Del via


Onboard Windows-enheder ved hjælp af Gruppepolitik

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Bemærk!

Hvis du vil bruge opdateringer af Gruppepolitik (GP) til at installere pakken, skal du være på Windows Server 2008 R2 eller nyere.

For Windows Server 2019 og Windows Server 2022 skal du muligvis erstatte NT AUTHORITY\Well-Known-System-Account med NT AUTHORITY\SYSTEM i den XML-fil, som den Gruppepolitik indstilling opretter.

Bemærk!

Hvis du bruger den nye unified Microsoft Defender for Endpoint-løsning til Windows Server 2012 R2 og 2016, skal du sørge for, at du bruger de nyeste ADMX-filer i dit centrale lager til at få adgang til de korrekte Microsoft Defender for Endpoint politikindstillinger. Se Under Sådan opretter og administrerer du Central Store til Gruppepolitik administrative skabeloner i Windows og downloader de nyeste filer til brug sammen med Windows 10.

Se Identificer Defender for Endpoint-arkitektur og -installationsmetode for at se de forskellige stier i installationen af Defender for Endpoint.

  1. Åbn den GP-konfigurationspakkefil (WindowsDefenderATPOnboardingPackage.zip), du har downloadet fra guiden til onboarding af tjenesten. Du kan også hente pakken fra Microsoft Defender-portalen:

    1. I navigationsruden skal du vælge Indstillinger>Endpoints>Onboarding til enhedshåndtering>.

    2. Vælg operativsystemet.

    3. Vælg Gruppepolitik i feltet Installationsmetode.

    4. Klik på Download pakke , og gem filen .zip.

  2. Udpak indholdet af den .zip fil til en delt, skrivebeskyttet placering, som enheden kan få adgang til. Du skal have en mappe med navnet OptionalParamsPolicy og filen WindowsDefenderATPOnboardingScript.cmd.

  3. Hvis du vil oprette et nyt gruppepolitikobjekt, skal du åbne GPMC (Gruppepolitik Management Console), højreklikke Gruppepolitik objekter, du vil konfigurere, og klikke på Ny. Angiv navnet på det nye gruppepolitikobjekt i dialogboksen, der vises, og klik på OK.

  4. Åbn GPMC (Gruppepolitik Management Console), højreklik på det Gruppepolitik objekt, du vil konfigurere, og klik på Rediger.

  5. I Gruppepolitik Management-Editor skal du gå til Computerkonfiguration, derefter Indstillinger og derefter Indstillinger for Kontrolpanel.

  6. Højreklik på Planlagte opgaver, peg på Ny, og klik derefter på Øjeblikkelig opgave (mindst Windows 7).

  7. I vinduet Opgave , der åbnes, skal du gå til fanen Generelt . Under Sikkerhedsindstillinger skal du klikke på Skift bruger eller gruppe , skrive SYSTEM og derefter klikke på Kontrollér navne og derefter PÅ OK. NT AUTHORITY\SYSTEM vises som den brugerkonto, som opgaven kører som.

  8. Vælg Kør, om brugeren er logget på eller ej , og markér afkrydsningsfeltet Kør med de højeste rettigheder .

  9. I feltet Navn skal du skrive et passende navn til den planlagte opgave (f.eks. Defender for Endpoint Deployment).

  10. Gå til fanen Handlinger, og vælg Ny... Kontrollér, at Start et program er markeret i feltet Handling . Angiv UNC-stien ved hjælp af filserverens fuldt kvalificerede domænenavn (FQDN) for den delte WindowsDefenderATPOnboardingScript.cmd fil.

  11. Vælg OK , og luk alle åbne GPMC-vinduer.

  12. Hvis du vil knytte gruppepolitikobjektet til en organisationsenhed, skal du højreklikke og vælge Sammensæt et eksisterende gruppepolitikobjekt. Vælg det Gruppepolitik objekt, du vil sammenkæde, i den dialogboks, der vises. Klik på OK.

Tip

Når du har onboardet enheden, kan du vælge at køre en registreringstest for at bekræfte, at enheden er onboardet korrekt til tjenesten. Du kan finde flere oplysninger under Kør en registreringstest på en nyligt onboardet Defender for Endpoint-enhed.

Yderligere konfigurationsindstillinger for Defender for Slutpunkt

For hver enhed kan du angive, om der kan indsamles eksempler fra enheden, når der foretages en anmodning via Microsoft Defender XDR til at sende en fil til detaljeret analyse.

Du kan bruge Gruppepolitik (GP) til at konfigurere indstillinger, f.eks. indstillinger for eksempeldeling, der bruges i funktionen til detaljeret analyse.

Konfigurer indstillinger for eksempelsamling

  1. Kopiér følgende filer fra konfigurationspakken på gp-administrationsenheden:

    • Kopiér AtpConfiguration.admx til C:\Windows\PolicyDefinitions

    • Kopiér AtpConfiguration.adml til C:\Windows\PolicyDefinitions\en-US

    Hvis du bruger et centralt lager til Gruppepolitik administrative skabeloner, skal du kopiere følgende filer fra konfigurationspakken:

    • Kopiér AtpConfiguration.admx til \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions

    • Kopiér AtpConfiguration.adml til \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US

  2. Åbn administrationskonsollen Gruppepolitik, højreklik på det gruppepolitikobjekt, du vil konfigurere, og klik på Rediger.

  3. I Editor administration af Gruppepolitik skal du gå til Computerkonfiguration.

  4. Klik på Politikker og derefter Administrative skabeloner.

  5. Klik på Windows-komponenter, og Windows Defender derefter ATP.

  6. Vælg at aktivere eller deaktivere eksempeldeling fra dine enheder.

Bemærk!

Hvis du ikke angiver en værdi, er standardværdien at aktivere eksempelsamling.

Opdater konfigurationen af beskyttelse af slutpunkter

Når du har konfigureret onboardingscriptet, skal du fortsætte med at redigere den samme gruppepolitik for at tilføje konfigurationer til beskyttelse af slutpunkter. Udfør redigeringer af gruppepolitik fra et system, der kører Windows 10 eller Server 2019, Windows 11 eller Windows Server 2022, for at sikre, at du har alle de nødvendige Microsoft Defender Antivirus-funktioner. Du skal muligvis lukke og genåbne gruppepolitikobjektet for at registrere Defender ATP-konfigurationsindstillingerne.

Alle politikker er placeret under Computer Configuration\Policies\Administrative Templates.

Politikplacering: \Windows-komponenter\Windows Defender ATP

Politik Indstilling
Enable\Disable Sample Collection Enabled – "Aktivér eksempelsamling på maskiner" er markeret

Politikplacering: \Windows-komponenter\Microsoft Defender Antivirus

Politik Indstilling
Konfigurer registrering for potentielt uønskede programmer Aktiveret, Blok

Placering af politik: \Windows-komponenter\Microsoft Defender Antivirus\MAPS

Politik Indstilling
Deltag i Microsoft MAPS Aktiveret, Avancerede KORT
Send fileksempler, når der kræves yderligere analyse Aktiveret, Send sikre eksempler

Placering af politik: \Windows-komponenter\Microsoft Defender Antivirus\Beskyttelse i realtid

Politik Indstilling
Slå beskyttelse i realtid fra Deaktiveret
Slå overvågning af funktionsmåde til Aktiveret
Scan alle downloadede filer og vedhæftede filer Aktiveret
Overvåg fil- og programaktivitet på computeren Aktiveret

Placering af politik: \Windows-komponenter\Microsoft Defender Antivirus\Scan

Disse indstillinger konfigurerer periodiske scanninger af slutpunktet. Vi anbefaler, at du udfører en ugentlig hurtig scanning, så ydeevnen tillades.

Politik Indstilling
Kontrollér, om der er den nyeste virus- og spyware-sikkerhedsintelligens, før du kører en planlagt scanning Aktiveret

Politikplacering: \Windows-komponenter\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction

Hent den aktuelle liste over GUID'er for regler til reduktion af angrebsoverfladen fra installation af regler for reduktion af angrebsoverflade trin 3: Implementer ASR-regler. Du kan finde flere oplysninger om regler under Reference til regler for reduktion af angrebsoverflade

  1. Åbn politikken Konfigurer reduktion af angrebsoverflade .

  2. Vælg Aktiveret.

  3. Vælg knappen Vis .

  4. Tilføj hvert GUID i feltet Værdinavn med værdien 2.

    Dette konfigurerer hver især kun til overvågning.

    Konfiguration af reduktion af angrebsoverfladen

Politik Placering Indstilling
Konfigurer adgang til kontrollerede mapper \Windows-komponenter\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Kontrolleret mappeadgang Aktiveret, overvågningstilstand

Kør en registreringstest for at bekræfte onboarding

Når du har onboardet enheden, kan du vælge at køre en registreringstest for at bekræfte, at en enhed er onboardet korrekt til tjenesten. Du kan finde flere oplysninger under Kør en registreringstest på en nyligt onboardet Microsoft Defender for Endpoint enhed.

Offboard-enheder, der bruger Gruppepolitik

Af sikkerhedsmæssige årsager udløber den pakke, der bruges til Offboard-enheder, 30 dage efter den dato, hvor den blev downloadet. Udløbne offboarding-pakker, der sendes til en enhed, afvises. Når du downloader en offboarding-pakke, får du besked om pakkernes udløbsdato, og den medtages også i pakkenavnet.

Bemærk!

Onboarding- og offboarding-politikker må ikke installeres på den samme enhed på samme tid, ellers vil det medføre uforudsigelige kollisioner.

  1. Hent offboarding-pakken fra Microsoft Defender-portalen:

    1. Vælg Indstillinger>Endpoints>Offboardingfor enhedshåndtering> i navigationsruden.

    2. Vælg operativsystemet.

    3. Vælg Gruppepolitik i feltet Installationsmetode.

    4. Klik på Download pakke , og gem filen .zip.

  2. Udpak indholdet af den .zip fil til en delt, skrivebeskyttet placering, som enheden kan få adgang til. Du skal have en fil med navnet WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Åbn GPMC (Gruppepolitik Management Console), højreklik på det Gruppepolitik objekt, du vil konfigurere, og klik på Rediger.

  4. I Gruppepolitik Management Editor skal du gå til Computerkonfiguration, derefter Indstillinger og derefter Indstillinger for Kontrolpanel.

  5. Højreklik på Planlagte opgaver, peg på Ny, og klik derefter på Øjeblikkelig opgave.

  6. I vinduet Opgave , der åbnes, skal du gå til fanen Generelt under Sikkerhedsindstillinger og vælge Skift bruger eller gruppe, angive SYSTEM, derefter vælge Kontrollér navne og derefter OK. NT AUTHORITY\SYSTEM vises som den brugerkonto, som opgaven kører som.

  7. Vælg Kør, om brugeren er logget på eller ej , og markér afkrydsningsfeltet Kør med de højeste rettigheder .

  8. I feltet Navn skal du skrive et passende navn til den planlagte opgave (f.eks. Defender for Endpoint Deployment).

  9. Gå til fanen Handlinger, og vælg Ny.... Kontrollér, at Start et program er markeret i feltet Handling . Angiv UNC-stien ved hjælp af filserverens fuldt kvalificerede domænenavn (FQDN) for den delte WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd fil.

  10. Vælg OK , og luk alle åbne GPMC-vinduer.

Vigtigt!

Offboarding medfører, at enheden stopper med at sende sensordata til portalen, men data fra enheden, herunder reference til eventuelle beskeder, den har haft, bevares i op til seks måneder.

Overvåg enhedskonfiguration

Med Gruppepolitik er der ikke mulighed for at overvåge udrulningen af politikker på enhederne. Overvågning kan udføres direkte på portalen eller ved hjælp af de forskellige udrulningsværktøjer.

Overvåg enheder ved hjælp af portalen

  1. Gå til Microsoft Defender-portalen.
  2. Klik på Enhedsoversigt.
  3. Kontrollér, at enheder vises.

Bemærk!

Det kan tage flere dage, før enhederne begynder at blive vist på listen Enheder. Dette omfatter den tid, det tager for politikkerne at blive distribueret til enheden, den tid, det tager, før brugeren logger på, og den tid, det tager for slutpunktet at begynde at rapportere.

Konfigurer Defender AV-politikker

Create et nyt Gruppepolitik eller gruppere disse indstillinger sammen med de andre politikker. Dette afhænger af kundens miljø, og hvordan de gerne vil udrulle tjenesten ved at målrette mod forskellige organisationsenheder.

  1. Når du har valgt GP eller oprettet en ny, skal du redigere GP'en.

  2. Gå til Computerkonfigurationspolitikker>>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>Beskyttelse i realtid.

    Beskyttelse i realtid

  3. Konfigurer fjernelse af elementer fra karantænemappen i mappen Karantæne.

    Karantænemappe til fjernelse af elementer

    karantæne for fjernelse af konfiguration

  4. Konfigurer scanningsindstillingerne i mappen Scan.

    gpo-scanninger

Overvåg alle filer i realtidsbeskyttelse

Gå til Computerkonfigurationspolitikker>>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>Beskyttelse i realtid.

Konfigurer overvågning for indgående udgående filaktivitet

Konfigurer Windows Defender SmartScreen-indstillinger

  1. Gå til Computerkonfigurationspolitikker>>Administrative skabeloner>Windows-komponenter>Windows Defender SmartScreen>Explorer.

    Konfigurer Windows Defender Smart Screen Explorer

  2. Gå til Computerkonfigurationspolitikker>>Administrative skabeloner>Windows-komponenter>Windows Defender SmartScreen>Microsoft Edge.

    Konfigurer Windows Defender Smart Screen på Microsoft Edge

Konfigurer potentielt uønskede programmer

Gå til Computerkonfigurationspolitikker>>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus.

Konfiguration af potentiel uønsket app

Konfigurationspotentiale

Konfigurer Cloud Deliver Protection, og send eksempler automatisk

Gå til Computerkonfigurationspolitikker>>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>MAPS.

Kort

Blok ved første øjekast

Deltag i Microsoft Maps

Send fileksempel, når der kræves yderligere analyse

Bemærk!

Indstillingen Send alle eksempler giver den mest analyse af binære/scripts/dokumenter, hvilket øger sikkerhedsholdning. Indstillingen Send sikre eksempler begrænser typen af binære filer/scripts/dokumenter, der analyseres, og reducerer sikkerhedsholdning.

Du kan få flere oplysninger under Slå cloudbeskyttelse til i Microsoft Defender Antivirus og Indsendelse af cloudbeskyttelse og eksempelindsendelse i Microsoft Defender Antivirus.

Kontrollér, om der er signaturopdatering

Gå til Computerkonfigurationspolitikker>>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>Security Intelligence-Opdateringer.

Signaturopdatering

Opdatering af signaturdefinition

Konfigurer cloudleveringstimeout og beskyttelsesniveau

Gå til Computerkonfigurationspolitikker>>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>MpEngine. Når du konfigurerer en politik for skybeskyttelsesniveau til Standard Microsoft Defender Antivirus-blokeringspolitik, deaktiveres politikken. Dette er det, der kræves for at angive beskyttelsesniveauet til Windows-standarden.

Udvidet kontrol af konfiguration af cloud

Konfiguration af skybeskyttelsesniveau

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.