將 Windows 伺服器上線至 適用於端點的 Microsoft Defender 服務
適用於:
- 適用於端點的 Microsoft Defender 伺服器
- 伺服器的 Microsoft Defender
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
適用於端點的 Defender 會擴充支援,以同時包含 Windows Server 操作系統。 這項支援透過 Microsoft Defender 全面偵測回應 主控台順暢地提供進階攻擊偵測和調查功能。 支援 Windows Server 提供伺服器活動的更深入見解、核心和記憶體攻擊偵測的涵蓋範圍,以及啟用回應動作。
本文說明如何將特定 Windows 伺服器上線以 適用於端點的 Microsoft Defender。
如需如何下載和使用 Windows 伺服器 Windows 安全性 基準的指引,請參閱 Windows 安全性 基準。」
提示
如需本文的附屬內容,請參閱我們的 安全性分析器設定指南 ,以檢閱最佳做法,並瞭解如何加強防禦、改善合規性,並放心瀏覽網路安全性環境。 如需以您的環境為基礎的自定義體驗,您可以存取 Microsoft 365 系統管理中心 中的安全性分析器自動化設定指南。
Windows Server 上線概觀
您必須完成下列一般步驟,才能成功將伺服器上線。
注意事項
不支援 Windows Hyper-V 伺服器版本。
與伺服器 Microsoft Defender 整合:
適用於端點的 Microsoft Defender 與伺服器的 Microsoft Defender 緊密整合。 您可以自動將伺服器上線、讓雲端 Microsoft Defender 監視的伺服器出現在適用於端點的Defender中,並以雲端客戶的 Microsoft Defender身分進行詳細調查。 如需詳細資訊,請移至使用適用於雲端的Defender整合式EDR解決方案保護您的端點:適用於端點的 Microsoft Defender
注意事項
針對 Windows Server 2016 和 Windows Server 2012 R2,您可以在這些電腦上手動安裝/升級新式整合解決方案,或使用整合來自動部署或升級個別伺服器方案 Microsoft Defender 所涵蓋的伺服器。 如需使用適用於雲端的Defender整合式EDR解決方案來保護端點的詳細資訊,請參閱 適用於端點的 Microsoft Defender。
當您使用適用於雲端的 Microsoft Defender 來監視伺服器時,系統會自動在美國為美國使用者建立 (適用於端點的 Defender 租使用者,針對歐洲使用者在美國,以及針對英國用戶自動建立) 。 適用於端點的 Defender 所收集的數據會儲存在租使用者的地理位置,如布建期間所識別。
如果您在使用適用於雲端的 Microsoft Defender 之前使用適用於端點的 Defender,即使您稍後與適用於雲端的 Microsoft Defender 整合,您的數據仍會儲存在您建立租使用者時指定的位置。
設定之後,您就無法變更資料的儲存位置。 如果您需要將數據移至另一個位置,您必須連絡 Microsoft 支援服務 以重設租使用者。
已針對 Office 365 GCC 客戶停用使用此整合的伺服器端點監視。
先前,Windows Server 2016 上使用 Microsoft Monitoring Agent (MMA) ,Windows Server 2012 R2 和舊版 Windows Server 允許 OMS/ Log Analytics 網關提供與 Defender 雲端服務的連線。 新的解決方案,例如 Windows Server 2022、Windows Server 2019 和 Windows 10 或更新版本上的 適用於端點的 Microsoft Defender,不支援此閘道。
透過雲端 Microsoft Defender 上線的 Linux 伺服器已將其初始組態設定為以被動模式執行 Defender 防毒軟體。
Windows Server 2016 和 Windows Server 2012 R2:
- 下載安裝和上線套件
- 套用安裝套件
- 請遵循對應工具的上線步驟
Windows Server Semi-Annual Enterprise Channel 和 Windows Server 2019:
- 下載上線套件
- 請遵循對應工具的上線步驟
Windows Server 2016 和 Windows Server 2012 R2
新式統一解決方案中的功能
先前的實作 (在 2022 年 4 月之前) 上線 Windows Server 2016 和 Windows Server 2012 R2 需要使用 Microsoft Monitoring Agent (MMA) 。
新的統一方案套件可移除相依性與安裝步驟,更輕鬆地讓伺服器上線。 它也提供擴充程度更大的功能集。 如需詳細資訊,請參閱 Windows Server 2012 R2 和 2016。
根據您要上線的伺服器,整合解決方案會安裝 Microsoft Defender 防病毒軟體和/或 EDR 感測器。 下表指出已安裝的元件,以及預設內建的內容。
伺服器版本 | AV | EDR |
---|---|---|
Windows Server 2012 R2 | ||
Windows Server 2016 | 內建 | |
Windows Server 2019 或更新版本 | 內建 | 內建 |
如果您先前已使用 MMA 將伺服器上線,請遵循 伺服器移 轉中提供的指引移轉至新的解決方案。
重要事項
繼續上線之前,請參閱適用於 Windows Server 2012 R2 和 Windows Server 2016 的新整合解決方案套件中的已知問題和限制一節。
必要條件
Windows Server 2016和 Windows Server 2012 R2 的必要條件
建議您在伺服器上安裝最新的可用 SSU 和 LCU。
- 必須安裝 2021 年 9 月 14 日或更新版本的維護堆疊更新 (SSU) 。
- 必須安裝 2018 年 9 月 20 日或更新版本 (LCU) 的最新累積更新。
- 啟用 Microsoft Defender 防病毒軟體功能,並確定其為最新狀態。 如需在 Windows Server 上啟用 Defender 防毒軟體 的詳細資訊,請參閱在 Windows Server 上重新啟用 Defender 防毒軟體 如果已停用,請參閱在 Windows Server 上重新啟用 Defender 防毒軟體已卸載。
- 使用 Windows Update 下載並安裝最新的平臺版本。 或者,從 Microsoft 更新類別目錄 或 從 MMPC 手動下載更新套件。
使用第三方安全性解決方案執行的必要條件
如果您想要使用第三方反惡意代碼解決方案,則必須在被動模式中執行 Microsoft Defender 防病毒軟體。 您必須記得在安裝和上線程式期間設定為被動模式。
注意事項
如果您要在具有 McAfee Endpoint Security (ENS) 或 VirusScan Enterprise (VSE) 的伺服器上安裝 適用於端點的 Microsoft Defender,則可能需要更新 McAfee 平臺的版本,以確保 Microsoft Defender 防病毒軟體不會移除或停用。 如需詳細資訊,包括所需的特定版本號碼,請參閱 McAfee知識中心一文。
更新 Windows Server 2016 和 Windows Server 2012 R2 上 適用於端點的 Microsoft Defender 的套件
若要接收 EDR 感測器元件的定期產品改進和修正,請確定 Windows Update KB5005292已套用或核准。 此外,若要讓保護元件保持更新,請參閱管理 Microsoft Defender 防病毒軟體更新並套用基準。
如果您使用 Windows Server Update Services (WSUS) 和/或Microsoft端點 Configuration Manager,則類別下提供這個新的「EDR 感測器 適用於端點的 Microsoft Defender 更新」適用於端點的 Microsoft Defender」。
上線步驟摘要
步驟 1:下載安裝和上線套件
您必須從入口網站下載 安裝 和 上 線套件。
注意事項
安裝套件會每月更新一次。 請務必在使用前下載最新的套件。 若要在安裝之後更新,您不需要再次執行安裝程式套件。 如果您這樣做,安裝程式會要求您先脫機,因為這是卸載的需求。 請參閱 Windows Server 2012 R2 和 2016 上 適用於端點的 Microsoft Defender 更新套件。
注意事項
在 Windows Server 2016 和 Windows Server 2012 R2 上,必須將 Microsoft Defender 防病毒軟體安裝為功能 (請參閱在繼續安裝之前,先切換至 MDE) 並完整更新。
如果您執行非Microsoft反惡意代碼解決方案,請確定您在安裝之前,會從 [Defender 處理程式] 索引標籤標上的 [Microsoft Defender 行程] 清單中新增 Microsoft Defender 防病毒軟體 (排除專案,) 至非Microsoft解決方案。 也建議您將非Microsoft安全性解決方案新增至 Defender 防毒軟體 排除清單。
安裝套件包含 MSI 檔案,可安裝 適用於端點的 Microsoft Defender 代理程式。
上線套件包含下列檔案:
-
WindowsDefenderATPOnboardingScript.cmd
- 包含上線文稿
請遵循下列步驟來下載套件:
在 Microsoft Defender 全面偵測回應 中,移至 [設定>端點>上線]。
選取 [Windows Server 2016],然後 Windows Server 2012 R2] 。
選 取 [下載安裝套件 ] 並儲存 .msi 檔。
選 取 [下載上線套件 ],然後儲存 .zip 檔案。
使用任何安裝 Microsoft Defender 防病毒軟體的選項來安裝安裝套件。 安裝需要系統管理許可權。
重要事項
本機上線腳本適用於概念證明,但不應用於生產環境部署。 針對生產環境部署,建議您使用 群組原則 或Microsoft端點 Configuration Manager。
步驟 2:套用安裝和上線套件
在此步驟中,您將安裝將裝置上架至 適用於端點的 Microsoft Defender 雲端環境之前所需的預防和偵測元件,以準備計算機上線。 請確定已符合所有 必要條件 。
注意事項
Microsoft Defender,除非您將防病毒軟體設定為被動模式,否則防病毒軟體將會安裝並處於主動狀態。
安裝 適用於端點的 Microsoft Defender 套件的選項
在上一節中,您已下載安裝套件。 安裝套件包含所有 適用於端點的 Microsoft Defender元件的安裝程式。
您可以使用下列任何選項來安裝代理程式:
使用命令行安裝 Microsoft Defender For Endpoint
使用上一個步驟中的安裝套件來安裝 適用於端點的 Microsoft Defender。
執行下列命令以安裝 適用於端點的 Microsoft Defender:
Msiexec /i md4ws.msi /quiet
若要卸載,請確定計算機已先使用適當的離線腳本脫機。 然後,使用 控制台 > 程式>和功能來執行卸載。
或者,執行下列卸載命令以卸載 適用於端點的 Microsoft Defender:
Msiexec /x md4ws.msi /quiet
您必須使用用於安裝的相同套件,上述命令才能成功。
參數 /quiet
會隱藏所有通知。
注意事項
Microsoft Defender 防病毒軟體不會自動進入被動模式。 如果您執行非Microsoft防病毒軟體/反惡意代碼解決方案,您可以選擇設定 Microsoft Defender 防病毒軟體以被動模式執行。 針對命令行安裝,選擇性 FORCEPASSIVEMODE=1
會立即將 Microsoft Defender 防病毒軟體元件設定為被動模式,以避免干擾。 然後,若要確保 Defender 防毒軟體 在上線之後保持被動模式,以支援 EDR 區塊等功能,請設定 “ForceDefenderPassiveMode” 登錄機碼。
支援 Windows Server 提供伺服器活動的更深入解析、核心和記憶體攻擊偵測的涵蓋範圍,以及啟用回應動作。
使用腳本安裝 適用於端點的 Microsoft Defender
您可以使用 安裝程式協助程式腳本來 協助自動化安裝、卸載和上線。
注意事項
安裝腳本已簽署。 對腳本的任何修改都會使簽章失效。 當您從 GitHub 下載腳本時,避免意外修改的建議方法是將來源檔案下載為 zip 封存,然後將它解壓縮以取得主要 [程序代碼] 頁面上 (的 install.ps1 檔案,單擊 [程序代碼] 下拉菜單,然後選取 [下載 ZIP] ) 。
此腳本可用於各種案例,包括先前 MMA 型 適用於端點的 Microsoft Defender 解決方案的伺服器移轉案例中所述的案例,以及使用 群組原則 進行部署,如下所述。
使用安裝程式文稿執行安裝時,使用組策略套用 適用於端點的 Microsoft Defender 安裝和上線套件
建立群組原則:
開啟 #D0F1319B596F34B108948CFC744B90324 Management Console (GPMC) ,以滑鼠右鍵按兩下 [群組原則 您要設定的物件],然後選取 [新增]。 在顯示的對話框中輸入新 GPO 的名稱,然後選取 [ 確定]。開啟 群組原則 Management Console (GPMC) ,以滑鼠右鍵按兩下您要設定的 群組原則 物件 (G) PO,然後選取 [編輯]。
在群組原則管理編輯器中,依序前往 [電腦組態]、[喜好設定]、[控制台設定]。
以滑鼠右鍵按一下 [排程工作],指向 [新增],然後按一下 [立即工作 (至少 Windows 7)]。
在開啟的 [ 工作 ] 視窗中,移至 [ 一般] 索引 卷標。在 [安全性選項] 下,選取 [變更使用者或群組 ] 並輸入 SYSTEM,然後選取 [ 檢查名稱 ],然後選取 [ 確定]。 NT AUTHORITY\SYSTEM 會顯示為執行工作的使用者帳戶身分。
選取 [不論使用者登入與否均執行],然後勾選 [以最高權限執行] 核取方塊。
在 [名稱] 欄位中,輸入排程工作的適當名稱 (例如適用於端點部署的Defender) 。
移至 [動作] 索引標籤,然後選取 [新增...]。確定已在 [動作] 欄位中選取 [啟動程式]。 安裝程式腳本會處理安裝,並在安裝完成後立即執行上線步驟。 選 取C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 然後提供自變數:
-ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd
注意事項
建議的執行原則設定為
Allsigned
。 如果腳本在端點上以 SYSTEM 身分執行,則需要將腳本的簽署憑證匯入本機電腦信任的發行者存放區。使用共用install.ps1檔案的檔伺服器完整域名 (FQDN) ,將 \\servername-or-dfs-space\ share-name 取代為 UNC 路徑。 安裝程式套件 md4ws.msi 必須放在相同的目錄中。 請確定 UNC 路徑的許可權允許寫入存取正在安裝套件的電腦帳戶,以支援建立記錄檔。 如果您想要停用建立記錄檔 (不建議) ,您可以使用 -noETL -noMSILog 參數。
針對您想要 Microsoft Defender 防病毒軟體與非Microsoft反惡意代碼解決方案共存的案例,請新增 $Passive 參數,以在安裝期間設定被動模式。
選取 [確定 ],然後關閉任何開啟的 GPMC 視窗。
若要將 GPO 連結至組織單位 (OU) ,請以滑鼠右鍵按兩下並選取 [鏈接現有的 GPO]。 在顯示的對話框中,選取您要連結的 群組原則 物件。 選取 [確定]。
如需更多組態設定,請參閱設定範例集合設定和其他建議的組態設定。
步驟 3:完成上線步驟
只有在您使用第三方反惡意代碼解決方案時,才適用下列步驟。 您必須套用下列 Microsoft Defender 防病毒軟體被動模式設定。 確認已正確設定:
設定下列登入專案:
- 路徑:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
- 名稱:
ForceDefenderPassiveMode
- 類型:
REG_DWORD
- 值:
1
- 路徑:
適用於 Windows Server 2016和 Windows Server 2012 R2 之全新整合解決方案套件的已知問題和限制
重要事項
在執行新的安裝之前,請務必先從 Microsoft Defender 入口網站下載最新的安裝程式套件 (https://security.microsoft.com) ,並確定已符合必要條件。 安裝之後,請務必使用 Windows Server 2012 R2 和 2016 上更新 適用於端點的 Microsoft Defender 套件一節中所述的元件更新定期更新。
由於服務安裝逾時,操作系統更新可能會在磁碟速度較慢的計算機上造成安裝問題。 安裝失敗,並顯示「找不到 c:\program files\windows defender\mpasdesc.dll, - 310 WinDefend」訊息。 如有需要,請使用最新的安裝套件和最新的 install.ps1 腳本來協助清除失敗的安裝。
Windows Server 2016 和 Windows Server 2012 R2 上的使用者介面僅允許基本作業。 若要在本機裝置上執行作業,請參閱使用PowerShell、WMI和 MPCmdRun.exe管理 適用於端點的 Microsoft Defender。 因此,特別依賴用戶互動的功能,例如提示用戶進行決策或執行特定工作的功能,可能無法如預期般運作。 建議您停用或不啟用使用者介面,也不需要在任何受管理的伺服器上進行使用者互動,因為這可能會影響保護功能。
並非所有的「降低攻擊面」規則都適用於所有作業系統。 請參閱 受攻擊面縮小規則。
不支援操作系統升級。 在升級之前,請先下架再卸載。 安裝程式套件只能用來升級尚未使用新的反惡意代碼平臺或 EDR 感測器更新套件更新的安裝。
若要使用 Microsoft 端點 Configuration Manager (MECM 自動部署並上架新解決方案) 您必須使用 2207 版或更新版本。 您仍然可以使用 2107 版搭配 Hotfix 匯總來設定和部署,但這需要額外的部署步驟。 如需詳細資訊,請參閱Microsoft端點 Configuration Manager 移轉案例。
Windows Server Semi-Annual 2019 和 Windows Server 2022 Windows Server (SAC)
下載套件
在 Microsoft Defender 全面偵測回應 中,移至 [設定>端點 > 裝置管理 > 上線]。
選 Windows Server 1803 和 2019。
選取 [下載套件]。 將它儲存為 WindowsDefenderATPOnboardingPackage.zip。
請遵循 完成上線步驟 一節中提供的步驟。
確認上線和安裝
確認 Microsoft Defender 防病毒軟體和 適用於端點的 Microsoft Defender 正在執行。
執行偵測測試以確認上線
將裝置上線之後,您可以選擇執行偵測測試,以驗證裝置已正確上線到服務。 如需詳細資訊,請參閱 在新上線的適用於端點的 Microsoft Defender 裝置上執行偵測測試
注意事項
不需要執行 Microsoft Defender 防病毒軟體,但建議執行。 如果另一個防病毒軟體廠商產品是主要的端點保護解決方案,您可以在被動模式中執行 Defender 防毒軟體。 您只能確認 #DE775C7ED794D41BAB301982ACF27A726 感測器 (SENSE) 正在執行之後,才可以確認被動模式已開啟。
執行下列命令以確認已安裝 Microsoft Defender 防病毒軟體:
注意事項
只有當您使用 Microsoft Defender 防病毒軟體作為作用中的反惡意代碼解決方案時,才需要此驗證步驟。
sc.exe query Windefend
如果結果是「指定的服務不存在於已安裝的服務中」,則您必須安裝 Microsoft Defender 防病毒軟體。
如需如何使用 群組原則 在 Windows 伺服器上設定和管理 Microsoft Defender 防病毒軟體的詳細資訊,請參閱使用 群組原則 設定來設定和管理 Microsoft Defender 防病毒軟體。
執行下列命令以確認 適用於端點的 Microsoft Defender 正在執行:
sc.exe query sense
結果應該會顯示其正在執行中。 如果您在上線時遇到問題,請參閱 針對上線進行疑難解答。
執行偵測測試
請依照在新上 線裝置上執行偵測測試 中的步驟,確認伺服器向適用於端點的 Defender 服務回報。
後續步驟
成功將裝置上線至服務之後,您必須設定 適用於端點的 Microsoft Defender 的個別元件。 請遵循 設定功能 ,以引導您啟用各種元件。
將 Windows 伺服器離線
您可以使用適用於 Windows Server 2012 Windows 10 的相同方法,將 R2、Windows Server 2016、Windows Server (SAC) 、Windows Server 2019 和 Windows Server 2019 Core 版本離線 Windows 10用戶端裝置。
下架之後,您可以繼續在 Windows Server 2016 上卸載統一的解決方案套件,並 Windows Server 2012 R2。
對於其他 Windows 伺服器版本,您有兩個選項可從服務卸除 Windows 伺服器:
- 卸載 MMA 代理程式
- 拿掉適用於端點的Defender工作區設定
注意事項
如果您針對需要 MMA 的 Windows Server 2016 和 Windows Server 2012 R2 執行先前的 適用於端點的 Microsoft Defender,其他 Windows 伺服器版本的這些下架指示也適用。 移轉至新整合解決方案的指示位於 適用於端點的 Microsoft Defender 中的伺服器移轉案例。
相關文章
- 使用 Configuration Manager 將 Windows 裝置上線
- 將上一版 Windows 上線
- 將 Windows 10 裝置上線
- 將非 Windows 裝置上線
- 設定 Proxy 和網際網路連接設定
- 在新上線的適用於端點的Defender裝置上執行偵測測試
- 針對 適用於端點的 Microsoft Defender 上線問題進行疑難解答
- Microsoft Entra 無縫單一登錄
- 疑難排解與適用於端點的 Microsoft Defender 安全性管理有關的上線問題
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。