以前基于 MMA 的Microsoft Defender for Endpoint解决方案中的服务器迁移方案

适用于:

注意

在继续安装或升级之前,请始终确保操作系统和Windows Server 2016上的Microsoft Defender防病毒已完全更新。 若要获得 EDR 传感器组件的常规产品改进和修复,请确保安装后应用或批准Windows 更新KB5005292。 此外,若要使保护组件保持更新,请参阅管理Microsoft Defender防病毒更新并应用基线

这些说明适用于新的统一解决方案和安装程序 (MSI) 适用于 Windows Server 2012 R2 和Windows Server 2016的Microsoft Defender for Endpoint包。 本文包含从上一个解决方案到当前解决方案的各种可能的迁移方案的高级说明。 这些高级步骤旨在作为指南,根据环境中可用的部署和配置工具进行调整。

如果使用 Microsoft Defender for Cloud 执行部署,则可以自动安装和升级。 请参阅 Defender for Servers 计划 2 现在与MDE统一解决方案集成

注意

不支持安装了 Microsoft Defender for Endpoint 的操作系统升级。 请卸载并卸载,升级操作系统,然后继续安装。

安装程序脚本

注意

确保运行脚本的计算机未阻止脚本的执行。 PowerShell 的建议执行策略设置为 Allsigned。 如果脚本在终结点上作为 SYSTEM 运行,则需要将脚本的签名证书导入本地计算机受信任的发布服务器存储。

若要在Microsoft终结点Configuration Manager不可用或更新以执行自动升级时促进升级,可以使用此升级脚本。 通过选择“代码”按钮并下载 .zip 文件,然后提取 install.ps1 来下载它。 它可以帮助自动执行以下所需步骤:

  1. 删除 MICROSOFT DEFENDER FOR ENDPOINT (OPTIONAL) 的 OMS 工作区。
  2. 删除System Center Endpoint Protection (SCEP) 客户端(如果已安装)。
  3. 如果需要,请下载并安装 必备组件
  4. 在 Windows Server 2016 上启用和更新Defender 防病毒功能
  5. 安装Microsoft Defender for Endpoint。
  6. 应用载入脚本以用于从 Microsoft Defender XDR 下载的组策略

若要使用该脚本,请将其下载到安装目录,其中还放置了安装和载入包 (请参阅 配置服务器终结点) 。

示例:.\install.ps1 -RemoveMMA <YOUR_WORKSPACE_ID> -OnboardingScript “.\WindowsDefenderATPOnboardingScript.cmd”

有关如何使用脚本的详细信息,请使用 PowerShell 命令“get-help .\install.ps1”。

Microsoft终结点Configuration Manager迁移方案

注意

需要Microsoft Endpoint Configuration Manager版本 2107 或更高版本来执行 Endpoint Protection 策略配置。 从 版本 2207 或更高版本 开始,部署和升级可以完全自动化。

有关如何使用 Microsoft Endpoint Configuration Manager版本 2207 之前的迁移的说明,请参阅将服务器从 Microsoft Monitoring Agent 迁移到统一解决方案。

如果运行的是非Microsoft防病毒解决方案

  1. 完全更新计算机,包括Microsoft Defender防病毒 (Windows Server 2016) 确保满足先决条件。 有关必须满足的先决条件的详细信息,请参阅Windows Server 2016先决条件
  2. 确保第三方防病毒管理不再将防病毒代理推送到这些计算机。*
  3. 在 Microsoft Defender for Endpoint 中为保护功能编写策略,并在所选工具中将这些策略定向到计算机。
  4. 安装适用于 Windows Server 2012 R2 和 2016 包的Microsoft Defender for Endpoint并启用被动模式。 请参阅使用命令行安装Microsoft Defender防病毒。 a. 应用载入脚本以用于从 Microsoft Defender XDR 下载的组策略
  5. 应用更新。
  6. 使用非Microsoft防病毒控制台或适当地使用 Microsoft Endpoint Configuration Manager 删除非Microsoft防病毒软件。 请确保删除被动模式配置。*

提示

可以使用 [installer-script] (server-migration.md#installer 脚本) 作为应用程序的一部分来自动执行上述步骤。 若要启用被动模式,请应用 -Passive 标志。 例如,.\install.ps1 -RemoveMMA <YOUR_WORKSPACE_ID> -OnboardingScript “.\WindowsDefenderATPOnboardingScript.cmd” -Passive

*仅当你打算替换非Microsoft防病毒解决方案时,这些步骤才适用。 请共同了解:Microsoft Defender防病毒和Microsoft Defender for Endpoint

若要将计算机移出被动模式,请将以下键设置为 0:

路径:HKLM\SOFTWARE\Policies\Microsoft\Windows 高级威胁防护名称:ForceDefenderPassiveMode 类型:REG_DWORD值: 0

如果正在运行System Center Endpoint Protection但未使用 Microsoft Endpoint Configuration Manager (MECM/ConfigMgr)

  1. 完全更新计算机,包括Microsoft Defender防病毒 (Windows Server 2016) 确保满足先决条件
  2. 使用 组策略、PowerShell 或第三方管理解决方案创建和应用策略。
  3. 卸载 System Center Endpoint Protection (Windows Server 2012 R2) 。
  4. 安装Microsoft Defender for Endpoint (请参阅配置服务器终结点。)
  5. 应用载入脚本以用于从 Microsoft Defender XDR 下载的组策略
  6. 应用更新。

提示

可以使用安装程序脚本自动执行上述步骤。

适用于云方案的Microsoft Defender

你使用的是 Microsoft Defender for Cloud。 已安装适用于 Azure (SCEP) 的 Microsoft Monitoring Agent (MMA) 和/或Microsoft Antimalware,并且你想要升级。

如果使用 Microsoft Defender for Cloud,则可以利用自动升级过程。 请参阅使用 Defender for Cloud 的集成 EDR 解决方案保护终结点:Microsoft Defender for Endpoint

组策略配置

对于使用 组策略 的配置,请确保使用中央存储中的最新 ADMX 文件来访问正确的 Defender for Endpoint 策略选项。 请参阅如何在 Windows 中创建和管理用于组策略管理模板的中央存储,并下载用于 Windows 10 的最新文件。

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区