Delen via

Windows-servers onboarden naar de Microsoft Defender voor Eindpunt-service

  • Artikel

Van toepassing op:

  • Microsoft Defender voor Eindpunt voor servers
  • Microsoft Defender voor servers, abonnement 1 of abonnement 2

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Defender voor Eindpunt breidt de ondersteuning uit met ook het Windows Server besturingssysteem. Deze ondersteuning biedt geavanceerde mogelijkheden voor detectie en onderzoek van aanvallen naadloos via de Microsoft Defender portal. Ondersteuning voor Windows Server biedt meer inzicht in serveractiviteiten, dekking voor detectie van kernel- en geheugenaanvallen en maakt responsacties mogelijk.

In dit artikel wordt beschreven hoe u specifieke Windows-servers onboardt naar Defender voor Eindpunt.

Zie Windows-beveiliging Basislijnen voor hulp bij het downloaden en gebruiken van Windows-beveiliging Basislijnen voor Windows-servers.

Tip

Als aanvulling op dit artikel raadpleegt u de installatiehandleiding voor Security Analyzer om best practices te bekijken en te leren hoe u de beveiliging versterkt, de naleving verbetert en met vertrouwen door het cyberbeveiligingslandschap navigeert. Voor een aangepaste ervaring op basis van uw omgeving hebt u toegang tot de handleiding voor automatische installatie van Security Analyzer in de Microsoft 365-beheercentrum.

Windows Server overzicht van onboarding

In het volgende diagram ziet u de algemene stappen die nodig zijn om servers te onboarden.

Een afbeelding van de onboardingstroom voor Windows-servers en Windows 10-apparaten.

Opmerking

Windows Hyper-V Server-edities worden niet ondersteund.

Integratie met Microsoft Defender voor servers

Defender voor Eindpunt kan naadloos worden geïntegreerd met Microsoft Defender voor servers en Microsoft Defender voor cloud. U kunt servers automatisch onboarden, servers die worden bewaakt door Defender for Cloud laten verschijnen in Defender voor Eindpunt en gedetailleerde onderzoeken uitvoeren als Defender for Cloud-klant. Zie Uw eindpunten beveiligen met Defender voor Eindpunt-integratie met Defender voor Cloud voor meer informatie

Op apparaten waarop Windows Server 2016 of Windows Server 2012 R2 wordt uitgevoerd, kunt u de moderne geïntegreerde oplossing handmatig installeren/upgraden of de integratie met Defender voor Servers gebruiken om automatisch servers te implementeren of bij te werken die onder uw respectieve Defender for Server-abonnement vallen. Zie Uw eindpunten beveiligen met Defender for Endpoint-integratie met Defender for Cloud voor meer informatie.

Wanneer u Defender for Cloud gebruikt voor het bewaken van servers, wordt automatisch een Defender for Endpoint-tenant gemaakt (in de VS voor Amerikaanse gebruikers, in de EU voor Europese gebruikers en in het VK voor britse gebruikers). Gegevens die door Defender voor Eindpunt worden verzameld, worden opgeslagen in de geografische locatie van de tenant, zoals aangegeven tijdens het inrichten.

Als u Defender voor Eindpunt gaat gebruiken voordat u Defender for Cloud gebruikt, worden uw gegevens opgeslagen op de locatie die u hebt opgegeven bij het maken van uw tenant, zelfs als u op een later tijdstip integreert met Defender for Cloud. Zodra de configuratie is uitgevoerd, kunt u de locatie waar uw gegevens zijn opgeslagen niet meer wijzigen. Als u uw gegevens naar een andere locatie wilt verplaatsen, neemt u contact op met Microsoft Ondersteuning om de tenant opnieuw in te stellen.

Servereindpuntbewaking met behulp van de integratie tussen Defender for Servers en Defender for Endpoint is niet beschikbaar voor Office 365 GCC-klanten.

Voorheen was het gebruik van de Microsoft Monitoring Agent (MMA) op Windows Server 2016, Windows Server 2012 R2 en eerdere versies van Windows Server toegestaan voor de OMS-/Log Analytics-gateway om connectiviteit te bieden met Defender-cloudservices. De nieuwe oplossing, zoals Defender voor Eindpunt op Windows Server 2019 en hoger, en Windows 10 of hoger, biedt geen ondersteuning voor deze gateway.

Linux-servers die via Defender voor Cloud zijn onboarden, hebben hun eerste configuratie ingesteld om Microsoft Defender Antivirus in passieve modus uit te voeren.

Windows Server 2016 en Windows Server 2012 R2

  • Installatie- en onboardingpakketten downloaden
  • Het installatiepakket toepassen
  • Volg de onboardingstappen voor het bijbehorende hulpprogramma

Windows Server Semi-Annual Enterprise-kanaal en Windows Server 2019 of hoger

  • Het onboarding-pakket downloaden
  • Volg de onboardingstappen voor het bijbehorende hulpprogramma

Functionaliteit in de moderne geïntegreerde oplossing

Voor de vorige implementatie (vóór april 2022) van het onboarden van Windows Server 2016 en Windows Server 2012 R2 was het gebruik van Microsoft Monitoring Agent (MMA) vereist.

Het nieuwe geïntegreerde oplossingspakket maakt het eenvoudiger om servers te onboarden door afhankelijkheden en installatiestappen te verwijderen. Het biedt ook een veel uitgebreide functieset. Zie Defending Windows Server 2012 R2 and 2016 (Verdediging van Windows Server 2012 R2 en 2016) voor meer informatie.

Afhankelijk van de server die u onboardt, installeert de geïntegreerde oplossing Defender voor Eindpunt en/of de EDR-sensor. In de volgende tabel wordt aangegeven welk onderdeel is geïnstalleerd en wat standaard is ingebouwd.

Serverversie AV EDR
Windows Server 2012 R2 Ja Ja
Windows Server 2016 Ingebouwd Ja
Windows Server 2019 en hoger Ingebouwd Ingebouwd

Als u uw servers eerder hebt onboarden met behulp van MMA, volgt u de richtlijnen in Servermigratie om te migreren naar de nieuwe oplossing.

Belangrijk

Voordat u doorgaat met onboarding, raadpleegt u de sectie Bekende problemen en beperkingen in het nieuwe, geïntegreerde oplossingspakket voor Windows Server 2012 R2 en Windows Server 2016.

Vereisten

Vereisten voor Windows Server 2016 en Windows Server 2012 R2

Vereisten voor het uitvoeren van Defender voor Eindpunt met niet-Microsoft-beveiligingsoplossingen

Als u van plan bent een antimalwareoplossing van Microsoft te gebruiken, moet u Microsoft Defender Antivirus uitvoeren in de passieve modus. Vergeet niet om de passieve modus in te stellen tijdens het installatie- en onboardingproces.

Opmerking

Als u Defender voor Eindpunt installeert op servers met McAfee Endpoint Security (ENS) of VirusScan Enterprise (VSE), moet de versie van het McAfee-platform mogelijk worden bijgewerkt om ervoor te zorgen Microsoft Defender Antivirus niet wordt verwijderd of uitgeschakeld. Zie het artikel McAfee Knowledge Center voor meer informatie, waaronder de vereiste specifieke versienummers.

Pakketten voor Windows Server 2016 of Windows Server 2012 R2 bijwerken

Als u regelmatig productverbeteringen en correcties voor het onderdeel Defender voor Eindpunt wilt ontvangen, moet u ervoor zorgen dat Windows Update KB5005292 wordt toegepast of goedgekeurd. Zie Bovendien Microsoft Defender Antivirus-updates beheren en basislijnen toepassen om beveiligingsonderdelen bijgewerkt te houden.

Als u Windows Server Update Services (WSUS) en/of Microsoft Endpoint Configuration Manager gebruikt, is deze nieuwe 'Microsoft Defender voor Eindpunt update voor EDR Sensor' beschikbaar onder de categorie ' Microsoft Defender voor Eindpunt."

Overzicht van onboardingstappen

STAP 1: Installatie- en onboardingpakketten downloaden

U moet zowel de installatie- als onboardingpakketten downloaden vanuit de portal.

Opmerking

Het installatiepakket wordt maandelijks bijgewerkt. Zorg ervoor dat u het meest recente pakket downloadt voor gebruik. Als u na de installatie wilt bijwerken, hoeft u het installatiepakket niet opnieuw uit te voeren. Als u dat doet, vraagt het installatieprogramma u eerst om te offboarden, omdat dat een vereiste is voor het verwijderen. Zie Updatepakketten voor Defender voor Eindpunt op Windows Server 2012 R2 en 2016.

Afbeelding van onboardingdashboard

Opmerking

Op Windows Server 2016 moet Microsoft Defender Antivirus eerst als functie worden geïnstalleerd (zie Overschakelen naar Defender voor eindpunt) en volledig worden bijgewerkt voordat u doorgaat met de installatie.

Als u een antimalwareoplossing gebruikt die niet van Microsoft is, moet u uitsluitingen voor Microsoft Defender Antivirus (uit deze lijst met Microsoft Defender Processen op het tabblad Defender-processen) vóór de installatie toevoegen aan de niet-Microsoft-oplossing. Het wordt ook aanbevolen om niet-Microsoft-beveiligingsoplossingen toe te voegen aan de Defender Antivirus uitsluitingslijst.

Het installatiepakket bevat een MSI-bestand waarmee de Defender for Endpoint-agent wordt geïnstalleerd.

Het onboarding-pakket bevat WindowsDefenderATPOnboardingScript.cmd, dat het onboardingscript bevat.

Volg deze stappen om de pakketten te downloaden:

  1. Ga in de Microsoft Defender-portal naar Instellingen > Eindpunt > onboarding.

  2. Selecteer Windows Server 2016 en Windows Server 2012 R2.

  3. Selecteer Installatiepakket downloaden en sla het .msi-bestand op.

  4. Selecteer Onboarding-pakket downloaden en sla het .zip-bestand op.

  5. Installeer het installatiepakket met behulp van een van de opties om Microsoft Defender Antivirus te installeren. Voor de installatie zijn beheerdersmachtigingen vereist.

Belangrijk

Een lokaal onboardingscript is geschikt voor een proof-of-concept, maar mag niet worden gebruikt voor productie-implementatie. Voor een productie-implementatie wordt u aangeraden groepsbeleid of Microsoft Endpoint Configuration Manager te gebruiken.

STAP 2: Het installatie- en onboardingpakket toepassen

In deze stap installeert u de preventie- en detectieonderdelen die vereist zijn voordat u uw apparaat onboardt naar de Defender voor Eindpunt-cloudomgeving, om de machine voor te bereiden voor onboarding. Zorg ervoor dat aan alle vereisten is voldaan.

Opmerking

Microsoft Defender Antivirus wordt geïnstalleerd en is actief, tenzij u deze instelt op passieve modus.

Opties voor het installeren van de Defender voor Eindpunt-pakketten

In de vorige sectie hebt u een installatiepakket gedownload. Het installatiepakket bevat het installatieprogramma voor alle Defender for Endpoint-onderdelen.

U kunt een van de volgende opties gebruiken om de agent te installeren:

Defender for Endpoint installeren met behulp van de opdrachtregel

Gebruik het installatiepakket uit de vorige stap om Defender voor Eindpunt te installeren.

Voer de volgende opdracht uit om Defender voor Eindpunt te installeren:

Msiexec /i md4ws.msi /quiet

Als u wilt verwijderen, moet u ervoor zorgen dat de machine eerst is offboarded met behulp van het juiste offboarding-script. Gebruik vervolgens Configuratiescherm > Programma's > en onderdelen om het verwijderen uit te voeren.

U kunt ook de volgende verwijderingsopdracht uitvoeren om Defender voor Eindpunt te verwijderen:

Msiexec /x md4ws.msi /quiet

U moet hetzelfde pakket gebruiken dat u hebt gebruikt voor de installatie om de bovenstaande opdracht te laten slagen.

De /quiet schakeloptie onderdrukt alle meldingen.

Opmerking

Microsoft Defender Antivirus wordt niet automatisch in de passieve modus gezet. U kunt instellen dat Microsoft Defender Antivirus in de passieve modus wordt uitgevoerd als u een antivirus-/antimalwareoplossing gebruikt die niet van Microsoft is. Voor opdrachtregelinstallaties stelt de optionele FORCEPASSIVEMODE=1 het onderdeel Microsoft Defender Antivirus onmiddellijk in op passieve modus om interferentie te voorkomen. Stel vervolgens de registersleutel ForceDefenderPassiveMode in om ervoor te zorgen dat Defender Antivirus na onboarding in de passieve modus blijft om mogelijkheden zoals EDR Block te ondersteunen.

Ondersteuning voor Windows Server biedt meer inzicht in serveractiviteiten, dekking voor detectie van kernel- en geheugenaanvallen en maakt responsacties mogelijk.

Defender voor Eindpunt installeren met behulp van een script

U kunt het helperscript voor installatieprogramma's gebruiken om de installatie, verwijdering en onboarding te automatiseren.

Opmerking

Het installatiescript is ondertekend. Wijzigingen in het script maken de handtekening ongeldig. Wanneer u het script downloadt van GitHub, is het raadzaam om onbedoelde wijzigingen te voorkomen door de bronbestanden te downloaden als een zip-archief en deze vervolgens uit te pakken om het install.ps1-bestand te verkrijgen (selecteer op de hoofdpagina Code de vervolgkeuzelijst Code en selecteer ZIP downloaden).

Dit script kan worden gebruikt in verschillende scenario's, waaronder scenario's die worden beschreven in Servermigratiescenario's van de vorige, op MMA gebaseerde Defender voor Eindpunt-oplossing en voor implementatie met behulp van groepsbeleid zoals hieronder wordt beschreven.

Installatie- en onboardingpakketten toepassen met behulp van groepsbeleid

Als u groepsbeleid gebruikt, past u Defender voor Eindpunt-installatie- en onboardingpakketten toe met een installatiescript.

  1. Maak een groepsbeleid door deze stappen te volgen:

    1. Open de groepsbeleid-beheerconsole.

    2. Klik met de rechtermuisknop op groepsbeleid Objecten die u wilt configureren en selecteer vervolgens Nieuw.

    3. Geef de naam op van het nieuwe groepsbeleid Object (GPO) en selecteer vervolgens OK.

  2. Klik in de groepsbeleid-beheerconsole met de rechtermuisknop op het groepsbeleid Object (GPO) dat u wilt configureren en selecteer bewerken.

  3. Ga in de Editor groepsbeleid Management naar Computerconfiguratie, vervolgens Voorkeuren en vervolgens Naar Instellingen van het Configuratiescherm.

  4. Klik met de rechtermuisknop op Geplande taken, wijs Nieuw aan en selecteer vervolgens Onmiddellijke taak (ten minste Windows 7).

  5. Ga in het taakvenster dat wordt geopend naar het tabblad Algemeen . Selecteer onder Beveiligingsoptiesde optie Gebruiker of groep wijzigen en typ SYSTEM en selecteer vervolgens Namen controleren en ok. NT AUTHORITY\SYSTEM wordt weergegeven als het gebruikersaccount waarop de taak wordt uitgevoerd.

  6. Selecteer Uitvoeren of de gebruiker is aangemeld of niet en schakel het selectievakje Uitvoeren met de hoogste bevoegdheden in.

  7. Typ in het veld Naam een geschikte naam voor de geplande taak (bijvoorbeeld Defender voor eindpuntimplementatie).

  8. Ga naar het tabblad Acties en selecteer Nieuw... Zorg ervoor dat Een programma starten is geselecteerd in het veld Actie . Het installatiescript verwerkt de installatie en voert de onboardingstap onmiddellijk uit nadat de installatie is voltooid. Selecteer C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe geef vervolgens de argumenten op:

    -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd

    Opmerking

    De aanbevolen instelling voor uitvoeringsbeleid is Allsigned. Hiervoor moet het handtekeningcertificaat van het script worden geïmporteerd in het archief met vertrouwde uitgevers van lokale computer als het script wordt uitgevoerd als SYSTEM op het eindpunt.

    Vervang door \\servername-or-dfs-space\share-name het UNC-pad, met behulp van de FQDN (Fully Qualified Domain Name) van de bestandsserver van het gedeelde install.ps1 bestand. Het installatiepakket md4ws.msi moet in dezelfde map worden geplaatst. Zorg ervoor dat de machtigingen van het UNC-pad schrijftoegang toestaan tot het computeraccount dat het pakket installeert, om het maken van logboekbestanden te ondersteunen. Als u het maken van logboekbestanden wilt uitschakelen (niet aanbevolen), kunt u de -noETL -noMSILog parameters gebruiken.

    Voor scenario's waarin u wilt dat Microsoft Defender Antivirus naast antimalwareoplossingen van Microsoft bestaat, voegt u de parameter $Passive toe om de passieve modus in te stellen tijdens de installatie.

  9. Selecteer OK en sluit alle geopende groepsbeleid beheerconsolevensters.

  10. Als u het groepsbeleidsobject wilt koppelen aan een organisatie-eenheid (OE), klikt u met de rechtermuisknop en selecteert u Een bestaand groepsbeleidsobject koppelen. Selecteer in het dialoogvenster dat wordt weergegeven het groepsbeleid Object dat u wilt koppelen. Selecteer OK.

Zie Instellingen voor voorbeeldverzameling configureren en Andere aanbevolen configuratie-instellingen voor meer configuratie-instellingen.

STAP 3: Voltooi de onboardingstappen

De volgende stappen zijn alleen van toepassing als u een antimalwareoplossing van microsoft gebruikt. U moet de volgende instelling voor de passieve modus antivirus toepassen Microsoft Defender. Controleer of deze juist is geconfigureerd:

  1. Stel de volgende registervermelding in:

    • Pad: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • Naam: ForceDefenderPassiveMode
    • Type: REG_DWORD
    • Waarde: 1

    Schermopname van het verificatieresultaat van de passieve modus.

Bekende problemen en beperkingen in de moderne geïntegreerde oplossing

De volgende punten zijn van toepassing op Windows Server 2016 en Windows Server 2012 R2:

  • Download altijd het meest recente installatiepakket van de Microsoft Defender portal (https://security.microsoft.com) voordat u een nieuwe installatie uitvoert en zorg ervoor dat aan de vereisten wordt voldaan. Zorg ervoor dat u na de installatie regelmatig bijwerkt met onderdeelupdates die worden beschreven in de sectie Updatepakketten voor Defender voor Eindpunt op Windows Server 2012 R2 en 2016.

  • Een update van het besturingssysteem kan een installatieprobleem veroorzaken op computers met tragere schijven vanwege een time-out met service-installatie. De installatie mislukt met het bericht 'Kan c:\program files\windows defender\mpasdesc.dll, - 310 WinDefend niet vinden'. Gebruik het meest recente installatiepakket en het meest recente install.ps1 script om de mislukte installatie indien nodig te wissen.

  • De gebruikersinterface op Windows Server 2016 en Windows Server 2012 R2 staat alleen basisbewerkingen toe. Raadpleeg Defender for Endpoint beheren met PowerShell, WMI en MPCmdRun.exeom bewerkingen lokaal uit te voeren op een apparaat. Als gevolg hiervan werken functies die specifiek afhankelijk zijn van gebruikersinteractie, zoals wanneer de gebruiker wordt gevraagd een beslissing te nemen of een specifieke taak uit te voeren, mogelijk niet zoals verwacht. Het wordt aanbevolen om de gebruikersinterface uit te schakelen of niet in te schakelen en geen gebruikersinteractie op een beheerde server te vereisen, omdat dit van invloed kan zijn op de beveiligingsmogelijkheden.

  • Niet alle regels voor het verminderen van kwetsbaarheid voor aanvallen zijn van toepassing op alle besturingssystemen. Zie Regels voor het verminderen van kwetsbaarheid voor aanvallen.

  • Upgrades van besturingssystemen worden niet ondersteund. Offboard en vervolgens verwijderen voordat u een upgrade uitvoert. Het installatiepakket kan alleen worden gebruikt voor het upgraden van installaties die nog niet zijn bijgewerkt met nieuwe antimalwareplatform- of EDR-sensorupdatepakketten.

  • Als u de nieuwe oplossing automatisch wilt implementeren en onboarden met behulp van Microsoft Endpoint Configuration Manager (MECM), moet u versie 2207 of hoger hebben. U kunt nog steeds met behulp van versie 2107 configureren en implementeren met het hotfixpakket, maar hiervoor zijn extra implementatiestappen vereist. Zie Migratiescenario's voor Microsoft Endpoint Configuration Manager voor meer informatie.

Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019 en Windows Server 2022 en Windows Server 2025

Pakket downloaden

  1. Ga in de Microsoft Defender-portal naar Instellingen>Eindpunten>Apparaatbeheer>Onboarding.

  2. Selecteer Windows Server 1803, 2019 en 2022.

  3. Selecteer Pakket downloaden. Sla het op als WindowsDefenderATPOnboardingPackage.zip.

  4. Volg de stappen in de sectie De onboardingstappen voltooien .

De onboarding en installatie controleren

Controleer of Microsoft Defender Antivirus en Defender voor Eindpunt actief zijn.

Een detectietest uitvoeren om onboarding te controleren

Nadat u het apparaat hebt onboarden, kunt u ervoor kiezen om een detectietest uit te voeren om te controleren of een apparaat correct is onboarding voor de service. Zie Een detectietest uitvoeren op een nieuw onboarded Defender for Endpoint-apparaat voor meer informatie.

Opmerking

Het uitvoeren van Microsoft Defender Antivirus is niet vereist, maar het wordt aanbevolen. Als een ander antivirusproduct de primaire oplossing voor eindpuntbeveiliging is, kunt u Defender Antivirus uitvoeren in passieve modus. U kunt alleen bevestigen dat de passieve modus is ingeschakeld nadat u hebt gecontroleerd of de Defender for Endpoint-sensor (SENSE) wordt uitgevoerd.

  1. Voer de volgende opdracht uit om te controleren of Microsoft Defender Antivirus is geïnstalleerd:

    Opmerking

    Deze verificatiestap is alleen vereist als u Microsoft Defender Antivirus gebruikt als uw actieve antimalwareoplossing.

    sc.exe query Windefend

    Als het resultaat 'De opgegeven service bestaat niet als een geïnstalleerde service' is, moet u Microsoft Defender Antivirus installeren.

    Zie Groepsbeleid-instellingen gebruiken om Microsoft Defender Antivirus te configureren en te beheren voor informatie over het gebruik van groepsbeleid voor het configureren en beheren van Microsoft Defender Antivirus op uw Windows-servers.

  2. Voer de volgende opdracht uit om te controleren of Defender voor Eindpunt wordt uitgevoerd:

    sc.exe query sense

    Het resultaat moet aangeven dat het wordt uitgevoerd. Als u problemen ondervindt met onboarding, raadpleegt u Problemen met onboarding oplossen.

Een detectietest uitvoeren

Volg de stappen in Een detectietest uitvoeren op een nieuw onboarded apparaat om te controleren of de server rapporteert aan Defender voor de Eindpuntservice.

Volgende stappen

Nadat de onboarding van apparaten naar de service is voltooid, moet u de afzonderlijke onderdelen van Defender for Endpoint configureren. Volg Mogelijkheden configureren om te worden begeleid bij het inschakelen van de verschillende onderdelen.

Offboard Windows-servers

U kunt Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019, Windows Server 2019 Core Edition, Windows Server 2022 en Windows Server 2025 met dezelfde methode die beschikbaar is voor Windows 10 clientapparaten.

Na offboarding kunt u doorgaan met het verwijderen van het geïntegreerde oplossingspakket op Windows Server 2016 en Windows Server 2012 R2.

Voor andere Windows-serverversies hebt u twee opties om Windows-servers van de service te offboarden:

  • De MMA-agent verwijderen
  • De configuratie van de Defender for Endpoint-werkruimte verwijderen

Opmerking

Deze offboarding-instructies voor andere Windows Server-versies zijn ook van toepassing als u de vorige Defender voor Eindpunt voor Windows Server 2016 en Windows Server 2012 R2 uitvoert waarvoor de MMA is vereist. Instructies voor het migreren naar de nieuwe geïntegreerde oplossing zijn bij Servermigratiescenario's in Defender voor Eindpunt.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.