Onboard tidligere versioner af Windows

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Platforme

• Windows 7 SP1 Enterprise
• Windows 7 SP1 Pro
• Windows 8.1 Pro
• Windows 8.1 Enterprise
• Windows Server 2008 R2 SP1

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Defender for Endpoint udvider supporten til at omfatte operativsystemer på et tidligere niveau, hvilket giver avancerede funktioner til registrering af angreb og undersøgelsesfunktioner på understøttede Windows-versioner.

Hvis du vil føje Windows-klientslutpunkter på et niveau ned til Defender for Endpoint, skal du:

• Konfigurer og opdater System Center Endpoint Protection klienter
• Installér og konfigurer Microsoft Monitoring Agent (MMA) til at rapportere sensordata

Til Windows Server 2008 R2 SP1 har du mulighed for at onboarde via Microsoft Defender for Cloud.

Bemærk!

Der kræves en separat serverlicens til Defender for Endpoint pr. node for at kunne onboarde en Windows-server via Microsoft Monitoring Agent (mulighed 1). Alternativt kræves der en Microsoft Defender til serverlicens pr. node for at onboarde en Windows-server via Microsoft Defender til Cloud (mulighed 2), se Understøttede funktioner, der er tilgængelige i Microsoft Defender til Cloud.

Tip

Når du har onboardet enheden, kan du vælge at køre en registreringstest for at bekræfte, at den er onboardet korrekt til tjenesten. Du kan finde flere oplysninger under Kør en registreringstest på et nyligt onboardet Defender for Endpoint-slutpunkt.

Konfigurer og opdater System Center Endpoint Protection klienter

Defender for Endpoint kan integreres med System Center Endpoint Protection for at give synlighed til malwareregistreringer og stoppe overførsel af et angreb i din organisation ved at forbyde potentielt skadelige filer eller mistanke om malware.

Følgende trin er påkrævet for at aktivere denne integration:

• Installér opdateringen til antimalwareplatformen fra januar 2017 for Endpoint Protection-klienter
• Konfigurer medlemskabet af SCEP-klienten Cloud Protection Service til indstillingen Avanceret
• Konfigurer dit netværk for at tillade forbindelser til Microsoft Defender Antivirus-cloudmiljøet. Du kan få flere oplysninger under Konfigurer og valider netværksforbindelser Microsoft Defender Antivirus

Installér og konfigurer Microsoft Monitoring Agent (MMA)

Før du begynder

Gennemse følgende oplysninger for at bekræfte minimumsystemkrav:

• Installér den månedlige opdateringspakke fra februar 2018 – Link til direkte download fra det Windows Update katalog er tilgængeligt her

• Installér opdateringen af servicestakken fra 12. marts 2019 (eller nyere) – link til direkte download fra Windows Update kataloget er tilgængeligt her

• Installér opdateringen til understøttelse af SHA-2-kodesignering – Link til direkte download fra Windows Update kataloget er tilgængeligt her

  Bemærk!

  Gælder kun for Windows Server 2008 R2, Windows 7 SP1 Enterprise og Windows 7 SP1 Pro.

• Installér opdateringen til kundeoplevelse og diagnosticeringstelemetri

• Installér Microsoft .Net Framework 4.5.2 eller nyere

  Bemærk!

  Installationen af .NET 4.5 kan kræve, at du genstarter computeren efter installationen.

• Opfylder minimumsystemkravene til Azure Log Analytics-agenten. Du kan finde flere oplysninger under Indsaml data fra computere i dit miljø med Log Analytics

Installationstrin

1. Download agentinstallationsfilen: Windows 64-bit agent eller Windows 32-bit agent.

   Bemærk!

   På grund af udfasningen af SHA-1-support af MMA-agenten skal MMA-agenten være version 10.20.18029 eller nyere.

2. Hent arbejdsområde-id'et:

   • I navigationsruden Defender for Endpoint skal du vælge Indstillinger > For onboarding af enhedshåndtering >
   • Vælg operativsystemet
   • Kopiér arbejdsområde-id'et og arbejdsområdenøglen

3. Brug arbejdsområde-id'et og nøglen Workspace til at vælge en af følgende installationsmetoder for at installere agenten:

   • Installer agenten manuelt ved hjælp af konfigurationen.

     På siden Indstillinger for agentopsætning skal du vælge Opret forbindelse mellem agenten og Azure Log Analytics (OMS)

   • Installér agenten ved hjælp af kommandolinjen.

   • Konfigurer agenten ved hjælp af et script.

   Bemærk!

   Hvis du er US Government-kunde, skal du under "Azure Cloud" vælge "Azure US Government", hvis du bruger installationsguiden, eller hvis du bruger en kommandolinje eller et script – angiv parameteren "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" til 1.

4. Hvis du bruger en proxy til at oprette forbindelse til internettet, skal du se afsnittet Konfigurer indstillinger for proxy- og internetforbindelse.

Når du er færdig, kan du se onboardede slutpunkter på portalen inden for en time.

Konfigurer indstillinger for proxy- og internetforbindelse

Hvis dine servere skal bruge en proxy til at kommunikere med Defender for Endpoint, skal du bruge en af følgende metoder til at konfigurere MMA til at bruge proxyserveren:

• Konfigurer MMA til at bruge en proxyserver

• Konfigurer Windows til at bruge en proxyserver til alle forbindelser

Hvis en proxy eller firewall er i brug, skal du sørge for, at serverne kan få adgang til alle URL-adresserne til Microsoft Defender for Endpoint-tjenesten direkte og uden SSL-opfangelse. Du kan få flere oplysninger under Aktivér adgang til URL-adresser til Microsoft Defender for Endpoint-tjenesten. Brug af SSL-opfangelse forhindrer systemet i at kommunikere med Defender for Endpoint-tjenesten.

Når du er færdig, kan du se onboardede Windows-servere på portalen inden for en time.

Onboarde Windows-servere via Microsoft Defender til Cloud

1. I Microsoft Defender XDR navigationsrude skal du vælge Indstillinger>Slutpunkter>Onboarding af enhedshåndtering>.

2. Vælg Windows Server 2008 R2 SP1 som operativsystem.

3. Klik på Onboard Servers i Microsoft Defender for Cloud.

4. Følg onboardingvejledningen i Microsoft Defender for Endpoint med Microsoft Defender til Cloud, og hvis du bruger Azure ARC, skal du følge onboardingvejledningen under Aktivering af Microsoft Defender for Endpoint-integration.

Når du har fuldført onboardingtrinnene, skal du konfigurere og opdatere System Center Endpoint Protection klienter.

Bemærk!

• Hvis du vil onboarde via Microsoft Defender, for at servere kan fungere som forventet, skal serveren have et passende arbejdsområde og en passende nøgle konfigureret i MMA-indstillingerne (Microsoft Monitoring Agent).
• Når den er konfigureret, installeres den relevante cloudadministrationspakke på computeren, og sensorprocessen (MsSenseS.exe) installeres og startes.
• Dette er også påkrævet, hvis serveren er konfigureret til at bruge en OMS Gateway-server som proxy.

Bekræft onboarding

Kontrollér, at Microsoft Defender Antivirus og Microsoft Defender for Endpoint kører.

Bemærk!

Det er ikke nødvendigt at køre Microsoft Defender Antivirus, men det anbefales. Hvis et andet antivirusprogram er den primære løsning til beskyttelse af slutpunkter, kan du køre Defender Antivirus i passiv tilstand. Du kan kun bekræfte, at passiv tilstand er slået til, når du har bekræftet, at Microsoft Defender for Endpoint sensor (SENSE) kører.

Bemærk!

Da Microsoft Defender Antivirus kun understøttes for Windows 10 og Windows 11, gælder trin 1 ikke, når du kører Windows Server 2008 R2 SP1.

1. Kør følgende kommando for at kontrollere, at Microsoft Defender Antivirus er installeret:

   sc.exe query Windefend
   

   Hvis resultatet er 'Den angivne tjeneste findes ikke som en installeret tjeneste', skal du installere Microsoft Defender Antivirus. Du kan få flere oplysninger under Microsoft Defender Antivirus i Windows 10.

   Du kan få oplysninger om, hvordan du bruger Gruppepolitik til at konfigurere og administrere Microsoft Defender Antivirus på dine Windows-servere, under Brug Gruppepolitik indstillinger til at konfigurere og administrere Microsoft Defender Antivirus.

Hvis du støder på problemer med onboarding, skal du se Fejlfinding af onboarding.

Kør en registreringstest

Følg trinnene i Kør en registreringstest på en nyligt onboardet enhed for at bekræfte, at serveren rapporterer til Defender for endpoint-tjenesten.

Onboarding-slutpunkter uden nogen administrationsløsning

Brug af Gruppepolitik

Trin 1: Download den tilsvarende opdatering til dit slutpunkt.

1. Naviger til c:\windows\sysvol\domain\scripts (ændringskontrol kan være nødvendig på en af domænecontrollerne).

2. Create en mappe med navnet MMA.

3. Download følgende, og placer dem i MMA-mappen:

   • Opdatering til kundeoplevelse og diagnosticeringstelemetri:
     • Til Windows Server 2008 R2 x64

   Der kræves også følgende opdateringer til Windows Server 2008 R2 SP1:

   Månedlig opdatering i februar 2018 – KB4074598 (Windows Server 2008 R2)

   Microsoft Update-katalog
   Download opdateringer til Windows Server 2008 R2 x64

   .NET Framework 3.5.1 (KB315418)
   Til Windows Server 2008 R2 x64

   Bemærk!

   I denne artikel antages det, at du bruger x64-baserede servere (MMA Agent .exe x64 Ny SHA-2-kompatibel version).

Trin 2: Create et filnavn DeployMMA.cmd (ved hjælp af notesblok) Føj følgende linjer til cmd-filen. Bemærk, at du skal bruge dit arbejdsområde-id og din NØGLE.

Følgende kommando er et eksempel. Erstat følgende værdier:

• KB – Brug det relevante KB, der er relevant for det slutpunkt, du onboarder
• Arbejdsområde-id og NØGLE – Brug dit id og din nøgle

@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

konfiguration af Gruppepolitik

Create en ny gruppepolitik specielt til onboarding af enheder som "Microsoft Defender for Endpoint Onboarding".

• Create en Gruppepolitik mappe med navnet "c:\windows\MMA"

  

  Dette vil tilføje en ny mappe på alle servere, der anvender GPO'et, kaldet MMA, og gemmes i c:\windows. Dette vil indeholde installationsfilerne til MMA, forudsætninger og installationsscript.

• Create en indstilling for Gruppepolitik Filer for hver af de filer, der er gemt i Net logon.

  

Filerne kopieres fra DOMAIN\NETLOGON\MMA\filename til C:\windows\MMA\filename – så installationsfilerne er lokale på serveren:

Gentag processen, men opret målretning på elementniveau under fanen COMMON, så filen kun kopieres til den relevante platform/operativsystemversion i omfang:

Til Windows Server 2008 R2 skal du bruge (og det kopierer kun ned) følgende:

• Windows6.1-KB3080149-x64.msu
• Windows6.1-KB3154518-x64.msu
• Windows6.1-KB4075598-x64.msu

Når dette er gjort, skal du oprette en politik for startscript:

Navnet på den fil, der skal køres her, er c:\windows\MMA\DeployMMA.cmd. Når serveren genstartes som en del af opstartsprocessen, installeres opdateringen til kundeoplevelsen og diagnosticeringstelemetri KB, og MMA-agenten installeres, mens arbejdsområde-id'et og nøglen angives, og serveren onboardes.

Du kan også bruge en øjeblikkelig opgave til at køre deployMMA.cmd hvis du ikke vil genstarte alle serverne.

Dette kan gøres i to faser. Opret først filerne og mappen i GPO – Giv systemet tid til at sikre, at gruppepolitikobjektet er anvendt, og at alle serverne har installationsfilerne. Tilføj derefter den øjeblikkelige opgave. Dette vil opnå det samme resultat uden at kræve en genstart.

Da scriptet har en afslutningsmetode og ikke kan køres igen, hvis MMA er installeret, kan du også bruge en daglig planlagt opgave til at opnå det samme resultat. På samme måde som med en Configuration Manager politik for overholdelse af angivne standarder kontrolleres det dagligt for at sikre, at MMA er til stede.

Som nævnt i onboardingdokumentationen til Server specifikt omkring Server 2008 R2, skal du se nedenfor: For Windows Server 2008 R2 SP1 skal du sikre, at du opfylder følgende krav:

• Installér den månedlige opdateringspakke fra februar 2018
• Installér enten .NET framework 4.5 (eller nyere) eller KB3154518

Kontrollér, at nøgletal er til stede, før du onboarder Windows Server 2008 R2. Denne proces giver dig mulighed for at onboarde alle serverne, hvis du ikke har Configuration Manager administration af servere.

Slutpunkter uden for tavlen

Du har to muligheder for at komme uden for Windows-slutpunkter fra tjenesten:

• Fjern MMA-agenten
• Fjern konfigurationen af Defender for Slutpunktarbejdsområde

Bemærk!

Offboarding medfører, at Windows-slutpunktet stopper med at sende sensordata til portalen, men data fra slutpunktet, herunder reference til eventuelle beskeder, det har haft, bevares i op til seks måneder.

Fjern MMA-agenten

Hvis du vil væk fra Windows-slutpunktet, kan du fjerne MMA-agenten eller fjerne den fra rapportering til dit Defender for Endpoint-arbejdsområde. Når du har offboardet agenten, sender slutpunktet ikke længere sensordata til Defender for Endpoint. Du kan få flere oplysninger under Sådan deaktiverer du en agent.

Fjern konfigurationen af Defender for Slutpunktarbejdsområde

Du kan bruge en af følgende metoder:

• Fjern konfigurationen af Defender for Endpoint-arbejdsområdet fra MMA-agenten
• Kør en PowerShell-kommando for at fjerne konfigurationen

Fjern konfigurationen af Defender for Endpoint-arbejdsområdet fra MMA-agenten

1. Under Egenskaber for Microsoft-overvågningsagent skal du vælge fanen Azure Log Analytics (OMS).

2. Vælg Arbejdsområdet Defender for Endpoint, og klik på Fjern.

   

Kør en PowerShell-kommando for at fjerne konfigurationen

1. Hent dit arbejdsområde-id:

   1. Vælg Indstillinger>Onboarding i navigationsruden.
   2. Vælg det relevante operativsystem, og hent dit arbejdsområde-id.

2. Åbn en PowerShell med administratorrettigheder, og kør følgende kommando. Brug det arbejdsområde-id, du har hentet og erstattet WorkspaceID:

   $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
   
   # Remove OMS Workspace
   $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
   
   # Reload the configuration and apply changes
   $AgentCfg.ReloadConfiguration()
   

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.