9 Replies Latest reply on Oct 4, 2016 5:25 AM by saimen

    Forefront Endpoint Protection 2010

    karesol Apprentice
      Hallo
      wir werden demnächst auf Windows 8 umstellen und machen bereits Tests mit den dann benötigten Paketen. Der Virenscanner wird dann von Microsofts "Forefront Endpoint Protection" abgelöst. Dazu haben wir für den SCCM-Server WSUS-seitig die Produkte bereits aktiviert.

      Jetzt müssten wir für die Clients ebenfalls das Produkt "Forefront Endpoint Protection 2010" aktivieren, da ich davon ausgehe, dass die Clients ihre Pattern vom Frontrange-Server holen. Ich finde den Punkt allerdings nicht in der Liste.
      Warum ist es beim Patchmanagement nicht möglich, dass man bei der Konfiguration das Produkt "Forefront Endpoint Protectíon 2010" wie beim WSUS-"Server" auszuwählen. Wird das nicht unterstützt.
      Wenn nicht, ist es möglich, dass man zweigleisig fährt? D.h. Einen Teil lässt man von FRS PM erledigen, den anderen von WSUS?

      Vielen Dank Vorab.
      Karl
        • 1. Re: Forefront Endpoint Protection 2010
          Klaus Salger Expert
          Hallo Karl,

          eine Integrationsmöglichkeit mit dem DSM Patch Management sehe ich nicht. Grundlage für das DSM PM ist das offline Catalog File und das enthält keine Definition Updates.

          Wenn ihr die Definition Updates per WSUS zieht, die Forefront-Policies per GPO verteilt und den Forefront-Client als DSM-Paket, dann sollte es mehr gar nicht brauchen. Der Forefront-Client wird sich ohne weiteres Zutun die Patterns vom WSUS holen - so steht's ja in der Forefront-Policy.
          Ich habe das in der Kombination noch nicht ausprobiert, sehe aber keinen Grund warum's nicht funktionieren sollte

          Ciao
            Klaus
          • 2. Re: Forefront Endpoint Protection 2010
            karesol Apprentice
            Hallo Klaus,
            vielen Dank für die aufklärenden Worte! Wenn FRS PM keine Definitionsupdates verteilen kann heißt das dann doch auch, dass es keine Zertifikatsupdates verteilen kann, oder täusche ich mich da?

            Deine Aussage, der Client mit Forefront EP holt sich seine Patterns vom WSUS muss ich noch ausprobieren. Bin mir aber nicht sicher, ob das funktioniert.
            Habe mal probiert einen Windows 8-Client mit WSUS zu versorgen und ihm die Einstellungen für das Updaten per WSUS mitgegeben. Dies funktionierte jedenfalls nicht, anscheinend blockiert da FRS PM?

            Viele Grüße
            • 3. Re: Forefront Endpoint Protection 2010
              Klaus Salger Expert
              Hallo Karl,

              schwerpunktmäßig geht es bei DSM PM bzw. dem zugrundeliegenden Catalog (WSUSScn2.cab) um Sicherheitspatches und Servicepacks. Es gibt zwar auch andere Updates, z.B. IE, Zeitzonenupdates, etc. aber da fehlt sehr viel. Die Zertifikatupdates sind meines Wissens nicht dabei.
              Die von MS nicht in Catalog mitgelieferten Updates können auch nicht ergänzt werden, WSUS liefert vom Umfang her deutlich mehr.

              Der Forefront-Client kann per GPO konfiguriert werden, wo er sich seine Patches holen soll. WSUS ist da nur eine Möglichkeit. Die macht in Deinem Fall aber vermutlich am meisten Sinn. Als Ergänzung speziell für Notebooks kann man die Definition Updates auch von MS direkt holen wenn der WSUS nicht verfügbar ist (z.B. weil Notebooks außerhalb des LANs unterwegs sind aber eine Internetverbindung haben).

              Dass das DSM PM das Standard MS Patchmanagement blockiert habe ich bisher nicht gesehen. Damit keine Autoupdates außerhalb von DSM macht man extra eine GPO die das unterbindet.

              Kannst ja mal Bescheid sagen, was bei Deinen Tests rauskommt.

              Ciao
                Klaus
              • 4. Re: Forefront Endpoint Protection 2010
                karesol Apprentice
                Das ging ja schnell! Danke, werde mal ausprobieren und berichten.

                Ciao, Karl
                • 5. Re: Forefront Endpoint Protection 2010
                  karesol Apprentice
                  Hatte das Thema ganz vergessen.
                  Der Virenschutz via ForeFront wurde aufgrund der hohen Kosten für Software und Infrastruktur eingestampft.
                  Sorry, den Beitrag hatte ich ganz vergessen.
                  VG
                  Karl
                  • 6. Re: Forefront Endpoint Protection 2010
                    saimen Specialist
                    Hallo
                    mich würde das Thema interessieren. Ich kenne den MS Antivirus zu wenig, weils auch nicht Bereich ist, aber wir müssten Antivirus wechseln und da würde der MS Forefront oder heißt der mittlerweile anders, in Frage kommen, da er bereits bezahlt ist wegen unseres Premiumvertrages. Kann man den mittlerweile mit DSM managen oder braucht es hierzu immer noch zusätzlich eine SCCM Infrastruktur? Vielleicht benutzt ihn ja jemand in diesem Forum und kann mich informieren
                    Danke
                    • 7. Re: Forefront Endpoint Protection 2010
                      karesol Apprentice
                      Hallo Saimen,
                      wir setzen in einem unkritischen Bereich auf den Windows 8 / 8.1 - Clients in pädagogischen Netzen von Schulen den Windows Defender ein.
                      Aktualisierung der Definitions- und Programmupdates machen wir einfach über ein Paketchen mit dem RunAsEx-Befehl:

                      c:\Program Files\Windows Defender\MpCmdRun.exe -SignatureUpdate

                      Das Paket läuft als täglicher Job und funktioniert prächtig.

                      Bei Forefront wäre halt noch die zentrale Übersicht über den Zustand der Clients gegeben. Ich denke aber, dass man das auch über Frontrange / Powershell nachbilden kann. Gemacht hab ich das aber nicht, da wie gesagt Defender in einer unkritischen Umgebung eingesetzt wird.

                      Hoffe mal, das hilft Dir weiter
                      • 8. Re: Forefront Endpoint Protection 2010
                        saimen Specialist
                        Hallo
                        gibt es eigentlch news zum thema forefront da bei uns immer wieder das thema auftaucht zum microsoft antivirus zu wechseln. Vielleicht hat sich ja mittlerweile was getan von seiten MS bzw Heat. Wir werden demnächst auf DSM 2016.2  updaten. Wir haben keinen WSUS server und kein sccm weshalb ich  mich frage ob es dann überhaupt möglich wäre
                        • 9. Re: Forefront Endpoint Protection 2010
                          saimen Specialist
                          Hat jemand eigentlich Erfahrung mit beiden Systemen DSM und SCCM auf den Clients gemacht. Wäre davon abzuraten und würde das keine Probleme machen?
                          Wir überlegen, SCCM nur fürs Antivirus zu verwenden, da die Lizenzen dafür bereits im Premium Vertrag beinhaltet sind und wir so keinen zusätzlichen Antivirusprogramme mehr bezahlen müssten. Für die Softwareverteilung wollen wir weiterhin DSM verwenden, weil es für unsere Umgebung ideal ist.