Vi dykker dypere inn i Configuration Manager 2007 R3 med Forefront Endpoint Protection 2010 integrert. Best practise OS Deployment, driver håndtering og hva som er lurt å tenke på rundt Windows 7 deployment.

1. Nicolai Henriksen
Chief Infrastructure Architect
VELKOMMEN TIL TECHNET LIVE
SYSTEM CENTER OG FOREFRONT
Nicolai.Henriksen@EdbErgoGroup.no DEL1

2. Agenda
• Del 1
– Configuration Manager 2007 SP2 R3
– Forefront Endpoint Protection 2010
– OS Deployment Best Practise
• Del 2
– Windows Update Integrated in SCCM
– Custom Update Publisher
– Desired Configuration Management

3. System Center

4. 2009 2010 2011 2012
2007 vNext
R2
2008 vNext
R2
2007 2012
R3
2010 vNext
2010 2010
R2
Acquired vNext
2010 vNext
2009 & 2010 & 2011 &
R2 R2 R2
2010 vNext
v1

5. Mitt demomiljø
• HP 8540w, 8GB RAM, 256 SSD
– Windows 2008 R2
• Hyper-V
• Windows Update Services
• Windows Deployment Services
– SQL 2008 R2
• SQL Reporting Services
– Configuration Manager 2007 SP2 R3
• SCCM Dashboard
• Client Reporting
• SCCM Console Extensions
– MDT 2010 Update 1
– Custom Update Publisher
– ACT 5.6, MDOP 2011,
– Sharepoint 2007

6. Configuration Manager 2007 R3
• Hva er nytt i R3?
– Bli grønnnnnn
– Bedre Konfigurasjonsstyring
– Raskere Collection oppdatering
– Raskere AD Discovery
– Prestage
– 300.000

7. System Center Power Management
Monitor current power
state and consumptions
Plan and create a power
management policy, check
for exceptions
Apply power management
policy
Check compliance and
remediate non-compliance.
Report saving in power
consumption and costs and
environmental impact.

8. Machine and User Activity Report

10. Announcements
• SCCM 2007 SP1 - slutt på support.
• Windows Storage Server 2008 R2 is now supported
on Configuration Manger 2007 SP1 and SP2
• Microsoft SQL Server 2008 SP2 is now supported
on Configuration Manager 2007 SP1, SP2 and R2
• Configuration Manager 2007 R3 supports
Microsoft SQL Server 2008 R2, Microsoft SQL
Server 2008 SP2 and Microsoft SQL Server 2005
SP4
• Adobe Acrobat and Reader X SCUP Catalogs are
Here!

11. Gjør vi det riktig nå eller..
• Har du en effektiv deployment løsning i
dag? Og kan du håndtere alle klienter?
• Scenario: Hva om halvparten av maskinene
dine ble infiserte og ikke ville starte opp.
• Hvordan bygge Image?
– Lag Image på en Virtuell maskin, Hyper-V,
VMWare...

12. • Windows 7 32bit eller 64bit??
– Mange går for 64bit i utgangspunktet, men faller som
regel ned på 32bit som standard pga en eller to sentrale
eldre typer applikasjoner/drivere ikke fungerer. Og kjører
begge versjoner.
• Anbefaling: Gå for 64bit i utgangspunktet dersom
hardware/software tillater det. Med tiden vil det
uansett gå den veien.
• Office 2010 32bit eller 64bit??
– Kjør 32bit, fordi det er for mange komplikasjoner med
office tillegg og integrasjoner som ikke vil fungere på
64bit.
– Men kjører man en helt ren Office, uten noe 3 parts
produkter eller eldre versjoner, så Yes! 64bit.

13. • Har du SCCM client på alle maskiner? Fungerer de som de skal?
• Tykkt eller tynnt..?
– Tykkt Image med alle standard applikasjoner, kan være fornuftig i en masse
utrullings fase ved f.eks overgang til ny plattform for raskest deployment.
– Tynnt Image er det mest dynamiske, lett å endre på, legge
til/fjerne/oppdatere applikasjoner, men det går noe mer tid under selve
deploymenten.
• Anbefales i normal driftsfase.
• Driver struktur
– Bruk Hybrid driver model.
• Bruker data?
– Bruk USMT, integrert i SCCM.
• Profil håndtering !?
– Roaming eller Redirecting

14. • 300.000
• SCCM - Treg?
• Spekk server tilstrekkelig.
• OS : Disk1 min 50GB
• SCCM: Disk2 min 100GB
• Source Pakker: Disk3 ...GB (Kan være nettverkshare, NAS, etc..)
• Distribution share: Disk4 ...GB (OBS, må være Windows Server, NTFS)
• Minne: min 8GB
• Dersom virtuell: Reserver CPU, Minne.
• Disk IO mest kritisk!
• SQL på samme som SCCM dersom kraftig nok. Eller dedikert med nok båndbredde - Gbit, kraft.
• Sikkerhet!!!
– Enterprise Admins
– Domain Admins
– Men, må være admin på klienter.
– Bruk preferences.

15. Problems Client Push
• There are network connectivity problems.
• There are name resolution issues with, for example, Windows
Internet Name Service (WINS) or Domain Name System (DNS).
• The Remote Registry service is disabled on the client computer.
• The Microsoft Windows XP or Microsoft Windows Server 2003
firewall is blocking communications between the SMS Advanced
Client and the SMS site server.
• The Server service on the client is not started.
• File and Printer Sharing for Microsoft Networks is not installed on the
client computer.
• Corrupt WMI

16. Windows 7 deployment prosjekt
• Typisk planleggingsfase på en Mid size –
Enterprise størrelse kunde 5-6mnd.
• Kartlegging maskinvare, data
• - MAP/SCCM, ACT
• Aktivering – KMS, MAK i noen tilfeller.
• AD, GP, OU, maskinnavn, sikkerhet, profiler,
brukerdata, updates LAN/internett,
applikasjoner, 32/64bit, kryptering, Printere,
antivirus..

17. ForeFront EndPoint Protection 2010

18. Hvorfor Forefront Endpoint
Protection?
• Spare penger på lisenser
• Administrer antivirus i SCCM konsoll
• Scorer høyt på å beskytte mot malware.
• Mer effektiv delegering og kontroll av roller.
• Sentralisert rapportering
• Ny teknologi innen Netverks Inspeksjon System (NIS), som
vil hindre angrep på hver klient bassert på avansert
deteksjon av malware.
• Benytter Cload for å levere real-time signatur oppdateringer
til clienten dersom noe mistenkelig oppdages.
• Lett å rulle ut.
• Erstatter og fjerner Mcafee, Trend, Symantec..
• FEP løsninger dimensjoneres til 100.000 + klienter.
• Liten, 11MB disk, trekker lite resurser.

19. Secure Endpoint Solution
Protect endpoints from emerging threats and information loss, while enabling more
secure access from virtually anywhere
PROTECT everywhere INTEGRATE and SIMPLIFY security,
ACCESS anywhere EXTEND security MANAGE compliance
• Enables multi-layered • Uses existing System • Provides unified
anti-malware protection Center Configuration administration for
Manager infrastructure desktop management
• Protects critical data and protection
wherever it resides • Builds on and extends
Windows security • Increases visibility of
• Provides more secure potentially vulnerable
always-on access desktops

20. Antimalware Architecture
 Real-time on-access protection
 System scanning and cleaning
 Behavior Monitoring
 Reputation Services
 Dynamic Signature Service
 Rootkit Detection and Removal

21. Endpoint Protection Methods
SpyNet / MRS
New in FEP
Improved
Behavior and Kernel
Lo-Fi Generics 3
2 Monitoring
Dynamic Signature Service
Real-time Behavior
Before Malware Runs
After Malware Runs
Protection Monitoring Events
Generics / 1 4 Advanced
Heuristics Remediation
Scheduled / On Response Portal
Demand Scans

22. Finner den noe ..??