Onboarde Windows-servere til Microsoft Defender for Endpoint-tjenesten
Gælder for:
- Windows Server 2016 og Windows Server 2012 R2
- Windows Server Semi-Annual Enterprise Channel
- Windows Server 2019 og nyere
- Windows Server 2019 Core Edition
- Windows Server 2022
- Microsoft Defender for Endpoint
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Defender for Endpoint udvider understøttelsen til også at omfatte Windows Server-operativsystemet. Denne understøttelse leverer avancerede funktioner til registrering af angreb og undersøgelse uden problemer via Microsoft Defender XDR-konsollen. Understøttelse af Windows Server giver bedre indsigt i serveraktiviteter, dækning af registrering af kerne- og hukommelsesangreb og aktiverer svarhandlinger.
I denne artikel beskrives det, hvordan du onboarder specifikke Windows-servere for at Microsoft Defender for Endpoint.
Du kan finde en vejledning i, hvordan du downloader og bruger Windows Sikkerhed Baselines til Windows-servere, under Windows Sikkerhed Baselines.
Tip
Som en ledsager til denne artikel kan du se vores konfigurationsvejledning til Sikkerhedsanalyse for at gennemgå bedste praksis og lære at styrke forsvar, forbedre overholdelse af angivne standarder og navigere i cybersikkerhedslandskabet med sikkerhed. Hvis du vil have en tilpasset oplevelse baseret på dit miljø, kan du få adgang til den automatiserede konfigurationsvejledning til Sikkerhedsanalyse i Microsoft 365 Administration.
Oversigt over onboarding af Windows Server
Du skal udføre følgende generelle trin for at kunne onboarde servere.
Bemærk!
Windows Hyper-V Server-udgaver understøttes ikke.
Integration med Microsoft Defender til servere:
Microsoft Defender for Endpoint integreres problemfrit med Microsoft Defender til servere. Du kan automatisk onboarde servere, få servere overvåget af Microsoft Defender for Cloud vises i Defender for Endpoint, og udføre detaljerede undersøgelser som en Microsoft Defender for Cloud-kunde. Du kan finde flere oplysninger under Beskyt dine slutpunkter med Defender for Clouds integrerede EDR-løsning: Microsoft Defender for Endpoint
Bemærk!
Til Windows Server 2016 og Windows Server 2012 R2 kan du enten manuelt installere/opgradere den moderne, samlede løsning på disse maskiner eller bruge integrationen til automatisk at installere eller opgradere servere, der er omfattet af dine respektive Microsoft Defender til Server-planen. Du kan finde flere oplysninger om, hvordan du skifter i Beskyt dine slutpunkter med Defender for Clouds integrerede EDR-løsning: Microsoft Defender for Endpoint.
- Når du bruger Microsoft Defender for Cloud til at overvåge servere, oprettes der automatisk en Defender for Endpoint-lejer (i USA for amerikanske brugere, i EU for europæiske brugere og i Storbritannien for brugere i Storbritannien). Data, der indsamles af Defender for Endpoint, gemmes på lejerens geo-placering som identificeret under klargøring.
- Hvis du bruger Defender for Endpoint, før du bruger Microsoft Defender til Cloud, gemmes dine data på den placering, du angav, da du oprettede din lejer, selvom du integrerer med Microsoft Defender for Cloud på et senere tidspunkt.
- Når dataene er konfigureret, kan du ikke ændre den placering, hvor dine data er gemt. Hvis du har brug for at flytte dine data til en anden placering, skal du kontakte Microsoft Support for at nulstille lejeren.
- Overvågning af serverslutpunkt, der udnytter denne integration, er blevet deaktiveret for Office 365 GCC-kunder.
- Tidligere tillades brugen af Microsoft Monitoring Agent (MMA) på Windows Server 2016 og Windows Server 2012 R2 og tidligere versioner af Windows Server, så OMS/Log Analytics-gatewayen kan oprette forbindelse til Defender-cloudtjenester. Den nye løsning, f.eks. Microsoft Defender for Endpoint på Windows Server 2022, Windows Server 2019 og Windows 10 eller nyere, understøtter ikke denne gateway.
- Linux-servere, der er onboardet via Microsoft Defender til Cloud, har deres indledende konfigurationssæt til at køre Defender Antivirus i passiv tilstand.
Windows Server 2016 og Windows Server 2012 R2:
- Download installations- og onboardingpakker
- Anvend installationspakken
- Følg onboardingtrinnene for det tilsvarende værktøj
Windows Server Semi-Annual Enterprise Channel og Windows Server 2019:
- Download onboardingpakken
- Følg onboardingtrinnene for det tilsvarende værktøj
Windows Server 2016 og Windows Server 2012 R2
Funktionalitet i den moderne samlede løsning
Den tidligere implementering (før april 2022) af onboarding af Windows Server 2016 og Windows Server 2012 R2 krævede brug af Microsoft Monitoring Agent (MMA).
Den nye samlede løsningspakke gør det nemmere at onboarde servere ved at fjerne afhængigheder og installationstrin. Det indeholder også et meget udvidet funktionssæt. Du kan finde flere oplysninger under Forsvar af Windows Server 2012 R2 og 2016.
Afhængigt af den server, du onboarder, installerer den samlede løsning Microsoft Defender Antivirus og/eller EDR-sensoren. I følgende tabel kan du se, hvilken komponent der er installeret, og hvad der som standard er indbygget.
Serverversion | AV | EDR |
---|---|---|
Windows Server 2012 R2 | ||
Windows Server 2016 | Indbygget | |
Windows Server 2019 eller nyere | Indbygget | Indbygget |
Hvis du tidligere har onboardet dine servere ved hjælp af MMA, skal du følge vejledningen i Serveroverførsel for at migrere til den nye løsning.
Vigtigt!
Før du fortsætter med onboarding, skal du se afsnittet Kendte problemer og begrænsninger i den nye, samlede løsningspakke til Windows Server 2012 R2 og Windows Server 2016.
Forudsætninger
Forudsætninger for Windows Server 2016 og Windows Server 2012 R2
Det anbefales at installere den nyeste tilgængelige SSU og LCU på serveren.
- Service stack-opdateringen (SSU) fra 14. september 2021 eller nyere skal installeres.
- Den seneste kumulative opdatering (LCU) fra 20. september 2018 eller nyere skal installeres.
- Aktivér funktionen Microsoft Defender Antivirus, og sørg for, at den er opdateret. Du kan få flere oplysninger om aktivering af Defender Antivirus på Windows Server under Genaktiver Defender Antivirus på Windows Server, hvis den blev deaktiveret, og genaktiver Defender Antivirus på Windows Server, hvis den blev fjernet.
- Download og installér den nyeste platformversion ved hjælp af Windows Update. Du kan også hente opdateringspakken manuelt fra Microsoft Update-kataloget eller fra MMPC.
Forudsætninger for at køre med sikkerhedsløsninger fra tredjepart
Hvis du har til hensigt at bruge en tredjeparts antimalwareløsning, skal du køre Microsoft Defender Antivirus i passiv tilstand. Du skal huske at indstille til passiv tilstand under installationen og onboardingprocessen.
Bemærk!
Hvis du installerer Microsoft Defender for Endpoint på servere med McAfee Endpoint Security (ENS) eller VirusScan Enterprise (VSE), skal versionen af McAfee-platformen muligvis opdateres for at sikre, at Microsoft Defender Antivirus ikke fjernes eller deaktiveres. Du kan få flere oplysninger, herunder de specifikke versionsnummer, der kræves, i artiklen McAfee Knowledge Center.
Opdateringspakker til Microsoft Defender for Endpoint på Windows Server 2016 og Windows Server 2012 R2
Hvis du vil modtage regelmæssige produktforbedringer og rettelser til EDR-sensorkomponenten, skal du sikre, at Windows Update KB5005292 anvendes eller godkendes. Hvis du vil holde beskyttelseskomponenterne opdaterede, skal du desuden se Administrer Microsoft Defender Antivirus-opdateringer og anvende grundlinjer.
Hvis du bruger Windows Server Update Services (WSUS) og/eller Microsoft Endpoint Configuration Manager, er denne nye "Microsoft Defender for Endpoint opdatering til EDR-sensor" tilgængelig under kategorien " Microsoft Defender for Endpoint".
Oversigt over onboardingtrin
- TRIN 1: Download installations- og onboardingpakkerne
- TRIN 2: Anvend installations- og onboardingpakken
- TRIN 3: Fuldfør onboardingtrinnene
TRIN 1: Download installations- og onboardingpakker
Du skal downloade både installations - og onboardingpakker fra portalen.
Bemærk!
Installationspakken opdateres månedligt. Sørg for at downloade den nyeste pakke, før du bruger den. Hvis du vil opdatere efter installationen, behøver du ikke at køre installationspakken igen. Hvis du gør det, vil installationsprogrammet bede dig om at offboard først, da det er et krav for at fjerne. Se Opdateringspakker til Microsoft Defender for Endpoint på Windows Server 2012 R2 og 2016.
Bemærk!
På Windows Server 2016 og Windows Server 2012 R2 skal Microsoft Defender Antivirus installeres som en funktion (se Skift til MDE) først og fuldt opdateret, før du fortsætter med installationen.
Hvis du kører en antimalwareløsning, der ikke er fra Microsoft, skal du sørge for at føje udeladelser for Microsoft Defender Antivirus (fra denne liste over Microsoft Defender processer under fanen Defender-processer) til den løsning, der ikke er Microsoft, før installationen. Det anbefales også at føje sikkerhedsløsninger, der ikke er fra Microsoft, til listen over Defender Antivirus undtagelser.
Installationspakken indeholder en MSI-fil, der installerer den Microsoft Defender for Endpoint agent.
Onboardingpakken indeholder følgende fil:
-
WindowsDefenderATPOnboardingScript.cmd
- indeholder onboardingscriptet
Følg disse trin for at downloade pakkerne:
I Microsoft Defender XDR skal du gå til Indstillinger > Onboarding af slutpunkt>.
Vælg Windows Server 2016 og Windows Server 2012 R2.
Vælg Download installationspakken , og gem .msi-filen.
Vælg Download onboarding-pakke, og gem filen .zip.
Installér installationspakken ved hjælp af en af mulighederne for at installere Microsoft Defender Antivirus. Installationen kræver administrative tilladelser.
Vigtigt!
Et lokalt onboardingscript er egnet til blåstempling, men bør ikke bruges til produktionsudrulning. I forbindelse med en produktionsinstallation anbefaler vi, at du bruger Gruppepolitik eller Microsoft Endpoint Configuration Manager.
TRIN 2: Anvend installations- og onboardingpakken
I dette trin skal du installere de komponenter til forebyggelse og registrering, der kræves, før du onboarder din enhed til det Microsoft Defender for Endpoint cloudmiljø, for at forberede computeren til onboarding. Sørg for, at alle forudsætninger er opfyldt.
Bemærk!
Microsoft Defender Antivirus installeres og vil være aktiv, medmindre du angiver det til passiv tilstand.
Indstillinger for installation af Microsoft Defender for Endpoint-pakker
I det forrige afsnit har du downloadet en installationspakke. Installationspakken indeholder installationsprogrammet til alle Microsoft Defender for Endpoint komponenter.
Du kan bruge en af følgende indstillinger til at installere agenten:
- Installér ved hjælp af kommandolinjen
- Installér ved hjælp af et script
- Anvend installations- og onboardingpakker ved hjælp af Gruppepolitik
Installér Microsoft Defender til slutpunktet ved hjælp af kommandolinjen
Brug installationspakken fra det forrige trin til at installere Microsoft Defender for Endpoint.
Kør følgende kommando for at installere Microsoft Defender for Endpoint:
Msiexec /i md4ws.msi /quiet
Hvis du vil fjerne installationen, skal du sikre, at computeren er offboardet først ved hjælp af det relevante offboarding-script. Brug derefter Kontrolpanel > Programmer > og funktioner til at udføre fjernelsen.
Du kan også køre følgende fjernelseskommando for at fjerne Microsoft Defender for Endpoint:
Msiexec /x md4ws.msi /quiet
Du skal bruge den samme pakke, som du brugte til installationen, for at ovenstående kommando kan fuldføres.
Kontakten /quiet
undertrykker alle meddelelser.
Bemærk!
Microsoft Defender Antivirus skifter ikke automatisk til passiv tilstand. Du kan vælge at indstille Microsoft Defender Antivirus til at køre i passiv tilstand, hvis du kører en ikke-Microsoft-antivirus-/antimalwareløsning. I forbindelse med kommandolinjeinstallationer angiver den valgfrie FORCEPASSIVEMODE=1
straks komponenten Microsoft Defender Antivirus til passiv tilstand for at undgå forstyrrelser. Hvis du derefter vil sikre, at Defender Antivirus forbliver i passiv tilstand efter onboarding for at understøtte funktioner som EDR Block, skal du angive registreringsdatabasenøglen "ForceDefenderPassiveMode".
Understøttelse af Windows Server giver bedre indsigt i serveraktiviteter, dækning af registrering af kerne- og hukommelsesangreb og aktiverer svarhandlinger.
Installér Microsoft Defender for Endpoint ved hjælp af et script
Du kan bruge installationshjælpescriptet til at automatisere installation, fjernelse og onboarding.
Bemærk!
Installationsscriptet er signeret. Alle ændringer af scriptet vil ugyldiggøre signaturen. Når du downloader scriptet fra GitHub, anbefales det, at du downloader kildefilerne som et zip-arkiv for at undgå utilsigtede ændringer og derefter udtrækker det for at hente den install.ps1 fil (klik på rullemenuen Kode på hovedsiden Kode, og vælg "Download ZIP").
Dette script kan bruges i forskellige scenarier, herunder de scenarier, der er beskrevet i Server migrationsscenarier fra den tidligere MMA-baserede Microsoft Defender for Endpoint-løsning og til installation ved hjælp af Gruppepolitik som beskrevet nedenfor.
Anvend Microsoft Defender for Endpoint-installations- og onboardingpakker ved hjælp af gruppepolitik, når du udfører installationen med et installationsscript
Opret en gruppepolitik:
Åbn GPMC (Gruppepolitik Management Console), højreklik Gruppepolitik Objekter, du vil konfigurere, og vælg Ny. Angiv navnet på det nye gruppepolitikobjekt i dialogboksen, der vises, og vælg OK.Åbn GPMC (Gruppepolitik Management Console), højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg Rediger.
I Gruppepolitik Management-Editor skal du gå til Computerkonfiguration, derefter Indstillinger og derefter Indstillinger for Kontrolpanel.
Højreklik på Planlagte opgaver, peg på Ny, og klik derefter på Øjeblikkelig opgave (mindst Windows 7).
I vinduet Opgave , der åbnes, skal du gå til fanen Generelt . Under Sikkerhedsindstillinger skal du vælge Skift bruger eller gruppe , skrive SYSTEM og derefter vælge Kontrollér navne og derefter OK. NT AUTHORITY\SYSTEM vises som den brugerkonto, som opgaven kører som.
Vælg Kør, om brugeren er logget på eller ej , og markér afkrydsningsfeltet Kør med de højeste rettigheder .
I feltet Navn skal du skrive et passende navn til den planlagte opgave (f.eks. Defender for Endpoint Deployment).
Gå til fanen Handlinger, og vælg Ny... Kontrollér, at Start et program er markeret i feltet Handling . Installationsscriptet håndterer installationen og udfører straks onboardingtrinnet, når installationen er fuldført. Vælg C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe angiv derefter argumenterne:
-ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd
Bemærk!
Den anbefalede politikindstilling for udførelse er
Allsigned
. Dette kræver, at scriptets signeringscertifikat importeres til det lokale udgiverlager, der er tillid til, hvis scriptet kører som SYSTEM på slutpunktet.Erstat \\servernavn-eller-dfs-space\share-name med UNC-stien ved hjælp af filserverens fulde domænenavn (FQDN) for den delte install.ps1 fil. Installationspakken md4ws.msi skal placeres i den samme mappe. Sørg for, at tilladelserne til UNC-stien tillader skriveadgang til den computerkonto, der installerer pakken, for at understøtte oprettelse af logfiler. Hvis du vil deaktivere oprettelsen af logfiler (anbefales ikke), kan du bruge parametrene -noETL -noMSILog.
I forbindelse med scenarier, hvor Microsoft Defender Antivirus skal fungere sammen med ikke-Microsoft-antimalwareløsninger, skal du tilføje parameteren $Passive for at angive passiv tilstand under installationen.
Vælg OK , og luk alle åbne GPMC-vinduer.
Hvis du vil knytte gruppepolitikobjektet til en organisationsenhed, skal du højreklikke og vælge Sammensæt et eksisterende gruppepolitikobjekt. Vælg det Gruppepolitik objekt, du vil sammenkæde, i den dialogboks, der vises. Vælg OK.
Du kan få flere konfigurationsindstillinger under Konfigurer indstillinger for eksempelsamling og Andre anbefalede konfigurationsindstillinger.
TRIN 3: Fuldfør onboardingtrinnene
Følgende trin gælder kun, hvis du bruger en tredjepartsløsning til antimalware. Du skal anvende følgende indstilling for passiv tilstand for Microsoft Defender Antivirus. Kontrollér, at den er konfigureret korrekt:
Angiv følgende post i registreringsdatabasen:
- Sti:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
- Navn:
ForceDefenderPassiveMode
- Slags:
REG_DWORD
- Værdi:
1
- Sti:
Kendte problemer og begrænsninger i den nye, samlede løsningspakke til Windows Server 2016 og Windows Server 2012 R2
Vigtigt!
Download altid den nyeste installationspakke fra Microsoft Defender-portalen (https://security.microsoft.com), før du udfører en ny installation, og sørg for, at forudsætningerne er opfyldt. Efter installationen skal du sørge for regelmæssigt at opdatere ved hjælp af komponentopdateringer, der er beskrevet i afsnittet Opdateringspakker til Microsoft Defender for Endpoint på Windows Server 2012 R2 og 2016.
En opdatering af operativsystemet kan medføre et installationsproblem på computere med langsommere diske på grund af timeout med tjenesteinstallationen. Installationen mislykkes med meddelelsen "C:\program files\windows defender\mpasdesc.dll, - 310 WinDefend" blev ikke fundet. Brug den nyeste installationspakke og det nyeste install.ps1 script som en hjælp til at rydde den mislykkede installation, hvis det er nødvendigt.
brugerfladen på Windows Server 2016 og Windows Server 2012 R2 tillader kun grundlæggende handlinger. Hvis du vil udføre handlinger på en enhed lokalt, skal du se Administrer Microsoft Defender for Endpoint med PowerShell, WMI og MPCmdRun.exe. Derfor fungerer funktioner, der specifikt er afhængige af brugerinteraktion, f.eks. hvor brugeren bliver bedt om at træffe en beslutning eller udføre en bestemt opgave, muligvis ikke som forventet. Det anbefales at deaktivere eller ikke aktivere brugergrænsefladen eller kræve brugerinteraktion på en administreret server, da det kan påvirke beskyttelsesfunktionerne.
Det er ikke alle regler for reduktion af angrebsoverfladen, der gælder for alle operativsystemer. Se Regler for reduktion af angrebsoverflade.
Opgraderinger af operativsystemet understøttes ikke. Fjern derefter Offboard, før du opgraderer. Installationspakken kan kun bruges til at opgradere installationer, der endnu ikke er opdateret med nye opdateringspakker til antimalwareplatforme eller EDR-sensorer.
Hvis du vil udrulle og onboarde den nye løsning automatisk ved hjælp af Microsoft Endpoint Configuration Manager (MECM), skal du være på version 2207 eller nyere. Du kan stadig konfigurere og installere ved hjælp af version 2107 med hotfix-opdateringspakken, men det kræver yderligere udrulningstrin. Se Microsoft Endpoint Configuration Manager overførselsscenarier for at få flere oplysninger.
Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019 og Windows Server 2022
Download pakke
I Microsoft Defender XDR skal du gå til Indstillinger > Slutpunkter > Enhedshåndtering > Onboarding.
Vælg Windows Server 1803 og 2019.
Vælg Download pakke. Gem den som WindowsDefenderATPOnboardingPackage.zip.
Følg de trin, der er angivet i afsnittet Fuldfør onboardingtrinnene .
Kontrollér onboarding og installation
Kontrollér, at Microsoft Defender Antivirus og Microsoft Defender for Endpoint kører.
Kør en registreringstest for at bekræfte onboarding
Når du har onboardet enheden, kan du vælge at køre en registreringstest for at bekræfte, at en enhed er onboardet korrekt til tjenesten. Du kan finde flere oplysninger under Kør en registreringstest på en nyligt onboardet Microsoft Defender for Endpoint enhed.
Bemærk!
Det er ikke nødvendigt at køre Microsoft Defender Antivirus, men det anbefales. Hvis et andet antivirusprogram er den primære løsning til beskyttelse af slutpunkter, kan du køre Defender Antivirus i passiv tilstand. Du kan kun bekræfte, at passiv tilstand er slået til, når du har bekræftet, at Microsoft Defender for Endpoint sensor (SENSE) kører.
Kør følgende kommando for at kontrollere, at Microsoft Defender Antivirus er installeret:
Bemærk!
Dette bekræftelsestrin er kun påkrævet, hvis du bruger Microsoft Defender Antivirus som din aktive antimalwareløsning.
sc.exe query Windefend
Hvis resultatet er 'Den angivne tjeneste findes ikke som en installeret tjeneste', skal du installere Microsoft Defender Antivirus.
Du kan få oplysninger om, hvordan du bruger Gruppepolitik til at konfigurere og administrere Microsoft Defender Antivirus på dine Windows-servere, under Brug Gruppepolitik indstillinger til at konfigurere og administrere Microsoft Defender Antivirus.
Kør følgende kommando for at kontrollere, at Microsoft Defender for Endpoint kører:
sc.exe query sense
Resultatet bør vise, at det kører. Hvis du støder på problemer med onboarding, skal du se Fejlfinding af onboarding.
Kør en registreringstest
Følg trinnene i Kør en registreringstest på en nyligt onboardet enhed for at bekræfte, at serveren rapporterer til Defender for endpoint-tjenesten.
Næste trin
Når du har onboardet enheder til tjenesten, skal du konfigurere de enkelte komponenter i Microsoft Defender for Endpoint. Følg Konfigurer funktioner for at få vejledning i aktivering af de forskellige komponenter.
Windows-servere uden for bord
Du kan offboard Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019 og Windows Server 2019 Core edition i den samme metode, der er tilgængelig for Windows 10 klientenheder.
- Offboard-enheder, der bruger Gruppepolitik
- Offboard-enheder, der bruger Configuration Manager
- Offboard-enheder, der bruger værktøjer til Enhedshåndtering mobilenheder
- Offboard-enheder, der bruger et lokalt script
Efter offboarding kan du fortsætte med at fjerne den samlede løsningspakke på Windows Server 2016 og Windows Server 2012 R2.
I forbindelse med andre Windows-serverversioner har du to muligheder for at komme uden for Windows-servere fra tjenesten:
- Fjern MMA-agenten
- Fjern konfigurationen af Defender for Slutpunktarbejdsområde
Bemærk!
Disse instruktioner til offboarding til andre Windows-serverversioner gælder også, hvis du kører den tidligere Microsoft Defender for Endpoint til Windows Server 2016 og Windows Server 2012 R2, der kræver MMA. Instruktioner til migrering til den nye samlede løsning finder du i Server migrationsscenarier i Microsoft Defender for Endpoint.
Relaterede artikler
- Onboarde Windows-enheder ved hjælp af Configuration Manager
- Onboard tidligere versioner af Windows
- Onboarde Windows 10 enheder
- Onboard ikke-Windows-enheder
- Konfigurer indstillinger for proxy- og internetforbindelse
- Kør en registreringstest på en nyligt onboardet Defender for Endpoint-enhed
- Fejlfinding af problemer med Microsoft Defender for Endpoint onboarding
- Microsoft Entra problemfri enkeltlogon
- Foretag fejlfinding af onboardingproblemer, der er relateret til sikkerhedsadministration for Microsoft Defender for Endpoint
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.