Intégrer Windows Server 2012 R2 et Windows Server 2016 à Microsoft Defender pour point de terminaison

S’applique à :

• Microsoft Defender pour point de terminaison pour les serveurs
• Microsoft Defender pour serveurs Plan 1 ou Plan 2

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Defender pour point de terminaison étend la prise en charge pour inclure également le système d’exploitation Windows Server. Cette prise en charge fournit des fonctionnalités avancées de détection et d’investigation des attaques en toute transparence via le portail Microsoft Defender. La prise en charge de Windows Server fournit des insights plus approfondis sur les activités du serveur, la couverture de la détection des attaques de noyau et de mémoire, et permet des actions de réponse.

Remarque

Pour intégrer des serveurs à Defender pour point de terminaison, des licences serveur sont requises . Vous pouvez choisir parmi ces options :

• Microsoft Defender pour serveurs Plan 1 ou Plan 2 (dans le cadre de l’offre Defender pour le cloud)
• Microsoft Defender pour point de terminaison pour les serveurs
• Microsoft Defender for Business pour les serveurs (pour les petites et moyennes entreprises uniquement)

Cet article explique comment intégrer Windows Server 2012 R2 et Windows Server 2016 à Defender pour point de terminaison.

Pour Windows Server 2012 R6 et Windows Server 2016, vous pouvez installer/mettre à niveau manuellement la solution unifiée et moderne sur ces serveurs, ou utiliser l’intégration de Defender pour point de terminaison et Defender pour le cloud pour déployer ou mettre à niveau automatiquement les serveurs couverts par vos plans Defender pour serveur respectifs. Pour plus d’informations, consultez Protéger vos points de terminaison avec l’intégration de Defender pour point de terminaison à Defender pour le cloud.

• Pour Windows Server, version 1803, Windows Server 2019 et versions ultérieures, consultez Intégrer Windows Server 2019 et versions ultérieures à Defender pour point de terminaison.
• Pour obtenir des conseils sur le téléchargement et l’utilisation des bases de référence Sécurité Windows pour les serveurs Windows, consultez Sécurité Windows Bases de référence.

Conseil

En complément de cet article, consultez notre guide de configuration de l’analyseur de sécurité pour passer en revue les meilleures pratiques et apprendre à fortifier les défenses, à améliorer la conformité et à naviguer dans le paysage de la cybersécurité en toute confiance. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée de Security Analyzer dans le Centre d’administration Microsoft 365.

Prérequis pour Windows Server 2016 et Windows Server 2012 R2

• Il est recommandé d’installer la dernière mise à jour de la pile de maintenance (SSU) et la dernière mise à jour cumulative (LCU) disponibles sur le serveur.
• La SSU du 14 septembre 2021 ou ultérieure doit être installée.
• Le LCU du 20 septembre 2018 ou version ultérieure doit être installé.
• Activez la fonctionnalité antivirus Microsoft Defender et vérifiez qu’elle est à jour. Pour plus d’informations sur l’activation de Defender Antivirus sur Windows Server, consultez Réactiver Defender Antivirus sur Windows Server si elle a été désactivée et Réactiver Defender Antivirus sur Windows Server s’il a été désinstallé.
• Téléchargez et installez la dernière version de la plateforme à l’aide de Windows Update. Vous pouvez également télécharger le package de mise à jour manuellement à partir du catalogue Microsoft Update ou de MMPC.
• Sur Windows Server 2016, Microsoft Defender antivirus doit être installé en tant que fonctionnalité et entièrement mis à jour avant l’installation. Consultez les informations relatives aux Windows Server 2012 R2 et Windows Server 2016.

Intégration Windows Server 2016 et Windows Server 2012 R2

Le diagramme suivant montre les étapes générales requises pour intégrer correctement les serveurs.

1. Téléchargez le package d’installation et le package d’intégration en procédant comme suit :

   1. Dans le portail Microsoft Defender, accédez à Paramètres Points>de terminaison>Intégration.
   2. Windows Server 2016 et Windows Server 2012 R2.
   3. Sélectionnez Télécharger le package d’installation et enregistrez-le sur l’appareil. Le package d’installation contient un fichier MSI qui installe l’agent Defender pour point de terminaison.
   4. Sélectionnez Télécharger le package d’intégration et enregistrez le dossier compressé sur l’appareil. Le package d’intégration contient WindowsDefenderATPOnboardingScript.cmd, qui contient le script d’intégration.

   Remarque

   Le package d’installation est mis à jour mensuellement. Veillez à télécharger le dernier package avant l’utilisation. Pour effectuer une mise à jour après l’installation, vous n’avez pas besoin d’exécuter à nouveau le package d’installation. Si c’est le cas, le programme d’installation vous demande de d’abord désactiver l’intégration, car il s’agit d’une condition requise pour la désinstallation. Consultez Mettre à jour les packages pour Defender pour point de terminaison sur Windows Server 2012 R2 et 2016.

2. Suivez les instructions de votre outil préféré pour installer Defender pour point de terminaison :

   • Migrer de MMA vers la solution unifiée moderne : Migration des serveurs de Microsoft Monitoring Agent vers la solution unifiée moderne
   • Script local : Intégrer des appareils Windows à l’aide d’un script local
   • stratégie de groupe : Intégrer des appareils Windows à l’aide de stratégie de groupe
   • Microsoft Configuration Manager : Intégrer des appareils Windows à l’aide de Configuration Manager
   • Scripts VDI : Intégrer des appareils VDI (Virtual Desktop Infrastructure) non persistants dans Microsoft Defender XDR
   • Intégration directe avec Defender pour le cloud : connectez vos machines non-Azure à Microsoft Defender pour le cloud avec Defender pour point de terminaison

Pour Windows Server, version 1803 ou Windows Server 2019 et versions ultérieures, consultez Intégrer Windows Server, version 1803, Windows Server 2019 et Windows Server 2025 à Microsoft Defender pour point de terminaison service.

Remarque

Les éditions de Windows Hyper-V Server ne sont pas prises en charge.

Fonctionnalités de la solution unifiée moderne

L’implémentation précédente (avant avril 2022) de l’intégration Windows Server 2016 et Windows Server 2012 R2 nécessitait l’utilisation de Microsoft Monitoring Agent (MMA). Le package de solution moderne et unifié facilite l’intégration des serveurs en supprimant les dépendances et les étapes d’installation. Il fournit également un ensemble de fonctionnalités beaucoup plus étendu. Pour plus d’informations, consultez les ressources suivantes :

• Scénarios de migration de serveurs de la solution de Microsoft Defender pour point de terminaison basée sur MMA précédente
• Blog de la communauté technique : Défendre Windows Server 2012 R2 et 2016

Selon le serveur que vous intégrez, la solution unifiée installe Defender pour point de terminaison et/ou le capteur EDR sur le serveur. Le tableau suivant indique quel composant est installé et ce qui est intégré par défaut.

Version du serveur	Antivirus Microsoft Defender	Capteur EDR
Windows Server 2012 R2
Windows Server 2016	Intégré
Windows Server 2019 et versions ultérieures	Intégré	Intégré

Problèmes connus et limitations de la solution unifiée moderne

Les points suivants s’appliquent à Windows Server 2016 et Windows Server 2012 R2 :

• Téléchargez toujours le dernier package d’installation à partir du portail Microsoft Defender (https://security.microsoft.com) avant d’effectuer une nouvelle installation et vérifiez que les conditions préalables sont remplies. Après l’installation, veillez à mettre à jour régulièrement à l’aide des mises à jour des composants décrites dans la section Mettre à jour les packages pour Defender pour point de terminaison sur Windows Server 2012 R2 et 2016.

• Une mise à jour du système d’exploitation peut introduire un problème d’installation sur les ordinateurs avec des disques plus lents en raison d’un délai d’attente avec l’installation du service. L’installation échoue avec le message « Impossible de trouver c :\program files\windows defender\mpasdesc.dll, - 310 WinDefend ». Utilisez le dernier package d’installation et le dernier script install.ps1 pour effacer l’installation ayant échoué si nécessaire.

• L’interface utilisateur sur Windows Server 2016 et Windows Server 2012 R2 autorise uniquement les opérations de base. Pour effectuer des opérations sur un appareil localement, consultez Gérer Defender pour point de terminaison avec PowerShell, WMI et MPCmdRun.exe. Par conséquent, les fonctionnalités qui s’appuient spécifiquement sur l’interaction de l’utilisateur, telles que l’endroit où l’utilisateur est invité à prendre une décision ou à effectuer une tâche spécifique, peuvent ne pas fonctionner comme prévu. Il est recommandé de désactiver ou de ne pas activer l’interface utilisateur, ni d’exiger une interaction utilisateur sur n’importe quel serveur managé, car cela peut avoir un impact sur la capacité de protection.

• Toutes les règles de réduction de la surface d’attaque ne s’appliquent pas à tous les systèmes d’exploitation. Consultez Règles de réduction de la surface d’attaque.

• Les mises à niveau du système d’exploitation ne sont pas prises en charge. Désintégner, puis désinstaller avant la mise à niveau. Le package d’installation peut uniquement être utilisé pour mettre à niveau des installations qui n’ont pas encore été mises à jour avec de nouveaux packages de mise à jour de plateforme anti-programme malveillant ou de capteur EDR.

• Pour déployer et intégrer automatiquement la nouvelle solution à l’aide de Microsoft Endpoint Configuration Manager (MECM), vous devez utiliser la version 2207 ou ultérieure. Vous pouvez toujours configurer et déployer à l’aide de la version 2107 avec le correctif cumulatif, mais cela nécessite des étapes de déploiement supplémentaires. Pour plus d’informations, consultez Microsoft Endpoint Configuration Manager les scénarios de migration.

Informations importantes sur l’exécution de Defender pour point de terminaison avec des solutions de sécurité non-Microsoft

Si vous envisagez d’utiliser une solution anti-programme malveillant non-Microsoft, vous devez exécuter Microsoft Defender Antivirus en mode passif. Vous devez vous rappeler de définir le mode passif pendant le processus d’installation et d’intégration.

Remarque

Si vous installez Defender pour point de terminaison sur des serveurs avec McAfee Endpoint Security (ENS) ou VirusScan Enterprise (VSE), la version de la plateforme McAfee devra peut-être être mise à jour pour garantir Microsoft Defender’antivirus n’est pas supprimé ou désactivé. Pour plus d’informations, notamment sur les numéros de version spécifiques requis, consultez l’article Centre de connaissances McAfee.

Mettre à jour des packages pour Windows Server 2016 ou Windows Server 2012 R2

Pour recevoir régulièrement des améliorations et des correctifs de produit pour le composant Defender pour point de terminaison, vérifiez Windows Update KB5005292 est appliqué ou approuvé. En outre, pour maintenir les composants de protection à jour, consultez Gérer les mises à jour de l’antivirus Microsoft Defender et appliquer des bases de référence.

Si vous utilisez Windows Server Update Services (WSUS) et/ou Microsoft Configuration Manager, cette nouvelle « mise à jour Microsoft Defender pour point de terminaison pour le capteur EDR » est disponible sous la catégorie « Microsoft Defender pour point de terminaison."

Exécuter un test de détection pour vérifier l’intégration

Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier qu’un appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Defender pour point de terminaison nouvellement intégré.

Remarque

L’exécution de Microsoft Defender Antivirus n’est pas obligatoire, mais elle est recommandée. Si un autre produit de fournisseur d’antivirus est la solution de protection de point de terminaison principale, vous pouvez exécuter Defender Antivirus en mode passif. Vous pouvez uniquement vérifier que le mode passif est activé après avoir vérifié que le capteur Defender pour point de terminaison (SENSE) est en cours d’exécution.

1. Exécutez la commande suivante pour vérifier que Microsoft Defender’antivirus est installé :

   Remarque

   Cette étape de vérification n’est nécessaire que si vous utilisez Microsoft Defender Antivirus comme solution anti-programme malveillant active.

   sc.exe query Windefend
   

   Si le résultat est « Le service spécifié n’existe pas en tant que service installé », vous devez installer Microsoft Defender Antivirus.

2. Exécutez la commande suivante pour vérifier que Defender pour point de terminaison est en cours d’exécution :

   sc.exe query sense
   

   Le résultat doit indiquer qu’il est en cours d’exécution. Si vous rencontrez des problèmes d’intégration, consultez Résoudre les problèmes d’intégration.

Étapes suivantes

Une fois que vous avez correctement intégré les appareils au service, vous devez configurer les composants individuels de Defender pour point de terminaison. Suivez Configurer les fonctionnalités pour être guidé sur l’activation des différents composants.

Désintégrer les serveurs Windows

Vous pouvez désactiver les serveurs Windows à l’aide des mêmes méthodes que celles disponibles pour les appareils clients Windows :

• Désintégner des appareils à l’aide de stratégie de groupe
• Désintégrer les appareils à l’aide de Configuration Manager
• Désintégrer des appareils à l’aide des outils mobile Gestion des appareils
• Désintégner des appareils à l’aide d’un script local

Après la désactivation, vous pouvez procéder à la désinstallation du package de solution unifiée sur Windows Server 2016 et Windows Server 2012 R2. Pour les autres versions de serveur Windows, vous avez deux options pour retirer les serveurs Windows du service :

• Désinstaller l’agent MMA
• Supprimer la configuration de l’espace de travail Defender pour point de terminaison

Remarque

Ces instructions de désintéglage pour d’autres versions Windows Server s’appliquent également si vous exécutez l’ancien Defender pour point de terminaison pour Windows Server 2016 et Windows Server 2012 R2 qui nécessite MMA. Les instructions pour migrer vers la nouvelle solution unifiée se trouvent dans Scénarios de migration de serveur dans Defender pour point de terminaison.

Articles connexes

• Intégrer des serveurs via l’expérience d’intégration de Microsoft Defender pour point de terminaison
• Intégrer des appareils clients Windows et Mac à Microsoft Defender pour point de terminaison
• Configurer les paramètres de proxy et de connectivité Internet
• Exécuter un test de détection sur un appareil Defender pour point de terminaison nouvellement intégré
• Résolution des problèmes d’intégration de Defender pour point de terminaison
• Résoudre les problèmes d’intégration liés à la gestion de la sécurité pour Defender pour point de terminaison

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.