Windows-apparaten onboarden met Configuration Manager
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
- Microsoft Configuration Manager huidige vertakking
- System Center 2012 R2 Configuration Manager
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Vereisten
Belangrijk
De sitesysteemrol Endpoint Protection-punt is vereist, zodat het beleid voor het verminderen van antivirus- en kwetsbaarheid voor aanvallen correct wordt geïmplementeerd op de doeleindpunten. Zonder deze rol ontvangen de eindpunten in de apparaatverzameling niet het geconfigureerde antivirus- en kwetsbaarheidsbeperkingsbeleid.
U kunt Configuration Manager gebruiken om eindpunten te onboarden bij de Microsoft Defender voor Eindpunt-service.
Er zijn verschillende opties die u kunt gebruiken om apparaten te onboarden met behulp van Configuration Manager:
Opmerking
Defender voor Eindpunt biedt geen ondersteuning voor onboarding tijdens de Out-Of-Box Experience-fase (OOBE). Zorg ervoor dat gebruikers OOBE voltooien na het uitvoeren van windows-installatie of een upgrade.
Houd er rekening mee dat het mogelijk is om een detectieregel te maken voor een Configuration Manager toepassing om continu te controleren of een apparaat is onboarded. Een toepassing is een ander type object dan een pakket en programma. Als een apparaat nog niet is onboarded (vanwege OOBE-voltooiing in behandeling of een andere reden), probeert Configuration Manager het apparaat opnieuw te onboarden totdat de regel de statuswijziging detecteert.
Dit gedrag kan worden bereikt door een detectieregel te maken die controleert of de registerwaarde 'OnboardingState' (van het type REG_DWORD) = 1 is. Deze registerwaarde bevindt zich onder HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status. Zie Detectiemethoden configureren in System Center 2012 R2 Configuration Manager voor meer informatie.
Instellingen voor voorbeeldverzameling configureren
Voor elk apparaat kunt u een configuratiewaarde instellen om aan te geven of voorbeelden van het apparaat kunnen worden verzameld wanneer een aanvraag wordt gedaan via Microsoft Defender XDR om een bestand in te dienen voor diepgaande analyse.
Opmerking
Deze configuratie-instellingen worden doorgaans uitgevoerd via Configuration Manager.
U kunt een nalevingsregel instellen voor configuratie-item in Configuration Manager om de voorbeeldshare-instelling op een apparaat te wijzigen.
Deze regel moet een configuratie-item voor het herstellen van de nalevingsregel zijn waarmee de waarde van een registersleutel op doelapparaten wordt ingesteld om ervoor te zorgen dat ze compatibel zijn.
De configuratie wordt ingesteld via de volgende registersleutelvermelding:
Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1
Waarbij sleuteltype een D-WORD is. Mogelijke waarden zijn:
- 0: Het delen van voorbeelden vanaf dit apparaat is niet toegestaan
- 1: Hiermee kunt u alle bestandstypen vanaf dit apparaat delen
De standaardwaarde voor het geval de registersleutel niet bestaat, is 1.
Zie Inleiding tot nalevingsinstellingen in System Center 2012 R2 Configuration Manager voor meer informatie over Naleving van System Center Configuration Manager.
Windows-apparaten onboarden met Microsoft Configuration Manager
Verzameling maken
Als u Windows-apparaten wilt onboarden met Microsoft Configuration Manager, kan de implementatie gericht zijn op een bestaande verzameling of kan een nieuwe verzameling worden gemaakt om te worden getest.
Onboarding met behulp van hulpprogramma's zoals groepsbeleid of een handmatige methode installeert geen agents op het systeem.
In de Microsoft Configuration Manager-console wordt het onboardingproces geconfigureerd als onderdeel van de nalevingsinstellingen in de console.
Elk systeem dat deze vereiste configuratie ontvangt, behoudt die configuratie zolang de Configuration Manager client dit beleid van het beheerpunt blijft ontvangen.
Volg deze stappen om eindpunten te onboarden met behulp van Microsoft Configuration Manager:
Navigeer in de Microsoft Configuration Manager-console naar Apparaatverzamelingen met het overzicht > van assets en naleving>.
Selecteer Apparaatverzameling en houd deze ingedrukt (of klik erop met de rechtermuisknop) en selecteer Apparaatverzameling maken.
Geef een naam en verzameling beperken op en selecteer vervolgens Volgende.
Selecteer Regel toevoegen en kies Queryregel.
Selecteer Volgende in de wizard Direct lidmaatschap en selecteer vervolgens Query-instructie bewerken.
Selecteer Criteria en kies vervolgens het pictogram star.
Houd criteriumtype als eenvoudige waarde, kies besturingssysteem - buildnummer, operator als groter dan of gelijk is aan en waarde 14393 en selecteer OK.
Selecteer Volgende en Sluiten.
Selecteer Volgende.
Nadat u deze taak hebt voltooid, hebt u een apparaatverzameling met alle Windows-eindpunten in de omgeving.
Andere aanbevolen configuratie-instellingen
Na het onboarden van apparaten voor de service is het belangrijk om te profiteren van de meegeleverde mogelijkheden voor bedreigingsbeveiliging door ze in te schakelen met de volgende aanbevolen configuratie-instellingen.
Configuratie van apparaatverzameling
Als u Configuration Manager, versie 2002 of hoger gebruikt, kunt u ervoor kiezen om de implementatie uit te breiden met servers of downlevel clients.
Beveiligingsconfiguratie van de volgende generatie
De volgende configuratie-instellingen worden aanbevolen:
Scannen
- Verwisselbare opslagapparaten zoals USB-stations scannen: Ja
Realtime-beveiliging
- Gedragsbewaking inschakelen: Ja
- Beveiliging tegen mogelijk ongewenste toepassingen bij het downloaden en vóór de installatie inschakelen: Ja
Cloud Protection Service
- Lidmaatschapstype cloudbeveiligingsservice: Geavanceerd lidmaatschap
Kwetsbaarheid voor aanvallen verminderen
Configureer alle beschikbare regels voor Controle.
Opmerking
Het blokkeren van deze activiteiten kan legitieme bedrijfsprocessen onderbreken. De beste aanpak is om alles in te stellen op controle, te bepalen welke veilig zijn om in te schakelen en vervolgens die instellingen in te schakelen op eindpunten die geen fout-positieve detecties hebben.
Voor het implementeren van Microsoft Defender Antivirus- en kwetsbaarheidsbeperkingsbeleid via Microsoft Configuration Manager (SCCM) volgt u de stappen:
- Schakel Endpoint Protection in en configureer aangepaste clientinstellingen.
- Installeer de Endpoint Protection-client vanaf een opdrachtprompt.
- Controleer de installatie van de Endpoint Protection-client.
Endpoint Protection inschakelen en aangepaste clientinstellingen configureren
Volg de stappen om eindpuntbeveiliging en configuratie van aangepaste clientinstellingen in te schakelen:
Klik in de Configuration Manager-console op Beheer.
Klik in de werkruimte Beheer op Clientinstellingen.
Klik op het tabblad Start in de groep Maken op Aangepaste clientapparaatinstellingen maken.
Geef in het dialoogvenster Aangepaste clientapparaatinstellingen maken een naam en een beschrijving op voor de groep instellingen en selecteer vervolgens Endpoint Protection.
Configureer de endpoint protection-clientinstellingen die u nodig hebt. Zie de sectie Endpoint Protection in Over clientinstellingen voor een volledige lijst met Endpoint Protection-clientinstellingen die u kunt configureren.
Belangrijk
Installeer de sitesysteemrol Endpoint Protection voordat u clientinstellingen configureert voor Endpoint Protection.
Klik op OK om het dialoogvenster Aangepaste clientapparaatinstellingen maken te sluiten. De nieuwe clientinstellingen worden weergegeven in het knooppunt Clientinstellingen van de werkruimte Beheer .
Implementeer vervolgens de aangepaste clientinstellingen in een verzameling. Selecteer de aangepaste clientinstellingen die u wilt implementeren. Klik op het tabblad Start in de groep Clientinstellingen op Implementeren.
Kies in het dialoogvenster Verzameling selecteren de verzameling waarvoor u de clientinstellingen wilt implementeren en klik vervolgens op OK. De nieuwe implementatie wordt weergegeven op het tabblad Implementaties van het detailvenster.
Clients worden geconfigureerd met deze instellingen wanneer ze vervolgens clientbeleid downloaden. Zie Het ophalen van beleid voor een Configuration Manager-client initiëren voor meer informatie.
Opmerking
Voor Windows Server 2012 R2 en Windows Server 2016 die worden beheerd door Configuration Manager 2207 en latere versies, kunt u onboarden met behulp van de Microsoft Defender voor Eindpunt-client (MDE) (aanbevolen) montuur. U kunt ook oudere versies van Configuration Manager gebruiken om een migratie uit te voeren. Zie Servers migreren van Microsoft Monitoring Agent naar de geïntegreerde oplossing voor meer informatie.
Installatie van Endpoint Protection-client vanaf een opdrachtprompt
Volg de stappen om de installatie van de Endpoint Protection-client te voltooien vanaf de opdrachtprompt.
Kopieer scepinstall.exe uit de map Client van de Configuration Manager installatiemap naar de computer waarop u de Endpoint Protection-clientsoftware wilt installeren.
Open een opdrachtprompt-venster als beheerder. Wijzig de map in de map met het installatieprogramma. Voer vervolgens uit
scepinstall.exe
en voeg eventuele extra opdrachtregeleigenschappen toe die u nodig hebt:Eigenschap Beschrijving /s
Voer het installatieprogramma op de achtergrond uit /q
De installatiebestanden op de achtergrond uitpakken /i
Voer het installatieprogramma normaal uit /policy
Geef een antimalwarebeleidsbestand op om de client tijdens de installatie te configureren /sqmoptin
Aanmelden voor het Microsoft-programma voor kwaliteitsverbetering (CEIP) Volg de instructies op het scherm om de clientinstallatie te voltooien.
Als u het meest recente updatedefinitiepakket hebt gedownload, kopieert u het pakket naar de clientcomputer en dubbelklikt u vervolgens op het definitiepakket om het te installeren.
Opmerking
Nadat de installatie van de Endpoint Protection-client is voltooid, voert de client automatisch een definitie-updatecontrole uit. Als deze updatecontrole slaagt, hoeft u het meest recente definitie-updatepakket niet handmatig te installeren.
Voorbeeld: de client installeren met een antimalwarebeleid
scepinstall.exe /policy <full path>\<policy file>
De installatie van de Endpoint Protection-client controleren
Nadat u de Endpoint Protection-client op uw referentiecomputer hebt geïnstalleerd, controleert u of de client correct werkt.
- Open op de referentiecomputer System Center Endpoint Protection vanuit het Windows-systeemvak.
- Controleer op het tabblad Start van het dialoogvenster System Center Endpoint Protection of Realtime-beveiliging is ingesteld op Aan.
- Controleer of er up-to-date wordt weergegeven voor virus- en spywaredefinities.
- Als u ervoor wilt zorgen dat uw referentiecomputer gereed is voor imaging, selecteert u onder Scanoptiesde optie Volledig en klikt u vervolgens op Nu scannen.
Netwerkbeveiliging
Voordat u netwerkbeveiliging inschakelt in de audit- of blokkeringsmodus, moet u ervoor zorgen dat u de update van het antimalwareplatform hebt geïnstalleerd, die u kunt vinden op de ondersteuningspagina.
Gecontroleerde mappentoegang
Schakel de functie ten minste 30 dagen in in de controlemodus. Controleer na deze periode de detecties en maak een lijst met toepassingen die mogen schrijven naar beveiligde mappen.
Zie Gecontroleerde maptoegang evalueren voor meer informatie.
Een detectietest uitvoeren om onboarding te controleren
Nadat u het apparaat hebt onboarden, kunt u ervoor kiezen om een detectietest uit te voeren om te controleren of een apparaat correct is onboarding voor de service. Zie Een detectietest uitvoeren op een nieuw onboarded Microsoft Defender voor Eindpunt-apparaat voor meer informatie.
Offboard-apparaten met Configuration Manager
Om veiligheidsredenen verloopt het pakket dat wordt gebruikt voor het offboarden van apparaten 7 dagen na de datum waarop het is gedownload. Verlopen offboardingpakketten die naar een apparaat worden verzonden, worden geweigerd. Wanneer u een offboarding-pakket downloadt, wordt u op de hoogte gesteld van de vervaldatum van de pakketten en wordt deze ook opgenomen in de pakketnaam.
Opmerking
Onboarding- en offboarding-beleid mag niet tegelijkertijd op hetzelfde apparaat worden geïmplementeerd, anders veroorzaakt dit onvoorspelbare botsingen.
Offboard-apparaten met Microsoft Configuration Manager current branch
Als u Microsoft Configuration Manager huidige vertakking gebruikt, raadpleegt u Een offboarding-configuratiebestand maken.
Offboard-apparaten met System Center 2012 R2 Configuration Manager
Download het offboarding-pakket vanuit Microsoft Defender portal:
- Selecteer in het navigatiedeelvenster Instellingen>Eindpunten>Offboardingvan apparaatbeheer>.
- Selecteer Windows 10 of Windows 11 als het besturingssysteem.
- Selecteer system center Configuration Manager 2012/2012 R2/1511/1602 in het veld Implementatiemethode.
- Selecteer Pakket downloaden en sla het .zip bestand op.
Pak de inhoud van het .zip-bestand uit op een gedeelde, alleen-lezen locatie die toegankelijk is voor de netwerkbeheerders die het pakket gaan implementeren. U moet een bestand hebben met de naam WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.
Implementeer het pakket door de stappen te volgen in het artikel Pakketten en programma's in System Center 2012 R2 Configuration Manager.
Kies een vooraf gedefinieerde apparaatverzameling om het pakket naar te implementeren.
Belangrijk
Offboarding zorgt ervoor dat het apparaat stopt met het verzenden van sensorgegevens naar de portal, maar gegevens van het apparaat, inclusief verwijzingen naar eventuele waarschuwingen die het heeft gehad, worden maximaal 6 maanden bewaard.
Apparaatconfiguratie bewaken
Als u Microsoft Configuration Manager huidige vertakking gebruikt, gebruikt u het ingebouwde Defender voor Eindpunt-dashboard in de Configuration Manager-console. Zie Defender voor Eindpunt - Monitor voor meer informatie.
Als u System Center 2012 R2 gebruikt Configuration Manager, bestaat de bewaking uit twee onderdelen:
Controleren of het configuratiepakket correct is geïmplementeerd en wordt uitgevoerd (of is uitgevoerd) op de apparaten in uw netwerk.
Controleren of de apparaten compatibel zijn met de Defender for Endpoint-service (dit zorgt ervoor dat het apparaat het onboardingproces kan voltooien en gegevens kan blijven rapporteren aan de service).
Controleer of het configuratiepakket correct is geïmplementeerd
Klik in de Configuration Manager-console op Bewaking onder aan het navigatiedeelvenster.
Selecteer Overzicht en vervolgens Implementaties.
Selecteer de implementatie met de pakketnaam.
Bekijk de statusindicatoren onder Voltooiingsstatistieken en Inhoudsstatus.
Als er mislukte implementaties zijn (apparaten met de status Fout, Vereisten niet voldaan of Mislukt), moet u mogelijk problemen met de apparaten oplossen. Zie Problemen met Microsoft Defender voor Eindpunt onboarding oplossen voor meer informatie.
Controleer of de apparaten compatibel zijn met de Microsoft Defender voor Eindpunt-service
U kunt een nalevingsregel instellen voor configuratie-item in System Center 2012 R2 Configuration Manager om uw implementatie te bewaken.
Deze regel moet een niet-herstellend configuratie-item voor nalevingsregel zijn waarmee de waarde van een registersleutel op doelapparaten wordt bewaakt.
Controleer de volgende registersleutelvermelding:
Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"
Zie Inleiding tot nalevingsinstellingen in System Center 2012 R2 Configuration Manager voor meer informatie.
Verwante onderwerpen
- Windows-apparaten onboarden met behulp van groepsbeleid
- Windows-apparaten onboarden met behulp van Mobile Device Management-hulpmiddelen
- Windows-apparaten onboarden met behulp van een lokaal script
- Onboarden niet-permanente virtual desktop infrastructure (VDI)-apparaten
- Een detectietest uitvoeren op een nieuw onboarded Microsoft Defender voor Eindpunt-apparaat
- Problemen met Microsoft Defender voor Eindpunt onboarding oplossen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.