Condividi tramite

Eseguire l'onboarding di Windows Server 2012 R2 e Windows Server 2016 per Microsoft Defender per endpoint

  • Articolo

Si applica a:

  • Microsoft Defender per endpoint per i server
  • Microsoft Defender per server Piano 1 o Piano 2

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Defender per endpoint estende il supporto per includere anche il sistema operativo Windows Server. Questo supporto offre funzionalità avanzate di rilevamento e analisi degli attacchi tramite il portale di Microsoft Defender. Il supporto per Windows Server fornisce informazioni più approfondite sulle attività del server, la copertura per il rilevamento degli attacchi kernel e di memoria e abilita le azioni di risposta.

Nota

Per eseguire l'onboarding dei server in Defender per endpoint, sono necessarie licenze server . È possibile scegliere tra queste opzioni:

Questo articolo descrive come eseguire l'onboarding di Windows Server 2012 R2 e Windows Server 2016 in Defender per endpoint.

Per Windows Server 2012 R6 e Windows Server 2016, è possibile installare/aggiornare manualmente la soluzione moderna e unificata in questi server oppure usare l'integrazione di Defender per endpoint e Defender for Cloud per distribuire o aggiornare automaticamente i server coperti dai rispettivi piani di Defender per server. Per altre informazioni, vedere Proteggere gli endpoint con l'integrazione di Defender per endpoint con Defender per cloud.

Consiglio

Come complemento di questo articolo, vedere la guida alla configurazione dell'analizzatore della sicurezza per esaminare le procedure consigliate e imparare a rafforzare le difese, migliorare la conformità e esplorare il panorama della sicurezza informatica con fiducia. Per un'esperienza personalizzata basata sull'ambiente in uso, è possibile accedere alla guida alla configurazione automatica di Security Analyzer nel interfaccia di amministrazione di Microsoft 365.

Prerequisiti per Windows Server 2016 e Windows Server 2012 R2

Onboarding Windows Server 2016 e Windows Server 2012 R2

Il diagramma seguente illustra i passaggi generali necessari per eseguire correttamente l'onboarding dei server.

Illustrazione del flusso di onboarding per i server Windows e i dispositivi Windows 10.

  1. Scaricare il pacchetto di installazione e il pacchetto di onboarding seguendo questa procedura:

    1. Nel portale di Microsoft Defender passare aOnboardingdegli endpoint delle>impostazioni>.
    2. Windows Server 2016 e Windows Server 2012 R2.
    3. Selezionare Scarica pacchetto di installazione e salvarlo nel dispositivo. Il pacchetto di installazione contiene un file MSI che installa l'agente di Defender per endpoint.
    4. Selezionare Scarica pacchetto di onboarding e salvare la cartella compressa nel dispositivo. Il pacchetto di onboarding contiene WindowsDefenderATPOnboardingScript.cmd, che contiene lo script di onboarding.

    Nota

    Il pacchetto di installazione viene aggiornato mensilmente. Assicurarsi di scaricare il pacchetto più recente prima dell'utilizzo. Per eseguire l'aggiornamento dopo l'installazione, non è necessario eseguire di nuovo il pacchetto del programma di installazione. In tal caso, il programma di installazione chiede di eseguire prima l'offboard perché è un requisito per la disinstallazione. Vedere Aggiornare i pacchetti per Defender per endpoint in Windows Server 2012 R2 e 2016.

  2. Seguire le indicazioni per lo strumento preferito per installare Defender per endpoint:

Per Windows Server versione 1803 o Windows Server 2019 e versioni successive, vedere Onboard Windows Server, version 1803, Windows Server 2019 e Windows Server 2025 to the Microsoft Defender per endpoint servizio.

Nota

Le edizioni di Windows Hyper-V Server non sono supportate.

Funzionalità nella soluzione unificata moderna

L'implementazione precedente (prima di aprile 2022) di onboarding Windows Server 2016 e Windows Server 2012 R2 richiedeva l'uso di Microsoft Monitoring Agent (MMA). Il pacchetto di soluzioni unificato moderno semplifica l'onboarding dei server rimuovendo le dipendenze e i passaggi di installazione. Fornisce anche un set di funzionalità molto espanso. Per ulteriori informazioni, vedere le seguenti risorse:

A seconda del server di cui si esegue l'onboarding, la soluzione unificata installa Defender per endpoint e/o il sensore EDR nel server. La tabella seguente indica quale componente è installato e cosa è incorporato per impostazione predefinita.

Versione del server Antivirus Microsoft Defender Sensore EDR
Windows Server 2012 R2 Sì Sì
Windows Server 2016 Incorporato Sì
Windows Server 2019 e versioni successive Incorporato Incorporato

Problemi noti e limitazioni nella soluzione unificata moderna

I punti seguenti si applicano a Windows Server 2016 e Windows Server 2012 R2:

  • Scaricare sempre il pacchetto del programma di installazione più recente dal portale di Microsoft Defender (https://security.microsoft.com) prima di eseguire una nuova installazione e assicurarsi che vengano soddisfatti i prerequisiti. Dopo l'installazione, assicurarsi di eseguire regolarmente l'aggiornamento usando gli aggiornamenti dei componenti descritti nella sezione Aggiornare i pacchetti per Defender per endpoint in Windows Server 2012 R2 e 2016.

  • Un aggiornamento del sistema operativo può introdurre un problema di installazione nei computer con dischi più lenti a causa di un timeout con l'installazione del servizio. L'installazione non riesce con il messaggio "Impossibile trovare c:\programmi\windows defender\mpasdesc.dll, - 310 WinDefend". Usare il pacchetto di installazione più recente e lo script diinstall.ps1 più recente per cancellare l'installazione non riuscita, se necessario.

  • L'interfaccia utente in Windows Server 2016 e Windows Server 2012 R2 consente solo operazioni di base. Per eseguire operazioni in un dispositivo in locale, vedere Gestire Defender per endpoint con PowerShell, WMI e MPCmdRun.exe. Di conseguenza, le funzionalità che si basano specificamente sull'interazione dell'utente, ad esempio quando all'utente viene richiesto di prendere una decisione o di eseguire un'attività specifica, potrebbero non funzionare come previsto. È consigliabile disabilitare o non abilitare l'interfaccia utente né richiedere l'interazione dell'utente su qualsiasi server gestito in quanto può influire sulla funzionalità di protezione.

  • Non tutte le regole di riduzione della superficie di attacco sono applicabili a tutti i sistemi operativi. Vedere Regole di riduzione della superficie di attacco.

  • Gli aggiornamenti del sistema operativo non sono supportati. Offboard e quindi disinstallazione prima dell'aggiornamento. Il pacchetto del programma di installazione può essere usato solo per aggiornare le installazioni che non sono ancora state aggiornate con la nuova piattaforma antimalware o i pacchetti di aggiornamento del sensore EDR.

  • Per distribuire e caricare automaticamente la nuova soluzione usando Microsoft Endpoint Configuration Manager (MECM) è necessario essere nella versione 2207 o successiva. È comunque possibile configurare e distribuire usando la versione 2107 con l'aggiornamento cumulativo dell'hotfix, ma questa operazione richiede passaggi di distribuzione aggiuntivi. Per altre informazioni, vedere Microsoft Endpoint Configuration Manager scenari di migrazione.

Informazioni importanti sull'esecuzione di Defender per endpoint con soluzioni di sicurezza non Microsoft

Se si intende usare una soluzione antimalware non Microsoft, è necessario eseguire Microsoft Defender Antivirus in modalità passiva. È necessario ricordare di impostare la modalità passiva durante il processo di installazione e onboarding.

Nota

Se si installa Defender per endpoint nei server con McAfee Endpoint Security (ENS) o VirusScan Enterprise (VSE), potrebbe essere necessario aggiornare la versione della piattaforma McAfee per assicurarsi che Microsoft Defender Antivirus non venga rimosso o disabilitato. Per altre informazioni, inclusi i numeri di versione specifici necessari, vedere l'articolo Del Centro informazioni McAfee.

Aggiornare i pacchetti per Windows Server 2016 o Windows Server 2012 R2

Per ricevere miglioramenti e correzioni di prodotti regolari per il componente Defender per endpoint, assicurarsi che Windows Update KB5005292 venga applicato o approvato. Inoltre, per mantenere aggiornati i componenti di protezione, vedere Gestire gli aggiornamenti antivirus Microsoft Defender e applicare le baseline.

Se si usa Windows Server Update Services (WSUS) e/o Microsoft Configuration Manager, questo nuovo "aggiornamento Microsoft Defender per endpoint per il sensore EDR" è disponibile nella categoria " Microsoft Defender per endpoint.

Eseguire un test di rilevamento per verificare l'onboarding

Dopo aver eseguito l'onboarding del dispositivo, è possibile scegliere di eseguire un test di rilevamento per verificare che un dispositivo sia stato correttamente caricato nel servizio. Per altre informazioni, vedere Eseguire un test di rilevamento in un dispositivo Defender per endpoint appena caricato.

Nota

L'esecuzione di Microsoft Defender Antivirus non è necessaria, ma è consigliata. Se un altro prodotto fornitore di antivirus è la soluzione endpoint protection primaria, è possibile eseguire Antivirus Defender in modalità passiva. È possibile verificare che la modalità passiva sia attiva solo dopo aver verificato che il sensore defender per endpoint (SENSE) sia in esecuzione.

  1. Eseguire il comando seguente per verificare che Microsoft Defender Antivirus sia installato:

    Nota

    Questo passaggio di verifica è necessario solo se si usa Microsoft Defender Antivirus come soluzione antimalware attiva.

    sc.exe query Windefend

    Se il risultato è "Il servizio specificato non esiste come servizio installato", è necessario installare Microsoft Defender Antivirus.

  2. Eseguire il comando seguente per verificare che Defender per endpoint sia in esecuzione:

    sc.exe query sense

    Il risultato dovrebbe mostrare che è in esecuzione. Se si verificano problemi con l'onboarding, vedere Risolvere i problemi di onboarding.

Passaggi successivi

Dopo aver eseguito correttamente l'onboarding dei dispositivi nel servizio, è necessario configurare i singoli componenti di Defender per endpoint. Seguire Configurare le funzionalità per l'abilitazione dei vari componenti.

Server Windows offboard

È possibile eseguire l'offboarding dei server Windows usando gli stessi metodi disponibili per i dispositivi client Windows:

Dopo l'offboarding, è possibile procedere alla disinstallazione del pacchetto della soluzione unificata in Windows Server 2016 e Windows Server 2012 R2. Per altre versioni di Windows Server, sono disponibili due opzioni per l'offboarding dei server Windows dal servizio:

  • Disinstallare l'agente MMA
  • Rimuovere la configurazione dell'area di lavoro Defender per endpoint

Nota

Queste istruzioni per l'offboarding per altre versioni Windows Server si applicano anche se si esegue defender per endpoint precedente per Windows Server 2016 e Windows Server 2012 R2 che richiede l'MMA. Le istruzioni per la migrazione alla nuova soluzione unificata sono disponibili negli scenari di migrazione del server in Defender per endpoint.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.