[Consejo] Configuraciones personalizadas de cliente ( Client Settings) y políticas Antimalware personalizadas (Antimalware Policies)
Introducción:
En SCCM 2012, tenemos la posibilidad de asignar diferentes configuraciones de cliente a dispositivos o usuarios. También podemos asignar diferentes Políticas Antimalware, la forma de asignar las prioridades es totalmente diferente entre las “Configuraciones de cliente” y las “Políticas Antimalware”, además nos encontramos con el hecho que la activación del cliente de Endpoint se activa mediante las “Políticas de cliente” lo que hace que todo junto pueda crear mucha confusión.
Por eso escribo este artículo, con el fin de aclarar todo un poco y dar unos consejos.
Iremos por partes, explicando las prioridades de las Configuraciones de cliente, luego las prioridades de Políticas Antimalware”, y por último un ejemplo de lo que pasaría y si lo juntamos todo.
Configuraciones de cliente:
Por defecto tenemos una política de cliente por defecto que se aplica a todos los dispositivos o usuarios. ¿Qué ocurre cuando queremos aplicar una política diferente a un cliente o grupo de clientes? Pues la forma natural de actuar es crear una configuración personalizada y distribuirla a una colección donde introduciremos los dispositivos a los que se debe aplicar. Hasta aquí todo es correcto.
¿Pero qué ocurre cuando un mismo equipo se le aplican dos políticas de configuración diferentes y estas están en conflicto?, pues que se aplicará la política que tenga menor prioridad.
Vamos a verlo con un ejemplo:
– Tenemos un equipo llamado “Prueba1”.
– Tenemos la configuración de cliente predeterminada (“Default client Settings”) configurada de la siguiente manera:
En el apartado “Remote Control” tenemos habilitado “Enable Remote Control on client Computers”.
– Tenemos una Configuración personalizada de cliente llamada “Deshabilitar el control Remoto” configurada de la siguiente manera:
En el apartado “Remote Control” tenemos Deshabilitado “Enable Remote Control on client Computers”
La política de cliente predeterminada se aplica a la colección “Todos los sistemas” (All systems)
Creamos una colección llamada “Colección Deshabilitar control remoto” y le aplicamos la política “Deshabilitar el control Remoto”. Metemos nuestro dispositivo “Prueba1” en esta colección.
¿Qué pasará en nuestro cliente cuando se ejecuten las configuraciones que hemos aplicado?, pues que se aplicará la política que tenga menor prioridad. Nuestro equipo al estar en la colección “Todos los sistemas” se le aplicara la política por defecto, y también al estar en la colección “Deshabilitar control remoto colección” se aplicará la política “Deshabilitar el control Remoto”, y con las configuraciones que hemos seguido, el equipo “Prueba1” tendrá el control remoto deshabilitado.
Si vamos en la consola de SCCM a “Administración”à”Introducción”à”Configuración de cliente” vemos que la “Configuración de cliente predeterminada” tiene Prioridad=10000
Ejemplo de varias configuraciones de cliente
Y la configuración que hemos creado a modo de ejemplo “Deshabilitar el control Remoto” si no tenemos más tendrá Prioridad=1.
Como ambas configuraciones entrar en conflicto cuando se aplican a nuestro equipo se aplica la de menor prioridad, es decir “Deshabilitar el control Remoto”.
Pero que ocurre con las políticas Antimalware (Antimalware Policies).
Políticas o directivas Antimalware:
Si tenemos montado en nuestro entorno Endpoint Protection, tenemos que tener en cuenta una serie de cuestiones.
El cliente se activa mediante las configuraciones del cliente.
Dentro de Endpoint Protection podemos configurar dos tipos de políticas con una pequeña diferencia:
– Políticas Antimalware: tenemos una política por defecto (Default client Malware Policy)
– Políticas Windows Firewall: no tenemos ninguna política por defecto creada.
Con las políticas antimalware cuando tenemos varias y una configuración entra en conflicto, al contrario que con las configuraciones del cliente, se aplica en caso de conflicto la política con mayor “Orden”.
La política “Default Client Malware Policy” tiene valor: “Order”=10.000 y no se puede modificar.
Vamos a verlo con un ejemplo:
Imaginemos que creamos dos políticas:
– AAA (Clientes) – Endpoint abierto: que tiene la opción en “Real-time protection”à“Allow users on client computers to configure real-time protection setting”= YES
– BBB (Clientes): que tiene la opción en “Real-time protection”à“Allow users on client computers to configure real-time protection setting”= NO
Y que estas dos políticas antimalware se aplican a una misma colección donde tenemos nuestro equipo “Prueba1” incluido, es decir se ejecutan las dos políticas:
Ejemplo de varias políticas Antimalware
En nuestro ejemplo al haber un conflicto la política que se aplica es:
BBB (Clientes): que tiene la opción en “Real-time protection”à“Allow users on client computers to configure real-time protection setting”= NO
Ya que el numero “Order”=6 es mayor que el de la política AAA (Clientes) – Endpoint abierto.
Como veis, esto puede ocasionar mucha confusión y lo vamos a complicar un poquito más.
Configuraciones de cliente y políticas Antimalware:
Ejemplo:
Tenemos nuestra máquina “Prueba1”
Tenemos la configuración de cliente predeterminada (“Default client Settings”) configurada de la siguiente manera:
– En la opción “Endpoint Protection”à”Manage Endpoint protectión on Client computers”=NO En la opción “Endpoint Protection”à”Install Endpoint protection on Client computers”=NO
Creamos una nueva configuración de cliente llamada “Endpoint Activo” y configuramos como sigue:
– En la opción “Endpoint Protection”à”Manage Endpoint protection on Client computers”=YES
– En la opción “Endpoint Protection”à”Install Endpoint protection on Client computers”=YES
El campo “Prioridad (Prioriy)” dentro de “Administración”à”Introducción”à”Configuración de cliente” está como sigue:
– “Configuración de cliente predeterminada”=10.000
– “Endpoint Activo”=1
Aplicamos la política de cliente “Endpoint Activo” a “Todos los sistemas”
Creamos dos políticas:
– AAA (Clientes) – Endpoint abierto: que tiene la opción en “Real-time protection”—“Allow users on client computers to configure real-time protection setting”= YES
– BBB (Clientes): que tiene la opción en “Real-time protection”—“Allow users on client computers to configure real-time protection setting”= NO
Así quedan las políticas dentro de las políticas antimalware:
AAA (Clientes) – Endpoint abierto: Order=1
BBB (Clientes): Order=2
Aplicamos las políticas Antimalware a “Todos los sistemas”
¿Cuando a nuestro equipo “Prueba1” se le apliquen todas las políticas que es lo que va a ocurrir?
Pues se aplicará la configuración cliente “Endpoint Activo” que tiene la Prioridad=1 que es menor que la de la política por defecto que es 10.000
Y se aplicará la política antimalware BBB (Clientes) con Orden=2 que es mayor que AAA (Clientes) – Endpoint abierto
Con lo que al final de todo tendremos nuestro equipo “Prueba1” con Endpoint activo y sin poder cambiar las opciones de configurar la protección en tiempo real.
Este ejemplo que acabo de poner es un ejemplo de lo que nunca se debe hacer, pero es una forma de ilustrar que sucede cuando entran en conflicto varias configuraciones y las diferencias de criterio entre las configuraciones de cliente y las políticas antimalware.
Conclusión:
Lo recomendable para no tener conflictos es utilizar colecciones y que a estas colecciones solo se le aplique una configuración de cliente o Antimalware única, con el fin de poder tenerlo todo lo más controlado posible. En entornos grandes, es inevitable que haya máquinas que puedan entrar en conflicto, pero con estas aclaraciones cuando tengamos este problema podremos averiguar rápidamente que está pasando.
Resumen:
Configuración de cliente: en caso de conflicto se aplican las configuraciones con menor prioridad.
Políticas Antimalware: en caso de conflicto se aplican las políticas con Mayor orden.
![[Documentación] Instalación del Rol Conector de Windows Intune en SCCM 2012](https://www.itpro.es/wp-content/themes/hueman/assets/front/img/thumb-medium-empty.png)
