A korábban Forefront Endpoint Protection 2010 (és még korábban Forefront Client Securty) termék legújabb verziója System Center Endpoint Protection 2012 néven folytatódik és a Configuration Manager 2012 szerves része lett. Ez érthető mind technikai mind licenszelési vonatkozásban, ezáltal egy ár/érték arányban vezető vírus és kártékonykód védelmi megoldást biztosítva minden ConfigMgr ügyfelelünknek.

A felügyelet teljes mértékben integrálódik a Config Manager 2012-be, a korábbi FEP2010 és SCCM 2007-es kettősség (külön adatbázis, külön Windows service, zárolt SCCM collectionok, csomagok, külön reporting, stb.) megszűnik. Az új ConfigMgr2012 client agent szerves része az SCEP2012, legfeljebb a szükséges komponensek nincsenek engedélyezve. Ez azt jelenti, hogy egy ConfigMgr2012 infrastruktúrában a SCEP bevezetése a ConfigMgr bevezetést követően bármikor könnyedén megtehető, csak engedélyezni kell a szükséges kliens komponenst. Engedélyezés esetén a kliensek telepítik az Endppoint Protection binárisokat. A telepítő automatikusan képes eltávolítani ismert 3rd party vírusvédelmi kliens komponenseket (ahogy eddig is a korábbi verziók esetében is volt). Ráadásul a kliens komponens telepítő csomagja előre le van töltve a ccmsetup könyvtárba. Összességében elmondható, hogy ennyire még soha nem volt egyszerű vírusírtót váltani. :) (már ha túl vagyunk a ConfigMgr 2012 bevezetésen persze).

Az Endpoint Protection beállítások pedig a többi kliens tulajdonsággal együtt szabályozható:

A ConfigMgr mostmár támogatja hogy a kliens beállításokat ne csak site szinten globálisan lehessen beállítani hanem akár több különböző client policy-t is létre tudjunk hozni amiket aztán collection-ok hoz lehet hozzárendelni, így a SCEP beállításokat igény szerint szabályozhatjuk eltérő gépcsoportokon. (ez nem csak a SCEP hanem bármilyen cliens policy beállításra vonatkozik, tehát mostmár lehet egy site-n belül különböző Remote Tools policy-m, de talán erről egy korábbi cikkben már mintha írtam volna is)

A policy-kkal az Antimalware beállítások mellett a tűzfal beállításokat is szabályozni tudjuk, és várhatóan a Microsoft kiszolgáló termékekhez kapcsolódó sablon szabályokat is fog biztosítani a termék (exclusions, stb.).

Kliensek Anti Malware beállításai:

 

 Kliensek tűzfal beállítása:

Természetesen a szofisztikált tűzfal szabályozás GPO-n keresztül javasolt továbbra is. Ennek az ConfigMgr funkciónak inkább abban van szerepe, hogy abban az esetben ha az itt beállítottaktól elétérő érték van egy kliensen akkor arra generáljon riasztást és állítsa be az itt megadott értéket. Ami ezt lehetővé teszi, hogy a Desired Configuration Manager-nek mostmár nem csak beállítások detektálásának képessége, de értékek beállítási képessége is van. Egyszer majd erről is írok cikket ígérem! :)

Tovább szofisztikálódott a definíció terítés módja is. A ConfigMgr maga is képes ellátni a definíció terítést, ezen felül továbbra is használható a WSUS-ból vagy UNC elérési útról való definíció terítés, és természetesen a közvetlenül Microsoft Update-ről való frissítés lehetősége is. Érdekesség hogy a kliens policy-ban szabályozható, hogy az alternatív frissítési utakat (pl.: MU) csak akkor használja ha az alapértelmezett ConfigMgr-es terítéssel a definició frissítést nem sikerült N óráig (alapértelemezetten 72 óra):

 

 

 Ami a jelentések és értesítések gyorsaságát illeti, bevezetésre került a "Hish Speed Data Channel" state message. A lényege a state message-knek prioritásuk van (0-15) és az Endpoint protection a legmagasabb (0-s) prioritású üzenetekkel kommunikál:

  • A 0-s sürgősségű state message-t a ConfigMgr kliens azonnal felküldi (nem vár 15 percet)
  • Szerver oldalon ezek az üzenetek azonnal feldolgozásra kerülnek
  • Nincs külön FEP és ConfigMgr adatbázis, tehát nincs áttöltésre szükség azonnal a megfelelő adatbázisba kerül az üzenet
  • Nincs külön FEP Server service
  • Minden Endpoint Protection üzenet 0-s prioritású

A fentiekkel egy virus detektálás után legfeljebb 5 perccel már megjelenik az értesítés a ConfigMgr konzolban, ami jelentős javulás a FEP2010 & SCCM2007 akár 32 perces időintervallumához képest. Az értesítések (akár e-mail akár konzol) szintén sokkal szofisztikáltabban testreszabhatóak a korábbi verzióhoz képest.

A ConfigMgr 2012 minden komponensére, így az Endpoint Protection jogosultság beállítására is szerepkör alapú jogosultság beállítás (Role Based Access Control - RBAC) lehetséges, vagyis a jogosultságok delegálhatósága is megoldott, szemben a korábbi verzió Desktop Administrator-Security Administrator jellegű szeparációjával, így már egyedi igények szerinti jogosultság szeparáció alakítható ki.

 

Végezetül a korábbi Microsoft Spynet új nevet kapott, mostantól Microsoft Active Protection Service-nek (MAPS-nak) hívjuk. Hogy mit jelent és miért érdemes csatlakozni az alábbi cikk és a végén található videó bemutatja: http://blogs.technet.com/b/clientsecurity/archive/2011/02/22/microsoft-spynet.aspx