Onboarding zařízení s Windows pomocí Zásad skupiny
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
Platí pro:
- Zásady skupiny
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Poznámka
Pokud chcete k nasazení balíčku použít aktualizace Zásady skupiny (GP), musíte být v systému Windows Server 2008 R2 nebo novějším.
Pro Windows Server 2019 a Windows Server 2022 možná budete muset nahradit NT AUTHORITY\Well-Known-System-Account nt authority\SYSTEM souboru XML, který vytvoří předvolba Zásady skupiny.
Poznámka
Pokud používáte nové sjednocené řešení Microsoft Defender for Endpoint pro Windows Server 2012 R2 a 2016, ujistěte se, že v centrálním úložišti používáte nejnovější soubory ADMX, abyste získali přístup ke správným možnostem zásad Microsoft Defender for Endpoint. Přečtěte si téma Vytvoření a správa centrálního úložiště pro šablony pro správu Zásady skupiny ve Windows a stažení nejnovějších souborů pro použití s Windows 10.
V tématu Identifikace architektury defenderu pro koncový bod a metody nasazení najdete různé cesty k nasazení Defenderu for Endpoint.
Otevřete soubor konfiguračního balíčku GP (
WindowsDefenderATPOnboardingPackage.zip
), který jste stáhli z průvodce onboardingem služby. Balíček můžete získat také z portálu Microsoft Defender:V navigačním podokně vyberte Nastavení>Koncové body>Onboardingsprávy> zařízení.
Vyberte operační systém.
V poli Metoda nasazení vyberte Zásady skupiny.
Klikněte na Stáhnout balíček a uložte soubor .zip.
Extrahujte obsah souboru .zip do sdíleného umístění jen pro čtení, ke kterému má zařízení přístup. Měli byste mít složku s názvem OptionalParamsPolicy a soubor WindowsDefenderATPOnboardingScript.cmd.
Pokud chcete vytvořit nový objekt zásad skupiny, otevřete konzolu Zásady skupiny Management Console (GPMC), klikněte pravým tlačítkem na Zásady skupiny objekty, které chcete nakonfigurovat, a klikněte na Nový. Do zobrazeného dialogového okna zadejte název nového objektu zásad skupiny a klikněte na OK.
Otevřete konzolu Zásady skupiny Management Console (GPMC), klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a klikněte na Upravit.
V Editor správa Zásady skupiny přejděte na Konfigurace počítače, předvolby a nastavení Ovládacích panelů.
Klikněte pravým tlačítkem na Naplánované úkoly, přejděte na Nový a potom klikněte na Okamžitý úkol (alespoň Windows 7)..
V okně Úkol , které se otevře, přejděte na kartu Obecné . V části Možnosti zabezpečení klikněte na Změnit uživatele nebo skupinu , zadejte SYSTEM a potom klikněte na Kontrola názvů a pak na OK. NT AUTHORITY\SYSTEM se zobrazí jako uživatelský účet, jako který bude úloha spuštěna.
Vyberte Spustit bez ohledu na to, jestli je uživatel přihlášený nebo ne , a zaškrtněte políčko Spustit s nejvyššími oprávněními .
Do pole Název zadejte odpovídající název naplánované úlohy (například Defender for Endpoint Deployment).
Přejděte na kartu Akce a vyberte Nový... Ujistěte se, že je v poli Akce vybraná možnost Spustit program. Zadejte cestu UNC sdíleného souboru WindowsDefenderATPOnboardingScript.cmd pomocí plně kvalifikovaného názvu domény (FQDN) souborového serveru.
Vyberte OK a zavřete všechna otevřená okna Konzoly pro správu zásad skupiny.
Pokud chcete objekt zásad sítě propojit s organizační jednotkou, klikněte pravým tlačítkem myši a vyberte Propojit existující objekt zásad_ V zobrazeném dialogovém okně vyberte Zásady skupiny Objekt, který chcete propojit. Klikněte na OK.
Tip
Po onboardingu zařízení můžete spustit test detekce, abyste ověřili, že je zařízení správně nasazené do služby. Další informace najdete v tématu Spuštění testu detekce na nově nasazených zařízeních Defender for Endpoint.
Další nastavení konfigurace Defenderu for Endpoint
U každého zařízení můžete určit, jestli je možné ze zařízení shromažďovat vzorky, když se prostřednictvím Microsoft Defender XDR odešle soubor k hloubkové analýze.
Pomocí Zásady skupiny (GP) můžete nakonfigurovat nastavení, například nastavení pro sdílení ukázek, které se používá ve funkci hloubkové analýzy.
Konfigurace nastavení ukázkové kolekce
Na zařízení pro správu GP zkopírujte z konfiguračního balíčku následující soubory:
Zkopírujte soubor AtpConfiguration.admx do složky C:\Windows\PolicyDefinitions.
Zkopírujte Soubor AtpConfiguration.adml do složky C:\Windows\PolicyDefinitions\en-US
Pokud používáte centrální úložiště pro Zásady skupiny šablon pro správu, zkopírujte z konfiguračního balíčku následující soubory:
Zkopírujte Soubor AtpConfiguration.admx do složky \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions.
Zkopírujte Soubor AtpConfiguration.adml do složky \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US
Otevřete konzolu pro správu Zásady skupiny, klikněte pravým tlačítkem myši na objekt zásad sítě, který chcete nakonfigurovat, a klikněte na Upravit.
V Editor správy Zásady skupiny přejděte na Konfigurace počítače.
Klikněte na Zásady a pak na Šablony pro správu.
Klikněte na součásti systému Windows a pak Windows Defender ATP.
Zvolte, jestli chcete povolit nebo zakázat sdílení ukázek na vašich zařízeních.
Poznámka
Pokud hodnotu nenastavíte, výchozí hodnotou je povolení ukázkové kolekce.
Další doporučená nastavení konfigurace
Aktualizace konfigurace ochrany koncového bodu
Po konfiguraci skriptu pro onboarding pokračujte úpravou stejných zásad skupiny a přidejte konfigurace ochrany koncového bodu. Proveďte úpravy zásad skupiny ze systému se systémem Windows 10 nebo Server 2019, Windows 11 nebo Windows Server 2022, abyste měli jistotu, že máte všechny požadované možnosti Microsoft Defender Antivirové ochrany. Možná budete muset zavřít a znovu otevřít objekt zásad skupiny, abyste zaregistrovali nastavení konfigurace Ochrany ATP v programu Defender.
Všechny zásady se nacházejí v části Computer Configuration\Policies\Administrative Templates
.
Umístění zásad: \Windows Components\Windows Defender ATP
Zásad | Nastavení |
---|---|
Povolit/Zakázat ukázkovou kolekci | Povoleno – zaškrtnuto políčko Povolit ukázkovou kolekci na počítačích |
Umístění zásad: \Windows Components\Microsoft Defender Antivirus
Zásad | Nastavení |
---|---|
Konfigurace detekce pro potenciálně nežádoucí aplikace | Povoleno, blokovat |
Umístění zásad: \Windows Components\Microsoft Defender Antivirus\MAPS
Zásad | Nastavení |
---|---|
Připojte se k Microsoft MAPS | Povoleno, Pokročilé mapy |
Odeslání ukázek souborů v případě potřeby další analýzy | Povoleno, odesílat bezpečné vzorky |
Umístění zásad: \Windows Components\Microsoft Defender Antivirus\Real-time Protection
Zásad | Nastavení |
---|---|
Vypnutí ochrany v reálném čase | Zakázáno |
Zapnutí monitorování chování | Povoleno |
Kontrola všech stažených souborů a příloh | Povoleno |
Monitorování aktivity souborů a programů na počítači | Povoleno |
Umístění zásad: \Windows Components\Microsoft Defender Antivirus\Scan
Tato nastavení konfigurují pravidelné kontroly koncového bodu. Doporučujeme provádět týdenní rychlou kontrolu s povolením výkonu.
Zásad | Nastavení |
---|---|
Před spuštěním plánované kontroly zkontrolujte nejnovější informace o zabezpečení virů a spywaru. | Povoleno |
Umístění zásad: \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction
Aktuální seznam identifikátorů GUID pravidel omezení potenciální oblasti útoku najdete v tématu Nasazení pravidel omezení potenciální oblasti útoku Krok 3: Implementace pravidel ASR. Další podrobnosti o pravidlech najdete v tématu Referenční informace o pravidlech omezení potenciální oblasti útoku.
Otevřete zásadu Konfigurace omezení potenciální oblasti útoku .
Vyberte Povoleno.
Vyberte tlačítko Zobrazit .
Přidejte každý identifikátor GUID do pole Název hodnoty s hodnotou 2.
Tím se nastaví každý pouze pro audit.
Zásad | Umístění | Nastavení |
---|---|---|
Konfigurace řízeného přístupu ke složkům | \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Řízený přístup ke složkám | Povoleno, režim auditování |
Spuštění testu detekce pro ověření onboardingu
Po onboardingu zařízení můžete spustit test detekce a ověřit, jestli je zařízení správně nasazené do služby. Další informace najdete v tématu Spuštění testu detekce na nově nasazené Microsoft Defender for Endpoint zařízení.
Offboarding zařízení pomocí Zásady skupiny
Z bezpečnostních důvodů vyprší platnost balíčku použitého k offboardingu zařízení 30 dní po datu stažení. Prošlé balíčky pro offboarding odeslané do zařízení budou odmítnuty. Při stahování balíčku pro offboarding budete upozorněni na datum vypršení platnosti balíčků a bude také uvedeno v názvu balíčku.
Poznámka
Zásady onboardingu a offboardingu nesmí být nasazené na stejném zařízení současně, jinak by to způsobilo nepředvídatelné kolize.
Získejte balíček pro offboarding z portálu Microsoft Defender:
V navigačním podokně vyberte Nastavení>Koncové body>Správa> zařízeníOffboarding.
Vyberte operační systém.
V poli Metoda nasazení vyberte Zásady skupiny.
Klikněte na Stáhnout balíček a uložte soubor .zip.
Extrahujte obsah souboru .zip do sdíleného umístění jen pro čtení, ke kterému má zařízení přístup. Měli byste mít soubor s názvem WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.
Otevřete konzolu Zásady skupiny Management Console (GPMC), klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a klikněte na Upravit.
V Editor správa Zásady skupinypřejděte na Konfigurace počítače,předvolby a nastavení Ovládacích panelů.
Klikněte pravým tlačítkem na Naplánované úkoly, přejděte na Nový a potom klikněte na Okamžitý úkol.
V okně Úloha , které se otevře, přejděte na kartu Obecné v části Možnosti zabezpečení a vyberte Změnit uživatele nebo skupinu, zadejte SYSTEM, pak vyberte Zkontrolovat jména a pak OK. NT AUTHORITY\SYSTEM se zobrazí jako uživatelský účet, pod kterým se bude úloha spouštět.
Vyberte Spustit bez ohledu na to, jestli je uživatel přihlášený nebo ne , a zaškrtněte políčko Spustit s nejvyššími oprávněními .
Do pole Název zadejte odpovídající název naplánované úlohy (například Defender for Endpoint Deployment).
Přejděte na kartu Akce a vyberte Nový.... Ujistěte se, že je v poli Akce vybraná možnost Spustit program. Zadejte cestu UNC sdíleného souboru WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd pomocí plně kvalifikovaného názvu domény (FQDN) souborového serveru.
Vyberte OK a zavřete všechna otevřená okna Konzoly pro správu zásad skupiny.
Důležité
Offboarding způsobí, že zařízení přestane odesílat data ze senzorů na portál, ale data ze zařízení, včetně odkazů na výstrahy, které má, se budou uchovávat po dobu až 6 měsíců.
Monitorování konfigurace zařízení
U Zásady skupiny není možné monitorovat nasazení zásad na zařízeních. Monitorování je možné provádět přímo na portálu nebo pomocí různých nástrojů pro nasazení.
Monitorování zařízení pomocí portálu
- Přejděte na portál Microsoft Defender.
- Klikněte na Inventář zařízení.
- Ověřte, že se zařízení zobrazují.
Poznámka
Může trvat několik dní, než se zařízení začnou zobrazovat v seznamu Zařízení. To zahrnuje dobu, po které se zásady distribuují do zařízení, čas, který trvá, než se uživatel přihlásí, a čas, který koncový bod potřebuje k zahájení vytváření sestav.
Nastavení zásad AV defenderu
Create novou Zásady skupiny nebo tato nastavení seskupte s ostatními zásadami. To závisí na prostředí zákazníka a na tom, jak chce službu zavést tím, že cílí na různé organizační jednotky.
Jakmile vyberete hlavní název skupiny nebo vytvoříte nový, upravte ho.
Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti> systému Windows Microsoft Defender Antivirová>ochrana v reálném čase.
Ve složce Karanténa nakonfigurujte odebrání položek ze složky Karanténa.
Ve složce Prohledat nakonfigurujte nastavení kontroly.
Monitorování všech souborů v ochraně v reálném čase
Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti> systému Windows Microsoft Defender Antivirová>ochrana v reálném čase.
Konfigurace Windows Defender nastavení filtru SmartScreen
Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Windows Defender SmartScreen>Explorer.
Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Windows Defender Filtr SmartScreen>Microsoft Edge.
Konfigurace potenciálně nežádoucích aplikací
Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti>systému Windows Microsoft Defender Antivirová ochrana.
Konfigurace služby Cloud Deliver Protection a automatické odesílání ukázek
Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Microsoft Defender Antivirová ochrana>MAPS.
Poznámka
Možnost Odeslat všechny ukázky poskytuje většinu analýz binárních souborů, skriptů a dokumentů, což zvyšuje stav zabezpečení. Možnost Odeslat bezpečné ukázky omezuje typ analyzovaných binárních souborů, skriptů nebo dokumentů a snižuje stav zabezpečení.
Další informace najdete v tématech Zapnutí cloudové ochrany v Microsoft Defender Antivirus a Cloudová ochrana a odeslání ukázky v Microsoft Defender Antivirus.
Vyhledat aktualizaci podpisu
Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti> systému Windows Microsoft Defender Aktualizace Antivirová ochrana>Security Intelligence.
Konfigurace časového limitu cloudového doručení a úrovně ochrany
Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Microsoft Defender Antivirus>MpEngine. Když nakonfigurujete zásady na úrovni ochrany cloudu na výchozí Microsoft Defender zásady blokování antivirové ochrany, zásady se zakážou. To je to, co je potřeba k nastavení úrovně ochrany na výchozí windows.
Související témata
- Onboarding zařízení s Windows pomocí aplikace Microsoft Endpoint Configuration Manager
- Onboarding zařízení s Windows pomocí nástrojů Správa mobilních zařízení
- Onboarding zařízení s Windows pomocí místního skriptu
- Onboarding zařízení s dočasnou infrastrukturou virtuálních počítačů (VDI)
- Spuštění testu detekce na nově nasazených zařízeních Microsoft Defender for Endpoint
- Řešení potíží s onboardingem Microsoft Defender for Endpoint
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.