Windows Intune. Рабочая область «Политика» Часть 1

Набор облачных сервисов под коммерческим названием Windows Intune, предназначен для управления и обслуживания рабочих станций в организации. Windows Intune, по своему функционалу вобрал в себя функции присущие System Center Configuration Manager, семейству Forefront, а также System Center Operation Manager, объединяя достоинства этих программных продуктов. В этой статье пойдет речь о применении рабочей области «Политика» консоли администрирования Windows Intune.

Механизм политик, на современном этапе развития информационных технологий, является неотъемлемой частью систем управления различных классов. И действительно, лучше один раз установить параметр, соответствующий требованиям организации, чем бегать по все компьютерам и делать настройку везде заново. Прописная истина, но факт! И, конечно же Windows Intune, имеет в своем составе рабочую область «Политика», которое позволяет настраивать политики управляемых компьютеров (рисунок 1).

clip_image001

Рисунок 1. Рабочая область Windows Intune «Политика».

Давайте начнем с изучения основной секции рабочей области Windows Intune «Политика» (рисунок 2).

clip_image002

Рисунок 2. Рабочая область «Политика» – основная секция.

Здесь присутствуют два представления «Обзор» и «Все политики». Работа с областью всегда начинается с обзора. Это представление особенно полезна администраторам, которые только знакомятся с возможностями конфигурирования политик Windows Intune (рисунок 3).

clip_image003

Рисунок 3. Рабочая область «Политика» – обзорная секция.

В обзорной секции предоставлено краткое резюме возможностей рабочей области «Политика», а именно, указано, что область предназначена для создания политик Windows Intune, на основе предоставляемых шаблонов, и что в секции задач можно перейти к созданию и конфигурированию вновь создаваемых политик.

clip_image004

Рисунок 4. Рабочая область «Политика» – секция поиска.

Если политик создано достаточно большое количество, то в секции поиска рабочей области «Политика», можно ввести название политика или часть известного названия, и получить список результатов по заданной строке (рисунок 4).

Перейдите в рабочей области «Политика» к секции задач (рисунок 5)

clip_image005

Рисунок 5. Рабочая область «Политика» – секция задач.

Как видно из этой секции, двумя основными задачами в рабочей области «Политика», являются создание новой политики, и просмотр существующих политик.

Перед тем как приступать к созданию новых политик, рекомендуется ознакомиться с их возможностями в секции дополнительных сведений (рисунок 6).

clip_image006

Рисунок 6. Рабочая область «Политика» – секция дополнительных сведений.

На момент написания статьи доступны две ссылки на справочную информацию:

1. Обзор политики [1].

2. Взаимодействие с групповой политикой [13].

Итак, перейдите к созданию новой политики в рабочей области «Политика». Для выполнения этого действия, в секции задач нажмите на ссылку «Создать новую политику» (рисунок 7).

clip_image007

Рисунок 7. Создание новой политики на основе шаблона.

В окне «Создать новую политику», выберете шаблон «Параметры агента Windows Intune». Этот шаблон предназначен для управления Windows Intune Endpoint Protection и агентов обновления Windows Intune. Политика может быть централизованная, действующая на все управляемые компьютеры, или выборочной области действия. Для начала конфигурирования политики нажмите кнопку «Создать политику», в противном случае нажмите кнопку «Отмена» (рисунок 8).

clip_image008

Рисунок 8. Создание новой политики на основе шаблона «Параметры агента Windows Intune».

В разделе «Общие», есть обязательное поле для заполнения – это имя политики. Введите, к примеру, «Агент защиты», и заполните необязательное поле описания, теми данными, которые сочтете нужными. Перейдите к разделу «Endpoint protection» (рисунок 9).

clip_image009

Рисунок 9. Управляемые параметры агента Windows Intune Часть 1.

Начните с настройки параметров службы Endpoint Protection:

1. Включение Endpoint Protection.

А) да, включает защиту по умолчанию.

Б) нет, отключает защиту.

В) только на компьютерах, не защищенных при установке Endpoint Protection – в случае выбора этой установки защита включается только тогда, когда нет аналогичных средств защиты от других производителей, в противном случае защита отключается. Параметр рекомендованный.

Нужно отметить, что в случае, если установлена защита от фирмы Microsoft, к примеру, Windows Security Essential, при установке Windows Intune Endpoint Protection, будет деинсталлировано автоматически.

2. Создавать точку восстановления перед устранением вредоносных программ. Параметр рекомендован для включения. Действительно, если будет заражение системны файлов, и они будут удалены, загрузить компьютер будет в некоторых случаях невозможно, а точка восстановления может здорово помочь.

3. Период отслеживания устраненных программ (дни). Значение по умолчанию – 7. 0 – отключение отслеживания. 30 максимальное количество дней. В течении указанного в параметре количества дней клиент Endpoint Protection отслеживает ранее устранённые программы, предоставляя возможность произвести пользователю дополнительную проверку вручную.

Следующий блок настроек – Защита в режиме реального времени (рисунок 9,10):

1. Включить защиту в режиме реального времени. Значение по умолчанию – да. Есть конечно же один случай, когда можно выставить нет. Только тогда когда есть альтернативный антивирус, производящий подобную функцию.

2. Проверять все загружаемые файлы. Значение по умолчанию – да. В этом случае будут проверяться все файлы, загружаемые на компьютер из Интернета.

3. Наблюдать за использованием файлов и программ на компьютерах. Значение по умолчанию – да. Настройка касается локального использования. По умолчанию отслеживаются все файлы, но есть возможность выставить значение отслеживания только входящих файлов, либо только исходящих.

4. Включить контроль поведения. Значение по умолчанию – да. Определяет типичные подозрительные действия программ на клиентских компьютерах. Элемент эвристического анализа неизвестных ранее угроз.

5. Включить проверку сценариев. Значение по умолчанию – да. Включает проверку сценариев, загружаемых из сети Интернет с помощью браузера Internet Explorer на клиентских компьютерах.

6. Включить систему проверки сети. Значение по умолчанию – да. Включает модуль защиты от сетевых атак и эксплойтов системы проверки сети NIS.

Следующий блок настроек – расписание проверки (рисунок 10). Современные зловредные программы, умеют притворяться валидными процессами, и проникать в оперативную память компьютера. При перезагрузке, им нужно как то спастись от уничтожения, и они записывают свой кода на устройства долговременного хранения, чаще всего жесткий диск. Обнаружены экземпляры вирусов, которые могут определять антивирусный процесс, дожидаться пока он будет выключен и только потом уже сбрасывать код на жесткий диск. Поэтому с точки зрения информационной безопасности, нужно планировать проведение полной проверки системы. Еще одна уязвимость, которая закрывается плановыми проверками, обнаружение зловредных программ, с помощью обновления сигнатур самого антивируса. То есть, вирус не распознавался ранее, но утром пришло обновление, которое его уже распознает, но вирус записан на диск, час «Ч» не настал, и проявлений пока нет. Идеальный

В Консоль администрирования Windows Intune™ в рабочей области «Политика» можно настраивать политики для управления параметрами обновления, Endpoint Protection, брандмауэра Windows и средств Windows Intune Center на компьютерах. Можно создавать политики на основе шаблонов, настраивать их параметры и развертывать их в группах компьютеров. Кроме того, можно выполнять поиск политик по имени или описанию. Дополнительные сведения о параметрах политики, которые можно настроить момент чтобы его уничтожить.Если Windows Intune и групповая политика используются для управления одним и тем же параметром на одном и том же компьютере, настройки групповой политики переопределяют настройки политики Windows Intune. Дополнительные сведения о том, как использовать Windows Intune и групповую политику в одной среде, см. в разделе Планирование также можно как задачу развертывания в организациях, управляемых с помощью групповой политики.

Кроме случаев, когда входящий в домен клиентский компьютер не может подключиться к контроллеру домена, групповая политика уровня домена обычно имеет более высокий приоритет, чем политика Windows Intune. Если возможность подключения к контроллеру домена отсутствует, к клиентскому компьютеру применяется политика Windows Intune.

Чтобы предотвратить конфликты политик, которые могут возникнуть из-за конкуренции систем управления политиками, администраторам, выполняющим развертывание клиентского ПО Windows Intune, рекомендуется удостовериться в том, что клиентские компьютеры, находящиеся под управлением политики Windows Intune, не получают от групповой политики управляющих команд для тех же параметров конфигурации.

Ниже описаны три варианта развертывания, которые помогут предотвратить проблемы с управлением политиками на клиентских компьютерах, для управления которыми планируется использовать Windows Intune.

Итак, блок настроек параметров проверки:

1. Запланировать ежедневную быструю проверку. . Значение по умолчанию – да. Запланированное время 02:00. Быстрая проверка влияет на производительность в меньшей степени. Время лучше всего выставить на обеденный перерыв.

2. Выполнить быструю проверку, если были пропущены две быстрые проверки. По умолчанию – да. Каждая запланированная проверка учитывается Windows Intune Endpoint Protection. Поэтому по событию обнаружения пропуска двух быстрых проверок, будет запущена быстрая проверка немедленно. Классический пример – понедельник утро, 2 дня клиентский компьютер не был включен.

3. Запланировать полную проверку, — по умолчанию подобная проверка выключена. Есть вариант планирования полной проверки ежедневно с указанием времени. Альтернативой является указанием дня недели, когда будет производиться полная проверка. Такая проверка может оказать серьезное влияние на работоспособность компьютера. Поэтому, интересный вариант запланировать ночью полную проверку, и использовать технологию Wake-On-Lan [14].

4. Выполнить полную проверку, если были пропущены две полные проверки. . Значение по умолчанию – да. Каждая запланированная проверка учитывается Windows Intune Endpoint Protection. Поэтому по событию обнаружения пропуска двух полных проверок, будет запущена полная проверка немедленно. Классический пример – понедельник утро, 2 дня клиентский компьютер не был включен.

clip_image010

Рисунок 10. Управляемые параметры агента Windows Intune Часть 2.

Перейдите к блоку параметров проверки (рисунок 11):

1. Выполнить полную проверку после установки Endpoint Protection. Значение по умолчанию – да. При первой проверке формируются базовые показатели работоспособности управляемого компьютера. Выполнятся такая проверка только в случае бездействия управляемого компьютера. По умолчанию выполняется сразу же после установки Windows Intune Endpoint Protection.

2. При необходимости автоматически выполнять полную проверку после удаления вредоносных программ. Значение по умолчанию – да. Проверка полная автоматически запускается после удаления вредоносной программы, для того чтобы убедится, что другие важные файлы не затронуты.

3. Запускать запланированную проверку только при простое компьютера. Значение по умолчанию – да. Этот параметр полезен на компьютерах, которые очень часто загружены, для того чтобы полной проверкой не загубить производительность системы окончательно. Простой считается загрузка процессора не более 5% в течение одной минуты. Может меняться в зависимости от операционной системы.

4. Проверять наличие последних определений вредоносных программ перед началом проверки. Значение по умолчанию – да. Очень полезная установка. Может быть проверка будет дольше, за счет увеличения времени проверки новых определений, но в случае присутствия таковых, однозначно качественней.

5. Проверять архивные файлы — Значение по умолчанию – нет. Тоже разумно. В архиве файлы не могут никого заразить. Есть только возможность случайного заражения. А если вспомнить, что в самое операционной системе много всевозможных архивов, то значение по умолчанию представляется еще более разумным. Но, есть ситуации, когда проверку архивов закладывают в политику информационной безопасности. В таком случае, этот параметр будет иметь значение да.

Продолжение рассматривания параметров политики будет опубликовано в следующей статье.

Полезные ссылки:

1. Рабочая область «Политика»http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff398984.aspx

2. Создание политики http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff189226.aspx

3. Изменение политики http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff189285.aspx

4. Развертывание политики http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff189275.aspx

5. Удаление политики http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff189246.aspx

6. Устранение неполадок, связанных с политиками http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff462945.aspx

7. Справочник по параметрам политики http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff398986.aspx

8. Отчеты со сведениями о политике http://onlinehelp.microsoft.com/ru-ru/windowsintune/gg584257.aspx

9. Главная страница справки Windows Intune http://onlinehelp.microsoft.com/ru-ru/windowsintune/default.aspx

10. Параметры политики агента Windows Intune http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff398995.aspx

11. Параметры политики Windows Intune Center http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff462940.aspx

12. Параметры политики брандмауэра Windows http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff462943.aspx

13. Планирование развертывания в организациях, управляемых с помощью групповой политики http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff628140.aspx

14. Wake-on-LAN Материал из Википедии — свободной энциклопедии http://ru.wikipedia.org/wiki/Wake-on-LAN

15. Улучшения работы файловых сервисов для филиальных офисов и мобильных пользователей с помощью Windows Server 2008 R2 и Windows 7 http://www.techdays.ru/videos/1502.html

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

%d такие блоггеры, как: