How to create and deploy antimalware policies for endpoint protection in configuration manager

Windows 10 Servicing

If you haven’t migrated yet, it’s a question of time before all your computers runs Windows 10. Windows 7 end of support is approaching (January 2020) and you must plan an upgrade strategy now. SCCM is giving you 2 options to manage Windows 10 Servicing. Upgrade task sequences and Servicing Plan. Master those topics because you’ll have to update your Windows 10 on a regular basis.

Also, ensure to track your Windows 10 version and establish an upgrade strategy for the long run. Microsoft has recently changed their support policy for 30 months for the September releases (Enterprise edition). The March release still have a support life cycle of 18 months.

Компьютеры Windows

Для управления указанными ниже версиями ОС Windows используйте клиент, предоставляемый с Configuration Manager. Дополнительные сведения см. в статье Развертывание клиентов на компьютерах Windows в Configuration Manager.

Поддерживаемые версии клиентских ОС

• Windows 10

  Дополнительные сведения о поддержке Windows 10 см. здесь.

• Windows 8.1 (x86, x64): Professional и Enterprise

Виртуальный рабочий стол Azure

Виртуальный рабочий стол Azure — это служба виртуализации для настольных систем и приложений, которая работает в Microsoft Azure. Configuration Manager можно использовать для управления этими виртуальными устройствами с Windows в Azure.

Как и в случае сервера терминалов, некоторые из этих виртуальных устройств позволяют запускать несколько одновременных активных сеансов пользователей. Для решения проблем с производительностью клиентов Configuration Manager теперь отключает политики пользователя на любом устройстве, которое допускает эти несколько сеансов пользователя. Даже при включении политик пользователя клиент по умолчанию отключает их на этих устройствах, в том числе для многосеансового режима Windows 10 Корпоративная и серверов терминалов.

Клиент отключает политику пользователя лишь при обнаружении таких устройств во время новой установки. Для существующих клиентов такого типа, обновляемых до этой версии, сохраняется прежнее поведение. На существующем устройстве он настраивает параметр политики пользователя, даже если обнаруживает, что устройство разрешает несколько сеансов пользователя.

Если в этом сценарии требуется пользовательская политика и допустимо любое возможное снижение производительности, используйте этот параметр клиента, чтобы включить пользовательскую политику. В группе Политика клиента настройте следующий параметр: Включите политику пользователя для нескольких пользовательских сеансов.

Примечание

Совместное управление нельзя использовать с клиентом, работающим в Windows 10 Корпоративная в многосеансовом режиме.

Начиная с версии 2006, платформа Windows 10 Корпоративная с поддержкой многосеансового режима доступна в списке поддерживаемых версий ОС в объектах с правилами требований или списками применимости.

Примечание

Если ранее вы выбрали платформу Windows 10 верхнего уровня, это действие автоматически выберет все дочерние платформы. Эта новая платформа не выбирается автоматически. Если вы хотите добавить платформу Windows 10 Корпоративная с поддержкой многосеансового режима, выберите ее вручную в списке.

Дополнительные сведения см. в следующих статьях:

• Поддержка сред виртуализации
• Управление клиентами Configuration Manager в инфраструктуре виртуальных рабочих столов (VDI)

Поддерживаемые версии серверных ОС

• Windows Server 2019: Standard и Datacenter

• Windows Server 2016: Standard и Datacenter

• Windows Storage Server 2016: Workgroup и Standard

• Windows Server 2012 R2 (x64): Standard и Datacenter

• Windows Storage Server 2012 R2 (x64)

• Windows Server 2012 (x64): Standard и Datacenter

• Windows Storage Server 2012 (x64)

Основные серверные компоненты

Следующие версии относятся к устанавливаемому основному серверному компоненту для ОС.

Выпуски Windows Server, выпускаемые в рамках Semi-Annual Channel, устанавливаются вместе с основными серверными компонентами, такими как Windows Server версии 1809. Так как эти компоненты являются клиентами Configuration Manager, они поддерживаются так же, как и соответствующая версия Windows 10, выпускаемая в рамках программы Semi-Annual Channel. Дополнительные сведения о поддержке Windows 10 см. здесь.

• Windows Server 2019 (x64)

• Windows Server 2016 (x64)

• Windows Server 2012 R2 (x64)

• Windows Server 2012 (x64)

Примечание 1

Средство Configuration Manager проверяет и поддерживает версии Windows Server Datacenter, но оно не сертифицировано официально для использования с Windows Server. Поддержка исправлений в Configuration Manager не касается проблем, которые наблюдаются только в Windows Server Datacenter Edition. Дополнительные сведения о программе сертификации Windows Server см. на сайте Windows Server Catalog.

Примечание 2

Для поддержки добавьте службу файлового сервера из серверной роли «Файловые службы и службы хранилища». Сведения об установке компонентов Windows на компьютере основных серверных компонентов см. в разделе (Установка ролей, служб ролей и компонентов с помощью командлетов Windows PowerShell).

Последовательности задач OSD известные проблемы

• Вы не можете Windows загрузки PE 3.1 на компьютер на Windows XP в Configuration Manager
• Последовательность задач сбой в диспетчере конфигурации, если обновления программного обеспечения требуют нескольких перезапусков
• ИСПРАВЛЕНИЕ. Последовательность задач по установке операционной системы не работает при использовании настраиваемой параметров порта System Center Configuration Manager 2012 SP1
• Обновление доступно для функции «Развертывание операционной системы» диспетчера конфигурации

Выше и ряд других проблем с последовательностями задач рассмотрены в Описании накопительного обновления 1 для System Center 2012 R2 Configuration Manager.

Long Term Servicing Branch

Эта ветвь лицензирована для использования в рабочей среде Configuration Manager для клиентов, использующих Current Branch и согласившихся, что срок действия их участия в программе Configuration Manager Software Assurance (SA) или эквивалентных прав по подписке истекает после 1 октября 2016 г. Дополнительные сведения о программе Software Assurance и вариантах лицензирования см. в разделах Лицензирование и ветви в Configuration Manager и Вопросы и ответы о ветвях и лицензировании Configuration Manager.

В основе ветви LTSB лежит версия 1606. Эта ветвь не получает обновления в консоли, предоставляющие новые возможности или обновляющие существующие компоненты. Тем не менее важные исправления безопасности предоставляются. Чтобы установить LTSB, нужно использовать с версией 1606, который поставляется вместе с System Center 2016. Более поздние базовые версии не поддерживают установку LTSB.

Для установки LTSB в качестве нового сайта или обновления с поддерживаемого сайта System Center 2012 Configuration Manager используйте версии 1606, предоставляемый вместе с System Center 2016. Базовый носитель можно использовать для установки нового сайта под управлением версии 1606 ветви Current Branch или нового сайта под управлением ветви Long-Term Servicing Branch.

Совет

Дополнительные сведения о System Center 2016 см. в документации по System Center 2016. Эта документация также определяет способ получения System Center 2016, для чего требуется лицензионное соглашение с Майкрософт или аналогичные права.

Чтобы найти Configuration Manager версии 1606 в Volume Licensing Service Center (VLSC), перейдите на вкладку Downloads and Keys (Файлы для скачивания и ключи) сайта VLSC, выполните поиск по запросу , а затем выберите System Center 2016 Datacenter или System Center 2016 Standard.

Ознакомительную версию System Center 2016 также можно скачать на странице Evaluation Center.

Возможности LTSB

• Принимает обновления в консоли, обеспечивающие важные исправления безопасности.
• Предоставляет возможность установки, если истек срок действия соглашения SA или эквивалентных прав на Configuration Manager.
• Поддерживает обновление (преобразование) в Current Branch после получения действующего соглашения SA или эквивалентных прав на Configuration Manager.

Ограничения LTSB

Ветвь LTSB основана на версии Current Branch 1606 и имеет следующие ограничения:

• Ветвь LTSB поддерживается в течение 10 лет после выпуска общедоступной версии (октябрь 2016 г.). В течение этого срока предоставляются важные обновления безопасности, но через 10 лет поддержка этой ветви заканчивается. Дополнительные сведения о жизненном цикле поддержки см. в разделе Политика жизненного цикла поддержки Майкрософт.
• Поддерживает ограниченный набор серверных и клиентских операционных систем и связанных технологий, таких как версии SQL Server. Дополнительные сведения см. в статье Поддерживаемые конфигурации для Long-Term Servicing Branch.
• Не получает обновления, предоставляющие новые функции.
• Не поддерживает следующие возможности:
  • Подключенные к облаку функции, такие как совместное управление или Аналитика компьютеров
  • локальное управление мобильными устройствами (MDM).
  • Панель мониторинга обслуживания Windows 10, планы обслуживания или Semi-Annual Channel для Windows 10
  • Будущие выпуски Windows 10 LTSB и Windows Server.
  • Аналитика активов.
  • Любые функции предварительной версии.

Варианты обновления LTSB

• Установку LTSB можно преобразовать в установку Current Branch. Преобразование в ветвь Current Branch поддерживается до или после истечения срока действия поддержки для LTSB.

  Для преобразования необходимо действующее соглашение Software Assurance с Майкрософт. Дополнительные сведения см. в следующих статьях:

  • Обновление Long-Term Servicing Branch до Current Branch
  • Лицензирование и ветви в Configuration Manager

• Преобразовать LTSB в Technical Preview невозможно. Ветви Technical Preview — это отдельные установки, которым не нужна лицензия.

• Ознакомительную версию Current Branch невозможно обновить до установки LTSB.

Точка служб отчетов

Службы SQL Server Reporting Services для точки служб отчетов

• Установите и настройте по крайней мере один экземпляр SQL Server для поддержки служб SQL Server Reporting Services.

• Для служб SQL Server Reporting Services можно использовать тот же самый экземпляр, что и для базы данных сайта.

• Этот экземпляр может использоваться совместно с продуктами System Center. Продукты System Center не могут иметь ограничения на общий доступ к экземпляру SQL Server.

SQL Server Native Client для точки служб отчетов

При установке нового сайта Configuration Manager автоматически устанавливает SQL Server Native Client в качестве распространяемого компонента. После установки сайта Configuration Manager не обновляет SQL Server Native Client. Убедитесь, что компонент обновлен. Дополнительные сведения см. в разделе .

Точка распространения

Роли и компоненты Windows Server для точки распространения

Протокол удаленного разностного сжатия

Примечание

Точка распространения передает содержимое с помощью фоновой интеллектуальной службы передачи (BITS), встроенной в Windows. Роль точки распространения не требует устанавливать дополнительный компонент расширения сервера IIS BITS, так как клиент не передает сведения в него.

Конфигурация IIS для точки распространения

• Разработка приложений:

  Расширения ISAPI

• Безопасность:

  Проверка подлинности Windows

• Совместимость управления IIS 6.

  • Совместимость метабазы IIS 6

  • Совместимость с WMI IIS 6

По умолчанию службы IIS используют фильтрацию запросов, чтобы заблокировать доступ к различным расширениям имен файлов и расположениям папок для подключений по протоколу HTTP или HTTPS. Эта конфигурация, примененная к точке распространения, не позволяет клиентам скачивать пакеты, содержащие заблокированные расширения или папки. Дополнительные сведения см. в разделе .

Для точек распространения требуется, чтобы службы IIS разрешали следующие HTTP-команды:

• GET
• HEAD
• PROPFIND

Распространяемый компонент Visual C++ для точки распространения

• Начиная с версии 2107 Configuration Manager устанавливает распространяемый пакет Microsoft Visual C++ 2015-2019 (версии 14.28.29914.0) на каждый компьютер, на котором размещается точка распространения. В версии 2103 и более ранних версиях он устанавливает версию Visual C++ 2013 (12.0.40660.0).

• Устанавливаемая версия зависит от платформы компьютера (x86 или x64).

Добавление поддержки PXE для точки распространения

Существует два варианта поддержки PXE в точке распространения:

• Включите ответчик PXE Configuration Manager без службы развертывания Windows.

• Установите и настройте роль Windows Server «Службы развертывания Windows (WDS)».

  Примечание

  Служба развертывания Windows устанавливается и настраивается автоматически при включении поддержки PXE для точки распространения.

Дополнительные сведения см. в разделе .

• Установите и настройте роль Windows Server «Службы развертывания Windows (WDS)».

  Примечание

  Служба развертывания Windows устанавливается и настраивается автоматически при включении поддержки многоадресной рассылки для точки распространения.

• Убедитесь, что клиент SQL Server Native Client установлен и обновлен. Дополнительные сведения см. в разделе .

Точка обновления программного обеспечения

Платформа .NET Framework для точки обновления программного обеспечения

• Включите компонент Windows для .NET Framework 3.5.

• Установите поддерживаемую версию .NET Framework. Дополнительные сведения см. в разделе .

Службы Windows Server Update Services (WSUS) для точки обновления программного обеспечения

Установите роль сервера WSUS. Дополнительные сведения см. в статье Планирование обновлений программного обеспечения.

Примечание

При использовании точки обновления программного обеспечения в удаленной системе сайта, установите консоль администрирования WSUS на сервере сайта.

SQL Server Native Client для точки обновления программного обеспечения

При установке нового сайта Configuration Manager автоматически устанавливает SQL Server Native Client в качестве распространяемого компонента. После установки сайта Configuration Manager не обновляет SQL Server Native Client. Убедитесь, что компонент обновлен. Дополнительные сведения см. в разделе .

2015: Выход релиза SCCM 1511

10 декабря 2015 года Microsoft объявила о выпуске релиза 1511 System Center Configuration Manager & Endpoint Protection (SCCM). В составе релиза ряд дополнений, одно из основных — расширенная поддержка клиентских устройств на платформе Windows 10.

Продукт может понадобиться заказчикам, планирующим переход на ОС Windows 10. В состав SCCM вошел Windows Update for Business.

https://youtube.com/watch?v=RkDuYclqQbE

Представление System Center Configuration Manager — Windows 10 Configuration Manager (2015)

В предварительном тестировании SCCM 1511 приняли участие 500 организаций, продукт опробован в режиме рабочей эксплуатации с 0,5 млн компьютеров.

Microsoft также сообщила о некоторых изменениях в политике распространения и обновления этого продукта. В частности — предварительные версии обновленных релизов будут выпускаться на регулярной основе ежемесячно. Соответственно, если компании будут нуждаться в получении какого-то нового функционала, они смогут это сделать до выпуска финальных версий данного ПО, которые будут появляться в общей доступности с периодичностью в несколько месяцев.

Соглашения Software Assurance

Состояние Software Assurance или эквивалентных прав по подписке для лицензий Configuration Manager на 1 октября 2016 г. или после этой даты определяет то, какую ветвь вы можете установить и использовать.

Software Assurance и Current Branch

Права на использование Configuration Manager (Current Branch) могут предоставляться из следующих источников:

• System Center: клиенты с активными соглашениями SA для лицензий System Center Standard или Datacenter могут установить и использовать Configuration Manager (Current Branch).

• System Center Configuration Manager: клиенты с действующим соглашением SA для лицензий Configuration Manager или с эквивалентными правами по подписке могут установить и использовать Configuration Manager (Current Branch).

При наличии действующего соглашения SA для лицензий Configuration Manager (или эквивалентных прав по подписке) по состоянию на 1 октября 2016 г. или после этой даты:

• Вы можете установить и использовать Current Branch.
• Если срок действия соглашения SA или подписки истечет, Current Branch необходимо будет удалить.

Software Assurance и LTSB

При наличии действующего соглашения SA для лицензий Configuration Manager (или эквивалентных прав по подписке) по состоянию на 1 октября 2016 г. или после этой даты:

Вы можете установить и использовать LTSB. Клиенты, имеющие бессрочные права на Configuration Manager либо соглашение SA или подписку с истекшим сроком действия, могут установить версию Configuration Manager LTSB, которая является текущей на момент истечения срока действия соглашения.

Ветвь LTSB основана на версии Current Branch 1606 и имеет следующие ограничения:

• Преобразование Current Branch в LTSB не поддерживается. При наличии сайта Current Branch необходимо установить LTSB в качестве нового сайта.

• LTSB поддерживает не все возможности Current Branch. Подробные сведения см. в статье Общие сведения о версии System Center Configuration Manager (Long-Term Servicing Branch). К ограничениям относятся ограниченный набор возможностей, ограниченные варианты обновления и отдельный жизненный цикл поддержки продукта.

Дата истечения срока действия Software Assurance

Начиная с выпуска версии 1606 базового носителя для Configuration Manager в октябре 2016 г. вы можете указывать дату окончания срока действия соглашения Software Assurance. Дата истечения срока действия Software Assurance — это необязательное значение, которое можно указать в качестве напоминания. Добавьте его в консоли Configuration Manager при запуске установки Configuration Manager или после этого.

Примечание

Майкрософт не проверяет указанную дату окончания срока действия и не будет использовать ее для проверки лицензии. Вы можете использовать ее как напоминание об окончании срока действия. Это значение может оказаться полезным в тех ситуациях, когда Configuration Manager периодически проверяет наличие обновлений программного обеспечения, предлагаемых через Интернет. Лицензия Software Assurance должна быть действующей, чтобы вы могли воспользоваться такими дополнительными обновлениями.

Указание даты истечения срока действия для Software Assurance

• Вы можете указать это значение на странице Ключ продукта мастера установки при запуске программы установки с носителя Configuration Manager.

• Эту дату также можно указать на вкладке Лицензирование диалогового окна Параметры иерархии в консоли Configuration Manager.

Подготовка компьютеров к развертыванию Service Manager

Используйте следующие процедуры для подготовки компьютеров к развертыванию Service Manager.

Подготовка компьютеров к развертыванию Service Manager

1. Убедитесь, что на компьютерах, где будет размещаться Service Manager или хранилище данных, не установлены Operations Manager компоненты.

2. Создайте группу пользователей Active Directory, которая будет назначена роли Service Manager администраторов хранилища данных и групп управления Service Manager. Например, создайте группу _ «Администраторы SM».

   Примечание

   Эта группа пользователей должна находиться в том же домене, что и Service Manager. Пользователи из любого другого домена, даже дочерние домены, не поддерживаются.

3. Создайте учетные записи, необходимые для Service Manager.

   Примечание

   Учетные записи Service Manager должны находиться в том же домене, что и Service Manager. Учетные записи из других доменов, даже дочерних, не поддерживаются.

4. Убедитесь, что ( экземпляры SQL язык SQL ) , используемые для Service Manager баз данных, используют номер порта 1433.

5. Если базы данных устанавливаются на удаленном компьютере под управлением Microsoft SQL Server, пользователь, выполняющий программу установки, должен быть пользователем домена с разрешениями локального администратора на компьютере с SQL Server.

6. На компьютерах, где будет размещаться Консоль Service Manager, в разделе Свойства обозревателя, Локальная сеть локальной сети выберите ( ) параметр не использовать прокси-сервер для локальных адресов.

7. Откройте браузер и введите следующие два URL-адреса:

   • Если какая-либо попытка соединения завершается сбоем или возвращает ошибку, например, Ошибка HTTP 404,0 не найдена, выполните действия, описанные в процедуре «Настройка сервера отчетов». В противном случае продолжите установку Service Manager.

Настройка сервера отчетов

1. Войдите на компьютер, на котором будет размещаться SQL Server Reporting Services SSRS, используя учетную запись с правами ( администратора ) .

2. Нажмите кнопку Пуск, укажите пункты Программы, Microsoft SQL Server 2008, Средства настройки и выберите пункт Диспетчер конфигурации служб Reporting Services.

3. В диалоговом окне Соединение конфигурации служб Reporting Services правильно заполните поля Имя сервера и Экземпляр сервера отчетов и нажмите кнопку Подключить.

4. В области Подключить нажмите кнопку URL-адрес веб-службы.

5. В области Виртуальный каталог веб-службы сервера отчетов в текстовом поле Виртуальный каталог введите ReportServer и нажмите кнопку Применить.

6. В области Подключить нажмите кнопку URL-адрес диспетчера отчетов.

7. В области Идентификация веб-узла диспетчера отчетов убедитесь, что в текстовом поле Виртуальный каталог указано Отчеты, и нажмите кнопку Применить.

8. В области Подключение щелкните верхнюю запись ( ).

9. В области Текущий сервер отчетов нажмите кнопку Остановить, а затем нажмите кнопку Запустить.

Важно!

При установке System Center Service Manager с SQL Server Reporting Services (SSRS) 2017 или более поздней версии отчеты Service Manager не развертываются, возникает событие 33410, и отображаются сведения об ошибке развертывания. Сведения о причинах проблемы и способах ее устранения см. в следующих статьях.

Службы SSRS 2017 версии 14.0.600.1274 и более поздних версий содержат новый дополнительный параметр алловедресаурцеекстенсионсфоруплоад. Этот параметр задает ограниченный набор расширений файлов ресурсов, которые можно передать на сервер отчетов. Эта проблема возникает из-за того, что Service Manager отчетов использует расширения, которые не входят в набор по умолчанию в алловедресаурцеекстенсионсфоруплоад.

Чтобы устранить эту проблему, добавьте * . * в список расширений. Выполните следующие действия.

1. Запустите SQL Server Management Studio, а затем подключитесь к экземпляру сервера отчетов, который Service Manager использует.
2. Щелкните правой кнопкой мыши имя сервера отчетов, выберите пункт Свойства и щелкните Дополнительно.
3. Найдите параметр алловедресаурцеекстенсионсфоруплоад , добавьте * * в список расширений и нажмите кнопку ОК.
4. Перезапустите службы SSRS.

Если срок действия соглашения SA истек, но у меня есть L&SA, что я получаю?

Если срок действия вашего соглашения SA истек после 1 октября 2016 г., то, в зависимости от программы, по которой вы приобрели L&SA, у вас могла сохраниться бессрочная лицензия на использование LTSB. Если сейчас вы используете сборку Current Branch, необходимо удалить ее, а затем установить LTSB. Перенос или преобразование Current Branch в LTSB невозможен.

Если срок действия вашего соглашения SA истек до 1 октября 2016 г. и у вас сохранилась бессрочная лицензия на Configuration Manager, то единственный способ продолжить пользоваться программой — установить System Center 2012 R2 Configuration Manager и доступные пакеты обновления. После истечения срока действия соглашения SA вам необходимо удалить Current Branch и установить предыдущую версию продукта. Миграция в Configuration Manager (Current Branch) или переход на прежние версии программы из ее текущей версии не поддерживается.

Если вы используете System Center Endpoint Protection, необходимо удалить это решение по окончании срока действия вашего соглашения SA. System Center Endpoint Protection не предоставляет никаких лицензионных (L) прав, а также никаких бессрочных прав.