将 Windows 服务器载入到Microsoft Defender for Endpoint服务
适用于:
- Microsoft Defender for Endpoint 服务器版
- 服务器的Microsoft Defender
希望体验 Defender for Endpoint? 注册免费试用版。
Defender for Endpoint 扩展了支持范围,还包含Windows Server操作系统。 此支持通过 Microsoft Defender XDR 控制台无缝提供高级攻击检测和调查功能。 支持Windows Server可以更深入地了解服务器活动、内核和内存攻击检测的覆盖范围,并启用响应操作。
本文介绍如何将特定的 Windows 服务器载入到Microsoft Defender for Endpoint。
有关如何下载和使用适用于 Windows 服务器的Windows 安全中心基线的指南,请参阅Windows 安全中心基线。
提示
作为本文的配套内容,请参阅 我们的安全分析器设置指南 ,以查看最佳做法,并了解如何加强防御、提高合规性,并自信地应对网络安全环境。 若要获得基于环境的自定义体验,可以访问Microsoft 365 管理中心中的安全分析器自动设置指南。
Windows Server载入概述
需要完成以下常规步骤才能成功载入服务器。
注意
不支持 Windows Hyper-V Server 版本。
与适用于服务器的 Microsoft Defender 集成:
Microsoft Defender for Endpoint与适用于服务器的 Microsoft Defender 无缝集成。 可以自动载入服务器,让 Microsoft Defender for Cloud 监视的服务器显示在 Defender for Endpoint 中,并作为云客户的Microsoft Defender进行详细调查。 有关详细信息,请转到使用 Defender for Cloud 的集成 EDR 解决方案保护终结点:Microsoft Defender for Endpoint
注意
对于Windows Server 2016和Windows Server 2012 R2,可以在这些计算机上手动安装/升级新式统一解决方案,或使用集成自动部署或升级相应服务器计划Microsoft Defender涵盖的服务器。 有关进行切换的详细信息,请参阅使用 Defender for Cloud 的集成 EDR 解决方案保护终结点:Microsoft Defender for Endpoint。
使用 Microsoft Defender for Cloud 监视服务器时,会自动在美国 (为美国用户创建 Defender for Endpoint 租户,在欧盟为欧洲用户创建 Defender for Endpoint 租户,在英国为英国用户创建) 。 Defender for Endpoint 收集的数据存储在预配期间标识的租户的地理位置中。
如果在使用 Microsoft Defender for Cloud 之前使用 Defender for Endpoint,则即使稍后与 Microsoft Defender for Cloud 集成,数据也会存储在创建租户时指定的位置。
配置后,无法更改数据存储的位置。 如果需要将数据移到另一个位置,则需要联系 Microsoft 支持部门 以重置租户。
Office 365 GCC 客户禁用了利用此集成的服务器终结点监视。
以前,使用 Microsoft Monitoring Agent (MMA) Windows Server 2016 和 Windows Server 2012 R2 及以前版本的 Windows Server允许 OMS/Log Analytics 网关提供与 Defender 云服务的连接。 新解决方案(如 Windows Server 2022、Windows Server 2019 Microsoft Defender for Endpoint 以及 Windows 10 或更高版本)不支持此网关。
通过 Microsoft Defender for Cloud 载入的 Linux 服务器的初始配置设置为在被动模式下运行Defender 防病毒。
Windows Server 2016和Windows Server 2012 R2:
- 下载安装和载入包
- 应用安装包
- 按照相应工具的载入步骤进行操作
Windows Server Semi-Annual企业频道和 2019 Windows Server:
- 下载载入包
- 按照相应工具的载入步骤进行操作
Windows Server 2016和Windows Server 2012 R2
新式统一解决方案中的功能
在 2022 年 4 月之前 () 加入Windows Server 2016和Windows Server 2012 R2 的早期实现需要使用 Microsoft Monitoring Agent (MMA) 。
新的统一解决方案包通过删除依赖项和安装步骤,可以更轻松地加入服务器。 它还提供了一个扩展的功能集。 有关详细信息,请参阅防御Windows Server 2012 R2 和 2016。
根据要加入的服务器,统一解决方案会安装Microsoft Defender防病毒和/或 EDR 传感器。 下表指示已安装的组件和默认内置组件。
服务器版本 | AV | EDR |
---|---|---|
Windows Server 2012 R2 | ||
Windows Server 2016 | 内置 | |
Windows Server 2019 或更高版本 | 内置 | 内置 |
如果以前已使用 MMA 载入服务器,请按照 服务器迁移 中提供的指南迁移到新解决方案。
重要
在继续加入之前,请参阅适用于 Windows Server 2012 R2 和 Windows Server 2016 的新统一解决方案包中的已知问题和限制部分。
先决条件
Windows Server 2016和Windows Server 2012 R2 的先决条件
建议在服务器上安装最新的可用 SSU 和 LCU。
- 必须安装 2021 年 9 月 14 日或更高版本的服务堆栈更新 (SSU) 。
- 必须安装 2018 年 9 月 20 日或更高版本起的最新累积更新 (LCU) 。
- 启用Microsoft Defender防病毒功能并确保它是最新的。 有关在Windows Server上启用Defender 防病毒的详细信息,请参阅在Windows Server上重新启用Defender 防病毒(如果已禁用)和在Windows Server上重新启用Defender 防病毒(如果已启用)已卸载。
- 使用 Windows 更新 下载并安装最新的平台版本。 或者,从Microsoft更新目录或 MMPC 手动下载更新包。
使用第三方安全解决方案运行的先决条件
如果打算使用第三方反恶意软件解决方案,则需要在被动模式下运行 Microsoft Defender 防病毒。 必须记住在安装和载入过程中将 设置为被动模式。
注意
如果要在具有 McAfee Endpoint Security (ENS) 或 VirusScan Enterprise (VSE) 的服务器上安装Microsoft Defender for Endpoint,则可能需要更新 McAfee 平台的版本,以确保不会删除或禁用Microsoft Defender防病毒。 有关详细信息,包括所需的特定版本号,请参阅 McAfee 知识中心一文。
更新 Windows Server 2016 和 Windows Server 2012 R2 上的Microsoft Defender for Endpoint包
若要接收 EDR 传感器组件的常规产品改进和修复,请确保应用或批准Windows 更新KB5005292。 此外,若要使保护组件保持更新,请参阅管理Microsoft Defender防病毒更新和应用基线。
如果使用 Windows Server Update Services (WSUS) 和/或 Microsoft 终结点Configuration Manager,则此新的“EDR 传感器Microsoft Defender for Endpoint更新”位于类别“ 下Microsoft Defender for Endpoint”。
载入步骤摘要
步骤 1:下载安装和载入包
需要从门户下载安装和载入包。
注意
安装包每月更新一次。 在使用之前,请务必下载最新的包。 若要在安装后更新,无需再次运行安装程序包。 如果这样做,安装程序将要求你首先卸载,因为这是卸载的要求。 请参阅更新 Windows Server 2012 R2 和 2016 上的Microsoft Defender for Endpoint包。
注意
在 Windows Server 2016 和 Windows Server 2012 R2 上,Microsoft Defender防病毒必须作为一项功能安装, (请参阅切换到MDE) ,并在继续安装之前进行完全更新。
如果运行的是非Microsoft反恶意软件解决方案,请确保在安装前从“Defender 进程”选项卡上的“Microsoft Defender进程”列表) 添加到非Microsoft解决方案Microsoft Defender防病毒 (的排除项。 还建议将非Microsoft安全解决方案添加到Defender 防病毒排除列表。
安装包包含安装 Microsoft Defender for Endpoint 代理的 MSI 文件。
载入包包含以下文件:
-
WindowsDefenderATPOnboardingScript.cmd
- 包含载入脚本
按照以下步骤下载包:
在Microsoft Defender XDR中,转到“设置>终结点>载入”。
选择“Windows Server 2016”,Windows Server 2012 R2。
选择“ 下载安装包 ”并保存 .msi 文件。
选择 “下载载入包 ”并保存 .zip 文件。
使用任一选项安装安装Microsoft Defender防病毒。 安装需要管理权限。
重要
本地载入脚本适用于概念证明,但不应用于生产部署。 对于生产部署,建议使用 组策略 或 Microsoft Endpoint Configuration Manager。
步骤 2:应用安装和载入包
在此步骤中,你将在将设备载入到Microsoft Defender for Endpoint云环境之前安装所需的防护和检测组件,以便为计算机载入做好准备。 确保满足所有 先决条件 。
注意
Microsoft Defender防病毒将安装并处于活动状态,除非将其设置为被动模式。
用于安装Microsoft Defender for Endpoint包的选项
在上一部分中,你下载了安装包。 安装包包含所有Microsoft Defender for Endpoint组件的安装程序。
可以使用以下任一选项来安装代理:
使用命令行安装 Microsoft Defender For Endpoint
使用上一步中的安装包安装Microsoft Defender for Endpoint。
运行以下命令以安装Microsoft Defender for Endpoint:
Msiexec /i md4ws.msi /quiet
若要卸载,请确保先使用相应的卸载脚本卸载计算机。 然后,使用控制面板>程序>程序和功能来执行卸载。
或者,运行以下 uninstall 命令来卸载Microsoft Defender for Endpoint:
Msiexec /x md4ws.msi /quiet
必须使用用于安装的同一包,上述命令才能成功。
开关 /quiet
禁止显示所有通知。
注意
Microsoft Defender防病毒不会自动进入被动模式。 如果运行的是非Microsoft防病毒/反恶意软件解决方案,可以选择将Microsoft Defender防病毒设置为在被动模式下运行。 对于命令行安装,可选FORCEPASSIVEMODE=1
立即将 Microsoft Defender 防病毒组件设置为被动模式以避免干扰。 然后,若要确保Defender 防病毒在载入后保持被动模式以支持 EDR 块等功能,请设置“ForceDefenderPassiveMode”注册表项。
支持Windows Server可以更深入地了解服务器活动、内核和内存攻击检测的覆盖范围,并启用响应操作。
使用脚本安装Microsoft Defender for Endpoint
可以使用 安装程序帮助程序脚本 来帮助自动安装、卸载和载入。
注意
安装脚本已签名。 对脚本的任何修改都会使签名无效。 从 GitHub 下载脚本时,避免无意修改的建议方法是将源文件下载为 zip 存档,然后将其解压缩以获取 install.ps1 文件 (main代码页上,单击“代码”下拉菜单并选择“下载 ZIP”) 。
此脚本可用于各种方案,包括前面基于 MMA 的 Microsoft Defender for Endpoint 解决方案中的服务器迁移方案中所述的方案,以及使用 组策略 进行部署的方案,如下所述。
使用安装程序脚本执行安装时,使用组策略应用Microsoft Defender for Endpoint安装和载入包
创建组策略:
打开组策略管理控制台 (GPMC) ,右键单击要配置的组策略对象,然后选择“新建”。 在显示的对话框中输入新 GPO 的名称,然后选择“ 确定”。打开组策略管理控制台 (GPMC) ,右键单击要配置的组策略对象 (GPO) ,然后选择“编辑”。
在组策略管理编辑器,依次转到“计算机配置”、“首选项”和“控制面板设置”。
右键单击“ 计划的任务”,指向“ 新建”,然后单击“ 立即任务 (至少 Windows 7) ”。
在打开 的“任务” 窗口中,转到“ 常规 ”选项卡。在 “安全选项” 下,选择“ 更改用户”或“组 ”,键入“SYSTEM”,然后选择“ 检查名称 ”,然后选择 “确定”。 NT AUTHORITY\SYSTEM 显示为任务运行方式的用户帐户。
选择“无论用户是否登录,都运行”,并检查“以最高特权检查运行”框。
在“名称”字段中,键入计划任务的相应名称, (例如 Defender for Endpoint Deployment) 。
转到“操作”选项卡,然后选择“新建...”确保在“操作”字段中选择了“启动程序”。 安装程序脚本将处理安装,并在安装完成后立即执行载入步骤。 选择 “C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ,然后提供参数:
-ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd
注意
建议的执行策略设置为
Allsigned
。 如果脚本在终结点上作为 SYSTEM 运行,则需要将脚本的签名证书导入本地计算机受信任的发布服务器存储。使用共享 install.ps1文件的文件 服务器的完全限定域名 (FQDN) ,将 \\servername-or-dfs-space\share-name 替换为 UNC 路径。 安装程序包 md4ws.msi 必须放在同一目录中。 确保 UNC 路径的权限允许对安装包的计算机帐户进行写入访问,以支持创建日志文件。 如果要禁用日志文件的创建 (不建议) ,可以使用 -noETL -noMSILog 参数。
对于希望Microsoft Defender防病毒与非Microsoft反恶意软件解决方案共存的方案,请添加 $Passive 参数以在安装过程中设置被动模式。
选择“ 确定” 并关闭任何打开的 GPMC 窗口。
若要将 GPO 链接到组织单位 (OU) ,请右键单击并选择“ 链接现有 GPO”。 在显示的对话框中,选择要链接的组策略对象。 选择“确定”。
有关更多配置设置,请参阅配置示例集合设置和其他建议的配置设置。
步骤 3:完成载入步骤
只有在使用第三方反恶意软件解决方案时,以下步骤才适用。 需要应用以下Microsoft Defender防病毒被动模式设置。 验证是否已正确配置:
设置以下注册表项:
- 路径:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
- 名称:
ForceDefenderPassiveMode
- 类型:
REG_DWORD
- 值:
1
- 路径:
Windows Server 2016和Windows Server 2012 R2 的新统一解决方案包中的已知问题和限制
重要
在执行新安装之前,请始终从 Microsoft Defender 门户下载最新的安装程序包, (https://security.microsoft.com) ,并确保满足先决条件。 安装后,请确保使用 Windows Server 2012 R2 和 2016 上更新Microsoft Defender for Endpoint的包部分中所述的组件更新。
由于服务安装超时,操作系统更新可能会引入磁盘速度较慢的计算机上的安装问题。 安装失败并显示消息“找不到 c:\program files\windows defender\mpasdesc.dll, - 310 WinDefend”。 如有必要,请使用最新的安装包和最新的 install.ps1 脚本来帮助清除失败的安装。
Windows Server 2016 和 Windows Server 2012 R2 上的用户界面仅允许基本操作。 若要在本地设备上执行操作,请参阅使用 PowerShell、WMI 和 MPCmdRun.exe管理Microsoft Defender for Endpoint。 因此,专门依赖于用户交互的功能(例如,提示用户做出决策或执行特定任务的位置)可能无法按预期工作。 建议禁用或不启用用户界面,也不要求在任何托管服务器上进行用户交互,因为这可能会影响保护功能。
并非所有攻击面减少规则都适用于所有操作系统。 请参阅 攻击面减少规则。
不支持操作系统升级。 卸载,然后在升级之前卸载。 安装程序包只能用于升级尚未使用新的反恶意软件平台或 EDR 传感器更新包进行更新的安装。
若要使用 Microsoft Endpoint Configuration Manager (MECM) 自动部署和载入新解决方案,需要使用版本 2207 或更高版本。 你仍然可以使用版本 2107 和修补程序汇总进行配置和部署,但这需要其他部署步骤。 有关详细信息,请参阅Microsoft终结点Configuration Manager迁移方案。
Windows Server Semi-Annual企业频道 (SAC) ,Windows Server 2019 和 2022 Windows Server
下载包
在Microsoft Defender XDR中,转到“设置>终结点>设备管理>载入”。
选择Windows Server 1803 和 2019。
选择 “下载包”。 将其另存为 WindowsDefenderATPOnboardingPackage.zip。
按照 完成载入步骤 部分中提供的步骤进行操作。
验证载入和安装
验证Microsoft Defender防病毒和Microsoft Defender for Endpoint是否正在运行。
运行检测测试以验证载入
载入设备后,可以选择运行检测测试,以验证设备是否已正确载入服务。 有关详细信息,请参阅在新加入的 Microsoft Defender for Endpoint 设备上运行检测测试。
注意
运行Microsoft Defender防病毒不是必需的,但建议这样做。 如果其他防病毒供应商产品是主要终结点保护解决方案,则可以在被动模式下运行Defender 防病毒。 只有在验证Microsoft Defender for Endpoint传感器 (SENSE) 正在运行后,才能确认被动模式处于打开状态。
运行以下命令,验证是否已安装Microsoft Defender防病毒:
注意
仅当使用 Microsoft Defender 防病毒作为活动反恶意软件解决方案时,才需要执行此验证步骤。
sc.exe query Windefend
如果结果为“指定的服务不作为已安装的服务存在”,则需要安装 Microsoft Defender防病毒。
有关如何使用 组策略 在 Windows 服务器上配置和管理Microsoft Defender防病毒的信息,请参阅使用组策略设置配置和管理Microsoft Defender防病毒。
运行以下命令,验证Microsoft Defender for Endpoint是否正在运行:
sc.exe query sense
结果应显示它正在运行。 如果遇到载入问题,请参阅 载入疑难解答。
运行检测测试
按照 在新加入的设备上运行检测测试 中的步骤,验证服务器是否向 Defender 报告终结点服务。
后续步骤
成功将设备载入服务后,需要配置Microsoft Defender for Endpoint的各个组件。 按照 配置功能 进行操作,了解如何启用各种组件。
卸载 Windows 服务器
可以使用适用于 Windows 10 的相同方法退出 Windows Server 2012 R2、Windows Server 2016、Windows Server (SAC) 、Windows Server 2019 和 Windows Server 2019 核心版客户端设备。
卸载后,可以继续卸载 Windows Server 2016 上的统一解决方案包,Windows Server 2012 R2。
对于其他 Windows 服务器版本,可通过两个选项从服务中卸载 Windows 服务器:
- 卸载 MMA 代理
- 删除 Defender for Endpoint 工作区配置
注意
如果针对需要 MMA 的 Windows Server 2016 和 Windows Server 2012 R2 运行以前的Microsoft Defender for Endpoint,则其他 Windows 服务器版本的卸载说明也适用于这些说明。 有关迁移到新统一解决方案的说明,请参阅 Microsoft Defender for Endpoint 中的服务器迁移方案。
相关文章
- 使用Configuration Manager加入 Windows 设备
- 载入以前版本的 Windows
- 载入 Windows 10 设备
- 载入非 Windows 设备
- 配置代理和 Internet 连接设置
- 在新加入的 Defender for Endpoint 设备上运行检测测试
- 排查Microsoft Defender for Endpoint载入问题
- Microsoft Entra无缝单一登录
- 排查与Microsoft Defender for Endpoint安全管理相关的载入问题
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。