Intégrer des appareils Windows à l’aide d’une stratégie de groupe
Article
Important
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Pour utiliser les mises à jour stratégie de groupe (GP) pour déployer le package, vous devez être sur Windows Server 2008 R2 ou version ultérieure.
Pour Windows Server 2019 et versions ultérieures, vous devrez peut-être remplacer par NT AUTHORITY\Well-Known-System-AccountNT AUTHORITY\SYSTEM le fichier XML créé par la préférence stratégie de groupe.
Si vous utilisez la nouvelle solution de Microsoft Defender pour point de terminaison unifiée pour Windows Server 2012 R2 et Windows Server 2016, veillez à utiliser les derniers fichiers ADMX dans votre magasin central pour accéder aux fichiers appropriés Microsoft Defender pour point de terminaison options de stratégie. Consultez Comment créer et gérer le magasin central pour stratégie de groupe modèles d’administration dans Windows et télécharger les derniers fichiers à utiliser avec Windows 10.
Ouvrez le fichier de package de configuration de la stratégie de groupe (WindowsDefenderATPOnboardingPackage.zip) que vous avez téléchargé à partir de l’Assistant Intégration du service. Vous pouvez également obtenir le package à partir du portail Microsoft Defender :
Dans le volet de navigation, sélectionnez Paramètres Points>de terminaison> Intégrationde la gestion des>appareils.
Sélectionnez le système d’exploitation.
Dans le champ Méthode de déploiement , sélectionnez Stratégie de groupe.
Cliquez sur Télécharger le package et enregistrez le fichier .zip.
Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible par l’appareil. Vous devez avoir un dossier appelé OptionalParamsPolicy et le fichier WindowsDefenderATPOnboardingScript.cmd.
Pour créer un objet de stratégie de groupe, ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur stratégie de groupe Objets que vous souhaitez configurer, puis cliquez sur Nouveau. Entrez le nom du nouvel objet de stratégie de groupe dans la boîte de dialogue qui s’affiche, puis cliquez sur OK.
Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.
Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis Paramètres du Panneau de configuration.
Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate (Au moins Windows 7).
Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Sous Options de sécurité , cliquez sur Modifier l’utilisateur ou le groupe , tapez SYSTÈME, puis cliquez sur Vérifier les noms , puis sur OK. NT AUTHORITY\SYSTEM apparaît comme le compte d’utilisateur sous lequel la tâche s’exécutera.
Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.
Dans le champ Nom, tapez un nom approprié pour la tâche planifiée (par exemple, Déploiement de Defender pour point de terminaison).
Accédez à l’onglet Actions et sélectionnez Nouveau... Vérifiez que Démarrer un programme est sélectionné dans le champ Action . Entrez le chemin d’accès UNC, en utilisant le nom de domaine complet (FQDN) du serveur de fichiers, du fichier WindowsDefenderATPOnboardingScript.cmd partagé.
Sélectionnez OK et fermez toutes les fenêtres de la console GPMC ouvertes.
Pour lier l’objet de stratégie de groupe à une unité d’organisation (UO), cliquez avec le bouton droit et sélectionnez Lier un objet de stratégie de groupe existant. Dans la boîte de dialogue qui s’affiche, sélectionnez l’objet stratégie de groupe que vous souhaitez lier. Cliquez sur OK.
Paramètres de configuration supplémentaires de Defender pour point de terminaison
Pour chaque appareil, vous pouvez indiquer si des échantillons peuvent être collectés à partir de l’appareil lorsqu’une demande est effectuée via Microsoft Defender XDR d’envoyer un fichier à des fins d’analyse approfondie.
Vous pouvez utiliser stratégie de groupe (GP) pour configurer des paramètres, tels que les paramètres de l’exemple de partage utilisé dans la fonctionnalité d’analyse approfondie.
Configurer des exemples de paramètres de regroupement
Sur votre appareil de gestion gp, copiez les fichiers suivants à partir du package de configuration :
Copiez AtpConfiguration.admx dans C:\Windows\PolicyDefinitions.
Copiez AtpConfiguration.adml dans C:\Windows\PolicyDefinitions\en-US.
Copiez AtpConfiguration.admx dans \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions.
Copiez AtpConfiguration.adml dans \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US.
Ouvrez la console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous souhaitez configurer, puis cliquez sur Modifier.
Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur.
Cliquez sur Stratégies, puis sur Modèles d’administration.
Cliquez sur Composants Windows , puis sur Windows Defender ATP.
Choisissez d’activer ou de désactiver le partage d’exemples à partir de vos appareils.
Notes
Si vous ne définissez pas de valeur, la valeur par défaut est d’activer la collection d’exemples.
Autres paramètres de configuration recommandés
Mettre à jour la configuration endpoint Protection
Après avoir configuré le script d’intégration, continuez à modifier la même stratégie de groupe pour ajouter des configurations Endpoint Protection. Effectuez des modifications de stratégie de groupe à partir d’un système exécutant Windows 10, Windows 11 ou Windows Server 2019 et versions ultérieures pour vous assurer que vous disposez de toutes les fonctionnalités antivirus Microsoft Defender requises. Vous devrez peut-être fermer et rouvrir l’objet de stratégie de groupe pour inscrire les paramètres de configuration Defender ATP.
Toutes les stratégies se trouvent sous Computer Configuration\Policies\Administrative Templates.
Emplacement de la stratégie :\Windows Components\Windows Defender ATP
Stratégie
Setting
Activer\Désactiver l’exemple de collection
Activé : « Activer la collecte d’exemples sur les machines » cochée
Emplacement de la stratégie :\Windows Components\Microsoft Defender Antivirus
Stratégie
Setting
Configurer la détection des applications potentiellement indésirables
Activé, Bloquer
Emplacement de la stratégie :\Windows Components\Microsoft Defender Antivirus\MAPS
Stratégie
Setting
Rejoindre Microsoft MAPS
Enabled, Advanced MAPS
Envoyer des exemples de fichiers quand une analyse supplémentaire est requise
Activé, Envoyer des exemples sécurisés
Emplacement de la stratégie :\Windows Components\Microsoft Defender Antivirus\Real-time Protection
Stratégie
Setting
Désactiver la protection en temps réel
Désactivé
Activer la surveillance du comportement
Activé
Analyser tous les fichiers et pièces jointes téléchargés
Activé
Surveiller l’activité des fichiers et des programmes sur votre ordinateur
Activé
Emplacement de la stratégie :\Windows Components\Microsoft Defender Antivirus\Scan
Ces paramètres configurent des analyses périodiques du point de terminaison. Nous vous recommandons d’effectuer une analyse rapide hebdomadaire, si les performances le permettent.
Stratégie
Setting
Recherchez les informations de sécurité les plus récentes sur les virus et les logiciels espions avant d’exécuter une analyse planifiée
Activé
Emplacement de la stratégie :\Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction
Désintégner des appareils à l’aide de stratégie de groupe
Pour des raisons de sécurité, le package utilisé pour désactiver les appareils expirera 7 jours après la date de téléchargement. Les packages de désintégrage expirés envoyés à un appareil seront rejetés. Lors du téléchargement d’un package de désintéglage, vous serez informé de la date d’expiration des packages et il sera également inclus dans le nom du package.
Notes
Les stratégies d’intégration et de désintégration ne doivent pas être déployées sur le même appareil en même temps, sinon cela entraînera des collisions imprévisibles.
Dans le volet de navigation, sélectionnez Paramètres Points>de terminaison> Désactivationde la gestion des>appareils.
Sélectionnez le système d’exploitation.
Dans le champ Méthode de déploiement , sélectionnez Stratégie de groupe.
Cliquez sur Télécharger le package et enregistrez le fichier .zip.
Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible par l’appareil. Vous devez avoir un fichier nommé WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.
Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.
Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis Paramètres du Panneau de configuration.
Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate.
Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général sous Options de sécurité et sélectionnez Modifier l’utilisateur ou le groupe, entrez SYSTÈME, puis sélectionnez Vérifier les noms , puis OK. NT AUTHORITY\SYSTEM apparaît comme le compte d’utilisateur sous lequel la tâche s’exécutera.
Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.
Dans le champ Nom, tapez un nom approprié pour la tâche planifiée (par exemple, Déploiement de Defender pour point de terminaison).
Accédez à l’onglet Actions et sélectionnez Nouveau.... Vérifiez que Démarrer un programme est sélectionné dans le champ Action . Entrez le chemin d’accès UNC, en utilisant le nom de domaine complet (FQDN) du serveur de fichiers, du fichier partagé WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd .
Sélectionnez OK et fermez toutes les fenêtres de la console GPMC ouvertes.
Important
La désintégérence entraîne l’arrêt de l’envoi des données de capteur au portail, mais les données de l’appareil, y compris la référence aux alertes qu’il a eues, seront conservées pendant 6 mois maximum.
Surveiller la configuration de l’appareil
Avec stratégie de groupe il n’existe aucune option permettant de surveiller le déploiement des stratégies sur les appareils. La surveillance peut être effectuée directement sur le portail ou à l’aide des différents outils de déploiement.
L’affichage des appareils dans la liste Appareils peut prendre plusieurs jours. Cela inclut le temps nécessaire pour que les stratégies soient distribuées à l’appareil, le temps nécessaire avant que l’utilisateur se connecte et le temps nécessaire pour que le point de terminaison commence à créer des rapports.
Configurer les stratégies Defender AV
Créez un stratégie de groupe ou regroupez ces paramètres avec les autres stratégies. Cela dépend de l’environnement du client et de la façon dont il souhaite déployer le service en ciblant différentes unités d’organisation( UO).
Après avoir choisi la stratégie de groupe ou créé un nouveau groupe, modifiez-la.
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Protection entemps réel antivirus>.
Dans le dossier Quarantaine , configurez la suppression des éléments du dossier Quarantaine.
Dans le dossier Analyser , configurez les paramètres d’analyse.
Surveiller tous les fichiers dans la protection en temps réel
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Protection entemps réel antivirus>.
Configurer les paramètres De Windows Defender SmartScreen
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants>Windows Windows Defender SmartScreen>Explorer.
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants>Windows Windows Defender SmartScreen>Microsoft Edge.
Configurer des applications potentiellement indésirables
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus.
Configurer Cloud Deliver Protection et envoyer automatiquement des exemples
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>MAPS.
Notes
L’option Envoyer tous les exemples fournit une analyse optimale des fichiers binaires/scripts/documents, ce qui augmente la posture de sécurité.
L’option Envoyer des exemples sécurisés limite le type de fichiers binaires/scripts/documents analysés et réduit la posture de sécurité.
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>Security Intelligence Mises à jour.
Configurer le niveau de protection et de délai d’expiration de livraison cloud
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>MpEngine.
Lorsque vous configurez la stratégie de niveau de protection cloud sur La stratégie de blocage antivirus Microsoft Defender par défaut, cela désactive la stratégie. C’est ce qui est nécessaire pour définir le niveau de protection par défaut de Windows.
Ce module explore l’utilisation de Microsoft Defender pour point de terminaison afin de fournir une protection supplémentaire et de superviser les appareils contre les menaces.
Planifier et exécuter une stratégie de déploiement de points de terminaison, en utilisant les éléments essentiels de la gestion moderne, les approches de cogestion et l’intégration de Microsoft Intune.