הטמע גירסאות קודמות של Windows

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

פלטפורמות

• Windows 7 SP1 Enterprise
• Windows 7 SP1 Pro
• Windows 8.1 Pro
• Windows 8.1 Enterprise
• Windows Server 2008 R2 SP1

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

Defender for Endpoint מרחיב את התמיכה כדי לכלול מערכות הפעלה ברמה למטה, ומספק יכולות מתקדמות של זיהוי תקיפות וחקירה בגירסאות נתמכות של Windows.

כדי להוסיף נקודות קצה ברמת ההורדה של לקוח Windows אל Defender for Endpoint, יהיה עליך:

• קביעת תצורה ועדכון System Center Endpoint Protection לקוחות
• התקן וקבע את התצורה של סוכן הניטור של Microsoft (MMA) כדי לדווח על נתוני חיישנים

עבור Windows Server 2008 R2 SP1, יש לך אפשרות לקלוט דרך Microsoft Defender עבור ענן.

הערה

נדרש רשיון שרת עצמאי של Defender for Endpoint לכל צומת, כדי לקלוט שרת Windows באמצעות סוכן הניטור של Microsoft (אפשרות 1). לחלופין, Microsoft Defender עבור רשיון שרתים נדרש, לכל צומת, כדי לקלוט שרת Windows באמצעות Microsoft Defender עבור ענן (אפשרות 2), ראה תכונות נתמכות הזמינות ב- Microsoft Defender עבור ענן.

עצה

לאחר צירוף המכשיר, באפשרותך לבחור להפעיל בדיקת זיהוי כדי לוודא שהוא מחובר כראוי לשירות. לקבלת מידע נוסף, ראה הפעלת בדיקת זיהוי על נקודת קצה חדשה של Defender עבור נקודת קצה.

קביעת תצורה ועדכון System Center Endpoint Protection לקוחות

Defender for Endpoint משתלב עם System Center Endpoint Protection כדי לספק ניראות לזיהויים של תוכנות זדוניות ולהפסקת ההפצה של התקפה בארגון שלך על-ידי חסימת קבצים שעלולים להיות זדוניים או תוכנות זדוניות חשודות.

השלבים הבאים נדרשים כדי להפוך שילוב זה לזמין:

• התקן את עדכון הפלטפורמה של ינואר 2017 נגד תוכנות זדוניות עבור לקוחות Endpoint Protection
• קבע את תצורת החברות בשירות הגנת הענן של לקוח SCEP להגדרה מתקדם
• קבע את תצורת הרשת שלך כדי לאפשר חיבורים לענן Microsoft Defender אנטי-וירוס. לקבלת מידע נוסף, ראה קביעת תצורה ואימתה של חיבורי Microsoft Defender אנטי-וירוס

התקנה ותצורה של סוכן הניטור של Microsoft (MMA)

לפני שתתחיל

סקור את הפרטים הבאים כדי לאמת את דרישות המערכת המינימליות:

• התקן את אוסף העדכונים החודשי של פברואר 2018 - קישור הורדה ישירה Windows Update הקטלוג זמין כאן

• התקן את עדכון מערום מתן שירות ב- 12 במרץ 2019 (ואילך) - קישור הורדה ישירה Windows Update הקטלוג זמין כאן

• התקן את עדכון התמיכה בחתימה על קוד SHA-2 - קישור הורדה ישירה Windows Update הקטלוג זמין כאן

  הערה

  ישים רק עבור Windows Server 2008 R2, Windows 7 SP1 Enterprise ו- Windows 7 SP1 Pro.

• התקן את העדכון עבור חוויית הלקוח ומדידת שימוש אבחון

• התקנת Microsoft .Net Framework 4.5.2 ואילך

  הערה

  התקנת .NET 4.5 עשויה לדרוש הפעלה מחדש של המחשב לאחר ההתקנה.

• עומד בדרישות המערכת המינימליות של סוכן Azure Log Analytics. לקבלת מידע נוסף, ראה איסוף נתונים ממחשבים בסביבה שלך באמצעות 'ניתוח יומן רישום'

שלבי התקנה

1. הורד את קובץ ההתקנה של הסוכן: סוכן של Windows 64 סיביותאו סוכן של Windows 32 סיביות.

   הערה

   עקב פחת התמיכה ב- SHA-1 על-ידי סוכן MMA, סוכן MMA צריך להיות גירסה 10.20.18029 ואילך.

2. השג את מזהה סביבת העבודה:

   • בחלונית הניווט של Defender for Endpoint, בחר הגדרות ניהול > מכשירים > צירוף
   • בחר את מערכת ההפעלה
   • העתק את מזהה סביבת העבודה ואת מפתח סביבת העבודה

3. באמצעות מזהה סביבת העבודה ומפתח סביבת העבודה, בחר אחת משיטות ההתקנה הבאות כדי להתקין את הסוכן:

   • התקן את הסוכן באופן ידני באמצעות הגדרה.

     בדף אפשרויות הגדרת סוכן , בחר חבר את הסוכן לניתוח יומן רישום של Azure (OMS)

   • התקן את הסוכן באמצעות שורת הפקודה.

   • קבע את תצורת הסוכן באמצעות קובץ Script.

   הערה

   אם אתה לקוח של ממשלת ארה" ב, תחת "Azure Cloud" תצטרך לבחור "Azure US Government" אם אתה משתמש באשף ההגדרה, או אם אתה משתמש בשורת פקודה או בקובץ Script - הגדר את הפרמטר "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" ל- 1.

4. אם אתה משתמש ב- Proxy כדי להתחבר לאינטרנט, עיין בסעיף קביעת תצורה של הגדרות Proxy וקישוריות לאינטרנט.

לאחר השלמת ההשלמה, אתה אמור לראות נקודות קצה מחוברות בפורטל בתוך שעה.

קביעת תצורה של הגדרות Proxy וקישוריות לאינטרנט

אם השרתים שלך צריכים להשתמש ב- Proxy כדי לקיים תקשורת עם Defender for Endpoint, השתמש באחת מהשיטות הבאות כדי לקבוע את התצורה של MMA לשימוש בשרת ה- Proxy:

• קביעת התצורה של MMA לשימוש בשרת Proxy

• קביעת התצורה של Windows לשימוש בשרת Proxy עבור כל החיבורים

אם Proxy או חומת אש נמצא בשימוש, ודא שהשרתים יכולים לגשת לכל כתובות ה- URL של שירות Microsoft Defender עבור נקודת קצה ישירות וללא יירוט SSL. לקבלת מידע נוסף, ראה הפיכת גישה לכתובות URL Microsoft Defender עבור נקודת קצה URL של שירות זה. השימוש בחיתוך SSL ימנע מהמערכת לקיים תקשורת עם שירות נקודות הקצה של Defender for.

לאחר ההשלמה, אתה אמור לראות את שרתי Windows הצירוף בפורטל תוך שעה.

צירוף שרתי Windows באמצעות Microsoft Defender for Cloud

1. בחלונית Microsoft Defender XDR, בחר הגדרות>נקודות קצה ניהול>מכשירים>צירוף.

2. בחר Windows Server 2008 R2 SP1 כמערכת ההפעלה.

3. לחץ על שרתים קיימים ב- Microsoft Defender for Cloud.

4. בצע את הוראות הצירוף ב- Microsoft Defender עבור נקודת קצה באמצעות Microsoft Defender for Cloud ואם אתה משתמש ב- Azure ARC, בצע את הוראות הצירוף בהפיכת שילוב Microsoft Defender עבור נקודת קצה לזמינים.

לאחר השלמת שלבי הצירוף, יהיה עליך לקבוע תצורה ולעדכן את System Center Endpoint Protection הלקוחות.

הערה

• כדי שצירוף באמצעות Microsoft Defender כדי שהשרתים יפעלו כצפוי, לשרת חייבת להיות סביבת עבודה מתאימה ומפתח שתצורתם נקבעה במסגרת ההגדרות של סוכן הניטור של Microsoft (MMA).
• לאחר קביעת התצורה, ערכת ניהול הענן המתאימה נפרסת במחשב ותהליך החיישן (MsSenseS.exe) ייפרס ויפעל.
• הדבר נדרש גם אם השרת מוגדר להשתמש בשרת שער OMS כ- Proxy.

אמת צירוף

ודא Microsoft Defender-וירוס Microsoft Defender עבור נקודת קצה פועלות.

הערה

הפעלת Microsoft Defender אנטי-וירוס אינה נדרשת, אך היא מומלצת. אם מוצר אחר של ספק אנטי-וירוס הוא פתרון ההגנה הראשי של נקודת הקצה, באפשרותך להפעיל את האנטי-וירוס של Defender במצב פאסיבי. באפשרותך לוודא שמצב פאסיבי מופעל רק לאחר אימות Microsoft Defender עבור נקודת קצה (SENSE) פועל.

הערה

מאחר Microsoft Defender-וירוס נתמך רק עבור Windows 10 ו- Windows 11, שלב 1 אינו חל בעת הפעלת Windows Server 2008 R2 SP1.

1. הפעל את הפקודה הבאה כדי לוודא Microsoft Defender האנטי-וירוס מותקן:

   sc.exe query Windefend
   

   אם התוצאה היא 'השירות שצוין אינו קיים כשירות מותקן', יהיה עליך להתקין את Microsoft Defender אנטי-וירוס. לקבלת מידע נוסף, ראה Microsoft Defender אנטי-וירוס Windows 10.

   לקבלת מידע אודות אופן השימוש ב- מדיניות קבוצתית כדי לקבוע תצורה Microsoft Defender אנטי-וירוס של Windows בשרתי Windows שלך, ראה שימוש בהגדרות מדיניות קבוצתית כדי לקבוע תצורה ולנהל Microsoft Defender אנטי-וירוס.

אם אתה נתקל בבעיות בצירוף, ראה פתרון בעיות בצירוף.

הפעלת בדיקת זיהוי

בצע את השלבים המפורטים במאמר הפעלת בדיקת זיהוי במכשיר חדש הרשום כדי לוודא שהשרת מדווח ל- Defender עבור שירות נקודת הקצה.

צירוף נקודות קצה ללא פתרון ניהול

שימוש מדיניות קבוצתית

שלב 1: הורד את העדכון המתאים עבור נקודת הקצה שלך.

1. נווט אל c:\windows\sysvol\domain\scripts (ייתכן שפקד השינוי נדרש באחד מבקרי התחום.)

2. Create תיקיה בשם MMA.

3. הורד את הפריטים הבאים ומקם אותם בתיקיה MMA:

   • עדכון עבור חוויית הלקוח ומדידת שימוש אבחון:
     • עבור Windows Server 2008 R2 x64

   עבור Windows Server 2008 R2 SP1, נדרשים גם העדכונים הבאים:

   סיכום חודשי בפברואר 2018 - KB4074598 (Windows Server 2008 R2)

   Microsoft Update Catalog
   הורד עדכונים עבור Windows Server 2008 R2 x64

   .NET Framework 3.5.1 (KB315418)
   עבור Windows Server 2008 R2 x64

   הערה

   מאמר זה מניח שאתה משתמש בשרתים מבוססי x64 (MMA Agent .exe x64 גירסה תואמת SHA-2 חדשה).

שלב 2: Create שם קובץ DeployMMA.cmd (באמצעות פנקס רשימות) הוסף את השורות הבאות לקובץ ה- cmd. שים לב שתדרוש את מזהה סביבת העבודה ואת המפתח שלך.

הפקודה הבאה היא דוגמה. החלף את הערכים הבאים:

• KB - השתמש ב- KB הרלוונטי לנקודות הקצה שאתה קליט
• מזהה סביבת עבודה ומפתח - השתמש במזהה ובמפתח שלך

@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

מדיניות קבוצתית תצורה

Create מדיניות קבוצתית חדשה במיוחד עבור צירוף מכשירים כגון "Microsoft Defender עבור נקודת קצה צירוף".

• Create תיקיה מדיניות קבוצתית בשם "c:\windows\MMA"

  

  פעולה זו תוסיף תיקיה חדשה בכל שרת שמוחל עליו GPO, שנקרא MMA, והוא יאוחסן ב- c:\windows. פעולה זו תכלול את קבצי ההתקנה עבור MMA, הדרישות המוקדמות והתקן קובץ Script.

• Create העדפות מדיניות קבוצתית קבצים עבור כל אחד מהקבצים המאוחסנים בכניסה לרשת.

  

הוא מעתיק את הקבצים מ- DOMAIN\NETLOGON\MMA\filename ל- C:\windows\MMA\filename - כך שקובצי ההתקנה מקומיים לשרת:

חזור על התהליך אך צור פילוח ברמת הפריט בכרטיסיה COMMON, כך שהקובץ מועתק רק לגירסת מערכת ההפעלה/הפלטפורמה המתאימה בטווח:

עבור Windows Server 2008 R2 תזדקק (והוא יעתיק למטה בלבד) את הפריטים הבאים:

• Windows6.1-KB3080149-x64.msu
• Windows6.1-KB3154518-x64.msu
• Windows6.1-KB4075598-x64.msu

לאחר ביצוע פעולה זו, יהיה עליך ליצור מדיניות Script של הפעלה:

שם הקובץ שברצונך להפעיל כאן הוא c:\windows\MMA\DeployMMA.cmd. לאחר הפעלה מחדש של השרת כחלק מתהליך ההפעלה, הוא יתקין את העדכון עבור חוויית הלקוח ואת מדידת השימוש האבחון KB, ולאחר מכן יתקין את סוכן ה- MMA, בעת הגדרת המזהה והמפתח של סביבת העבודה, והשרת יהיה מחובר.

באפשרותך גם להשתמש במשימה מיידית כדי להפעיל את deployMMA.cmd אם אינך מעוניין לאתחל מחדש את כל השרתים.

ניתן לעשות זאת בשני שלבים. צור תחילה את הקבצים ואת התיקיה ב- GPO - תן למערכת זמן כדי לוודא שה- GPO הוחל, וכל השרתים כוללים את קבצי ההתקנה. לאחר מכן, הוסף את הפעילות המיידית. פעולה זו תשיג את אותה תוצאה מבלי לדרוש אתחול מחדש.

כאשר קובץ ה- Script כולל שיטת יציאה ולא יופעל מחדש אם MMA מותקן, ניתן גם להשתמש במשימה מתוזמנת יומית כדי להשיג את אותה תוצאה. דומה למדיניות Configuration Manager שהיא תבדוק מדי יום כדי לוודא שה- MMA קיים.

כפי שצוין בתיעוד הצירוף עבור Server באופן ספציפי סביב Server 2008 R2, ראה להלן: עבור Windows Server 2008 R2 SP1, הקפד לעמוד בדרישות הבאות:

• התקנת אוסף העדכונים החודשי של פברואר 2018
• התקן את .NET Framework 4.5 (או גירסה מתקדמת יותר) או את KB3154518

בדוק שה- KBs קיימים לפני צירוף Windows Server 2008 R2. תהליך זה מאפשר לך לקלוט את כל השרתים אם אין לך Configuration Manager ניהול שרתים.

נקודות קצה של 'מחוץ למסך'

יש לך שתי אפשרויות לכיבוי נקודות קצה של Windows מהשירות:

• הסרת ההתקנה של סוכן MMA
• הסרת התצורה של סביבת העבודה של Defender for Endpoint

הערה

האפשרות 'היסט', גורמת נקודת הקצה של Windows להפסיק לשלוח נתוני חיישן לפורטל, אך נתונים נקודת הקצה, כולל הפניה לכל ההתראות שהיו לו יישמרו למשך עד 6 חודשים.

הסרת ההתקנה של סוכן MMA

כדי להסיר את נקודת הקצה של Windows, באפשרותך להסיר את ההתקנה של סוכן MMA או לנתק אותו מהדיווח לסביבת העבודה של Defender for Endpoint. לאחר קליטת הסוכן, נקודת הקצה לא תשלח עוד נתוני חיישנים אל Defender for Endpoint. לקבלת מידע נוסף, ראה כדי להפוך סוכן ללא זמין.

הסרת התצורה של סביבת העבודה של Defender for Endpoint

באפשרותך להשתמש באחת מהשיטות הבאות:

• הסר את תצורת סביבת העבודה של Defender for Endpoint מסוכן MMA
• הפעלת פקודה של PowerShell להסרת התצורה

הסר את תצורת סביבת העבודה של Defender for Endpoint מסוכן MMA

1. במאפיינים של סוכן הניטור של Microsoft, בחר את הכרטיסיה ניתוח יומן רישום (OMS) של Azure.

2. בחר את סביבת העבודה של Defender for Endpoint ולחץ על הסר.

   

הפעלת פקודה של PowerShell להסרת התצורה

1. קבל את מזהה סביבת העבודה שלך:

   1. בחלונית הניווט, בחר הגדרות>צירוף.
   2. בחר את מערכת ההפעלה הרלוונטית וקבל את מזהה סביבת העבודה שלך.

2. פתח PowerShell עם הרשאות מלאות והפעל את הפקודה הבאה. השתמש במזהה סביבת העבודה שהשגת והחלפת WorkspaceID:

   $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
   
   # Remove OMS Workspace
   $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
   
   # Reload the configuration and apply changes
   $AgentCfg.ReloadConfiguration()
   

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.