VELKOMMEN TIL TECHNET LIVE

SYSTEM CENTER OG FOREFRONT

DEL1

Nicolai Henriksen Chief Infrastructure Architect

Nicolai.Henriksen@EdbErgoGroup.no

Agenda

• Del 1

– Configuration Manager 2007 SP2 R3

– Forefront Endpoint Protection 2010

– OS Deployment Best Practise

• Del 2

– Windows Update Integrated in SCCM

– Custom Update Publisher

– Desired Configuration Management

System Center

2009 2010 2011 2012

2009 &

R2

2010 &

R2

2011 &

R2

2007

R3

2012

2008

R2

vNext

2007

R2 vNext

2010 2010

R2

Acquired vNext

2010 vNext

2010 vNext

2010 vNext

v1

Mitt demomiljø • HP 8540w, 8GB RAM, 256 SSD

– Windows 2008 R2 • Hyper-V

• Windows Update Services

• Windows Deployment Services

– SQL 2008 R2 • SQL Reporting Services

– Configuration Manager 2007 SP2 R3 • SCCM Dashboard

• Client Reporting

• SCCM Console Extensions

– MDT 2010 Update 1

– Custom Update Publisher

– ACT 5.6, MDOP 2011,

– Sharepoint 2007

Configuration Manager 2007 R3

• Hva er nytt i R3?

– Bli grønnnnnn

– Bedre Konfigurasjonsstyring

– Raskere Collection oppdatering

– Raskere AD Discovery

– Prestage

– 300.000

Monitor current power state and consumptions

Plan and create a power management policy, check for exceptions

Apply power management policy

Check compliance and remediate non-compliance.

Report saving in power consumption and costs and environmental impact.

System Center Power Management

Machine and User Activity Report

Announcements

• SCCM 2007 SP1 - slutt på support.

• Windows Storage Server 2008 R2 is now supported on Configuration Manger 2007 SP1 and SP2

• Microsoft SQL Server 2008 SP2 is now supported on Configuration Manager 2007 SP1, SP2 and R2

• Configuration Manager 2007 R3 supports Microsoft SQL Server 2008 R2, Microsoft SQL Server 2008 SP2 and Microsoft SQL Server 2005 SP4

• Adobe Acrobat and Reader X SCUP Catalogs are Here!

Gjør vi det riktig nå eller..

• Har du en effektiv deployment løsning i

dag? Og kan du håndtere alle klienter?

• Scenario: Hva om halvparten av maskinene

dine ble infiserte og ikke ville starte opp.

• Hvordan bygge Image?

– Lag Image på en Virtuell maskin, Hyper-V,

VMWare...

• Windows 7 32bit eller 64bit?? – Mange går for 64bit i utgangspunktet, men faller som

regel ned på 32bit som standard pga en eller to sentrale eldre typer applikasjoner/drivere ikke fungerer. Og kjører begge versjoner.

• Anbefaling: Gå for 64bit i utgangspunktet dersom hardware/software tillater det. Med tiden vil det uansett gå den veien.

• Office 2010 32bit eller 64bit?? – Kjør 32bit, fordi det er for mange komplikasjoner med

office tillegg og integrasjoner som ikke vil fungere på 64bit.

– Men kjører man en helt ren Office, uten noe 3 parts produkter eller eldre versjoner, så Yes! 64bit.

• Har du SCCM client på alle maskiner? Fungerer de som de skal?

• Tykkt eller tynnt..?

– Tykkt Image med alle standard applikasjoner, kan være fornuftig i en masse

utrullings fase ved f.eks overgang til ny plattform for raskest deployment.

– Tynnt Image er det mest dynamiske, lett å endre på, legge

til/fjerne/oppdatere applikasjoner, men det går noe mer tid under selve

deploymenten.

• Anbefales i normal driftsfase.

• Driver struktur

– Bruk Hybrid driver model.

• Bruker data?

– Bruk USMT, integrert i SCCM.

• Profil håndtering !?

– Roaming eller Redirecting

• 300.000

• SCCM - Treg?

• Spekk server tilstrekkelig.

• OS : Disk1 min 50GB

• SCCM: Disk2 min 100GB

• Source Pakker: Disk3 ...GB (Kan være nettverkshare, NAS, etc..)

• Distribution share: Disk4 ...GB (OBS, må være Windows Server, NTFS)

• Minne: min 8GB

• Dersom virtuell: Reserver CPU, Minne.

• Disk IO mest kritisk!

• SQL på samme som SCCM dersom kraftig nok. Eller dedikert med nok båndbredde - Gbit, kraft.

• Sikkerhet!!!

– Enterprise Admins

– Domain Admins

– Men, må være admin på klienter.

– Bruk preferences.

Problems Client Push • There are network connectivity problems.

• There are name resolution issues with, for example, Windows Internet Name Service (WINS) or Domain Name System (DNS).

• The Remote Registry service is disabled on the client computer.

• The Microsoft Windows XP or Microsoft Windows Server 2003 firewall is blocking communications between the SMS Advanced Client and the SMS site server.

• The Server service on the client is not started.

• File and Printer Sharing for Microsoft Networks is not installed on the client computer.

• Corrupt WMI

Windows 7 deployment prosjekt

• Typisk planleggingsfase på en Mid size – Enterprise størrelse kunde 5-6mnd.

• Kartlegging maskinvare, data • - MAP/SCCM, ACT

• Aktivering – KMS, MAK i noen tilfeller.

• AD, GP, OU, maskinnavn, sikkerhet, profiler, brukerdata, updates LAN/internett, applikasjoner, 32/64bit, kryptering, Printere, antivirus..

ForeFront EndPoint Protection 2010

Hvorfor Forefront Endpoint

Protection? • Spare penger på lisenser

• Administrer antivirus i SCCM konsoll

• Scorer høyt på å beskytte mot malware.

• Mer effektiv delegering og kontroll av roller.

• Sentralisert rapportering

• Ny teknologi innen Netverks Inspeksjon System (NIS), som

vil hindre angrep på hver klient bassert på avansert

deteksjon av malware.

• Benytter Cload for å levere real-time signatur oppdateringer

til clienten dersom noe mistenkelig oppdages.

• Lett å rulle ut.

• Erstatter og fjerner Mcafee, Trend, Symantec..

• FEP løsninger dimensjoneres til 100.000 + klienter.

• Liten, 11MB disk, trekker lite resurser.

PROTECT everywhere

ACCESS anywhere

SIMPLIFY security,

MANAGE compliance

Protect endpoints from emerging threats and information loss, while enabling more

secure access from virtually anywhere

INTEGRATE and

EXTEND security

Secure Endpoint Solution

• Provides unified

administration for

desktop management

and protection

• Increases visibility of

potentially vulnerable

desktops

• Uses existing System

Center Configuration

Manager infrastructure

• Builds on and extends

Windows security

• Enables multi-layered

anti-malware protection

• Protects critical data

wherever it resides

• Provides more secure

always-on access

Rootkit Detection and Removal

Dynamic Signature Service

Reputation Services

Behavior Monitoring

System scanning and cleaning

Real-time on-access protection

Antimalware Architecture

Endpoint Protection Methods

Real-time Protection

SpyNet / MRS

Bef

ore

Mal

war

e R

un

s After M

alware R

un

s

Scheduled / On Demand Scans

Generics / Heuristics

Lo-Fi Generics

Dynamic Signature Service

Improved

New in FEP

Behavior and Kernel Monitoring

Behavior Monitoring Events

Response Portal

Advanced Remediation

1

2 3

4

2

Finner den noe ..??