System Center Configuration Manager 2012 ile gelen güvenlik özelliklerinden biride Endpoint Protection’ dır. SCCM 2012 ile gelen ve entegre çalışan bu rol, Microsoft tarafından geliştirilmiş Antivirüs ve Malware korumasıdır. Bu rol sayesinde clientlarımıza güvenlik politikaları uygulayabilmemize olanak tanımaktadır.
Endpoint Protection’ ın bizlere sağladığı imkanlar sayesinde özel antivirüs, malware ve zararlı yazılımlar için kurallar oluşturabilir. Bu oluşturduğumuz kuralları belli gruplara ve istemcilere uygulayabiliriz. Yönettiğimiz clientlarımızda bulunan zararlı yazılımlar, antivirüs ve malwareleri e-mail olarak bizlere raporlamasına kadar birçok özelliğe sahiptir.
Tabikide Endpoint Protectionda clientlara kendi agent’ ını kurmakta. Bu kurulan agent’ ın görevi bulunduğu istemci üzerinde bulunan kritik güvenlik açıklarını ve network üzerinde tespit ederek otomatik güncelleme yaparak güvenlik açığını kapatabilmesi bunun yanında Malware, Spyware ve RootKit koruması sağlayabilmektedir.
Artık sunucumuza bu rolü eklemeye başlayalım…
Configuration Manager 2012 konsolumuzu açtıktan sonra sol bar kısmında bulunan Administration linkimizie geliyoruz. Açılan Administration’ ın içerisinde bulunan Overview’ i açıyoruz. Burada bulunan Site Configuration klasörümüzü açıyor ve Sites’ a geliyoruz. Karşımıza gelen site’ ımız sağ click yaparak Add Site System Roles diyoruz.
Karşımıza gelen Add Site System Roles Wizard penceresinde bize Site’ ımızın bulunduğu sunucu adı – Etki alanı ve Site kodumuz gibi bilgileri görüyoruz bu pencereyi Next diyerek geçiyoruz.
Açılan System Role Selection penceresinde bulunan Endpoint Protection Point’ i seçiyoruz. Karşımıza gelen bu uyarı Endpoint Protection rolünün internet üzerinden güncellemeleri indireceğinden daha öncedenSoftware Update Point rolünün kurulu ve konfigürasyonu’ nun yapılı olması gerekmektedir. Bu uyarıya OK diyerek onaylıyoruz. Endpoint Rolümüzü ekledikten sonra Next ile devam ediyoruz.
Karşımıza gelen Endpoint Protection License Terms penceresinde lisans sözleşmesini okuduktan sonra onaylıyoruz ve Next ile devam ediyoruz.
Microsoft Active Protection penceresinde karşımıza üç tane işlem türü bulunmaktadır. Endpoint Protection Microsoft Active Protection Servisini kullanır. Böylelikle Database updatelerini kontrol ederek güncelleme işlemini yapar. Kendi yapılandırmalarınıza göre sistem oluşan değişlikleri analiz ederek Microsoft’ a bilgi olarak göndermektedir. Basic membership’ i seçiyoruz ve Next diyerek devam ediyoruz.
Sunucumuza Endpoint Protection rolümüzü sorunsuz olarak eklemiş olduk bu pencereyi Close diyerek kapatıyoruz.
Belirli bir süre geçtikten sonra alt kısımda Endpoint Protection’ ımızın geldiğini görüyoruz.
System Center 2012 Endpoint Protection’ ımızı açıyoruz ve Update tabına gelerek elle veritabanımızı kontrol ederek güncelleştirme işlemini yapıyoruz ve böylelikle sunucumuz üzerinde Endpoint Protection aktif edilerek Antivirüs ve Malware koruması altına almış oluyoruz.
Agent’ larımızın istemcilerimiz üzerinde topladıkları bilgiler doğrultusunda gereken güncelleştirmeleri istemcilerimiz için belirlediğimiz kritelere bakarak yönetimini yapabilmemiz için yaptığımız istemci ayarlarımızdır.
Biz Endpoint Protection’ ımızın istemcilerimizi yönetebilmesi için yeni bir istemci ayarları oluşturacağız.
Configuration Manager Konsolumuzu açtıktan sonra Administration kısmına geliyoruz. Overview içerisinde bulunan Client Settings’ e sağ click yaparak Create Custom Client Device Settings diyoruz.
Karşımıza gelen Custom Device Settings penceresinde oluşturabileceğimizi cihaz ayarlarımızı görüyoruz. Burada oluşturacağımız cihaz ayarlarımız sadece Endpoint Protection’ için olacağından Endpoint Protection’ ı işaretliyoruz oluşturacağımız bu agent ayarı için bir isim belirliyoruz. Sol bar da bulunan Endpoint Protection’ a geliyoruz.
Endpoint Protection kısmında istemcilerimiz için yapacağımız ayarlamalarımız bulunmaktadır.
1- İstemcilerde bulunan Endpoint Protection agentlarının yönetilebilmesini sağlamak için kullandığımız ayardır ve bunun için “True” durumda olmalıdır.
2- Endpoint Protection Agentlarının clientlara kurulmasını sağlamaktadır. Bu yüzden bu ayarında durumu “True” olmalıdır.
3- Eğer Endpoint Protection kurulacak olan istemciler üzerinde daha önceden kurulmuş olan bir antivirüs önleme programları gibi bir yazılım bulunuyorsa o yazılımların otomatik olarak kaldırılmasını sağlar o yüzden “True” durumda olmasında fayda vardır.
4- Endpoint Protection kurulumu tamamlandıktan sonra kurulan istemcide bilgisayarın yeniden başlatılıp başlatılamayacağını belirlediğimiz ayarımızdır. Yükleme işlemini iş akışının olmadığı zamanlarda yapıyorsanız “True” yapabilirsiniz, fakat çalışma saatleri içerisinde yapıyorsanız “False” yapmanızda fayda var diğer türlü personel kullanımında aniden yapılan bir restart işlemi veri kayıplarına neden olabilir.
5- Eğer dördüncü ayarımıza “True” dediyseniz istemciye kurulum bittikden sonra yeniden başlatılması için tanıdığımız süreyi belirlediğimiz ayarımızdır.
6- Endpoint Protection agent’ larına ilk tanımlanan malware gibi zararlı yazılımlarının bilgilerini sadece Windows Update, WSUS veya belirlediğimiz bir UNC paylaşımlarından Endpoint Protection agentlarına malware ve antivirüs bilgilerinin bulunduğu tanımlamaların gönderilmesini engellediğimiz ayardır.
Bu ayarlamalarımızı da yaptıktan sonra gene sol barda bulunan Security kısmına geliyoruz.
Security kısmında görüldüğü üzere Read, Modify, Delete, Set Security Scope ve Create hakkına sahip user’ ımızı görüyorsunuz. Benim bu işlemleri yapabilmeye yetkili olan kullanıcım Domain Admin’ im tabi sizlerler kendi oluşturduğunuz userlara da yetkilendirme yapabilirsiniz. OK diyerek bu pencereyi kapatıyoruz ve yeni Endpoint Protection Settings’ imizi oluşturuyoruz.
Oluşturduğumuz ayarlarımızı belirlediğimiz bir gruba dağımını artık gerçekleştirebiliriz. Oluşturduğumuz Endpoint Protection ayarımıza sağ click yaparak Deploy diyoruz.
Karşımıza gelen Select Collection penceresinde dağıtımı yapmak istediğimizi grubumuzu belirliyoruz. Ben Clientlar adındaki grubumu seçiyoruz, test amaçlı olarak bir tane istemci atadım. Bu grubumu seçtikden sonra “OK” diyerek dağıtım işlemimizi başlatıyoruz.
İstemcimize gittiğimizde Task Manager’ a baktığımız zaman SCEPInstall.exe yi görüyoruz. Bu Endpoint Protection kurulumunun başladığını görüyoruz, artık kurulumumuzun bitmesini bekliyoruz.
System Center 2012 Endpoint Protection’ ı artık clientımıza kurmuş olduk.
Bundan sonra Endpoint Protection İstemcilerimizi yönetebilmekteyiz. Daha öncede bahsettiğim gibi istemcilerimizin üzerinde tespit edilen malware ve antivirüsler gibi zararlı yazılımları Sunucumuza raporlayarak bizlere organizasyonumuzda bulunan tehditleri ve zararlı yazılımları bildirecektir. Ve buna dayanarak temizleme işleminizi ve istemcilerimizde koruma işlemimizi gerçekleştirebiliriz.
Endpoint Protection güncellemelerinin download edilebilmesi için Software Update ile entegre çalışması gerekmektedir. Sunucumuzda updateleri belirlediğimiz kriterlere göre bulan ve indiren servisimiz olan WSUS servisi SCCM 2012 ile entegre çalışmaktadır. Aralarındaki bu entegrasyonu da sağlayan rolümüz Software Update Point dir. Bizde Endpoint Protection güncellemelerini yapabilmemiz için software update ile senkronizasyonu sağlamalıyız.
Configuration Manager Konsolumuzu açtıktan sonra Administration’ dan Sites a geliyoruz. Kendi Site’ ımızı görüyoruz ve site ımızı seçtikden seçtikden sonra üs kısımda bulunan Configute Site Components’ i açıyoruz veSoftware Update Point diyoruz.
Açılan Properties sayfasında General sekmesinde kullandığımız portlar bulunmaktadır. Bu portların WSUS kurulumundaki belirlediğiniz portlar ile aynı olmalıdır. Bir değişlik yapmıyoruz.
Sync Settings tabında gördüğünüz üzere senkronizasyon işlemini Microsoft Update’ den yapabiliriz bunun yanı sıra yapımızda bir Upstream Update Sunucumuz var ise oradanda senkronizasyon yaptırta biliriz veya manuel olarakda Software Updatelerimizi ekleyebiliriz. Alt kısımda bulunan WSUS Reporting Events kısmında raporlama günlüğü oluşturulup oluşturulmayacağını belirliyoruz. Ben oluşturmuyorum fakat oluşturulmasında fayda vardır.
Products tabında hangi yazılımlar için güncellemelerin çekileceğini belirtiyoruz. Biz Endpoint Protection için Forefront içerisinde Forefront Endpoint Protection’ u işaretliyoruz.
Sync Schedule tabında görüldüğü üzere senkronizasyon işleminin yapılması için yapımıza uygun olarak bir zamanlamada yaptırtabiliriz. Schedule yapılmasında fayda var. Schedule oluşturmak için Enable synchronization on a schedule kutucuğunu işaretliyoruz. Simple schedule seçiyoruz ve her 1 saat de bir yapılmasını istiyorum tabi bunu siz kendinize göre düzenleyin. Alt kısımda bulunan kutucuk eğer yapılan senkronizasyonun başarısız olması halinde bize uyarı vermesi için için işaretliyoruz ve Apply diyerek yaptığımız ayarları geçerli hale getiriyoruz. Artık otomatik dağıtım kuralı oluşturmaya geçebiliriz.
Manager Konsolumuzdan Software Library’ e geliyoruz. Overview içerisinde bulunan Software Updates içerisindeki Automatic Deploymen Rulesüzerine gelerek sağ click Create Automatic Deploymen Rule diyoruz.
Dağıtım Kuralı oluşturma penceremizde ilk olarak oluşturacağımız bu kurala bir isim veriyoruz. Specify the target collection for the software update deployment kısmında bu kuralın uygulanacağı İstemci GruplarımızıBrowse diyerek seçiyoruz. Alt kısımda bir Yazılım Güncelleme grubu oluştura bilir veya var olanı kullanacağımızı belirliyoruz. Ben var olan Software Update Group’ umu kullanacağımdan ilk kutucuğu işaretliyorum.Enable the deployment after this rule is run kutucuğunu işaretliyoruz bunun sebebi indirilen updatelerin bulunan mevcut gruba eklenmesi içindir. Next diyerek ilerliyoruz.
State Message kısmındaki detail level kurulum sırasında istemcilerden alınan bilgilerin ne seviyede olduğunu buradan belirlemekteyiz. Detail Level kısmında iki seçenek bulunmaktadır. İlki Normal bu seçeneği seçtiğinizde kurulum esnasında durum ile ilgili olarak bütün her şeyi size iletir. Minimal ise kurulum esnasında hata mesajlarını ve kurulumun başarılı sonuçlandığına dair bilgi verir. Ben minimal diyorum. Alt kısımda bulunan seçeneklerden ilki kurulum sırasında lisans anlaşması gerektirmeyen veya daha önceden lisans anlaşması olan güncelleştirmeleri için işaretleriz. İkinci şık ise lisans anlaşmalarının kurulum esnasında otomatik olarak onaylanması içindir. Ben güncelleştirmelerde otomatik onaylanmasını istediğimden dolayı ikinci şıkkı seçiyorum ve devam ediyorum.
Oluşturduğumuz bu kuralın bulunduğu özelliklere göre filtrelenerek çekeceğini belirlediğimiz bu kısımda gördüğünüz üzere Language (Dil)özelliğinin İngilizce olması ve Product (ürün)çekilecek olan güncelleştirmenin hangi ürüne ait olduğunu belirtiyoruz. Bu ayarları da yaptıktan sonra next ile devam ediyoruz.
Tabiki bu oluşturduğumuz kuralın ne zamanlar çalışacağını belirlemek için bir schedule oluşturmalıyız. Aynı şekilde bu işlem için Enable rulet o run on a schedule diyerek etkinleştiriyoruz. Customize butonuna basarak ben 5 günde bir 12.00PM de kuralımın çalışması için ayarladım schedule işleminizde ayarladıktan sonra Next ile devam ediyorum.
Deployment Schedule ekranında artık güncelleştirmelerimizin kurulumu için zamanlamayı ayarlamamıza geldi. Schedule Evalution kısmında bulunan Time bassed on kısmında bizlere iki seçenek getirmekte bunlardan ilki UTC uluslararası koordinasyon zamanına göre mi yoksa Client local time istemcilerin üzerindeki saate göre mi yapacağını belirliyoruz.
Software Available Time kısmında karşımıza gelen As soon as possible seçeneği işaretlenir ise senkronizasyon işlemi tamamlandığında güncelleştirmelerin hemen dağıtıma geçmesini sağlar. Fakat tavsiye etmem çünkü istemciler iş esnasında bu işlem yapılmaya başlandığında Client’ ın bilgisayarını yeniden başlatabilir buda veri kayıplarına yol açabilmekte. O yüzden Specify time diyerek eşitleme işlemini zamanlamış oluruz.
Installation Deadline kısmında güncelleştirmelerin kurulumlarının son olarak kaçta yapılacağını belirlediğimiz kısımdır. Veya As soon as possible diyerek en kısa sürede de yapılmasını sağlaya bilirsiniz. Bu ayarlamaları da yaptıktan sonra devam ediyoruz.
User Experience kısmında kurulum esnasında kullanıcıların bir uyarı görmelerini istemiyoruz bunun için Hide in Software Center and all notifications ı seçiyoruz. Deadline Behavior kısmında karşımıza gelen iki tane kutucuk vardır. İlki Software Insatllation“Güncelleştirme Kurulumu” için işaretleriz, ikincisi ise System Restart (if necessary)“eğer restart gerekliyse” kutucuğu bunları da belirliyoruz. Fakat bulunan Yeniden Başlatma işleminin Serverlar mı yoksa Client’ lar için mi yapılacağını belirlemeliyiz. Bu işlemi doğru belirlemeliyiz çünkü aniden yeniden başlatılan bir sunucu veya istemci bizlere iş kaybına ve veri kaybına neden olacaktır. Bunları da belirledikten sonra devam ediyoruz.
Configuration Manager Alerts penceresinde istemcilerde meydana gelen durumlarda uyarı oluşturmasını istiyorsak Generate an alert when the following conditions are met kutucuğunu işaretleyerek uyarı oluşturmasını aktifleştiriyoruz. İlk seçenek Client compliance is below the following percent burada bulunan değer istemcinin uyumluluğundaki seviye belirlediğimiz oranın altına düşerse uyarı oluşturacaktır. İkinci seçenek olan Offset from the deadline ise belirlediğimiz bitim süresinden sonraki geçen süreye ilave edilen 5 gün olarak süreyi göstermektedir.
Operation Manager Alerts kısmı ise yapımızda bir SCOM var ise bu hatanın oraya oluşturulup oluşturulmayacağını belirlediğimiz alandır. Burada bulunan ilk kutucuk software güncelleştirmeleri yapılırken SCOM için uyarı oluşturmaması için dir. Benim yapımda şuanda bir SCOM Sunucum bulunmadığından bu kutucuğu işaretliyorum. İkinci kutuda tam tersi olarak yapımızda SCOM varsa ve bu ürünümüz için de bir uyarı oluşturacaksak işaretleye biliriz. Bu ayarlarımızı da yaptıktan sonra devam ediyoruz.
Download Settings kısmında istemcilerimizin yazılım güncelleştirmelerini belirtilen dağıtım merkezlerinde bulamadığında ağ erişim hızımızın yavaş olduğu hallerde güncelleştirmelerin nasıl indirileceğini belirliyoruz.Deployment options kısmında clientlarımızın updateleri mevcut olan ağın hızına göre (düşük) ve dağıtım noktasında indirme haline göre napacağını belirliyoruz. Bu koşullara göre ilk seçenek olan Do not install software updates işaretlenerek updateleri indirmeye bilir yada Download software updates from distribution point and install dağıtım noktasında bulunan güncelleştirmeleri download ederek kurulmasını sağlaya biliriz.
İkinci kısımda değinildiği işlem ise clientın gereken güncelleştirmeyi dağıtım noktasında bulamadığında ne yapması gerektiği belirlediğimiz kısımdır. Yukarıda belirttiğim gibi ilk seçeneği işaretlersek güncelleştirmelerin kurulumu iptal edebilir, ikinci kutucuğu işaretlersek son çare olarak Microsoft Update’ den bularak kendi indirip kurulmasını sağlaya biliriz.
Allow clients to share content with other clients on the same subnet kutucuğunu işaretleyerek aynı subnet’ de bulunan istemcilerin güncelleştirmeleri kendi aralarında paylaşmalarını aktif etmek için işaretliyoruz. Bu işlemleri de tamamladıktan sonra devam ediyoruz.
Deployment Package kısmında dağıtacağımız paketi oluşturmaya geldik eğer daha önceden oluşturduğumuz bir dağıtım paketi var ise Select deployment packageı işaretleyerek göstere biliriz. Ben yeni bir dağıtım paketi oluşturacağımdan dolayı Createa new deployment packageı seçiyorum. Oluşturacağım paketin Adını ve Açıklamasını belirledikten sonra paylaşımda olan bir klasöre oluşturulması gerekir. Paylaşıma Endpointadında bir klasör oluşturduktan sonra paylaşıma açıyorum. Package Source kısmına browse diyerek bu klasörü path’ ini belirliyoruz. Sending Priority kısmından bu paketin gönderim önceliğini belirliyoruz ve devam ediyoruz.
Distributions Points kısmında dağıtım hangi dağıtım noktasında tutulacağını belirliyoruz. Benim yapımda bir tane dağıtım noktası bulunmakta sizler birden fazla dağıtım noktasına sahip seniz istediğiniz dağıtım noktasını belirleyebilirsiniz. Bunu belirlemek için Add diyerek dağıtım noktamızı belirliyoruz ve devam ediyoruz.
Dowload Location kısmında artık updatelerimizin nereden indirileceğini belirliyoruz. İlk seçenek olan Download software updates from the internet seçeneğini işaretlediğimizde internet üzerinden indireceğini belirtmiş olursunuz. Bildiğiniz üzere bunu sağlayan WSUS servisinin sunucumuz üzerinde kurulmuş ve konfigürasyonunun yapılmış olması gerekir. Veya Alt da bulunan Download software updates from a location on my network işaretlenerek bu update lerin bulunduğu klasör paylaşıma açıldıktan sonra browse diyerek bu path ide göstere biliriz. Download noktasınıda belirledikten sonra devam ediyoruz.
Language Selection kısmında güncelleştirmelerimizin dili belirliyoruz. Download edilecek olan updatelerin hangi dillerde ineceğini belirliyoruz ve devam ediyoruz.
Summary kısmı artık kuralımızın oluşturulması için son adımdır. Yaptığımız bütün ayarlar hakkında bir özet bizlere sunmaktadır. Bu adımda da Next diyerek devam ediyoruz.
Otomatik Dağıtım kuralımızı sorunsuz bir şekilde oluşturduk. Artık bu kuralımızı manuel olarak çalıştırmaya geldi sıra.
Software Updates de bulunan Automatic Deploymen Rules kısmında oluşturmuş olduğumuzu dağıtım kuralımızı görüyoruz, kuralımıza sağ click yaparak açılan menüden Run Now diyerek kuralımızı elle çalıştırmış olduk.
Software Updates in altında bulunan All Software Updates’ e geldiğimizde bulunan Microsoft Endpoint Protection updatelerini göreceksiniz.
System Center Configuration Manager 2012 ile Endpoint Protection’ ın Software Update ile senkronize çalışarak gereken updatelerin arşivlenmesini ve updatelerin dağıtılmasını anlatmaya çalıştım. Bu sayede istemcilerimiz üzerinde bulunan System Center 2012 Endpoint Protection larımızın güncelleştirmelerini yapmış olacağız.
Daha önce sunucumuza Endpoint Protection Point rolümüzü eklemiştik. Şimdi bu Endpoint Protection tarafından bizlere verilmesini istediğimiz Alerts (Uyarılar)’ larımızı belirleyeceğiz. Bu uyarıları belirlememizin bizlere istediğimizi client’ larımızda ve Endpoint Protection Sunucumuzun üzerinde karşılaşılan Antivirüs ve Malware gibi zararlı yazılımların raporlarını bizlere gösterecektir.
Daha öncede bahsettiğim gibi oluşturulan bu kurallarımız Grup ve Özel bazlı yapılandırabiliyoruz. Ben Clientlar adlı grubumdaki istemcilerim için bu uyarı seviyelerini ayarlayacağım. Bunun için Configuration Manager konsolumuzu açtıktan sonra sol bar’da bulunan Assets and Compiance’ a geliyoruz. Üst kısımda gördüğünüz üzere Overview’ in içerisinde Device Collections’ a geliyoruz. Burada default olarak oluşmuş grupların yanısıra kendi oluşturduğumuz Device Collections gruplarıda bulunmakta. Windows 7 Client’ larımın bulunduğu Clientlar grubuna sağ click yaparak Properties diyoruz.
Grubumuza ait özellikler penceremiz açıldıktan sonra Alerts tabına geliyoruz. View this collection in the Endpoint Protection dashboard kutucuğunu işaretliyoruz. Bunun sebebi buraya ekleyeceğimiz uyarılarınEndpoint Protection Gösterge Panelinde gözükmesi için bu kutucuğu işaretlemeliyiz.
Hangi şartlarda uyarı alacağımızı belirlemek için Add butonuna basıyoruz.
-İstemci Durumu-
1- Aktif olan istemciler belirlenen bir değerin altına düştüğünde,
2- İstemci Zararlı yazılımların temizlenmesi işleminde belirlenen değerin altına düştüğünde,
3- İstemcinin etkinliğinde belirli bir değerin altına düşerse,
-Endpoint Protection Durumu-
4- Zararlı bir yazılım tespit edildiğinde,
5- Birden fazla sunucuda istemcide aynı tip zararlı yazılım tespit edildiğinde,
6- Belirli süre zarfında aynı istemcide aynı tip zararlı yazılım tespit edildiğinde,
7- Belirlenmiş süre zarfında aynı istemcide birden fazla zararlı yazılım tespit edildiğinde,
Bu şartlara uygun ise bizlere Endpoint Protection Gösterge Panelinde uyarı verecektir. Bütün kutucukları işaretliyoruz ve OK diyerek şartlarımızı ekliyoruz.
Conditions (Koşullar) kısmında oluşturmuş olduğumuz koşulları görebiliyoruz. Multiple malware detection definitions kısmında Birden fazla zararlı yazılım tespiti yapıldığında ise ayarladığımız kısımda bu tespitlerin dashboard’ umuza hangi seviyede düşeceğini Alert Severity: Critical kısmında belirliyoruz. Number of malware types detected kısmında bulunan bu zararlı yazılım sayısını belirlediğimiz kısımdır. Yukarıda kuralları oluşturuduğumuz da bahsettiğimiz süreyi ayarladığımız kısımda Interval for detection (hours) kısmıdır ve saat bazında ayarlama yapabilirsiniz. Bu ayarlarımızda yaptıktan sonra Apply diyerek onaylıyoruz.
Endpoint Protection da belirlediğimiz İstemci Grup’ umuza (Alerts) uyarı kritelerimizi belirleyerek gerekli ayarlamaları gerçekleştir. Belirlediğimiz bu kriterlere göre tespit edilen zararlı yazılımlarımızın Endpoint Protection Dashboard’ umuzda görebileceğiz.