Incorporación de servidores Windows al servicio Microsoft Defender para punto de conexión

Se aplica a:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Canal de Windows Server Semi-Annual Enterprise
  • Windows Server 2019 y versiones posteriores
  • Edición principal de Windows Server 2019
  • Windows Server 2022
  • Microsoft Defender para punto de conexión

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Defender para punto de conexión amplía la compatibilidad para incluir también el sistema operativo Windows Server. Esta compatibilidad proporciona funcionalidades avanzadas de detección e investigación de ataques sin problemas a través de la consola de Microsoft Defender XDR. La compatibilidad con Windows Server proporciona información más detallada sobre las actividades del servidor, la cobertura para la detección de ataques de kernel y memoria, y habilita las acciones de respuesta.

En este artículo se describe cómo incorporar servidores Windows específicos para Microsoft Defender para punto de conexión.

Para obtener instrucciones sobre cómo descargar y usar líneas base de Seguridad de Windows para servidores Windows, consulte Seguridad de Windows líneas base.

Introducción a la incorporación de Windows Server

Tendrá que completar los pasos generales siguientes para incorporar correctamente los servidores.

Ilustración del flujo de incorporación para servidores Windows y dispositivos Windows 10

Nota:

No se admiten las ediciones de Windows Hyper-V Server.

Integración con Microsoft Defender para servidores:

Microsoft Defender para punto de conexión se integra perfectamente con Microsoft Defender para servidores. Puede incorporar servidores automáticamente, hacer que los servidores supervisados por Microsoft Defender for Cloud aparezcan en Defender para punto de conexión y llevar a cabo investigaciones detalladas como Microsoft Defender para clientes en la nube. Para obtener más información, vaya a Protección de los puntos de conexión con la solución EDR integrada de Defender for Cloud: Microsoft Defender para punto de conexión

Nota:

Para Windows Server 2012 R2 y 2016, puede instalar o actualizar manualmente la solución moderna y unificada en estas máquinas, o bien usar la integración para implementar o actualizar automáticamente los servidores cubiertos por sus respectivos Microsoft Defender para el plan de servidor. Más información sobre cómo realizar el cambio en Proteger los puntos de conexión con la solución EDR integrada de Defender for Cloud: Microsoft Defender para punto de conexión.

  • Cuando se usa Microsoft Defender for Cloud para supervisar servidores, se crea automáticamente un inquilino de Defender para punto de conexión (en EE. UU. para usuarios de EE. UU., en la UE para usuarios europeos y en el Reino Unido para usuarios del Reino Unido). Los datos recopilados por Defender para punto de conexión se almacenan en la ubicación geográfica del inquilino tal como se identifica durante el aprovisionamiento.
  • Si usa Defender para punto de conexión antes de usar Microsoft Defender for Cloud, los datos se almacenarán en la ubicación que especificó al crear el inquilino, incluso si se integra con Microsoft Defender for Cloud más adelante.
  • Una vez configurado, no se puede cambiar la ubicación donde se almacenan los datos. Si necesita mover los datos a otra ubicación, debe ponerse en contacto con Soporte técnico de Microsoft para restablecer el inquilino.
  • La supervisión de puntos de conexión de servidor que usan esta integración se ha deshabilitado para Office 365 clientes de GCC.
  • Anteriormente, el uso de Microsoft Monitoring Agent (MMA) en Windows Server 2016 y versiones anteriores de Windows Server permitía que la puerta de enlace de OMS/Log Analytics proporcionara conectividad a los servicios en la nube de Defender. La nueva solución, como Microsoft Defender para punto de conexión en Windows Server 2019, Windows Server 2022 y Windows 10, no admite esta puerta de enlace.
  • Los servidores Linux incorporados a través de Microsoft Defender for Cloud tendrán su configuración inicial establecida para ejecutar Antivirus de Defender en modo pasivo.

Windows Server 2012 R2 y Windows Server 2016:

  • Descarga de paquetes de instalación e incorporación
  • Aplicar el paquete de instalación
  • Siga los pasos de incorporación de la herramienta correspondiente.

Windows Server Semi-Annual Enterprise Channel y Windows Server 2019:

  • Descarga del paquete de incorporación
  • Siga los pasos de incorporación de la herramienta correspondiente.

Windows Server 2012 R2 y Windows Server 2016

Nuevas funciones de Windows Server 2012 R2 y 2016 en la solución unificada moderna

La implementación anterior (antes de abril de 2022) de la incorporación de Windows Server 2012 R2 y Windows Server 2016 requería el uso de Microsoft Monitoring Agent (MMA).

El nuevo paquete de solución unificada facilita la incorporación de servidores mediante la eliminación de dependencias y los pasos de instalación. También proporciona un conjunto de características mucho más expandido. Para obtener más información, consulte Defender Windows Server 2012 R2 y 2016.

En función del servidor que esté incorporando, la solución unificada instala Microsoft Defender Antivirus o el sensor EDR. En la tabla siguiente se indica qué componente está instalado y qué está integrado de forma predeterminada.

Versión del servidor AV EDR
Windows Server 2012 R2 Sí. Sí.
Windows Server 2016 Integrado Sí.
Windows Server 2019 o posterior Integrado Integrado

Si previamente ha incorporado los servidores mediante MMA, siga las instrucciones que se proporcionan en Migración del servidor para migrar a la nueva solución.

Importante

Antes de continuar con la incorporación, consulte la sección Problemas conocidos y limitaciones del nuevo paquete de soluciones unificado para Windows Server 2012 R2 y 2016.

Requisitos previos

Requisitos previos para Windows Server 2012 R2

Si ha actualizado completamente las máquinas con el paquete acumulativo mensual más reciente, no hay otros requisitos previos y los requisitos siguientes ya se rellenarán.

El paquete del instalador comprobará si los siguientes componentes ya se han instalado mediante una actualización para evaluar si se han cumplido los requisitos mínimos para una instalación correcta:

Requisitos previos para Windows Server 2016

Se recomienda instalar los SSU y LCU disponibles más recientes en el servidor.

Requisitos previos para la ejecución con soluciones de seguridad de terceros

Si tiene previsto usar una solución antimalware de terceros, tendrá que ejecutar Microsoft Defender Antivirus en modo pasivo. Debe recordar establecer en modo pasivo durante el proceso de instalación e incorporación.

Nota:

Si va a instalar Microsoft Defender para punto de conexión en servidores con McAfee Endpoint Security (ENS) o VirusScan Enterprise (VSE), es posible que sea necesario actualizar la versión de la plataforma de McAfee para asegurarse de que Microsoft Defender Antivirus no se quite ni deshabilite. Para obtener más información, incluidos los números de versión específicos necesarios, consulte el artículo de McAfee Knowledge Center.

Actualizar paquetes para Microsoft Defender para punto de conexión en Windows Server 2012 R2 y 2016

Para recibir mejoras y correcciones periódicas del producto para el componente sensor EDR, asegúrese de Windows Update KB5005292 se aplique o apruebe. Además, para mantener actualizados los componentes de protección, consulte Administración de actualizaciones Microsoft Defender Antivirus y aplicación de líneas base.

Si usa Windows Server Update Services (WSUS) o Configuration Manager de punto de conexión de Microsoft, esta nueva "actualización de Microsoft Defender para punto de conexión para el sensor EDR" está disponible en la categoría " Microsoft Defender para punto de conexión".

Resumen de los pasos de incorporación

PASO 1: Descarga de paquetes de instalación e incorporación

Tendrá que descargar los paquetes de instalación e incorporación desde el portal.

Nota:

El paquete de instalación se actualiza mensualmente. Asegúrese de descargar el paquete más reciente antes del uso. Para actualizar después de la instalación, no es necesario volver a ejecutar el paquete del instalador. Si lo hace, el instalador le pedirá que se desconecte primero, ya que es un requisito para la desinstalación. Consulte Actualización de paquetes para Microsoft Defender para punto de conexión en Windows Server 2012 R2 y 2016.

Imagen del panel de incorporación

Nota:

En Windows Server 2012R2, el paquete de instalación instalará Microsoft Defender Antivirus y estará activo a menos que lo establezcas en modo pasivo. En Windows Server 2016, Microsoft Defender Antivirus debe instalarse como una característica (consulte Cambiar a MDE) primero y totalmente actualizado antes de continuar con la instalación.

Si ejecuta una solución antimalware que no es de Microsoft, asegúrese de agregar exclusiones para Microsoft Defender Antivirus (de esta lista de procesos de Microsoft Defender en la pestaña Procesos de Defender) a la solución que no es de Microsoft antes de la instalación. También se recomienda agregar soluciones de seguridad que no sean de Microsoft a la lista de exclusión del Antivirus de Defender.

El paquete de instalación contiene un archivo MSI que instala el agente de Microsoft Defender para punto de conexión.

El paquete de incorporación contiene el archivo siguiente:

  • WindowsDefenderATPOnboardingScript.cmd : contiene el script de incorporación.

Siga estos pasos para descargar los paquetes:

  1. En Microsoft Defender XDR, vaya a Configuración > Incorporación de puntos de conexión>.

  2. Seleccione Windows Server 2012 R2 y 2016.

  3. Seleccione Descargar paquete de instalación y guarde el archivo .msi.

  4. Seleccione Descargar paquete de incorporación y guarde el archivo .zip.

  5. Instale el paquete de instalación mediante cualquiera de las opciones para instalar Microsoft Defender Antivirus. La instalación requiere permisos administrativos.

Importante

Un script de incorporación local es adecuado para una prueba de concepto, pero no debe usarse para la implementación de producción. Para una implementación de producción, se recomienda usar directiva de grupo o Configuration Manager de punto de conexión de Microsoft.

PASO 2: Aplicar el paquete de instalación e incorporación

En este paso, instalará los componentes de prevención y detección necesarios antes de incorporar el dispositivo al entorno de Microsoft Defender para punto de conexión nube, para preparar la máquina para la incorporación. Asegúrese de que se cumplen todos los requisitos previos .

Nota:

Microsoft Defender Antivirus se instalará y estará activo a menos que lo establezca en modo pasivo.

Opciones para instalar los paquetes de Microsoft Defender para punto de conexión

En la sección anterior, descargó un paquete de instalación. El paquete de instalación contiene el instalador para todos los componentes de Microsoft Defender para punto de conexión.

Puede usar cualquiera de las siguientes opciones para instalar el agente:

Instalación de Microsoft Defender Para punto de conexión mediante la línea de comandos

Use el paquete de instalación del paso anterior para instalar Microsoft Defender para punto de conexión.

Ejecute el siguiente comando para instalar Microsoft Defender para punto de conexión:

Msiexec /i md4ws.msi /quiet

Para desinstalarlo, asegúrese de que la máquina se despega primero mediante el script de offboarding adecuado. A continuación, use Panel de control > Programas > y características para realizar la desinstalación.

Como alternativa, ejecute el siguiente comando de desinstalación para desinstalar Microsoft Defender para punto de conexión:

Msiexec /x md4ws.msi /quiet

Debe usar el mismo paquete que usó para la instalación para que el comando anterior se realice correctamente.

El /quiet modificador suprime todas las notificaciones.

Nota:

Microsoft Defender Antivirus no entra automáticamente en modo pasivo. Puede optar por establecer Microsoft Defender Antivirus para que se ejecute en modo pasivo si ejecuta una solución antivirus o antimalware que no es de Microsoft. En el caso de las instalaciones de línea de comandos, la opción FORCEPASSIVEMODE=1 establece inmediatamente el componente Microsoft Defender Antivirus en modo pasivo para evitar interferencias. A continuación, para asegurarse de que Antivirus de Defender permanece en modo pasivo después de incorporarse para admitir funcionalidades como EDR Block, establezca la clave del Registro "ForceDefenderPassiveMode".

La compatibilidad con Windows Server proporciona información más detallada sobre las actividades del servidor, la cobertura para la detección de ataques de kernel y memoria, y habilita las acciones de respuesta.

Instalación de Microsoft Defender para punto de conexión mediante un script

Puede usar el script del asistente del instalador para ayudar a automatizar la instalación, desinstalación e incorporación.

Nota:

El script de instalación está firmado. Cualquier modificación en el script invalidará la firma. Al descargar el script desde GitHub, el enfoque recomendado para evitar modificaciones accidentales consiste en descargar los archivos de origen como un archivo zip y, a continuación, extraerlo para obtener el archivo install.ps1 (en la página principal código, haga clic en el menú desplegable Código y seleccione "Descargar ZIP").

Este script se puede usar en varios escenarios, incluidos los que se describen en Escenarios de migración del servidor de la solución de Microsoft Defender para punto de conexión anterior basada en MMA y para la implementación mediante directiva de grupo como se describe a continuación.

Aplicar los paquetes de instalación e incorporación de Microsoft Defender para punto de conexión mediante la directiva de grupo
  1. Cree una directiva de grupo:
    Abra la consola de administración de directiva de grupo (GPMC), haga clic con el botón derecho en directiva de grupo Objetos que desea configurar y seleccione Nuevo. Escriba el nombre del nuevo GPO en el cuadro de diálogo que se muestra y seleccione Aceptar.

  2. Abra la consola de administración de directiva de grupo (GPMC), haga clic con el botón derecho en el objeto de directiva de grupo (GPO) que desea configurar y seleccione Editar.

  3. En el Editor administración de directiva de grupo, vaya a Configuración del equipo, Preferencias y, a continuación, Configuración del panel de control.

  4. Haga clic con el botón derecho en Tareas programadas, seleccione Nuevo y, a continuación, haga clic en Tarea inmediata (al menos Windows 7).

  5. En la ventana Tarea que se abre, vaya a la pestaña General . En Opciones de seguridad , seleccione Cambiar usuario o grupo y escriba SYSTEM y, a continuación, seleccione Comprobar nombres y, a continuación, Aceptar. NT AUTHORITY\SYSTEM aparece como la cuenta de usuario como se ejecutará la tarea.

  6. Seleccione Ejecutar si el usuario ha iniciado sesión o no y active la casilla Ejecutar con los privilegios más altos .

  7. En el campo Nombre, escriba un nombre adecuado para la tarea programada (por ejemplo, Implementación de Defender para punto de conexión).

  8. Vaya a la pestaña Acciones y seleccione Nuevo... Asegúrese de que Iniciar un programa está seleccionado en el campo Acción . El script del instalador controla la instalación y realiza inmediatamente el paso de incorporación una vez completada la instalación. Seleccione C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe proporcione los argumentos:

     -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd
    

    Nota:

    La configuración de directiva de ejecución recomendada es Allsigned. Esto requiere importar el certificado de firma del script en el almacén publicadores de confianza del equipo local si el script se ejecuta como SYSTEM en el punto de conexión.

    Reemplace \\servername-or-dfs-space\share-name por la ruta de acceso UNC mediante el nombre de dominio completo (FQDN) del servidor de archivos del archivo install.ps1 compartido. El paquete del instalador md4ws.msi debe colocarse en el mismo directorio. Asegúrese de que los permisos de la ruta de acceso UNC permiten el acceso de escritura a la cuenta de equipo que instala el paquete para admitir la creación de archivos de registro. Si desea deshabilitar la creación de archivos de registro (no recomendados), puede usar los parámetros -noETL -noMSILog.

    Para escenarios en los que quiera que Microsoft Defender Antivirus coexista con soluciones antimalware que no son de Microsoft, agregue el parámetro $Passive para establecer el modo pasivo durante la instalación.

  9. Seleccione Aceptar y cierre las ventanas de GPMC abiertas.

  10. Para vincular el GPO a una unidad organizativa (OU), haga clic con el botón derecho y seleccione Vincular un GPO existente. En el cuadro de diálogo que se muestra, seleccione el objeto directiva de grupo que desea vincular. Seleccione Aceptar.

Para obtener más opciones de configuración, vea Configurar opciones de recopilación de ejemplo y Otras opciones de configuración recomendadas.

PASO 3: Completar los pasos de incorporación

Los pasos siguientes solo son aplicables si usa una solución antimalware de terceros. Tendrá que aplicar la siguiente configuración Microsoft Defender modo pasivo Antivirus. Compruebe que se ha configurado correctamente:

  1. Establezca la siguiente entrada del Registro:

    • Camino: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • Nombre: ForceDefenderPassiveMode
    • Tipo: REG_DWORD
    • Valor: 1

    Resultado de la comprobación del modo pasivo

Problemas conocidos y limitaciones en el nuevo paquete de soluciones unificado para Windows Server 2012 R2 y 2016

Importante

Descargue siempre el paquete del instalador más reciente del portal de Microsoft Defender (https://security.microsoft.com) antes de realizar una nueva instalación y asegúrese de que se cumplen los requisitos previos. Después de la instalación, asegúrese de actualizar periódicamente mediante las actualizaciones de componentes descritas en la sección Actualizar paquetes para Microsoft Defender para punto de conexión en Windows Server 2012 R2 y 2016.

  • Una actualización del sistema operativo puede presentar un problema de instalación en máquinas con discos más lentos debido a un tiempo de espera con la instalación del servicio. Se produce un error en la instalación con el mensaje "No se encontró c:\archivos de programa\windows defender\mpasdesc.dll, - 310 WinDefend". Use el paquete de instalación más reciente y el script deinstall.ps1 más reciente para ayudar a borrar la instalación con errores si es necesario.
  • Hemos identificado un problema con la conectividad de Windows Server 2012 R2 a la nube cuando se usa TelemetryProxyServer estático y no se puede acceder a las direcciones URL de la lista de revocación de certificados (CRL) desde el contexto de la cuenta system. Asegúrese de que el sensor EDR se actualiza a la versión 10.8210.* o posterior (mediante KB5005292) para resolver el problema. Como alternativa, use una opción de proxy diferente ("todo el sistema") que proporcione dicha conectividad o configure el mismo proxy mediante la configuración de WinInet en el contexto de la cuenta SYSTEM.
  • En Windows Server 2012 R2, no hay ninguna interfaz de usuario para Microsoft Defender Antivirus. Además, la interfaz de usuario en Windows Server 2016 solo permite operaciones básicas. Para realizar operaciones en un dispositivo localmente, consulte Administración de Microsoft Defender para punto de conexión con PowerShell, WMI y MPCmdRun.exe. Como resultado, es posible que las características que dependen específicamente de la interacción del usuario, como dónde se solicita al usuario que tome una decisión o realice una tarea específica, no funcionen según lo esperado. Se recomienda deshabilitar o no habilitar la interfaz de usuario ni requerir la interacción del usuario en cualquier servidor administrado, ya que puede afectar a la funcionalidad de protección.
  • No todas las reglas de reducción de superficie expuesta a ataques son aplicables a todos los sistemas operativos. Consulta Reglas de reducción de superficie expuesta a ataques.
  • No se admiten las actualizaciones del sistema operativo. Después, desinstale antes de actualizar. El paquete del instalador solo se puede usar para actualizar las instalaciones que aún no se han actualizado con nuevos paquetes de actualización de la plataforma antimalware o del sensor EDR.
  • Las exclusiones automáticas de los roles de servidor no se admiten en Windows Server 2012 R2; sin embargo, las exclusiones integradas para los archivos del sistema operativo son. Para obtener más información sobre cómo agregar exclusiones, consulta Configurar exclusiones de antivirus de Microsoft Defender en Windows Server.
  • Para implementar e incorporar automáticamente la nueva solución mediante Microsoft Endpoint Configuration Manager (MECM), debe estar en la versión 2207 o posterior. Todavía puede configurar e implementar con la versión 2107 con el paquete acumulativo de revisiones, pero esto requiere pasos de implementación adicionales. Consulte Escenarios de migración Configuration Manager de punto de conexión de Microsoft para obtener más información.

Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019 y Windows Server 2022

Descargar paquete

  1. En Microsoft Defender XDR, vaya a Configuración > Puntos de conexión > Administración de dispositivos > Incorporación.

  2. Seleccione Windows Server 1803 y 2019.

  3. Seleccione Descargar paquete. Guárdelo como WindowsDefenderATPOnboardingPackage.zip.

  4. Siga los pasos proporcionados en la sección Completar los pasos de incorporación .

Comprobación de la incorporación y la instalación

Compruebe que Microsoft Defender Antivirus y Microsoft Defender para punto de conexión están en ejecución.

Ejecución de una prueba de detección para comprobar la incorporación

Después de incorporar el dispositivo, puede optar por ejecutar una prueba de detección para comprobar que un dispositivo está incorporado correctamente al servicio. Para obtener más información, consulte Ejecución de una prueba de detección en un dispositivo Microsoft Defender para punto de conexión recién incorporado.

Nota:

No es necesario ejecutar Microsoft Defender Antivirus, pero se recomienda. Si otro producto de proveedor de antivirus es la solución de endpoint protection principal, puede ejecutar Antivirus de Defender en modo pasivo. Solo puede confirmar que el modo pasivo está activado después de comprobar que Microsoft Defender para punto de conexión sensor (SENSE) se está ejecutando.

  1. Ejecute el siguiente comando para comprobar que Microsoft Defender Antivirus está instalado:

    Nota:

    Este paso de comprobación solo es necesario si usa Microsoft Defender Antivirus como solución antimalware activa.

    sc.exe query Windefend
    

    Si el resultado es "El servicio especificado no existe como un servicio instalado", deberá instalar Microsoft Defender Antivirus.

    Para obtener información sobre cómo usar directiva de grupo para configurar y administrar Microsoft Defender Antivirus en los servidores windows, consulte Uso de directiva de grupo configuración para configurar y administrar Microsoft Defender Antivirus.

  2. Ejecute el siguiente comando para comprobar que Microsoft Defender para punto de conexión se está ejecutando:

    sc.exe query sense
    

    El resultado debe mostrar que se está ejecutando. Si tiene problemas con la incorporación, consulte Solución de problemas de incorporación.

Ejecutar una prueba de detección

Siga los pasos descritos en Ejecutar una prueba de detección en un dispositivo recién incorporado para comprobar que el servidor notifica a Defender para el servicio de punto de conexión.

Pasos siguientes

Después de incorporar correctamente los dispositivos al servicio, deberá configurar los componentes individuales de Microsoft Defender para punto de conexión. Siga Configuración de las funcionalidades que se guiarán para habilitar los distintos componentes.

Servidores Windows fuera del panel

Puede desconectar Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019 y la edición Windows Server 2019 Core en el mismo método disponible para Windows 10 dispositivos cliente.

Después del offboarding, puede continuar con la desinstalación del paquete de solución unificado en Windows Server 2012 R2 y Windows Server 2016.

Para otras versiones de Windows Server, tiene dos opciones para desconectar servidores Windows desde el servicio:

  • Desinstalación del agente mma
  • Quitar la configuración del área de trabajo de Defender para punto de conexión

Nota:

Estas instrucciones de eliminación para otras versiones de Windows Server también se aplican si ejecuta la Microsoft Defender para punto de conexión anterior para Windows Server 2016 y Windows Server 2012 R2 que requiere el MMA. Las instrucciones para migrar a la nueva solución unificada se encuentran en escenarios de migración del servidor en Microsoft Defender para punto de conexión.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.