Windows-laitteiden käyttöönotto ryhmäkäytäntöä käyttäen

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Koskee seuraavia:

• Ryhmäkäytäntö
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Jotta voit ottaa paketin käyttöön ryhmäkäytäntö (GP) -päivityksillä, sinun on oltava Windows Server 2008 R2:ssa tai uudemmassa.

Windows Server 2019:ssä ja Windows Server 2022:ssa sinun on ehkä korvattava NT AUTHORITY\Well-Known-System-Account kohteella NT AUTHORITY\SYSTEM xml-tiedostolla, jonka ryhmäkäytäntö asetus luo.

Huomautus

Jos käytät Windows Server 2012 R2:n ja 2016:n uutta, yhdistettyä Microsoft Defender for Endpoint ratkaisua, varmista, että käytät keskussäilön uusimpia ADMX-tiedostoja, jotta pääset oikeiden Microsoft Defender for Endpoint käytäntöasetusten käyttöön. Katso artikkeli Windowsin ryhmäkäytäntö hallintamallien keskitetyn säilön luominen ja hallinta sekä Windows 10 kanssa käytettävien tiedostojen lataaminen.

Katso kohdasta Tunnista Defender päätepistearkkitehtuurille ja käyttöönottotavalle - erilaisia polkuja Defender for Endpointin käyttöönotossa.

1. Avaa GP-määrityspakettitiedosto (WindowsDefenderATPOnboardingPackage.zip), jonka latasit ohjatusta palvelun käyttöönotosta. Voit hankkia paketin myös Microsoft Defender-portaalista:

   1. Valitse siirtymisruudussa Asetukset>Päätepisteet>Laitteiden hallinnan>perehdytys.

   2. Valitse käyttöjärjestelmä.

   3. Valitse Käyttöönottomenetelmä-kentässäRyhmäkäytäntö.

   4. Valitse Lataa paketti ja tallenna .zip tiedosto.

2. Pura .zip-tiedoston sisältö jaettuun, vain luku -sijaintiin, jota laite voi käyttää. Sinulla pitäisi olla kansio nimeltä OptionalParamsPolicy , ja tiedosto WindowsDefenderATPOnboardingScript.cmd.

3. Jos haluat luoda uuden ryhmäkäytäntöobjektin, avaa ryhmäkäytäntö Management Console (GPMC), napsauta hiiren kakkospainikkeella ryhmäkäytäntö Objektit, jotka haluat määrittää, ja valitse Uusi. Kirjoita uuden ryhmäkäytäntöobjektin nimi näyttöön avautuvaan valintaikkunaan ja valitse OK.

4. Avaa ryhmäkäytäntö management console (GPMC), napsauta hiiren kakkospainikkeella ryhmäkäytäntö Object (GPO), jonka haluat määrittää, ja valitse Muokkaa.

5. Siirry ryhmäkäytäntö Management -Kirjoitusavustaja kohtaan Tietokoneen määritykset, sitten Asetukset ja sitten Ohjauspaneelin asetukset.

6. Napsauta hiiren kakkospainikkeella Ajoitetut tehtävät, valitse Uusi ja valitse sitten Välitön tehtävä (vähintään Windows 7)..

7. Siirry avautuvassa Tehtävä-ikkunassa Yleiset-välilehteen. Valitse Suojausasetukset-kohdassaMuuta käyttäjää tai ryhmää ja kirjoita SYSTEM ja valitse sitten Tarkista nimet ja sitten OK. NT AUTHORITY\SYSTEM näkyy käyttäjätilinä, jossa tehtävä suoritetaan.

8. Valitse Suorita, onko käyttäjä kirjautunut sisään vai ei , ja valitse Suorita suurimmilla oikeuksilla -valintaruutu.

9. Kirjoita Nimi-kenttään ajoitetun tehtävän nimi (esimerkiksi Defender for Endpoint Deployment).

10. Siirry Toiminnot-välilehteen ja valitse Uusi... Varmista, että Käynnistä ohjelma on valittuna Toiminto-kentässä. Kirjoita jaetun WindowsDefenderATPOnboardingScript.cmd tiedoston UNC-polku käyttämällä tiedostopalvelimen täydellistä toimialuenimeä (FQDN).

11. Valitse OK ja sulje kaikki avoimet GPMC-ikkunat.

12. Linkitä ryhmäkäytäntöobjekti organisaatioyksikköön napsauttamalla hiiren kakkospainikkeella ja valitsemalla Linkitä aiemmin luotu ryhmäkäytäntöobjekti. Valitse näyttöön avautuvasta valintaikkunasta ryhmäkäytäntö Objekti, jonka haluat linkittää. Napsauta OK.

Vihje

Kun laite on otettu käyttöön, voit suorittaa tunnistustestin varmistaaksesi, että laite on otettu oikein käyttöön palvelussa. Lisätietoja on kohdassa Tunnistustestin suorittaminen juuri perehdytetyssä Defender for Endpoint -laitteessa.

Muita Defender for Endpoint -määritysasetuksia

Voit ilmoittaa jokaiselle laitteelle, voidaanko laitteesta kerätä näytteitä, kun pyyntö tehdään Microsoft Defender XDR lähettämään tiedosto syväanalyysia varten.

Ryhmäkäytäntö (GP) avulla voit määrittää asetuksia, kuten syväanalyysiominaisuudessa käytetyn näytteenjaon asetukset.

Määritä mallikokoelman asetukset

1. Kopioi seuraavat tiedostot määrityspaketista GP-hallintalaitteellasi:

   • Kopioi AtpConfiguration.admx tiedostoon C:\Windows\PolicyDefinitions

   • Kopioi AtpConfiguration.adml tiedostoon C:\Windows\PolicyDefinitions\en-US

   Jos käytät keskitettyä säilöä ryhmäkäytäntö hallintamalleille, kopioi seuraavat tiedostot määrityspaketista:

   • Kopioi AtpConfiguration.admx kohteeseen \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions

   • Kopioi AtpConfiguration.adml kohteeseen \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US

2. Avaa ryhmäkäytäntö hallintakonsoli, napsauta hiiren kakkospainikkeella määritettävää ryhmäkäytäntöobjektia ja valitse Muokkaa.

3. Siirry ryhmäkäytäntö Management -Kirjoitusavustaja kohtaan Tietokoneen määritykset.

4. Valitse Käytännöt ja sitten Hallintamallit.

5. Valitse Windowsin osat ja Windows Defender ATP.

6. Valitse, haluatko ottaa käyttöön tai poistaa käytöstä mallien jakamisen laitteissasi.

Huomautus

Jos et määritä arvoa, oletusarvo on ottaa mallikokoelma käyttöön.

Muut suositellut määritysasetukset

Päivitä päätepisteiden suojausmääritykset

Kun olet määrittänut käyttöönottokomentosarjan, jatka saman ryhmäkäytännön muokkaamista, jotta voit lisätä päätepisteiden suojausmäärityksiä. Suorita ryhmäkäytäntöjen muokkauksia järjestelmässä, jossa on käytössä Windows 10, Server 2019, Windows 11 tai Windows Server 2022, varmistaaksesi, että sinulla on kaikki tarvittavat Microsoft Defender virustentorjuntaominaisuudet. Saatat joutua sulkemaan ryhmäkäytäntöobjektin ja avaamaan sen uudelleen, jotta voit rekisteröidä Defender ATP -määritysasetukset.

Kaikki käytännöt sijaitsevat kohdassa Computer Configuration\Policies\Administrative Templates.

Käytännön sijainti: \Windowsin osat\Windows Defender ATP

Politiikan	Asetus
Ota käyttöön\Poista mallikokoelma käytöstä	Käytössä – Ota mallikokoelma käyttöön koneissa -valintaruutu

Käytännön sijainti: \Windowsin osat\Microsoft Defender virustentorjunta

Politiikan	Asetus
Tunnistaminen mahdollisesti ei-toivotuille sovelluksille	Käytössä, Lohko

Käytännön sijainti: \Windowsin osat\Microsoft Defender virustentorjunta\MAPS

Politiikan	Asetus
Liity Microsoft MAPSIIN	Käytössä, Lisäkartat
Lähetä tiedostonäytteet, kun lisäanalyyseja tarvitaan	Käytössä, Lähetä turvalliset mallit

Käytännön sijainti: \Windowsin osat\Microsoft Defender virustentorjunta\Reaaliaikainen suojaus

Politiikan	Asetus
Poista käytöstä reaaliaikainen suojaus	Poistettu käytöstä
Ota käyttöön toiminnan valvonta	Käytössä
Tarkista kaikki ladatut tiedostot ja liitteet	Käytössä
Valvo tietokoneen tiedosto- ja ohjelmatoimintoja	Käytössä

Käytännön sijainti: \Windowsin osat\Microsoft Defender virustentorjunta\Tarkistus

Nämä asetukset määrittävät päätepisteen säännöllisiä skannauksia. Suosittelemme viikoittaisen pikatarkistusta ja suorituskyvyn sallimista.

Politiikan	Asetus
Tarkista uusimmat virusten ja vakoiluohjelmien suojaustiedot ennen ajoitetun tarkistuksen suorittamista	Käytössä

Käytännön sijainti: \Windowsin osat\Microsoft Defender antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction

Hae nykyinen luettelo hyökkäysalueen vähentämissääntöjen GUID-tunnuksista hyökkäyspinnan vähentämissääntöjen käyttöönotosta Vaihe 3: Ota KÄYTTÖÖN ASR-säännöt. Lisätietoja sääntöjen mukaan on kohdassa Hyökkäyspinnan pienentämissääntöjen viite

1. Avaa Määritä hyökkäyspinnan vähentämiskäytäntö .

2. Valitse Käytössä.

3. Valitse Näytä-painike .

4. Lisää kukin GUID-tunnus Arvon nimi - kenttään arvolla 2.

   Tämä määrittää kunkin vain valvontaa varten.

   

Politiikan	Sijainti	Asetus
Määritä valvotun kansion käyttö	\Windowsin osat\Microsoft Defender antivirus\Microsoft Defender Exploit Guard\Controlled Folder Access	Käytössä, Valvontatila

Vahvista perehdytys suorittamalla tunnistustesti

Kun laite on otettu käyttöön, voit suorittaa tunnistustestin varmistaaksesi, että laite on otettu oikein käyttöön palvelussa. Lisätietoja on artikkelissa Tunnistustestin suorittaminen äskettäin käyttöön tulleessa Microsoft Defender for Endpoint laitteessa.

Taulun ulkopuoliset laitteet, joissa on ryhmäkäytäntö

Tietoturvasyistä Offboard-laitteisiin käytetty paketti vanhenee 30 päivää lataamispäivämäärän jälkeen. Laitteeseen lähetetyt vanhentuneet käytöstä poistetut paketit hylätään. Kun lataat perehdytyspakettia, saat ilmoituksen pakettien vanhentumispäivästä, ja se sisällytetään myös paketin nimeen.

Huomautus

Perehdyttämis- ja käyttöönottokäytäntöjä ei saa ottaa käyttöön samassa laitteessa samanaikaisesti, muuten tämä aiheuttaa arvaamattomia törmäyksiä.

1. Hanki perehdytyspaketti Microsoft Defender portaalista:

   1. Valitse siirtymisruudussa Asetukset>Päätepisteet>Laitteiden hallinta>Käytöstä poistaminen.

   2. Valitse käyttöjärjestelmä.

   3. Valitse Käyttöönottomenetelmä-kentässäRyhmäkäytäntö.

   4. Valitse Lataa paketti ja tallenna .zip tiedosto.

2. Pura .zip-tiedoston sisältö jaettuun, vain luku -sijaintiin, jota laite voi käyttää. Sinulla pitäisi olla tiedosto nimeltä WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

3. Avaa ryhmäkäytäntö management console (GPMC), napsauta hiiren kakkospainikkeella ryhmäkäytäntö Object (GPO), jonka haluat määrittää, ja valitse Muokkaa.

4. Valitse ryhmäkäytäntö-hallinta-KirjoitusavustajaTietokoneasetukset, sitten Asetukset ja sitten Ohjauspaneelin asetukset.

5. Napsauta hiiren kakkospainikkeella Ajoitetut tehtävät, valitse Uusi ja valitse sitten Välitön tehtävä.

6. Siirry avautuvassa Tehtävä-ikkunassa Yleiset-välilehteen Kohdassa Suojausasetukset ja valitse Muuta käyttäjää tai ryhmää, kirjoita SYSTEM, valitse Tarkista nimet ja sitten OK. NT AUTHORITY\SYSTEM näkyy käyttäjätilinä, jolla tehtävä suoritetaan.

7. Valitse Suorita, onko käyttäjä kirjautunut sisään vai ei , ja valitse Suorita suurimmilla oikeuksilla -valintaruutu.

8. Kirjoita Nimi-kenttään ajoitetun tehtävän nimi (esimerkiksi Defender for Endpoint Deployment).

9. Siirry Toiminnot-välilehteen ja valitse Uusi.... Varmista, että Käynnistä ohjelma on valittuna Toiminto-kentässä. Kirjoita jaetun WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd tiedoston UNC-polku käyttämällä tiedostopalvelimen täydellistä toimialuenimeä (FQDN).

10. Valitse OK ja sulje kaikki avoimet GPMC-ikkunat.

Tärkeää

Käytöstä poistaminen aiheuttaa sen, että laite lopettaa tunnistintietojen lähettämisen portaaliin, mutta tiedot laitteesta, mukaan lukien viittaukset sen sisältämään hälytykseen, säilytetään enintään 6 kuukauden ajan.

Laitteen kokoonpanon valvonta

Kun käytössä on ryhmäkäytäntö, käytäntöjen käyttöönottoa ei voi valvoa laitteissa. Valvonta voidaan tehdä suoraan portaalissa tai erilaisilla käyttöönottotyökaluilla.

Laitteiden valvonta portaalin avulla

1. Siirry Microsoft Defender portaaliin.
2. Valitse Laitteet-luettelo.
3. Varmista, että laitteet näkyvät.

Huomautus

Laitteiden näyttäminen Laitteet-luettelossa voi kestää useita päiviä. Tähän sisältyy aika, joka käytännöillä kestää jakaa laitteelle, aika, joka kuluu ennen kuin käyttäjä kirjautuu sisään, ja aika, joka päätepisteellä kestää aloittaa raportointi.

Defender AV -käytäntöjen määrittäminen

Create uuden ryhmäkäytäntö tai ryhmittele nämä asetukset muiden käytäntöjen kanssa. Tämä riippuu asiakkaan ympäristöstä ja siitä, miten he haluavat ottaa palvelun käyttöön kohdistamalla sen eri organisaatioyksiköihin.

1. Kun olet valinnut yleislääkärin tai luonut uuden, muokkaa yleislääkäriä.

2. Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjunta>Reaaliaikainen suojaus.

   

3. Määritä Karanteeni-kansiossa kohteiden poistaminen karanteenikansiosta.

   

   

4. Määritä skannausasetukset Skannaus-kansiossa.

   

Valvo kaikkia tiedostoja reaaliaikaisesti suojauksessa

Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjunta>Reaaliaikainen suojaus.

SmartScreen Windows Defender asetusten määrittäminen

1. Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Windows Defender SmartScreen>Explorer.

   

2. Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Windows Defender SmartScreen>Microsoft Edge.

   

Määritä mahdollisesti ei-toivotut sovellukset

Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defender virustentorjunta.

Pilvipalvelujen toimituksen suojauksen määrittäminen ja mallien lähettäminen automaattisesti

Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defender Virustentorjunta>MAPS.

Huomautus

Lähetä kaikki mallit -vaihtoehto tarjoaa eniten analyyseja binaaritiedostoista/ komentosarjoista/ohjeista, mikä parantaa suojausasennon. Lähetä turvalliset mallit -asetus rajoittaa analysoitavien binaaritiedostojen, komentosarjojen tai asiakirjojen tyyppiä ja pienentää suojausasentoa.

Lisätietoja on artikkelissa Pilvisuojauksen ottaminen käyttöön Microsoft Defender virustentorjuntaohjelmassa sekä pilvisuojauksen ja mallien lähettäminen Microsoft Defender virustentorjuntaohjelmassa.

Tarkista allekirjoituksen päivitys

Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjunta>Suojaustiedot Päivitykset.

Pilvipalvelun toimituksen aikakatkaisu- ja suojaustason määrittäminen

Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defender Virustentorjunta>MpEngine. Kun määrität pilvisuojauksen tasokäytännöksi Oletus Microsoft Defender virustentorjuntaohjelman estokäytännön, tämä poistaa käytännön käytöstä. Tätä tarvitaan suojaustason määrittämiseen Windowsin oletusarvoon.

Aiheeseen liittyvät artikkelit

• Windows-laitteiden käyttöönotto Microsoft Endpoint Configuration Manageria käyttäen
• Windows-laitteiden käyttöönotto mobiililaitteiden hallintatyökalujen avulla
• Windows-laitteiden käyttöönotto paikallista komentosarjaa käyttäen
• Tilapäisten virtuaalityöpöytäinfrastruktuurin (VDI) laitteiden käyttöönotto
• Tunnistustestin suorittaminen äskettäin käyttöönotetuissa Microsoft Defender for Endpoint laitteissa
• Microsoft Defender for Endpoint perehdytysongelmien vianmääritys

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.