Udostępnij za pośrednictwem


Dołącz urządzenia z systemem Windows przy użyciu zasad grupy

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Aby wdrożyć pakiet przy użyciu aktualizacji zasady grupy (GP), musisz być w systemie Windows Server 2008 R2 lub nowszym.

W systemach Windows Server 2019 i Windows Server 2022 może być konieczne zastąpienie nt authority\well-known-system-account nt authority\system pliku XML, który tworzy preferencja zasady grupy.

Uwaga

Jeśli używasz nowego, ujednoliconego rozwiązania Ochrona punktu końcowego w usłudze Microsoft Defender dla Windows Server 2012 R2 i 2016, upewnij się, że używasz najnowszych plików ADMX w magazynie centralnym, aby uzyskać dostęp do poprawnego Ochrona punktu końcowego w usłudze Microsoft Defender opcje zasad. Zapoznaj się z artykułem How to create the Central Store for zasady grupy Administrative Templates in Windows and download the latest files for use with Windows 10 (Jak utworzyć magazyn centralny dla szablonów administracyjnych zasady grupy w systemie Windows i zarządzać nimi oraz pobierać najnowsze pliki do użycia z Windows 10.

Zapoznaj się z artykułem Identify Defender for Endpoint architecture and deployment method (Identyfikowanie architektury i metody wdrażania usługi Defender for Endpoint ), aby wyświetlić różne ścieżki wdrażania usługi Defender dla punktu końcowego.

  1. Otwórz plik pakietu konfiguracji gp (WindowsDefenderATPOnboardingPackage.zip) pobrany z kreatora dołączania usługi. Pakiet można również pobrać z portalu Microsoft Defender:

    1. W okienku nawigacji wybierz pozycję Ustawienia>Punkty końcowe>Dołączanie do zarządzania urządzeniami>.

    2. Wybierz system operacyjny.

    3. W polu Metoda wdrażania wybierz pozycję Zasady grupy.

    4. Kliknij pozycję Pobierz pakiet i zapisz plik .zip.

  2. Wyodrębnij zawartość pliku .zip do udostępnionej lokalizacji tylko do odczytu, do których może uzyskiwać dostęp urządzenie. Powinien istnieć folder o nazwie OptionalParamsPolicy i plik WindowsDefenderATPOnboardingScript.cmd.

  3. Aby utworzyć nowy obiekt zasad grupy, otwórz konsolę zarządzania zasady grupy (GPMC), kliknij prawym przyciskiem myszy zasady grupy obiekty, które chcesz skonfigurować, i kliknij przycisk Nowy. Wprowadź nazwę nowego obiektu zasad grupy w wyświetlonym oknie dialogowym i kliknij przycisk OK.

  4. Otwórz konsolę zarządzania zasady grupy (GPMC), kliknij prawym przyciskiem myszy obiekt zasady grupy , który chcesz skonfigurować, i kliknij przycisk Edytuj.

  5. W Redaktor zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera, preferencje, a następnie ustawienia panelu sterowania.

  6. Kliknij prawym przyciskiem myszy pozycję Zaplanowane zadania, wskaż pozycję Nowe, a następnie kliknij pozycję Zadanie natychmiastowe (co najmniej system Windows 7).

  7. W wyświetlonym oknie Zadanie przejdź do karty Ogólne . W obszarze Opcje zabezpieczeń kliknij pozycję Zmień użytkownika lub grupę i wpisz SYSTEM, a następnie kliknij pozycję Sprawdź nazwy , a następnie przycisk OK. NT AUTHORITY\SYSTEM jest wyświetlany jako konto użytkownika, które będzie uruchamiane jako zadanie.

  8. Wybierz pozycję Uruchom, czy użytkownik jest zalogowany, czy nie , i zaznacz pole wyboru Uruchom z najwyższymi uprawnieniami .

  9. W polu Nazwa wpisz odpowiednią nazwę zaplanowanego zadania (na przykład Defender for Endpoint Deployment).

  10. Przejdź do karty Akcje i wybierz pozycję Nowy... Upewnij się, że w polu Akcja wybrano opcję Uruchom program. Wprowadź ścieżkę UNC przy użyciu w pełni kwalifikowanej nazwy domeny serwera plików (FQDN) udostępnionego pliku WindowsDefenderATPOnboardingScript.cmd .

  11. Wybierz przycisk OK i zamknij wszystkie otwarte okna kontrolera GPMC.

  12. Aby połączyć obiekt zasad grupy z jednostką organizacyjną (OU), kliknij prawym przyciskiem myszy i wybierz pozycję Połącz istniejący obiekt zasad grupy. W wyświetlonym oknie dialogowym wybierz obiekt zasady grupy, który chcesz połączyć. Kliknij przycisk OK.

Porada

Po dołączeniu urządzenia można uruchomić test wykrywania, aby sprawdzić, czy urządzenie jest prawidłowo dołączone do usługi. Aby uzyskać więcej informacji, zobacz Uruchamianie testu wykrywania na nowo dołączonym urządzeniu usługi Defender for Endpoint.

Dodatkowe ustawienia konfiguracji usługi Defender for Endpoint

Dla każdego urządzenia można określić, czy przykłady mogą być zbierane z urządzenia, gdy żądanie jest wysyłane za pośrednictwem Microsoft Defender XDR, aby przesłać plik do głębokiej analizy.

Do konfigurowania ustawień, takich jak ustawienia udostępniania przykładowego używanego w funkcji analizy głębokiej, można użyć zasady grupy (GP).

Konfigurowanie ustawień przykładowej kolekcji

  1. Na urządzeniu zarządzania zasadami grupy skopiuj następujące pliki z pakietu konfiguracji:

    • Skopiuj plik AtpConfiguration.admx do folderu C:\Windows\PolicyDefinitions

    • Skopiuj plik AtpConfiguration.adml do pliku C:\Windows\PolicyDefinitions\en-US

    Jeśli używasz magazynu centralnego do zasady grupy szablonów administracyjnych, skopiuj następujące pliki z pakietu konfiguracji:

    • Skopiuj plik AtpConfiguration.admx do folderu \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions

    • Skopiuj plik AtpConfiguration.adml do pliku \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US

  2. Otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasad grupy, który chcesz skonfigurować, i kliknij pozycję Edytuj.

  3. W Redaktor zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera.

  4. Kliknij pozycję Zasady, a następnie pozycję Szablony administracyjne.

  5. Kliknij pozycję Składniki systemu Windows , a następnie pozycję Windows Defender ATP.

  6. Wybierz, aby włączyć lub wyłączyć udostępnianie przykładów z urządzeń.

Uwaga

Jeśli nie ustawisz wartości, wartością domyślną jest włączenie kolekcji przykładowej.

Aktualizowanie konfiguracji programu Endpoint Protection

Po skonfigurowaniu skryptu dołączania kontynuuj edytowanie tych samych zasad grupy, aby dodać konfiguracje ochrony punktu końcowego. Wykonuj edycje zasad grupy w systemie z systemem Windows 10 lub Server 2019, Windows 11 lub Windows Server 2022, aby upewnić się, że masz wszystkie wymagane funkcje Microsoft Defender antywirusowe. Może być konieczne zamknięcie i ponowne otwarcie obiektu zasad grupy w celu zarejestrowania ustawień konfiguracji usługi Defender ATP.

Wszystkie zasady znajdują się w obszarze Computer Configuration\Policies\Administrative Templates.

Lokalizacja zasad: \Składniki systemu Windows\Windows Defender ATP

Polityka Ustawienie
Włącz\Wyłącz kolekcję przykładów Włączone — zaznaczono opcję "Włącz zbieranie przykładów na maszynach"

Lokalizacja zasad: \Składniki systemu Windows\program antywirusowy Microsoft Defender

Polityka Ustawienie
Konfigurowanie wykrywania dla potencjalnie niechcianych aplikacji Włączone, Blokuj

Lokalizacja zasad: \Składniki systemu Windows\Microsoft Defender Antivirus\MAPS

Polityka Ustawienie
Dołącz do usługi Microsoft MAPS Włączone, Zaawansowane MAPY
Wysyłanie przykładów plików, gdy wymagana jest dalsza analiza Włączone, Wysyłanie bezpiecznych przykładów

Lokalizacja zasad: \Składniki systemu Windows\Microsoft Defender Antivirus\Ochrona w czasie rzeczywistym

Polityka Ustawienie
Wyłączanie ochrony w czasie rzeczywistym Wyłączona
Włączanie monitorowania zachowania Włączone
Skanuj wszystkie pobrane pliki i załączniki Włączone
Monitorowanie aktywności plików i programów na komputerze Włączone

Lokalizacja zasad: \Składniki systemu Windows\Microsoft Defender Antivirus\Scan

Te ustawienia umożliwiają konfigurowanie okresowych skanów punktu końcowego. Zalecamy przeprowadzanie cotygodniowego szybkiego skanowania, co pozwala na wydajność.

Polityka Ustawienie
Przed uruchomieniem zaplanowanego skanowania sprawdź najnowsze informacje o zabezpieczeniach wirusów i programów szpiegujących Włączone

Lokalizacja zasad: \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction

Pobierz bieżącą listę identyfikatorów GUID reguł zmniejszania obszaru ataków z wdrożenia reguł zmniejszania obszaru ataków Krok 3: Implementowanie reguł usługi ASR. Aby uzyskać więcej informacji na temat reguł, zobacz Dokumentacja reguł zmniejszania obszaru podatnego na ataki

  1. Otwórz zasady Konfigurowanie zmniejszania obszaru podatnego na ataki .

  2. Wybierz pozycję Włączone.

  3. Wybierz przycisk Pokaż .

  4. Dodaj każdy identyfikator GUID w polu Nazwa wartości z wartością 2.

    Spowoduje to skonfigurowanie każdego z nich tylko na potrzeby inspekcji.

    Konfiguracja zmniejszania obszaru ataków

Polityka Lokalizacja Ustawienie
Konfigurowanie dostępu do folderów kontrolowanych \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Controlled Folder Access Włączone, Tryb inspekcji

Uruchamianie testu wykrywania w celu zweryfikowania dołączania

Po dołączeniu urządzenia można uruchomić test wykrywania, aby sprawdzić, czy urządzenie jest prawidłowo dołączone do usługi. Aby uzyskać więcej informacji, zobacz Uruchamianie testu wykrywania na nowo dołączonym urządzeniu Ochrona punktu końcowego w usłudze Microsoft Defender.

Odłączanie urządzeń przy użyciu zasady grupy

Ze względów bezpieczeństwa pakiet używany do odłączenia urządzeń wygaśnie 7 dni po pobraniu. Wygasłe pakiety odłączania wysyłane do urządzenia zostaną odrzucone. Podczas pobierania pakietu odłączania otrzymasz powiadomienie o dacie wygaśnięcia pakietów i zostanie on również uwzględniony w nazwie pakietu.

Uwaga

Zasady dołączania i odłączania nie mogą być wdrażane na tym samym urządzeniu w tym samym czasie, w przeciwnym razie spowoduje to nieprzewidywalne kolizje.

  1. Pobierz pakiet odłączania z portalu Microsoft Defender:

    1. W okienku nawigacji wybierz pozycję Ustawienia>Punkty końcowe>Odłączanie zarządzania urządzeniami>.

    2. Wybierz system operacyjny.

    3. W polu Metoda wdrażania wybierz pozycję Zasady grupy.

    4. Kliknij pozycję Pobierz pakiet i zapisz plik .zip.

  2. Wyodrębnij zawartość pliku .zip do udostępnionej lokalizacji tylko do odczytu, do których może uzyskiwać dostęp urządzenie. Powinien istnieć plik o nazwie WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Otwórz konsolę zarządzania zasady grupy (GPMC), kliknij prawym przyciskiem myszy obiekt zasady grupy , który chcesz skonfigurować, i kliknij przycisk Edytuj.

  4. W Redaktor zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera,preferencje, a następnie ustawienia panelu sterowania.

  5. Kliknij prawym przyciskiem myszy pozycję Zaplanowane zadania, wskaż pozycję Nowe, a następnie kliknij pozycję Natychmiastowe zadanie.

  6. W oknie Zadanie , które zostanie otwarte, przejdź do karty Ogólne w obszarze Opcje zabezpieczeń i wybierz pozycję Zmień użytkownika lub grupę, wprowadź system, a następnie wybierz pozycję Sprawdź nazwy , a następnie OK. NT AUTHORITY\SYSTEM jest wyświetlany jako konto użytkownika, które będzie uruchamiane jako zadanie.

  7. Wybierz pozycję Uruchom, czy użytkownik jest zalogowany, czy nie , i zaznacz pole wyboru Uruchom z najwyższymi uprawnieniami .

  8. W polu Nazwa wpisz odpowiednią nazwę zaplanowanego zadania (na przykład Defender for Endpoint Deployment).

  9. Przejdź do karty Akcje i wybierz pozycję Nowy.... Upewnij się, że w polu Akcja wybrano opcję Uruchom program. Wprowadź ścieżkę UNC przy użyciu w pełni kwalifikowanej nazwy domeny serwera plików (FQDN) udostępnionego pliku WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd .

  10. Wybierz przycisk OK i zamknij wszystkie otwarte okna kontrolera GPMC.

Ważna

Odłączanie powoduje, że urządzenie przestaje wysyłać dane czujnika do portalu, ale dane z urządzenia, w tym odwołanie do wszelkich alertów, które miał, zostaną zachowane przez maksymalnie 6 miesięcy.

Monitorowanie konfiguracji urządzenia

W przypadku zasady grupy nie można monitorować wdrażania zasad na urządzeniach. Monitorowanie można przeprowadzić bezpośrednio w portalu lub przy użyciu różnych narzędzi wdrażania.

Monitorowanie urządzeń przy użyciu portalu

  1. Przejdź do portalu Microsoft Defender.
  2. Kliknij pozycję Spis urządzeń.
  3. Sprawdź, czy urządzenia są wyświetlane.

Uwaga

Na liście Urządzenia może upłynąć kilka dni. Obejmuje to czas dystrybucji zasad na urządzeniu, czas potrzebny na zalogowanie użytkownika oraz czas potrzebny na rozpoczęcie raportowania przez punkt końcowy.

Konfigurowanie zasad av usługi Defender

Utwórz nową zasady grupy lub zgrupuj te ustawienia przy użyciu innych zasad. Jest to zależne od środowiska klienta i sposobu, w jaki chce wdrożyć usługę, kierując się na różne jednostki organizacyjne.

  1. Po wybraniu obiektu zasad grupy lub utworzeniu nowego zmodyfikuj obiekt zasad grupy.

  2. Przejdź do pozycjiZasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender Ochrona antywirusowa>w czasie rzeczywistym.

    Ochrona w czasie rzeczywistym

  3. W folderze Kwarantanna skonfiguruj usuwanie elementów z folderu Kwarantanna.

    Folder kwarantanny elementów usuwania

    kwarantanna usuwania konfiguracji

  4. W folderze Skanowanie skonfiguruj ustawienia skanowania.

    Skany obiektów zasad grupy

Monitorowanie wszystkich plików w ramach ochrony w czasie rzeczywistym

Przejdź do pozycjiZasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender Ochrona antywirusowa>w czasie rzeczywistym.

Konfigurowanie monitorowania dla przychodzącego działania wychodzących plików

Konfigurowanie ustawień filtru Windows Defender SmartScreen

  1. Przejdź dopozycji Zasady>konfiguracji> komputeraSzablony> administracyjneSkładniki systemu Windows Windows>Defender SmartScreen>Explorer.

    Konfigurowanie eksploratora inteligentnego ekranu usługi Windows Defender

  2. Przejdź dopozycji Zasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemuWindows Defender SmartScreen>Microsoft Edge.

    Konfigurowanie inteligentnego ekranu usługi Windows Defender w przeglądarce Microsoft Edge

Konfigurowanie potencjalnie niechcianych aplikacji

Przejdź do pozycjiZasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender program antywirusowy.

Konfiguracja potencjalnej niechcianej aplikacji

potencjał konfiguracji

Konfigurowanie usługi Cloud Deliver Protection i automatyczne wysyłanie przykładów

Przejdź do pozycjiZasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender Mapy antywirusowe>.

Mapy

Blokuj od pierwszego wejrzenia

Dołączanie do usługi Microsoft Maps

Wyślij przykład pliku, gdy wymagana jest dalsza analiza

Uwaga

Opcja Wyślij wszystkie przykłady zapewni największą analizę plików binarnych/skryptów/dokumentów, co zwiększa stan zabezpieczeń. Opcja Wyślij bezpieczne przykłady ogranicza typ analizowanych plików binarnych/skryptów/dokumentów oraz zmniejsza stan zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Włączanie ochrony w chmurze w programie antywirusowym Microsoft Defender oraz ochrona w chmurze oraz przesyłanie przykładowe w programie antywirusowym Microsoft Defender.

Sprawdzanie dostępności aktualizacji podpisu

Przejdź do pozycjiZasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender Aktualizacjeanalizy zabezpieczeńprogramu antywirusowego>.

Aktualizacja podpisu

Aktualizacja definicji podpisu

Konfigurowanie limitu czasu dostarczania w chmurze i poziomu ochrony

Przejdź do pozycjiZasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender Program antywirusowy>MpEngine. Skonfigurowanie zasad na poziomie ochrony w chmurze na wartość Domyślne Microsoft Defender zasady blokowania programu antywirusowego spowoduje wyłączenie zasad. Jest to wymagane do ustawienia domyślnego poziomu ochrony systemu Windows.

config extended cloud check

config, poziom ochrony w chmurze

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.