Das Update vom April 2015 für Lync Room System bietet System Center Endpoint Protection und Anti-Malware-Unterstützung – Microsoft-Support

Das Update vom April 2015 für Lync Room System bietet System Center Endpoint Protection und Anti-Malware-Unterstützung

Skype-Raumsysteme Mehr... Weniger

Informationen zur SCEP-Funktion im April 2015-Update für Lync Room System

Diese neue Funktion ergänzt das bestehende Sicherheitsdesign des Lync Room System (LRS), bestehend aus Windows Embedded-Firewall-Schutz, AppLocker und Schreibfiltern. Systemadministratoren können Microsoft System Center Endpoint Protection (SCEP) auf LRS einfach über einen Ein-/Aus-Kippschalter aktivieren. Die SCEP-Funktion in LRS kann eigenständig ausgeführt werden und erfordert keine Back-End-Serverintegration. Schließlich erfordern LRS-Bereitstellungen in privaten Netzwerkumgebungen ohne direkte Internetverbindung etwas zusätzliche Planung und Vorbereitung, um SCEP-Malware-Signaturaktualisierungen über Windows Server Update Services (WSUS) zu ermöglichen. Die Aktualisierung von Signaturen, die in UNC-Dateifreigaben gespeichert sind, wird für das LRS-Update vom April 2015 nicht unterstützt.

So aktivieren Sie SCEP

Aktivieren Sie SCEP im mit dem Internet verbundenen LRS

Um SCEP auf einem mit dem Internet verbundenen LRS zu aktivieren, führen Sie die folgenden Schritte aus, nachdem Sie das LRS-Update vom April 2015 (Update 15.13.2 oder spätere Versionen) angewendet haben:

1. Wechseln Sie als Systemadministrator in den LRS-Administratormodus (Admin).

2. Klicken Sie auf die Registerkarte „Systemeinstellungen" und suchen Sie dann den Ein-/Ausschalter für den Virenschutz von System Center Endpoint Protection.

3. Stellen Sie den Schalter auf die Position „Ein". Anschließend fordert LRS den Systemadministrator mit einer Endbenutzer-Lizenzvereinbarung (EULA) auf.

4. Akzeptieren Sie die EULA-Bedingungen und klicken Sie dann auf „Anwenden und neu starten" . Anschließend wird der SCEP-Schutz aktiviert.

Grundsätzlich kann der SCEP-Schutz später auf die gleiche Weise deaktiviert werden, indem der Schalter im LRS-Administratormodus auf „Aus" gestellt wird.

Sobald SCEP aktiviert ist, ist die tägliche Scanzeit auf 2:00 Uhr eingestellt. Dies ist standardmäßig der Fall. Die Scanzeit kann in derselben Benutzeroberfläche im Dropdown-Menü „Tägliche Scanzeit" konfiguriert werden. Ihr mit dem Internet verbundenes LRS-Gerät ist jetzt vollständig konfiguriert und bereit für die Ausführung von SCEP.

Hinweis: Die Auswahlmöglichkeiten für den Aktualisierungsmodus , die sich unter der Steuerung „Tägliche Scanzeit" befinden, sind nicht funktionsfähig und sollten zum aktuellen Zeitpunkt ignoriert werden.

Aktivieren Sie SCEP in LRS in privaten Netzwerkumgebungen

Um SCEP auf LRS-Geräten zu aktivieren, die in privaten Netzwerkumgebungen ohne direkte Internetverbindung bereitgestellt werden, muss das WSUS-Setup durchgeführt und für die Verarbeitung von SCEP-Signaturaktualisierungen konfiguriert werden, nachdem ein Systemadministrator die zuvor beschriebene SCEP-Funktion aktiviert hat.

Hinweis SCEP-Signaturaktualisierungen, die in einer UNC-Dateifreigabe gespeichert sind, werden für das LRS-Update vom April 2015 nicht unterstützt.

Führen Sie die folgenden Schritte aus, um WSUS für die LRS-SCEP-Funktion festzulegen:

Hinweis Verweise auf „ForeFront Endpoint Protection 2010" (FEP) beziehen sich hier auf die LRS-SCEP-Funktion und können austauschbar betrachtet werden.

1. Fügen Sie in Windows Server 2008 R2 Rollen für WSUS und Webserver (IIS) im Server-Manager hinzu.

2. Öffnen Sie den Server-Manager.

3. Suchen Sie nach Rollen > Windows Server Update Services > Optionen .

4. Führen Sie den WSUS-Serverkonfigurationsassistenten aus und wählen Sie dann die hier aufgeführten Einstellungen aus:

   • Vom Microsoft Update Server synchronisieren

   • Verwenden Sie beim Synchronisieren einen Proxyserver. Legen Sie den entsprechenden Proxyservernamen und die Portnummer fest und beginnen Sie dann mit der Verbindung.

   • Sprache Englisch

   • Produkte: Klicken Sie, um alle zu löschen, und wählen Sie dann unter Forefront nur Forefront Endpoint Protection 2010 aus.

   • Klassifizierung: Wählen Sie Definitionsaktualisierungen und Aktualisierungen aus.

   • Synchronisierungszeitplan: Automatisch synchronisieren. Beginnen Sie dann mit der ersten Synchronisierung und beenden Sie sie.

5. Suchen Sie nach Rollen > Windows Server Update Services > Synchronisierungen . Überprüfen Sie anschließend, ob die Synchronisierung erfolgreich war.

6. Suchen Sie nach Rollen > Windows Server Update Services > Update Services > Update . Klicken Sie dann mit der rechten Maustaste auf „Aktualisieren" und dann auf „Neue Update-Ansicht" .

7. Wählen Sie Updates aus, die einer bestimmten Klassifizierung angehören. Klicken Sie dann auf „Alle löschen" und wählen Sie nur „Definitionsaktualisierungen" aus.

8. Wählen Sie das Update für ein bestimmtes Produkt aus. Wählen Sie „Beliebiges Produkt" aus, klicken Sie dann auf „Alle löschen" und wählen Sie unter „Forefront" nur „ForeFront Endpoint Protection 2010" aus.

9. Geben Sie einen Namen an, z. B. FEP. Unter Updates wird ein Knoten namens FEP erstellt.

10. Doppelklicken Sie auf den FEP- Knoten. Wählen Sie „Genehmigung" -> „Alle, voraussichtlich abgelehnter Status" -> „Alle" und aktualisieren Sie sie .

11. Alle verfügbaren FEP-Updates werden angezeigt. Wählen Sie alle Updates aus, klicken Sie mit der rechten Maustaste darauf und genehmigen Sie sie dann für alle Computer.

Zu diesem Zeitpunkt ist der WSUS-Server bereit, SCEP-Signaturaktualisierungen für das LRS-Gerät bereitzustellen.

Hinweis Stellen Sie sicher, dass der Server, auf dem IIS ausgeführt wird, auf dem Gerät installiert ist, auf dem WSUS installiert ist, und dass er von überall im Netzwerk verfügbar ist. IIS wird im Server-Manager angezeigt. Führen Sie dann http://Server über einen Browser auf einem beliebigen Gerät im Netzwerk aus. Oder stellen Sie sicher, dass C:\inetpub\wwwroot auf dem Server, auf dem IIS ausgeführt wird, über den Zugriff „Jeder Lesezugriff" verfügt. Dadurch wird sichergestellt, dass alle Geräte eine Verbindung zu dem Server herstellen können, auf dem IIS ausgeführt wird.

Wichtig: Wenn Sie WSUS einrichten, dürfen Sie nur FEP-Signaturaktualisierungen (SCEP) anwenden, nicht jedoch Windows-Updates. Windows-Updates werden derzeit über den Lync Room System-Updatemechanismus verwaltet und erfordern keine WSUS-Aktivierung. Das Herunterladen von Windows-Updates über WSUS kann zu unvorhersehbarem Verhalten auf LRS-Geräten führen. Der Systemadministrator sollte sicherstellen, dass LRS-Einheiten so isoliert werden, dass WSUS nur FEP-Signaturaktualisierungen (SCEP) anwendet. Sie können dies tun, indem Sie LRS-Geräte explizit in separaten Computergruppen im WSUS-Server hinzufügen und die Regel so festlegen, dass nur FEP-Signaturaktualisierungen (SCEP) übertragen werden, nicht jedoch Windows-Updates. Gehen Sie dazu folgendermaßen vor:

In Windows Server 2008 R2

1. Suchen Sie nach Rollen > Windows Server Update Services > Update Services > Computer > Alle Computer > Computergruppe hinzufügen... und geben Sie dann einen Namen für die neue Computergruppe an, z. B. LRSGroup.

2. Wählen Sie alle LRS-Geräte aus und klicken Sie dann mit der rechten Maustaste, um die Mitgliedschaft zu ändern und der LRSGroup beizutreten.

3. Suchen Sie Rollen > Windows Server Update Services > Update Services > Computer > Optionen > Automatische Genehmigungen und erstellen Sie dann eine Regel. Gehen Sie dazu folgendermaßen vor:

   1. Wählen Sie „Wenn ein Update in einem bestimmten Produkt ist" aus und bearbeiten Sie die Eigenschaft „Wenn ein Update in einem beliebigen Produkt ist" . Klicken Sie auf ein beliebiges Produkt . Klicken Sie dann auf „Alle löschen" und wählen Sie dann „Nur Forefront Endpoint Protection 2010" aus.

   2. Klicken Sie auf OK . Jetzt haben Sie Folgendes : Wenn ein Update in Forefront Endpoint Protection 2010 ist .

   3. Bearbeiten Sie die Eigenschaft „Update für alle Computer genehmigen" . Klicken Sie dann auf „Alle Computer löschen" und wählen Sie dann nur die Eigenschaft „Alle Computer" aus. Klicken Sie dann, um alle Computer zu löschen, und wählen Sie dann nur die erstellte LRSGroup aus.

   
   Hinweis Stellen Sie sicher, dass Windows Embedded 7 nicht ausgewählt ist, wenn Sie Produkte in WSUS auswählen. Andernfalls kommt es zu dem unerwünschten Effekt, dass Windows-Updates übertragen werden. LRS-Geräte sollten nur FEP-Signatur-Updates (SCEP) erhalten.

Führen Sie nach der Einrichtung des WSUS-Servers die folgenden Schritte aus:

1. Wechseln Sie in LRS in den Administratormodus.

2. Wählen Sie auf der Registerkarte „Webaktualisierungen" die Option „WSUS-Server" aus und geben Sie dann den Namen des WSUS/IIS-Servers an, in unserem Fall http://server (ersetzen Sie „server" durch den Namen, der in Ihrem privaten Netzwerk verwendet wird).

3. Klicken Sie auf „Übernehmen und neu starten" .

Das LRS-Gerät wird nun neu gestartet und wechselt dann in den Besprechungsmodus. SCEP-Signaturaktualisierungen werden vom WSUS-Server auf das LRS-Gerät übertragen. SCEP-Signaturen werden auf die neueste Version aktualisiert. Darüber hinaus erfolgt der tägliche Scan zu der vom Systemadministrator festgelegten Zeit.