载入以前版本的 Windows

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

平台

• Windows 7 SP1 企业版
• Windows 7 SP1 专业版
• Windows 8.1 专业版
• Windows 8.1 企业版
• Windows Server 2008 R2 SP1

希望体验 Defender for Endpoint？ 注册免费试用版。

Defender for Endpoint 扩展了支持范围，包括下层操作系统，在受支持的 Windows 版本上提供高级攻击检测和调查功能。

若要将下层 Windows 客户端终结点加入 Defender for Endpoint，需要：

• 配置和更新System Center Endpoint Protection客户端
• 安装并配置 Microsoft Monitoring Agent (MMA) 来报告传感器数据

对于 Windows Server 2008 R2 SP1，可以选择通过 Microsoft Defender for Cloud 加入。

注意

每个节点都需要 Defender for Endpoint 独立服务器许可证，以便通过 Microsoft Monitoring Agent (选项 1) 加入 Windows 服务器。 或者，每个节点都需要服务器许可证Microsoft Defender，以便通过 Microsoft Defender for Cloud (选项 2) 加入 Windows 服务器，请参阅 Microsoft Defender for Cloud 中支持的功能。

提示

载入设备后，可以选择运行检测测试，以验证设备是否已正确载入服务。 有关详细信息，请参阅 在新加入的 Defender for Endpoint 终结点上运行检测测试。

配置和更新System Center Endpoint Protection客户端

Defender for Endpoint 与 System Center Endpoint Protection 集成，通过禁止潜在的恶意文件或可疑恶意软件来提供恶意软件检测的可见性，并阻止攻击在组织中传播。

启用此集成需要执行以下步骤：

• 为 Endpoint Protection 客户端安装 2017 年 1 月反恶意软件平台更新
• 将 SCEP 客户端云保护服务成员身份配置为 “高级 ”设置
• 将网络配置为允许连接到 Microsoft Defender 防病毒云。 有关详细信息，请参阅配置和验证Microsoft Defender防病毒网络连接

安装并配置 Microsoft Monitoring Agent (MMA)

开始之前

查看以下详细信息以验证最低系统要求：

• 安装 2018 年 2 月每月更新汇总 - 此处提供了Windows 更新目录中的直接下载链接

• 安装 2019 年 3 月 12 日 (或更高版本) 服务堆栈更新 - 此处提供了Windows 更新目录中的直接下载链接

• 安装 SHA-2 代码签名支持更新 - 此处提供了Windows 更新目录中的直接下载链接

  注意

  仅适用于 Windows Server 2008 R2、Windows 7 SP1 企业版和 Windows 7 SP1 专业版。

• 安装 针对客户体验和诊断遥测的更新

• 安装 Microsoft .Net Framework 4.5.2 或更高版本

  注意

  安装 .NET 4.5 可能需要在安装后重新启动计算机。

• 满足 Azure Log Analytics 代理最低系统要求。 有关详细信息，请参阅 使用 Log Analytics 从环境中的计算机收集数据

安装步骤

1. 下载代理安装程序文件： Windows 64 位代理 或 Windows 32 位代理。

   注意

   由于 MMA 代理弃用 SHA-1 支持，MMA 代理需要版本 10.20.18029 或更高版本。

2. 获取工作区 ID：

   • 在 Defender for Endpoint 导航窗格中，选择“设置设备管理>载入”>
   • 选择操作系统
   • 复制工作区 ID 和工作区密钥

3. 使用工作区 ID 和工作区密钥选择以下任一安装方法来安装代理：

   • 使用安装程序手动安装代理。

     在“ 代理安装选项” 页上，选择“ 将代理连接到 Azure Log Analytics (OMS)

   • 使用命令行安装代理。

   • 使用脚本配置代理。

   注意

   如果你是 美国政府客户，如果使用设置向导，或者使用命令行或脚本，则需要在“Azure 云”下选择“Azure 美国政府”，将“OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE”参数设置为 1。

4. 如果使用代理连接到 Internet，请参阅配置代理和 Internet 连接设置部分。

完成后，应在一小时内在门户中看到已载入的终结点。

配置代理和 Internet 连接设置

如果服务器需要使用代理与 Defender for Endpoint 通信，请使用以下方法之一将 MMA 配置为使用代理服务器：

• 将 MMA 配置为使用代理服务器

• 将 Windows 配置为对所有连接使用代理服务器

如果正在使用代理或防火墙，请确保服务器可以直接访问所有Microsoft Defender for Endpoint服务 URL，而无需 SSL 拦截。 有关详细信息，请参阅启用对Microsoft Defender for Endpoint服务 URL 的访问。 使用 SSL 拦截会阻止系统与 Defender for Endpoint 服务通信。

完成后，应在一小时内在门户中看到已载入的 Windows 服务器。

通过 Microsoft Defender for Cloud 载入 Windows 服务器

1. 在Microsoft Defender XDR导航窗格中，选择“设置>终结点>设备管理>载入”。

2. 选择 “Windows Server 2008 R2 SP1 ”作为操作系统。

3. 在 Microsoft Defender for Cloud 中单击“载入服务器”。

4. 按照使用 Microsoft Defender for Cloud 的 Microsoft Defender for Endpoint 中的载入说明进行操作，如果使用 Azure ARC，请按照启用Microsoft Defender for Endpoint集成中的载入说明进行操作。

完成载入步骤后，需要配置和更新System Center Endpoint Protection客户端。

注意

• 若要通过 Microsoft Defender加入服务器才能按预期工作，服务器必须在 Microsoft Monitoring Agent (MMA) 设置中配置相应的工作区和密钥。
• 配置后，将在计算机上部署相应的云管理包，并部署并启动传感器进程 (MsSenseS.exe) 。
• 如果服务器配置为使用 OMS 网关服务器作为代理，则也需要这样做。

验证载入

验证Microsoft Defender防病毒和Microsoft Defender for Endpoint是否正在运行。

注意

运行Microsoft Defender防病毒不是必需的，但建议这样做。 如果其他防病毒供应商产品是主要终结点保护解决方案，则可以在被动模式下运行Defender 防病毒。 只有在验证Microsoft Defender for Endpoint传感器 (SENSE) 正在运行后，才能确认被动模式处于打开状态。

注意

由于 Microsoft Defender 防病毒仅支持 Windows 10 和 Windows 11，因此在运行 Windows Server 2008 R2 SP1 时，步骤 1 不适用。

1. 运行以下命令，验证是否已安装Microsoft Defender防病毒：

   sc.exe query Windefend
   

   如果结果为“指定的服务不作为已安装的服务存在”，则需要安装 Microsoft Defender防病毒。 有关详细信息，请参阅 Windows 10 中的Microsoft Defender防病毒。

   有关如何使用 组策略 在 Windows 服务器上配置和管理Microsoft Defender防病毒的信息，请参阅使用组策略设置配置和管理Microsoft Defender防病毒。

如果遇到载入问题，请参阅 载入疑难解答。

运行检测测试

按照 在新加入的设备上运行检测测试 中的步骤，验证服务器是否向 Defender 报告终结点服务。

加入没有管理解决方案的终结点

使用组策略

步骤 1：下载终结点的相应更新。

1. 导航到 c：\windows\sysvol\domain\scripts， (其中一个域控制器上可能需要更改控件。)

2. 创建名为 MMA 的文件夹。

3. 下载以下内容并将其放置在 MMA 文件夹中：

   • 客户体验和诊断遥测更新：
     • 对于 Windows Server 2008 R2 x64

   对于 Windows Server 2008 R2 SP1，还需要以下更新：

   2018 年 2 月汇总 - KB4074598 (Windows Server 2008 R2)

   Microsoft 更新目录
   下载适用于 Windows Server 2008 R2 x64 的更新

   .NET Framework 3.5.1 (KB315418)
   对于 Windows Server 2008 R2 x64

   注意

   本文假定使用基于 x64 的服务器 (MMA 代理 .exe x64 新 SHA-2 兼容版本) 。

步骤 2：使用记事本) 创建文件名DeployMMA.cmd ( 将以下行添加到 cmd 文件。 请注意，需要工作区 ID 和密钥。

以下命令是一个示例。 替换以下值：

• KB - 使用与要加入的终结点相关的适用知识库
• 工作区 ID 和密钥 - 使用 ID 和密钥

@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

组策略配置

创建一个新的组策略，专门用于载入设备，例如“Microsoft Defender for Endpoint载入”。

• 创建名为“c：\windows\MMA”的组策略文件夹

  

  这会在应用 GPO 的每个服务器上添加一个新文件夹（称为 MMA），并将存储在 c：\windows 中。 这将包含 MMA 的安装文件、先决条件和安装脚本。

• 为网络登录中存储的每个文件创建组策略文件首选项。

  

它将文件从 DOMAIN\NETLOGON\MMA\filename 复制到 C：\windows\MMA\filename - 因此安装文件是服务器的本地文件：

重复此过程，但在“COMMON”选项卡上创建项级别目标，以便文件仅复制到范围内的相应平台/操作系统版本：

对于 Windows Server 2008 R2，你将需要 (，并且它只会复制) 以下内容：

• Windows6.1-KB3080149-x64.msu
• Windows6.1-KB3154518-x64.msu
• Windows6.1-KB4075598-x64.msu

完成此操作后，需要创建启动脚本策略：

要在此处运行的文件的名称为 c：\windows\MMA\DeployMMA.cmd。 在启动过程中重启服务器后，它将安装客户体验更新和诊断遥测 KB，然后安装 MMA 代理，同时设置工作区 ID 和密钥，服务器将载入。

如果不想重新启动所有服务器，也可以使用 即时任务 来运行deployMMA.cmd。

这可以分两个阶段完成。 首先 在 GPO 中创建文件和文件夹 - 让系统有时间确保 GPO 已应用，并且所有服务器都具有安装文件。 然后，添加即时任务。 这将实现相同的结果，而无需重新启动。

由于脚本具有退出方法，如果安装了 MMA，则不会重新运行，因此还可以使用每日计划任务来实现相同的结果。 与Configuration Manager合规性策略类似，它将每天检查以确保 MMA 存在。

如服务器载入文档中所述，特别是围绕 Server 2008 R2，请参阅以下内容：对于 Windows Server 2008 R2 SP1，请确保满足以下要求：

• 安装 2018 年 2 月每月更新汇总
• 安装 .NET Framework 4.5 (或更高版本) 或 KB3154518

在加入 Windows Server 2008 R2 之前，检查 KB 存在。 如果没有Configuration Manager管理服务器，则此过程允许载入所有服务器。

卸载终结点

有两个选项可以从服务中卸载 Windows 终结点：

• 卸载 MMA 代理
• 删除 Defender for Endpoint 工作区配置

注意

卸载会导致 Windows 终结点停止向门户发送传感器数据，但从终结点发送数据，包括引用已保留最多 6 个月的警报。

卸载 MMA 代理

若要卸载 Windows 终结点，可以卸载 MMA 代理，或将其从报告分离到 Defender for Endpoint 工作区。 卸载代理后，终结点将不再将传感器数据发送到 Defender for Endpoint。 有关详细信息，请参阅 禁用代理。

删除 Defender for Endpoint 工作区配置

可以使用以下方法之一：

• 从 MMA 代理中删除 Defender for Endpoint 工作区配置
• 运行 PowerShell 命令以删除配置

从 MMA 代理中删除 Defender for Endpoint 工作区配置

1. 在 “Microsoft监视代理属性”中，选择“ Azure Log Analytics (OMS) ”选项卡。

2. 选择 Defender for Endpoint 工作区，然后单击“ 删除”。

   

运行 PowerShell 命令以删除配置

1. 获取工作区 ID：

   1. 在导航窗格中，选择 “设置>载入”。
   2. 选择相关的操作系统并获取工作区 ID。

2. 打开提升的 PowerShell 并运行以下命令。 使用获取的工作区 ID 并替换 WorkspaceID：

   $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
   
   # Remove OMS Workspace
   $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
   
   # Reload the configuration and apply changes
   $AgentCfg.ReloadConfiguration()
   

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。