Del via

Om bord på Windows-enheter ved hjelp av Configuration Manager

  • Artikkel

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Du kan bruke Configuration Manager på tavle-endepunkter til Microsoft Defender for endepunkt-tjenesten.

Det finnes flere alternativer du kan bruke på innebygde enheter ved hjelp av Configuration Manager:

Obs!

Defender for Endpoint støtter ikke pålasting under OOBE-fasen (Out-Of-Box Experience ). Kontroller at brukere fullfører OOBE etter å ha kjørt Windows-installasjonen eller oppgraderingen.

Du kan opprette en gjenkjenningsregel på et Configuration Manager program for kontinuerlig å kontrollere om en enhet er pålastet. Et program er en annen type objekt enn en pakke og et program. Hvis en enhet ennå ikke er pålastet (på grunn av ventende OOBE-fullføring eller en annen grunn), Configuration Manager prøver på nytt på enheten til regelen oppdager statusendringen. Hvis du vil ha mer informasjon, kan du se Konfigurere gjenkjenningsmetoder i System Center 2012 R2 Configuration Manager.

Forutsetninger

Konfigurer innstillinger for eksempelsamling

For hver enhet kan du angi en konfigurasjonsverdi for å angi om eksempler kan samles inn fra enheten når en forespørsel gjøres gjennom Microsoft Defender-portalen for å sende inn en fil for dyp analyse.

Obs!

Disse konfigurasjonsinnstillingene utføres vanligvis gjennom Configuration Manager.

Du kan angi en samsvarsregel for konfigurasjonselement i Configuration Manager for å endre innstillingen for eksempeldeling på en enhet.

Denne regelen bør være en utbedring av konfigurasjonselementet for samsvarsregler som angir verdien for en registernøkkel på målrettede enheter for å sikre at de samsvarer med samsvar.

Konfigurasjonen angis gjennom følgende registernøkkeloppføring:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Der nøkkeltype er en D-WORD. Mulige verdier er:

  • 0: Tillater ikke eksempeldeling fra denne enheten
  • 1: Tillater deling av alle filtyper fra denne enheten

Standardverdien i tilfelle registernøkkelen ikke finnes, er 1.

Hvis du vil ha mer informasjon om System Center Configuration Manager Compliance, kan du se Innføring i samsvarsinnstillinger i System Center 2012 R2 Configuration Manager.

Opprette en samling

Distribusjonen kan målrette mot en eksisterende samling, eller en ny samling kan opprettes for testing for å få windows-enheter med Microsoft Configuration Manager.

Pålasting ved hjelp av verktøy som gruppepolicy eller en manuell metode installerer ingen agenter på systemet.

Innenfor Microsoft Configuration Manager-konsollen konfigureres pålastingsprosessen som en del av samsvarsinnstillingene i konsollen.

Alle systemer som mottar denne nødvendige konfigurasjonen, opprettholder denne konfigurasjonen så lenge den Configuration Manager klienten fortsetter å motta denne policyen fra administrasjonspunktet.

Følg disse trinnene for å legge inn endepunkter ved hjelp av Microsoft Configuration Manager:

  1. Naviger til aktiva og enhetssamlinger for samsvarsoversikt >>i Microsoft Configuration Manager-konsollen.

    Skjermbilde av veiviseren for Microsoft Configuration Manager 1.

  2. Velg og hold (eller høyreklikk) Enhetssamling , og velg Opprett enhetssamling.

    Skjermbilde av Microsoft Configuration Manager veiviser2.

  3. Angi et navn og begrens samling, og velg deretter Neste.

    Skjermbilde av Microsoft Configuration Manager veiviser3.

  4. Velg Legg til regel , og velg Spørringsregel.

    Skjermbilde av Microsoft Configuration Manager veiviser4.

  5. Velg Neste i veiviseren for direkte medlemskap , og velg deretter Rediger spørringssetning.

    Skjermbilde av Microsoft Configuration Manager veiviser5.

  6. Velg Vilkår , og velg deretter stjerneikonet.

    Skjermbilde av Microsoft Configuration Manager wizard6.

  7. Behold vilkårstypen som enkel verdi, velg mens operativsystem – byggnummer, operator som er større enn eller lik og verdi 14393, og velg OK.

    Skjermbilde av Microsoft Configuration Manager veiviser7.

  8. Velg Neste og Lukk.

    Skjermbilde av Microsoft Configuration Manager wizard8.

  9. Velg Neste.

    Skjermbilde av Microsoft Configuration Manager-veiviseren9.

Når du har fullført denne oppgaven, har du en enhetssamling med alle Windows-endepunktene i miljøet.

Konfigurer neste generasjons beskyttelse

Konfigurasjonsinnstillingene som er oppført i tabellen nedenfor, anbefales:

Innstilling Beskrivelse
Skanne Skann flyttbare lagringsenheter, for eksempel USB-stasjoner: Ja
Sanntidsbeskyttelse Aktiver atferdsovervåking: Ja

Aktiver beskyttelse mot potensielt uønskede programmer ved nedlasting og før installasjonen: Ja
Cloud Protection Service Medlemskapstype for Cloud Protection Service: Avansert medlemskap
Reduksjon av angrepsoverflaten Konfigurer alle tilgjengelige regler til overvåking.

Blokkering av disse aktivitetene kan avbryte legitime forretningsprosesser. Den beste fremgangsmåten er å sette alt til overvåking, identifisere hvilke som er trygge å slå på, og deretter aktivere disse innstillingene på endepunkter som ikke har falske positive gjenkjenninger.

Følg trinnene for å distribuere policyer for reduksjon av Microsoft Defender antivirus- og angrepsoverflate gjennom Microsoft Configuration Manager (SCCM):

  • Aktiver Endpoint Protection og konfigurer egendefinerte klientinnstillinger.
  • Installer Endpoint Protection-klienten fra en ledetekst.
  • Kontroller installasjonen av Endpoint Protection-klienten.

Aktiver Endpoint Protection og konfigurer egendefinerte klientinnstillinger

Følg trinnene for å aktivere endepunktbeskyttelse og konfigurasjon av egendefinerte klientinnstillinger:

  1. Klikk Administrasjon i Configuration Manager-konsollen.

  2. Klikk Klientinnstillinger i administrasjonsarbeidsområdet.

  3. Klikk Opprett egendefinerte innstillinger for klientenhet i Opprett-gruppenHjem-fanen.

  4. Skriv inn et navn og en beskrivelse for gruppen med innstillinger i dialogboksen Opprett egendefinerte klientenhetsinnstillinger , og velg deretter Endpoint Protection.

  5. Konfigurer klientinnstillingene for Endpoint Protection som du trenger. Hvis du vil ha en fullstendig liste over klientinnstillinger for Endpoint Protection som du kan konfigurere, kan du se delen Endpoint Protection i Om klientinnstillinger.

    Viktig

    Installer systemrollen for Endpoint Protection-området før du konfigurerer klientinnstillinger for Endpoint Protection.

  6. Klikk OK for å lukke dialogboksen Opprett innstillinger for egendefinert klientenhet . De nye klientinnstillingene vises i noden Klientinnstillinger i arbeidsområdet for administrasjon .

  7. Deretter distribuerer du de egendefinerte klientinnstillingene til en samling. Velg de egendefinerte klientinnstillingene du vil distribuere. Klikk Distribuer i Klientinnstillinger-gruppenHjem-fanen.

  8. Velg samlingen du vil distribuere klientinnstillingene til, i dialogboksen Velg samling , og klikk deretter OK. Den nye distribusjonen vises i Distribusjoner-fanen i detaljruten.

Klienter konfigureres med disse innstillingene når de laster ned klientpolicyen neste gang. Hvis du vil ha mer informasjon, kan du se Start policyhenting for en Configuration Manager-klient.

Obs!

For Windows Server 2012 R2 og Windows Server 2016 som administreres av Configuration Manager 2207 og nyere versjoner, kan du ta i bruk innstillingen Microsoft Defender for endepunkt (MDE) klient (anbefales). Du kan også bruke eldre versjoner av Configuration Manager til å utføre en overføring. Hvis du vil ha mer informasjon, kan du se Overføre servere fra Microsoft Monitoring Agent til den enhetlige løsningen.

Installere Endpoint Protection-klienten ved hjelp av ledetekst

Følg trinnene for å fullføre installasjonen av endepunktbeskyttelsesklienten fra ledeteksten.

  1. Kopier scepinstall.exe fra klientmappen i Configuration Manager installasjonsmappen til datamaskinen der du vil installere klientprogramvaren for Endpoint Protection.

  2. Åpne ledeteksten som administrator. Endre katalogen til mappen med installasjonsprogrammet. scepinstall.exeKjør deretter , og legg til eventuelle ekstra kommandolinjeegenskaper du trenger:

    Eiendom Beskrivelse
    /s Kjør installasjonsprogrammet stille
    /q Pakk ut installasjonsfilene stille
    /i Kjør installasjonsprogrammet normalt
    /policy Angi en policyfil for beskyttelse mot skadelig programvare for å konfigurere klienten under installasjonen
    /sqmoptin Meld deg på Microsofts program for forbedret kundeopplevelse

  3. Følg instruksjonene på skjermen for å fullføre klientinstallasjonen.

  4. Hvis du lastet ned den nyeste oppdateringsdefinisjonspakken, kopierer du pakken til klientdatamaskinen og dobbeltklikker definisjonspakken for å installere den.

    Obs!

    Når endepunktbeskyttelsesklienten er fullført, utfører klienten automatisk en kontroll av definisjonsoppdatering. Hvis denne oppdateringskontrollen lykkes, trenger du ikke å installere den nyeste oppdateringspakken for definisjonen manuelt.

Eksempel: Installere klienten med en policy for beskyttelse mot skadelig programvare

scepinstall.exe /policy <full path>\<policy file>

Bekreft installasjonen av Endpoint Protection-klienten

Når du har installert Endpoint Protection-klienten på referansedatamaskinen, må du kontrollere at klienten fungerer som den skal.

  1. Åpne System Center Endpoint Protection fra systemstatusfeltet i Windows på referansedatamaskinen.

  2. Kontroller at sanntidsbeskyttelse er satt til på fanen Hjemi dialogboksen System Center Endpoint Protection.

  3. Kontroller at oppdatert vises for virus- og spionprogramdefinisjoner.

  4. Hvis du vil forsikre deg om at referansedatamaskinen er klar for bildebehandling, velger du Full under Skannealternativer, og deretter klikker du Skann nå.

Konfigurer nettverksbeskyttelse

Før du aktiverer nettverksbeskyttelse i overvåkings- eller blokkeringsmodus, må du kontrollere at du har installert plattformen for beskyttelse mot skadelig programvare, som kan hentes fra støttesiden.

Konfigurer kontrollert mappetilgang

Aktiver funksjonen i overvåkingsmodus i minst 30 dager. Etter denne perioden kan du se gjennom gjenkjenninger og opprette en liste over programmer som har tillatelse til å skrive til beskyttede kataloger.

Hvis du vil ha mer informasjon, kan du se Evaluer kontrollert mappetilgang.

Kjør en gjenkjenningstest for å bekrefte pålasting

Når du har pålastet enheten, kan du velge å kjøre en gjenkjenningstest for å bekrefte at en enhet er riktig pålastet tjenesten. Hvis du vil ha mer informasjon, kan du se Kjøre en gjenkjenningstest på en nylig pålastet Microsoft Defender for endepunkt enhet.

Eksterne enheter som bruker Configuration Manager

Av sikkerhetsårsaker utløper pakken som brukes til offboard-enheter, 7 dager etter datoen den ble lastet ned. Utløpte offboarding-pakker som sendes til en enhet, blir avvist. Når du laster ned en offboarding-pakke, blir du varslet om utløpsdatoen for pakkene, og den blir også inkludert i pakkenavnet.

Obs!

Pålastings- og avlastingspolicyer må ikke distribueres på samme enhet samtidig, ellers vil dette føre til uforutsigbare kollisjoner.

Offboard-enheter som bruker Microsoft Configuration Manager gjeldende gren

Hvis du bruker Microsoft Configuration Manager gjeldende gren, kan du se Opprette en offboarding-konfigurasjonsfil.

Offboard-enheter som bruker System Center 2012 R2 Configuration Manager

  1. Hent offboarding-pakken fra Microsoft Defender portal:

    1. Velg Innstillinger>endepunkter enhetsbehandling>>offboarding i navigasjonsruten.
    2. Velg Windows 10 eller Windows 11 som operativsystem.
    3. Velg Systemsenter Configuration Manager 2012/2012 R2/1511/1602 i distribusjonsmetodefeltet.
    4. Velg Last ned pakke, og lagre .zip filen.

  2. Pakk ut innholdet i .zip-filen til en delt, skrivebeskyttet plassering som nettverksadministratorene kan få tilgang til. Du bør ha en fil med navnet WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Distribuer pakken ved å følge trinnene i artikkelen Pakker og programmer i System Center 2012 R2 Configuration Manager.

    Velg en forhåndsdefinert enhetssamling å distribuere pakken til.

Viktig

Avlasting fører til at enheten slutter å sende sensordata til portalen, men data fra enheten, inkludert referanse til eventuelle varsler den har hatt, beholdes i opptil 6 måneder.

Overvåk enhetskonfigurasjon

Hvis du bruker Microsoft Configuration Manager gjeldende gren, kan du bruke det innebygde instrumentbordet for Defender for Endpoint i Configuration Manager-konsollen. Hvis du vil ha mer informasjon, kan du se Defender for Endpoint – Monitor.

Hvis du bruker System Center 2012 R2 Configuration Manager, består overvåking av to deler:

  1. Bekrefter at konfigurasjonspakken er riktig distribuert og kjører (eller har kjørt) på enhetene i nettverket.

  2. Kontroller at enhetene er kompatible med Defender for Endpoint-tjenesten (dette sikrer at enheten kan fullføre pålastingsprosessen og kan fortsette å rapportere data til tjenesten).

Bekreft at konfigurasjonspakken er riktig distribuert

  1. Klikk Overvåking nederst i navigasjonsruten i Configuration Manager-konsollen.

  2. Velg Oversikt og deretter Distribusjoner.

  3. Velg distribusjonen med pakkenavnet.

  4. Se gjennom statusindikatorene under Fullføringsstatistikk og Innholdsstatus.

    Hvis det finnes mislykkede distribusjoner (enheter med feil, krav ikke oppfylt eller mislykkede statuser), må du kanskje feilsøke enhetene. Hvis du vil ha mer informasjon, kan du se Feilsøke Microsoft Defender for endepunkt pålastingsproblemer.

    Den Configuration Manager som viser vellykket distribusjon uten feil

Kontroller at enhetene er kompatible med Microsoft Defender for endepunkt-tjenesten

Du kan angi en samsvarsregel for konfigurasjonselement i System Center 2012 R2 Configuration Manager for å overvåke distribusjonen.

Denne regelen bør være et ikke-utbedring av konfigurasjonselement for samsvarsregler som overvåker verdien av en registernøkkel på målrettede enheter.

Overvåk følgende registernøkkeloppføring:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Hvis du vil ha mer informasjon, kan du se Innføring i samsvarsinnstillinger i System Center 2012 R2 Configuration Manager.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.