שתף באמצעות

צירוף מכשירי Windows באמצעות Configuration Manager

  • מאמר

חל על:

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

דרישות מוקדמות

חשוב

תפקיד מערכת האתרים נקודת הגנה של נקודת הקצה נדרש כך שמדיניות הפחתת פני השטח של אנטי-וירוס ותקיפה נפרסת כראוי בנקודת הקצה הייעדית. ללא תפקיד זה, נקודות הקצה באוסף המכשירים לא יקבלו את מדיניות ההפחתה של פני השטח והאנטי-וירוס שהוגדרה.

באפשרותך להשתמש Configuration Manager כדי לקלוט נקודות קצה לשירות Microsoft Defender עבור נקודת קצה שלך.

קיימות כמה אפשרויות לשימוש בצירוף מכשירים באמצעות Configuration Manager:

הערה

Defender for Endpoint אינו תומך בצירוף במהלך השלב 'חוויית מוצר מוכן מראש ' (OOBE ). ודא שהמשתמשים משלים את OOBE לאחר הפעלת התקנה או שדרוג של Windows.

שים לב שניתן ליצור כלל זיהוי ביישום של Configuration Manager כדי לבדוק באופן רציף אם מכשיר צרף אותו. יישום הוא סוג אובייקט שונה מאשר חבילה ותוכנית. אם מכשיר עדיין לא רשום (עקב השלמת OOBE ממתינה או מכל סיבה אחרת), Configuration Manager ונסה שוב לקלוט את המכשיר עד שהכלל יזהה את שינוי המצב.

ניתן לבצע אופן פעולה זה על-ידי יצירת בדיקת כלל זיהוי אם ערך הרישום "OnboardingState" (מסוג REG_DWORD) = 1. ערך רישום זה ממוקם תחת "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". לקבלת מידע נוסף, ראה קביעת תצורה של שיטות זיהוי במרכז המערכת 2012 R2 Configuration Manager.

קביעת תצורה של הגדרות אוסף לדוגמה

עבור כל מכשיר, באפשרותך להגדיר ערך תצורה למצב אם ניתן לאסוף דוגמאות מהמכשיר כאשר בקשה מתבצעת באמצעות Microsoft Defender XDR כדי לשלוח קובץ לניתוח עמוק.

הערה

הגדרות תצורה אלה מתבצעות בדרך כלל באמצעות Configuration Manager.

באפשרותך להגדיר כלל תאימות עבור פריט תצורה ב- Configuration Manager כדי לשנות את הגדרת השיתוף לדוגמה במכשיר.

כלל זה צריך להיות פריט קביעת תצורה של כלל תאימות המגדיר את הערך של מפתח רישום במכשירים ייעודיים כדי לוודא שהם תואמים.

התצורה מוגדרת באמצעות ערך מפתח הרישום הבא:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

כאשר סוג המקש הוא D-WORD. ערכים אפשריים הם:

  • 0: אינו מאפשר שיתוף לדוגמה ממכשיר זה
  • 1: מאפשר שיתוף של כל סוגי הקבצים ממכשיר זה

ערך ברירת המחדל במקרה שמפתח הרישום אינו קיים הוא 1.

לקבלת מידע נוסף אודות תאימות Configuration Manager System Center, ראה מבוא להגדרות תאימות ב- System Center 2012 R2 Configuration Manager.

צירוף מכשירי Windows באמצעות Microsoft Configuration Manager

יצירת אוסף

כדי להוסיף מכשירים של Windows Microsoft Configuration Manager, הפריסה יכולה לייעד אוסף קיים או שניתן ליצור אוסף חדש לבדיקה.

צירוף באמצעות כלים כגון מדיניות קבוצתית או שיטה ידנית אינו מתקין סוכנים כלשהם במערכת.

במסוף Microsoft Configuration Manager, תהליך הצירוף יוגדר כחלק מהגדרות התאימות בתוך הקונסולה.

כל מערכת המקבלת תצורה נדרשת זו שומרת על תצורה זו כל עוד Configuration Manager ממשיך לקבל מדיניות זו נקודת הניהול.

בצע שלבים אלה כדי לקלוט נקודות קצה באמצעות Microsoft Configuration Manager:

  1. במסוף Microsoft Configuration Manager, נווט אל אוספי המכשירים של סקירת >> נכסים ותאימות.

    צילום מסך של אשף Microsoft Configuration Manager 1.

  2. בחר והחזק (או לחץ באמצעות לחצן העכבר הימני) את אוסף המכשיריםובחר Create המכשיר.

    צילום מסך של Microsoft Configuration Manager אשף 2.

  3. ספק שם ואוסףמוגבל ולאחר מכן בחר הבא.

    צילום מסך של אשף Microsoft Configuration Manager 3.

  4. בחר הוסף כלל ובחר כלל שאילתה.

    צילום מסך של אשף Microsoft Configuration Manager 4.

  5. בחר הבא באשף החברות הישירה ולאחר מכן בחר ערוך משפט שאילתה.

    צילום מסך של אשף Microsoft Configuration Manager 5.

  6. בחר קריטריונים ולאחר מכן בחר את סמל הכוכב.

    צילום מסך של אשף Microsoft Configuration Manager 6.

  7. שמור על סוג הקריטריון כערך פשוט, בחר בעוד שמערכת ההפעלה - מספר גירסת Build, אופרטור כפי שהוא גדול או שווה ל- וערך 14393, ובחר אישור.

    צילום מסך של אשף Microsoft Configuration Manager 7.

  8. בחר הבאוסגור.

    צילום מסך של אשף Microsoft Configuration Manager 8.

  9. בחר באפשרות הבא.

    צילום מסך של אשף Microsoft Configuration Manager 9.

לאחר השלמת משימה זו, יש לך אוסף מכשירים עם כל נקודות הקצה של Windows בסביבה.

לאחר צירוף מכשירים לשירות, חשוב לנצל את היכולות הכלולות של הגנה מפני איומים על-ידי הפעלתן באמצעות הגדרות התצורה המומלצות הבאות.

תצורת אוסף מכשירים

אם אתה משתמש בגירסה Configuration Manager, גירסה 2002 ואילך, באפשרותך לבחור להרחיב את הפריסה כך שתכלול שרתים או לקוחות ברמת הלמטה.

תצורת ההגנה של הדור הבא

הגדרות התצורה הבאות מומלצות:

סריקה

  • האם לסרוק התקני אחסון נשלפים כגון כונני USB: כן

הגנה בזמן אמת

  • הפוך ניטור התנהגותי לזמין: כן
  • האם להפעיל הגנה מפני יישומים שעלולים להיות בלתי רצויים בעת ההורדה לפני ההתקנה: כן

Cloud Protection Service

  • סוג החברות בשירות הגנת הענן: חברות מתקדמת

צמצום שטח תקיפה

קבע את התצורה של כל הכללים הזמינים לביקורת.

הערה

חסימת פעילויות אלה עלולה להפריע לתהליכים עסקיים לגיטימיים. הגישה הטובה ביותר היא להגדיר הכל לביקורת, לזהות אילו מהם בטוחים להפעלה ולאחר מכן להפוך הגדרות אלה לזמינה ב נקודות קצה שאין אותן זיהויים חיוביים מוטעים.

כדי לפרוס Microsoft Defender אנטי-וירוס ומדיניות צמצום שטח תקיפה באמצעות Microsoft Configuration Manager (SCCM) בצע את השלבים הבאים:

  • הפוך את Endpoint Protection לזמין וקבע תצורה של הגדרות לקוח מותאמות אישית.
  • התקן את לקוח Endpoint Protection משורת פקודה.
  • אמת את התקנת הלקוח של Endpoint Protection.
הפוך את Endpoint Protection לזמין וקבע תצורה של הגדרות לקוח מותאמות אישית

בצע את השלבים כדי לאפשר הגנה ותצורה של נקודות קצה של הגדרות לקוח מותאמות אישית:

  1. במסוף Configuration Manager, לחץ על ניהול.

  2. בסביבת העבודה של הניהול , לחץ על הגדרות לקוח.

  3. בכרטיסיה בית, בקבוצה Create, לחץ על Create התקן לקוח מותאם אישית.

  4. בתיבת הדו Create שיח הגדרות התקן לקוח מותאם אישית, ספק שם ותיאור עבור קבוצת ההגדרות ולאחר מכן בחר הגנת נקודת קצה.

  5. קבע את תצורת ההגדרות של לקוח Endpoint Protection שדרושות לך. לקבלת רשימה מלאה של הגדרות לקוח Endpoint Protection שניתן לקבוע את תצורתן, עיין בסעיף 'הגנה על נקודת קצה' במאמר אודות הגדרות לקוח.

    חשוב

    התקן את תפקיד מערכת האתרים של הגנת נקודת הקצה לפני שתקבע את תצורת הגדרות הלקוח עבור Endpoint Protection.

  6. לחץ על אישור כדי לסגור את תיבת Create הדו-שיח הגדרות התקן לקוח מותאם אישית. הגדרות הלקוח החדשות מוצגות בצומת 'הגדרות לקוח' של סביבת העבודה של הניהול.

  7. לאחר מכן, פרוס את הגדרות הלקוח המותאם אישית באוסף. בחר את הגדרות הלקוח המותאמות אישית שברצונך לפרוס. בכרטיסיה בית , בקבוצה הגדרות לקוח, לחץ על פרוס.

  8. בתיבת הדו-שיח בחירת אוסף, בחר את האוסף שאליו ברצונך לפרוס את הגדרות הלקוח ולאחר מכן לחץ על אישור. הפריסה החדשה מוצגת בכרטיסיה פריסות של חלונית הפרטים.

לקוחות מוגדרים עם הגדרות אלה בפעם הבאה שהם מורידים את מדיניות הלקוח. לקבלת מידע נוסף, ראה אתחול אחזור מדיניות עבור לקוח Configuration Manager חדש.

הערה

עבור Windows Server 2012 R2 ו- Windows Server 2016 המנוהלות על-ידי Configuration Manager 2207 וגירסאות מתקדמות יותר, קלוט באמצעות ההגדרה לקוח Microsoft Defender עבור נקודת קצה (MDE) (מומלץ). לחלופין, באפשרותך להשתמש בגירסאות קודמות Configuration Manager כדי לבצע העברה. לקבלת מידע נוסף, ראה העברת שרתים מנציג הניטור של Microsoft לפתרון המאוחד.

התקנת לקוח Endpoint Protection משורת פקודה

בצע את השלבים כדי להשלים את ההתקנה של לקוח הגנת נקודת הקצה משורת הפקודה.

  1. העתק scepinstall.exeמהתיקיה 'לקוח' Configuration Manager ההתקנה למחשב שבו ברצונך להתקין את תוכנת הלקוח של Endpoint Protection.

  2. פתח שורת פקודה כמנהל. שנה את הספריה לתיקיה באמצעות תוכנת ההתקנה. לאחר מכן scepinstall.exeהפעל את , הוסף מאפייני שורת פקודה נוספים שתדרוש:

    המאפיין תיאור
    /s הפעל את המתקין באופן שקט
    /q חילוץ קבצי ההתקנה באופן שקט
    /i הפעל את תוכנית ההתקנה כרגיל
    /policy ציין קובץ מדיניות נגד תוכנות זדוניות כדי לקבוע את תצורת הלקוח במהלך ההתקנה
    /sqmoptin הצטרפות לתוכנית לשיפור חוויית הלקוח (CEIP) של Microsoft

  3. בצע את ההוראות שעל המסך כדי להשלים את התקנת הלקוח.

  4. אם הורדת את חבילת הגדרת העדכון האחרונה, העתק את החבילה למחשב הלקוח ולאחר מכן לחץ פעמיים על חבילת ההגדרות כדי להתקין אותה.

    הערה

    לאחר השלמת ההתקנה של לקוח Endpoint Protection, הלקוח מבצע באופן אוטומטי בדיקת עדכון הגדרה. אם בדיקת עדכון זו מצליחה, אינך צריך להתקין באופן ידני את חבילת עדכון ההגדרות העדכנית ביותר.

לדוגמה: התקן את הלקוח עם מדיניות נגד תוכנות זדוניות

scepinstall.exe /policy <full path>\<policy file>

אימות התקנת לקוח Endpoint Protection

לאחר התקנת לקוח Endpoint Protection במחשב העיון, ודא שהלקוח פועל כראוי.

  1. במחשב העיון, פתח את System Center Endpoint Protection באזור ההודעות של Windows.
  2. בכרטיסיה בית של תיבת הדו-System Center Endpoint Protection, ודא שההגנה בזמן אמת מוגדרת ל'מופעל'.
  3. ודא שההגדרה עדכנית מוצגת עבור הגדרות וירוסים ותוכנות ריגול.
  4. כדי לוודא שמחשב העיון שלך מוכן להדפסה, תחת אפשרויות סריקה, בחר מלא ולאחר מכן לחץ על סרוק כעת.

הגנה על הרשת

לפני הפעלת הגנת רשת במצב ביקורת או חסימה, ודא שהתקנת את עדכון הפלטפורמה למניעת תוכנות זדוניות, שניתן להשיגו בדף התמיכה.

גישה מבוקרת לתיקיה

הפוך את התכונה לזמינה במצב ביקורת למשך 30 יום לפחות. לאחר תקופה זו, סקור את הזיהויים וצור רשימה של יישומים המורשים לכתוב בספריות מוגנות.

לקבלת מידע נוסף, ראה הערכת גישה מבוקרת לתיקיה.

הפעל בדיקת זיהוי כדי לאמת צירוף

לאחר צירוף המכשיר, באפשרותך לבחור להפעיל בדיקת זיהוי כדי לוודא שהמכשיר מחובר כראוי לשירות. לקבלת מידע נוסף, ראה הפעלת בדיקת זיהוי במכשיר חדש Microsoft Defender עבור נקודת קצה חדש.

מכשירים מסוג Offboard המשתמשים Configuration Manager

מסיבות אבטחה, תוקפה של החבילה המשמשת למכשירי Offboard יפוג 30 יום לאחר התאריך שבו היא הורדה. חבילות ביטול תוקף שנשלחות למכשיר יידחה. בעת הורדת חבילת ההסירה, תקבל הודעה על תאריך התפוגה של החבילות והיא תיכלל גם בשם החבילה.

הערה

אין לפרוס פריטי מדיניות צירוף והסתרה באותו מכשיר בו-זמנית, אחרת פעולה זו תגרום להתנגשות בלתי צפויה.

מכשירים מסוג Offboard המשתמשים Microsoft Configuration Manager הנוכחי

אם אתה משתמש Microsoft Configuration Manager הנוכחי, ראה Create תצורת ההסתעפות.

התקני Offboard המשתמשים ב- System Center 2012 R2 Configuration Manager

  1. קבל את חבילת ההסתטבה Microsoft Defender הפורטל:

    1. בחלונית הניווט, בחר הגדרות נקודות>קצה ביטול>ניהול>מכשירים.
    2. בחר Windows 10 או Windows 11 כמערכת ההפעלה.
    3. בשדה שיטת פריסה, בחר מרכז המערכת Configuration Manager 2012/2012 R2/1511/1602.
    4. בחר הורד חבילה ושמור את .zip הקובץ.

  2. חלץ את תוכן הקובץ .zip למיקום משותף לקריאה בלבד שמנהלי הרשת יוכלו לגשת אליו שיפרסו את החבילה. אמור להיות לך קובץ בשם WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. פרוס את החבילה על-ידי ביצוע השלבים במאמר חבילות ותוכניות במרכז המערכת 2012 R2 Configuration Manager.

    בחר אוסף מכשירים מוגדר מראש כדי לפרוס את החבילה.

חשוב

ביטול שליחה גורם למכשיר להפסיק לשלוח נתוני חיישן לפורטל, אך נתונים מהמכשיר, כולל הפניות לכל התראה שהייתה לו יישמרו למשך עד 6 חודשים.

ניטור תצורת המכשיר

אם אתה משתמש בענף Microsoft Configuration Manager הנוכחי, השתמש בלוח המחוונים המוכלל של Defender for Endpoint בקונסולת Configuration Manager. לקבלת מידע נוסף, ראה Defender for Endpoint - צג.

אם אתה משתמש ב- System Center 2012 R2 Configuration Manager, הניטור מורכב משני חלקים:

  1. אישור שהחבילה של התצורה נפרסה כהלכה והיא פועלת (או הופעלה בהצלחה) במכשירים ברשת שלך.

  2. בדיקה שהמכשירים תואמים לשירות נקודות הקצה של Defender for (פעולה זו מבטיחה שהמכשיר יוכל להשלים את תהליך הצירוף יוכל להמשיך לדווח על נתונים לשירות).

אשר שהחבילה של התצורה נפרסה כראוי

  1. במסוף Configuration Manager, לחץ על ניטור בחלק התחתון של חלונית הניווט.

  2. בחר מבט כולל ולאחר מכן פריסות.

  3. בחר בפריסה עם שם החבילה.

  4. סקור את מחווני המצב תחת סטטיסטיקת השלמהומצב תוכן.

    אם קיימות פריסות שנכשלו (מכשירים עם מצב שגיאה, דרישותלא קיימות או מצבים שנכשלו ), ייתכן שיהיה עליך לפתור בעיות במכשירים. לקבלת מידע נוסף, ראה פתרון Microsoft Defender עבור נקודת קצה בעיות צירוף.

    רשימת Configuration Manager מציגה פריסה מוצלחת ללא שגיאות

ודא שהמכשירים תואמים לשירות Microsoft Defender עבור נקודת קצה שלך

באפשרותך להגדיר כלל תאימות עבור פריט תצורה ב- System Center 2012 R2 Configuration Manager לניטור הפריסה שלך.

כלל זה צריך להיות פריט תצורה שאינו מעדכן כלל תאימות המנטר את הערך של מפתח רישום במכשירים ייעודיים.

נטר את ערך מפתח הרישום הבא:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

לקבלת מידע נוסף, ראה מבוא להגדרות תאימות ב- System Center 2012 R2 Configuration Manager.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.