Intégrer des appareils Windows à l’aide d’une stratégie de groupe

  • Article

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Remarque

Pour utiliser les mises à jour stratégie de groupe (GP) pour déployer le package, vous devez être sur Windows Server 2008 R2 ou version ultérieure.

Pour Windows Server 2019 et Windows Server 2022, vous devrez peut-être remplacer NT AUTHORITY\Well-Known-System-Account par NT AUTHORITY\SYSTEM du fichier XML créé par la préférence stratégie de groupe.

Remarque

Si vous utilisez la nouvelle solution de Microsoft Defender pour point de terminaison unifiée pour Windows Server 2012 R2 et 2016, vérifiez que vous utilisez les derniers fichiers ADMX dans votre magasin central pour accéder aux fichiers appropriés. Microsoft Defender pour point de terminaison options de stratégie. Reportez-vous à La création et à la gestion du Magasin central pour stratégie de groupe modèles d’administration dans Windows et téléchargez les derniers fichiers à utiliser avec Windows 10.

Consultez Identifier l’architecture et la méthode de déploiement de Defender pour point de terminaison pour voir les différents chemins d’accès au déploiement de Defender pour point de terminaison.

  1. Ouvrez le fichier de package de configuration de la stratégie de groupe (WindowsDefenderATPOnboardingPackage.zip) que vous avez téléchargé à partir de l’Assistant Intégration du service. Vous pouvez également obtenir le package à partir du portail Microsoft Defender :

    1. Dans le volet de navigation, sélectionnez Paramètres Points>de terminaison> Intégrationde la gestion des>appareils.

    2. Sélectionnez le système d’exploitation.

    3. Dans le champ Méthode de déploiement , sélectionnez Stratégie de groupe.

    4. Cliquez sur Télécharger le package et enregistrez le fichier .zip.

  2. Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible par l’appareil. Vous devez avoir un dossier appelé OptionalParamsPolicy et le fichier WindowsDefenderATPOnboardingScript.cmd.

  3. Pour créer un objet de stratégie de groupe, ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur stratégie de groupe Objets que vous souhaitez configurer, puis cliquez sur Nouveau. Entrez le nom du nouvel objet de stratégie de groupe dans la boîte de dialogue qui s’affiche, puis cliquez sur OK.

  4. Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.

  5. Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis Paramètres du Panneau de configuration.

  6. Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate (Au moins Windows 7).

  7. Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Sous Options de sécurité , cliquez sur Modifier l’utilisateur ou le groupe , tapez SYSTÈME, puis cliquez sur Vérifier les noms , puis sur OK. NT AUTHORITY\SYSTEM apparaît comme le compte d’utilisateur sous lequel la tâche s’exécutera.

  8. Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.

  9. Dans le champ Nom, tapez un nom approprié pour la tâche planifiée (par exemple, Déploiement de Defender pour point de terminaison).

  10. Accédez à l’onglet Actions et sélectionnez Nouveau... Vérifiez que Démarrer un programme est sélectionné dans le champ Action . Entrez le chemin d’accès UNC, en utilisant le nom de domaine complet (FQDN) du serveur de fichiers, du fichier WindowsDefenderATPOnboardingScript.cmd partagé.

  11. Sélectionnez OK et fermez toutes les fenêtres de la console GPMC ouvertes.

  12. Pour lier l’objet de stratégie de groupe à une unité d’organisation (UO), cliquez avec le bouton droit et sélectionnez Lier un objet de stratégie de groupe existant. Dans la boîte de dialogue qui s’affiche, sélectionnez l’objet stratégie de groupe que vous souhaitez lier. Cliquez sur OK.

Conseil

Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier que l’appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Defender pour point de terminaison nouvellement intégré.

Paramètres de configuration supplémentaires de Defender pour point de terminaison

Pour chaque appareil, vous pouvez indiquer si des échantillons peuvent être collectés à partir de l’appareil lorsqu’une demande est effectuée via Microsoft Defender XDR d’envoyer un fichier à des fins d’analyse approfondie.

Vous pouvez utiliser stratégie de groupe (GP) pour configurer des paramètres, tels que les paramètres de l’exemple de partage utilisé dans la fonctionnalité d’analyse approfondie.

Configurer des exemples de paramètres de regroupement

  1. Sur votre appareil de gestion gp, copiez les fichiers suivants à partir du package de configuration :

    • Copiez AtpConfiguration.admx dans C :\Windows\PolicyDefinitions

    • Copiez AtpConfiguration.adml dans C :\Windows\PolicyDefinitions\en-US

    Si vous utilisez un magasin central pour stratégie de groupe modèles d’administration, copiez les fichiers suivants à partir du package de configuration :

    • Copiez AtpConfiguration.admx dans \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions

    • Copiez AtpConfiguration.adml dans \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US

  2. Ouvrez la console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous souhaitez configurer, puis cliquez sur Modifier.

  3. Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur.

  4. Cliquez sur Stratégies, puis sur Modèles d’administration.

  5. Cliquez sur Composants Windows, puis Windows Defender ATP.

  6. Choisissez d’activer ou de désactiver le partage d’exemples à partir de vos appareils.

Remarque

Si vous ne définissez pas de valeur, la valeur par défaut est d’activer la collection d’exemples.

Mettre à jour la configuration endpoint Protection

Après avoir configuré le script d’intégration, continuez à modifier la même stratégie de groupe pour ajouter des configurations Endpoint Protection. Effectuez des modifications de stratégie de groupe à partir d’un système exécutant Windows 10 ou Server 2019, Windows 11 ou Windows Server 2022 pour vous assurer que vous disposez de toutes les fonctionnalités antivirus Microsoft Defender requises. Vous devrez peut-être fermer et rouvrir l’objet de stratégie de groupe pour inscrire les paramètres de configuration Defender ATP.

Toutes les stratégies se trouvent sous Computer Configuration\Policies\Administrative Templates.

Emplacement de la stratégie : \Composants Windows\Windows Defender ATP

Stratégie Setting
Activer\Désactiver l’exemple de collection Activé : « Activer la collecte d’exemples sur les machines » cochée

Emplacement de la stratégie : \Composants Windows\antivirus Microsoft Defender

Stratégie Setting
Configurer la détection des applications potentiellement indésirables Activé, Bloquer

Emplacement de la stratégie : \Composants Windows\antivirus Microsoft Defender\MAPS

Stratégie Setting
Rejoindre Microsoft MAPS Enabled, Advanced MAPS
Envoyer des exemples de fichiers quand une analyse supplémentaire est requise Activé, Envoyer des exemples sécurisés

Emplacement de la stratégie : \Composants Windows\antivirus Microsoft Defender\Protection en temps réel

Stratégie Setting
Désactiver la protection en temps réel Désactivé
Activer la surveillance du comportement Activé
Analyser tous les fichiers et pièces jointes téléchargés Activé
Surveiller l’activité des fichiers et des programmes sur votre ordinateur Activé

Emplacement de la stratégie : \Composants Windows\antivirus Microsoft Defender\Analyse

Ces paramètres configurent des analyses périodiques du point de terminaison. Nous vous recommandons d’effectuer une analyse rapide hebdomadaire, si les performances le permettent.

Stratégie Setting
Recherchez les informations de sécurité les plus récentes sur les virus et les logiciels espions avant d’exécuter une analyse planifiée Activé

Emplacement de la stratégie : \Composants Windows\antivirus Microsoft Defender\Microsoft Defender Exploit Guard\Réduction de la surface d’attaque

Obtenez la liste actuelle des GUID des règles de réduction de la surface d’attaque à partir du déploiement des règles de réduction de la surface d’attaque Étape 3 : Implémenter des règles ASR. Pour plus d’informations sur les règles, consultez Informations de référence sur les règles de réduction de la surface d’attaque

  1. Ouvrez la stratégie Configurer la réduction de la surface d’attaque .

  2. Sélectionnez Activé.

  3. Sélectionnez le bouton Afficher .

  4. Ajoutez chaque GUID dans le champ Nom de la valeur avec la valeur 2.

    Cela permet de configurer chacun d’eux pour l’audit uniquement.

    Configuration de la réduction de la surface d’attaque

Stratégie Emplacement Setting
Configurer l’accès contrôlé aux dossiers \Composants Windows\antivirus Microsoft Defender\Microsoft Defender Exploit Guard\Accès contrôlé aux dossiers Activé, mode Audit

Exécuter un test de détection pour vérifier l’intégration

Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier qu’un appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Microsoft Defender pour point de terminaison nouvellement intégré.

Désintégner des appareils à l’aide de stratégie de groupe

Pour des raisons de sécurité, le package utilisé pour désactiver les appareils expirera 30 jours après la date de téléchargement. Les packages de désintégrage expirés envoyés à un appareil seront rejetés. Lors du téléchargement d’un package de désintéglage, vous serez informé de la date d’expiration des packages et il sera également inclus dans le nom du package.

Remarque

Les stratégies d’intégration et de désintégration ne doivent pas être déployées sur le même appareil en même temps, sinon cela entraînera des collisions imprévisibles.

  1. Obtenez le package de désintégrage à partir du portail Microsoft Defender :

    1. Dans le volet de navigation, sélectionnez Paramètres Points>de terminaison> Désactivationde la gestion des>appareils.

    2. Sélectionnez le système d’exploitation.

    3. Dans le champ Méthode de déploiement , sélectionnez Stratégie de groupe.

    4. Cliquez sur Télécharger le package et enregistrez le fichier .zip.

  2. Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible par l’appareil. Vous devez avoir un fichier nommé WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.

  4. Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis Paramètres du Panneau de configuration.

  5. Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate.

  6. Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général sous Options de sécurité et sélectionnez Modifier l’utilisateur ou le groupe, entrez SYSTÈME, puis sélectionnez Vérifier les noms , puis OK. NT AUTHORITY\SYSTEM apparaît comme le compte d’utilisateur sous lequel la tâche s’exécutera.

  7. Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.

  8. Dans le champ Nom, tapez un nom approprié pour la tâche planifiée (par exemple, Déploiement de Defender pour point de terminaison).

  9. Accédez à l’onglet Actions et sélectionnez Nouveau.... Vérifiez que Démarrer un programme est sélectionné dans le champ Action . Entrez le chemin d’accès UNC, en utilisant le nom de domaine complet (FQDN) du serveur de fichiers, du fichier WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd partagé.

  10. Sélectionnez OK et fermez toutes les fenêtres de la console GPMC ouvertes.

Importante

La désintégérence entraîne l’arrêt de l’envoi des données de capteur au portail, mais les données de l’appareil, y compris la référence aux alertes qu’il a eues, seront conservées pendant 6 mois maximum.

Surveiller la configuration de l’appareil

Avec stratégie de groupe il n’existe aucune option permettant de surveiller le déploiement des stratégies sur les appareils. La surveillance peut être effectuée directement sur le portail ou à l’aide des différents outils de déploiement.

Surveiller les appareils à l’aide du portail

  1. Accédez au portail Microsoft Defender.
  2. Cliquez sur Inventaire des appareils.
  3. Vérifiez que les appareils apparaissent.

Remarque

L’affichage des appareils dans la liste Appareils peut prendre plusieurs jours. Cela inclut le temps nécessaire pour que les stratégies soient distribuées à l’appareil, le temps nécessaire avant que l’utilisateur se connecte et le temps nécessaire pour que le point de terminaison commence à créer des rapports.

Configurer les stratégies Defender AV

Create une nouvelle stratégie de groupe ou regrouper ces paramètres avec les autres stratégies. Cela dépend de l’environnement du client et de la façon dont il souhaite déployer le service en ciblant différentes unités d’organisation( UO).

  1. Après avoir choisi la stratégie de groupe ou créé un nouveau groupe, modifiez-la.

  2. Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Protection entemps réel antivirus>.

    Protection en temps réel

  3. Dans le dossier Quarantaine, configurez la suppression des éléments du dossier Quarantaine.

    Dossier de mise en quarantaine des éléments de suppression

    mise en quarantaine de la suppression de la configuration

  4. Dans le dossier Analyser, configurez les paramètres d’analyse.

    Analyses gpo

Surveiller tous les fichiers dans la protection en temps réel

Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Protection entemps réel antivirus>.

Configurer la surveillance de l’activité des fichiers sortants entrants

Configurer Windows Defender paramètres SmartScreen

  1. Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Windows Defender SmartScreen>Explorer.

    Configurer l’Explorateur d’écran intelligent Windows Defender

  2. Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Windows Defender SmartScreen>Microsoft Edge.

    Configurer l’écran intelligent Windows Defender sur Microsoft Edge

Configurer des applications potentiellement indésirables

Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus.

Configurer une application potentiellement indésirable

potentiel de configuration

Configurer Cloud Deliver Protection et envoyer automatiquement des exemples

Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>MAPS.

Cartes

Bloquer à la première consultation

Joindre microsoft maps

Envoyer un exemple de fichier quand une analyse plus approfondie est requise

Remarque

L’option Envoyer tous les exemples fournit une analyse optimale des fichiers binaires/scripts/documents, ce qui augmente la posture de sécurité. L’option Envoyer des exemples sécurisés limite le type de fichiers binaires/scripts/documents analysés et réduit la posture de sécurité.

Pour plus d’informations, consultez Activer la protection cloud dans Microsoft Defender Antivirus et Protection cloud et envoi d’exemples dans Microsoft Defender Antivirus.

Rechercher la mise à jour de la signature

Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>Security Intelligence Mises à jour.

Mise à jour de la signature

Mise à jour de la définition de signature

Configurer le niveau de protection et de délai d’expiration de livraison cloud

Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>MpEngine. Lorsque vous configurez la stratégie de niveau de protection cloud sur La stratégie de blocage antivirus Microsoft Defender par défaut, cela désactive la stratégie. C’est ce qui est nécessaire pour définir le niveau de protection par défaut de Windows.

config extended cloud case activée

niveau de protection du cloud de configuration

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.