试，会带来巨大风险，一个无法正常工作的解决方案比没有解决方案更糟糕。

要进行测试，请按以下步骤操作：
1. 在 CLIENT01 上，打开 Internet Explorer 并导航至“www.eicar.org/85-0-Download.html”，有四个文件可供下载，每个文件用于测试不同的恶意软件向量：
- eicar.com
- eicar.com.txt
- eicar_com.zip
- eicarcom2.zip
2. 依次尝试下载每个文件（建议使用安全的 HTTPS 下载链接）。每次尝试下载文件时，Defender 会弹出警告，提示检测到威胁并已采取自动措施。
3. 尝试下载所有文件（都会失败）后，打开 Defender 客户端，然后导航至“History”选项卡。
4. 选择“All detected items”，然后选择“View details”，可以看到 Defender 代理已拦截每个项目并将其隔离，保护了操作系统。
5. 点击“Remove all”删除每个实例。

Defender 代理会不断将检测到的恶意软件信息发送回 ConfigMgr 服务器，你可以导航至“Monitoring”>“Endpoint Protection Status”>“System Center Endpoint Protection Status”查看相关信息。如果在状态页面中未看到任何信息，可能是 ConfigMgr 尚未处理，反恶意软件监控/状态信息每 20 分钟自动刷新一次，你可以在功能区选择“Run Summarization”强制刷新，也可以更改汇总计划。

导航至“Monitoring”>“Endpoint Protection Status”>“Malware Detected”，你会看到各个设备集合中检测到的恶意软件类型的细分。如果你怀疑某个文件被错误隔离（误报），可以选择“Restore files quarantined by this threat”将隔离的文件移回其原始位置，但使用此功能时要小心。如果检测到的恶意软件确实是误报，你可以选择“Allow this threat”，下次客户端刷新策略时，将不再隔离该文件。

实验室任务

在实验室环境中，你需要为服务器创建一个新的自定义反恶意软件策略，并创建一个客户端设置策略，将 SCEP 部署到 DC01（操作系统为 Windows Server 2012 R2），确保 SCEP 自动安装并应用正确的策略。这是因为服务器和工作站的功能不同，适用于一方的反恶意软件策略可能不适用于另一方。例如，服务器不应直接连接互联网获取定义更新，除非有特定原因；但服务器可以更灵活地安排全面扫描时间，甚至可以每天安排一次。此外，你可能希望排除某些本地文件（如 SQL 服务器上的数据库文件和日志文件），避免被反恶意软件代理持续扫描。

确保客户端健康

即使拥有最健康、最精细调整的 ConfigMgr 服务器层次结构，如果客户端长期不健康，整个管理解决方案的基础也会受到影响。ConfigMgr 客户端是整个解决方案的核心，没有健康的客户端，管理解决方案将无法正常工作。

了解常见的客户端健康问题

在 Configuration Manager 2007 时代，许多管理员大量使用所谓的健康检查集合，这些设备集合报告客户端行为的不同方面，如多少客户端未能发送清单或多少客户端报告已安装但标记为非活动状态。而在 Configuration Manager 2012 及更高版本中，你不再需要使用健康检查集合，因为控制台提供了一种简单的方法来监控客户端状态，并且客户端具有自我修复功能，旨在保持系统平稳运行。

要了解自我修复功能的工作原理，可以查看客户端上的相关任务：
1. 登录到 CLIENT01 并导航至“Control Panel”>“Administrative Tools”>“Task Scheduler”。
2. 在任务计划程序中，导航至“Task Scheduler Library”>“Microsoft”>“Configuration Manager”。

ConfigMgr 客户端安装时会自动创建三个内置计划任务，我们关注的是“Configuration Manager Health Evaluation”任务。选择该任务并选择“Actions”选项卡，可以看到该任务只有一个操作：运行“C: \ Windows \ CCM\CcmEval.exe”，该可执行文件与 ConfigMgr 客户端一起安装。CcmEval.exe 的行为由 CcmEval.xml 驱动，该文件详细说明了检查的内容和修复方法。

打开 Windows PowerShell 管理窗口，输入以下命令：

[xml]$xml = Get-Content C:\Windows\CCM\CcmEval.xml
$xml.ClientHealth.HealthCheck | Select-Object Description

输出包含健康评估检查的潜在问题，例如：
- Verify WMI service exists
- Verify/remediate WMI service startup type
- Verify/remediate WMI service status
- WMI Repository read/write test
- ......

许多潜在问题可能导致 ConfigMgr 客户端出现问题，例如 SMS 代理主机服务被禁用会导致客户端完全停止工作。但由于 CcmEval.exe 独立于 ConfigMgr 客户端运行，这些问题可以自动解决。

为了演示 CcmEval 的工作原理，我们可以故意禁用 Windows Update 服务，因为 ConfigMgr 客户端的软件更新组件依赖于该服务。使用以下 PowerShell 代码禁用服务：

Set-Service wuauserv -StartupType Disabled

验证更改：

(Get-CimInstance `
-Class Win32_Service `
-Filter "Name='wuauserv'").StartMode 

触发修复扫描，导航回任务计划程序中的“Configuration Manager Health Evaluation”任务，右键单击该任务并选择“Run”。CcmEval.exe 将其输出记录到客户端“\ Windows \ CCM\Logs”文件夹中的 CcmEval.log 文件中。可以通过再次运行验证命令来确认服务的启动类型是否已更改。

通过以上步骤，你可以全面了解如何启用和配置 SCEP，以及如何确保客户端的健康，从而有效保护系统免受恶意软件的侵害。

配置管理与端点保护：从启用到故障修复

客户端健康问题的深入分析与解决

上文中我们了解了 ConfigMgr 客户端的自我修复功能以及如何通过 CcmEval 来处理一些常见的客户端健康问题。接下来，我们进一步深入分析客户端健康问题的更多细节以及相关的解决办法。

CcmEval 检查的项目众多，涵盖了系统服务、WMI 相关以及数据库等多个方面。下面我们用一个表格来详细展示这些潜在问题：
| 检查项目 | 描述 |
| — | — |
| Verify WMI service exists | 验证 WMI 服务是否存在 |
| Verify/remediate WMI service startup type | 验证并修复 WMI 服务的启动类型 |
| Verify/remediate WMI service status | 验证并修复 WMI 服务的状态 |
| WMI Repository read/write test | 进行 WMI 存储库的读写测试 |
| Verify/remediate client WMI provider | 验证并修复客户端 WMI 提供程序 |
| WMI repository integrity test | 进行 WMI 存储库的完整性测试 |
| Verify BITS exists | 验证 BITS 是否存在 |
| Verify/remediate BITS startup type | 验证并修复 BITS 的启动类型 |
| Verify/remediate client prerequisites | 验证并修复客户端的先决条件 |
| Verify/remediate client installation | 验证并修复客户端的安装情况 |
| Verify SMS Agent Host service exists | 验证 SMS 代理主机服务是否存在 |
| Verify/remediate SMS Agent Host service startup type | 验证并修复 SMS 代理主机服务的启动类型 |
| Verify/remediate SMS Agent Host service status | 验证并修复 SMS 代理主机服务的状态 |
| WMI Event Sink test | 进行 WMI 事件接收器测试 |
| Microsoft Policy Platform WMI integrity test | 进行 Microsoft 策略平台 WMI 的完整性测试 |
| Verify/remediate Microsoft Policy Platform service existence | 验证并修复 Microsoft 策略平台服务的存在性 |
| Verify/remediate Microsoft Policy Platform service startup type | 验证并修复 Microsoft 策略平台服务的启动类型 |
| Verify/remediate Antimalware service startup type | 验证并修复反恶意软件服务的启动类型 |
| Verify/remediate Antimalware service status | 验证并修复反恶意软件服务的状态 |
| Verify/remediate Network Inspection service startup type | 验证并修复网络检查服务的启动类型 |
| Verify/remediate Windows Update service startup type | 验证并修复 Windows 更新服务的启动类型 |
| Verify/remediate Windows Update service startup type on Windows 8 | 验证并修复 Windows 8 上 Windows 更新服务的启动类型 |
| Verify/remediate Configuration Manager Remote Control service startup type | 验证并修复 Configuration Manager 远程控制服务的启动类型 |
| Verify/remediate Configuration Manager Remote Control service status | 验证并修复 Configuration Manager 远程控制服务的状态 |
| Verify/remediate Configuration Manager Proxy service startup type | 验证并修复 Configuration Manager 代理服务的启动类型 |
| Verify/remediate Configuration Manager Proxy service status | 验证并修复 Configuration Manager 代理服务的状态 |
| Verify/remediate SQL CE database is healthy | 验证并修复 SQL CE 数据库的健康状况 |

从这个表格中可以看出，任何一个项目出现问题都可能影响 ConfigMgr 客户端的正常运行。例如，当 SMS 代理主机服务被禁用时，客户端将完全停止工作。但幸运的是，CcmEval.exe 可以独立运行并自动解决这些问题。

我们再来看一个 mermaid 流程图，展示 CcmEval 处理客户端健康问题的大致流程：

graph TD;
    A[开始] --> B[运行 CcmEval.exe];
    B --> C{检查项目是否有问题};
    C -- 是 --> D[尝试修复问题];
    D --> E[记录日志到 CcmEval.log];
    C -- 否 --> F[结束检查];
    E --> F;

客户端健康问题的预防与监控

除了依靠 CcmEval 来解决客户端健康问题，我们还需要进行预防和监控，以确保客户端始终保持健康状态。

首先，定期检查客户端的日志文件是很有必要的。如前文提到，CcmEval.exe 会将输出记录到 CcmEval.log 文件中，通过查看这个日志文件，我们可以及时发现潜在的问题。同时，其他相关的日志文件也可以提供有用的信息，例如客户端的软件更新日志等。

其次，合理设置监控和刷新频率。反恶意软件监控/状态信息每 20 分钟自动刷新一次，我们可以根据实际情况调整这个频率。如果需要更及时地获取信息，可以在功能区选择“Run Summarization”强制刷新。

另外，我们可以创建一些自定义的监控任务，例如监控特定服务的状态。以下是一个简单的 PowerShell 脚本示例，用于监控 Windows Update 服务的状态：

$wuService = Get-Service wuauserv
if ($wuService.Status -ne "Running") {
    Write-Host "Windows Update 服务未运行！"
} else {
    Write-Host "Windows Update 服务正常运行。"
}

我们可以将这个脚本设置为定时任务，定期检查服务状态。

总结

通过本文的介绍，我们详细了解了如何启用和配置 System Center Endpoint Protection（SCEP），包括启用端点保护服务器角色、配置客户端上的端点保护、使用反恶意软件策略以及处理恶意软件爆发等方面。同时，我们也深入探讨了客户端健康问题，包括常见问题的分析、自我修复功能的原理以及预防和监控的方法。

在实际的系统管理中，我们需要综合运用这些知识，确保系统能够有效地抵御恶意软件的侵害，并且客户端始终保持健康状态。只有这样，我们才能构建一个安全、稳定的数字化环境。希望这些内容对大家在系统管理和安全防护方面有所帮助。