以前基于 MMA 的Microsoft Defender for Endpoint解决方案中的服务器迁移方案

适用于:

  • 服务器的Microsoft Defender for Endpoint
  • 服务器计划 1 或计划 2 的Microsoft Defender

注意

在Windows Server 2016,在继续安装或升级之前,始终确保作系统和Microsoft Defender防病毒已完全更新。 若要获得 EDR 传感器组件的常规产品改进和修复,请确保安装后应用或批准Windows 更新KB5005292。 此外,若要使保护组件保持更新,请参阅管理Microsoft Defender防病毒更新并应用基线

这些说明适用于适用于 Windows Server 2012 R2 和 Windows Server 2016 的 Defender for Endpoint 的新统一解决方案和安装程序 (MSI) 包。 本文包含从上一个解决方案到当前解决方案的各种可能的迁移方案的高级说明。 这些高级步骤旨在作为指南,根据环境中可用的部署和配置工具进行调整。

如果使用 Microsoft Defender for Cloud 执行部署,则可以自动安装和升级。 请参阅 Defender for Servers 计划 2 现在与MDE统一解决方案集成

注意

不支持安装 Defender for Endpoint 的作系统升级。 卸载、卸载、升级作系统,然后继续安装。

安装程序脚本

注意

确保运行脚本的计算机不会阻止脚本的执行。 PowerShell 的建议执行策略设置为 Allsigned。 如果脚本在终结点上作为 SYSTEM 运行,则需要将脚本的签名证书导入本地计算机受信任的发布服务器存储。

若要在Microsoft终结点Configuration Manager尚不可用或更新以执行自动升级时促进升级,可以使用此升级脚本。 通过选择“代码”按钮并下载 .zip 文件,然后提取 install.ps1 来下载它。 它可以帮助自动执行以下所需步骤:

  1. 删除 Defender for Endpoint 的 OMS 工作区 (OPTIONAL) 。

  2. 删除System Center Endpoint Protection (SCEP) 客户端(如果已安装)。

  3. 如有必要,请下载并安装 必备组件

  4. 在 Windows Server 2016 上启用和更新Microsoft Defender防病毒功能。

  5. 安装 Defender for Endpoint。

  6. 将载入脚本应用于从Microsoft Defender门户下载的组策略

    若要使用该脚本,请将其下载到安装目录,其中还放置了安装和载入包 (请参阅 配置服务器终结点) 。

    例: .\install.ps1 -RemoveMMA <YOUR_WORKSPACE_ID> -OnboardingScript ".\WindowsDefenderATPOnboardingScript.cmd"

有关如何使用脚本的详细信息,请使用 PowerShell 命令 get-help .\install.ps1

Microsoft终结点Configuration Manager迁移方案

注意

需要Configuration Manager版本 2107 或更高版本才能执行 Endpoint Protection 策略配置。 从 版本 2207 或更高版本 开始,部署和升级可以完全自动化。

有关如何使用版本 2207 之前的 Configuration Manager 进行迁移的说明,请参阅将服务器从 Microsoft Monitoring Agent 迁移到统一解决方案。

如果运行的是非Microsoft防病毒解决方案

  1. 完全更新计算机,包括Microsoft Defender防病毒 (Windows Server 2016) 确保满足先决条件。 有关必须满足的先决条件的详细信息,请参阅Windows Server 2016先决条件

  2. 确保非Microsoft防病毒管理解决方案不再将防病毒代理推送到这些计算机。

  3. 在 Defender for Endpoint 中为保护功能编写策略,并在所选工具中将这些策略定向到计算机。

  4. 安装适用于 Windows Server 2012 R2 和 Windows Server 2016 的 Defender for Endpoint 包,并将其设置为被动模式。

    请参阅使用命令行安装Microsoft Defender防病毒

  5. 将载入脚本应用于从Microsoft Defender门户下载的组策略

  6. 应用更新。

  7. 使用非Microsoft防病毒控制台或根据需要使用Configuration Manager删除非Microsoft防病毒软件。 请确保删除被动模式配置。

    若要将计算机移出被动模式,请设置以下键:

    路径: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection 名称: ForceDefenderPassiveMode 类型: REG_DWORD 值: 0

提示

可以使用 [installer-script] (server-migration.md#installer 脚本) 作为应用程序的一部分来自动执行上述步骤。 若要启用被动模式,请应用 -Passive 标志。 例如,.\install.ps1 -RemoveMMA <YOUR_WORKSPACE_ID> -OnboardingScript ".\WindowsDefenderATPOnboardingScript.cmd" -Passive

在前面的过程中,步骤 2 和 7 仅适用于你打算替换非Microsoft防病毒解决方案。 请共同了解:Microsoft Defender防病毒和Microsoft Defender for Endpoint

如果正在运行System Center Endpoint Protection但不使用 Configuration Manager (MECM/ConfigMgr) 管理计算机

  1. 完全更新计算机,包括Microsoft Defender防病毒 (Windows Server 2016) 确保满足先决条件

  2. 使用 组策略、PowerShell 或非Microsoft管理解决方案创建和应用策略。

  3. 卸载 System Center Endpoint Protection (Windows Server 2012 R2) 。

  4. 安装Microsoft Defender for Endpoint (请参阅配置服务器终结点。)

  5. 将载入脚本应用于从Microsoft Defender门户下载的组策略

  6. 应用更新。

提示

可以使用安装程序脚本自动执行上述过程中的步骤。

适用于云方案的Microsoft Defender

你使用的是 Microsoft Defender for Cloud。 已安装适用于 Azure (SCEP) 的 Microsoft Monitoring Agent (MMA) 和/或Microsoft Antimalware,并且你想要升级。

如果使用 Microsoft Defender for Cloud,则可以使用自动升级过程。 请参阅使用 Defender for Cloud 的集成 EDR 解决方案保护终结点:Microsoft Defender for Endpoint

组策略配置

对于使用 组策略 的配置,请确保使用中央存储中的最新 ADMX 文件来访问正确的 Defender for Endpoint 策略选项。 有关参考,请参阅如何在 Windows 中创建和管理用于组策略管理模板的中央存储,并下载用于 Windows 10 的最新文件。

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区