Onboarding pomocí nástroje Microsoft Configuration Manager

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tento článek funguje jako příklad metody onboardingu.

V článku Plánování bylo k dispozici několik metod onboardingu zařízení do služby. Tento článek se zabývá architekturou spolusprávy.

Diagram architektury prostředí

I když Defender for Endpoint podporuje onboarding různých koncových bodů a nástrojů, tento článek je nepopisuje. Informace o obecném onboardingu pomocí dalších podporovaných nástrojů a metod nasazení najdete v tématu Přehled onboardingu.

Tento článek vás provede následujícími postupy:

• Krok 1: Onboarding zařízení s Windows do služby
• Krok 2: Konfigurace funkcí Defenderu pro koncový bod

Tyto doprovodné materiály k onboardingu vás provedou následujícími základními kroky, které je potřeba provést při používání nástroje Microsoft Configuration Manager:

• Vytvoření kolekce v nástroji Microsoft Configuration Manager
• Konfigurace funkcí Microsoft Defenderu for Endpoint pomocí nástroje Microsoft Configuration Manager

Poznámka

V tomto ukázkovém nasazení jsou popsána pouze zařízení s Windows.

Krok 1: Onboarding zařízení s Windows pomocí nástroje Microsoft Configuration Manager

Vytvoření kolekce

Pokud chcete připojit zařízení s Windows pomocí nástroje Microsoft Configuration Manager, může nasazení cílit na existující kolekci nebo vytvořit novou kolekci pro účely testování.

Onboarding pomocí nástrojů, jako jsou zásady skupiny nebo ruční metoda, nenainstaluje do systému žádného agenta.

V nástroji Microsoft Configuration Manager bude proces onboardingu nakonfigurován jako součást nastavení dodržování předpisů v konzole nástroje .

Každý systém, který obdrží tuto požadovanou konfiguraci, bude tuto konfiguraci udržovat tak dlouho, dokud klient nástroje Configuration Manager bude tuto zásadu přijímat z bodu správy.

Postupujte podle následujících kroků a připojte koncové body pomocí nástroje Microsoft Configuration Manager.

1. V konzole Microsoft Configuration Manageru přejděte na Přehled prostředků a dodržování předpisů >> Kolekce zařízení.

   

2. Pravým tlačítkem vyberte Kolekce zařízení a vyberte Vytvořit kolekci zařízení.

   

3. Zadejte Název a Omezení kolekce a pak vyberte Další.

   

4. Vyberte Přidat pravidlo a zvolte Pravidlo dotazu.

   

5. V Průvodci přímým členstvím vyberte Další a pak vyberte Upravit příkaz dotazu.

   

6. Vyberte Kritéria a pak zvolte ikonu hvězdičky.

   

7. Ponechte typ kritéria jako jednoduchou hodnotu, zvolte zatímco operační systém – číslo sestavení, operátor jako je větší než nebo roven a hodnotu 14393 a vyberte ok.

   

8. Vyberte Další a Zavřít.

   

9. Vyberte Další.

   

Po dokončení této úlohy teď máte kolekci zařízení se všemi koncovými body Windows v prostředí.

Krok 2: Konfigurace funkcí Microsoft Defenderu for Endpoint

Tato část vás provede konfigurací následujících funkcí pomocí nástroje Microsoft Configuration Manager na zařízeních s Windows:

• Detekce a reakce koncového bodu
• Ochrana nové generace
• Omezení prostoru pro útok

Detekce a reakce koncového bodu

Windows 10 a Windows 11

Z portálu Microsoft Defender je možné stáhnout zásadu .onboarding , která se dá použít k vytvoření zásady v nástroji System Center Configuration Manager, a nasadit ji na zařízení s Windows 10 a Windows 11.

1. Na portálu Microsoft Defender vyberte Nastavení a pak Onboarding.

2. V části Metoda nasazení vyberte podporovanou verzi nástroje Microsoft Configuration Manager.

   

3. Vyberte Stáhnout balíček.

   

4. Uložte balíček do přístupného umístění.

5. V Microsoft Configuration Manageru přejděte na: Přehled > prostředků a dodržování předpisů > Zásady OCHRANY ATP v programu Endpoint Protection > v programu Microsoft Defender.

6. Klikněte pravým tlačítkem na Zásady ATP v programu Microsoft Defender a vyberte Vytvořit zásady ATP v programu Microsoft Defender.

   

7. Zadejte název a popis, ověřte, že je vybraná možnost Onboarding (Onboarding) a pak vyberte Další.

   

8. Vyberte Procházet.

9. Přejděte do umístění staženého souboru z kroku 4 výše.

10. Vyberte Další.

11. Nakonfigurujte agenta s příslušnými ukázkami (žádné nebo všechny typy souborů).

    

12. Vyberte příslušnou telemetrii (Normální nebo Zrychlená) a pak vyberte Další.

    

13. Ověřte konfiguraci a pak vyberte Další.

    

14. Po dokončení průvodce vyberte Zavřít .

15. V konzole Microsoft Configuration Manageru klikněte pravým tlačítkem na zásadu Defender for Endpoint, kterou jste vytvořili, a vyberte Nasadit.

    

16. Na pravém panelu vyberte dříve vytvořenou kolekci a vyberte OK.

    

Předchozí verze klienta Windows (Windows 7 a Windows 8.1)

Pomocí následujícího postupu identifikujte ID a klíč pracovního prostoru Defenderu for Endpoint, které se budou vyžadovat pro onboarding předchozích verzí Windows.

1. Na portálu Microsoft Defender vyberteOnboardingkoncových bodů>nastavení> (v části Správa zařízení).

2. V části Operační systém zvolte Windows 7 SP1 a 8.1.

3. Zkopírujte ID pracovního prostoru a klíč pracovního prostoru a uložte je. Použijí se později v procesu.

   

4. Nainstalujte agenta Microsoft Monitoring Agent (MMA).

   MMA je v současné době (od ledna 2019) podporován v následujících operačních systémech Windows:

   • Skladové položky serveru: Windows Server 2008 SP1 nebo novější
   • Skladové položky klienta: Windows 7 SP1 a novější

   Agenta MMA je potřeba nainstalovat na zařízeních s Windows. Aby mohly některé systémy nainstalovat agenta, musí si stáhnout aktualizaci pro prostředí zákazníků a diagnostickou telemetrii , aby mohly shromažďovat data pomocí MMA. Mezi tyto verze systému patří mimo jiné:

   • Windows 8.1
   • Windows 7
   • Windows Server 2016
   • Windows Server 2012 R2
   • Windows Server 2008 R2

   Konkrétně pro Windows 7 SP1 musí být nainstalovány následující opravy:

   • Instalace KB4074598
   • Nainstalujte rozhraní .NET Framework 4.5 (nebo novější) neboKB3154518. Neinstalujte obojí do stejného systému.

5. Pokud pro připojení k internetu používáte proxy server, přečtěte si část Konfigurace nastavení proxy serveru.

Po dokončení by se měly na portálu během hodiny zobrazit onboardované koncové body.

Ochrana nové generace

Antivirová ochrana v programu Microsoft Defender je integrované antimalwarové řešení, které poskytuje ochranu nové generace pro stolní počítače, přenosné počítače a servery.

1. V konzole Microsoft Configuration Manageru přejděte na Přehled > prostředků a dodržování předpisů > Antimalwarové zásady služby Endpoint Protection > a zvolte Vytvořit antimalwarové zásady.

   

2. Vyberte Naplánované kontroly, Nastavení kontroly, Výchozí akce, Ochrana v reálném čase, Nastavení vyloučení, Upřesnit, Přepsání hrozeb, Cloud Protection Service a Aktualizace bezpečnostních funkcí a zvolte OK.

   

   V některých odvětvích nebo u některých vybraných podnikových zákazníků můžou být specifické potřeby týkající se konfigurace antivirového programu.

   Rychlá kontrola versus úplná kontrola a vlastní kontrola

   Další informace najdete v tématu Architektura konfigurace zabezpečení Windows.

   

   

   

   

   

   

   

   

3. Klikněte pravým tlačítkem na nově vytvořenou antimalwarovou zásadu a vyberte Nasadit.

   

4. Zaměřte nové antimalwarové zásady na kolekci Windows a vyberte OK.

   

Po dokončení tohoto úkolu jste teď úspěšně nakonfigurovali Antivirovou ochranu v programu Microsoft Defender.

Omezení prostoru pro útok

Pilíř omezení potenciální oblasti útoku defenderu for Endpoint zahrnuje sadu funkcí, která je k dispozici v části Exploit Guard. Pravidla omezení potenciální oblasti útoku, řízený přístup ke složkům, ochrana sítě a ochrana exploitu.

Všechny tyto funkce poskytují testovací a blokový režim. V testovacím režimu to nemá žádný dopad na koncové uživatele. Jediné, co dělá, je shromáždit další telemetrii a zpřístupnit ji na portálu Microsoft Defender. Cílem nasazení je krok za krokem přesunout ovládací prvky zabezpečení do režimu blokování.

Nastavení pravidel omezení potenciální oblasti útoku v testovacím režimu:

1. V konzole Microsoft Configuration Manageru přejděte na Přehled > prostředků a dodržování předpisů > Endpoint Protection > Ochrana Exploit Guard v programu Windows Defender a zvolte Vytvořit zásady ochrany Exploit Guard.

   

2. Vyberte Možnost Omezení potenciální oblasti útoku.

3. Nastavte pravidla na Audit a vyberte Další.

   

4. Potvrďte nové zásady ochrany Exploit Guard výběrem možnosti Další.

   

5. Po vytvoření zásady vyberte Zavřít.

   

6. Klikněte pravým tlačítkem na nově vytvořenou zásadu a zvolte Nasadit.

   

7. Zaměřte zásadu na nově vytvořenou kolekci Windows a vyberte OK.

   

Po dokončení tohoto úkolu jste nyní úspěšně nakonfigurovali pravidla omezení potenciální oblasti útoku v testovacím režimu.

Níže najdete další kroky k ověření, jestli jsou pravidla omezení potenciální oblasti útoku správně použita na koncové body. (Může to trvat několik minut.)

1. Ve webovém prohlížeči přejděte na Microsoft Defender XDR.

2. V nabídce vlevo vyberte Správa konfigurace .

3. Na panelu Pro správu oblastí útoku vyberte Přejít na správu oblastí útoku .

   

4. V sestavách pravidel omezení potenciální oblasti útoku vyberte kartu Konfigurace . Zobrazuje přehled konfigurace pravidel omezení potenciální oblasti útoku a stav pravidel omezení potenciální oblasti útoku na každém zařízení.

   

5. Výběr jednotlivých zařízení zobrazí podrobnosti o konfiguraci pravidel omezení potenciální oblasti útoku.

   

Další podrobnosti najdete v tématu Optimalizace nasazení pravidla omezení potenciální oblasti útoku a jejich detekce .

Nastavení pravidel ochrany sítě v testovacím režimu

1. V konzole Microsoft Configuration Manageru přejděte na Přehled > prostředků a dodržování předpisů > Endpoint Protection > Ochrana Exploit Guard v programu Windows Defender a zvolte Vytvořit zásady ochrany Exploit Guard.

   

2. Vyberte Ochrana sítě.

3. Nastavte toto nastavení na Audit a vyberte Další.

   

4. Potvrďte nové zásady ochrany Exploit Guard tak, že vyberete Další.

   

5. Po vytvoření zásady vyberte Zavřít.

   

6. Klikněte pravým tlačítkem na nově vytvořenou zásadu a zvolte Nasadit.

   

7. Vyberte zásadu pro nově vytvořenou kolekci Windows a zvolte OK.

   

Po dokončení tohoto úkolu jste nyní úspěšně nakonfigurovali ochranu sítě v testovacím režimu.

Nastavení pravidel řízeného přístupu ke složkě v testovacím režimu

1. V konzole Microsoft Configuration Manageru přejděte naPřehled>prostředků a dodržování předpisů>Endpoint Protection> OchranaExploit Guard v programu Windows Defender a pak zvolte Vytvořit zásadu ochrany Exploit Guard.

   

2. Vyberte Řízený přístup ke složkům.

3. Nastavte konfiguraci na Audit a vyberte Další.

   

4. Potvrďte nové zásady ochrany Exploit Guard tak, že vyberete Další.

   

5. Po vytvoření zásady vyberte Zavřít.

   

6. Klikněte pravým tlačítkem na nově vytvořenou zásadu a zvolte Nasadit.

   

7. Zaměřte zásadu na nově vytvořenou kolekci Windows a vyberte OK.

Nyní jste úspěšně nakonfigurovali řízený přístup ke složkách v testovacím režimu.

Související článek

• Onboarding pomocí nástroje Microsoft Configuration Manager

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.