Edellisten Windows-versioiden käyttöönotto

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Käyttöympäristöt

• Windows 7 SP1 Enterprise
• Windows 7 SP1 Pro
• Windows 8.1 Pro
• Windows 8.1. Enterprise
• Windows Server 2008 R2 SP1

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Defender for Endpoint laajentaa tuen koskemaan myös alatason käyttöjärjestelmiä, tarjoten kehittyneitä hyökkäyksen havaitsemis- ja tutkintaominaisuuksia tuetuille Windows-versioille.

Jotta voit lisätä Windows-asiakasohjelman alatason päätepisteet Defender for Endpointiin, sinun on tehtävä seuraavat asiat:

• System Center Endpoint Protection asiakkaiden määrittäminen ja päivittäminen
• Asenna ja määritä Microsoftin valvonta-agentti (MMA) raportoimaan tunnistimen tiedot

Windows Server 2008 R2 SP1:ssä voit halutessasi perehdyttää Microsoft Defender cloudille.

Huomautus

Defender for Endpoint standalone server -käyttöoikeus vaaditaan solmukohtaisena, jotta Windows-palvelin voidaan ottaa käyttöön Microsoftin valvonta-agentin (vaihtoehto 1) kautta. Vaihtoehtoisesti palvelinkäyttöoikeuden Microsoft Defender vaaditaan solmukohtaisesti, jotta Windows-palvelin voidaan ottaa käyttöön Microsoft Defender for Cloudin kautta (vaihtoehto 2), katso tuetut ominaisuudet, jotka ovat käytettävissä Microsoft Defender for Cloudissa.

Vihje

Kun laite on otettu käyttöön, voit suorittaa tunnistustestin varmistaaksesi, että se on otettu oikein käyttöön palvelussa. Lisätietoja on kohdassa Tunnistustestin suorittaminen juuri perehdytetyssä Defender for Endpoint -päätepisteessä.

System Center Endpoint Protection asiakkaiden määrittäminen ja päivittäminen

Defender for Endpoint integroituu System Center Endpoint Protection kanssa, mikä tarjoaa näkyvyyden haittaohjelmien havaitsemiseen ja lopettaa hyökkäyksen leviämisen organisaatiossasi kieltämällä mahdollisesti haitallisia tiedostoja tai epäiltyjä haittaohjelmia.

Tämän integroinnin käyttöönotto edellyttää seuraavia vaiheita:

• Asenna tammikuun 2017 haittaohjelmien torjuntaympäristöpäivitys Endpoint Protection -asiakkaille
• Scep-asiakasohjelman pilvisuojauspalvelun jäsenyyden määrittäminen lisäasetukseen
• Määritä verkko sallimaan yhteydet virustentorjuntaohjelman Microsoft Defender pilvipalveluun. Lisätietoja on artikkelissa Virustentorjuntaohjelman Microsoft Defender yhteyksien määrittäminen ja vahvistaminen

Microsoftin valvonta-agentin (MMA) asentaminen ja määrittäminen

Alkuvalmistelut

Tarkista seuraavat tiedot, jotta voit tarkistaa järjestelmän vähimmäisvaatimukset:

• Asenna helmikuun 2018 kuukausittaisen päivityskoonti - suora latauslinkki Windows Update luettelosta on saatavilla täällä

• Asenna 12.3.2019 (tai uudempi) Servicing Stack -päivitys – suora latauslinkki Windows Update luettelosta löytyy täältä

• Asenna SHA-2-koodin allekirjoituksen tukipäivitys – suora latauslinkki Windows Update luettelo on saatavilla täältä

  Huomautus

  Käytettävissä vain Windows Server 2008 R2:ssa, Windows 7 SP1 Enterprisessa ja Windows 7 SP1 Prossa.

• Asenna päivitys asiakaskokemukseen ja diagnostiseen telemetriaan

• Asenna Microsoft .Net Framework 4.5.2 tai uudempi

  Huomautus

  .NET 4.5:n asentaminen saattaa edellyttää tietokoneen käynnistämistä uudelleen asennuksen jälkeen.

• Täytä Azure Log Analytics -agentin järjestelmävaatimukset. Lisätietoja on artikkelissa Tietojen kerääminen ympäristösi tietokoneista Log Analyticsin avulla

Asennusvaiheet

1. Lataa agentin asennustiedosto: Windowsin 64-bittinen agentti tai Windows 32-bittinen agentti.

   Huomautus

   MMA-agentin SHA-1-tuen vanhentumisen vuoksi MMA-agentin on oltava versio 10.20.18029 tai uudempi.

2. Hanki työtilan tunnus:

   • Valitse Defender for Endpoint -siirtymisruudussa Asetukset > Laitteen hallinta > Perehdytys
   • Valitse käyttöjärjestelmä
   • Kopioi työtilan tunnus ja työtilan avain

3. Voit asentaa agentin valitsemalla työtilan tunnuksen ja työtilan avaimen avulla jonkin seuraavista asennustavoista:

   • Asenna agentti manuaalisesti asennuksen avulla.

     Valitse Agent setup options (Agent Setup Options) -sivulla Yhdistä agentti Azure Log Analyticsiin (OMS)

   • Asenna agentti komentorivin avulla.

   • Määritä agentti komentosarjan avulla.

   Huomautus

   Jos olet Yhdysvaltain valtionhallinnon asiakas, valitse Azure Cloud -kohdassa "Azure US Government", jos käytät ohjattua määritystoimintoa tai komentoriviä tai komentosarjaa – määritä OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE-parametrin arvoksi 1.

4. Jos käytät välityspalvelinta Internet-yhteyden muodostamiseen, katso Välityspalvelimen ja Internet-yhteyden asetusten määrittäminen -osio.

Kun olet valmis, sinun pitäisi nähdä perehdytyt päätepisteet portaalissa tunnin kuluessa.

Määritä välityspalvelin ja Internet-yhteysasetukset

Jos palvelinten on käytettävä välityspalvelinta vaihtaakseen tietoja Defender for Endpointin kanssa, käytä jotain seuraavista tavoista määrittääksesi mma:n käyttämään välityspalvelinta:

• Määritä mma käyttämään välityspalvelinta

• Määritä Windows käyttämään välityspalvelinta kaikissa yhteyksissä

Jos käytössä on välityspalvelin tai palomuuri, varmista, että palvelimet voivat käyttää kaikkia Microsoft Defender for Endpoint palvelun URL-osoitteita suoraan ja ilman SSL-sieppausta. Lisätietoja on artikkelissa Microsoft Defender for Endpoint palvelun URL-osoitteiden käytön salliminen. SSL-sieppauksen käyttö estää järjestelmää kommunikoimasta Defender for Endpoint -palvelun kanssa.

Kun olet valmis, sinun pitäisi nähdä käyttöönotetut Windows-palvelimet portaalissa tunnin kuluessa.

Windows-palvelimien käyttöönotto pilvipalvelujen Microsoft Defender kautta

1. Valitse Microsoft Defender XDR siirtymisruudussa Asetukset>PäätepisteetLaitteiden hallinnan>perehdytys>.

2. Valitse käyttöjärjestelmäksi Windows Server 2008 R2 SP1 .

3. Valitse Microsoft Defender Cloudissa Onboard Servers.

4. Noudata Microsoft Defender for Endpoint with Microsoft Defender for Cloudin käyttöönotto-ohjeita ja Jos käytät Azure ARC:ia, noudata perehdyttämisohjeita artikkelissa Microsoft Defender for Endpoint integroinnin käyttöönotto.

Perehdyttämisvaiheiden suorittamisen jälkeen sinun on määritettävä ja päivitettävä System Center Endpoint Protection asiakasohjelmia.

Huomautus

• Jotta palvelinten käyttöönotto Microsoft Defender kautta toimisi odotetulla tavalla, palvelimella on oltava asianmukainen työtila ja avain määritettynä Microsoftin valvonta-agentin (MMA) asetuksissa.
• Kun asianmukainen pilvihallintapaketti on määritetty, se otetaan käyttöön laitteessa ja tunnistinprosessi (MsSenseS.exe) otetaan käyttöön ja käynnistetään.
• Tämä vaaditaan myös, jos palvelin on määritetty käyttämään OMS-yhdyskäytäväpalvelinta välityspalvelimena.

Tarkista perehdytys

Varmista, että Microsoft Defender virustentorjuntaohjelma ja Microsoft Defender for Endpoint ovat käynnissä.

Huomautus

Virustentorjuntaa Microsoft Defender ei tarvita, mutta sitä suositellaan. Jos toinen virustentorjuntaohjelman toimittaja on ensisijainen päätepisteen suojausratkaisu, voit suorittaa Defenderin virustentorjunta passiivitilassa. Voit vahvistaa, että passiivitila on käytössä, kun olet varmistanut, että Microsoft Defender for Endpoint tunnistin (SENSE) on käynnissä.

Huomautus

Koska virustentorjuntaa Microsoft Defender tuetaan vain Windows 10 ja Windows 11, vaihe 1 ei koske Windows Server 2008 R2 SP1:tä.

1. Tarkista, että Microsoft Defender virustentorjunta on asennettu, suorittamalla seuraava komento:

   sc.exe query Windefend
   

   Jos tulos on 'Määritettyä palvelua ei ole asennettuna palveluna', sinun on asennettava Microsoft Defender virustentorjuntaohjelma. Lisätietoja on Windows 10 kohdassa Microsoft Defender virustentorjunta.

   Lisätietoja ryhmäkäytäntö käyttämisestä Microsoft Defender virustentorjunnan määrittämiseen ja hallintaan Windows-palvelimilla on kohdassa ryhmäkäytäntö asetusten käyttäminen Microsoft Defender virustentorjunnan määrittämiseen ja hallintaan.

Jos perehdytykseen liittyy ongelmia, katso Perehdyttämisen vianmääritys.

Tunnistustestin suorittaminen

Noudata ohjeita kohdassa Tunnistustestin suorittaminen juuri perehdytetyssä laitteessa varmistaaksesi, että palvelin raportoi Defenderille päätepistepalvelua varten.

Perehdyttämisen päätepisteet ilman hallintaratkaisua

Ryhmäkäytäntö käyttäminen

Vaihe 1: Lataa päätepisteen vastaava päivitys.

1. Siirry kohteeseen c:\windows\sysvol\domain\scripts (Vaihto-ohjausobjektia saatetaan tarvita jossakin toimialueen ohjauskoneessa.)

2. Luo kansio nimeltä MMA.

3. Lataa seuraavat ja sijoita ne MMA-kansioon:

   • Asiakaskokemuksen ja diagnostiikkatelemetrian päivitys:
     • Windows Server 2008 R2 x64

   Windows Server 2008 R2 SP1:ssä tarvitaan myös seuraavat päivitykset:

   Helmikuun 2018 kuukausittainen koonti - KB4074598 (Windows Server 2008 R2)

   Microsoft Update -luettelo
   Windows Server 2008 R2 x64:n päivitysten lataaminen

   .NET Framework 3.5.1 (KB315418)
   Windows Server 2008 R2 x64

   Huomautus

   Tässä artikkelissa oletetaan, että käytät x64-pohjaisia palvelimia (MMA-agentti .exe x64 Uusi SHA-2-yhteensopiva versio).

Vaihe 2: Luo tiedostonimi DeployMMA.cmd (muistikirjan avulla) Lisää seuraavat rivit cmd-tiedostoon. Huomaa, että tarvitset TYÖTILAN tunnuksen ja avaimen.

Seuraava komento on esimerkki. Korvaa seuraavat arvot:

• KB – Käytä perehdyttämääsi päätepisteeseen liittyvää kt:ä
• Työtilan tunnus ja AVAIN – Käytä tunnustasi ja avaintasi

@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

ryhmäkäytäntö määritys

Luo uusi ryhmäkäytäntö erityisesti perehdyttämislaitteille, kuten "Microsoft Defender for Endpoint perehdytys".

• Luo ryhmäkäytäntö kansio nimeltä "c:\windows\MMA"

  

  Tämä lisää uuden kansion jokaiseen palvelimeen, jossa otetaan käyttöön ryhmäkäytäntöobjekti (MMA), ja tallennetaan kansioon c:\windows. Tämä sisältää MMA:n asennustiedostot, edellytykset ja asennuskomentosarjan.

• Luo ryhmäkäytäntö Tiedostot-asetus kullekin Net-kirjautumisessa tallennetulle tiedostolle.

  

Se kopioi tiedostot kohteesta DOMAIN\NETLOGON\MMA\filename kohteeseen C:\windows\MMA\filename – joten asennustiedostot ovat paikallisia palvelimessa:

Toista prosessi, mutta luo kohdetason kohdistaminen COMMON-välilehteen, joten tiedosto kopioidaan vain asianmukaiseen käyttöympäristön tai käyttöjärjestelmän versioon vaikutusalueella:

Windows Server 2008 R2:ssa tarvitaan (ja se kopioi vain) seuraavat:

• Windows6.1-KB3080149-x64.msu
• Windows6.1-KB3154518-x64.msu
• Windows6.1-KB4075598-x64.msu

Kun tämä on tehty, sinun on luotava käynnistyskomentosarjakäytäntö:

Tässä suoritettavan tiedoston nimi on c:\windows\MMA\DeployMMA.cmd. Kun palvelin on käynnistetty uudelleen osana käynnistysprosessia, se asentaa päivityksen asiakaskokemuksen ja diagnostiikan telemetriatietojen suorituskykyilmaisimelle ja asentaa sitten MMA-agentin ja määrittää samalla työtilan tunnuksen ja avaimen, ja palvelin otetaan käyttöön.

Voit myös käyttää välitöntä tehtävää deployMMA.cmd suorittamiseen, jos et halua käynnistää kaikkia palvelimia uudelleen.

Tämä voidaan tehdä kahdessa vaiheessa. Luo ensin tiedostot ja kansio GPO:ssa - Anna järjestelmälle aikaa varmistaa, että ryhmäkäytäntöobjekti on käytössä ja että kaikilla palvelimilla on asennustiedostot. Lisää sitten välitön tehtävä. Tämä saavuttaa saman tuloksen ilman uudelleenkäynnistystä.

Koska komentosarjalla on lopetusmenetelmä, eikä sitä suoriteta uudelleen, jos MMA on asennettu, voit myös käyttää päivittäistä ajoitettua tehtävää saman tuloksen saavuttamiseksi. Kuten Configuration Manager yhteensopivuuskäytännössä, se tarkistaa päivittäin, että KKA on läsnä.

Kuten palvelimen käyttöönotto-ohjeissa erityisesti Server 2008 R2:n ympärillä on mainittu, katso alla: Jos kyseessä on Windows Server 2008 R2 SP1, varmista, että täytät seuraavat vaatimukset:

• Asenna helmikuun 2018 kuukausittaisten päivitysten koonti
• Asenna joko .NET Framework 4.5 (tai uudempi) tai KB3154518

Tarkista KB:t ennen Windows Server 2008 R2:n perehdyttämistä. Tämän prosessin avulla voit ottaa kaikki palvelimet käyttöön, jos sinulla ei ole Configuration Manager palvelinten hallintaa.

Offline-päätepisteet

Voit poistaa Windowsin päätepisteet palvelusta kahdella tavalla:

• POISTA MMA-agentin asennus
• Defender for Endpoint -työtilan määrityksen poistaminen

Huomautus

Käytöstä poistaminen aiheuttaa sen, että Windowsin päätepiste lopettaa tunnistintietojen lähettämisen portaaliin, mutta tiedot päätepisteestä, mukaan lukien viittaukset sen sisältämään hälytykseen, säilytetään enintään 6 kuukauden ajan.

POISTA MMA-agentin asennus

Voit poistaa Windowsin päätepisteen käytöstä poistamalla MMA-agentin asennuksen tai irrottamalla sen raportoinnista Defender for Endpoint -työtilaan. Agentin käytöstä poistamisen jälkeen päätepiste ei enää lähetä tunnistintietoja Defenderille päätepisteeseen. Lisätietoja on artikkelissa Agentin poistaminen käytöstä.

Defender for Endpoint -työtilan määrityksen poistaminen

Voit käyttää jompaakumpaa seuraavista menetelmistä:

• Defender for Endpoint -työtilan määrityksen poistaminen MMA-agentista
• Poista määritys suorittamalla PowerShell-komento

Defender for Endpoint -työtilan määrityksen poistaminen MMA-agentista

1. Valitse Microsoftin valvonta-agentin ominaisuuksistaAzure Log Analytics (OMS) -välilehti.

2. Valitse Defender for Endpoint -työtila ja valitse Poista.

   

Poista määritys suorittamalla PowerShell-komento

1. Hae työtilan tunnus:

   1. Valitse siirtymisruudussa Asetukset>Käyttöönotto.
   2. Valitse asianmukainen käyttöjärjestelmä ja hae työtilan tunnus.

2. Avaa laajennettu PowerShell ja suorita seuraava komento. Käytä saamaasi ja korvaavaa työtilatunnusta WorkspaceID:

   $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
   
   # Remove OMS Workspace
   $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
   
   # Reload the configuration and apply changes
   $AgentCfg.ReloadConfiguration()
   

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.