Defender für Endpunkt erweitert die Unterstützung auch auf das Windows Server Betriebssystem. Diese Unterstützung bietet erweiterte Funktionen zur Erkennung und Untersuchung von Angriffen, die nahtlos über die Microsoft Defender XDR-Konsole bereitgestellt werden. Unterstützung für Windows Server bietet tiefere Einblicke in Serveraktivitäten, Abdeckung für die Erkennung von Kernel- und Speicherangriffen und ermöglicht Reaktionsaktionen.
In diesem Artikel wird beschrieben, wie Sie bestimmte Windows-Server in Microsoft Defender for Endpoint integrieren.
Eine Anleitung zum Herunterladen und Verwenden von Windows-Sicherheit Baselines für Windows-Server finden Sie unter Windows-Sicherheit Baselines.
Für Windows Server 2016 und Windows Server 2012 R2 können Sie die moderne, einheitliche Lösung entweder manuell auf diesen Computern installieren/aktualisieren oder die Integration verwenden, um Server automatisch bereitzustellen oder zu aktualisieren, die von Ihrem jeweiligen Microsoft Defender für Server-Plan abgedeckt sind. Weitere Informationen zur Umstellung finden Sie unter Schützen Ihrer Endpunkte mit der integrierten EDR-Lösung von Defender für Cloud: Microsoft Defender for Endpoint.
Wenn Sie Microsoft Defender für Cloud verwenden, um Server zu überwachen, wird automatisch ein Defender für Endpunkt-Mandant erstellt (in den USA für US-Benutzer, in der EU für europäische Benutzer und im Vereinigten Königreich für Benutzer im Vereinigten Königreich). Die von Defender für Endpunkt gesammelten Daten werden am geografischen Standort des Mandanten gespeichert, der während der Bereitstellung identifiziert wurde.
Wenn Sie Defender für Endpunkt vor der Verwendung von Microsoft Defender für Cloud verwenden, werden Ihre Daten an dem Speicherort gespeichert, den Sie beim Erstellen Ihres Mandanten angegeben haben, auch wenn Sie zu einem späteren Zeitpunkt eine Integration mit Microsoft Defender for Cloud durchführen.
Nach der Konfiguration können Sie den Speicherort Ihrer Daten nicht mehr ändern. Wenn Sie Ihre Daten an einen anderen Speicherort verschieben müssen, müssen Sie sich an Microsoft-Support wenden, um den Mandanten zurückzusetzen.
Die Überwachung von Serverendpunkten, die diese Integration nutzt, wurde für Office 365 GCC-Kunden deaktiviert.
Zuvor war die Verwendung von Microsoft Monitoring Agent (MMA) unter Windows Server 2016 und Windows Server 2012 R2 und früheren Versionen von Windows Server für das OMS-/Log Analytics-Gateway zulässig, um Konnektivität mit Defender-Clouddiensten bereitzustellen. Die neue Lösung, wie Microsoft Defender for Endpoint am Windows Server 2022 und höher, Windows Server 2019 und Windows 10 oder höher, unterstützt dieses Gateway nicht.
Für Linux-Server, die über Microsoft Defender für Cloud integriert sind, ist ihre anfängliche Konfiguration so festgelegt, dass Defender Antivirus im passiven Modus ausgeführt wird.
Windows Server 2016 und Windows Server 2012 R2:
Herunterladen der Installations- und Onboarding-Pakete
Anwenden des Installationspakets
Führen Sie die Onboardingschritte für das entsprechende Tool aus.
Windows Server Semi-Annual Enterprise Channel, Windows Server 2019, Windows Server 2022 und Windows 2025:
Herunterladen des Onboardingpakets
Führen Sie die Onboardingschritte für das entsprechende Tool aus.
Funktionalität in der modernen vereinheitlichten Lösung
Die vorherige Implementierung (vor April 2022) des Onboardings Windows Server 2016 und Windows Server 2012 R2 erforderte die Verwendung von Microsoft Monitoring Agent (MMA).
Das neue einheitliche Lösungspaket erleichtert das Onboarding von Servern, indem Abhängigkeiten und Installationsschritte entfernt werden. Es bietet auch einen viel erweiterten Featuresatz. Weitere Informationen finden Sie unter Schützen von Windows Server 2012 R2 und 2016.
Abhängig vom Server, den Sie integrieren, installiert die einheitliche Lösung Microsoft Defender Antivirus und/oder den EDR-Sensor. In der folgenden Tabelle wird angegeben, welche Komponente installiert ist und was standardmäßig integriert ist.
Serverversion
AV
EDR
Windows Server 2012 R2
Windows Server 2016
Integriert
Windows Server 2019 und höher
Integriert
Integriert
Wenn Sie Ihre Server zuvor mithilfe von MMA integriert haben, befolgen Sie die Anleitung unter Servermigration , um zur neuen Lösung zu migrieren.
Laden Sie die neueste Plattformversion mithilfe von Windows Update herunter, und installieren Sie sie. Alternativ können Sie das Updatepaket manuell aus dem Microsoft Update-Katalog oder von MMPC herunterladen.
Voraussetzungen für die Ausführung mit Sicherheitslösungen von Drittanbietern
Wenn Sie beabsichtigen, eine Antischadsoftwarelösung eines Drittanbieters zu verwenden, müssen Sie Microsoft Defender Antivirus im passiven Modus ausführen. Denken Sie daran, den passiven Modus während des Installations- und Onboardingprozesses festzulegen.
Hinweis
Wenn Sie Microsoft Defender for Endpoint auf Servern mit McAfee Endpoint Security (ENS) oder VirusScan Enterprise (VSE) installieren, muss die Version der McAfee-Plattform möglicherweise aktualisiert werden, um sicherzustellen Microsoft Defender Antivirus nicht entfernt oder deaktiviert wird. Weitere Informationen, einschließlich der erforderlichen Spezifischen Versionsnummern, finden Sie im McAfee Knowledge Center-Artikel.
Aktualisieren von Paketen für Microsoft Defender for Endpoint auf Windows Server 2016 und Windows Server 2012 R2
Wenn Sie Windows Server Update Services (WSUS) und/oder Microsoft Endpoint Configuration Manager verwenden, ist dieses neue "Microsoft Defender for Endpoint Update für den EDR-Sensor" unter der Kategorie " Microsoft Defender for Endpoint".
SCHRITT 1: Herunterladen von Installations- und Onboardingpaketen
Sie müssen sowohl die Installations - als auch die Onboardingpakete aus dem Portal herunterladen.
Hinweis
Das Installationspaket wird monatlich aktualisiert. Achten Sie darauf, das neueste Paket vor der Verwendung herunterzuladen.
Zum Aktualisieren nach der Installation müssen Sie das Installationspaket nicht erneut ausführen. Wenn Sie dies tun, werden Sie vom Installationsprogramm aufgefordert, zuerst offboarden, da dies eine Voraussetzung für die Deinstallation ist. Weitere Informationen finden Sie unter Aktualisieren von Paketen für Microsoft Defender for Endpoint auf Windows Server 2012 R2 und 2016.
Hinweis
Auf Windows Server 2016 und Windows Server 2012 R2 muss Microsoft Defender Antivirus zuerst als Feature (siehe Wechseln zu MDE) installiert und vollständig aktualisiert werden, bevor mit der Installation fortgefahren wird.
Wenn Sie eine nicht von Microsoft stammende Antischadsoftwarelösung ausführen, stellen Sie sicher, dass Sie der nicht von Microsoft stammenden Lösung vor der Installation Ausschlüsse für Microsoft Defender Antivirus (aus dieser Liste der Microsoft Defender Prozesse auf der Registerkarte Defender-Prozesse) hinzufügen. Es wird auch empfohlen, nicht von Microsoft stammende Sicherheitslösungen zur Defender Antivirus-Ausschlussliste hinzuzufügen.
Das Installationspaket enthält eine MSI-Datei, die den Microsoft Defender for Endpoint-Agent installiert.
Das Onboardingpaket enthält die folgende Datei:
WindowsDefenderATPOnboardingScript.cmd – enthält das Onboardingskript.
Führen Sie die folgenden Schritte aus, um die Pakete herunterzuladen:
Wechseln Sie Microsoft Defender XDR zu Einstellungen > Endpunkt-Onboarding>.
Wählen Sie Windows Server 2016 und Windows Server 2012 R2 aus.
Wählen Sie Installationspaket herunterladen aus, und speichern Sie die .msi Datei.
Wählen Sie Onboardingpaket herunterladen aus, und speichern Sie die .zip Datei.
Installieren Sie das Installationspaket mithilfe einer der Optionen zum Installieren von Microsoft Defender Antivirus. Für die Installation sind Administratorberechtigungen erforderlich.
Wichtig
Ein lokales Onboardingskript eignet sich für einen Proof of Concept, sollte aber nicht für die Produktionsbereitstellung verwendet werden. Für eine Produktionsbereitstellung empfehlen wir die Verwendung von Gruppenrichtlinie oder Microsoft Endpoint Configuration Manager.
SCHRITT 2: Anwenden des Installations- und Onboardingpakets
In diesem Schritt installieren Sie die Komponenten für Prävention und Erkennung, die vor dem Onboarding Ihres Geräts in die Microsoft Defender for Endpoint Cloudumgebung erforderlich sind, um den Computer für das Onboarding vorzubereiten. Stellen Sie sicher, dass alle Voraussetzungen erfüllt sind.
Hinweis
Microsoft Defender Antivirus wird installiert und ist aktiv, es sei denn, Sie legen ihn im passiven Modus fest.
Optionen zum Installieren der Microsoft Defender for Endpoint Pakete
Im vorherigen Abschnitt haben Sie ein Installationspaket heruntergeladen. Das Installationspaket enthält das Installationsprogramm für alle Microsoft Defender for Endpoint Komponenten.
Sie können eine der folgenden Optionen verwenden, um den Agent zu installieren:
Installieren von Microsoft Defender For Endpoint über die Befehlszeile
Verwenden Sie das Installationspaket aus dem vorherigen Schritt, um Microsoft Defender for Endpoint zu installieren.
Führen Sie den folgenden Befehl aus, um Microsoft Defender for Endpoint zu installieren:
Konsole
Msiexec /i md4ws.msi /quiet
Stellen Sie zum Deinstallieren zunächst sicher, dass der Computer mithilfe des entsprechenden Offboardingskripts offboarded wird. Verwenden Sie dann Systemsteuerung > Programme > und Features, um die Deinstallation durchzuführen.
Führen Sie alternativ den folgenden Deinstallationsbefehl aus, um Microsoft Defender for Endpoint zu deinstallieren:
Konsole
Msiexec /x md4ws.msi /quiet
Sie müssen dasselbe Paket verwenden, das Sie für die Installation verwendet haben, damit der obige Befehl erfolgreich ist.
Der /quiet Schalter unterdrückt alle Benachrichtigungen.
Hinweis
Microsoft Defender Antivirus wechselt nicht automatisch in den passiven Modus. Sie können festlegen, dass Microsoft Defender Antivirus im passiven Modus ausgeführt wird, wenn Sie eine nicht von Microsoft stammende Antiviren-/Antischadsoftwarelösung ausführen. Bei Befehlszeileninstallationen legt der optionale FORCEPASSIVEMODE=1 sofort die komponente Microsoft Defender Antivirus auf den passiven Modus fest, um Störungen zu vermeiden. Um sicherzustellen, dass Defender Antivirus nach dem Onboarding zur Unterstützung von Funktionen wie EDR Block im passiven Modus verbleibt, legen Sie den Registrierungsschlüssel "ForceDefenderPassiveMode" fest.
Unterstützung für Windows Server bietet tiefere Einblicke in Serveraktivitäten, Abdeckung für die Erkennung von Kernel- und Speicherangriffen und ermöglicht Reaktionsaktionen.
Installieren von Microsoft Defender for Endpoint mithilfe eines Skripts
Das Installationsskript ist signiert. Änderungen am Skript führen zur Ungültigung der Signatur. Wenn Sie das Skript von GitHub herunterladen, wird empfohlen, um unbeabsichtigte Änderungen zu vermeiden, die Quelldateien als ZIP-Archiv herunterzuladen und dann zu extrahieren, um die install.ps1-Datei zu erhalten (wählen Sie auf der Seite Standard Code das Dropdownmenü Code aus, und wählen Sie "ZIP herunterladen" aus.
Wenden Sie die Microsoft Defender for Endpoint Installations- und Onboardingpakete mithilfe einer Gruppenrichtlinie an, wenn Sie die Installation mit einem Installationsskript durchführen.
Erstellen Sie eine Gruppenrichtlinie: Öffnen Sie die Gruppenrichtlinie Management Console (GPMC), klicken Sie mit der rechten Maustaste auf Gruppenrichtlinie Objekte, die Sie konfigurieren möchten, und wählen Sie Neu aus. Geben Sie den Namen des neuen Gruppenrichtlinienobjekts in das angezeigte Dialogfeld ein, und wählen Sie OK aus.
Öffnen Sie die Gruppenrichtlinie Management Console (GPMC), klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Object (GPO), das Sie konfigurieren möchten, und wählen Sie Bearbeiten aus.
Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration, dann Einstellungen und dann Systemsteuerungseinstellungen.
Klicken Sie mit der rechten Maustaste auf Geplante Aufgaben, zeigen Sie auf Neu, und wählen Sie dann Sofortaufgabe (mindestens Windows 7) aus.
Wechseln Sie im daraufhin geöffneten Aufgabenfenster zur Registerkarte Allgemein . Wählen Sie unter Sicherheitsoptionendie Option Benutzer oder Gruppe ändern aus, geben Sie SYSTEM ein, und wählen Sie dann Namen überprüfen und dann OK aus. NT AUTHORITY\SYSTEM wird als Benutzerkonto angezeigt, unter dem die Aufgabe ausgeführt wird.
Wählen Sie Ausführen aus, ob der Benutzer angemeldet ist oder nicht , und aktivieren Sie das Kontrollkästchen Mit den höchsten Berechtigungen ausführen .
Geben Sie im Feld Name einen geeigneten Namen für die geplante Aufgabe ein (z. B. Defender für Endpunktbereitstellung).
Wechseln Sie zur Registerkarte Aktionen, und wählen Sie Neu... aus. Stellen Sie sicher, dass Programm starten im Feld Aktion ausgewählt ist. Das Installationsskript übernimmt die Installation und führt den Onboardingschritt sofort nach Abschluss der Installation aus. Wählen Sie C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe geben Sie dann die Argumente an:
Die empfohlene Ausführungsrichtlinieneinstellung ist Allsigned. Dies erfordert das Importieren des Signaturzertifikats des Skripts in den Lokalen Computerspeicher für vertrauenswürdige Herausgeber, wenn das Skript als SYSTEM auf dem Endpunkt ausgeführt wird.
Ersetzen Sie durch \\servername-or-dfs-space\share-name den UNC-Pfad unter Verwendung des vollqualifizierten Domänennamens (FQDN) des Dateiservers der freigegebenen install.ps1 Datei. Das Installationspaket md4ws.msi muss im selben Verzeichnis abgelegt werden. Stellen Sie sicher, dass die Berechtigungen des UNC-Pfads Schreibzugriff auf das Computerkonto zulassen, das das Paket installiert, um die Erstellung von Protokolldateien zu unterstützen. Wenn Sie die Erstellung von Protokolldateien deaktivieren möchten (nicht empfohlen), können Sie die -noETL -noMSILog Parameter verwenden.
In Szenarien, in denen Microsoft Defender Antivirus mit Nicht-Microsoft-Antischadsoftwarelösungen gleichzeitig vorhanden sein soll, fügen Sie den Parameter $Passive hinzu, um den passiven Modus während der Installation festzulegen.
Wählen Sie OK aus, und schließen Sie alle geöffneten GPMC-Fenster.
Um das Gruppenrichtlinienobjekt mit einer Organisationseinheit zu verknüpfen, klicken Sie mit der rechten Maustaste, und wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen aus. Wählen Sie im angezeigten Dialogfeld das Gruppenrichtlinie Objekt aus, das Sie verknüpfen möchten. Wählen Sie OK aus.
Die folgenden Schritte gelten nur, wenn Sie eine Antischadsoftwarelösung eines Drittanbieters verwenden. Sie müssen die folgende einstellung Microsoft Defender passiven Antivirusmodus anwenden. Vergewissern Sie sich, dass sie ordnungsgemäß konfiguriert wurde:
Legen Sie den folgenden Registrierungseintrag fest:
Ein Betriebssystemupdate kann aufgrund eines Timeouts bei der Dienstinstallation zu einem Installationsproblem auf Computern mit langsameren Datenträgern führen. Die Installation schlägt mit der Meldung "c:\programme\windows defender\mpasdesc.dll, - 310 WinDefend nicht gefunden" fehl. Verwenden Sie das neueste Installationspaket und das neueste install.ps1 Skript, um die fehlerhafte Installation ggf. zu löschen.
Die Benutzeroberfläche auf Windows Server 2016 und Windows Server 2012 R2 lässt nur grundlegende Vorgänge zu. Informationen zum lokalen Ausführen von Vorgängen auf einem Gerät finden Sie unter Verwalten von Microsoft Defender for Endpoint mit PowerShell, WMI und MPCmdRun.exe. Daher funktionieren Features, die speziell auf Benutzerinteraktionen basieren, z. B. wenn der Benutzer aufgefordert wird, eine Entscheidung zu treffen oder eine bestimmte Aufgabe auszuführen, möglicherweise nicht wie erwartet. Es wird empfohlen, die Benutzeroberfläche zu deaktivieren oder nicht zu aktivieren oder keine Benutzerinteraktion auf einem verwalteten Server zu erfordern, da sich dies auf die Schutzfunktion auswirken kann.
Nicht alle Regeln zur Verringerung der Angriffsfläche gelten für alle Betriebssysteme. Weitere Informationen finden Sie unter Regeln zur Verringerung der Angriffsfläche.
Betriebssystemupgrades werden nicht unterstützt. Offboarden Sie dann vor dem Upgrade. Das Installationspaket kann nur verwendet werden, um Installationen zu aktualisieren, die noch nicht mit neuen Antischadsoftware-Plattform- oder EDR-Sensorupdatepaketen aktualisiert wurden.
Um die neue Lösung mithilfe von Microsoft Endpoint Configuration Manager (MECM) automatisch bereitstellen und integrieren zu können, müssen Sie Version 2207 oder höher verwenden. Sie können weiterhin mit Version 2107 mit dem Hotfixrollup konfigurieren und bereitstellen, dies erfordert jedoch zusätzliche Bereitstellungsschritte. Weitere Informationen finden Sie unter Microsoft Endpoint Configuration Manager Migrationsszenarien.
Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019, Windows Server 2022 und Windows Server 2025
Die Unterstützung für Windows Server 2025 wird eingeführt, beginnend im Februar 2025 und in den nächsten Wochen.
Paket herunterladen
Wechseln Sie Microsoft Defender XDR zu Einstellungen>Endpunkte>Geräteverwaltung>Onboarding.
Wählen Sie Windows Server 1803, 2019 und 2022 aus.
Wählen Sie Paket herunterladen aus. Speichern Sie es als WindowsDefenderATPOnboardingPackage.zip.
Die Ausführung Microsoft Defender Antivirus ist nicht erforderlich, wird jedoch empfohlen. Wenn ein anderes Antivirenprodukt die primäre Endpoint Protection-Lösung ist, können Sie Defender Antivirus im passiven Modus ausführen. Sie können nur bestätigen, dass der passive Modus aktiviert ist, nachdem Sie überprüft haben, ob Microsoft Defender for Endpoint Sensor (SENSE) ausgeführt wird.
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Microsoft Defender Antivirus installiert ist:
Hinweis
Dieser Überprüfungsschritt ist nur erforderlich, wenn Sie Microsoft Defender Antivirus als aktive Antischadsoftwarelösung verwenden.
Windows-Eingabeaufforderung
sc.exe query Windefend
Wenn das Ergebnis "Der angegebene Dienst ist nicht als installierter Dienst vorhanden" lautet, müssen Sie Microsoft Defender Antivirus installieren.
Nach dem erfolgreichen Onboarding von Geräten in den Dienst müssen Sie die einzelnen Komponenten von Microsoft Defender for Endpoint konfigurieren. Informationen zum Aktivieren der verschiedenen Komponenten finden Sie unter Konfigurieren von Funktionen .
Offboarden von Windows-Servern
Sie können Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019, Windows Server Core Edition 2019, Windows Server 2022 und offboarden. Windows Server 2025 (ab Februar 2025 und Einführung in den nächsten Wochen) mit der gleichen Methode, die für Windows 10-Clientgeräte verfügbar ist.
Nach dem Offboarding können Sie mit der Deinstallation des einheitlichen Lösungspakets auf Windows Server 2016 und Windows Server 2012 R2 fortfahren.
Für andere Windows Server-Versionen haben Sie zwei Optionen zum Offboarden von Windows-Servern vom Dienst:
Deinstallieren des MMA-Agents
Entfernen der Defender für Endpunkt-Arbeitsbereichskonfiguration
Hinweis
Diese Offboardinganweisungen für andere Windows Server-Versionen gelten auch, wenn Sie die vorherige Microsoft Defender for Endpoint für Windows Server 2016 und Windows Server 2012 R2 ausführen, für die mmA erforderlich ist. Anweisungen zum Migrieren zur neuen einheitlichen Lösung finden Sie unter Servermigrationsszenarien in Microsoft Defender for Endpoint.
In diesem Modul wird untersucht, wie Microsoft Defender für Endpunkt Unternehmensnetzwerke dabei unterstützt, erweiterte Bedrohungen mithilfe von Endpunktverhaltenssensoren, Cloudsicherheitsanalysen und Threat Intelligence zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. MS-102
Planen Sie eine Endpunktbereitstellungsstrategie und führen diese mithilfe von wesentlichen Elemente moderner Verwaltung, Co-Management-Ansätzen und Microsoft Intune-Integration aus.
Lesen Sie diesen Artikel, um einen Überblick darüber zu erhalten, wie Sie Ihre Server von der vorherigen MMA-basierten Lösung zum aktuellen einheitlichen Defender für Endpunkt-Lösungspaket migrieren.
In diesem Artikel erfahren Sie schritt-für-Schritt, wie Sie Server auf down-Level-Ebene von Microsoft Monitoring Agent zur neuen einheitlichen Lösung migrieren.