20 Jun

SCCM als Blackbox für Endpoint Protection

In den letzten Wochen kam es bei Kundengesprächen immer vor, wie man die Endpoint Protection Lösung mit 2012 realisieren kann, ohne sich tief in das „große“ Produkt SCCM 2012 einzuarbeiten. Meine Grundsätzliche Antwort dazu ist: Es geht – mit einigen Details, die dann doch beherrscht werden müssen:

Grundsätzlich gilt es folgende Punkte im SCCM 2012 zu kennen:

  • Infrastruktur- / Hirachie-Grundlagen
  • Aufbau von Collections
  • SQL (Query’s) Basiskenntnisse
  • Enpoint Protection Policies / Client Policies

Aus der organisatorischen Sicht sind die Punkte Infrastruktur und Hirachie sowie eine Definition von Server-Rollen von Bedeutung. Diejenigen, die bereits ein umfassendes Virenschutzkonzept im Einsatz haben und kritische Systeme (Clients und/oder Server) und/oder Rollen inkl. deren Wartungsfenster definiert haben, können es sicherlich leicht adaptieren. Herauskommen muss: 1 bis x Endpoint Protection Policies für die verschiedenen Rollen.

In der Hirachie bzw. SCCM Infrastruktur muss lediglich Wert auf die Verteilingspunkt (Distribution Points) gelegt werden. Hinsichtlich der manchmal schwachen Anbindung von Standorten, empfiehlt es sich, je nach Geschwindigkeit, einen DP im Standort zu platzieren.

Die technische Umsetzung sieht dann lediglich vor, dass Collections aufgebaut werden, welche die entsprechenden Rollen wiederspiegeln. Die Grundkonfiguration, wie Boundaries, SUP oder Client-Parameter, im Detail sind hier ausgelassen – sollen aber als Notwendigkeit kurz erwähnt werden, da dieser Initial-Aufwand in jedem Fall durchgeführt werden muss.

Treibt man das ganze noch soweit, dass Devices automatisch erfasst und mit dem SCEP versorgt werden, dann minimiert sich der administrative Aufwand auf ein Mindestmaß.

Fazit: SCEP kann auch ohne viel Aufwand innerhalb von SCCM genutzt werden. Sicherlich ist der initiale Aufwand ein Faktor. Allerdings ist er meines Erachtens nicht höher (oder sogar noch geringer) als bei vergleichbaren Virenschutzlösungen wie McAffee mit seinem EPO oder auch Symantec.

Übrigens:

SCEP deinstalliert auch 3rd Party Virenschutzprodukte – allerdings fällt Kaspersky (wie bei einem Kunden) nicht darunter.
Die Deinstallationsroutine funktioniert laut MS nur bei:

  • Symantec AntiVirus Corporate Edition version 10
  • Symantec Endpoint Protection version 11
  • Symantec Endpoint Protection Small Business Edition version 12
  • McAfee VirusScan Enterprise version 8
  • Trend Micro OfficeScan
  • Microsoft Forefront Codename Stirling Beta 2
  • Microsoft Forefront Codename Stirling Beta 3
  • Microsoft Forefront Client Security v1
  • Microsoft Security Essentials v1
  • Microsoft Security Essentials 2010
  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Security Center Online v1

Somit müssen für andere Versionen ein Deinstallationskonzept erstellt werden (Sicherlich auch mit SCCM 2012 realisierbar, wenn man Ihn nun schon im Einsatz hat 🙂 )