Megosztás a következőn keresztül:


Windowsos eszközök bevezetése Csoportházirend használatával

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

Ha Csoportházirend (GP) frissítéseket szeretne használni a csomag telepítéséhez, Windows Server 2008 R2 vagy újabb rendszeren kell lennie.

Windows Server 2019 és Windows Server 2022 esetén előfordulhat, hogy a Csoportházirend beállítás által létrehozott XML-fájl NT AUTHORITY\Well-Known-System-Account elemét az NT AUTHORITY\SYSTEM fájlra kell cserélnie.

Megjegyzés:

Ha az R2 és 2016 Windows Server 2012 új, egységesített Végponthoz készült Microsoft Defender megoldást használja, győződjön meg arról, hogy a legújabb ADMX-fájlokat használja a központi tárolóban a megfelelő Végponthoz készült Microsoft Defender szabályzatbeállításokat. Olvassa el a Központi áruház létrehozása és kezelése Csoportházirend Felügyeleti sablonokhoz Windows rendszerben című cikket, és töltse le a Windows 10 használható legújabb fájlokat.

Tekintse meg a Végponthoz készült Defender architektúrájának és üzembehelyezési módszerének azonosítását ismertető cikket a Végponthoz készült Defender üzembe helyezésének különböző módjairól.

  1. Nyissa meg a gp konfigurációs csomagfájlt (WindowsDefenderATPOnboardingPackage.zip), amelyet a szolgáltatás-előkészítési varázslóból töltött le. A csomagot a Microsoft Defender portálról is beszerezheti:

    1. A navigációs panelen válassza a Beállítások>Végpontok>Eszközkezelés>Előkészítés lehetőséget.

    2. Válassza ki az operációs rendszert.

    3. Az Üzembe helyezési módszer mezőben válassza a Csoportházirend lehetőséget.

    4. Kattintson a Csomag letöltése gombra, és mentse a .zip fájlt.

  2. Bontsa ki a .zip fájl tartalmát egy megosztott, írásvédett helyre, amelyet az eszköz elérhet. Rendelkeznie kell egy OptionalParamsPolicy nevű mappával, és a fájl WindowsDefenderATPOnboardingScript.cmd.

  3. Új csoportházirend-objektum létrehozásához nyissa meg a Csoportházirend Felügyeleti konzolt (GPMC), kattintson a jobb gombbal Csoportházirend konfigurálni kívánt objektumokra, majd kattintson az Új parancsra. Adja meg az új csoportházirend-objektum nevét a megjelenő párbeszédpanelen, és kattintson az OK gombra.

  4. Nyissa meg a Csoportházirend Felügyeleti konzolt (GPMC), kattintson a jobb gombbal a konfigurálni kívánt Csoportházirend objektumra (GPO), majd kattintson a Szerkesztés parancsra.

  5. A Csoportházirend Felügyeleti Szerkesztő válassza a Számítógép konfigurációja, majd a Beállítások, majd a Vezérlőpult beállításai lehetőséget.

  6. Kattintson a jobb gombbal az Ütemezett tevékenységek elemre, mutasson az Új pontra, majd kattintson az Azonnali feladat (legalább Windows 7) elemre.

  7. A megnyíló Feladat ablakban lépjen az Általános lapra. A Biztonsági beállítások területen kattintson a Felhasználó vagy csoport módosítása elemre, írja be a SYSTEM kifejezést, majd kattintson a Névellenőrzés , majd az OK gombra. Az NT AUTHORITY\SYSTEM a feladat által futtatott felhasználói fiókként jelenik meg.

  8. Jelölje be a Futtatás, hogy a felhasználó be van-e jelentkezve vagy sem , és jelölje be a Futtatás a legmagasabb jogosultságokkal jelölőnégyzetet.

  9. A Név mezőbe írja be az ütemezett tevékenység megfelelő nevét (például a Végponthoz készült Defender üzembe helyezését).

  10. Lépjen a Műveletek lapra, és válassza az Új... lehetőséget. Győződjön meg arról, hogy a Program indítása lehetőség van kiválasztva a Művelet mezőben. Adja meg a megosztott WindowsDefenderATPOnboardingScript.cmd fájl UNC-elérési útját a fájlkiszolgáló teljes tartománynevével (FQDN).

  11. Kattintson az OK gombra , és zárja be az összes megnyitott GPMC-ablakot.

  12. Ha a GPO-t szervezeti egységhez (OU) szeretné kapcsolni, kattintson a jobb gombbal, és válassza a Meglévő csoportházirend-objektum csatolása lehetőséget. A megjelenő párbeszédpanelen válassza ki a csatolni kívánt Csoportházirend objektumot. Kattintson az OK gombra.

Tipp

Az eszköz előkészítése után futtathat egy észlelési tesztet annak ellenőrzéséhez, hogy az eszköz megfelelően van-e regisztrálva a szolgáltatásba. További információ: Észlelési teszt futtatása újonnan előkészített Végponthoz készült Defender-eszközön.

A Végponthoz készült Defender további konfigurációs beállításai

Minden eszköz esetében megadhatja, hogy gyűjthetők-e minták az eszközről, amikor Microsoft Defender XDR keresztül kérnek egy fájlt mély elemzésre.

A Csoportházirend (GP) használatával konfigurálhatja a beállításokat, például a mélyelemzési funkcióban használt mintamegosztás beállításait.

Mintagyűjtemény beállításainak konfigurálása

  1. A GP felügyeleti eszközön másolja a következő fájlokat a konfigurációs csomagból:

    • Másolja az AtpConfiguration.admx fájlt a C:\Windows\PolicyDefinitions mappába

    • Másolja az AtpConfiguration.adml fájlt a C:\Windows\PolicyDefinitions\en-US mappába

    Ha központi tárolót használ Csoportházirend felügyeleti sablonokhoz, másolja a következő fájlokat a konfigurációs csomagból:

    • Másolja az AtpConfiguration.admx fájlt a \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions mappába.

    • Másolja az AtpConfiguration.adml fájlt a \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US mappába.

  2. Nyissa meg a Csoportházirend Felügyeleti konzolt, kattintson a jobb gombbal a konfigurálni kívánt csoportházirend-objektumra, majd kattintson a Szerkesztés parancsra.

  3. A Csoportházirend Felügyeleti Szerkesztő lépjen a Számítógép konfigurációja elemre.

  4. Kattintson a Házirendek, majd a Felügyeleti sablonok elemre.

  5. Kattintson a Windows-összetevők elemre, majd Windows Defender ATP-t.

  6. Válassza ki, hogy engedélyezi vagy letiltja a mintamegosztást az eszközeiről.

Megjegyzés:

Ha nem állít be értéket, az alapértelmezett érték a mintagyűjtés engedélyezése.

Végpontvédelmi konfiguráció frissítése

Az előkészítési szkript konfigurálása után folytassa ugyanazt a csoportházirendet a végpontvédelmi konfigurációk hozzáadásához. A Windows 10, a Server 2019, a Windows 11 vagy a Windows Server 2022 rendszert futtató rendszer csoportházirend-szerkesztését elvégezve győződjön meg arról, hogy rendelkezik az összes szükséges Microsoft Defender víruskereső funkcióval. Előfordulhat, hogy be kell zárnia és újra meg kell nyitnia a csoportházirend-objektumot a Defender ATP konfigurációs beállításainak regisztrálásához.

Az összes szabályzat a következő mappában Computer Configuration\Policies\Administrative Templatestalálható: .

Házirend helye: \Windows-összetevők\Windows Defender ATP

Politika Beállítás
Mintagyűjtemény engedélyezése\letiltása Engedélyezve – "Mintagyűjtemény engedélyezése gépeken" jelölőnégyzet

Házirend helye: \Windows-összetevők\Microsoft Defender víruskereső

Politika Beállítás
Potenciálisan nemkívánatos alkalmazások észlelésének konfigurálása Engedélyezve, Letiltva

Házirend helye: \Windows-összetevők\Microsoft Defender Víruskereső\MAPS

Politika Beállítás
Csatlakozás a Microsoft MAPS-hez Engedélyezve, Speciális TÉRKÉPEK
Fájlminták küldése, ha további elemzésre van szükség Engedélyezve, Biztonságos minták küldése

Házirend helye: \Windows-összetevők\Microsoft Defender Víruskereső\Valós idejű védelem

Politika Beállítás
A valós idejű védelem kikapcsolása Letiltva
Viselkedésfigyelés bekapcsolása Engedélyezve.
Az összes letöltött fájl és melléklet vizsgálata Engedélyezve.
Fájl- és programtevékenység figyelése a számítógépen Engedélyezve.

Házirend helye: \Windows-összetevők\Microsoft Defender Víruskereső\Scan

Ezek a beállítások konfigurálják a végpont rendszeres vizsgálatát. Javasoljuk, hogy végezzen heti gyorsvizsgálatot, amely lehetővé teszi a teljesítményt.

Politika Beállítás
Ütemezett vizsgálat futtatása előtt ellenőrizze a legújabb vírus- és kémprogram-biztonsági intelligenciát Engedélyezve.

Szabályzat helye: \Windows-összetevők\Microsoft Defender Víruskereső\Microsoft Defender Exploit Guard\Támadási felület csökkentése

Szerezze be a támadásifelület-csökkentési szabályok GUID-azonosítóinak aktuális listáját a Támadásifelület-csökkentési szabályok üzembe helyezéséből 3. lépés: ASR-szabályok implementálása. További információ a szabályok részleteiről: Támadásifelület-csökkentési szabályok referenciája

  1. Nyissa meg a Támadásifelület-csökkentés konfigurálása szabályzatot.

  2. Válassza az Engedélyezve lehetőséget.

  3. Válassza a Megjelenítés gombot.

  4. Adja hozzá a GUID azonosítót az Érték neve mezőben 2 értékkel.

    Ez mindet csak naplózásra állítja be.

    A támadási felület csökkentésének konfigurációja

Politika Hely Beállítás
Szabályozott mappahozzáférés konfigurálása \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Controlled Folder Access Engedélyezve, naplózási mód

Észlelési teszt futtatása az előkészítés ellenőrzéséhez

Az eszköz előkészítése után futtathat egy észlelési tesztet annak ellenőrzéséhez, hogy az eszköz megfelelően van-e regisztrálva a szolgáltatásba. További információ: Észlelési teszt futtatása újonnan előkészített Végponthoz készült Microsoft Defender eszközön.

Eszközök kivezetése a Csoportházirend használatával

Biztonsági okokból az eszközök kivezetéséhez használt csomag a letöltés után 30 nappal lejár. Az eszközre küldött lejárt kivezetési csomagokat a rendszer elutasítja. A kivezetési csomag letöltésekor értesítést kap a csomagok lejárati dátumáról, és az is szerepelni fog a csomag nevében.

Megjegyzés:

Az előkészítési és kivezetési szabályzatokat nem lehet ugyanabban az eszközön egyszerre üzembe helyezni, ellenkező esetben ez kiszámíthatatlan ütközéseket okoz.

  1. Szerezze be a kivezetési csomagot a Microsoft Defender portálról:

    1. A navigációs panelen válassza a Beállítások>Végpontok>Eszközkezelés>kivezetése lehetőséget.

    2. Válassza ki az operációs rendszert.

    3. Az Üzembe helyezési módszer mezőben válassza a Csoportházirend lehetőséget.

    4. Kattintson a Csomag letöltése gombra, és mentse a .zip fájlt.

  2. Bontsa ki a .zip fájl tartalmát egy megosztott, írásvédett helyre, amelyet az eszköz elérhet. Rendelkeznie kell egy WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd nevű fájllal.

  3. Nyissa meg a Csoportházirend Felügyeleti konzolt (GPMC), kattintson a jobb gombbal a konfigurálni kívánt Csoportházirend objektumra (GPO), majd kattintson a Szerkesztés parancsra.

  4. A Csoportházirend Felügyeleti Szerkesztő válassza a Számítógép konfigurációja, majd a Beállítások, majd a Vezérlőpult beállításai lehetőséget.

  5. Kattintson a jobb gombbal az Ütemezett tevékenységek elemre, mutasson az Új pontra, majd kattintson az Azonnali tevékenység parancsra.

  6. A megnyíló Feladat ablakban lépjen az ÁltalánoslapRa a Biztonsági beállítások területen, válassza a Felhasználó vagy csoport módosítása lehetőséget, írja be a SYSTEM kifejezést, majd válassza a Nevek ellenőrzése , majd az OK gombot. Az NT AUTHORITY\SYSTEM a feladat által futtatott felhasználói fiókként jelenik meg.

  7. Válassza a Futtatás, hogy a felhasználó be van-e jelentkezve vagy sem , és jelölje be a Futtatás a legmagasabb jogosultságokkal jelölőnégyzetet.

  8. A Név mezőbe írja be az ütemezett tevékenység megfelelő nevét (például a Végponthoz készült Defender üzembe helyezését).

  9. Lépjen a Műveletek lapra, és válassza az Új... lehetőséget. Győződjön meg arról, hogy a Program indítása lehetőség van kiválasztva a Művelet mezőben. Adja meg a megosztott WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd fájl UNC elérési útját a fájlkiszolgáló teljes tartománynevével (FQDN).

  10. Kattintson az OK gombra , és zárja be az összes megnyitott GPMC-ablakot.

Fontos

A kivezetés miatt az eszköz nem küld érzékelőadatokat a portálra, de az eszközről származó adatok, beleértve a riasztásokra való hivatkozást is, legfeljebb 6 hónapig maradnak meg.

Eszközkonfiguráció monitorozása

A Csoportházirend nem lehet figyelni a szabályzatok telepítését az eszközökön. A monitorozás elvégezhető közvetlenül a portálon, vagy a különböző üzembehelyezési eszközök használatával.

Eszközök monitorozása a portál használatával

  1. Nyissa meg a Microsoft Defender portált.
  2. Kattintson az Eszközök leltára elemre.
  3. Ellenőrizze, hogy megjelennek-e az eszközök.

Megjegyzés:

Több napig is eltarthat, hogy az eszközök megjelenjenek az Eszközök listában. Ez magában foglalja a szabályzatok eszközre való terjesztéséhez szükséges időt, a felhasználó bejelentkezése előtt eltelt időt, valamint azt az időt, a amíg a végpont elkezdi a jelentéskészítést.

Defender AV-szabályzatok beállítása

Létrehozás egy új Csoportházirend, vagy csoportosítsa ezeket a beállításokat a többi szabályzattal. Ez az ügyfél környezetétől és a szolgáltatás bevezetésének módjától függ, különböző szervezeti egységek (OU-k) megcélzásával.

  1. Miután kiválasztotta a CSOPORTHÁZIREND-t, vagy létrehozott egy újat, szerkessze a csoportházirend-objektumot.

  2. Keresse meg a Számítógép-konfigurációs>házirendek>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender A víruskereső>valós idejű védelme lehetőséget.

    Valós idejű védelem

  3. A Karantén mappában konfigurálja az elemek eltávolítását a Karantén mappából.

    Eltávolítási elemek karanténba helyezése mappa

    config-removal karantén

  4. A Vizsgálat mappában konfigurálja a vizsgálati beállításokat.

    GPO-vizsgálatok

Az összes fájl monitorozása valós idejű védelemmel

Keresse meg a Számítógép-konfigurációs>házirendek>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender A víruskereső>valós idejű védelme lehetőséget.

Bejövő kimenő fájltevékenység figyelésének konfigurálása

Windows Defender SmartScreen beállításainak konfigurálása

  1. Keresse meg a Számítógép-konfigurációs>házirendek>Felügyeleti sablonok>Windows-összetevők>Windows Defender SmartScreen>Explorer lehetőséget.

    A Windows Defender intelligens képernyő-kezelő konfigurálása

  2. Keresse meg a Számítógép konfigurációs>házirendjei>Felügyeleti sablonok>Windows-összetevők>Windows Defender SmartScreen>Microsoft Edge elemet.

    A Windows Defender intelligens képernyő konfigurálása a Microsoft Edge-ben

Potenciálisan nemkívánatos alkalmazások konfigurálása

Keresse meg a Számítógép konfigurációs>házirendjei>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső lehetőséget.

Lehetséges nemkívánatos alkalmazás konfigurálása

konfigurációs potenciál

A Cloud Deliver Protection konfigurálása és minták automatikus küldése

Keresse meg a Számítógép konfigurációs>házirendjei>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső>TÉRKÉPEK elemet.

Térképek

Blokkolás első látásra

Csatlakozás a Microsoft Mapshez

Fájlminta küldése, ha további elemzésre van szükség

Megjegyzés:

Az Összes minta küldése lehetőség biztosítja a bináris fájlok/szkriptek/dokumentumok legnagyobb elemzését, ami növeli a biztonsági állapotot. A Biztonságos minták küldése beállítás korlátozza az elemzett bináris fájlok/szkriptek/dokumentumok típusát, és csökkenti a biztonsági állapotot.

További információ: A felhővédelem bekapcsolása a Microsoft Defender víruskeresőben, valamint a Felhővédelem és mintabeküldés a Microsoft Defender víruskeresőben.

Aláírásfrissítés ellenőrzése

Tallózással keresse meg a Számítógép-konfigurációs>házirendek>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender A víruskereső>biztonsági intelligenciája Frissítések.

Aláírás frissítése

Aláírásdefiníció frissítése

A felhő időtúllépési és védelmi szintjének konfigurálása

Keresse meg a Számítógép-konfigurációs>házirendek>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső>MpEngine lehetőséget. Ha a felhővédelmi szintű szabályzatot alapértelmezett Microsoft Defender víruskereső blokkolási szabályzatra konfigurálja, az letiltja a szabályzatot. Ez szükséges ahhoz, hogy a védelmi szintet az alapértelmezett windows értékre állítsa.

kiterjesztett felhőbeli ellenőrzés konfigurálása

felhővédelmi szint konfigurálása

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.