Windows-laitteiden käyttöönotto ryhmäkäytäntöä käyttäen

  • Artikkeli

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Jotta voit ottaa paketin käyttöön ryhmäkäytäntö (GP) -päivityksillä, sinun on oltava Windows Server 2008 R2:ssa tai uudemmassa.

Windows Server 2019:ssä ja Windows Server 2022:ssa sinun on ehkä korvattava NT AUTHORITY\Well-Known-System-Account kohteella NT AUTHORITY\SYSTEM xml-tiedostolla, jonka ryhmäkäytäntö asetus luo.

Huomautus

Jos käytät Windows Server 2012 R2:n ja 2016:n uutta, yhdistettyä Microsoft Defender for Endpoint ratkaisua, varmista, että käytät keskussäilön uusimpia ADMX-tiedostoja, jotta pääset oikeiden Microsoft Defender for Endpoint käytäntöasetusten käyttöön. Katso artikkeli Windowsin ryhmäkäytäntö hallintamallien keskitetyn säilön luominen ja hallinta sekä Windows 10 kanssa käytettävien tiedostojen lataaminen.

Katso kohdasta Tunnista Defender päätepistearkkitehtuurille ja käyttöönottotavalle - erilaisia polkuja Defender for Endpointin käyttöönotossa.

  1. Avaa GP-määrityspakettitiedosto (WindowsDefenderATPOnboardingPackage.zip), jonka latasit ohjatusta palvelun käyttöönotosta. Voit hankkia paketin myös Microsoft Defender-portaalista:

    1. Valitse siirtymisruudussa Asetukset>Päätepisteet>Laitteiden hallinnan>perehdytys.

    2. Valitse käyttöjärjestelmä.

    3. Valitse Käyttöönottomenetelmä-kentässäRyhmäkäytäntö.

    4. Valitse Lataa paketti ja tallenna .zip tiedosto.

  2. Pura .zip-tiedoston sisältö jaettuun, vain luku -sijaintiin, jota laite voi käyttää. Sinulla pitäisi olla kansio nimeltä OptionalParamsPolicy , ja tiedosto WindowsDefenderATPOnboardingScript.cmd.

  3. Jos haluat luoda uuden ryhmäkäytäntöobjektin, avaa ryhmäkäytäntö Management Console (GPMC), napsauta hiiren kakkospainikkeella ryhmäkäytäntö Objektit, jotka haluat määrittää, ja valitse Uusi. Kirjoita uuden ryhmäkäytäntöobjektin nimi näyttöön avautuvaan valintaikkunaan ja valitse OK.

  4. Avaa ryhmäkäytäntö management console (GPMC), napsauta hiiren kakkospainikkeella ryhmäkäytäntö Object (GPO), jonka haluat määrittää, ja valitse Muokkaa.

  5. Siirry ryhmäkäytäntö Management -Kirjoitusavustaja kohtaan Tietokoneen määritykset, sitten Asetukset ja sitten Ohjauspaneelin asetukset.

  6. Napsauta hiiren kakkospainikkeella Ajoitetut tehtävät, valitse Uusi ja valitse sitten Välitön tehtävä (vähintään Windows 7)..

  7. Siirry avautuvassa Tehtävä-ikkunassa Yleiset-välilehteen. Valitse Suojausasetukset-kohdassaMuuta käyttäjää tai ryhmää ja kirjoita SYSTEM ja valitse sitten Tarkista nimet ja sitten OK. NT AUTHORITY\SYSTEM näkyy käyttäjätilinä, jossa tehtävä suoritetaan.

  8. Valitse Suorita, onko käyttäjä kirjautunut sisään vai ei , ja valitse Suorita suurimmilla oikeuksilla -valintaruutu.

  9. Kirjoita Nimi-kenttään ajoitetun tehtävän nimi (esimerkiksi Defender for Endpoint Deployment).

  10. Siirry Toiminnot-välilehteen ja valitse Uusi... Varmista, että Käynnistä ohjelma on valittuna Toiminto-kentässä. Kirjoita jaetun WindowsDefenderATPOnboardingScript.cmd tiedoston UNC-polku käyttämällä tiedostopalvelimen täydellistä toimialuenimeä (FQDN).

  11. Valitse OK ja sulje kaikki avoimet GPMC-ikkunat.

  12. Linkitä ryhmäkäytäntöobjekti organisaatioyksikköön napsauttamalla hiiren kakkospainikkeella ja valitsemalla Linkitä aiemmin luotu ryhmäkäytäntöobjekti. Valitse näyttöön avautuvasta valintaikkunasta ryhmäkäytäntö Objekti, jonka haluat linkittää. Napsauta OK.

Vihje

Kun laite on otettu käyttöön, voit suorittaa tunnistustestin varmistaaksesi, että laite on otettu oikein käyttöön palvelussa. Lisätietoja on kohdassa Tunnistustestin suorittaminen juuri perehdytetyssä Defender for Endpoint -laitteessa.

Muita Defender for Endpoint -määritysasetuksia

Voit ilmoittaa jokaiselle laitteelle, voidaanko laitteesta kerätä näytteitä, kun pyyntö tehdään Microsoft Defender XDR lähettämään tiedosto syväanalyysia varten.

Ryhmäkäytäntö (GP) avulla voit määrittää asetuksia, kuten syväanalyysiominaisuudessa käytetyn näytteenjaon asetukset.

Määritä mallikokoelman asetukset

  1. Kopioi seuraavat tiedostot määrityspaketista GP-hallintalaitteellasi:

    • Kopioi AtpConfiguration.admx tiedostoon C:\Windows\PolicyDefinitions

    • Kopioi AtpConfiguration.adml tiedostoon C:\Windows\PolicyDefinitions\en-US

    Jos käytät keskitettyä säilöä ryhmäkäytäntö hallintamalleille, kopioi seuraavat tiedostot määrityspaketista:

    • Kopioi AtpConfiguration.admx kohteeseen \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions

    • Kopioi AtpConfiguration.adml kohteeseen \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US

  2. Avaa ryhmäkäytäntö hallintakonsoli, napsauta hiiren kakkospainikkeella määritettävää ryhmäkäytäntöobjektia ja valitse Muokkaa.

  3. Siirry ryhmäkäytäntö Management -Kirjoitusavustaja kohtaan Tietokoneen määritykset.

  4. Valitse Käytännöt ja sitten Hallintamallit.

  5. Valitse Windowsin osat ja Windows Defender ATP.

  6. Valitse, haluatko ottaa käyttöön tai poistaa käytöstä mallien jakamisen laitteissasi.

Huomautus

Jos et määritä arvoa, oletusarvo on ottaa mallikokoelma käyttöön.

Päivitä päätepisteiden suojausmääritykset

Kun olet määrittänut käyttöönottokomentosarjan, jatka saman ryhmäkäytännön muokkaamista, jotta voit lisätä päätepisteiden suojausmäärityksiä. Suorita ryhmäkäytäntöjen muokkauksia järjestelmässä, jossa on käytössä Windows 10, Server 2019, Windows 11 tai Windows Server 2022, varmistaaksesi, että sinulla on kaikki tarvittavat Microsoft Defender virustentorjuntaominaisuudet. Saatat joutua sulkemaan ryhmäkäytäntöobjektin ja avaamaan sen uudelleen, jotta voit rekisteröidä Defender ATP -määritysasetukset.

Kaikki käytännöt sijaitsevat kohdassa Computer Configuration\Policies\Administrative Templates.

Käytännön sijainti: \Windowsin osat\Windows Defender ATP

Politiikan Asetus
Ota käyttöön\Poista mallikokoelma käytöstä Käytössä – Ota mallikokoelma käyttöön koneissa -valintaruutu

Käytännön sijainti: \Windowsin osat\Microsoft Defender virustentorjunta

Politiikan Asetus
Tunnistaminen mahdollisesti ei-toivotuille sovelluksille Käytössä, Lohko

Käytännön sijainti: \Windowsin osat\Microsoft Defender virustentorjunta\MAPS

Politiikan Asetus
Liity Microsoft MAPSIIN Käytössä, Lisäkartat
Lähetä tiedostonäytteet, kun lisäanalyyseja tarvitaan Käytössä, Lähetä turvalliset mallit

Käytännön sijainti: \Windowsin osat\Microsoft Defender virustentorjunta\Reaaliaikainen suojaus

Politiikan Asetus
Poista käytöstä reaaliaikainen suojaus Poistettu käytöstä
Ota käyttöön toiminnan valvonta Käytössä
Tarkista kaikki ladatut tiedostot ja liitteet Käytössä
Valvo tietokoneen tiedosto- ja ohjelmatoimintoja Käytössä

Käytännön sijainti: \Windowsin osat\Microsoft Defender virustentorjunta\Tarkistus

Nämä asetukset määrittävät päätepisteen säännöllisiä skannauksia. Suosittelemme viikoittaisen pikatarkistusta ja suorituskyvyn sallimista.

Politiikan Asetus
Tarkista uusimmat virusten ja vakoiluohjelmien suojaustiedot ennen ajoitetun tarkistuksen suorittamista Käytössä

Käytännön sijainti: \Windowsin osat\Microsoft Defender antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction

Hae nykyinen luettelo hyökkäysalueen vähentämissääntöjen GUID-tunnuksista hyökkäyspinnan vähentämissääntöjen käyttöönotosta Vaihe 3: Ota KÄYTTÖÖN ASR-säännöt. Lisätietoja sääntöjen mukaan on kohdassa Hyökkäyspinnan pienentämissääntöjen viite

  1. Avaa Määritä hyökkäyspinnan vähentämiskäytäntö .

  2. Valitse Käytössä.

  3. Valitse Näytä-painike .

  4. Lisää kukin GUID-tunnus Arvon nimi - kenttään arvolla 2.

    Tämä määrittää kunkin vain valvontaa varten.

    Hyökkäysalueen pienentämismääritys

Politiikan Sijainti Asetus
Määritä valvotun kansion käyttö \Windowsin osat\Microsoft Defender antivirus\Microsoft Defender Exploit Guard\Controlled Folder Access Käytössä, Valvontatila

Vahvista perehdytys suorittamalla tunnistustesti

Kun laite on otettu käyttöön, voit suorittaa tunnistustestin varmistaaksesi, että laite on otettu oikein käyttöön palvelussa. Lisätietoja on artikkelissa Tunnistustestin suorittaminen äskettäin käyttöön tulleessa Microsoft Defender for Endpoint laitteessa.

Taulun ulkopuoliset laitteet, joissa on ryhmäkäytäntö

Tietoturvasyistä Offboard-laitteisiin käytetty paketti vanhenee 30 päivää lataamispäivämäärän jälkeen. Laitteeseen lähetetyt vanhentuneet käytöstä poistetut paketit hylätään. Kun lataat perehdytyspakettia, saat ilmoituksen pakettien vanhentumispäivästä, ja se sisällytetään myös paketin nimeen.

Huomautus

Perehdyttämis- ja käyttöönottokäytäntöjä ei saa ottaa käyttöön samassa laitteessa samanaikaisesti, muuten tämä aiheuttaa arvaamattomia törmäyksiä.

  1. Hanki perehdytyspaketti Microsoft Defender portaalista:

    1. Valitse siirtymisruudussa Asetukset>Päätepisteet>Laitteiden hallinta>Käytöstä poistaminen.

    2. Valitse käyttöjärjestelmä.

    3. Valitse Käyttöönottomenetelmä-kentässäRyhmäkäytäntö.

    4. Valitse Lataa paketti ja tallenna .zip tiedosto.

  2. Pura .zip-tiedoston sisältö jaettuun, vain luku -sijaintiin, jota laite voi käyttää. Sinulla pitäisi olla tiedosto nimeltä WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Avaa ryhmäkäytäntö management console (GPMC), napsauta hiiren kakkospainikkeella ryhmäkäytäntö Object (GPO), jonka haluat määrittää, ja valitse Muokkaa.

  4. Valitse ryhmäkäytäntö-hallinta-KirjoitusavustajaTietokoneasetukset, sitten Asetukset ja sitten Ohjauspaneelin asetukset.

  5. Napsauta hiiren kakkospainikkeella Ajoitetut tehtävät, valitse Uusi ja valitse sitten Välitön tehtävä.

  6. Siirry avautuvassa Tehtävä-ikkunassa Yleiset-välilehteen Kohdassa Suojausasetukset ja valitse Muuta käyttäjää tai ryhmää, kirjoita SYSTEM, valitse Tarkista nimet ja sitten OK. NT AUTHORITY\SYSTEM näkyy käyttäjätilinä, jolla tehtävä suoritetaan.

  7. Valitse Suorita, onko käyttäjä kirjautunut sisään vai ei , ja valitse Suorita suurimmilla oikeuksilla -valintaruutu.

  8. Kirjoita Nimi-kenttään ajoitetun tehtävän nimi (esimerkiksi Defender for Endpoint Deployment).

  9. Siirry Toiminnot-välilehteen ja valitse Uusi.... Varmista, että Käynnistä ohjelma on valittuna Toiminto-kentässä. Kirjoita jaetun WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd tiedoston UNC-polku käyttämällä tiedostopalvelimen täydellistä toimialuenimeä (FQDN).

  10. Valitse OK ja sulje kaikki avoimet GPMC-ikkunat.

Tärkeää

Käytöstä poistaminen aiheuttaa sen, että laite lopettaa tunnistintietojen lähettämisen portaaliin, mutta tiedot laitteesta, mukaan lukien viittaukset sen sisältämään hälytykseen, säilytetään enintään 6 kuukauden ajan.

Laitteen kokoonpanon valvonta

Kun käytössä on ryhmäkäytäntö, käytäntöjen käyttöönottoa ei voi valvoa laitteissa. Valvonta voidaan tehdä suoraan portaalissa tai erilaisilla käyttöönottotyökaluilla.

Laitteiden valvonta portaalin avulla

  1. Siirry Microsoft Defender portaaliin.
  2. Valitse Laitteet-luettelo.
  3. Varmista, että laitteet näkyvät.

Huomautus

Laitteiden näyttäminen Laitteet-luettelossa voi kestää useita päiviä. Tähän sisältyy aika, joka käytännöillä kestää jakaa laitteelle, aika, joka kuluu ennen kuin käyttäjä kirjautuu sisään, ja aika, joka päätepisteellä kestää aloittaa raportointi.

Defender AV -käytäntöjen määrittäminen

Create uuden ryhmäkäytäntö tai ryhmittele nämä asetukset muiden käytäntöjen kanssa. Tämä riippuu asiakkaan ympäristöstä ja siitä, miten he haluavat ottaa palvelun käyttöön kohdistamalla sen eri organisaatioyksiköihin.

  1. Kun olet valinnut yleislääkärin tai luonut uuden, muokkaa yleislääkäriä.

  2. Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjunta>Reaaliaikainen suojaus.

    Reaaliaikainen suojaus

  3. Määritä Karanteeni-kansiossa kohteiden poistaminen karanteenikansiosta.

    Kohteiden poistaminen karanteenikansiosta

    määritysten poistokaranteeni

  4. Määritä skannausasetukset Skannaus-kansiossa.

    gpo-skannaukset

Valvo kaikkia tiedostoja reaaliaikaisesti suojauksessa

Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjunta>Reaaliaikainen suojaus.

Määritä saapuvan lähtevän tiedoston toiminnan valvonta

SmartScreen Windows Defender asetusten määrittäminen

  1. Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Windows Defender SmartScreen>Explorer.

    Windows Defender smart screen explorerin määrittäminen

  2. Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Windows Defender SmartScreen>Microsoft Edge.

    Windows Defenderin älynäytön määrittäminen Microsoft Edgessä

Määritä mahdollisesti ei-toivotut sovellukset

Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defender virustentorjunta.

Määritä mahdollisesti ei-toivottu sovellus

määrityspotentiaali

Pilvipalvelujen toimituksen suojauksen määrittäminen ja mallien lähettäminen automaattisesti

Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defender Virustentorjunta>MAPS.

Kartat

Kortteli ensi silmäyksellä

Liity Microsoft Mapsiin

Lähetä tiedostomalli, kun lisäanalyyseja tarvitaan

Huomautus

Lähetä kaikki mallit -vaihtoehto tarjoaa eniten analyyseja binaaritiedostoista/ komentosarjoista/ohjeista, mikä parantaa suojausasennon. Lähetä turvalliset mallit -asetus rajoittaa analysoitavien binaaritiedostojen, komentosarjojen tai asiakirjojen tyyppiä ja pienentää suojausasentoa.

Lisätietoja on artikkelissa Pilvisuojauksen ottaminen käyttöön Microsoft Defender virustentorjuntaohjelmassa sekä pilvisuojauksen ja mallien lähettäminen Microsoft Defender virustentorjuntaohjelmassa.

Tarkista allekirjoituksen päivitys

Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjunta>Suojaustiedot Päivitykset.

Allekirjoituksen päivitys

Allekirjoituksen määrityksen päivitys

Pilvipalvelun toimituksen aikakatkaisu- ja suojaustason määrittäminen

Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defender Virustentorjunta>MpEngine. Kun määrität pilvisuojauksen tasokäytännöksi Oletus Microsoft Defender virustentorjuntaohjelman estokäytännön, tämä poistaa käytännön käytöstä. Tätä tarvitaan suojaustason määrittämiseen Windowsin oletusarvoon.

määritysten laajennettu pilvipalvelutarkistus

config cloud protection level

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.