将Windows Server 2012 R2 和Windows Server 2016加入到Microsoft Defender for Endpoint
适用于:
- 服务器的Microsoft Defender for Endpoint
- 服务器计划 1 或计划 2 的Microsoft Defender
希望体验 Defender for Endpoint? 注册免费试用版。
Defender for Endpoint 扩展了支持范围,还包含Windows Server作系统。 此支持通过Microsoft Defender门户无缝提供高级攻击检测和调查功能。 支持Windows Server可以更深入地了解服务器活动、内核和内存攻击检测的覆盖范围,并启用响应作。
注意
若要将服务器载入 Defender for Endpoint,需要 服务器许可证 。 可以从以下选项中进行选择:
- 服务器计划 1 或计划 2 (的 Microsoft Defender作为 Defender for Cloud) 产品/服务的一部分
- 服务器的Microsoft Defender for Endpoint
- 仅面向中小企业的Microsoft Defender 商业版服务器 ()
本文介绍如何将 Windows Server 2012 R2 和Windows Server 2016加入 Defender for Endpoint。
对于 Windows Server 2012 R6 和 Windows Server 2016,可以在这些服务器上手动安装/升级新式统一解决方案,或使用 Defender for Endpoint 和 Defender for Cloud 集成来自动部署或升级各自 Defender for Server 计划涵盖的服务器。 有关详细信息,请参阅 使用 Defender for Endpoint 与 Defender for Cloud 集成保护终结点。
- 有关Windows Server版本 1803 Windows Server 2019 及更高版本,请参阅将 Windows Server 2019 及更高版本载入 Defender for Endpoint。
- 有关如何下载和使用适用于 Windows 服务器的Windows 安全中心基线的指南,请参阅Windows 安全中心基线。
提示
作为本文的配套内容,请参阅 我们的安全分析器设置指南 ,以查看最佳做法,并了解如何加强防御、提高合规性,并自信地应对网络安全环境。 若要获得基于环境的自定义体验,可以访问Microsoft 365 管理中心中的安全分析器自动设置指南。
Windows Server 2016和Windows Server 2012 R2 的先决条件
- 建议在服务器上安装最新的可用服务堆栈更新 (SSU) 和最新的累积更新 (LCU) 。
- 必须安装 2021 年 9 月 14 日或更高版本的 SSU。
- 必须安装 2018 年 9 月 20 日或更高版本的 LCU。
- 启用Microsoft Defender防病毒功能并确保它是最新的。 有关在Windows Server上启用Defender 防病毒的详细信息,请参阅在Windows Server上重新启用Defender 防病毒(如果已禁用)和在Windows Server上重新启用Defender 防病毒(如果已启用)已卸载。
- 使用 Windows 更新 下载并安装最新的平台版本。 或者,从Microsoft更新目录或 MMPC 手动下载更新包。
- 在Windows Server 2016,Microsoft Defender防病毒必须作为一项功能进行安装,并在安装前进行完全更新。 请参阅Windows Server 2012 R2 和Windows Server 2016的信息。
载入Windows Server 2016和Windows Server 2012 R2
下图显示了成功载入服务器所需的常规步骤。
按照以下步骤下载安装包和载入包:
- 在Microsoft Defender门户中,转到“设置>终结点>载入”。
- Windows Server 2016和Windows Server 2012 R2。
- 选择“ 下载安装包 ”并将其保存在设备上。 安装包包含安装 Defender for Endpoint 代理的 MSI 文件。
- 选择“ 下载载入包 ”,并在设备上保存压缩的文件夹。 载入包包含
WindowsDefenderATPOnboardingScript.cmd,其中包含载入脚本。
注意
安装包每月更新一次。 在使用之前,请务必下载最新的包。 若要在安装后进行更新,无需再次运行安装程序包。 如果这样做,安装程序会要求你首先卸载,因为这是卸载的要求。 请参阅更新 Windows Server 2012 R2 和 2016 上的 Defender for Endpoint 包。
按照首选工具的指南安装 Defender for Endpoint:
- 从 MMA 迁移到新式统一解决方案: 将服务器从 Microsoft Monitoring Agent 迁移到新式统一解决方案
- 本地脚本: 使用本地脚本载入 Windows 设备
- 组策略:使用 组策略 载入 Windows 设备
- Microsoft Configuration Manager:使用Configuration Manager加入 Windows 设备
- VDI 脚本:在 Microsoft Defender XDR 中加入非持久性虚拟桌面基础结构 (VDI) 设备
- 使用 Defender for Cloud 直接载入:使用 Defender for Endpoint 将非 Azure 计算机连接到 Microsoft Defender for Cloud
有关Windows Server版本 1803 或 Windows Server 2019 及更高版本,请参阅将 Windows Server 版本 1803、Windows Server 2019 和 Windows Server 2025 载入到Microsoft Defender for Endpoint服务。
注意
不支持 Windows Hyper-V Server 版本。
新式统一解决方案中的功能
在 2022 年 4 月之前 () 加入Windows Server 2016和Windows Server 2012 R2 的早期实现需要使用 Microsoft Monitoring Agent (MMA) 。 新式统一解决方案包通过删除依赖项和安装步骤,可以更轻松地加入服务器。 它还提供了一个扩展的功能集。 有关详细信息,请参阅以下资源:
根据要加入的服务器,统一解决方案会在服务器上安装 Defender for Endpoint 和/或 EDR 传感器。 下表指示已安装的组件和默认内置组件。
| 服务器版本 | Microsoft Defender 防病毒 | EDR 传感器 |
|---|---|---|
| Windows Server 2012 R2 |
|
|
| Windows Server 2016 | 内置 |
|
| Windows Server 2019 及更高版本 | 内置 | 内置 |
新式统一解决方案中的已知问题和限制
以下几点适用于Windows Server 2016和Windows Server 2012 R2:
在执行新安装之前,请始终从 Microsoft Defender 门户下载最新的安装程序包, (https://security.microsoft.com) ,并确保满足先决条件。 安装后,请确保使用更新 Windows Server 2012 R2 和 2016 上的 Defender for Endpoint 包一节中所述的组件更新定期更新。
由于服务安装超时,作系统更新可能会引入磁盘速度较慢的计算机上的安装问题。 安装失败并显示消息“找不到 c:\program files\windows defender\mpasdesc.dll, - 310 WinDefend”。 如有必要,请使用最新的安装包和最新的 install.ps1 脚本来帮助清除失败的安装。
Windows Server 2016 和 Windows Server 2012 R2 上的用户界面仅允许基本作。 若要在本地设备上执行作,请参阅 使用 PowerShell、WMI 和 MPCmdRun.exe管理 Defender for Endpoint 。 因此,专门依赖于用户交互的功能(例如,提示用户做出决策或执行特定任务的位置)可能无法按预期工作。 建议禁用或不启用用户界面,也不要求在任何托管服务器上进行用户交互,因为这可能会影响保护功能。
并非所有攻击面减少规则都适用于所有作系统。 请参阅 攻击面减少规则。
不支持作系统升级。 卸载,然后在升级之前卸载。 安装程序包只能用于升级尚未使用新的反恶意软件平台或 EDR 传感器更新包进行更新的安装。
若要自动部署新解决方案,请使用 Microsoft Endpoint Configuration Manager (MECM) 需要使用版本 2207 或更高版本。 你仍然可以使用版本 2107 和修补程序汇总进行配置和部署,但这需要额外的部署步骤。 有关详细信息,请参阅Microsoft终结点Configuration Manager迁移方案。
有关使用非Microsoft安全解决方案运行 Defender for Endpoint 的重要信息
如果打算使用非Microsoft反恶意软件解决方案,则需要在被动模式下运行 Microsoft Defender 防病毒。 必须记住在安装和载入过程中将 设置为被动模式。
注意
如果使用 McAfee Endpoint Security (ENS) 或 VirusScan Enterprise (VSE) 在服务器上安装 Defender for Endpoint,则可能需要更新 McAfee 平台的版本,以确保不会删除或禁用Microsoft Defender防病毒。 有关详细信息,包括所需的特定版本号,请参阅 McAfee 知识中心一文。
更新 Windows Server 2016 或 Windows Server 2012 R2 的包
若要接收 Defender for Endpoint 组件的常规产品改进和修补程序,请确保应用或批准Windows 更新KB5005292。 此外,若要使保护组件保持更新,请参阅管理Microsoft Defender防病毒更新和应用基线。
如果使用 Windows Server Update Services (WSUS) 和/或Microsoft Configuration Manager,则此新的“EDR 传感器Microsoft Defender for Endpoint更新”在类别下提供Microsoft Defender for Endpoint。
运行检测测试以验证载入
载入设备后,可以选择运行检测测试,以验证设备是否已正确载入服务。 有关详细信息,请参阅 在新加入的 Defender for Endpoint 设备上运行检测测试。
注意
不需要运行Microsoft Defender防病毒,但建议这样做。 如果其他防病毒供应商产品是主要终结点保护解决方案,则可以在被动模式下运行Defender 防病毒。 只有在验证 Defender for Endpoint 传感器 (SENSE) 正在运行后,才能确认被动模式处于打开状态。
运行以下命令,验证是否已安装Microsoft Defender防病毒:
注意
仅当使用 Microsoft Defender 防病毒作为活动反恶意软件解决方案时,才需要执行此验证步骤。
sc.exe query Windefend如果结果为“指定的服务不作为已安装的服务存在”,则需要安装Microsoft Defender防病毒。
运行以下命令,验证 Defender for Endpoint 是否正在运行:
sc.exe query sense结果应显示它正在运行。 如果遇到载入问题,请参阅 载入疑难解答。
后续步骤
成功将设备载入服务后,需要配置 Defender for Endpoint 的各个组件。 按照 配置功能 进行作,了解如何启用各种组件。
卸载 Windows 服务器
可以使用适用于 Windows 客户端设备的相同方法卸载 Windows 服务器:
卸载后,可以继续卸载 Windows Server 2016 上的统一解决方案包,Windows Server 2012 R2。 对于其他 Windows 服务器版本,可通过两个选项从服务中卸载 Windows 服务器:
- 卸载 MMA 代理
- 删除 Defender for Endpoint 工作区配置
注意
如果运行的是以前的 Defender for Endpoint for Windows Server 2016 和需要 MMA Windows Server 2012 R2,则其他Windows Server版本的卸载说明也适用于这些说明。 有关迁移到新的统一解决方案的说明,请参阅 Defender for Endpoint 中的服务器迁移方案。
相关文章
- 通过Microsoft Defender for Endpoint的载入体验载入服务器
- 将 Windows 和 Mac 客户端设备载入到Microsoft Defender for Endpoint
- 配置代理和 Internet 连接设置
- 在新加入的 Defender for Endpoint 设备上运行检测测试
- 排查 Defender for Endpoint 载入问题
- 排查与 Defender for Endpoint 安全管理相关的载入问题
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。