Endpoint Protection – frissítések központi terítése

Az alábbi cikkben a System Center Endpoint Protection 2012 SP1 (a továbbiakban SCEP) verziójával használható különbözo definíciós állomány frissítési konfigurációkat mutatom be – kiemelve a System Center Configuration Manager 2012 SP1 integrált megoldás részleteit.

A frissítések központi terítésére az alábbi alternatívák állnak rendelkezésre:

  • Configuration Manager integrált terítés – ebben az esetben a Configuration Manager Software Update Management szolgáltatásán keresztül jutnak el a frissítések a kliensekig.

 

  • Windows Server Update Services (WSUS) – ebben az esetben a vállalati WSUS infrastruktúrán keresztül jutnak el a frissítések a kliensekig.

 

  • Microsoft Update – ebben az esetben a kliensek direktben kapcsolódnak a Microsoft Update szolgáltatáshoz és töltik le a számukra szükséges frissítéseket.

 

  • Microsoft Malware Protection Center – ebben az esetben a Microsoft Malware Protection Center szolgáltatáshoz csatlakoznak a kliensek és töltik le a számukra szükséges frissítéseket.

 

  • UNC megosztás – ebben az esetben a frissítéseket valamilyen automatizált módon letöltjük és egy megosztáson keresztül tesszük elérhetové a kliensek számára.

 

A Configuration Manager integrált megoldás kivételével mindegyik alternatíva esetében a frissítések menedzsmentje a SCEP kliensen keresztül történik. A különbözo beállítások központi terítésére az Antimalware Policy-k szolgálnak, melyeket a Configuration Manager-ben definiálhatunk.

A Configuration Manager integrált megoldás esetében a frissítések letöltését a Configuration Manager végzi, ennek automatizálására Automatic Deployment Rule (ADR a továbbiakban) létrehozása szolgál – ami adott feltételeknek megfeleloen letölti és publikálja az aktuális frissítéseket a kliensek felé. Az ADR-t 8 óránként surubben futtatni nem érdemes. A frissen publikált frissítésekrol a Configuration Manager agent-ek a soron következo házirend letöltés után tudomást szereznek, majd a Windows Update Agent segítségével kiértékelik azokat és a szükségesnek ítélt frissítéseket a Configuration Manager agent telepíti az adott számítógépre. Az aktuálisan használatban lévo definíciós állományról a SCEP UI-on keresztül tájékozódhatunk.

Amennyiben nem az elvárásainknak megfeleloen muködik a frissítések terítése, a nyomozás során az alábbiak segíthetnek:

  • Ha kizárólag Configuration Manager integrált forrást állítottunk be, a SCEP UI-on keresztül nem lehet azonnali frissítési folyamatot indítani az alábbi képen látható ’Update’ gomb megnyomásával – ez megfelel az elvárt muködésnek a korábban
    ismertetettekkel összhangban.

 

Minden más esetben használható a felület pl.: WSUS, UNC, stb.

 

  • Configuration Manager specifikus log-ok (C:\Windows\CCM\Logs):
    • ccmexec.log
    • updatesdeployment.log
    • execmgr.log
    • ciagent.log
    • updateshandler.log
    • scanagent.log
    • wuahandler.log

 

  •  SCEP kliens specifikus log-ok (C:\ProgramData\Microsoft\Microsoft Antimalware\Support):
    • MPDetection-<date-timestamp>.log
    • MPLog-<date-timestamp>.log
    • MPCacheStats.log
  • Végül, de nem utolsó sorban rengeteg hasznos információ található a Windows Update log-ban (C:\Windows\windowsupdate.log), a következo bejegyzésekre érdemes keresni:
    • Configuration Manager agent által indított hívás:

COMAPI -- START -- COMAPI: Init Search [ClientId = CcmExec]

    •  SCEP kliens által indított hívás:

COMAPI -- START -- COMAPI: Init Search [ClientId = System Center 2012 Endpoint Protection]