Onboarding předchozích verzí Windows

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Platformy

• Windows 7 SP1 Enterprise
• Windows 7 SP1 Pro
• Windows 8.1 Pro
• Windows 8.1 Enterprise
• Windows Server 2008 R2 SP1

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Defender for Endpoint rozšiřuje podporu o operační systémy nižší úrovně a poskytuje pokročilé možnosti detekce a vyšetřování útoků v podporovaných verzích Windows.

Pokud chcete připojit koncové body klientů Windows nižší úrovně do programu Defender for Endpoint, budete muset:

• Konfigurace a aktualizace klientů System Center Endpoint Protection
• Instalace a konfigurace agenta Microsoft Monitoring Agent (MMA) pro hlášení dat ze senzorů

Pro Windows Server 2008 R2 SP1 máte možnost onboardingu prostřednictvím Microsoft Defender for Cloud.

Poznámka

Aby bylo možné připojit server s Windows prostřednictvím agenta Microsoft Monitoring Agent (možnost 1), je vyžadována licence samostatného serveru Defender for Endpoint pro jednotlivé uzly. Pokud chcete připojit windows server přes Microsoft Defender pro cloud (možnost 2), je také potřeba Microsoft Defender pro server na jeden uzel, viz Podporované funkce dostupné v Microsoft Defender for Cloud.

Tip

Po onboardingu zařízení můžete spustit test detekce a ověřit, jestli je zařízení správně nasazené do služby. Další informace najdete v tématu Spuštění testu detekce u nově nasazeného koncového bodu Defenderu for Endpoint.

Konfigurace a aktualizace klientů System Center Endpoint Protection

Defender for Endpoint se integruje s System Center Endpoint Protection, aby poskytoval přehled o detekcích malwaru a zastavil šíření útoku ve vaší organizaci tím, že zakáže potenciálně škodlivé soubory nebo podezřelý malware.

K povolení této integrace je potřeba provést následující kroky:

• Instalace aktualizace antimalwarové platformy pro klienty služby Endpoint Protection z ledna 2017
• Konfigurace členství klienta SCEP ve službě Cloud Protection Service na nastavení Upřesnit
• Nakonfigurujte síť tak, aby umožňovala připojení ke cloudu Microsoft Defender Antivirus. Další informace najdete v tématu Konfigurace a ověření Microsoft Defender antivirových připojení k síti.

Instalace a konfigurace agenta Microsoft Monitoring Agent (MMA)

Než začnete

Projděte si následující podrobnosti a ověřte minimální požadavky na systém:

• Instalace měsíční kumulativní aktualizace z února 2018 – přímý odkaz ke stažení z katalogu služba Windows Update je k dispozici tady.

• Instalace aktualizace sady služeb z 12. března 2019 (nebo novější) – přímý odkaz ke stažení z katalogu služba Windows Update je k dispozici tady.

• Instalace aktualizace podpory podepisování kódu SHA-2 – přímý odkaz ke stažení z katalogu služba Windows Update je k dispozici tady.

  Poznámka

  Platí jenom pro Windows Server 2008 R2, Windows 7 SP1 Enterprise a Windows 7 SP1 Pro.

• Instalace aktualizace pro zákaznickou zkušenost a diagnostickou telemetrii

• Instalace rozhraní Microsoft .Net Framework 4.5.2 nebo novější

  Poznámka

  Instalace rozhraní .NET 4.5 může vyžadovat restartování počítače po instalaci.

• Splnění minimálních požadavků na systém agenta Azure Log Analytics Další informace najdete v tématu Shromažďování dat z počítačů ve vašem prostředí pomocí Log Analytics.

Postup instalace

1. Stáhněte si instalační soubor agenta: 64bitový agent pro Windows nebo 32bitový agent pro Windows.

   Poznámka

   Kvůli vyřazení podpory SHA-1 agentem MMA musí být agent MMA verze 10.20.18029 nebo novější.

2. Získejte ID pracovního prostoru:

   • V navigačním podokně Defenderu for Endpoint vyberte Nastavení > Onboarding správy > zařízení.
   • Vyberte operační systém.
   • Zkopírujte ID pracovního prostoru a klíč pracovního prostoru.

3. Pomocí ID pracovního prostoru a klíče pracovního prostoru zvolte některou z následujících metod instalace pro instalaci agenta:

   • Ručně nainstalujte agenta pomocí instalačního programu.

     Na stránce Možnosti instalace agenta vyberte Připojit agenta k Azure Log Analytics (OMS).

   • Nainstalujte agenta pomocí příkazového řádku.

   • Nakonfigurujte agenta pomocí skriptu.

   Poznámka

   Pokud jste zákazníkem státní správy USA, budete muset v části Azure Cloud zvolit Azure US Government, pokud používáte průvodce nastavením, nebo pokud používáte příkazový řádek nebo skript, nastavte parametr OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE na hodnotu 1.

4. Pokud pro připojení k internetu používáte proxy server, přečtěte si část Konfigurace nastavení proxy serveru a připojení k internetu.

Po dokončení by se měly na portálu během hodiny zobrazit onboardované koncové body.

Konfigurace nastavení proxy a připojení k internetu

Pokud vaše servery potřebují ke komunikaci s Defenderem for Endpoint použít proxy server, nakonfigurujte agenta MMA na použití proxy serveru pomocí jedné z následujících metod:

• Konfigurace mma pro použití proxy serveru

• Konfigurace Systému Windows tak, aby používal proxy server pro všechna připojení

Pokud se používá proxy server nebo brána firewall, ujistěte se, že servery mají přístup ke všem adresám URL Microsoft Defender for Endpoint služeb přímo a bez zachycování protokolu SSL. Další informace najdete v tématu Povolení přístupu k adresám URL služby Microsoft Defender for Endpoint. Použití zachytávání SSL zabrání systému v komunikaci se službou Defender for Endpoint.

Po dokončení by se na portálu měly během hodiny zobrazit nasazené servery s Windows.

Onboarding serverů s Windows prostřednictvím Microsoft Defender for Cloud

1. V navigačním podokně Microsoft Defender XDR vyberte Nastavení>Koncové body>Správa> zařízeníOnboarding.

2. Jako operační systém vyberte Windows Server 2008 R2 SP1 .

3. Klikněte na Onboard servers in Microsoft Defender for Cloud (Onboard Servers in Microsoft Defender for Cloud).

4. Postupujte podle pokynů k onboardingu v tématu Microsoft Defender for Endpoint s Microsoft Defender for Cloud a Pokud používáte Azure ARC, postupujte podle pokynů k onboardingu v tématu Povolení integrace Microsoft Defender for Endpoint.

Po dokončení kroků připojování budete muset nakonfigurovat a aktualizovat System Center Endpoint Protection klienty.

Poznámka

• Pokud chcete onboarding přes Microsoft Defender, aby servery fungovaly podle očekávání, musí mít server nakonfigurovaný odpovídající pracovní prostor a klíč v rámci nastavení agenta Microsoft Monitoring Agent (MMA).
• Po nakonfigurování se na počítači nasadí příslušná cloudová sada Management Pack a proces senzoru (MsSenseS.exe) se nasadí a spustí.
• To je také nutné, pokud je server nakonfigurovaný tak, aby jako proxy server používal server brány OMS.

Ověření onboardingu

Ověřte, že je spuštěná Microsoft Defender Antivirus a Microsoft Defender for Endpoint.

Poznámka

Spuštění Microsoft Defender Antivirus se nevyžaduje, ale doporučuje se to. Pokud je primárním řešením ochrany koncových bodů jiný dodavatel antivirového softwaru, můžete spustit Antivirová ochrana v programu Defender v pasivním režimu. To, že je pasivní režim zapnutý, můžete ověřit až po ověření, že je spuštěný senzor Microsoft Defender for Endpoint (SENSE).

Poznámka

Vzhledem k tomu, že Microsoft Defender Antivirus je podporován pouze pro Windows 10 a Windows 11, krok 1 se při spuštění systému Windows Server 2008 R2 SP1 nepoužije.

1. Spuštěním následujícího příkazu ověřte, že je nainstalovaná antivirová ochrana Microsoft Defender:

   sc.exe query Windefend
   

   Pokud je výsledek "Zadaná služba neexistuje jako nainstalovaná služba", budete muset nainstalovat Microsoft Defender Antivirus. Další informace najdete v tématu Microsoft Defender Antivirus v Windows 10.

   Informace o tom, jak používat Zásady skupiny ke konfiguraci a správě antivirové ochrany Microsoft Defender na serverech Windows, najdete v tématu Konfigurace a správa Microsoft Defender Antivirové ochrany pomocí nastavení Zásady skupiny.

Pokud narazíte na problémy s onboardingem, přečtěte si téma Řešení potíží s onboardingem.

Spuštění testu detekce

Postupujte podle kroků v tématu Spuštění testu detekce na nově nasazených zařízeních a ověřte, že se server hlásí službě Defender pro službu Endpoint.

Onboarding koncových bodů bez řešení správy

Používání Zásady skupiny

Krok 1: Stáhněte si odpovídající aktualizaci pro váš koncový bod.

1. Přejděte na c:\windows\sysvol\domain\scripts (Na jednom z řadičů domény může být potřeba řízení změn.)

2. Vytvořte složku s názvem MMA.

3. Stáhněte si následující položky a umístěte je do složky MMA:

   • Aktualizace pro zákaznickou zkušenost a diagnostickou telemetrii:
     • Pro Windows Server 2008 R2 x64

   Pro Windows Server 2008 R2 SP1 se vyžadují také následující aktualizace:

   Měsíční zavedení z února 2018 – KB4074598 (Windows Server 2008 R2)

   Katalog služby Microsoft Update
   Stáhnout aktualizace pro Windows Server 2008 R2 x64

   .NET Framework 3.5.1 (KB315418)
   Pro Windows Server 2008 R2 x64

   Poznámka

   V tomto článku se předpokládá, že používáte servery založené na platformě x64 (agent MMA .exe nová verze standardu SHA-2 pro x64).

Krok 2: Vytvoření názvu souboru DeployMMA.cmd (pomocí Poznámkového bloku) Do souboru cmd přidejte následující řádky. Mějte na paměti, že budete potřebovat ID a KLÍČ PRACOVNÍHO PROSTORU.

Příkladem je následující příkaz. Nahraďte následující hodnoty:

• KB – použijte příslušnou znalostní bázi, která je relevantní pro koncový bod, který nasazujete.
• ID a KLÍČ pracovního prostoru – použití ID a klíče

@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

konfigurace Zásady skupiny

Vytvořte novou zásadu skupiny speciálně pro onboarding zařízení, jako je Microsoft Defender for Endpoint onboarding.

• Vytvořte složku Zásady skupiny s názvem c:\windows\MMA.

  

  Tím se na každý server, na který se použije objekt zásad skupiny, přidáte novou složku s názvem MMA a uloží se do c:\windows. Bude obsahovat instalační soubory pro MMA, požadavky a instalační skript.

• Vytvořte předvolbu Zásady skupiny Soubory pro každý soubor uložený v přihlášení k síti.

  

Zkopíruje soubory z DOMAIN\NETLOGON\MMA\filename do C:\windows\MMA\filename , takže instalační soubory jsou místní na serveru:

Tento postup opakujte, ale vytvořte cílení na úrovni položek na kartě SPOLEČNÉ, aby se soubor zkopíroval pouze do příslušné verze platformy nebo operačního systému v oboru:

Pro Windows Server 2008 R2 budete potřebovat (a bude jenom kopírovat) následující:

• Windows6.1-KB3080149-x64.msu
• Windows6.1-KB3154518-x64.msu
• Windows6.1-KB4075598-x64.msu

Po dokončení budete muset vytvořit zásadu spouštěcích skriptů:

Název souboru, který se tady má spustit, je c:\windows\MMA\DeployMMA.cmd. Jakmile se server restartuje v rámci procesu spuštění, nainstaluje aktualizaci pro prostředí zákazníka a diagnostickou telemetrii KB a pak nainstaluje agenta MMA při nastavování ID a klíče pracovního prostoru a server se nasadí.

Pokud nechcete restartovat všechny servery, můžete také použít okamžitou úlohu ke spuštění deployMMA.cmd.

To může být provedeno ve dvou fázích. Nejprve vytvořte soubory a složku v objektu zásad zásad zabezpečení – Dejte systému čas, aby se zajistilo, že se objekt zásad používá a že všechny servery mají instalační soubory. Pak přidejte okamžitý úkol. Tím dosáhnete stejného výsledku bez nutnosti restartování.

Vzhledem k tomu, že skript má metodu ukončení a po instalaci MMA se znovu nespustí, můžete k dosažení stejného výsledku použít také denní naplánovanou úlohu. Podobně jako u zásad dodržování předpisů Configuration Manager bude každý den kontrolovat, aby se zajistilo, že mma existuje.

Jak je uvedeno v dokumentaci k onboardingu pro Server konkrétně kolem Serveru 2008 R2, projděte si následující informace: Pro Windows Server 2008 R2 SP1 se ujistěte, že splňujete následující požadavky:

• Instalace měsíční kumulativní aktualizace z února 2018
• Nainstalujte rozhraní .NET Framework 4.5 (nebo novější) nebo KB3154518

Před onboardingem Windows Serveru 2008 R2 zkontrolujte, jestli jsou k dispozici znalostní báze. Tento proces vám umožní připojit všechny servery, pokud nemáte Configuration Manager správu serverů.

Offboarding koncových bodů

Koncové body Windows můžete ze služby offboardovat dvěma způsoby:

• Odinstalace agenta MMA
• Odebrání konfigurace pracovního prostoru Defenderu for Endpoint

Poznámka

Offboarding způsobí, že koncový bod Windows přestane odesílat data ze senzorů na portál, ale data z koncového bodu, včetně odkazů na výstrahy, které měl, se budou uchovávat po dobu až 6 měsíců.

Odinstalace agenta MMA

Pokud chcete koncový bod Windows odpojit, můžete agenta MMA odinstalovat nebo ho odpojit od vytváření sestav do pracovního prostoru Defenderu for Endpoint. Po offboardingu agenta už koncový bod nebude odesílat data senzoru do Defenderu for Endpoint. Další informace najdete v tématu Zakázání agenta.

Odebrání konfigurace pracovního prostoru Defenderu for Endpoint

Můžete použít některou z následujících metod:

• Odebrání konfigurace pracovního prostoru Defenderu for Endpoint z agenta MMA
• Spuštěním příkazu PowerShellu odeberte konfiguraci.

Odebrání konfigurace pracovního prostoru Defenderu for Endpoint z agenta MMA

1. Ve vlastnostech agenta Microsoft Monitoring Agent vyberte kartu Azure Log Analytics (OMS).

2. Vyberte pracovní prostor Defender for Endpoint a klikněte na Odebrat.

   

Spuštěním příkazu PowerShellu odeberte konfiguraci.

1. Získejte ID pracovního prostoru:

   1. V navigačním podokně vyberteOnboardingnastavení>.
   2. Vyberte příslušný operační systém a získejte ID pracovního prostoru.

2. Otevřete PowerShell se zvýšenými oprávněními a spusťte následující příkaz. Použijte ID pracovního prostoru, které jste získali, a nahraďte :WorkspaceID

   $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
   
   # Remove OMS Workspace
   $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
   
   # Reload the configuration and apply changes
   $AgentCfg.ReloadConfiguration()
   

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.