A Microsoft adquiriu a alguns anos a Antigen, uma fabricante de antivírus que possuía uma proposta inovadora: trabalhar com diversos engines de antivírus com algoritmos capazes de escolher o melhor engine para cada ação. Foram lançados diversos produtos baseados no Antigen com o nome de Forefront para Exchange, SharePoint e Client Security.
O Forefront Client Security permitia integração com o SCCM 2007 com a instalação do Forefront Management Console, mas era um produto com administração em separado e que utilizada a estrutura do SCCM 2007 apenas para distribuição de pacotes, relatórios e acesso aos consoles.
No SCCM 2012 o produto passa a se chamar Endpoint Protection e é uma feature do SCCM, sendo administrado, distribuído e monitorado diretamente pelo console do SCCM.
Na seção de links no final do artigo é possível ver mais detalhes do produto.
É importante salientar que apesar de estar dentro do SCCM 2012 e integrado ao cliente, a licença do Endpoint faz parte de um tipo de licença diferenciada chamada de Endpoint Protection Subscription como pode ser visto abaixo no quadro de licenças abaixo:
A configuração do Endpoint é muito simples, sendo realizada pelas configurações do agente:
Nas configurações do agente é possível habilitar o produto, instalar automaticamente, remover versões anteriores, suprimir reinicio do computador caso já existe um cliente anterior ou o tempo máximo antes de reiniciar se necessário e, por fim, habilitar ou não o update de definições pelo Windows Update inicialmente, o que é útil para evitar que o agente do Endpoint se atualize pelo Windows Update fora dos padrões definidos pelo SCCM.
Assim que habilitado, o cliente do SCCM passa imediatamente a agendar as instalações, o que ele faz de maneira progressiva conforme os clientes recebem as novas configurações, por padrão 90 minutos:
Ao clicar no ícone é possível ver a interface do Endpoint que é a mesma do Windows Defender e do Security Essentials (gratuito para usuários domésticos):
Nas configurações pode ser notado que o administrador (SCCM) bloqueou alterações pelo usuário:
A instalação também pode ser manual, utilizando o agente citado no tópico de configuração da role a frente neste artigo.
A configuração do agente é realizada no menu Asset and Compliance em duas partes: Antimalware e Firewall.
A primeira parte das configurações envolve o tipo de proteção desejada, agendamento das varreduras completas e sua abrangência, o comportamento caso seja encontrado algum problema e outras, como pode ser visto abaixo:
Note é possível ter várias politicas de proteção, que são vinculadas as coleções. Portanto, uma filial ou grupo de máquinas pode ter uma configuração de segurança diferente de outra filial ou maquinas.
A seguir é possível definir o comportamento do firewall do Windows pelo Endpoint, como mostra o exemplo abaixo:
A configuração que o Endpoint faz do firewall é muito similar ao que também pode ser realizada pelas GPOs do Active Directory, onde apenas habilitamos e configuramos o firewall para os perfis que o Windows possui e o comportamento em caso de bloqueio.
Diferente de uma GPO do Active Directory, não é possível configurar portas ou serviços no Endpoint. Mesmo assim é útil já que o SCCM 2012 pode gerenciar maquinas fora de um domínio enquanto uma GPO é limitada ao serviço de diretório e deixando de fora estações pessoais ou colocadas em uma DMZ.
As atualizações são integradas ao Software Updates (WSUS) trazendo como Definitions, como pode ser visto abaixo:
Portanto, quem utiliza o Endpoint Protection deve configurar o download de <<Definições>> e criar uma regra de Automatic Deployment para fazer a atualização dos agentes, definindo o updates e as opções de atualização.
Nas configurações do Software Update Point deve ser habilitado o Definition Updates:
Apesar de não obrigatório, é recomendado criar uma Automatic Deployment Rule para não ser necessário autorizar as definições para serem distribuídas, já que são diárias e em alguns casos mais de uma por dia:
A monitoração do Endpoint é integrada ao console do SCCM com relatórios ricos indicando problemas encontrados, tipo de alertas, gravidade de computadores, etc.
Porem o console possui um dashboard muito bom que resume todo o ambiente com um gráfico inteligente e com links para acesso aos relatórios, como mostrado abaixo:
A única configuração possível na role do servidor é indicar se a empresa quer reportar os problemas de segurança para a Microsoft aprimorar o produto. Lembrando que estas configurações são anônimas e não representam problemas de confidencialidade:
No servidor que distribui os agentes, o Management Point, é possível encontrar o agente com o nome de scepinstall.exe que é o instalador do System Center Endpoint Protection.
Neste artigo abordamos como o System Center Configuration Manager agora é capaz de cuidar da segurança do ambiente, protegendo contra vírus e worms de forma eficiente e centralizada.
SCCM 2012 Introduction to Endpoint Protection in Configuration Manager http://technet.microsoft.com/en-us/library/hh508781.aspx
Marcelo Sincic - MVP edited Revision 6. Comment: Acrescentado o MVA
Marcelo Sincic - MVP edited Revision 4. Comment: Adicionado o logo
Marcelo Sincic - MVP edited Revision 3. Comment: Adicionado o indice (TOC)
Marcelo Sincic - MVP edited Revision 2. Comment: Incluido o TOC (tabela de conteudos)