Partage via

Intégrer des serveurs Windows au service Microsoft Defender pour point de terminaison

  • Article

S’applique à :

  • Windows Server 2016 et Windows Server 2012 R2
  • Windows Server Semi-Annual Canal Entreprise
  • Windows Server 2019 et versions ultérieures
  • Windows Server 2019 Core Edition
  • Windows Server 2022
  • Microsoft Defender pour point de terminaison

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Defender pour point de terminaison étend la prise en charge pour inclure également le système d’exploitation Windows Server. Cette prise en charge fournit des fonctionnalités avancées de détection et d’investigation des attaques en toute transparence via la console Microsoft Defender XDR. La prise en charge de Windows Server fournit des insights plus approfondis sur les activités du serveur, la couverture de la détection des attaques de noyau et de mémoire, et permet des actions de réponse.

Cet article explique comment intégrer des serveurs Windows spécifiques à Microsoft Defender pour point de terminaison.

Pour obtenir des conseils sur le téléchargement et l’utilisation des bases de référence de sécurité Windows pour les serveurs Windows, consultez Bases de référence de sécurité Windows.

Conseil

En complément de cet article, consultez notre guide de configuration de l’analyseur de sécurité pour passer en revue les meilleures pratiques et apprendre à fortifier les défenses, à améliorer la conformité et à naviguer dans le paysage de la cybersécurité en toute confiance. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée de Security Analyzer dans le Centre d’administration Microsoft 365.

Vue d’ensemble de l’intégration de Windows Server

Vous devez effectuer les étapes générales suivantes pour intégrer correctement les serveurs.

Illustration du flux d’intégration pour les serveurs Windows et les appareils Windows 10

Remarque

Les éditions de Windows Hyper-V Server ne sont pas prises en charge.

Intégration à Microsoft Defender pour les serveurs :

Microsoft Defender pour point de terminaison s’intègre en toute transparence à Microsoft Defender pour les serveurs. Vous pouvez intégrer automatiquement des serveurs, faire apparaître les serveurs surveillés par Microsoft Defender pour le cloud dans Defender pour point de terminaison et mener des investigations détaillées en tant que client Microsoft Defender pour le cloud. Pour plus d’informations, consultez Protéger vos points de terminaison avec la solution EDR intégrée de Defender pour le cloud : Microsoft Defender pour point de terminaison

Remarque

Pour Windows Server 2016 et Windows Server 2012 R2, vous pouvez installer/mettre à niveau manuellement la solution moderne et unifiée sur ces ordinateurs, ou utiliser l’intégration pour déployer ou mettre à niveau automatiquement les serveurs couverts par votre plan Microsoft Defender pour serveur respectif. Pour plus d’informations sur le basculement, consultez Protéger vos points de terminaison avec la solution EDR intégrée de Defender pour le cloud : Microsoft Defender pour point de terminaison.

  • Lorsque vous utilisez Microsoft Defender pour le cloud pour surveiller les serveurs, un locataire Defender pour point de terminaison est automatiquement créé (aux États-Unis pour les utilisateurs américains, dans l’UE pour les utilisateurs européens et au Royaume-Uni pour les utilisateurs du Royaume-Uni). Les données collectées par Defender pour point de terminaison sont stockées dans l’emplacement géographique du locataire identifié lors de l’approvisionnement.
  • Si vous utilisez Defender pour point de terminaison avant d’utiliser Microsoft Defender pour le cloud, vos données sont stockées à l’emplacement que vous avez spécifié lors de la création de votre locataire, même si vous intégrez Microsoft Defender pour le cloud ultérieurement.
  • Une fois configuré, vous ne pouvez pas modifier l’emplacement où vos données sont stockées. Si vous devez déplacer vos données vers un autre emplacement, vous devez contacter le support Microsoft pour réinitialiser le locataire.
  • La surveillance des points de terminaison de serveur utilisant cette intégration a été désactivée pour les clients Office 365 GCC.
  • Auparavant, l’utilisation de Microsoft Monitoring Agent (MMA) sur Windows Server 2016 et Windows Server 2012 R2 et les versions antérieures de Windows Server permettait à la passerelle OMS/Log Analytics de fournir une connectivité aux services cloud Defender. La nouvelle solution, comme Microsoft Defender pour point de terminaison sur Windows Server 2022, Windows Server 2019 et Windows 10 ou version ultérieure, ne prend pas en charge cette passerelle.
  • Les serveurs Linux intégrés via Microsoft Defender pour le cloud ont leur configuration initiale définie pour exécuter l’antivirus Defender en mode passif.

Windows Server 2016 et Windows Server 2012 R2 :

  • Télécharger les packages d’installation et d’intégration
  • Appliquer le package d’installation
  • Suivez les étapes d’intégration de l’outil correspondant.

Windows Server Semi-Annual Canal Entreprise et Windows Server 2019 :

  • Télécharger le package d’intégration
  • Suivez les étapes d’intégration de l’outil correspondant.

Windows Server 2016 et Windows Server 2012 R2

Fonctionnalités de la solution unifiée moderne

L’implémentation précédente (avant avril 2022) de l’intégration de Windows Server 2016 et Windows Server 2012 R2 nécessitait l’utilisation de Microsoft Monitoring Agent (MMA).

Le nouveau package de solution unifiée facilite l’intégration des serveurs en supprimant les dépendances et les étapes d’installation. Il fournit également un ensemble de fonctionnalités beaucoup plus étendu. Pour plus d’informations, reportez-vous à La défense de Windows Server 2012 R2 et 2016.

En fonction du serveur que vous intégrez, la solution unifiée installe l’Antivirus Microsoft Defender et/ou le capteur EDR. Le tableau suivant indique quel composant est installé et ce qui est intégré par défaut.

Version du serveur AV EDR
Windows Server 2012 R2 Oui. Oui.
Windows Server 2016 Intégré Oui.
Windows Server 2019 ou version ultérieure Intégré Intégré

Si vous avez déjà intégré vos serveurs à l’aide de MMA, suivez les instructions fournies dans Migration de serveur pour migrer vers la nouvelle solution.

Importante

Avant de poursuivre l’intégration, consultez la section Problèmes connus et limitations dans le nouveau package de solution unifié pour Windows Server 2012 R2 et Windows Server 2016.

Configuration requise

Prérequis pour Windows Server 2016 et Windows Server 2012 R2

Il est recommandé d’installer les derniers SSU et LCU disponibles sur le serveur.

Prérequis pour l’exécution avec des solutions de sécurité tierces

Si vous envisagez d’utiliser une solution anti-programme malveillant tierce, vous devez exécuter Antivirus Microsoft Defender en mode passif. Vous devez vous rappeler de définir le mode passif pendant le processus d’installation et d’intégration.

Remarque

Si vous installez Microsoft Defender pour point de terminaison sur des serveurs avec McAfee Endpoint Security (ENS) ou VirusScan Enterprise (VSE), il peut être nécessaire de mettre à jour la version de la plateforme McAfee pour garantir que l’antivirus Microsoft Defender n’est pas supprimé ou désactivé. Pour plus d’informations, notamment les numéros de version spécifiques requis, consultez l’article Centre de connaissances McAfee.

Packages de mise à jour pour Microsoft Defender pour point de terminaison sur Windows Server 2016 et Windows Server 2012 R2

Pour recevoir régulièrement des améliorations de produit et des correctifs pour le composant EDR Sensor, assurez-vous que windows Update KB5005292 est appliqué ou approuvé. En outre, pour maintenir les composants de protection à jour, consultez Gérer les mises à jour de l’Antivirus Microsoft Defender et appliquer des bases de référence.

Si vous utilisez Windows Server Update Services (WSUS) et/ou Microsoft Endpoint Configuration Manager, cette nouvelle « mise à jour de Microsoft Defender pour point de terminaison pour le capteur EDR » est disponible sous la catégorie « Microsoft Defender pour point de terminaison ».

Résumé des étapes d’intégration

ÉTAPE 1 : Télécharger les packages d’installation et d’intégration

Vous devez télécharger les packages d’installation et d’intégration à partir du portail.

Remarque

Le package d’installation est mis à jour mensuellement. Veillez à télécharger le dernier package avant l’utilisation. Pour effectuer une mise à jour après l’installation, vous n’avez pas besoin d’exécuter à nouveau le package d’installation. Si c’est le cas, le programme d’installation vous demandera de commencer par désactiver l’intégration, car il s’agit d’une condition requise pour la désinstallation. Consultez Packages de mise à jour pour Microsoft Defender pour point de terminaison sur Windows Server 2012 R2 et 2016.

Image du tableau de bord d’intégration

Remarque

Sur Windows Server 2016 et Windows Server 2012 R2, l’Antivirus Microsoft Defender doit d’abord être installé en tant que fonctionnalité (voir Basculer vers MDE) et entièrement mis à jour avant de poursuivre l’installation.

Si vous exécutez une solution anti-programme malveillant non-Microsoft, veillez à ajouter des exclusions pour Antivirus Microsoft Defender (à partir de cette liste de processus Microsoft Defender sous l’onglet Processus Defender) à la solution non-Microsoft avant l’installation. Il est également recommandé d’ajouter des solutions de sécurité non-Microsoft à la liste d’exclusions de l’Antivirus Defender.

Le package d’installation contient un fichier MSI qui installe l’agent Microsoft Defender pour point de terminaison.

Le package d’intégration contient le fichier suivant :

  • WindowsDefenderATPOnboardingScript.cmd - contient le script d’intégration

Pour télécharger les packages, procédez comme suit :

  1. Dans Microsoft Defender XDR, accédez à Paramètres Intégration > du point de terminaison>.

  2. Sélectionnez Windows Server 2016 et Windows Server 2012 R2.

  3. Sélectionnez Télécharger le package d’installation et enregistrez le fichier .msi.

  4. Sélectionnez Télécharger le package d’intégration et enregistrez le fichier .zip.

  5. Installez le package d’installation à l’aide de l’une des options permettant d’installer l’Antivirus Microsoft Defender. L’installation nécessite des autorisations d’administration.

Importante

Un script d’intégration local convient pour une preuve de concept, mais ne doit pas être utilisé pour le déploiement de production. Pour un déploiement de production, nous vous recommandons d’utiliser une stratégie de groupe ou Microsoft Endpoint Configuration Manager.

ÉTAPE 2 : Appliquer le package d’installation et d’intégration

Dans cette étape, vous allez installer les composants de prévention et de détection nécessaires avant l’intégration de votre appareil à l’environnement cloud Microsoft Defender pour point de terminaison, afin de préparer l’ordinateur à l’intégration. Vérifiez que toutes les conditions préalables ont été remplies .

Remarque

L’Antivirus Microsoft Defender sera installé et sera actif, sauf si vous le définissez en mode passif.

Options d’installation des packages Microsoft Defender pour point de terminaison

Dans la section précédente, vous avez téléchargé un package d’installation. Le package d’installation contient le programme d’installation de tous les composants de Microsoft Defender pour point de terminaison.

Vous pouvez utiliser l’une des options suivantes pour installer l’agent :

Installer Microsoft Defender pour point de terminaison à l’aide de la ligne de commande

Utilisez le package d’installation de l’étape précédente pour installer Microsoft Defender pour point de terminaison.

Exécutez la commande suivante pour installer Microsoft Defender pour point de terminaison :

Msiexec /i md4ws.msi /quiet

Pour désinstaller, vérifiez d’abord que la machine est désactivée à l’aide du script de désintégrage approprié. Ensuite, utilisez le Panneau de configuration > Programmes > et fonctionnalités pour effectuer la désinstallation.

Vous pouvez également exécuter la commande de désinstallation suivante pour désinstaller Microsoft Defender pour point de terminaison :

Msiexec /x md4ws.msi /quiet

Vous devez utiliser le même package que celui utilisé pour l’installation pour que la commande ci-dessus réussisse.

Le /quiet commutateur supprime toutes les notifications.

Remarque

Antivirus Microsoft Defender ne passe pas automatiquement en mode passif. Vous pouvez choisir de configurer Antivirus Microsoft Defender pour qu’il s’exécute en mode passif si vous exécutez une solution antivirus/anti-programme malveillant non-Microsoft. Pour les installations en ligne de commande, le facultatif FORCEPASSIVEMODE=1 définit immédiatement le composant Antivirus Microsoft Defender en mode passif pour éviter les interférences. Ensuite, pour vous assurer que l’Antivirus Defender reste en mode passif après l’intégration afin de prendre en charge des fonctionnalités telles que le bloc EDR, définissez la clé de Registre « ForceDefenderPassiveMode ».

La prise en charge de Windows Server fournit des insights plus approfondis sur les activités du serveur, la couverture de la détection des attaques de noyau et de mémoire, et permet des actions de réponse.

Installer Microsoft Defender pour point de terminaison à l’aide d’un script

Vous pouvez utiliser le script d’assistance du programme d’installation pour automatiser l’installation, la désinstallation et l’intégration.

Remarque

Le script d’installation est signé. Toute modification apportée au script invalidera la signature. Lorsque vous téléchargez le script à partir de GitHub, l’approche recommandée pour éviter toute modification accidentelle consiste à télécharger les fichiers sources sous forme d’archive zip, puis à les extraire pour obtenir le fichier install.ps1 (dans la page code principale, cliquez sur le menu déroulant Code et sélectionnez « Télécharger le fichier ZIP »).

Ce script peut être utilisé dans différents scénarios, notamment ceux décrits dans Scénarios de migration de serveur de la solution microsoft Defender pour point de terminaison MMA précédente et pour le déploiement à l’aide de la stratégie de groupe, comme décrit ci-dessous.

Appliquer les packages d’installation et d’intégration de Microsoft Defender pour point de terminaison à l’aide de la stratégie de groupe lors de l’installation avec un script d’installation

  1. Créez une stratégie de groupe :
    Ouvrez la console de gestion des stratégies de groupe (GPMC), cliquez avec le bouton droit sur Objets de stratégie de groupe que vous souhaitez configurer, puis sélectionnez Nouveau. Entrez le nom du nouvel objet de stratégie de groupe dans la boîte de dialogue qui s’affiche, puis sélectionnez OK.

  2. Ouvrez la console de gestion des stratégies de groupe (GPMC), cliquez avec le bouton droit sur l’objet de stratégie de groupe (GPO) que vous souhaitez configurer, puis sélectionnez Modifier.

  3. Dans l’Éditeur de gestion des stratégies de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis Paramètres du Panneau de configuration.

  4. Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate (Au moins Windows 7).

  5. Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Sous Options de sécurité , sélectionnez Modifier l’utilisateur ou le groupe , tapez SYSTÈME, puis sélectionnez Vérifier les noms , puis OK. NT AUTHORITY\SYSTEM apparaît comme le compte d’utilisateur sous lequel la tâche s’exécutera.

  6. Sélectionnez Exécuter si l’utilisateur est connecté ou non , puis cochez la case Exécuter avec les privilèges les plus élevés .

  7. Dans le champ Nom, tapez un nom approprié pour la tâche planifiée (par exemple, Déploiement de Defender pour point de terminaison).

  8. Accédez à l’onglet Actions et sélectionnez Nouveau... Vérifiez que Démarrer un programme est sélectionné dans le champ Action . Le script d’installation gère l’installation et effectue immédiatement l’étape d’intégration une fois l’installation terminée. Sélectionnez C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe puis fournissez les arguments :

     -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd

    Remarque

    Le paramètre de stratégie d’exécution recommandé est Allsigned. Cela nécessite l’importation du certificat de signature du script dans le magasin Serveurs de publication approuvés de l’ordinateur local si le script s’exécute en tant que SYSTEM sur le point de terminaison.

    Remplacez \\servername-or-dfs-space\share-name par le chemin d’accès UNC, en utilisant le nom de domaine complet (FQDN) du serveur de fichiers du fichier install.ps1 partagé. Le package d’installation md4ws.msi doit être placé dans le même répertoire. Vérifiez que les autorisations du chemin UNC autorisent l’accès en écriture au compte d’ordinateur qui installe le package pour prendre en charge la création de fichiers journaux. Si vous souhaitez désactiver la création de fichiers journaux (non recommandé), vous pouvez utiliser les paramètres -noETL -noMSILog.

    Pour les scénarios où vous souhaitez que l’Antivirus Microsoft Defender coexiste avec des solutions anti-programme malveillant non-Microsoft, ajoutez le paramètre $Passive pour définir le mode passif lors de l’installation.

  9. Sélectionnez OK et fermez toutes les fenêtres de la console GPMC ouvertes.

  10. Pour lier l’objet de stratégie de groupe à une unité d’organisation (UO), cliquez avec le bouton droit et sélectionnez Lier un objet de stratégie de groupe existant. Dans la boîte de dialogue qui s’affiche, sélectionnez l’objet de stratégie de groupe que vous souhaitez lier. Sélectionnez OK.

Pour plus de paramètres de configuration, consultez Configurer des exemples de paramètres de collecte et Autres paramètres de configuration recommandés.

ÉTAPE 3 : Effectuer les étapes d’intégration

Les étapes suivantes s’appliquent uniquement si vous utilisez une solution anti-programme malveillant tierce. Vous devez appliquer le paramètre de mode passif antivirus Microsoft Defender suivant. Vérifiez qu’il a été configuré correctement :

  1. Définissez l’entrée de Registre suivante :

    • Chemin: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • Nom : ForceDefenderPassiveMode
    • Type: REG_DWORD
    • Valeur : 1

    Résultat de la vérification en mode passif

Problèmes connus et limitations du nouveau package de solution unifié pour Windows Server 2016 et Windows Server 2012 R2

Importante

Téléchargez toujours le dernier package d’installation à partir du portail Microsoft Defender (https://security.microsoft.com) avant d’effectuer une nouvelle installation et vérifiez que les conditions préalables sont remplies. Après l’installation, veillez à mettre à jour régulièrement à l’aide des mises à jour des composants décrites dans la section Packages de mise à jour pour Microsoft Defender pour point de terminaison sur Windows Server 2012 R2 et 2016.

  • Une mise à jour du système d’exploitation peut introduire un problème d’installation sur les ordinateurs avec des disques plus lents en raison d’un délai d’attente avec l’installation du service. L’installation échoue avec le message « Impossible de trouver c :\program files\windows defender\mpasdesc.dll, - 310 WinDefend ». Utilisez le dernier package d’installation et le dernier script install.ps1 pour effacer l’installation ayant échoué si nécessaire.

  • l’interface utilisateur sur Windows Server 2016 et Windows Server 2012 R2 autorise uniquement les opérations de base. Pour effectuer des opérations sur un appareil localement, consultez Gérer Microsoft Defender pour point de terminaison avec PowerShell, WMI et MPCmdRun.exe. Par conséquent, les fonctionnalités qui s’appuient spécifiquement sur l’interaction de l’utilisateur, telles que l’endroit où l’utilisateur est invité à prendre une décision ou à effectuer une tâche spécifique, peuvent ne pas fonctionner comme prévu. Il est recommandé de désactiver ou de ne pas activer l’interface utilisateur, ni d’exiger une interaction utilisateur sur n’importe quel serveur managé, car cela peut avoir un impact sur la capacité de protection.

  • Toutes les règles de réduction de la surface d’attaque ne s’appliquent pas à tous les systèmes d’exploitation. Consultez Règles de réduction de la surface d’attaque.

  • Les mises à niveau du système d’exploitation ne sont pas prises en charge. Désintégner, puis désinstaller avant la mise à niveau. Le package d’installation peut uniquement être utilisé pour mettre à niveau des installations qui n’ont pas encore été mises à jour avec de nouveaux packages de mise à jour de la plateforme anti-programme malveillant ou du capteur EDR.

  • Pour déployer et intégrer automatiquement la nouvelle solution à l’aide de Microsoft Endpoint Configuration Manager (MECM), vous devez être sur la version 2207 ou ultérieure. Vous pouvez toujours configurer et déployer à l’aide de la version 2107 avec le correctif cumulatif, mais cela nécessite des étapes de déploiement supplémentaires. Pour plus d’informations, consultez Scénarios de migration microsoft Endpoint Configuration Manager .

Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019 et Windows Server 2022

Télécharger le package

  1. Dans Microsoft Defender XDR, accédez à Paramètres Points > de terminaison > Intégration de la gestion des > appareils.

  2. Sélectionnez Windows Server 1803 et 2019.

  3. Sélectionnez Télécharger le package. Enregistrez-le en tant que WindowsDefenderATPOnboardingPackage.zip.

  4. Suivez les étapes fournies dans la section Effectuer les étapes d’intégration .

Vérifier l’intégration et l’installation

Vérifiez que Antivirus Microsoft Defender et Microsoft Defender pour point de terminaison sont en cours d’exécution.

Exécuter un test de détection pour vérifier l’intégration

Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier qu’un appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Microsoft Defender pour point de terminaison nouvellement intégré.

Remarque

L’exécution de l’Antivirus Microsoft Defender n’est pas obligatoire, mais elle est recommandée. Si un autre produit de fournisseur d’antivirus est la solution de protection de point de terminaison principale, vous pouvez exécuter l’antivirus Defender en mode passif. Vous ne pouvez vérifier que le mode passif est activé qu’après avoir vérifié que le capteur Microsoft Defender pour point de terminaison (SENSE) est en cours d’exécution.

  1. Exécutez la commande suivante pour vérifier que l’Antivirus Microsoft Defender est installé :

    Remarque

    Cette étape de vérification n’est nécessaire que si vous utilisez Antivirus Microsoft Defender comme solution anti-programme malveillant active.

    sc.exe query Windefend

    Si le résultat est « Le service spécifié n’existe pas en tant que service installé », vous devez installer l’Antivirus Microsoft Defender.

    Pour plus d’informations sur l’utilisation de la stratégie de groupe pour configurer et gérer l’Antivirus Microsoft Defender sur vos serveurs Windows, consultez Utiliser les paramètres de stratégie de groupe pour configurer et gérer l’Antivirus Microsoft Defender.

  2. Exécutez la commande suivante pour vérifier que Microsoft Defender pour point de terminaison est en cours d’exécution :

    sc.exe query sense

    Le résultat doit indiquer qu’il est en cours d’exécution. Si vous rencontrez des problèmes d’intégration, consultez Résoudre les problèmes d’intégration.

Exécuter un test de détection

Suivez les étapes décrites dans Exécuter un test de détection sur un appareil nouvellement intégré pour vérifier que le serveur signale à Defender pour le service point de terminaison.

Prochaines étapes

Une fois les appareils correctement intégrés au service, vous devez configurer les composants individuels de Microsoft Defender pour point de terminaison. Suivez Configurer les fonctionnalités pour être guidé sur l’activation des différents composants.

Désintégrer les serveurs Windows

Vous pouvez désactiver Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019 et Windows Server 2019 Core edition dans la même méthode disponible pour les appareils clients Windows 10.

Après la désintégration, vous pouvez procéder à la désinstallation du package de solution unifiée sur Windows Server 2016 et Windows Server 2012 R2.

Pour les autres versions de serveur Windows, vous avez deux options pour retirer les serveurs Windows du service :

  • Désinstaller l’agent MMA
  • Supprimer la configuration de l’espace de travail Defender pour point de terminaison

Remarque

Ces instructions de désintégration pour d’autres versions de Windows Server s’appliquent également si vous exécutez l’ancien Microsoft Defender pour point de terminaison pour Windows Server 2016 et Windows Server 2012 R2 qui nécessite MMA. Les instructions pour migrer vers la nouvelle solution unifiée se trouvent dans Scénarios de migration de serveur dans Microsoft Defender pour point de terminaison.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.