Windows-laitteet, joissa on Configuration Manager

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR
• Microsoft Configuration Manager nykyinen haara
• System Center 2012 R2 Configuration Manager

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Ennakkovaatimukset

• Endpoint Protection Point -sivustojärjestelmän rooli

Tärkeää

Endpoint Protection Point -sivustojärjestelmän rooli on pakollinen, jotta virustentorjunta- ja hyökkäysalueen vähentämiskäytännöt otetaan asianmukaisesti käyttöön kohdennetuissa päätepisteissä. Ilman tätä roolia laitekokoelman päätepisteet eivät saa määritettyjä virustentorjunta- ja hyökkäyspinnan vähentämiskäytäntöjä.

Voit käyttää Configuration Manager Microsoft Defender for Endpoint -palvelun päätepisteisiin.

Voit käyttää taululaitteissa useita eri vaihtoehtoja Configuration Manager avulla:

• System Center -Configuration Manager käyttävät laitteet laivalla
• Vuokraajan liittäminen

Windows Server 2012 R2:ssa ja Windows Server 2016:ssa – perehdyttämisvaiheiden suorittamisen jälkeen sinun on määritettävä ja päivitettävä System Center Endpoint Protection asiakasohjelmat.

Huomautus

Defender for Endpoint ei tue perehdytystä OOBE (Out of-Box Experience) - vaiheen aikana. Varmista, että käyttäjät viimeistelevät OOBE:n Windows-asennuksen tai päivityksen jälkeen.

Huomaa, että Configuration Manager sovellukseen on mahdollista luoda tunnistussääntö, jolla tarkistetaan jatkuvasti, onko laite otettu käyttöön. Sovellus on erityyppinen objekti kuin paketti ja ohjelma. Jos laitetta ei ole vielä otettu käyttöön (OOBE:n odottavan valmistumisen tai muun syyn vuoksi), Configuration Manager yrittää ottaa laitteen uudelleen käyttöön, kunnes sääntö havaitsee tilan muutoksen.

Tämä toiminto voidaan toteuttaa luomalla tunnistussääntö tarkistamalla, onko OnboardingState-rekisteriarvo (tyyppi REG_DWORD) = 1. Tämä rekisteriarvo sijaitsee kohdassa "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". Lisätietoja on kohdassa Tunnistusmenetelmien määrittäminen System Center 2012 R2 Configuration Manager.

Määritä mallikokoelman asetukset

Voit määrittää kullekin laitteelle määritysarvon, joka ilmaisee, voidaanko laitteesta kerätä näytteitä, kun pyyntö tehdään Microsoft Defender XDR lähettää tiedosto syväanalyysia varten.

Huomautus

Nämä määritysasetukset tehdään yleensä Configuration Manager kautta.

Voit määrittää määrityskohteen yhteensopivuussäännön Configuration Manager muuttaaksesi laitteen jakomalliasetusta.

Tämän säännön on oltava korjaava yhteensopivuussäännön määrityskohde, joka määrittää rekisteriavaimen arvon kohdennetuissa laitteissa sen varmistamiseksi, että ne ovat yhteensopivia.

Määritys määritetään seuraavan rekisteriavainmerkinnän kautta:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Jossa Avaintyyppi on D-WORD. Mahdollisia arvoja ovat:

• 0: Ei salli mallien jakamista tästä laitteesta
• 1: Mahdollistaa kaikkien tiedostotyyppien jakamisen tästä laitteesta

Oletusarvo, jos rekisteriavainta ei ole, on 1.

Lisätietoja System Center Configuration Manager Compliancesta on artikkelissa System Center 2012 R2:n yhteensopivuusasetusten esittely Configuration Manager.

Windows-laitteet, joissa on Microsoft Configuration Manager

Kokoelman luominen

Windows-laitteisiin, joissa on Microsoft Configuration Manager, käyttöönotto voi kohdistua olemassa olevaan kokoelmaan tai uusi kokoelma voidaan luoda testausta varten.

Käyttöönotto ryhmäkäytäntö tai manuaalisen menetelmän kaltaisten työkalujen avulla ei asenna järjestelmään agentteja.

Microsoft Configuration Manager konsolissa käyttöönottoprosessi määritetään osana konsolin yhteensopivuusasetuksia.

Järjestelmä, joka vastaanottaa tämän vaaditun määrityksen, ylläpitää kyseistä määritystä niin kauan kuin Configuration Manager asiakas saa tämän käytännön hallintapisteestä.

Voit lisätä päätepisteet Microsoft Configuration Manager avulla seuraavasti:

1. Siirry Microsoft Configuration Manager konsolissa kohtaan Assets and Compliance > Overview > Device Collections.

   

2. Valitse laitekokoelma ja pidä se painettuna (tai napsauta hiiren kakkospainiketta) ja valitse Create Laitekokoelma.

   

3. Anna Nimi ja Rajoita kokoelmaa ja valitse sitten Seuraava.

   

4. Valitse Lisää sääntö ja valitse Kyselysääntö.

   

5. Valitse seuraavaohjatusta suorasta jäsenyyden luomistoiminnosta ja valitse sitten Muokkaa kyselylauseketta.

   

6. Valitse Ehdot ja valitse sitten tähtikuvake.

   

7. Säilytä ehtotyyppi yksinkertaisena arvona, valitse käyttöjärjestelmä - koontiversion numero, operaattori sellaisena kuin on suurempi tai yhtä suuri kuin ja arvo 14393, ja valitse OK.

   

8. Valitse Seuraava ja Sulje.

   

9. Valitse Seuraava.

   

Kun tämä tehtävä on suoritettu, sinulla on laitekokoelma, joka sisältää kaikki ympäristön Windowsin päätepisteet.

Muut suositellut määritysasetukset

Kun laitteet on otettu käyttöön palveluun, on tärkeää hyödyntää sisällytettyjä uhkien suojausominaisuuksia ottamalla ne käyttöön seuraavilla suositelluilla määritysasetuksilla.

Laitekokoelman määritys

Jos käytössäsi on Configuration Manager versio 2002 tai uudempi versio, voit laajentaa käyttöönottoa koskemaan palvelimia tai alatason asiakkaita.

Seuraavan sukupolven suojausmääritys

Suosittelemme seuraavia määritysasetuksia:

Skannaus

• Skannaa siirrettävät tallennuslaitteet, kuten USB-asemat: Kyllä

Reaaliaikainen suojaus

• Ota käyttöön toiminnan valvonta: Kyllä
• Ota suojaus käyttöön mahdollisesti ei-toivotuilta sovelluksilta ladattavissa ja ennen asennusta: Kyllä

Pilvisuojauspalvelu

• Pilvisuojauspalvelun jäsenyystyyppi: Edistynyt jäsenyys

Hyökkäyspinta-alan rajoittaminen

Määritä kaikki valvottavissa olevat säännöt.

Huomautus

Näiden toimintojen estäminen voi keskeyttää lailliset liiketoimintaprosessit. Paras tapa on määrittää kaikki valvottavaksi, selvittää, mitkä niistä on turvallista ottaa käyttöön, ja ottaa sitten nämä asetukset käyttöön päätepisteissä, joissa ei ole vääriä positiivisia tunnistuksia.

Voit ottaa Microsoft Defender virustentorjunta- ja hyökkäysalueen vähentämiskäytännöt käyttöön Microsoft Configuration Manager (SCCM) avulla seuraavasti:

• Ota käyttöön Endpoint Protection ja määritä mukautetut asiakasasetukset.
• Asenna Endpoint Protection -asiakasohjelma komentokehotteesta.
• Tarkista Endpoint Protection -asiakasohjelman asennus.

Ota käyttöön Endpoint Protection ja määritä mukautetut asiakasasetukset

Ota käyttöön mukautettujen asiakasasetusten päätepisteiden suojaus ja määritys noudattamalla ohjeita:

1. Valitse Configuration Manager konsolissa Hallinta.

2. Valitse Hallinta-työtilassaAsiakasasetukset.

3. Valitse Aloitus-välilehdenCreate ryhmästä Create Mukautetut asiakaslaiteasetukset.

4. Anna Create Mukautettujen asiakaslaitteiden asetukset -valintaikkunassa nimi ja kuvaus asetusryhmälle ja valitse sitten Endpoint Protection.

5. Määritä tarvitsemasi Endpoint Protection -asiakasohjelman asetukset. Täydellinen luettelo päätepistesuojauksen asiakasasetuksista, jotka voit määrittää, on Kohdassa Päätepisteen suojaus kohdasta Tietoja asiakasasetuksista.

   Tärkeää

   Asenna Endpoint Protection -sivustojärjestelmän rooli, ennen kuin määrität Endpoint Protectionin asiakasasetukset.

6. Valitse OK, jos haluat sulkea Create Mukautettujen asiakaslaitteiden asetukset -valintaikkunan. Uudet asiakasasetukset näkyvät hallintatyötilanAsiakasasetukset-solmussa.

7. Ota sitten mukautetut asiakasasetukset käyttöön kokoelmassa. Valitse mukautetut asiakasasetukset, jotka haluat ottaa käyttöön. Valitse Aloitus-välilehdenAsiakasasetukset-ryhmästäOta käyttöön.

8. Valitse Valitse kokoelma -valintaikkunassa kokoelma, jossa asiakasasetukset otetaan käyttöön, ja valitse sitten OK. Uusi käyttöönotto näkyy tietoruudun Käyttöönotot-välilehdessä .

Asiakkaille määritetään nämä asetukset, kun he seuraavan lataavat asiakaskäytäntöä. Lisätietoja on ohjeaiheessa Configuration Manager asiakkaan käytännön noutamisen aloittaminen.

Endpoint Protection -asiakkaan asennus komentokehotteesta

Viimeistele päätepisteen suojausasiakkaan asennus komentokehotteesta noudattamalla ohjeita.

1. Kopioi scepinstall.exe Configuration Manager asennuskansion Asiakas-kansiosta tietokoneeseen, johon haluat asentaa Endpoint Protection -asiakasohjelmiston.

2. Avaa komentokehote järjestelmänvalvojana. Vaihda kansio kansioon asennusohjelman avulla. Suorita scepinstall.exesitten , lisäämällä kaikki tarvitsemasi ylimääräiset komentoriviominaisuudet:

   Ominaisuus	Kuvaus
   /s	Suorita asennusohjelma taustalla
   /q	Pure asennustiedostot taustalla
   /i	Suorita asennusohjelma normaalisti
   /policy	Määritä haittaohjelmien torjuntakäytäntötiedosto, jolla asiakas määritetään asennuksen aikana
   /sqmoptin	Microsoftin käyttömukavuuden kehitysohjelman (CEIP) suostuminen

3. Viimeistele asiakasasennus noudattamalla näytön ohjeita.

4. Jos latasit viimeisimmän päivityksen määrityspaketin, kopioi paketti asiakastietokoneeseen ja asenna se kaksoisnapsauttamalla sitä.

   Huomautus

   Kun Endpoint Protection -asiakasohjelman asennus on valmis, asiakas suorittaa automaattisesti määrityksen päivitystarkistuksen. Jos tämä päivitystarkistus onnistuu, uusinta määrityksen päivityspakettia ei tarvitse asentaa manuaalisesti.

Esimerkki: asenna asiakasohjelma haittaohjelmien torjuntakäytännön avulla

scepinstall.exe /policy <full path>\<policy file>

Tarkista Endpoint Protection -asiakasohjelman asennus

Kun olet asentanut Endpoint Protection -asiakasohjelman viitetietokoneeseesi, varmista, että asiakas toimii oikein.

1. Avaa viitetietokoneessa System Center Endpoint Protection Windowsin ilmoitusalueelta.
2. Varmista System Center Endpoint Protection-valintaikkunanAloitus-välilehdessä, että reaaliaikainen suojaus -asetuksena on Käytössä.
3. Varmista, että virus- ja vakoiluohjelmamääritykset näkyvät ajan tasalla.
4. Jos haluat varmistaa, että viitetietokone on valmis kuvanmuodostuksia varten , valitse Skannausasetukset-kohdastaTäysi ja valitse sitten Skannaa nyt.

Verkon suojaus

Ennen kuin otat verkon suojauksen käyttöön valvonta- tai estotilassa, varmista, että olet asentanut haittaohjelmien torjuntaympäristön päivityksen, joka on saatavissa tukisivulta.

Hallittu kansion käyttö

Ota ominaisuus käyttöön valvontatilassa vähintään 30 päivän ajan. Tämän ajanjakson jälkeen voit tarkastella tunnistuksia ja luoda luettelon sovelluksista, joilla on oikeus kirjoittaa suojattuihin hakemistoihin.

Lisätietoja on artikkelissa Hallitse kansion käytön arvioiminen.

Vahvista perehdytys suorittamalla tunnistustesti

Kun laite on otettu käyttöön, voit suorittaa tunnistustestin varmistaaksesi, että laite on otettu oikein käyttöön palvelussa. Lisätietoja on artikkelissa Tunnistustestin suorittaminen äskettäin käyttöön tulleessa Microsoft Defender for Endpoint laitteessa.

Taulun ulkopuoliset laitteet, joissa on Configuration Manager

Tietoturvasyistä Offboard-laitteisiin käytetty paketti vanhenee 30 päivää lataamispäivämäärän jälkeen. Laitteeseen lähetetyt vanhentuneet käytöstä poistetut paketit hylätään. Kun lataat perehdytyspaketin, saat ilmoituksen pakettien vanhentumispäivästä, ja se sisällytetään myös paketin nimeen.

Huomautus

Perehdyttämis- ja käyttöönottokäytäntöjä ei saa ottaa käyttöön samassa laitteessa samanaikaisesti, muuten tämä aiheuttaa arvaamattomia törmäyksiä.

Offboard-laitteet, jotka käyttävät Microsoft Configuration Manager nykyistä haaraa

Jos käytät Microsoft Configuration Manager nykyistä haaraa, katso Create käytöstä poistamisen määritystiedosto.

System Center 2012 R2 -Configuration Manager käyttävät offline-laitteet

1. Perehdytyspaketti Microsoft Defender portaalista:

   1. Valitse siirtymisruudussa Asetukset>Päätepisteet>Laitteiden hallinta>Käytöstä poistaminen.
   2. Valitse käyttöjärjestelmäksi Windows 10 tai Windows 11.
   3. Valitse Käyttöönottomenetelmä-kentässäSystem Center Configuration Manager 2012/2012 R2/1511/1602.
   4. Valitse Lataa paketti ja tallenna .zip tiedosto.

2. Pura .zip-tiedoston sisältö jaettuun vain luku -sijaintiin, jota paketin käyttöön ottavat verkonvalvojat voivat käyttää. Sinulla pitäisi olla tiedosto nimeltä WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

3. Ota paketti käyttöön noudattamalla System Center 2012 R2:n paketit ja ohjelmat -Configuration Manager artikkelin ohjeita.

   Valitse valmiiksi määritetty laitekokoelma, jossa paketti otetaan käyttöön.

Tärkeää

Käytöstä poistaminen aiheuttaa sen, että laite lopettaa tunnistintietojen lähettämisen portaaliin, mutta tiedot laitteesta, mukaan lukien viittaukset sen sisältämään hälytykseen, säilytetään enintään 6 kuukauden ajan.

Laitteen kokoonpanon valvonta

Jos käytät Microsoft Configuration Manager nykyistä haaraa, käytä Configuration Manager konsolin sisäistä Defender for Endpoint -koontinäyttöä. Lisätietoja on kohdassa Defender for Endpoint – Monitor.

Jos käytössäsi on System Center 2012 R2 Configuration Manager, valvonta koostuu kahdesta osasta:

1. Varmista, että määrityspaketti on otettu käyttöön oikein ja että se on käynnissä (tai se on suoritettu onnistuneesti) verkon laitteissa.

2. Tarkistetaan, että laitteet ovat yhteensopivia Defender for Endpoint -palvelun kanssa (tämä varmistaa, että laite voi suorittaa perehdytysprosessin loppuun ja että se voi edelleen raportoida tiedot palveluun).

Varmista, että kokoonpanopaketti on otettu käyttöön oikein

1. Valitse Configuration Manager konsolissa Valvonta siirtymisruudun alareunasta.

2. Valitse Yleiskatsaus ja sitten Käyttöönotot.

3. Valitse käyttöönotto paketin nimellä.

4. Tarkista tilailmaisimet kohdasta Valmistumistilastot ja Sisällön tila.

   Jos käyttöönotot epäonnistuvat (laitteet, joissa on virhetila, vaatimukset eivät täyty tai joiden tilat ovat epäonnistuneet), sinun on ehkä tehtävä laitteiden vianmääritys. Lisätietoja on artikkelissa Microsoft Defender for Endpoint käyttöönotto-ongelmien vianmääritys.

   

Tarkista, että laitteet ovat yhteensopivia Microsoft Defender for Endpoint palvelun kanssa

Voit määrittää määrityskohteen yhteensopivuussäännön System Center 2012 R2 Configuration Manager käyttöönoton valvomiseksi.

Tämän säännön on oltava korjaamaton yhteensopivuussäännön määrityskohde, joka valvoo rekisteriavaimen arvoa kohdennetuissa laitteissa.

Valvo seuraavaa rekisteriavainmerkintää:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Lisätietoja on artikkelissa Johdanto system center 2012 R2:n yhteensopivuusasetuksiin Configuration Manager.

Aiheeseen liittyvät artikkelit

• Windows-laitteiden käyttöönotto ryhmäkäytäntöä käyttäen
• Windows-laitteiden käyttöönotto mobiililaitteiden hallintatyökalujen avulla
• Windows-laitteiden käyttöönotto paikallista komentosarjaa käyttäen
• Tilapäisten virtuaalityöpöytäinfrastruktuurin (VDI) laitteiden käyttöönotto
• Suorita tunnistustesti äskettäin käyttöön tulleessa Microsoft Defender for Endpoint laitteessa
• Microsoft Defender for Endpoint perehdytysongelmien vianmääritys

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.