Onboarding serverů prostřednictvím prostředí pro onboarding Microsoft Defender for Endpoint

Platí pro:

• Microsoft Defender for Endpoint pro servery
• Microsoft Defender pro servery – plán 1 nebo plán 2

Přehled

Defender for Endpoint pomáhá chránit servery vaší organizace pomocí funkcí, které zahrnují správu stavu, ochranu před hrozbami a detekci a odezvu koncových bodů. Defender for Endpoint poskytuje týmu zabezpečení hlubší přehled o serverových aktivitách, pokrytí detekce útoků na jádro a paměť a možnost v případě potřeby reagovat. Defender for Endpoint se také integruje s Microsoft Defender for Cloud, což vaší organizaci poskytuje komplexní řešení ochrany serverů.

V závislosti na konkrétním prostředí si můžete vybrat z několika možností onboarding serverů do Defenderu for Endpoint. Tento článek popisuje dostupné možnosti pro Windows Server a Linux, důležité body, které je potřeba zvážit, jak spustit test detekce po onboardingu a jak zprovoznit servery.

Tip

Jako doplněk k tomuto článku si projděte našeho průvodce nastavením analyzátoru zabezpečení , kde si projděte osvědčené postupy a naučte se posílit ochranu, zlepšit dodržování předpisů a s důvěrou se pohybovat v oblasti kybernetické bezpečnosti. Pro přizpůsobené prostředí na základě vašeho prostředí můžete získat přístup k průvodci automatizovaným nastavením analyzátoru zabezpečení v Centrum pro správu Microsoftu 365.

Plány serveru

K onboardingu serverů do Defenderu for Endpoint se vyžadují serverové licence . Můžete si vybrat z těchto možností:

• Microsoft Defender pro servery – plán 1 nebo Plán 2 (jako součást nabídky Defenderu for Cloud)
• Microsoft Defender for Endpoint pro servery
• Servery Microsoft Defender pro firmy (pouze pro malé a střední firmy)

Integrace s Microsoft Defender pro servery

Defender for Endpoint se bezproblémově integruje s Defenderem pro servery (v Defenderu for Cloud). Pokud vaše předplatné zahrnuje Defender for Servers Plan 1 nebo Plan 2, můžete:

• Automatické onboarding serverů
• Servery monitorované službou Defender for Cloud se zobrazí na portálu Microsoft Defender v inventáři zařízení.
• Proveďte podrobná šetření jako zákazník Služby Defender for Cloud.

Tady je pár věcí, které byste měli mít na paměti:

• Když k monitorování serverů použijete Defender for Cloud, vytvoří se automaticky tenant Defender for Endpoint. Data shromážděná službou Defender for Endpoint se ukládají v geografickém umístění tenanta, které je identifikováno během zřizování. (Například v USA pro zákazníky v USA, v EU pro evropské zákazníky a ve Spojeném království pro zákazníky ve Spojeném království.)
• Pokud před použitím Defenderu for Cloud používáte Defender for Endpoint, ukládají se vaše data do umístění, které jste zadali při vytváření tenanta, i když se s Defenderem for Cloud integrujete později.
• Po nakonfigurování už nemůžete změnit umístění, ve kterém jsou vaše data uložená. Pokud chcete data přesunout do jiného umístění, kontaktujte podporu a resetujte tenanta.
• Monitorování koncových bodů serveru využívající tuto integraci není v současné době dostupné pro zákazníky Office 365 GCC.
• Servery s Linuxem nasazené přes Defender for Cloud mají počáteční konfiguraci nastavenou tak, aby běžela Microsoft Defender Antivirová ochrana v pasivním režimu. Informace o tom, jak nasadit Defender for Endpoint na server s Linuxem, najdete v části Požadavky pro Microsoft Defender for Endpoint v Linuxu.

Další informace najdete v tématu Ochrana koncových bodů s využitím integrace Defenderu for Endpoint s Defenderem for Cloud.

Důležité informace o antivirových nebo antimalwarových řešeních jiných společností než Microsoft

Pokud máte v úmyslu použít antimalwarové řešení jiné společnosti než Microsoft, musíte spustit Microsoft Defender Antivirovou ochranu v pasivním režimu. Nezapomeňte během instalace a onboardingu nastavit pasivní režim. Další informace najdete v tématu Windows Server a pasivní režim.

Důležité

Pokud instalujete Defender for Endpoint na servery se systémem McAfee Endpoint Security nebo VirusScan Enterprise, možná bude potřeba aktualizovat verzi platformy McAfee, aby se zajistilo, že Microsoft Defender Antivirová ochrana nebude odebrána nebo zakázána. Další informace o konkrétních požadovaných číslech verzí najdete v článku Centrum znalostí společnosti McAfee.

Možnosti onboardingu serveru

Můžete si vybrat z několika metod nasazení a nástrojů pro onboarding serverů, jak je shrnuto v následující tabulce:

Operační systém	Metoda nasazení
Windows Server 2025 Windows Server 2022 Windows Server 2019 Windows Server verze 1803 Windows Server 2016 Windows Server 2012 R2	Místní skript (používá balíček pro onboarding) Defender pro servery Microsoft Configuration Manager Zásady skupiny Skripty VDI Onboarding pomocí Defenderu for Cloud Moderní jednotné řešení pro Windows Server 2016 a 2012 R2
Linux	Nasazení založené na instalačním skriptu Nasazení na základě skriptů Ansible Nasazení na základě skriptů Chef Nasazení na základě skriptů Puppet Nasazení založené na skriptech Saltstack Ruční nasazení (používá místní skript) Přímé zprovoznění pomocí Defenderu for Cloud Připojení počítačů mimo Azure ke službě Microsoft Defender for Cloud pomocí Defenderu for Endpoint Pokyny k nasazení defenderu for Endpoint v Linuxu pro SAP

Onboarding Windows Server verze 1803, Windows Server 2019 a Windows Server 2025

1. Nezapomeňte si projít minimální požadavky pro Defender for Endpoint.

2. Na portálu Microsoft Defender přejděte na Nastavení>Koncové body a pak v části Správa zařízení vyberte Onboarding.

3. V seznamu Vyberte operační systém k zahájení procesu onboardingu vyberte Windows Server 2019, 2022 a 2025.

   

4. V části Typ připojení vyberte buď Zjednodušené , nebo Standardní. (Projděte si požadavky na zjednodušené připojení.)

5. V části Metoda nasazení vyberte některou možnost a pak stáhněte balíček pro onboarding.

6. Postupujte podle pokynů v jednom z následujících článků pro vaši metodu nasazení:

   • Místní skript
   • Zásady skupiny
   • Správce konfigurace
   • Skripty onboardingu VDI pro trvalá zařízení
   • Připojení počítačů mimo Azure ke službě Microsoft Defender for Cloud pomocí Defenderu for Endpoint

Onboarding Windows Server 2016 a Windows Server 2012 R2

1. Nezapomeňte si projít minimální požadavky pro Defender for Endpoint a Požadavky pro Windows Server 2016 a 2012 R2.

2. Na portálu Microsoft Defender přejděte na Nastavení>Koncové body a pak v části Správa zařízení vyberte Onboarding.

3. V seznamu Vyberte operační systém pro zahájení procesu onboardingu vyberte Windows Server 2016 a Windows Server 2012 R2.

   

4. V části Typ připojení vyberte buď Zjednodušené , nebo Standardní. (Projděte si požadavky na zjednodušené připojení.)

5. V části Metoda nasazení vyberte některou možnost a pak stáhněte instalační balíček a balíček pro onboarding.

   Poznámka

   Instalační balíček se aktualizuje každý měsíc. Před použitím si nezapomeňte stáhnout nejnovější balíček. Pokud chcete aktualizaci provést po instalaci, nemusíte instalační balíček spouštět znovu. Pokud to uděláte, instalační program vás nejprve požádá o offboarding, protože se jedná o požadavek pro odinstalaci. Viz Aktualizace balíčků pro Defender for Endpoint na Windows Server 2012 R2 a 2016.

6. Postupujte podle pokynů v jednom z následujících článků pro vaši metodu nasazení:

   • Místní skript
   • Zásady skupiny
   • Správce konfigurace
   • Skripty onboardingu VDI pro trvalá zařízení
   • Migrace serverů z agenta Microsoft Monitoring Agent na moderní sjednocené řešení
   • Připojení počítačů mimo Azure ke službě Microsoft Defender for Cloud pomocí Defenderu for Endpoint

Požadavky pro Windows Server 2016 a 2012 R2

• Doporučujeme nainstalovat na server nejnovější dostupnou servisní aktualizaci SSU (Servicing Stack Update) a nejnovější kumulativní aktualizaci (LCU).
• Musí být nainstalovaná SSU od 14. září 2021 nebo novější.
• Musí být nainstalovaná kumulativní aktualizace LCU z 20. září 2018 nebo novější.
• Povolte funkci Microsoft Defender Antivirus a ujistěte se, že je aktuální. Další informace o povolení Antivirová ochrana v programu Defender na Windows Server najdete v tématech Opětovné povolení Antivirová ochrana v programu Defender na Windows Server, pokud byla zakázaná, a opětovné povolení. Antivirová ochrana v programu Defender na Windows Server, pokud byl odinstalovaný.
• Stáhněte a nainstalujte nejnovější verzi platformy pomocí služba Windows Update. Případně si balíček aktualizace stáhněte ručně z Katalogu služby Microsoft Update nebo z MMPC.
• V Windows Server 2016 musí být antivirová ochrana Microsoft Defender nainstalovaná jako funkce a před instalací plně aktualizovaná.

Aktualizace balíčků pro Windows Server 2016 nebo Windows Server 2012 R2

Pokud chcete dostávat pravidelná vylepšení a opravy produktů pro součást Defender for Endpoint, ujistěte se, že služba Windows Update KB5005292 použijete nebo schválíte. Pokud chcete udržovat součásti ochrany aktualizované, přečtěte si téma Správa aktualizací Microsoft Defender Antivirové ochrany a použití standardních hodnot.

Pokud používáte Windows Server Update Services (WSUS) nebo Microsoft Configuration Manager, je tato nová aktualizace Microsoft Defender for Endpoint pro EDR Sensor dostupná v kategorii . Microsoft Defender for Endpoint."

Funkce v moderním sjednocené řešení pro Windows Server 2016 a Windows Server 2012 R2

Předchozí implementace Windows Server 2016 a Windows Server 2012 R2 (před dubnem 2022) vyžadovala použití agenta Microsoft Monitoring Agent (MMA). Moderní a jednotný balíček řešení usnadňuje onboarding serverů tím, že odstraňuje závislosti a kroky instalace. Poskytuje také mnohem rozšířenou sadu funkcí. Chcete-li se dozvědět více informací, podívejte se na následující zdroje:

• Scénáře migrace serverů z předchozího řešení Microsoft Defender for Endpoint založeného na MMA
• Blog technické komunity: Obrana Windows Server 2012 R2 a 2016

V závislosti na serveru, který onboardujete, jednotné řešení nainstaluje Defender for Endpoint nebo senzor EDR na server. Následující tabulka uvádí, která komponenta je nainstalovaná a co je ve výchozím nastavení integrované.

Verze serveru	Antivirová ochrana v Microsoft Defenderu	Senzor EDR
Windows Server 2012 R2
Windows Server 2016	Vestavěný
Windows Server 2019 a novější	Vestavěný	Vestavěný

Známé problémy a omezení v moderním sjednocené řešení

Následující body platí pro Windows Server 2016 a Windows Server 2012 R2:

• Před provedením nové instalace vždy stáhněte nejnovější instalační balíček z portálu Microsoft Defender (https://security.microsoft.com) a ujistěte se, že jsou splněné požadavky. Po instalaci nezapomeňte pravidelně aktualizovat pomocí aktualizací komponent popsaných v části Aktualizace balíčků pro Defender for Endpoint ve Windows Server 2012 R2 a 2016.

• Aktualizace operačního systému může způsobovat problém s instalací na počítačích s pomalejšími disky kvůli vypršení časového limitu při instalaci služby. Instalace selže se zprávou Couldn't find c:\program files\windows defender\mpasdesc.dll, - 310 WinDefend. Pokud je to potřeba, použijte nejnovější instalační balíček a nejnovější install.ps1 skript, který vám pomůže vymazat neúspěšnou instalaci.

• Uživatelské rozhraní na Windows Server 2016 a Windows Server 2012 R2 umožňuje pouze základní operace. Pokud chcete provádět operace na zařízení místně, přečtěte si téma Správa Defenderu for Endpoint pomocí PowerShellu, rozhraní WMI a MPCmdRun.exe. V důsledku toho nemusí funkce, které se konkrétně spoléhají na interakci uživatele, například když je uživatel vyzván k rozhodnutí nebo provedení konkrétní úlohy, fungovat podle očekávání. Doporučuje se zakázat nebo nepovolit uživatelské rozhraní ani vyžadovat interakci uživatele na spravovaném serveru, protože to může mít vliv na možnosti ochrany.

• Ne všechna pravidla omezení potenciální oblasti útoku platí pro všechny operační systémy. Viz Pravidla omezení potenciální oblasti útoku.

• Upgrady operačního systému se podporují ve verzích Windows 10 a 11 a Windows Server 2019 nebo novějších verzích. Tyto verze zahrnují nezbytné součásti Defenderu for Endpoint. U Windows Server 2016 a dřívějších verzí musíte před upgradem operačního systému provést offboarding z Defenderu for Endpoint a odinstalovat Defender for Endpoint.

• Pokud chcete automaticky nasadit a nasadit nové řešení pomocí Microsoft Endpoint Configuration Manager (MECM), musíte mít verzi 2207 nebo novější. I nadále můžete nakonfigurovat a nasadit pomocí verze 2107 s kumulativní opravou hotfix, ale to vyžaduje další kroky nasazení. Další informace najdete v tématu Scénáře migrace microsoft endpoint Configuration Manager.

Onboarding serverů s Linuxem

Pokud chcete připojit servery se systémem Linux, postupujte takto:

1. Nezapomeňte si projít požadavky na Microsoft Defender for Endpoint v Linuxu.

2. Zvolte metodu nasazení. V závislosti na konkrétním prostředí si můžete vybrat z několika možností:

   • Nasazení založené na instalačním skriptu
   • Nasazení pomocí Ansible
   • Nasazení založené na chefu
   • Nasazení pomocí Puppet
   • Nasazení založené na Saltstacku
   • Ruční nasazení (používá místní skript)
   • Přímé zprovoznění pomocí Defenderu for Cloud
   • Připojení počítačů mimo Azure ke službě Microsoft Defender for Cloud pomocí Defenderu for Endpoint
   • Pokyny k nasazení defenderu for Endpoint v Linuxu pro SAP

3. Nakonfigurujte své možnosti. Viz Konfigurace nastavení zabezpečení v Microsoft Defender for Endpoint v Linuxu.

Spuštění testu detekce pro ověření onboardingu

Po onboardingu zařízení můžete spustit test detekce a ověřit, jestli je zařízení správně nasazené do služby. Další informace najdete v tématu Spuštění testu detekce na nově nasazených zařízeních Defender for Endpoint.

Poznámka

Spuštění Microsoft Defender Antivirové ochrany se nevyžaduje, ale doporučuje se. Pokud je primárním řešením ochrany koncových bodů jiný dodavatel antivirového softwaru, můžete spustit Antivirová ochrana v programu Defender v pasivním režimu. Jestli je pasivní režim zapnutý, můžete ověřit až po ověření, že je spuštěný senzor Defenderu for Endpoint (SENSE).

1. Na Windows Server zařízeních, která by měla mít nainstalovanou Microsoft Defender Antivirus v aktivním režimu, spusťte následující příkaz:

   sc.exe query Windefend
   

   Pokud je výsledek "Zadaná služba neexistuje jako nainstalovaná služba", musíte nainstalovat Microsoft Defender Antivirus.

2. Spuštěním následujícího příkazu ověřte, že je defender for Endpoint spuštěný:

   sc.exe query sense
   

   Výsledek by měl ukázat, že běží. Pokud narazíte na problémy s onboardingem, přečtěte si téma Řešení potíží s onboardingem.

Offboarding serverů s Windows

Servery s Windows můžete offboardovat stejnými metodami, které jsou k dispozici pro klientská zařízení s Windows:

• Offboarding zařízení pomocí Configuration Manager
• Offboarding zařízení pomocí nástrojů Mobile Správa zařízení
• Offboarding zařízení pomocí Zásady skupiny
• Offboarding zařízení pomocí místního skriptu

Po offboardingu můžete pokračovat odinstalací balíčku sjednoceného řešení na Windows Server 2016 a Windows Server 2012 R2. V předchozích verzích Windows Server máte dvě možnosti, jak ze služby offboardovat servery Windows:

• Odinstalace agenta MMA
• Odebrání konfigurace pracovního prostoru Defenderu for Endpoint

Poznámka

Tyto pokyny k offboardingu pro jiné verze Windows Server platí také v případě, že používáte předchozí Defender for Endpoint pro Windows Server 2016 a Windows Server 2012 R2, který vyžaduje MMA. Pokyny k migraci na nové sjednocené řešení najdete v tématu Scénáře migrace serveru v Defenderu for Endpoint.

Další kroky

• Konfigurace možností
• Zobrazení inventáře zařízení

Viz také

• Onboarding klientských zařízení s Windows a Mac do Microsoft Defender for Endpoint
• Konfigurace nastavení proxy a připojení k internetu
• Spuštění testu detekce na nově nasazeném zařízení Defender for Endpoint
• Řešení potíží s onboardingem Defenderu for Endpoint
• Řešení potíží s onboardingem souvisejících se správou zabezpečení pro Defender for Endpoint
• Microsoft Defender for Endpoint – Ochrana před mobilními hrozbami (pro zařízení s iOSem a Androidem)