Condividi tramite

Eseguire l'onboarding dei server Windows nel servizio Microsoft Defender per endpoint

  • Articolo

Si applica a:

  • Microsoft Defender per endpoint per i server
  • Microsoft Defender per server Piano 1 o Piano 2

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Defender per endpoint estende il supporto per includere anche il sistema operativo Windows Server. Questo supporto offre funzionalità avanzate di rilevamento e analisi degli attacchi tramite il portale di Microsoft Defender. Il supporto per Windows Server fornisce informazioni più approfondite sulle attività del server, la copertura per il rilevamento degli attacchi kernel e di memoria e abilita le azioni di risposta.

Questo articolo descrive come eseguire l'onboarding di server Windows specifici in Defender per endpoint.

Per indicazioni su come scaricare e usare le baseline di Sicurezza di Windows per i server Windows, vedere Sicurezza di Windows Baselines.

Consiglio

Come complemento di questo articolo, vedere la guida alla configurazione dell'analizzatore della sicurezza per esaminare le procedure consigliate e imparare a rafforzare le difese, migliorare la conformità e esplorare il panorama della sicurezza informatica con fiducia. Per un'esperienza personalizzata basata sull'ambiente in uso, è possibile accedere alla guida alla configurazione automatica di Security Analyzer nel interfaccia di amministrazione di Microsoft 365.

panoramica dell'onboarding Windows Server

Il diagramma seguente illustra i passaggi generali necessari per eseguire correttamente l'onboarding dei server.

Illustrazione del flusso di onboarding per i server Windows e i dispositivi Windows 10.

Nota

Le edizioni di Windows Hyper-V Server non sono supportate.

Integrazione con Microsoft Defender per server

Defender per endpoint si integra perfettamente con Microsoft Defender per server e Microsoft Defender per il cloud. È possibile eseguire l'onboarding automatico dei server, fare in modo che i server monitorati da Defender per cloud vengano visualizzati in Defender per endpoint e condurre indagini dettagliate come clienti di Defender for Cloud. Per altre informazioni, vedere Proteggere gli endpoint con l'integrazione di Defender per endpoint con Defender per cloud

Nei dispositivi che eseguono Windows Server 2016 o Windows Server 2012 R2, è possibile installare/aggiornare manualmente la soluzione unificata moderna oppure usare l'integrazione con Defender per server per distribuire o aggiornare automaticamente i server coperti dal rispettivo piano di Defender per server. Per altre informazioni, vedere Proteggere gli endpoint con l'integrazione di Defender per endpoint con Defender per cloud.

Quando si usa Defender for Cloud per monitorare i server, viene creato automaticamente un tenant di Defender per endpoint (negli Stati Uniti per gli utenti degli Stati Uniti, nell'UE per gli utenti europei e nel Regno Unito per gli utenti del Regno Unito). I dati raccolti da Defender per endpoint vengono archiviati nella posizione geografica del tenant, come identificato durante il provisioning.

Se si inizia a usare Defender per endpoint prima di usare Defender per cloud, i dati vengono archiviati nella posizione specificata al momento della creazione del tenant, anche se si esegue l'integrazione con Defender for Cloud in un secondo momento. Dopo aver configurato, non è possibile modificare la posizione in cui vengono archiviati i dati. Se è necessario spostare i dati in un'altra posizione, è necessario contattare supporto tecnico Microsoft per reimpostare il tenant.

Il monitoraggio degli endpoint server che usa l'integrazione tra Defender per server e Defender per endpoint non è disponibile per Office 365 clienti GCC.

In precedenza, l'uso di Microsoft Monitoring Agent (MMA) in Windows Server 2016, Windows Server 2012 R2 e versioni precedenti di Windows Server consentito al gateway OMS/Log Analytics di fornire connettività ai servizi cloud di Defender. La nuova soluzione, ad esempio Defender per endpoint in Windows Server 2019 e versioni successive e Windows 10 o versioni successive, non supporta questo gateway.

I server Linux caricati tramite Defender for Cloud hanno la configurazione iniziale impostata per l'esecuzione Microsoft Defender Antivirus in modalità passiva.

Windows Server 2016 e Windows Server 2012 R2

  • Scaricare i pacchetti di installazione e onboarding
  • Applicare il pacchetto di installazione
  • Seguire i passaggi di onboarding per lo strumento corrispondente

Windows Server Semi-Annual Enterprise Channel e Windows Server 2019 o versioni successive

  • Scaricare il pacchetto di onboarding
  • Seguire i passaggi di onboarding per lo strumento corrispondente

Funzionalità nella soluzione unificata moderna

L'implementazione precedente (prima di aprile 2022) di onboarding Windows Server 2016 e Windows Server 2012 R2 richiedeva l'uso di Microsoft Monitoring Agent (MMA).

Il nuovo pacchetto della soluzione unificata semplifica l'onboarding dei server rimuovendo le dipendenze e i passaggi di installazione. Fornisce anche un set di funzionalità molto espanso. Per altre informazioni, vedere Difesa di Windows Server 2012 R2 e 2016.

A seconda del server di cui si esegue l'onboarding, la soluzione unificata installa Defender per endpoint e/o il sensore EDR. La tabella seguente indica quale componente è installato e cosa è incorporato per impostazione predefinita.

Versione del server AV EDR
Windows Server 2012 R2 Sì Sì
Windows Server 2016 Incorporato Sì
Windows Server 2019 e versioni successive Incorporato Incorporato

Se in precedenza è stato eseguito l'onboarding dei server usando MMA, seguire le indicazioni fornite in Migrazione del server per eseguire la migrazione alla nuova soluzione.

Importante

Prima di procedere con l'onboarding, vedere la sezione Problemi noti e limitazioni nel nuovo pacchetto di soluzione unificata per Windows Server 2012 R2 e Windows Server 2016.

Prerequisiti

Prerequisiti per Windows Server 2016 e Windows Server 2012 R2

Prerequisiti per l'esecuzione di Defender per endpoint con soluzioni di sicurezza non Microsoft

Se si intende usare una soluzione antimalware non Microsoft, è necessario eseguire Microsoft Defender Antivirus in modalità passiva. È necessario ricordare di impostare la modalità passiva durante il processo di installazione e onboarding.

Nota

Se si installa Defender per endpoint nei server con McAfee Endpoint Security (ENS) o VirusScan Enterprise (VSE), potrebbe essere necessario aggiornare la versione della piattaforma McAfee per assicurarsi che Microsoft Defender Antivirus non venga rimosso o disabilitato. Per altre informazioni, inclusi i numeri di versione specifici necessari, vedere l'articolo Del Centro informazioni McAfee.

Aggiornare i pacchetti per Windows Server 2016 o Windows Server 2012 R2

Per ricevere miglioramenti e correzioni di prodotti regolari per il componente Defender per endpoint, assicurarsi che Windows Update KB5005292 venga applicato o approvato. Inoltre, per mantenere aggiornati i componenti di protezione, vedere Gestire gli aggiornamenti antivirus Microsoft Defender e applicare le baseline.

Se si usa Windows Server Update Services (WSUS) e/o Microsoft Endpoint Configuration Manager, questo nuovo "aggiornamento Microsoft Defender per endpoint per il sensore EDR" è disponibile nella categoria " Microsoft Defender per endpoint.

Riepilogo dei passaggi di onboarding

PASSAGGIO 1: Scaricare i pacchetti di installazione e onboarding

È necessario scaricare i pacchetti di installazione e onboarding dal portale.

Nota

Il pacchetto di installazione viene aggiornato mensilmente. Assicurarsi di scaricare il pacchetto più recente prima dell'utilizzo. Per eseguire l'aggiornamento dopo l'installazione, non è necessario eseguire di nuovo il pacchetto del programma di installazione. In tal caso, il programma di installazione chiede di eseguire prima l'offboard perché è un requisito per la disinstallazione. Vedere Aggiornare i pacchetti per Defender per endpoint in Windows Server 2012 R2 e 2016.

Immagine del dashboard di onboarding

Nota

In Windows Server 2016, Microsoft Defender Antivirus deve essere installato come funzionalità (vedere Passare a Defender per endpoint) prima di procedere con l'installazione.

Se si esegue una soluzione antimalware non Microsoft, assicurarsi di aggiungere esclusioni per Microsoft Defender Antivirus (da questo elenco di processi Microsoft Defender nella scheda Processi di Defender) alla soluzione non Microsoft prima dell'installazione. È anche consigliabile aggiungere soluzioni di sicurezza non Microsoft all'elenco di esclusione Antivirus Defender.

Il pacchetto di installazione contiene un file MSI che installa l'agente di Defender per endpoint.

Il pacchetto di onboarding contiene WindowsDefenderATPOnboardingScript.cmd, che contiene lo script di onboarding.

Seguire questa procedura per scaricare i pacchetti:

  1. Nel portale di Microsoft Defender passare a Onboarding endpoint > impostazioni>.

  2. Selezionare Windows Server 2016 e Windows Server 2012 R2.

  3. Selezionare Scarica pacchetto di installazione e salvare il file .msi.

  4. Selezionare Scarica pacchetto di onboarding e salvare il file .zip.

  5. Installare il pacchetto di installazione usando una delle opzioni per installare Microsoft Defender Antivirus. L'installazione richiede autorizzazioni amministrative.

Importante

Uno script di onboarding locale è adatto per un modello di verifica, ma non deve essere usato per la distribuzione di produzione. Per una distribuzione di produzione, è consigliabile usare Criteri di gruppo o Microsoft Endpoint Configuration Manager.

PASSAGGIO 2: Applicare il pacchetto di installazione e onboarding

In questo passaggio si installeranno i componenti di prevenzione e rilevamento necessari prima di eseguire l'onboarding del dispositivo nell'ambiente cloud di Defender per endpoint, per preparare il computer per l'onboarding. Verificare che tutti i prerequisiti siano stati soddisfatti.

Nota

Microsoft Defender Antivirus viene installato e sarà attivo a meno che non sia impostato sulla modalità passiva.

Opzioni per installare i pacchetti di Defender per endpoint

Nella sezione precedente è stato scaricato un pacchetto di installazione. Il pacchetto di installazione contiene il programma di installazione per tutti i componenti di Defender per endpoint.

È possibile usare una delle opzioni seguenti per installare l'agente:

Installare Defender For Endpoint usando la riga di comando

Usare il pacchetto di installazione del passaggio precedente per installare Defender per endpoint.

Eseguire il comando seguente per installare Defender per endpoint:

Msiexec /i md4ws.msi /quiet

Per disinstallare, assicurarsi che il computer sia prima offboarding usando lo script di offboarding appropriato. Usare quindi Pannello di controllo > Programmi > e funzionalità per eseguire la disinstallazione.

In alternativa, eseguire il comando di disinstallazione seguente per disinstallare Defender per endpoint:

Msiexec /x md4ws.msi /quiet

È necessario usare lo stesso pacchetto usato per l'installazione affinché il comando precedente abbia esito positivo.

L'opzione /quiet elimina tutte le notifiche.

Nota

Microsoft Defender Antivirus non passa automaticamente alla modalità passiva. È possibile scegliere di impostare Microsoft Defender Antivirus per l'esecuzione in modalità passiva se si esegue una soluzione antivirus/antimalware non Microsoft. Per le installazioni da riga di comando, l'opzione imposta FORCEPASSIVEMODE=1 immediatamente il componente antivirus Microsoft Defender sulla modalità passiva per evitare interferenze. Quindi, per assicurarsi che Antivirus Defender rimanga in modalità passiva dopo l'onboarding per supportare funzionalità come EDR Block, impostare la chiave del Registro di sistema "ForceDefenderPassiveMode".

Il supporto per Windows Server fornisce informazioni più approfondite sulle attività del server, la copertura per il rilevamento degli attacchi kernel e di memoria e abilita le azioni di risposta.

Installare Defender per endpoint usando uno script

È possibile usare lo script helper del programma di installazione per automatizzare l'installazione, la disinstallazione e l'onboarding.

Nota

Lo script di installazione è firmato. Eventuali modifiche allo script invalidano la firma. Quando si scarica lo script da GitHub, l'approccio consigliato per evitare modifiche accidentali consiste nel scaricare i file di origine come archivio ZIP e quindi estrarli per ottenere il file install.ps1 (nella pagina Codice principale selezionare il menu a discesa Codice e selezionare "Scarica ZIP").

Questo script può essere usato in vari scenari, inclusi quelli descritti in Scenari di migrazione del server della soluzione Defender per endpoint basata su MMA precedente e per la distribuzione tramite Criteri di gruppo come descritto di seguito.

Applicare pacchetti di installazione e onboarding usando Criteri di gruppo

Se si usa Criteri di gruppo, applicare l'installazione di Defender per endpoint e l'onboarding dei pacchetti con uno script del programma di installazione.

  1. Creare criteri di gruppo seguendo questa procedura:

    1. Aprire la console Gestione Criteri di gruppo.

    2. Fare clic con il pulsante destro del mouse su Criteri di gruppo Oggetti da configurare e quindi scegliere Nuovo.

    3. Specificare il nome del nuovo oggetto Criteri di gruppo (OGGETTO Criteri di gruppo) e quindi selezionare OK.

  2. Nella console di gestione Criteri di gruppo fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si vuole configurare e quindi scegliere Modifica.

  3. Nella Editor gestione Criteri di gruppo passare a Configurazione computer, quindi Preferenze e quindi impostazioni del Pannello di controllo.

  4. Fare clic con il pulsante destro del mouse su Attività pianificate, scegliere Nuovo e quindi selezionare Attività immediata (almeno Windows 7).

  5. Nella finestra Attività visualizzata passare alla scheda Generale . In Opzioni di sicurezza selezionare Modifica utente o gruppo e digitare SYSTEM, quindi selezionare Controlla nomi e quindi OK. NT AUTHORITY\SYSTEM viene visualizzato come account utente con cui viene eseguita l'attività.

  6. Selezionare Esegui se l'utente è connesso o meno e selezionare la casella di controllo Esegui con i privilegi più elevati .

  7. Nel campo Nome digitare un nome appropriato per l'attività pianificata, ad esempio Defender per la distribuzione di endpoint.

  8. Passare alla scheda Azioni e selezionare Nuovo... Assicurarsi che l'opzione Avvia un programma sia selezionata nel campo Azione . Lo script del programma di installazione gestisce l'installazione ed esegue immediatamente il passaggio di onboarding al termine dell'installazione. Selezionare C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe quindi specificare gli argomenti:

    -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd

    Nota

    L'impostazione dei criteri di esecuzione consigliata è Allsigned. A tale scopo, è necessario importare il certificato di firma dello script nell'archivio Autori attendibili del computer locale se lo script è in esecuzione come SYSTEM nell'endpoint.

    Sostituire \\servername-or-dfs-space\share-name con il percorso UNC, usando il nome di dominio completo (FQDN) del file condiviso del file condiviso install.ps1 . Il pacchetto del programma di installazione md4ws.msi deve essere inserito nella stessa directory. Assicurarsi che le autorizzazioni del percorso UNC consentano l'accesso in scrittura all'account computer che sta installando il pacchetto, per supportare la creazione di file di log. Se si desidera disabilitare la creazione di file di log (scelta non consigliata), è possibile usare i -noETL -noMSILog parametri .

    Per gli scenari in cui si vuole coesistere Microsoft Defender Antivirus con soluzioni antimalware non Microsoft, aggiungere il parametro $Passive per impostare la modalità passiva durante l'installazione.

  9. Selezionare OK e chiudere tutte le finestre aperte Criteri di gruppo Management Console.

  10. Per collegare l'oggetto Criteri di gruppo a un'unità organizzativa (OU), fare clic con il pulsante destro del mouse e scegliere Collega un oggetto Criteri di gruppo esistente. Nella finestra di dialogo visualizzata selezionare l'oggetto Criteri di gruppo da collegare. Selezionare OK.

Per altre impostazioni di configurazione, vedere Configurare le impostazioni della raccolta di esempio e Altre impostazioni di configurazione consigliate.

PASSAGGIO 3: Completare i passaggi di onboarding

I passaggi seguenti sono applicabili solo se si usa una soluzione antimalware non Microsoft. È necessario applicare l'impostazione seguente Microsoft Defender modalità passiva antivirus. Verificare che sia stato configurato correttamente:

  1. Impostare la voce del Registro di sistema seguente:

    • Sentiero: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • Nome: ForceDefenderPassiveMode
    • Digitare: REG_DWORD
    • Valore: 1

    Screenshot del risultato della verifica in modalità passiva.

Problemi noti e limitazioni nella soluzione unificata moderna

I punti seguenti si applicano a Windows Server 2016 e Windows Server 2012 R2:

  • Scaricare sempre il pacchetto del programma di installazione più recente dal portale di Microsoft Defender (https://security.microsoft.com) prima di eseguire una nuova installazione e assicurarsi che vengano soddisfatti i prerequisiti. Dopo l'installazione, assicurarsi di eseguire regolarmente l'aggiornamento usando gli aggiornamenti dei componenti descritti nella sezione Aggiornare i pacchetti per Defender per endpoint in Windows Server 2012 R2 e 2016.

  • Un aggiornamento del sistema operativo può introdurre un problema di installazione nei computer con dischi più lenti a causa di un timeout con l'installazione del servizio. L'installazione non riesce con il messaggio "Impossibile trovare c:\programmi\windows defender\mpasdesc.dll, - 310 WinDefend". Usare il pacchetto di installazione più recente e lo script diinstall.ps1 più recente per cancellare l'installazione non riuscita, se necessario.

  • L'interfaccia utente in Windows Server 2016 e Windows Server 2012 R2 consente solo operazioni di base. Per eseguire operazioni in un dispositivo in locale, vedere Gestire Defender per endpoint con PowerShell, WMI e MPCmdRun.exe. Di conseguenza, le funzionalità che si basano specificamente sull'interazione dell'utente, ad esempio quando all'utente viene richiesto di prendere una decisione o di eseguire un'attività specifica, potrebbero non funzionare come previsto. È consigliabile disabilitare o non abilitare l'interfaccia utente né richiedere l'interazione dell'utente su qualsiasi server gestito in quanto può influire sulla funzionalità di protezione.

  • Non tutte le regole di riduzione della superficie di attacco sono applicabili a tutti i sistemi operativi. Vedere Regole di riduzione della superficie di attacco.

  • Gli aggiornamenti del sistema operativo non sono supportati. Offboard e quindi disinstallazione prima dell'aggiornamento. Il pacchetto del programma di installazione può essere usato solo per aggiornare le installazioni che non sono ancora state aggiornate con la nuova piattaforma antimalware o i pacchetti di aggiornamento del sensore EDR.

  • Per distribuire e caricare automaticamente la nuova soluzione usando Microsoft Endpoint Configuration Manager (MECM) è necessario essere nella versione 2207 o successiva. È comunque possibile configurare e distribuire usando la versione 2107 con l'aggiornamento cumulativo dell'hotfix, ma questa operazione richiede passaggi di distribuzione aggiuntivi. Per altre informazioni, vedere Microsoft Endpoint Configuration Manager scenari di migrazione.

Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019 e Windows Server 2022 e Windows Server 2025

Scaricare il pacchetto

  1. Nel portale di Microsoft Defender passare aEndpoint>impostazioni>Gestione dispositivi>Onboarding.

  2. Selezionare Windows Server 1803, 2019 e 2022.

  3. Selezionare Scarica pacchetto. Salvarlo come WindowsDefenderATPOnboardingPackage.zip.

  4. Seguire i passaggi descritti nella sezione Completare i passaggi di onboarding .

Verificare l'onboarding e l'installazione

Verificare che Microsoft Defender Antivirus e Defender per endpoint siano in esecuzione.

Eseguire un test di rilevamento per verificare l'onboarding

Dopo aver eseguito l'onboarding del dispositivo, è possibile scegliere di eseguire un test di rilevamento per verificare che un dispositivo sia stato correttamente caricato nel servizio. Per altre informazioni, vedere Eseguire un test di rilevamento in un dispositivo Defender per endpoint appena caricato.

Nota

L'esecuzione di Microsoft Defender Antivirus non è necessaria, ma è consigliata. Se un altro prodotto fornitore di antivirus è la soluzione endpoint protection primaria, è possibile eseguire Antivirus Defender in modalità passiva. È possibile verificare che la modalità passiva sia attiva solo dopo aver verificato che il sensore defender per endpoint (SENSE) sia in esecuzione.

  1. Eseguire il comando seguente per verificare che Microsoft Defender Antivirus sia installato:

    Nota

    Questo passaggio di verifica è necessario solo se si usa Microsoft Defender Antivirus come soluzione antimalware attiva.

    sc.exe query Windefend

    Se il risultato è "Il servizio specificato non esiste come servizio installato", è necessario installare Microsoft Defender Antivirus.

    Per informazioni su come usare Criteri di gruppo per configurare e gestire Microsoft Defender Antivirus nei server Windows, vedere Usare le impostazioni di Criteri di gruppo per configurare e gestire Microsoft Defender Antivirus.

  2. Eseguire il comando seguente per verificare che Defender per endpoint sia in esecuzione:

    sc.exe query sense

    Il risultato dovrebbe mostrare che è in esecuzione. Se si verificano problemi con l'onboarding, vedere Risolvere i problemi di onboarding.

Esegui un test di rilevamento

Seguire la procedura descritta in Eseguire un test di rilevamento in un dispositivo appena caricato per verificare che il server stia segnalando a Defender per il servizio endpoint.

Passaggi successivi

Dopo aver eseguito correttamente l'onboarding dei dispositivi nel servizio, è necessario configurare i singoli componenti di Defender per endpoint. Seguire Configurare le funzionalità per l'abilitazione dei vari componenti.

Server Windows offboard

È possibile eseguire l'offboarding Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019, Windows Server 2019 Core Edition, Windows Server 2022 e Windows Server 2025 usando lo stesso metodo disponibile per i dispositivi client Windows 10.

Dopo l'offboarding, è possibile procedere alla disinstallazione del pacchetto della soluzione unificata in Windows Server 2016 e Windows Server 2012 R2.

Per altre versioni di Windows Server, sono disponibili due opzioni per l'offboarding dei server Windows dal servizio:

  • Disinstallare l'agente MMA
  • Rimuovere la configurazione dell'area di lavoro Defender per endpoint

Nota

Queste istruzioni per l'offboarding per altre versioni Windows Server si applicano anche se si esegue defender per endpoint precedente per Windows Server 2016 e Windows Server 2012 R2 che richiede l'MMA. Le istruzioni per la migrazione alla nuova soluzione unificata sono disponibili negli scenari di migrazione del server in Defender per endpoint.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.