О функции SCEP в апреле 2015 обновления для Lync комнаты системы
Эта новая функция дополняет существующую модель безопасности системы Lync комнаты (LRS), состоящий из брандмауэр Windows Embedded, AppLocker и фильтры записи. Системным администраторам легко включить конечную точку защиты центра (SCEP) Microsoft системы на LRS, используя переключатель вкл. / выкл. Функцию SCEP в LRS можно запускать изолированные и не требует интеграции конечного сервера. Наконец LRS развертываний в частных сетях без прямого подключения к Интернету требуется дополнительное планирование и подготовку для включения SCEP обновления сигнатур вредоносного программного обеспечения через cлужбы Windows Server Update Services (WSUS). Обновление подписей, которые сохраняются в файлы UNC не поддерживается для апреля 2015 LRS обновление.
Как включить SCEP
Включить SCEP в LRS, подключенного к Интернету
Чтобы включить SCEP на LRS подключенных к Интернету, выполните следующие действия после установки апреля 2015 LRS обновление (15.13.2 обновления или более поздних версий):
-
Режим LRS администратора (admin) системным администратором.
-
Перейдите на вкладку Параметры , а затем найдите защиты от вирусов Endpoint Protection Center системы выключатель питания.
-
Переключите переключатель в положение «on». Затем LRS будет предлагать системный администратор с конечного пользователя лицензионного соглашения (EULA).
-
Принять условия лицензионного соглашения и нажмите кнопку Применить & перезапустить. Затем SCEP защита включена.
По сути таким же образом SCEP защиты позже может быть отключен путем переключения переключателя в положение «off» в режиме LRS.
Сразу после включения SCEP ежедневного времени сканирования устанавливается на 2:00 AM. Это происходит по умолчанию. Время сканирования настраивается в том же интерфейсе пользователя в раскрывающемся меню Ежедневного времени сканирования . LRS, подключенного к Интернету устройства теперь полностью настроена и готова для выполнения SCEP.
Примечание. Выбор Режима обновления , находящиеся под контролем Ежедневного времени сканирования не работают и его следует игнорировать в настоящее время.
Включить в частных сетях SCEP в LRS
Чтобы SCEP LRS устройств, которые развертываются в частных сетях без прямого подключения к Интернету, установки WSUS необходимо выполнить и настроен для обработки обновления сигнатур SCEP после системного администратора включает SCEP описанного выше.
Примечание. Обновление сигнатур SCEP, которые хранятся в общей папке UNC не поддерживаются для апреля 2015 LRS обновление.
Чтобы установить WSUS для функции LRS SCEP, выполните следующие действия.
Примечание. Из «ForeFront Endpoint Protection 2010» (FEP) здесь ссылаются на функцию LRS SCEP и их можно рассматривать попеременно.
-
В Windows Server 2008 R2 добавьте роли для служб WSUS и веб-сервер (IIS) в диспетчере сервера.
-
Откройте диспетчер сервера.
-
Поиска ролей > cлужбы Windows Server Update Services > Параметры.
-
Запустите мастер настройки сервера WSUS, а затем выберите параметры, которые перечислены ниже:
-
Синхронизация с сервера центра обновлений Майкрософт
-
Используйте прокси-сервер при синхронизации. Установите соответствующее имя прокси-сервера и номер порта, а затем запустите подключение.
-
Язык: английский
-
Продукция: Щелкните, чтобы очистить все, а затем выберите только Forefront Endpoint Protection 2010 в группе Forefront.
-
Классификация: Выберите обновления определений и обновления.
-
Расписание синхронизации: Автоматическая синхронизация. Затем начните начальной синхронизации и Готово.
-
-
Поиска ролей > cлужбы Windows Server Update Services > Синхронизация. Затем убедитесь, что синхронизация будет выполнена успешно.
-
Поиска ролей > cлужбы Windows Server Update Services > службы обновления > Обновить. Затем щелкните правой кнопкой мыши обновление и нажмите кнопку Новое представление обновления.
-
Выберите обновления, которые находятся в определенной классификации. Нажмите кнопку Очистить все и выберите только обновления определений.
-
Установите обновление для конкретного продукта. Выберите любой продукти нажмите кнопку Очистить все и выберите только ForeFront Endpoint Protection 2010 в группе Forefront.
-
Укажите имя, например FEP. В разделе обновлениябудет создан узел FEP.
-
Дважды щелкните узел FEP. Выберите Утверждение -> любой expect Отклонено Статус-> все и обновить.
-
Отображаются все доступные обновления FEP. Установите все обновления, щелкните их правой кнопкой мыши и затем утвердить для всех компьютеров.
На этом этапе WSUS сервер готов к обслуживал обновления сигнатур SCEP LRS устройство.
Примечание. Убедитесь, что сервер, на котором выполняется IIS установлена на устройстве, где WSUS установлена и доступна из любого места в сети. Службы IIS будут отображаться в диспетчере сервера. Затем запустите http://Server из обозревателя с помощью любого устройства в сети. Или убедитесь, что C:\inetpub\wwwroot на сервере под управлением IIS имеет доступ «Всем пользователям чтение». Это гарантирует, что все устройства могут подключаться к сервер, на котором выполняется IIS.
I важного При настройке служб WSUS необходимо применить только обновление сигнатур FEP (SCEP), но не обновления Windows обновлений. Windows в настоящее время управляются через механизм обновления системы Lync комнаты и не требуют WSUS помощь. Загрузка обновлений Windows через службы WSUS может привести к непредсказуемому поведению LRS устройств. Системному администратору следует обеспечить изолировать единиц LRS таким образом, что WSUS только применение обновления подписи FEP (SCEP). для этого явно Добавление устройств LRS в группах отдельный компьютер сервера WSUS и установив правило только принудительные обновления сигнатур FEP (SCEP), но не обновления Windows. Чтобы сделать это, выполните следующие действия.
В Windows Server 2008 R2
-
Поиска ролей > Cлужбы Windows Server Update Services > Службы обновления > компьютеры > Все компьютеры > Добавить группу компьютеров...и задайте имя для новой группы, например LRSGroup.
-
Выберите все устройства LRS и щелкните правой кнопкой мыши, чтобы изменить членство присоединиться LRSGroup.
-
Поиска ролей > Cлужбы Windows Server Update Services > Службы обновления > компьютеры > Параметры > Автоматические утверждения, а затем создать правило. Чтобы сделать это, выполните следующие действия.
-
Выберите, Если обновление является определенный продукт, измените свойство когда обновление является продукцией . Выберите любой продукт. Затем снимите все и затем выберите только Forefront Endpoint Protection 2010 .
-
Нажмите кнопку ОК. Теперь существует обновление является Forefront Endpoint Protection 2010.
-
Измените свойство Утвердить обновления для всех компьютеров . Затем снимите все компьютеры и выберите свойства всех компьютеров . Затем снимите все компьютеры и выберите только LRSGroup, который был создан.
Примечание убедитесь в том, что Windows Embedded 7 не установлен, при выборе продуктов в WSUS. В противном случае это вызовет нежелательный эффект Принудительная отправка обновлений Windows. LRS устройств может выводиться только обновления сигнатур FEP (SCEP). -
После настройки сервера WSUS, выполните следующие действия.
-
В LRS в режим администратора.
-
На вкладке Обновлений веб-узлов выберите параметр сервера WSUS и укажите имя сервера WSUS и IIS в наших вариантов http://server (заменить сервер, используя имя, которое используется в частной сети).
-
Нажмите кнопку Применить и перезапустить.
LRS устройство будет перезагружен, а затем введите режим собрания. LRS устройства будет извлечено SCEP обновления сигнатур с сервера WSUS. SCEP подписи будут обновлены до последней версии. Кроме того ежедневное сканирование будет выполняться одновременно, назначенный администратором.
