Onboarde Windows-enheder ved hjælp af Configuration Manager
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Du kan bruge Configuration Manager til at føje slutpunkter til Microsoft Defender for Endpoint-tjenesten.
Der er flere muligheder, du kan bruge til at onboarde enheder ved hjælp af Configuration Manager:
Bemærk!
Defender for Endpoint understøtter ikke onboarding i OOBE-fasen (Out-Of-Box Experience). Sørg for, at brugerne fuldfører OOBE, når de har kørt Windows-installation eller -opgradering.
Du kan oprette en registreringsregel i et Configuration Manager program for løbende at kontrollere, om en enhed er blevet onboardet. Et program er en anden objekttype end en pakke og et program. Hvis en enhed endnu ikke er onboardet (på grund af afventende OOBE-fuldførelse eller andre årsager), Configuration Manager forsøger at onboarde enheden igen, indtil reglen registrerer statusændringen. Du kan få flere oplysninger under Konfigurer registreringsmetoder i System Center 2012 R2 Configuration Manager.
Forudsætninger
Systemrolle for slutpunktsbeskyttelsespunkt for websted. Denne rolle er påkrævet, så politikker til reduktion af antivirus- og angrebsoverfladen installeres korrekt på de målrettede slutpunkter. Uden denne rolle modtager slutpunkter i enhedssamlingen ikke de konfigurerede politikker til reduktion af antivirus- og angrebsoverfladen.
Konfigurer indstillinger for eksempelsamling
For hver enhed kan du angive en konfigurationsværdi for at angive, om der kan indsamles eksempler fra enheden, når der foretages en anmodning via Microsoft Defender portalen for at sende en fil til detaljeret analyse.
Bemærk!
Disse konfigurationsindstillinger udføres typisk via Configuration Manager.
Du kan angive en regel for overholdelse af regler og standarder for konfigurationselementet i Configuration Manager for at ændre indstillingen for eksempeldeling på en enhed.
Denne regel skal være en afhjælpning af konfigurationselementet for overholdelsesreglen, der angiver værdien af en registreringsdatabasenøgle på målrettede enheder for at sikre, at de overholder angivne standarder.
Konfigurationen angives via følgende post i registreringsdatabasenøglen:
Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1
Hvor Nøgletype er et D-WORD. De mulige værdier er:
- 0: Tillader ikke eksempeldeling fra denne enhed
- 1: Tillader deling af alle filtyper fra denne enhed
Standardværdien, hvis registreringsdatabasenøglen ikke findes, er 1.
Du kan få flere oplysninger om System Center Configuration Manager Overholdelse i Introduktion til indstillinger for overholdelse af angivne standarder i System Center 2012 R2 Configuration Manager.
Opret en samling
Hvis du vil onboarde Windows-enheder med Microsoft Configuration Manager, kan udrulningen være målrettet en eksisterende samling, eller der kan oprettes en ny samling til test.
Onboarding ved hjælp af værktøjer som f.eks. Gruppepolitik eller en manuel metode installerer ikke nogen agenter på systemet.
I Microsoft Configuration Manager-konsollen konfigureres onboardingprocessen som en del af indstillingerne for overholdelse af angivne standarder i konsollen.
Ethvert system, der modtager denne påkrævede konfiguration, bevarer denne konfiguration, så længe den Configuration Manager klient fortsætter med at modtage denne politik fra administrationspunktet.
Følg disse trin for at onboarde slutpunkter ved hjælp af Microsoft Configuration Manager:
I Microsoft Configuration Manager-konsollen skal du gå til Assets and Compliance > Overview Device > Collections.
Vælg og hold (eller højreklik) på Enhedssamling, og vælg Opret enhedsgruppe.
Angiv et navn og en begrænsende samling, og vælg derefter Næste.
Vælg Tilføj regel, og vælg Forespørgselsregel.
Vælg Næste i guiden Direkte medlemskab, og vælg derefter Rediger forespørgselssætning.
Vælg Kriterier , og vælg derefter stjerneikonet.
Bevar kriterietypen som enkel værdi, vælg , mens Operating System – buildnummer, operator, som er større end eller lig med og værdi 14393, og vælg OK.
Vælg Næste og Luk.
Vælg Næste.
Når du har fuldført denne opgave, har du en enhedsgruppe med alle Windows-slutpunkterne i miljøet.
Konfigurer næste generation af beskyttelse
De konfigurationsindstillinger, der er angivet i følgende tabel, anbefales:
Indstilling | Beskrivelse |
---|---|
Scanne | Scan flytbare lagerenheder, f.eks. USB-drev: Ja |
Beskyttelse i realtid | Aktivér adfærdsovervågning: Ja Aktivér beskyttelse mod potentielt uønskede programmer ved download og før installation: Ja |
Cloud Protection Service | Medlemskabstype for Cloud Protection Service: Avanceret medlemskab |
Reduktion af angrebsoverfladen | Konfigurer alle tilgængelige regler til Overvågning. Blokering af disse aktiviteter kan afbryde legitime forretningsprocesser. Den bedste fremgangsmåde er at indstille alt til overvågning, identificere, hvilke der er sikre at aktivere, og derefter aktivere disse indstillinger på slutpunkter, der ikke har falske positive registreringer. |
Hvis du vil installere Microsoft Defender politikker til reduktion af antivirus- og angrebsoverfladen via Microsoft Configuration Manager (SCCM), skal du følge trinnene:
- Aktivér Endpoint Protection, og konfigurer brugerdefinerede klientindstillinger.
- Installér Endpoint Protection-klienten fra en kommandoprompt.
- Kontrollér installationen af Endpoint Protection-klienten.
Aktivér Endpoint Protection, og konfigurer brugerdefinerede klientindstillinger
Følg trinnene for at aktivere beskyttelse af slutpunkter og konfiguration af brugerdefinerede klientindstillinger:
Klik på Administration i Configuration Manager-konsollen.
Klik på Klientindstillinger i arbejdsområdet Administration.
Klik på Opret brugerdefinerede klientenhedsindstillinger i gruppen Opret under fanen Hjem.
Angiv et navn og en beskrivelse til gruppen af indstillinger i dialogboksen Opret brugerdefinerede klientenhedsindstillinger , og vælg derefter Endpoint Protection.
Konfigurer de klientindstillinger for Endpoint Protection, du har brug for. Du kan finde en komplet liste over klientindstillinger for Endpoint Protection, som du kan konfigurere, i afsnittet Endpoint Protection i Om klientindstillinger.
Vigtigt!
Installér webstedsrollen Endpoint Protection, før du konfigurerer klientindstillingerne for Endpoint Protection.
Klik på OK for at lukke dialogboksen Opret brugerdefinerede klientenhedsindstillinger . De nye klientindstillinger vises i noden Klientindstillinger i arbejdsområdet Administration .
Udrul derefter de brugerdefinerede klientindstillinger til en samling. Vælg de brugerdefinerede klientindstillinger, du vil installere. Klik på Installer i gruppen Klientindstillinger under fanen Hjem.
I dialogboksen Vælg samling skal du vælge den samling, du vil installere klientindstillingerne i, og derefter klikke på OK. Den nye installation vises under fanen Installationer i detaljeruden.
Klienter konfigureres med disse indstillinger, når de næste downloader klientpolitikken. Du kan finde flere oplysninger under Start politikhentning for en Configuration Manager klient.
Bemærk!
For Windows Server 2012 R2 og Windows Server 2016 administreret af Configuration Manager 2207 og nyere versioner, onboardet ved hjælp af indstillingen Microsoft Defender for Endpoint (MDE) Client (anbefales). Du kan også bruge ældre versioner af Configuration Manager til at udføre en overførsel. Du kan få flere oplysninger under Overførsel af servere fra Microsoft Monitoring Agent til den samlede løsning.
Installér Endpoint Protection-klienten ved hjælp af en kommandoprompt
Følg trinnene for at fuldføre installationen af klienten til slutpunktsbeskyttelse fra kommandoprompten.
Kopiér scepinstall.exe fra mappen Klient i installationsmappen Configuration Manager til den computer, hvor du vil installere klientsoftwaren Endpoint Protection.
Åbn kommandoprompt som administrator. Skift mappe til mappen med installationsprogrammet. Kør
scepinstall.exe
derefter , og tilføj evt. ekstra kommandolinjeegenskaber, som du har brug for:Egenskab Beskrivelse /s
Kør installationsprogrammet uovervåget /q
Udpak installationsfilerne uovervåget /i
Kør installationsprogrammet normalt /policy
Angiv en politikfil til antimalware for at konfigurere klienten under installationen /sqmoptin
Tilmeld dig Microsofts program til forbedring af kundeoplevelsen (CEIP) Følg vejledningen på skærmen for at fuldføre klientinstallationen.
Hvis du har hentet den seneste opdateringspakke, skal du kopiere pakken til klientcomputeren og derefter dobbeltklikke på definitionspakken for at installere den.
Bemærk!
Når installationen af Endpoint Protection-klienten er fuldført, udfører klienten automatisk en kontrol af definitionsopdateringen. Hvis denne opdateringskontrol lykkes, behøver du ikke at installere den nyeste opdateringspakke til definitioner manuelt.
Eksempel: Installér klienten med en antimalwarepolitik
scepinstall.exe /policy <full path>\<policy file>
Kontrollér installationen af Endpoint Protection-klienten
Når du har installeret Endpoint Protection-klienten på referencecomputeren, skal du kontrollere, at klienten fungerer korrekt.
Åbn System Center Endpoint Protection fra Windows-meddelelsesområdet på referencecomputeren.
På fanen Hjem i dialogboksen System Center Endpoint Protection skal du kontrollere, at beskyttelse i realtid er slået til.
Kontrollér, at opdateret vises for definitioner af virus og spyware.
Hvis du vil sikre dig, at referencecomputeren er klar til afbildning, skal du under Scanningsindstillinger vælge Fuld og derefter klikke på Scan nu.
Konfigurer netværksbeskyttelse
Før du aktiverer netværksbeskyttelse i overvågnings- eller bloktilstand, skal du sørge for, at du har installeret opdateringen af antimalwareplatformen, som kan hentes fra supportsiden.
Konfigurer kontrolleret mappeadgang
Aktivér funktionen i overvågningstilstand i mindst 30 dage. Efter denne periode skal du gennemse registreringer og oprette en liste over programmer, der har tilladelse til at skrive til beskyttede mapper.
Du kan finde flere oplysninger under Evaluer kontrolleret mappeadgang.
Kør en registreringstest for at bekræfte onboarding
Når du har onboardet enheden, kan du vælge at køre en registreringstest for at bekræfte, at en enhed er onboardet korrekt til tjenesten. Du kan finde flere oplysninger under Kør en registreringstest på en nyligt onboardet Microsoft Defender for Endpoint enhed.
Offboard-enheder, der bruger Configuration Manager
Af sikkerhedsmæssige årsager udløber den pakke, der bruges til Offboard-enheder, 7 dage efter den dato, hvor den blev downloadet. Udløbne offboarding-pakker, der sendes til en enhed, afvises. Når du downloader en offboarding-pakke, får du besked om pakkernes udløbsdato, og den medtages også i pakkenavnet.
Bemærk!
Onboarding- og offboarding-politikker må ikke installeres på den samme enhed på samme tid, ellers vil det medføre uforudsigelige kollisioner.
Enheder uden for om bord, der bruger Microsoft Configuration Manager aktuelle forgrening
Hvis du bruger Microsoft Configuration Manager aktuelle forgrening, skal du se Opret en konfigurationsfil til offboarding.
Offboard-enheder, der bruger System Center 2012 R2 Configuration Manager
Hent offboarding-pakken fra Microsoft Defender portal:
- Vælg Indstillinger>Endpoints>Offboardingfor enhedshåndtering> i navigationsruden.
- Vælg Windows 10 eller Windows 11 som operativsystem.
- I feltet Installationsmetode skal du vælge System Center Configuration Manager 2012/2012 R2/1511/1602.
- Vælg Download pakke, og gem filen .zip.
Udpak indholdet af .zip-filen på en delt, skrivebeskyttet placering, som netværksadministratorerne kan få adgang til, og som skal installere pakken. Du skal have en fil med navnet WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.
Installér pakken ved at følge trinnene i artiklen Pakker og programmer i System Center 2012 R2 Configuration Manager.
Vælg en foruddefineret enhedsgruppe, som pakken skal installeres på.
Vigtigt!
Offboarding medfører, at enheden stopper med at sende sensordata til portalen, men data fra enheden, herunder reference til eventuelle beskeder, den har haft, bevares i op til seks måneder.
Overvåg enhedskonfiguration
Hvis du bruger Microsoft Configuration Manager aktuelle forgrening, skal du bruge det indbyggede Defender for Endpoint-dashboard i Configuration Manager-konsollen. Du kan finde flere oplysninger under Defender for Endpoint – Monitor.
Hvis du bruger System Center 2012 R2 Configuration Manager, består overvågningen af to dele:
Bekræftelse af konfigurationspakken er installeret korrekt og kører (eller kører) på enhederne i netværket.
Kontrollerer, at enhederne overholder Defender for Endpoint-tjenesten (dette sikrer, at enheden kan fuldføre onboardingprocessen og kan fortsætte med at rapportere data til tjenesten).
Bekræft, at konfigurationspakken er installeret korrekt
Klik på Overvågning nederst i navigationsruden i Configuration Manager konsol.
Vælg Oversigt og derefter Udrulninger.
Vælg udrulningen med pakkenavnet.
Gennemse statusindikatorerne under Statistik for fuldførelse og indholdsstatus.
Hvis der er mislykkede installationer (enheder med statuserne Error, Requirements Not Met eller Failed), skal du muligvis foretage fejlfinding af enhederne. Du kan finde flere oplysninger under Fejlfinding af Microsoft Defender for Endpoint problemer med onboarding.
Kontrollér, at enhederne overholder Microsoft Defender for Endpoint-tjenesten
Du kan angive en regel for overholdelse af regler og standarder for konfigurationselementet i System Center 2012 R2-Configuration Manager for at overvåge udrulningen.
Denne regel skal være et konfigurationselement til en ikke-afhjælpningsregel , der overvåger værdien af en registreringsdatabasenøgle på målrettede enheder.
Overvåg følgende post i registreringsdatabasenøglen:
Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"
Du kan få flere oplysninger under Introduktion til indstillinger for overholdelse af angivne standarder i System Center 2012 R2 Configuration Manager.
Relaterede artikler
- Indbyggede servere til Microsoft Defender for Endpoint
- Om bord på Windows- og Mac-klientenheder for at Microsoft Defender for Endpoint
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.