Jaa

Windows-laitteet, joissa on Configuration Manager

  • Artikkeli

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Voit käyttää Configuration Manager Microsoft Defender for Endpoint -palvelun päätepisteisiin.

Voit käyttää taululaitteissa useita eri vaihtoehtoja Configuration Manager avulla:

Huomautus

Defender for Endpoint ei tue perehdytystä OOBE (Out of-Box Experience) - vaiheen aikana. Varmista, että käyttäjät viimeistelevät OOBE:n Windows-asennuksen tai päivityksen jälkeen.

Voit luoda tunnistussäännön Configuration Manager sovellukseen ja tarkistaa jatkuvasti, onko laite otettu käyttöön. Sovellus on erityyppinen objekti kuin paketti ja ohjelma. Jos laitetta ei ole vielä otettu käyttöön (OOBE:n odottavan valmistumisen tai muun syyn vuoksi), Configuration Manager yrittää ottaa laitteen uudelleen käyttöön, kunnes sääntö havaitsee tilan muutoksen. Lisätietoja on kohdassa Tunnistusmenetelmien määrittäminen System Center 2012 R2 Configuration Manager.

Ennakkovaatimukset

Määritä mallikokoelman asetukset

Voit määrittää kullekin laitteelle määritysarvon, joka ilmaisee, voidaanko laitteesta kerätä näytteitä, kun Microsoft Defender portaalissa pyydetään lähettämään tiedosto syväanalyysia varten.

Huomautus

Nämä määritysasetukset tehdään yleensä Configuration Manager kautta.

Voit määrittää määrityskohteen yhteensopivuussäännön Configuration Manager muuttaaksesi laitteen jakomalliasetusta.

Tämän säännön on oltava korjaava yhteensopivuussäännön määrityskohde, joka määrittää rekisteriavaimen arvon kohdennetuissa laitteissa sen varmistamiseksi, että ne ovat yhteensopivia.

Määritys määritetään seuraavan rekisteriavainmerkinnän kautta:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Jossa Avaintyyppi on D-WORD. Mahdollisia arvoja ovat:

  • 0: Ei salli mallien jakamista tästä laitteesta
  • 1: Mahdollistaa kaikkien tiedostotyyppien jakamisen tästä laitteesta

Oletusarvo, jos rekisteriavainta ei ole, on 1.

Lisätietoja System Center Configuration Manager Compliancesta on artikkelissa System Center 2012 R2:n yhteensopivuusasetusten esittely Configuration Manager.

Luo kokoelma

Windows-laitteisiin, joissa on Microsoft Configuration Manager, käyttöönotto voi kohdistua olemassa olevaan kokoelmaan tai uusi kokoelma voidaan luoda testausta varten.

Käyttöönotto ryhmäkäytäntö tai manuaalisen menetelmän kaltaisten työkalujen avulla ei asenna järjestelmään agentteja.

Microsoft Configuration Manager konsolissa käyttöönottoprosessi määritetään osana konsolin yhteensopivuusasetuksia.

Järjestelmä, joka vastaanottaa tämän vaaditun määrityksen, ylläpitää kyseistä määritystä niin kauan kuin Configuration Manager asiakas saa tämän käytännön hallintapisteestä.

Voit lisätä päätepisteet Microsoft Configuration Manager avulla seuraavasti:

  1. Siirry Microsoft Configuration Manager konsolissa kohtaan Assets and Compliance > Overview > Device Collections.

    Näyttökuva ohjatun toiminnon Microsoft Configuration Manager 1.

  2. Valitse laitekokoelma ja pidä se painettuna (tai napsauta hiiren kakkospainiketta) ja valitse Luo laitekokoelma.

    Näyttökuva ohjatusta Microsoft Configuration Manager 2.

  3. Anna Nimi ja Rajoita kokoelmaa ja valitse sitten Seuraava.

    Näyttökuva ohjatusta Microsoft Configuration Manager 3.

  4. Valitse Lisää sääntö ja valitse Kyselysääntö.

    Näyttökuva ohjatusta Microsoft Configuration Manager 4.

  5. Valitse seuraavaohjatusta suorasta jäsenyyden luomistoiminnosta ja valitse sitten Muokkaa kyselylauseketta.

    Näyttökuva ohjatusta Microsoft Configuration Manager 5.

  6. Valitse Ehdot ja valitse sitten tähtikuvake.

    Näyttökuva ohjatusta Microsoft Configuration Manager 6.

  7. Säilytä ehtotyyppi yksinkertaisena arvona, valitse käyttöjärjestelmä - koontiversion numero, operaattori sellaisena kuin on suurempi tai yhtä suuri kuin ja arvo 14393, ja valitse OK.

    Näyttökuva ohjatusta Microsoft Configuration Manager 7.

  8. Valitse Seuraava ja Sulje.

    Näyttökuva ohjatusta Microsoft Configuration Manager 8.

  9. Valitse Seuraava.

    Näyttökuva ohjatusta Microsoft Configuration Manager 9.

Kun tämä tehtävä on suoritettu, sinulla on laitekokoelma, joka sisältää kaikki ympäristön Windowsin päätepisteet.

Määritä seuraavan sukupolven suojaus

Seuraavassa taulukossa lueteltuja määritysasetuksia suositellaan:

Asetus Kuvaus
Skannata Skannaa siirrettävät tallennuslaitteet, kuten USB-asemat: Kyllä
Reaaliaikainen suojaus Ota käyttöön toiminnan valvonta: Kyllä

Ota suojaus käyttöön mahdollisesti ei-toivotuilta sovelluksilta ladattavissa ja ennen asennusta: Kyllä
Pilvisuojauspalvelu Pilvisuojauspalvelun jäsenyystyyppi: Edistynyt jäsenyys
Hyökkäyspinta-alan rajoittaminen Määritä kaikki valvottavissa olevat säännöt.

Näiden toimintojen estäminen voi keskeyttää lailliset liiketoimintaprosessit. Paras tapa on määrittää kaikki valvottavaksi, selvittää, mitkä niistä on turvallista ottaa käyttöön, ja ottaa sitten nämä asetukset käyttöön päätepisteissä, joissa ei ole vääriä positiivisia tunnistuksia.

Voit ottaa Microsoft Defender virustentorjunta- ja hyökkäysalueen vähentämiskäytännöt käyttöön Microsoft Configuration Manager (SCCM) avulla seuraavasti:

  • Ota käyttöön Endpoint Protection ja määritä mukautetut asiakasasetukset.
  • Asenna Endpoint Protection -asiakasohjelma komentokehotteesta.
  • Tarkista Endpoint Protection -asiakasohjelman asennus.

Ota käyttöön Endpoint Protection ja määritä mukautetut asiakasasetukset

Ota käyttöön mukautettujen asiakasasetusten päätepisteiden suojaus ja määritys noudattamalla ohjeita:

  1. Valitse Configuration Manager konsolissa Hallinta.

  2. Valitse Hallinta-työtilassaAsiakasasetukset.

  3. Valitse Aloitus-välilehdenLuo-ryhmästäLuo mukautetun asiakaslaitteen asetukset.

  4. Anna Luo mukautettu asiakaslaiteasetukset -valintaikkunassa nimi ja kuvaus asetusryhmälle ja valitse sitten Endpoint Protection.

  5. Määritä tarvitsemasi Endpoint Protection -asiakasohjelman asetukset. Täydellinen luettelo päätepistesuojauksen asiakasasetuksista, jotka voit määrittää, on Kohdassa Päätepisteen suojaus kohdasta Tietoja asiakasasetuksista.

    Tärkeää

    Asenna Endpoint Protection -sivustojärjestelmän rooli, ennen kuin määrität Endpoint Protectionin asiakasasetukset.

  6. Sulje Luo mukautetun asiakkaan laitteen asetukset -valintaikkuna valitsemalla OK. Uudet asiakasasetukset näkyvät hallintatyötilanAsiakasasetukset-solmussa.

  7. Ota sitten mukautetut asiakasasetukset käyttöön kokoelmassa. Valitse mukautetut asiakasasetukset, jotka haluat ottaa käyttöön. Valitse Aloitus-välilehdenAsiakasasetukset-ryhmästäOta käyttöön.

  8. Valitse Valitse kokoelma -valintaikkunassa kokoelma, jossa haluat ottaa käyttöön asiakasasetukset, ja valitse sitten OK. Uusi käyttöönotto näkyy tietoruudun Käyttöönotot-välilehdessä .

Asiakkaille määritetään nämä asetukset, kun he seuraavan lataavat asiakaskäytäntöä. Lisätietoja on ohjeaiheessa Configuration Manager asiakkaan käytännön noutamisen aloittaminen.

Huomautus

Windows Server 2012 R2:ssa ja Windows Server 2016:ssa, joita hallinnoivat Configuration Manager 2207 ja uudemmat versiot, laivaan käyttäen Microsoft Defender for Endpoint (MDE) Client (suositus) -asetusta. Vaihtoehtoisesti voit käyttää Configuration Manager vanhempia versioita siirron suorittamiseen. Lisätietoja on artikkelissa Palvelinten siirtäminen Microsoftin valvonta-agentista yhtenäiseen ratkaisuun.

Asenna Endpoint Protection -asiakasohjelma komentokehotteen avulla

Viimeistele päätepisteen suojausasiakkaan asennus komentokehotteesta noudattamalla ohjeita.

  1. Kopioi scepinstall.exe Configuration Manager asennuskansion Asiakas-kansiosta tietokoneeseen, johon haluat asentaa Endpoint Protection -asiakasohjelmiston.

  2. Avaa komentokehote järjestelmänvalvojana. Vaihda kansio kansioon asennusohjelman avulla. Suorita scepinstall.exesitten , lisäämällä kaikki tarvitsemasi ylimääräiset komentoriviominaisuudet:

    Ominaisuus Kuvaus
    /s Suorita asennusohjelma taustalla
    /q Pure asennustiedostot taustalla
    /i Suorita asennusohjelma normaalisti
    /policy Määritä haittaohjelmien torjuntakäytäntötiedosto, jolla asiakas määritetään asennuksen aikana
    /sqmoptin Microsoftin käyttömukavuuden kehitysohjelman (CEIP) suostuminen

  3. Viimeistele asiakasasennus noudattamalla näytön ohjeita.

  4. Jos latasit viimeisimmän päivityksen määrityspaketin, kopioi paketti asiakastietokoneeseen ja asenna se kaksoisnapsauttamalla sitä.

    Huomautus

    Kun Endpoint Protection -asiakasohjelman asennus on valmis, asiakas suorittaa automaattisesti määrityksen päivitystarkistuksen. Jos tämä päivitystarkistus onnistuu, uusinta määrityksen päivityspakettia ei tarvitse asentaa manuaalisesti.

Esimerkki: asenna asiakasohjelma haittaohjelmien torjuntakäytännön avulla

scepinstall.exe /policy <full path>\<policy file>

Tarkista Endpoint Protection -asiakasohjelman asennus

Kun olet asentanut Endpoint Protection -asiakasohjelman viitetietokoneeseesi, varmista, että asiakas toimii oikein.

  1. Avaa viitetietokoneessa System Center Endpoint Protection Windowsin ilmoitusalueelta.

  2. Varmista System Center Endpoint Protection-valintaikkunanAloitus-välilehdessä, että Reaaliaikainen suojaus -asetuksena on Käytössä.

  3. Varmista, että virus- ja vakoiluohjelmamääritykset näkyvät ajan tasalla.

  4. Jos haluat varmistaa, että viitetietokone on valmis kuvanmuodostuksia varten , valitse Skannausasetukset-kohdastaTäysi ja valitse sitten Skannaa nyt.

Verkon suojauksen määrittäminen

Ennen kuin otat verkon suojauksen käyttöön valvonta- tai estotilassa, varmista, että olet asentanut haittaohjelmien torjuntaympäristön päivityksen, joka on saatavissa tukisivulta.

Hallitsemien kansioiden käytön määrittäminen

Ota ominaisuus käyttöön valvontatilassa vähintään 30 päivän ajan. Tämän ajanjakson jälkeen voit tarkastella tunnistuksia ja luoda luettelon sovelluksista, joilla on oikeus kirjoittaa suojattuihin hakemistoihin.

Lisätietoja on artikkelissa Hallitse kansion käytön arvioiminen.

Vahvista perehdytys suorittamalla tunnistustesti

Kun laite on otettu käyttöön, voit suorittaa tunnistustestin varmistaaksesi, että laite on otettu oikein käyttöön palvelussa. Lisätietoja on artikkelissa Tunnistustestin suorittaminen äskettäin käyttöön tulleessa Microsoft Defender for Endpoint laitteessa.

Taulun ulkopuoliset laitteet, joissa on Configuration Manager

Tietoturvasyistä Offboard-laitteisiin käytettävä paketti vanhenee 7 päivää lataamispäivämäärän jälkeen. Laitteeseen lähetetyt vanhentuneet käytöstä poistetut paketit hylätään. Kun lataat perehdytyspaketin, saat ilmoituksen pakettien vanhentumispäivästä, ja se sisällytetään myös paketin nimeen.

Huomautus

Perehdyttämis- ja käyttöönottokäytäntöjä ei saa ottaa käyttöön samassa laitteessa samanaikaisesti, muuten tämä aiheuttaa arvaamattomia törmäyksiä.

Offboard-laitteet, jotka käyttävät Microsoft Configuration Manager nykyistä haaraa

Jos käytät Microsoft Configuration Manager nykyistä haaraa, katso Luonnostelun määritystiedoston luominen.

System Center 2012 R2 -Configuration Manager käyttävät offline-laitteet

  1. Perehdytyspaketti Microsoft Defender portaalista:

    1. Valitse siirtymisruudussa Asetukset>Päätepisteet>Laitteiden hallinta>Käytöstä poistaminen.
    2. Valitse käyttöjärjestelmäksi Windows 10 tai Windows 11.
    3. Valitse Käyttöönottomenetelmä-kentässäSystem Center Configuration Manager 2012/2012 R2/1511/1602.
    4. Valitse Lataa paketti ja tallenna .zip tiedosto.

  2. Pura .zip-tiedoston sisältö jaettuun vain luku -sijaintiin, jota paketin käyttöön ottavat verkonvalvojat voivat käyttää. Sinulla pitäisi olla tiedosto nimeltä WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Ota paketti käyttöön noudattamalla System Center 2012 R2:n paketit ja ohjelmat -Configuration Manager artikkelin ohjeita.

    Valitse valmiiksi määritetty laitekokoelma, jossa paketti otetaan käyttöön.

Tärkeää

Käytöstä poistaminen aiheuttaa sen, että laite lopettaa tunnistintietojen lähettämisen portaaliin, mutta tiedot laitteesta, mukaan lukien viittaukset sen sisältämään hälytykseen, säilytetään enintään 6 kuukauden ajan.

Laitteen kokoonpanon valvonta

Jos käytät Microsoft Configuration Manager nykyistä haaraa, käytä Configuration Manager konsolin sisäistä Defender for Endpoint -koontinäyttöä. Lisätietoja on kohdassa Defender for Endpoint – Monitor.

Jos käytössäsi on System Center 2012 R2 Configuration Manager, valvonta koostuu kahdesta osasta:

  1. Varmista, että määrityspaketti on otettu käyttöön oikein ja että se on käynnissä (tai se on suoritettu onnistuneesti) verkon laitteissa.

  2. Tarkistetaan, että laitteet ovat yhteensopivia Defender for Endpoint -palvelun kanssa (tämä varmistaa, että laite voi suorittaa perehdytysprosessin loppuun ja että se voi edelleen raportoida tiedot palveluun).

Varmista, että kokoonpanopaketti on otettu käyttöön oikein

  1. Valitse Configuration Manager konsolissa Valvonta siirtymisruudun alareunasta.

  2. Valitse Yleiskatsaus ja sitten Käyttöönotot.

  3. Valitse käyttöönotto paketin nimellä.

  4. Tarkista tilailmaisimet kohdasta Valmistumistilastot ja Sisällön tila.

    Jos käyttöönotot epäonnistuvat (laitteet, joissa on virhetila, vaatimukset eivät täyty tai joiden tilat ovat epäonnistuneet), sinun on ehkä tehtävä laitteiden vianmääritys. Lisätietoja on artikkelissa Microsoft Defender for Endpoint käyttöönotto-ongelmien vianmääritys.

    Onnistunut käyttöönotto ilman virheitä näyttävä Configuration Manager

Tarkista, että laitteet ovat yhteensopivia Microsoft Defender for Endpoint palvelun kanssa

Voit määrittää määrityskohteen yhteensopivuussäännön System Center 2012 R2 Configuration Manager käyttöönoton valvomiseksi.

Tämän säännön on oltava korjaamaton yhteensopivuussäännön määrityskohde, joka valvoo rekisteriavaimen arvoa kohdennetuissa laitteissa.

Valvo seuraavaa rekisteriavainmerkintää:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Lisätietoja on artikkelissa Johdanto system center 2012 R2:n yhteensopivuusasetuksiin Configuration Manager.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.