در قسمت اول - ما یک (LAB)جدید ایجاد کرده ایم . و فایل ISO نرم افزار System Center 2012 Configuration Manager را extracted   کرده ایم و در سرور AD ، کپی کردیم . سپس ما کانتینر System Management را در سرور AD ایجاد کرده ایم . و دسترسی های لازم را به این کانتینر اختصاص داده ایم. Schema را برای Configuration Manager آماده کردیم . سپس پورت TCP به شماره های 1433، 4022 را جهت SQL replication بین سایت ها باز کردیم. NET Framework 4.0 و بعضی از ویژگی ها را بر روی سرورها نصب کردیم. و سپس installed SQL Server 2008 R2 SP1 CU6 را دانلود و نصب کردیم . سپس تنظیمات مربوط به امنیت و Memory مربوط به SQL را انجام میدهیم. و در پایان ما CAS را نصب کردیم.

در قسمت دوم - در این مرحله ما Primary server و SQL Server 2008 R2 SP1 CU6 را نصب و پیکربندی کردیم. ما در این قسمت Configuration Manager 2012 را بر روی سرور p01 نصب کردیم و عملیات رپلیکیشن با سرور CAS را چک کردیم.

در قسمت سوم - ما متدهای دیسکاوری و boundaries  را پیکربندی کرده ایم و یک boundary group ایجاد کرده ایم . و سپس ما آنها را برای Automatic Site Assignment و Content Location پیکربندی کردیم. حالا ما میخواهیم بعضی از roles ها را برای Hierarchy مان ایجاد کنیم و سپس Custom Client Device Settings را پیکربندی می کنیم و سپس بر روی تمام سیستم هایی که توسط سایت p01 جمع آوری شده است ، deploy می کنیم. و سپس ما یک Custom Client User Settings ایجاد میکنیم و آن را بر روی تمام کاربران جمع آوری شده ، به منظور مشخص کردن تنظیمات  User and Device  ،
deploy می کنیم.

در قسمت چهارم - ما رول Application Catalog را بر روی Hierarchy مان نصب کردیم. ما سپس Custom Client Device Settings را پیکربندی کردیم و سپس تنظیمات انجام شده را بر روی مجموعه نصب AllSystems در سرور p01 مان ، Deploy کردیم.سپس ما Custom Client User Settings را ایجاد کردیم و تنظیمات را بر روی مجموعه All User ها Deploy کردیم.

در قسمت پنجم - در این مرحله ما رول WSUS  را نصب کردیم (که پیش نیاز رول Software Update Point است). سپس رول Software Update Point را بر روی سرورهای CAS و P01 نصب کردیم و SUP  را جهت نصب ConfigMgr Client Agent که به عنوان بهترین متد است پیکربندی کردیم .

حالا ما سرورمان را جهت نصب رول Endpoint Protection Point آماده میکنیم  ، و این رول را قبل از پیکربندی custom client device settings و custom antimalware policies نصب میکنیم. سپس custom client device settings  و custom antimalware policies را بر روی مجموعه های جدید Endpoint Protection که ایجاد کرده ایم ، نصب میکنیم.


در زیر مقدمه ای از Endpoint Protection در Configuration Manager می باشد ، برای اطلاعات بیشتر این لینک از Technet را بخوانید -
http://technet.micro...y/hh508781.aspx

وقتی که از Endpoint Protection  در در زیر مقدمه ای از Endpoint Protection در Configuration Manager می باشد ، برای اطلاعات بیشتر این لینک از Technet را بخوانید -
http://technet.micro...y/hh508781.aspx

وقتی که از&or:#282828;">Configuration Manager استفاده میکنید ، مزیت های زیر برای شما فعال میشود :
  • شما میتوانید antimalware policies و Windows Firewall settings  را برای گروهی از کامپیوترهایی که انتخاب کرده اید ، پیکربندی کنید.
  • شما با استفاده از نرم افزار  Configuration Manager آخرین آپدیت های antimalware را جهت به روز رسانی کلاینت ها دریافت کنید.
  • شما میتوانید ایمیل ارسال کنید ، و در قسمت monitoring کنسول ، گزارشاتی را که در مورد وقتی که malware  بر روی سیستم کاربران تشخیص داده شد ، را بینید.



مرحله 1 - آماده سازی Hierarchy با ایجاد فولدر Endpoint Protection


نکته : تمامی مراحل زیر را بر روی سرور CAS با کاربر smsadmin انجام دهید.

به منظور ایجاد مدیریت راحت تر دیوایس ها در Endpoint Protection ما تعدادی فولدر جدید ایجاد میکنیم.این کار باعث میشود که به راحتی بتوانیم custom Antimalware policies ها و custom client settings ها را به گروه های مختلف از کامپیوترها اختصاص دهیم. برای مثال شما ممکن است فایل ها و فرایندهای متفاوتی را برای سرورهای SQL servers نسبت به سرورهای Hyper-V در نظر بگیرید.

فولدر ها و مجموعه هایی (Collections) که دیتای مربوط به آنها به صورت عمومی است را بر روی سرور CAS ایجاد میکنیم ، تا اطلاعات از طریق replicate به سرورهای Primary انتقال داده شود. در سرور CAS قسمت Assets and Compliance را انتخاب کنید و بر روی Device Collections کلیک راست کنید و گزینه Create Folder را انتخاب کنید.



یک نام مناسب مثلا Endpoint Protection برای این فولدر بگذارید.



پس از اینکه ما فولدر جدید Endpoint Protection را ایجاد کردیم ، می توانیم بر روی مثلث کوچکی که در سمت چپ گزینه Endpoint Protection ظاهر می شود کلیک کنید ، این کار اطلاعات بیشتری در مورد زیر مجموعه های Device Collections در اختیارمان می گذارد.



با کلیک بر روی مثلث کوچک میتوانیم فولدر جدید  Endpoint Protection را ببینیم.



پس از اینکه ما فولدر جدید Endpoint Protecommunityserver-wikis-components-files/00-00-00-00-05/45706.1.jpg" style="border-width:0px;border-style:solid;" />

حالا ما فولدر های جداگانه ای برای لبت تاپ ، سرورها و ، کلاینت ها ایجاد میکنیم. که همگی زیرفولدر Endpoint Protection هستند. برای این کار بر روی فولدر Endpoint Protection کلیک راست کنید و گزینه Create Folder را انتخاب کنید.



اولین فولدرای که ایجاد میکنید با نام Endpoint Protection Managed Clients باشد.



دقیقا همین مراحل بالا را برای ایجاد فولدری با نام Endpoint Protection Managed Servers تکرار کنید.



بعد از انجام ، بر روی مثلث کوچک کنار فولدر Endpoint Protection کلیک کنید ، تا فولدر های جدیدی را که ایجاد کرده اید را ببنید.



در مرحله بعد ما یکسری مجموعه (collections) جدید به این فولدرها ساخته شده ، اختصاص می دهیم.



مرحله 2 - ایجاد مجموعه هایی از Endpoint Protection Device برای دسته بندی کردن کامپیوترها

نکته : تمامی مراحل زیر را بر روی سرور CAS با کاربر smsadmin انجام دهید.
بر روی فولدر Endpoint Protection Managed Clients کلیک راست کنید و گزینه Create Device Collection را انتخاب کنید.



دو مجموعه (collection)جدید به نام های زیر ایجاد کنید و در قسمت limited ، شما All Systems را انتخاب کنید. و همچنین نیازی نیست هیچ membership rules را انتخاب کنید.
  • Endpoint Protection Managed Desktops
  • Endpoint Protection Managed Laptops


در پایان ، دو مجموعه جدید که متعلق به فولدر Endpoint Protection Managed Clients هستند را می توانید ببنید.



با استفاده از روش بالا ، collection های جدید را که متعلق به فولدر Endpoint Protection Managed Servers را ابجاد میکنیم. تعداد این مجموعه ها (collectionبستگی به نیاز سازمانتان دارد ، در زیر عمومی ترین نقش هایی که در هر شبکه ای وجود دارد لیست شده است . این کار باعث میشود تا شما به راحتی بتوانید custom antimalware policies و custom client device settings را به رول یا سرویس مورد نظرتان اختصاص دهید. (البته شما بنابر نیاز سازمانتان میتوانید به لیست زیر اضافه کنید).
  • Endpoint Protection Managed Servers - Configuration Manager
  • Endpoint Protection Managed Servers - DHCP
  • Endpoint Protection Managed Servers - IIS
  • Endpoint Protection Managed Serversspan> Manager
  • Endpoint Protection Managed Servers - Domain Controller
  • Endpoint Protection Managed Servers - Exchange
  • Endpoint Protection Managed Servers - File Server
  • Endpoint Protection Managed Servers - Hyper-V
  • Endpoint Protection Managed Servers - IIS
  • Endpoint Protection Managed Servers - Operations Manager
  • Endpoint Protection Managed Servers - SharePoint
  • Endpoint Protection Managed Servers - SQL Server 2008
هنگامیکه دسته ها بالا را ایجاد کردید فولدر مربوط به Endpoint Protection Managed Servers ​به صورت زیر می باشد :



توجه : اگر شما نمی خواهید اطلاعات را به صورت دستی وارد کنید شما میتوانید از Powershell script استفاده کنید .(برای این کار احتیاج به دانش پاورشل دارید.)


مرحله 3 - فعال کردن رول Endpoint Protection


نکته : تمامی مراحل زیر را بر روی سرور CAS با کاربر smsadmin انجام دهید.

رول Endpoint Protection point باید قبل از اینکه شما از Endpoint Protection استفاده کنید و یا قبل از اینکه شما تنظیمات Endpoint Protection client را تغییر دهید ، را ایجاد کنید . این رول فقط باید بر روی یک سرور site  نصب شود و همچنین در بالاترین سطح یک hierarchy باید باشد یعنی بر روی سرور CAS یا یک سرور standalone primary نصب شود.در این لب ما یک سلسه مراتب (hierarchy)شامل CAS و child Primary داریم که ما رول را بر روی سرور CAS مان نصب میکنیم. (در قسمت های بعد به شما آموزش داده میشود که چگونه رول را بر روی سرور standalone primary نصب کنید).

در قسمت Administration ، گزینه Overview را باز کنید سپس در قسمت Site Configuration ، گزینه Servers and Site System Roles را انتخاب کنید. بر روی سرور CAS کلیک راست کنید و Add Site System Roles را انتخاب کنید.

 hierarchy
باید باشد یعنی بر روی سرور CAS یا یک سرور standalone primary نصب شود.در این لب ما یک سلسه مراتب (hierarchy)شامل CAS و child Primary داریم که ما رول را بر روی سرور CAS مان نصب میکنیم. (در قسمت های بعد به شما آموزش داده میشود که چگونه رول را بر روی سرور standalone primary نصب کنید).

در قسمت Administration ، گزینه Overview را باز کنید سپس در قسمت Site Configuration ، گزینه Servers and Site System Roles را انتخاب کنید. بر روی سرور CAS کلیک راست کنید و Add Site System Roles را انتخاب کنید.



تغییرات لازم را بر روی ویزارد Add Site System roles بدهید و سپس بر روی Next کلیک کنید.



رول Endpoint Protection point را انتخاب کنید. ما در مرحله 5 رول مربوط به SUP را جهت به روز رسانی آپدیت ها پیکربندی کردیم ، اگر شما این پارت را کامل نکردید لطفا دوباره مرور کنید.



سپس لایسنس مربوط به Endpoint Protection را قبول کنید و به مرحله بعد بروید.



نوع MAPS membership را که بر روی heirarchy تان فعال میشود را انتخاب کنید (شما میتوانید بعدا تمامی پالیسی های antimalware را تغییر بدهید.)گزینه Advanced Membership را انتخاب کنید.
نکته : با اتصال به MAPS ، شما قادر خواهید بود که سرویس dynamic signature را فعال کنید.technet.microsoft.com/en-us/library/hh508770.aspx



برروی Next کلیک کنید تا ویزارد تمام شود.

بعد از چند دقیقه شما آیکون مربوط به Endpoint Protection client (SCEP Client) را بر روی سرور CAS در system tray ظاهر میشود.



نکته : نصب SCEP client بر روی سرور CAS یک روش طبیعی است. شما باید SCEP client را بر روی سرور ConfigMgr که رول Endpoint Protection موجود است را نصب کنید.این SCEP client برای تبدیل Animalware IDs در دیتابیس Configuration Manager استفاده میشود.



توجه : شما میتوانید فایل لاگ EPSetup.log را که در مسیر D:\Program Files\Microsoft Configuration Manager\Logs وجو دارد را جهت مانیتورینگ پروسه نصب رول بر روی سرور مربوطه بررسی کنید. همان طور که در فایل لاگ میبینید خط Installation was successful نشان دهنده این است که رول Endpoint Protection Point با موفقیت بر روی سرور نصب شده است.


مرحله 4 - پیکربندی Alerts برای Endpoint Protection


نکته : تمامی مراحل زیر را بر روی سرور CAS با کاربر smsadmin انجام دهید.

����ما میتوانید Endpoint Protection alerts را بر روی System Center 2012 Configuration Manager را جهت اطلاع کاربر وقتی که هشدار امنیتی خاصی در hierarchy رخ دهد ، را پیکربندی کنید.

این هشدارها در داشبورد Endpoint Protection در کنسول Configuration Manager را ببنید ، و همچنین شما میتوانید که آنها را طوری پیکربندی کنید که به افراد مشخصی ایمیل کنید.


پیکربندی Email Notification (اختیاری)

پیکربندی Alerts ها بر روی مجموعه device

نکته : شما نمی توانید Alert ها را بر روی مجموعه User  پیکربندی کنید.
بعدا ما alerts  ها را برای مجموعه های Endpoint Protection device پیکربندی می کنیم. در این مثال ما از مجموعه Endpoint Protection Managed Servers Configuration Manager استفاده کرده ایم . هر چند که شما باید این پروسه را برای هر مجموعه (collection) که میخواهید Alert های آنها را در Configuration Manager مانیتور کنید ، را تکرار کنید. که از طریق داشبورد مربوط به Endpoint Protection و گزارشات Endpoint Protection می توانیم این کار را انجام دهیم.
در منوی Assets and Compliance ، فولدر Endpoint Protection Managed Servers  را باز کنید ، مجموعه Endpoint Protection Managed Servers  Configuration Manager را انتخاب کنید بر روی آن کلیک راست کنید . گزینه properties را انتخاب کنید. بر روی تب Alerts  کلیک کنید و گزینه مربوط به View this collection in the Endpoint Protection Dashboard را انتخاب کنید و سپس تمام گزینه های مربوط به client status و Endpoint Protection را انتخاب کنید.


شما میتوانید تنظیمات بیشتری برای دقت Alert (البته بستگی به نوع Alert ای که انتخاب کرstrong> را انتخاب کنید بر روی آن کلیک راست کنید . گزینه properties را انتخاب کنید. بر روی تب Alerts  کلیک کنید و گزینه مربوط به View this collection in the Endpoint Protection Dashboard را انتخاب کنید و سپس تمام گزینه های مربوط به client status و Endpoint Protection را انتخاب کنید.



برای بقیه مجموعه های Endpoint Protection تنظیمات Alert را انجام دهید. شما در داشبورد مربوط به Endpoint Protection  در تب Monitoring می توانید این تنظیمات را بررسی کنید (در قسمت System Center 2012 Endpoint Protection Status)و یکی از 13 مجموعه موجود را انتخاب کنید. اطلاعات نشان داده شده به خاطر نصب custom client device  و custom antimalware policies بر روی مجموعه های Endpoint Protection تغییر می کند.





مرحله 5 - اضافه کردن Forefront Endpoint Protection 2010 به عنوان یک محصول و همگام سازی با SUP

نکته : مراحل زیر را بر روی سرور CAS با کاربر smsadmin انجام دهید.

اگر شما میخواهید که کلاینت هایتان آپدیت های تعریف شده را از Configuration Manager دریافت کنند . شما احتیاج به پیکربندی Software Update Point دارید.در قسمت 5 ما SUP  را نصب و پیکربندی کرده ایم.که این محصول آپدیت های مشخص شده را چک می کند و یا مایکروسافت با زمانبندی یکبار در روز ، همگام(sync) میشود.با این حال ما احتیاج داریم که محصول Forefront Endpoint Protection 2010 را به لیست محصولات مان اضافه کنیم و گرنه لیست آپدیت های تعریف شده در پنجره Software Update Point نمایش داده نمیشود.در قسمت Administration ، منوی Site Configuration ، سپس Sites و سپس سرور CAS را انتخاب کنید ، و از منوی بالا گزینه Configure Site Components ، و از لیست باز شده Software Update Point را انتخاب کنید.



از تب Products  ، به قسمت Forefront بروید و گزینه Forefront Endpoint Protection 2010 را انتخاب کنید ، و بر روی Apply کلیک کنید.



سپس عملیات همگام سازی را انجام می دهیم. قسمت Software Library را انتخاب کنید ، سپس منوی Software Updates را انتخاب کنید و بر روی گزینه All Software Updates راست کلیک کنید و Synchronize Software Updates را انتخاب کنید. و در پنجره ایی که ظاهر میشود بر روی Yes کلیک کنید.



توجه : فایل wsyncmgr.log  موجود در مسیر D:\Program Files\Microsoft Configuration Manager\Logs بر روی سرور CAS را بررسی کنید تا مطمئن شوید که عملیات sync  با موفقیت انجام شده است. نتیجه خط Sync Succeeded را نگاه کنید. اگر عملیات sync  با موفقیت انجام نشده باشد ، مطمئن شوید که سرویس Update Services بر روی سرور CAS استارت (Start) باشد.


ادامه دارد.....


لینک اصلی مقاله :


Reference Link :

توجه : فایل wsyncmgr.log  موجود در مسیر D:\Program Files\Microsoft Configuration Manager\Logs بر روی سرور CAS را بررسی کنید تا مطمئن شوید که عملیات sync  با موفقیت انجام شده است. نتیجه خط Sync Succeededhttp://www.windows-noob.com/forums/index.php?/topic/6106-using-system-center-2012-configuration-manager-part-6-adding-the-endpoint-protection-role-configure-alerts-and-custom-antimalware-policies/