Onboarding von Servern über Microsoft Defender for Endpoint Onboarding

Gilt für:

• Microsoft Defender for Endpoint für Server
• Microsoft Defender für Server Plan 1 oder Plan 2

Übersicht

Defender für Endpunkt kann dazu beitragen, die Server Ihrer organization mit Funktionen wie Statusverwaltung, Bedrohungsschutz und Endpunkterkennung und -reaktion zu schützen. Defender für Endpunkt bietet Ihrem Sicherheitsteam tiefere Einblicke in Serveraktivitäten, die Abdeckung für die Erkennung von Kernel- und Speicherangriffen und die Möglichkeit, bei Bedarf Reaktionsaktionen zu ergreifen. Defender für Endpunkt lässt sich auch in Microsoft Defender for Cloud integrieren und bietet Ihren organization eine umfassende Serverschutzlösung.

Abhängig von Ihrer jeweiligen Umgebung können Sie zwischen mehreren Optionen für das Onboarding von Servern in Defender für Endpunkt wählen. In diesem Artikel werden die verfügbaren Optionen für Windows Server und Linux sowie wichtige Punkte beschrieben, die zu berücksichtigen sind, wie Sie einen Erkennungstest nach dem Onboarding ausführen und Server offboarden.

Tipp

Als Ergänzung zu diesem Artikel lesen Sie unseren Security Analyzer-Einrichtungsleitfaden , um bewährte Methoden zu überprüfen und zu erfahren, wie Sie die Verteidigung stärken, die Compliance verbessern und sicher in der Cybersicherheitslandschaft navigieren. Für eine angepasste Umgebung können Sie im Microsoft 365 Admin Center auf den Leitfaden für die automatisierte Einrichtung von Security Analyzer zugreifen.

Serverpläne

Für das Onboarding von Servern in Defender für Endpunkt sind Serverlizenzen erforderlich. Sie können aus den folgenden Optionen wählen:

• Microsoft Defender für Server Plan 1 oder Plan 2 (als Teil des Defender für Cloud-Angebots)
• Microsoft Defender for Endpoint für Server
• Microsoft Defender for Business-Server (nur für kleine und mittlere Unternehmen)

Integration in Microsoft Defender for Servers

Defender für Endpunkt lässt sich nahtlos in Defender für Server (in Defender für Cloud) integrieren. Wenn Ihr Abonnement Defender für Server Plan 1 oder Plan 2 enthält, haben Sie folgende Möglichkeiten:

• Automatisches Onboarding von Servern
• Server, die von Defender für Cloud überwacht werden, werden im Microsoft Defender-Portal im Gerätebestand angezeigt.
• Durchführen detaillierter Untersuchungen als Defender für Cloud-Kunde

Hier sind einige Punkte, die Sie beachten sollten:

• Wenn Sie Defender für Cloud zum Überwachen von Servern verwenden, wird automatisch ein Defender für Endpunkt-Mandant erstellt. Die von Defender für Endpunkt gesammelten Daten werden am geografischen Standort des Mandanten gespeichert, der während der Bereitstellung identifiziert wird. (Beispielsweise in den USA für Kunden in den USA, in der EU für europäische Kunden und in Großbritannien für Kunden im Vereinigten Königreich.)
• Wenn Sie Defender für Endpunkt vor der Verwendung von Defender für Cloud verwenden, werden Ihre Daten an dem Speicherort gespeichert, den Sie beim Erstellen Ihres Mandanten angegeben haben, auch wenn Sie die Integration zu einem späteren Zeitpunkt in Defender für Cloud durchführen.
• Nach der Konfiguration können Sie den Speicherort Ihrer Daten nicht mehr ändern. Wenn Sie Ihre Daten an einen anderen Speicherort verschieben möchten, wenden Sie sich an den Support , um Ihren Mandanten zurückzusetzen.
• Die Überwachung von Serverendpunkten, die diese Integration nutzt, ist derzeit nicht für Office 365 GCC-Kunden verfügbar.
• Für Linux-Server, die über Defender für Cloud integriert sind, ist die anfängliche Konfiguration so festgelegt, dass Microsoft Defender Antivirus im passiven Modus ausgeführt wird. Informationen zum Bereitstellen von Defender für Endpunkt auf einem Linux-Server finden Sie unter Voraussetzungen für Microsoft Defender for Endpoint unter Linux.

Weitere Informationen finden Sie unter Schützen Ihrer Endpunkte mit der Integration von Defender für Endpunkt in Defender für Cloud.

Wichtige Informationen für Nicht-Microsoft-Antiviren-/Antischadsoftwarelösungen

Wenn Sie beabsichtigen, eine Nicht-Microsoft-Antischadsoftwarelösung zu verwenden, müssen Sie Microsoft Defender Antivirus im passiven Modus ausführen. Stellen Sie sicher, dass Sie während des Installations- und Onboardingprozesses den passiven Modus festlegen. Weitere Informationen finden Sie unter Windows Server und passiver Modus.

Wichtig

Wenn Sie Defender für Endpunkt auf Servern installieren, auf denen McAfee Endpoint Security oder VirusScan Enterprise ausgeführt wird, muss möglicherweise die McAfee-Plattformversion aktualisiert werden, um sicherzustellen, dass Microsoft Defender Antivirus nicht entfernt oder deaktiviert wird. Weitere Informationen zu bestimmten erforderlichen Versionsnummern finden Sie im McAfee Knowledge Center-Artikel.

Server-Onboardingoptionen

Sie können aus mehreren Bereitstellungsmethoden und -tools wählen, um Server zu integrieren, wie in der folgenden Tabelle zusammengefasst:

Betriebssystem	Bereitstellungsmethode
Windows Server 2025 Windows Server 2022 Windows Server 2019 Windows Server, Version 1803 Windows Server 2016 Windows Server 2012 R2	Lokales Skript (verwendet ein Onboardingpaket) Defender für Server Microsoft Configuration Manager Gruppenrichtlinie VDI-Skripts Onboarding mit Defender für Cloud Moderne, einheitliche Lösung für Windows Server 2016 und 2012 R2
Linux	Installationsprogrammskriptbasierte Bereitstellung Ansible script-basierte Bereitstellung Skriptbasierte Bereitstellung von Chef Auf Puppet-Skript basierende Bereitstellung Saltstack-skriptbasierte Bereitstellung Manuelle Bereitstellung (verwendet ein lokales Skript) Direktes Onboarding mit Defender für Cloud Verbinden Ihrer Nicht-Azure-Computer mit Microsoft Defender für Cloud mit Defender für Endpunkt Bereitstellungsleitfaden für Defender für Endpunkt unter Linux für SAP

Onboarding Windows Server Version 1803, Windows Server 2019 und Windows Server 2025

1. Überprüfen Sie unbedingt die Mindestanforderungen für Defender für Endpunkt.

2. Navigieren Sie im Microsoft Defender-Portal zu Einstellungen>Endpunkte, und wählen Sie dann unter Geräteverwaltungdie Option Onboarding aus.

3. Wählen Sie in der Liste Betriebssystem zum Starten des Onboardingprozesses auswählenWindows Server 2019, 2022 und 2025 aus.

   

4. Wählen Sie unter Konnektivitätstyp entweder Optimiert oder Standard aus. (Weitere Informationen finden Sie unter Voraussetzungen für optimierte Konnektivität.)

5. Wählen Sie unter Bereitstellungsmethode eine Option aus, und laden Sie dann das Onboardingpaket herunter.

6. Befolgen Sie die Anweisungen in einem der folgenden Artikel für Ihre Bereitstellungsmethode:

   • Lokales Skript
   • Gruppenrichtlinie
   • Configuration Manager
   • VDI-Onboardingskripts für nicht persistente Geräte
   • Verbinden Ihrer Nicht-Azure-Computer mit Microsoft Defender für Cloud mit Defender für Endpunkt

Onboarding von Windows Server 2016 und Windows Server 2012 R2

1. Überprüfen Sie unbedingt die Mindestanforderungen für Defender für Endpunkt und Voraussetzungen für Windows Server 2016 und 2012 R2.

2. Navigieren Sie im Microsoft Defender-Portal zu Einstellungen>Endpunkte, und wählen Sie dann unter Geräteverwaltungdie Option Onboarding aus.

3. Wählen Sie in der Liste Betriebssystem auswählen, um den Onboardingprozess zu starten die Option Windows Server 2016 und Windows Server 2012 R2 aus.

   

4. Wählen Sie unter Konnektivitätstyp entweder Optimiert oder Standard aus. (Weitere Informationen finden Sie unter Voraussetzungen für optimierte Konnektivität.)

5. Wählen Sie unter Bereitstellungsmethode eine Option aus, und laden Sie dann das Installationspaket und das Onboardingpaket herunter.

   Hinweis

   Das Installationspaket wird monatlich aktualisiert. Achten Sie darauf, das neueste Paket vor der Verwendung herunterzuladen. Zum Aktualisieren nach der Installation müssen Sie das Installationspaket nicht erneut ausführen. Wenn Sie dies tun, werden Sie vom Installationsprogramm aufgefordert, zuerst offboarden, da dies eine Voraussetzung für die Deinstallation ist. Weitere Informationen finden Sie unter Aktualisieren von Paketen für Defender für Endpunkt auf Windows Server 2012 R2 und 2016.

6. Befolgen Sie die Anweisungen in einem der folgenden Artikel für Ihre Bereitstellungsmethode:

   • Lokales Skript
   • Gruppenrichtlinie
   • Configuration Manager
   • VDI-Onboardingskripts für nicht persistente Geräte
   • Migrieren von Servern von Microsoft Monitoring Agent zur modernen einheitlichen Lösung
   • Verbinden Ihrer Nicht-Azure-Computer mit Microsoft Defender für Cloud mit Defender für Endpunkt

Voraussetzungen für Windows Server 2016 und 2012 R2

• Es wird empfohlen, das neueste verfügbare Servicing Stack Update (SSU) und das neueste kumulative Update (LCU) auf dem Server zu installieren.
• Die SSU ab dem 14. September 2021 oder höher muss installiert sein.
• Die LCU ab dem 20. September 2018 oder höher muss installiert sein.
• Aktivieren Sie das Feature Microsoft Defender Antivirus, und stellen Sie sicher, dass es auf dem neuesten Stand ist. Weitere Informationen zum Aktivieren von Defender Antivirus auf Windows Server finden Sie unter Re-enable Defender Antivirus on Windows Server if it was disabled undRe-enable Defender Antivirus on Windows Server , wenn es deinstalliert wurde.
• Laden Sie die neueste Plattformversion mithilfe von Windows Update herunter, und installieren Sie sie. Alternativ können Sie das Updatepaket manuell aus dem Microsoft Update-Katalog oder von MMPC herunterladen.
• Auf Windows Server 2016 muss Microsoft Defender Antivirus als Feature installiert und vor der Installation vollständig aktualisiert werden.

Aktualisieren von Paketen für Windows Server 2016 oder Windows Server 2012 R2

Um regelmäßige Produktverbesserungen und Fehlerbehebungen für die Defender für Endpunkt-Komponente zu erhalten, stellen Sie sicher, dass Windows Update KB5005292 angewendet oder genehmigt wird. Informationen zum Aktualisieren der Schutzkomponenten finden Sie unter Verwalten Microsoft Defender Antivirus-Updates und Anwenden von Baselines.

Wenn Sie Windows Server Update Services (WSUS) und/oder Microsoft Configuration Manager verwenden, ist dieses neue "Microsoft Defender for Endpoint Update für den EDR-Sensor" unter der Kategorie " Microsoft Defender for Endpoint."

Funktionalität in der modernen einheitlichen Lösung für Windows Server 2016 und Windows Server 2012 R2

Die vorherige Implementierung (vor April 2022) des Onboardings Windows Server 2016 und Windows Server 2012 R2 erforderte die Verwendung von Microsoft Monitoring Agent (MMA). Das moderne, einheitliche Lösungspaket erleichtert das Onboarding von Servern, indem Abhängigkeiten und Installationsschritte entfernt werden. Es bietet auch einen viel erweiterten Featuresatz. Weitere Informationen finden Sie in den folgenden Ressourcen:

• Servermigrationsszenarien aus der vorherigen MMA-basierten Microsoft Defender for Endpoint-Lösung
• Tech Community Blog: Defending Windows Server 2012 R2 and 2016

Abhängig vom Server, den Sie integrieren, installiert die einheitliche Lösung Defender für Endpunkt und/oder den EDR-Sensor auf dem Server. In der folgenden Tabelle wird angegeben, welche Komponente installiert ist und was standardmäßig integriert ist.

Serverversion	Microsoft Defender Antivirus	EDR-Sensor
Windows Server 2012 R2
Windows Server 2016	Integriert
Windows Server 2019 und höher	Integriert	Integriert

Bekannte Probleme und Einschränkungen in der modernen einheitlichen Lösung

Die folgenden Punkte gelten für Windows Server 2016 und Windows Server 2012 R2:

• Laden Sie immer das neueste Installationspaket aus dem Microsoft Defender-Portal (https://security.microsoft.com) herunter, bevor Sie eine neue Installation durchführen, und stellen Sie sicher, dass die Voraussetzungen erfüllt sind. Stellen Sie nach der Installation sicher, dass sie regelmäßig mithilfe von Komponentenupdates aktualisiert werden, die im Abschnitt Updatepakete für Defender für Endpunkt auf Windows Server 2012 R2 und 2016 beschrieben sind.

• Ein Betriebssystemupdate kann aufgrund eines Timeouts bei der Dienstinstallation zu einem Installationsproblem auf Computern mit langsameren Datenträgern führen. Die Installation schlägt mit der Meldung Couldn't find c:\program files\windows defender\mpasdesc.dll, - 310 WinDefendfehl. Verwenden Sie das neueste Installationspaket und das neueste install.ps1 Skript, um die fehlerhafte Installation ggf. zu löschen.

• Die Benutzeroberfläche auf Windows Server 2016 und Windows Server 2012 R2 ermöglicht nur grundlegende Vorgänge. Informationen zum lokalen Ausführen von Vorgängen auf einem Gerät finden Sie unter Verwalten von Defender für Endpunkt mit PowerShell, WMI und MPCmdRun.exe. Daher funktionieren Features, die speziell auf Benutzerinteraktionen basieren, z. B. wenn der Benutzer aufgefordert wird, eine Entscheidung zu treffen oder eine bestimmte Aufgabe auszuführen, möglicherweise nicht wie erwartet. Es wird empfohlen, die Benutzeroberfläche zu deaktivieren oder nicht zu aktivieren oder keine Benutzerinteraktion auf einem verwalteten Server zu erfordern, da sich dies auf die Schutzfunktion auswirken kann.

• Nicht alle Regeln zur Verringerung der Angriffsfläche gelten für alle Betriebssysteme. Weitere Informationen finden Sie unter Regeln zur Verringerung der Angriffsfläche.

• Betriebssystemupgrades werden auf Windows 10 und 11 sowie Windows Server 2019 oder höher unterstützt. Diese Versionen enthalten die erforderlichen Defender für Endpunkt-Komponenten. Bei Windows Server 2016 und früheren Versionen müssen Sie defender für Endpunkt offboarden und Defender für Endpunkt deinstallieren, bevor Sie das Betriebssystem aktualisieren.

• Zum automatischen Bereitstellen und Integrieren der neuen Lösung mithilfe von Microsoft Endpoint Configuration Manager (MECM) müssen Sie Version 2207 oder höher verwenden. Sie können weiterhin mit Version 2107 mit dem Hotfixrollup konfigurieren und bereitstellen, dies erfordert jedoch zusätzliche Bereitstellungsschritte. Weitere Informationen finden Sie unter Microsoft Endpoint Configuration Manager Migrationsszenarien.

Onboarding von Linux-Servern

Führen Sie die folgenden Schritte aus, um das Onboarding von Servern unter Linux durchzuführen:

1. Überprüfen Sie unbedingt die Voraussetzungen für Microsoft Defender for Endpoint unter Linux.

2. Wählen Sie eine Bereitstellungsmethode aus. Abhängig von Ihrer jeweiligen Umgebung können Sie aus mehreren Optionen wählen:

   • Installationsprogrammskriptbasierte Bereitstellung
   • Ansible-basierte Bereitstellung
   • Chef-basierte Bereitstellung
   • Puppet-basierte Bereitstellung
   • Saltstack-basierte Bereitstellung
   • Manuelle Bereitstellung (verwendet ein lokales Skript)
   • Direktes Onboarding mit Defender für Cloud
   • Verbinden Ihrer Nicht-Azure-Computer mit Microsoft Defender für Cloud mit Defender für Endpunkt
   • Bereitstellungsleitfaden für Defender für Endpunkt unter Linux für SAP

3. Konfigurieren Sie Ihre Funktionen. Weitere Informationen finden Sie unter Konfigurieren von Sicherheitseinstellungen in Microsoft Defender for Endpoint unter Linux.

Ausführen eines Erkennungstests zum Überprüfen des Onboardings

Nach dem Onboarding des Geräts können Sie einen Erkennungstest ausführen, um zu überprüfen, ob ein Gerät ordnungsgemäß in den Dienst integriert ist. Weitere Informationen finden Sie unter Ausführen eines Erkennungstests auf einem neu integrierten Defender für Endpunkt-Gerät.

Hinweis

Die Ausführung Microsoft Defender Antivirus ist nicht erforderlich, wird jedoch empfohlen. Wenn ein anderes Antivirenprodukt die primäre Endpoint Protection-Lösung ist, können Sie Defender Antivirus im passiven Modus ausführen. Sie können nur bestätigen, dass der passive Modus aktiviert ist, nachdem Sie überprüft haben, ob der Defender für Endpunkt-Sensor (SENSE) ausgeführt wird.

1. Führen Sie auf Windows Server Geräten, auf denen Microsoft Defender Antivirus im aktiven Modus installiert sein sollte, den folgenden Befehl aus:

   sc.exe query Windefend
   

   Wenn das Ergebnis "Der angegebene Dienst ist nicht als installierter Dienst vorhanden" lautet, müssen Sie Microsoft Defender Antivirus installieren.

2. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Defender für Endpunkt ausgeführt wird:

   sc.exe query sense
   

   Das Ergebnis sollte anzeigen, dass es ausgeführt wird. Wenn Probleme beim Onboarding auftreten, lesen Sie Problembehandlung beim Onboarding.

Offboarden von Windows-Servern

Sie können Windows-Server mithilfe der gleichen Methoden offboarden, die für Windows-Clientgeräte verfügbar sind:

• Offboarden von Geräten mit Configuration Manager
• Offboarden von Geräten mit Mobile Geräteverwaltung-Tools
• Offboarden von Geräten mit Gruppenrichtlinie
• Offboarding von Geräten mit einem lokalen Skript

Nach dem Offboarding können Sie mit der Deinstallation des einheitlichen Lösungspakets auf Windows Server 2016 und Windows Server 2012 R2 fortfahren. Für frühere Versionen von Windows Server haben Sie zwei Möglichkeiten, Windows-Server aus dem Dienst zu offboarden:

• Deinstallieren des MMA-Agents
• Entfernen der Defender für Endpunkt-Arbeitsbereichskonfiguration

Hinweis

Diese Offboardinganweisungen für andere Windows Server Versionen gelten auch, wenn Sie den vorherigen Defender für Endpunkt für Windows Server 2016 und Windows Server 2012 R2 ausführen, für die mmA erforderlich ist. Anweisungen zum Migrieren zur neuen einheitlichen Lösung finden Sie unter Servermigrationsszenarien in Defender für Endpunkt.

Nächste Schritte

• Konfigurieren von AIR-Funktionen
• Anzeigen des Gerätebestands

Siehe auch

• Integrieren von Windows- und Mac-Clientgeräten in Microsoft Defender for Endpoint
• Konfigurieren der Einstellungen für Endpunktproxy und Internetkonnektivität für Ihren Azure ATP-Sensor
• Ausführen eines Erkennungstests auf einem neu integrierten Defender für Endpunkt-Gerät
• Behandeln von Problemen beim Onboarding von Defender für Endpunkt
• Behandeln von Onboardingproblemen im Zusammenhang mit der Sicherheitsverwaltung für Defender für Endpunkt
• Microsoft Defender for Endpoint – Mobile Threat Defense (für iOS- und Android-Geräte)