Onboarde Windows-servere til Microsoft Defender for Endpoint-tjenesten

  • Artikel

Gælder for:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server Semi-Annual Enterprise Channel
  • Windows Server 2019 og nyere
  • Windows Server 2019 Core Edition
  • Windows Server 2022
  • Microsoft Defender for Endpoint

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Defender for Endpoint udvider understøttelsen til også at omfatte Windows Server-operativsystemet. Denne understøttelse leverer avancerede funktioner til registrering af angreb og undersøgelse uden problemer via Microsoft Defender XDR-konsollen. Understøttelse af Windows Server giver bedre indsigt i serveraktiviteter, dækning af registrering af kerne- og hukommelsesangreb og aktiverer svarhandlinger.

I denne artikel beskrives det, hvordan du onboarder specifikke Windows-servere for at Microsoft Defender for Endpoint.

Du kan finde en vejledning i, hvordan du downloader og bruger Windows Sikkerhed Baselines til Windows-servere, under Windows Sikkerhed Baselines.

Oversigt over onboarding af Windows Server

Du skal udføre følgende generelle trin for at kunne onboarde servere.

En illustration af onboardingflow til Windows-servere og Windows 10 enheder

Bemærk!

Windows Hyper-V Server-udgaver understøttes ikke.

Integration med Microsoft Defender til servere:

Microsoft Defender for Endpoint integreres problemfrit med Microsoft Defender til servere. Du kan automatisk onboarde servere, få servere overvåget af Microsoft Defender for Cloud vises i Defender for Endpoint, og udføre detaljerede undersøgelser som en Microsoft Defender for Cloud-kunde. Du kan finde flere oplysninger under Beskyt dine slutpunkter med Defender for Clouds integrerede EDR-løsning: Microsoft Defender for Endpoint

Bemærk!

Til Windows Server 2012 R2 og 2016 kan du enten manuelt installere/opgradere den moderne, samlede løsning på disse maskiner eller bruge integrationen til automatisk at installere eller opgradere servere, der er omfattet af dine respektive Microsoft Defender til Server-planen. Du kan finde flere oplysninger om, hvordan du skifter i Beskyt dine slutpunkter med Defender for Clouds integrerede EDR-løsning: Microsoft Defender for Endpoint.

  • Når du bruger Microsoft Defender for Cloud til at overvåge servere, oprettes der automatisk en Defender for Endpoint-lejer (i USA for amerikanske brugere, i EU for europæiske brugere og i Storbritannien for brugere i Storbritannien). Data, der indsamles af Defender for Endpoint, gemmes på lejerens geo-placering som identificeret under klargøring.
  • Hvis du bruger Defender for Endpoint, før du bruger Microsoft Defender til Cloud, gemmes dine data på den placering, du angav, da du oprettede din lejer, selvom du integrerer med Microsoft Defender for Cloud på et senere tidspunkt.
  • Når dataene er konfigureret, kan du ikke ændre den placering, hvor dine data er gemt. Hvis du har brug for at flytte dine data til en anden placering, skal du kontakte Microsoft Support for at nulstille lejeren.
  • Overvågning af serverslutpunkt, der udnytter denne integration, er blevet deaktiveret for Office 365 GCC-kunder.
  • Tidligere var brugen af Microsoft Monitoring Agent (MMA) på Windows Server 2016 og tidligere versioner af Windows Server tilladt for OMS/Log Analytics-gatewayen til at levere forbindelse til Defender-cloudtjenester. Den nye løsning, f.eks. Microsoft Defender for Endpoint på Windows Server 2019, Windows Server 2022 og Windows 10, understøtter ikke denne gateway.
  • Linux-servere, der er onboardet via Microsoft Defender til Cloud, får deres indledende konfigurationssæt til at køre Defender Antivirus i passiv tilstand.

Windows Server 2012 R2 og Windows Server 2016:

  • Download installations- og onboardingpakker
  • Anvend installationspakken
  • Følg onboardingtrinnene for det tilsvarende værktøj

Windows Server Semi-Annual Enterprise Channel og Windows Server 2019:

  • Download onboardingpakken
  • Følg onboardingtrinnene for det tilsvarende værktøj

Windows Server 2012 R2 og Windows Server 2016

Ny Windows Server 2012 R2- og 2016-funktionalitet i den moderne samlede løsning

Den tidligere implementering (før april 2022) af onboarding af Windows Server 2012 R2 og Windows Server 2016 krævede brug af Microsoft Monitoring Agent (MMA).

Den nye samlede løsningspakke gør det nemmere at onboarde servere ved at fjerne afhængigheder og installationstrin. Det indeholder også et meget udvidet funktionssæt. Du kan finde flere oplysninger under Forsvar af Windows Server 2012 R2 og 2016.

Afhængigt af den server, du onboarder, installerer den samlede løsning Microsoft Defender Antivirus og/eller EDR-sensoren. I følgende tabel kan du se, hvilken komponent der er installeret, og hvad der som standard er indbygget.

Serverversion AV EDR
Windows Server 2012 R2 Ja. Ja.
Windows Server 2016 Indbygget Ja.
Windows Server 2019 eller nyere Indbygget Indbygget

Hvis du tidligere har onboardet dine servere ved hjælp af MMA, skal du følge vejledningen i Serveroverførsel for at migrere til den nye løsning.

Vigtigt!

Før du fortsætter med onboarding, skal du se afsnittet Kendte problemer og begrænsninger i den nye samlede løsningspakke til Windows Server 2012 R2 og 2016.

Forudsætninger

Forudsætninger for Windows Server 2012 R2

Hvis du har opdateret dine maskiner fuldt ud med den seneste månedlige akkumuleringspakke , er der ingen andre forudsætninger, og nedenstående krav er allerede udfyldt.

Installationspakken kontrollerer, om følgende komponenter allerede er installeret via en opdatering for at vurdere, om minimumskravene er opfyldt for en vellykket installation:

Forudsætninger for Windows Server 2016

Det anbefales at installere den nyeste tilgængelige SSU og LCU på serveren.

Forudsætninger for at køre med sikkerhedsløsninger fra tredjepart

Hvis du har til hensigt at bruge en tredjeparts antimalwareløsning, skal du køre Microsoft Defender Antivirus i passiv tilstand. Du skal huske at indstille til passiv tilstand under installationen og onboardingprocessen.

Bemærk!

Hvis du installerer Microsoft Defender for Endpoint på servere med McAfee Endpoint Security (ENS) eller VirusScan Enterprise (VSE), skal versionen af McAfee-platformen muligvis opdateres for at sikre, at Microsoft Defender Antivirus ikke fjernes eller deaktiveres. Du kan få flere oplysninger, herunder de specifikke versionsnummer, der kræves, i artiklen McAfee Knowledge Center.

Opdateringspakker til Microsoft Defender for Endpoint på Windows Server 2012 R2 og 2016

Hvis du vil modtage regelmæssige produktforbedringer og rettelser til EDR-sensorkomponenten, skal du sikre, at Windows Update KB5005292 anvendes eller godkendes. Hvis du vil holde beskyttelseskomponenterne opdaterede, skal du desuden se Administrer Microsoft Defender Antivirus-opdateringer og anvende grundlinjer.

Hvis du bruger Windows Server Update Services (WSUS) og/eller Microsoft Endpoint Configuration Manager, er denne nye "Microsoft Defender for Endpoint opdatering til EDR-sensor" tilgængelig under kategorien " Microsoft Defender for Endpoint".

Oversigt over onboardingtrin

TRIN 1: Download installations- og onboardingpakker

Du skal downloade både installations - og onboardingpakker fra portalen.

Bemærk!

Installationspakken opdateres månedligt. Sørg for at downloade den nyeste pakke, før du bruger den. Hvis du vil opdatere efter installationen, behøver du ikke at køre installationspakken igen. Hvis du gør det, vil installationsprogrammet bede dig om at offboard først, da det er et krav for at fjerne. Se Opdateringspakker til Microsoft Defender for Endpoint på Windows Server 2012 R2 og 2016.

Billede af onboardingdashboard

Bemærk!

På Windows Server 2012R2 installeres Microsoft Defender Antivirus af installationspakken og vil være aktiv, medmindre du indstiller den til passiv tilstand. På Windows Server 2016 skal Microsoft Defender Antivirus installeres som en funktion (se Skift til MDE) først og fuldt opdateret, før du fortsætter med installationen.

Hvis du kører en antimalwareløsning, der ikke er fra Microsoft, skal du sørge for at føje udeladelser for Microsoft Defender Antivirus (fra denne liste over Microsoft Defender processer under fanen Defender-processer) til den løsning, der ikke er Microsoft, før installationen. Det anbefales også at føje sikkerhedsløsninger, der ikke er fra Microsoft, til listen over undtagelser fra Defender Antivirus.

Installationspakken indeholder en MSI-fil, der installerer den Microsoft Defender for Endpoint agent.

Onboardingpakken indeholder følgende fil:

  • WindowsDefenderATPOnboardingScript.cmd - indeholder onboardingscriptet

Følg disse trin for at downloade pakkerne:

  1. I Microsoft Defender XDR skal du gå til Indstillinger > Onboarding af slutpunkt>.

  2. Vælg Windows Server 2012 R2 og 2016.

  3. Vælg Download installationspakken , og gem .msi-filen.

  4. Vælg Download onboarding-pakke, og gem filen .zip.

  5. Installér installationspakken ved hjælp af en af mulighederne for at installere Microsoft Defender Antivirus. Installationen kræver administrative tilladelser.

Vigtigt!

Et lokalt onboardingscript er egnet til blåstempling, men bør ikke bruges til produktionsudrulning. I forbindelse med en produktionsinstallation anbefaler vi, at du bruger Gruppepolitik eller Microsoft Endpoint Configuration Manager.

TRIN 2: Anvend installations- og onboardingpakken

I dette trin skal du installere de komponenter til forebyggelse og registrering, der kræves, før du onboarder din enhed til det Microsoft Defender for Endpoint cloudmiljø, for at forberede computeren til onboarding. Sørg for, at alle forudsætninger er opfyldt.

Bemærk!

Microsoft Defender Antivirus installeres og vil være aktiv, medmindre du angiver det til passiv tilstand.

Indstillinger for installation af Microsoft Defender for Endpoint-pakker

I det forrige afsnit har du downloadet en installationspakke. Installationspakken indeholder installationsprogrammet til alle Microsoft Defender for Endpoint komponenter.

Du kan bruge en af følgende indstillinger til at installere agenten:

Installér Microsoft Defender til slutpunktet ved hjælp af kommandolinjen

Brug installationspakken fra det forrige trin til at installere Microsoft Defender for Endpoint.

Kør følgende kommando for at installere Microsoft Defender for Endpoint:

Msiexec /i md4ws.msi /quiet

Hvis du vil fjerne installationen, skal du sikre, at computeren er offboardet først ved hjælp af det relevante offboarding-script. Brug derefter Kontrolpanel > Programmer > og funktioner til at udføre fjernelsen.

Du kan også køre følgende fjernelseskommando for at fjerne Microsoft Defender for Endpoint:

Msiexec /x md4ws.msi /quiet

Du skal bruge den samme pakke, som du brugte til installationen, for at ovenstående kommando kan fuldføres.

Kontakten /quiet undertrykker alle meddelelser.

Bemærk!

Microsoft Defender Antivirus skifter ikke automatisk til passiv tilstand. Du kan vælge at indstille Microsoft Defender Antivirus til at køre i passiv tilstand, hvis du kører en ikke-Microsoft-antivirus-/antimalwareløsning. I forbindelse med kommandolinjeinstallationer angiver den valgfrie FORCEPASSIVEMODE=1 straks komponenten Microsoft Defender Antivirus til passiv tilstand for at undgå forstyrrelser. Hvis du derefter vil sikre, at Defender Antivirus forbliver i passiv tilstand efter onboarding for at understøtte funktioner som f.eks. EDR Block, skal du angive registreringsdatabasenøglen "ForceDefenderPassiveMode".

Understøttelse af Windows Server giver bedre indsigt i serveraktiviteter, dækning af registrering af kerne- og hukommelsesangreb og aktiverer svarhandlinger.

Installér Microsoft Defender for Endpoint ved hjælp af et script

Du kan bruge installationshjælpescriptet til at automatisere installation, fjernelse og onboarding.

Bemærk!

Installationsscriptet er signeret. Alle ændringer af scriptet vil ugyldiggøre signaturen. Når du downloader scriptet fra GitHub, anbefales det, at du downloader kildefilerne som et zip-arkiv for at undgå utilsigtede ændringer og derefter udtrækker det for at hente den install.ps1 fil (klik på rullemenuen Kode på hovedsiden Kode, og vælg "Download ZIP").

Dette script kan bruges i forskellige scenarier, herunder de scenarier, der er beskrevet i Server migrationsscenarier fra den tidligere MMA-baserede Microsoft Defender for Endpoint-løsning og til installation ved hjælp af Gruppepolitik som beskrevet nedenfor.

Anvend Microsoft Defender for Endpoint-installations- og onboardingpakker ved hjælp af gruppepolitik, når du udfører installationen med et installationsscript

  1. Opret en gruppepolitik:
    Åbn GPMC (Gruppepolitik Management Console), højreklik Gruppepolitik Objekter, du vil konfigurere, og vælg Ny. Angiv navnet på det nye gruppepolitikobjekt i dialogboksen, der vises, og vælg OK.

  2. Åbn GPMC (Gruppepolitik Management Console), højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg Rediger.

  3. I Gruppepolitik Management-Editor skal du gå til Computerkonfiguration, derefter Indstillinger og derefter Indstillinger for Kontrolpanel.

  4. Højreklik på Planlagte opgaver, peg på Ny, og klik derefter på Øjeblikkelig opgave (mindst Windows 7).

  5. I vinduet Opgave , der åbnes, skal du gå til fanen Generelt . Under Sikkerhedsindstillinger skal du vælge Skift bruger eller gruppe , skrive SYSTEM og derefter vælge Kontrollér navne og derefter OK. NT AUTHORITY\SYSTEM vises som den brugerkonto, som opgaven kører som.

  6. Vælg Kør, om brugeren er logget på eller ej , og markér afkrydsningsfeltet Kør med de højeste rettigheder .

  7. I feltet Navn skal du skrive et passende navn til den planlagte opgave (f.eks. Defender for Endpoint Deployment).

  8. Gå til fanen Handlinger, og vælg Ny... Kontrollér, at Start et program er markeret i feltet Handling . Installationsscriptet håndterer installationen og udfører straks onboardingtrinnet, når installationen er fuldført. Vælg C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe angiv derefter argumenterne:

     -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd

    Bemærk!

    Den anbefalede politikindstilling for udførelse er Allsigned. Dette kræver, at scriptets signeringscertifikat importeres til det lokale udgiverlager, der er tillid til, hvis scriptet kører som SYSTEM på slutpunktet.

    Erstat \\servernavn-eller-dfs-space\share-name med UNC-stien ved hjælp af filserverens fulde domænenavn (FQDN) for den delte install.ps1 fil. Installationspakken md4ws.msi skal placeres i den samme mappe. Sørg for, at tilladelserne til UNC-stien tillader skriveadgang til den computerkonto, der installerer pakken, for at understøtte oprettelse af logfiler. Hvis du vil deaktivere oprettelsen af logfiler (anbefales ikke), kan du bruge parametrene -noETL -noMSILog.

    I forbindelse med scenarier, hvor Microsoft Defender Antivirus skal fungere sammen med ikke-Microsoft-antimalwareløsninger, skal du tilføje parameteren $Passive for at angive passiv tilstand under installationen.

  9. Vælg OK , og luk alle åbne GPMC-vinduer.

  10. Hvis du vil knytte gruppepolitikobjektet til en organisationsenhed, skal du højreklikke og vælge Sammensæt et eksisterende gruppepolitikobjekt. Vælg det Gruppepolitik objekt, du vil sammenkæde, i den dialogboks, der vises. Vælg OK.

Du kan få flere konfigurationsindstillinger under Konfigurer indstillinger for eksempelsamling og Andre anbefalede konfigurationsindstillinger.

TRIN 3: Fuldfør onboardingtrinnene

Følgende trin gælder kun, hvis du bruger en tredjepartsløsning til antimalware. Du skal anvende følgende indstilling for passiv tilstand for Microsoft Defender Antivirus. Kontrollér, at den er konfigureret korrekt:

  1. Angiv følgende post i registreringsdatabasen:

    • Sti: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • Navn: ForceDefenderPassiveMode
    • Type: REG_DWORD
    • Værdi: 1

    Bekræftelsesresultatet for passiv tilstand

Kendte problemer og begrænsninger i den nye, samlede løsningspakke til Windows Server 2012 R2 og 2016

Vigtigt!

Download altid den nyeste installationspakke fra Microsoft Defender-portalen (https://security.microsoft.com), før du udfører en ny installation, og sørg for, at forudsætningerne er opfyldt. Efter installationen skal du sørge for regelmæssigt at opdatere ved hjælp af komponentopdateringer, der er beskrevet i afsnittet Opdateringspakker til Microsoft Defender for Endpoint på Windows Server 2012 R2 og 2016.

  • En opdatering af operativsystemet kan medføre et installationsproblem på computere med langsommere diske på grund af timeout med tjenesteinstallationen. Installationen mislykkes med meddelelsen "C:\program files\windows defender\mpasdesc.dll, - 310 WinDefend" blev ikke fundet. Brug den nyeste installationspakke og det nyeste install.ps1 script som en hjælp til at rydde den mislykkede installation, hvis det er nødvendigt.
  • Vi har identificeret et problem med Windows Server 2012 R2-forbindelse til skyen, når der bruges statisk telemetryProxyServer, og URL-adresserne på listen over tilbagekaldte certifikater (CRL) ikke kan nås fra SYSTEM-kontokonteksten. Sørg for, at EDR-sensoren er opdateret til version 10.8210.* eller nyere (ved hjælp af KB5005292) for at løse problemet. Alternativt kan du bruge en anden proxyindstilling ("hele systemet"), der leverer en sådan forbindelse, eller konfigurere den samme proxy via indstillingen WinInet i SYSTEM-kontokonteksten.
  • På Windows Server 2012 R2 er der ingen brugergrænseflade til Microsoft Defender Antivirus. Derudover tillader brugergrænsefladen på Windows Server 2016 kun grundlæggende handlinger. Hvis du vil udføre handlinger på en enhed lokalt, skal du se Administrer Microsoft Defender for Endpoint med PowerShell, WMI og MPCmdRun.exe. Derfor fungerer funktioner, der specifikt er afhængige af brugerinteraktion, f.eks. hvor brugeren bliver bedt om at træffe en beslutning eller udføre en bestemt opgave, muligvis ikke som forventet. Det anbefales at deaktivere eller ikke aktivere brugergrænsefladen eller kræve brugerinteraktion på en administreret server, da det kan påvirke beskyttelsesfunktionerne.
  • Det er ikke alle regler for reduktion af angrebsoverfladen, der gælder for alle operativsystemer. Se Regler for reduktion af angrebsoverflade.
  • Opgraderinger af operativsystemet understøttes ikke. Fjern derefter Offboard, før du opgraderer. Installationspakken kan kun bruges til at opgradere installationer, der endnu ikke er opdateret med nye opdateringspakker til antimalwareplatforme eller EDR-sensorer.
  • Automatiske udeladelser for serverroller understøttes ikke på Windows Server 2012 R2. Indbyggede undtagelser for operativsystemfiler er dog. Du kan få flere oplysninger om tilføjelse af udeladelser under Konfigurer Microsoft Defender Antivirus-udeladelser på Windows Server.
  • Hvis du vil udrulle og onboarde den nye løsning automatisk ved hjælp af Microsoft Endpoint Configuration Manager (MECM), skal du være på version 2207 eller nyere. Du kan stadig konfigurere og installere ved hjælp af version 2107 med hotfix-opdateringspakken, men det kræver yderligere udrulningstrin. Se Microsoft Endpoint Configuration Manager overførselsscenarier for at få flere oplysninger.

Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019 og Windows Server 2022

Download pakke

  1. I Microsoft Defender XDR skal du gå til Indstillinger > Slutpunkter > Enhedshåndtering > Onboarding.

  2. Vælg Windows Server 1803 og 2019.

  3. Vælg Download pakke. Gem den som WindowsDefenderATPOnboardingPackage.zip.

  4. Følg de trin, der er angivet i afsnittet Fuldfør onboardingtrinnene .

Kontrollér onboarding og installation

Kontrollér, at Microsoft Defender Antivirus og Microsoft Defender for Endpoint kører.

Kør en registreringstest for at bekræfte onboarding

Når du har onboardet enheden, kan du vælge at køre en registreringstest for at bekræfte, at en enhed er onboardet korrekt til tjenesten. Du kan finde flere oplysninger under Kør en registreringstest på en nyligt onboardet Microsoft Defender for Endpoint enhed.

Bemærk!

Det er ikke nødvendigt at køre Microsoft Defender Antivirus, men det anbefales. Hvis et andet antivirusprogram er den primære løsning til beskyttelse af slutpunkter, kan du køre Defender Antivirus i passiv tilstand. Du kan kun bekræfte, at passiv tilstand er slået til, når du har bekræftet, at Microsoft Defender for Endpoint sensor (SENSE) kører.

  1. Kør følgende kommando for at kontrollere, at Microsoft Defender Antivirus er installeret:

    Bemærk!

    Dette bekræftelsestrin er kun påkrævet, hvis du bruger Microsoft Defender Antivirus som din aktive antimalwareløsning.

    sc.exe query Windefend

    Hvis resultatet er 'Den angivne tjeneste findes ikke som en installeret tjeneste', skal du installere Microsoft Defender Antivirus.

    Du kan få oplysninger om, hvordan du bruger Gruppepolitik til at konfigurere og administrere Microsoft Defender Antivirus på dine Windows-servere, under Brug Gruppepolitik indstillinger til at konfigurere og administrere Microsoft Defender Antivirus.

  2. Kør følgende kommando for at kontrollere, at Microsoft Defender for Endpoint kører:

    sc.exe query sense

    Resultatet bør vise, at det kører. Hvis du støder på problemer med onboarding, skal du se Fejlfinding af onboarding.

Kør en registreringstest

Følg trinnene i Kør en registreringstest på en nyligt onboardet enhed for at bekræfte, at serveren rapporterer til Defender for endpoint-tjenesten.

Næste trin

Når du har onboardet enheder til tjenesten, skal du konfigurere de enkelte komponenter i Microsoft Defender for Endpoint. Følg Konfigurer funktioner for at få vejledning i aktivering af de forskellige komponenter.

Windows-servere uden for bord

Du kan offboard Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019 og Windows Server 2019 Core edition i den samme metode, der er tilgængelig for Windows 10 klientenheder.

Efter offboarding kan du fortsætte med at fjerne den samlede løsningspakke på Windows Server 2012 R2 og Windows Server 2016.

I forbindelse med andre Windows-serverversioner har du to muligheder for at komme uden for Windows-servere fra tjenesten:

  • Fjern MMA-agenten
  • Fjern konfigurationen af Defender for Slutpunktarbejdsområde

Bemærk!

Disse instruktioner til offboarding til andre Windows-serverversioner gælder også, hvis du kører den tidligere Microsoft Defender for Endpoint til Windows Server 2016 og Windows Server 2012 R2, der kræver MMA. Instruktioner til migrering til den nye samlede løsning finder du i Server migrationsscenarier i Microsoft Defender for Endpoint.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.