Onboarde Windows-enheder ved hjælp af Configuration Manager

  • Artikel

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Forudsætninger

Vigtigt!

Systemrollen for slutpunktsbeskyttelsespunktet er påkrævet, så politikker til reduktion af antivirus- og angrebsoverfladen installeres korrekt på de målrettede slutpunkter. Uden denne rolle modtager slutpunkterne i enhedssamlingen ikke de konfigurerede politikker for reduktion af antivirus- og angrebsoverfladen.

Du kan bruge Configuration Manager til at føje slutpunkter til Microsoft Defender for Endpoint-tjenesten.

Der er flere muligheder, du kan bruge til at onboarde enheder ved hjælp af Configuration Manager:

Til Windows Server 2012 R2 og Windows Server 2016 – når du har fuldført onboardingtrinnene, skal du konfigurere og opdatere System Center Endpoint Protection klienter.

Bemærk!

Defender for Endpoint understøtter ikke onboarding i OOBE-fasen (Out-Of-Box Experience). Sørg for, at brugerne fuldfører OOBE, når de har kørt Windows-installation eller -opgradering.

Bemærk, at det er muligt at oprette en registreringsregel i et Configuration Manager program for løbende at kontrollere, om en enhed er blevet onboardet. Et program er en anden objekttype end en pakke og et program. Hvis en enhed endnu ikke er onboardet (på grund af ventende OOBE-fuldførelse eller andre årsager), vil Configuration Manager prøve at onboarde enheden igen, indtil reglen registrerer statusændringen.

Denne funktionsmåde kan opnås ved at oprette en registreringsregel, der kontrollerer, om registreringsdatabaseværdien (af typen REG_DWORD) = 1 i registreringsdatabasen. Denne registreringsdatabaseværdi er placeret under "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". Du kan få flere oplysninger under Konfigurer registreringsmetoder i System Center 2012 R2 Configuration Manager.

Konfigurer indstillinger for eksempelsamling

For hver enhed kan du angive en konfigurationsværdi for at angive, om der kan indsamles eksempler fra enheden, når der foretages en anmodning via Microsoft Defender XDR til at sende en fil til detaljeret analyse.

Bemærk!

Disse konfigurationsindstillinger udføres typisk via Configuration Manager.

Du kan angive en regel for overholdelse af regler og standarder for konfigurationselementet i Configuration Manager for at ændre indstillingen for eksempeldeling på en enhed.

Denne regel skal være en afhjælpning af konfigurationselementet for overholdelsesreglen, der angiver værdien af en registreringsdatabasenøgle på målrettede enheder for at sikre, at de overholder angivne standarder.

Konfigurationen angives via følgende post i registreringsdatabasenøglen:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Hvor Nøgletype er et D-WORD. De mulige værdier er:

  • 0: Tillader ikke eksempeldeling fra denne enhed
  • 1: Tillader deling af alle filtyper fra denne enhed

Standardværdien, hvis registreringsdatabasenøglen ikke findes, er 1.

Du kan få flere oplysninger om System Center Configuration Manager Overholdelse i Introduktion til indstillinger for overholdelse af angivne standarder i System Center 2012 R2 Configuration Manager.

Onboarde Windows-enheder ved hjælp af Microsoft Configuration Manager

Oprettelse af samling

Hvis du vil onboarde Windows-enheder med Microsoft Configuration Manager, kan udrulningen være målrettet en eksisterende samling, eller der kan oprettes en ny samling til test.

Onboarding ved hjælp af værktøjer som f.eks. Gruppepolitik eller en manuel metode installerer ikke nogen agenter på systemet.

I Microsoft Configuration Manager-konsollen konfigureres onboardingprocessen som en del af indstillingerne for overholdelse af angivne standarder i konsollen.

Ethvert system, der modtager denne påkrævede konfiguration, bevarer denne konfiguration, så længe den Configuration Manager klient fortsætter med at modtage denne politik fra administrationspunktet.

Følg disse trin for at onboarde slutpunkter ved hjælp af Microsoft Configuration Manager:

  1. I Microsoft Configuration Manager-konsollen skal du gå til Assets and Compliance > Overview Device > Collections.

    Skærmbillede af guiden Microsoft Configuration Manager 1.

  2. Vælg og hold (eller højreklik) på Enhedssamling, og vælg Create Device Collection.

    Skærmbillede af guiden Microsoft Configuration Manager 2.

  3. Angiv et navn og en begrænsende samling, og vælg derefter Næste.

    Skærmbillede af guiden Microsoft Configuration Manager 3.

  4. Vælg Tilføj regel, og vælg Forespørgselsregel.

    Skærmbillede af guiden Microsoft Configuration Manager 4.

  5. Vælg Næste i guiden Direkte medlemskab, og vælg derefter Rediger forespørgselssætning.

    Skærmbillede af guiden Microsoft Configuration Manager 5.

  6. Vælg Kriterier , og vælg derefter stjerneikonet.

    Skærmbillede af guiden Microsoft Configuration Manager 6.

  7. Bevar kriterietypen som enkel værdi, vælg , mens Operating System – buildnummer, operator, som er større end eller lig med og værdi 14393, og vælg OK.

    Skærmbillede af guiden Microsoft Configuration Manager 7.

  8. Vælg Næste og Luk.

    Skærmbillede af guiden Microsoft Configuration Manager 8.

  9. Vælg Næste.

    Skærmbillede af guiden Microsoft Configuration Manager 9.

Når du har fuldført denne opgave, har du en enhedsgruppe med alle Windows-slutpunkterne i miljøet.

Når du har onboardet enheder til tjenesten, er det vigtigt at drage fordel af de inkluderede trusselsbeskyttelsesfunktioner ved at aktivere dem med følgende anbefalede konfigurationsindstillinger.

Konfiguration af enhedssamling

Hvis du bruger Configuration Manager version 2002 eller nyere, kan du vælge at udvide installationen til at omfatte servere eller klienter på et tidligere niveau.

Næste generation af konfiguration af beskyttelse

Følgende konfigurationsindstillinger anbefales:

Skan

  • Scan flytbare lagerenheder, f.eks. USB-drev: Ja

Beskyttelse i realtid

  • Aktivér adfærdsovervågning: Ja
  • Aktivér beskyttelse mod potentielt uønskede programmer ved download og før installation: Ja

Cloud Protection Service

  • Medlemskabstype for Cloud Protection Service: Avanceret medlemskab

Reduktion af angrebsoverfladen

Konfigurer alle tilgængelige regler til Overvågning.

Bemærk!

Blokering af disse aktiviteter kan afbryde legitime forretningsprocesser. Den bedste fremgangsmåde er at indstille alt til overvågning, identificere, hvilke der er sikre at aktivere, og derefter aktivere disse indstillinger på slutpunkter, der ikke har falske positive registreringer.

Hvis du vil installere Microsoft Defender politikker til reduktion af antivirus- og angrebsoverfladen via Microsoft Configuration Manager (SCCM), skal du følge trinnene:

  • Aktivér Endpoint Protection, og konfigurer brugerdefinerede klientindstillinger.
  • Installér Endpoint Protection-klienten fra en kommandoprompt.
  • Kontrollér installationen af Endpoint Protection-klienten.
Aktivér Endpoint Protection, og konfigurer brugerdefinerede klientindstillinger

Følg trinnene for at aktivere beskyttelse af slutpunkter og konfiguration af brugerdefinerede klientindstillinger:

  1. Klik på Administration i Configuration Manager konsol.

  2. Klik på Klientindstillinger i arbejdsområdet Administration.

  3. Klik på Create Indstillinger for brugerdefineret klientenhed i gruppen Create under fanen Hjem.

  4. I dialogboksen Create brugerdefinerede klientenhedsindstillinger skal du angive et navn og en beskrivelse af gruppen af indstillinger og derefter vælge Endpoint Protection.

  5. Konfigurer de klientindstillinger for Endpoint Protection, du har brug for. Du kan finde en komplet liste over klientindstillinger for Endpoint Protection, som du kan konfigurere, i afsnittet Endpoint Protection i Om klientindstillinger.

    Vigtigt!

    Installér webstedsrollen Endpoint Protection, før du konfigurerer klientindstillingerne for Endpoint Protection.

  6. Klik på OK for at lukke dialogboksen indstillinger for Create brugerdefineret klientenhed. De nye klientindstillinger vises i noden Klientindstillinger i arbejdsområdet Administration .

  7. Udrul derefter de brugerdefinerede klientindstillinger til en samling. Vælg de brugerdefinerede klientindstillinger, du vil installere. Klik på Installer i gruppen Klientindstillinger under fanen Hjem.

  8. I dialogboksen Vælg samling skal du vælge den samling, du vil installere klientindstillingerne i, og derefter klikke på OK. Den nye installation vises under fanen Installationer i detaljeruden.

Klienter konfigureres med disse indstillinger, når de næste downloader klientpolitikken. Du kan finde flere oplysninger under Start politikhentning for en Configuration Manager klient.

Installation af Endpoint Protection-klienten fra en kommandoprompt

Følg trinnene for at fuldføre installationen af klienten til slutpunktsbeskyttelse fra kommandoprompten.

  1. Kopiér scepinstall.exe fra mappen Klient i installationsmappen Configuration Manager til den computer, hvor du vil installere klientsoftwaren Endpoint Protection.

  2. Åbn en kommandoprompt som administrator. Skift mappe til mappen med installationsprogrammet. Kør scepinstall.exederefter , og tilføj evt. ekstra kommandolinjeegenskaber, som du har brug for:

    Ejendom Beskrivelse
    /s Kør installationsprogrammet uovervåget
    /q Udpak installationsfilerne uovervåget
    /i Kør installationsprogrammet normalt
    /policy Angiv en politikfil til antimalware for at konfigurere klienten under installationen
    /sqmoptin Tilmeld dig Microsofts program til forbedring af kundeoplevelsen (CEIP)

  3. Følg vejledningen på skærmen for at fuldføre klientinstallationen.

  4. Hvis du har hentet den seneste opdateringspakke, skal du kopiere pakken til klientcomputeren og derefter dobbeltklikke på definitionspakken for at installere den.

    Bemærk!

    Når installationen af Endpoint Protection-klienten er fuldført, udfører klienten automatisk en kontrol af definitionsopdateringen. Hvis denne opdateringskontrol lykkes, behøver du ikke at installere den nyeste opdateringspakke til definitioner manuelt.

Eksempel: Installér klienten med en antimalwarepolitik

scepinstall.exe /policy <full path>\<policy file>

Kontrollér installationen af Endpoint Protection-klienten

Når du har installeret Endpoint Protection-klienten på referencecomputeren, skal du kontrollere, at klienten fungerer korrekt.

  1. Åbn System Center Endpoint Protection fra Windows-meddelelsesområdet på referencecomputeren.
  2. På fanen Hjem i dialogboksen System Center Endpoint Protection skal du kontrollere, at beskyttelse i realtid er slået til.
  3. Kontrollér, at opdateret vises for definitioner af virus og spyware.
  4. Hvis du vil sikre dig, at referencecomputeren er klar til afbildning, skal du under Scanningsindstillinger vælge Fuld og derefter klikke på Scan nu.

Netværksbeskyttelse

Før du aktiverer netværksbeskyttelse i overvågnings- eller bloktilstand, skal du sørge for, at du har installeret opdateringen af antimalwareplatformen, som kan hentes fra supportsiden.

Styret mappeadgang

Aktivér funktionen i overvågningstilstand i mindst 30 dage. Efter denne periode skal du gennemse registreringer og oprette en liste over programmer, der har tilladelse til at skrive til beskyttede mapper.

Du kan finde flere oplysninger under Evaluer kontrolleret mappeadgang.

Kør en registreringstest for at bekræfte onboarding

Når du har onboardet enheden, kan du vælge at køre en registreringstest for at bekræfte, at en enhed er onboardet korrekt til tjenesten. Du kan finde flere oplysninger under Kør en registreringstest på en nyligt onboardet Microsoft Defender for Endpoint enhed.

Offboard-enheder, der bruger Configuration Manager

Af sikkerhedsmæssige årsager udløber den pakke, der bruges til Offboard-enheder, 30 dage efter den dato, hvor den blev downloadet. Udløbne offboarding-pakker, der sendes til en enhed, afvises. Når du downloader en offboarding-pakke, får du besked om pakkernes udløbsdato, og den medtages også i pakkenavnet.

Bemærk!

Onboarding- og offboarding-politikker må ikke installeres på den samme enhed på samme tid, ellers vil det medføre uforudsigelige kollisioner.

Enheder uden for om bord, der bruger Microsoft Configuration Manager aktuelle forgrening

Hvis du bruger Microsoft Configuration Manager aktuelle forgrening, skal du se Create en konfigurationsfil til offboarding.

Offboard-enheder, der bruger System Center 2012 R2 Configuration Manager

  1. Hent offboarding-pakken fra Microsoft Defender portal:

    1. Vælg Indstillinger>Endpoints>Offboardingfor enhedshåndtering> i navigationsruden.
    2. Vælg Windows 10 eller Windows 11 som operativsystem.
    3. I feltet Installationsmetode skal du vælge System Center Configuration Manager 2012/2012 R2/1511/1602.
    4. Vælg Download pakke, og gem filen .zip.

  2. Udpak indholdet af .zip-filen på en delt, skrivebeskyttet placering, som netværksadministratorerne kan få adgang til, og som skal installere pakken. Du skal have en fil med navnet WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Installér pakken ved at følge trinnene i artiklen Pakker og programmer i System Center 2012 R2 Configuration Manager.

    Vælg en foruddefineret enhedsgruppe, som pakken skal installeres på.

Vigtigt!

Offboarding medfører, at enheden stopper med at sende sensordata til portalen, men data fra enheden, herunder reference til eventuelle beskeder, den har haft, bevares i op til seks måneder.

Overvåg enhedskonfiguration

Hvis du bruger Microsoft Configuration Manager aktuelle forgrening, skal du bruge det indbyggede Defender for Endpoint-dashboard i Configuration Manager-konsollen. Du kan finde flere oplysninger under Defender for Endpoint – Monitor.

Hvis du bruger System Center 2012 R2 Configuration Manager, består overvågningen af to dele:

  1. Bekræftelse af konfigurationspakken er installeret korrekt og kører (eller kører) på enhederne i netværket.

  2. Kontrollerer, at enhederne overholder Defender for Endpoint-tjenesten (dette sikrer, at enheden kan fuldføre onboardingprocessen og kan fortsætte med at rapportere data til tjenesten).

Bekræft, at konfigurationspakken er installeret korrekt

  1. Klik på Overvågning nederst i navigationsruden i Configuration Manager konsol.

  2. Vælg Oversigt og derefter Udrulninger.

  3. Vælg udrulningen med pakkenavnet.

  4. Gennemse statusindikatorerne under Statistik for fuldførelse og indholdsstatus.

    Hvis der er mislykkede installationer (enheder med statuserne Error, Requirements Not Met eller Failed), skal du muligvis foretage fejlfinding af enhederne. Du kan finde flere oplysninger under Fejlfinding af Microsoft Defender for Endpoint problemer med onboarding.

    Den Configuration Manager, der viser en vellykket installation uden fejl

Kontrollér, at enhederne overholder Microsoft Defender for Endpoint-tjenesten

Du kan angive en regel for overholdelse af regler og standarder for konfigurationselementet i System Center 2012 R2-Configuration Manager for at overvåge udrulningen.

Denne regel skal være et konfigurationselement til en ikke-afhjælpningsregel , der overvåger værdien af en registreringsdatabasenøgle på målrettede enheder.

Overvåg følgende post i registreringsdatabasenøglen:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Du kan få flere oplysninger under Introduktion til indstillinger for overholdelse af angivne standarder i System Center 2012 R2 Configuration Manager.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.