A Windows korábbi verzióinak bevezetése

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Platformok

• Windows 7 SP1 Enterprise
• Windows 7 SP1 Pro
• Windows 8.1 Pro
• Windows 8.1 Enterprise
• Windows Server 2008 R2 SP1

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

A Végponthoz készült Defender kiterjeszti a támogatást az alacsonyabb szintű operációs rendszerekre, így fejlett támadásészlelési és vizsgálati képességeket biztosít a támogatott Windows-verziókon.

Ha alacsonyabb szintű Windows-ügyfélvégpontokat szeretne létrehozni a Végponthoz készült Defenderben, a következőket kell elvégeznie:

• System Center Endpoint Protection-ügyfelek konfigurálása és frissítése
• A Microsoft Monitoring Agent (MMA) telepítése és konfigurálása az érzékelőadatok jelentéséhez

Windows Server 2008 R2 SP1 esetén a felhőhöz készült Microsoft Defender keresztül is regisztrálhat.

Megjegyzés:

A Végponthoz készült Defender önálló kiszolgálólicence csomópontonként szükséges a Windows-kiszolgáló Microsoft Monitoring Agenten keresztüli előkészítéséhez (1. lehetőség). Másik lehetőségként csomópontonként egy Microsoft Defender szükséges a kiszolgálók licencéhez a Windows-kiszolgáló felhőhöz Microsoft Defender keresztüli előkészítéséhez (2. lehetőség), lásd: A Microsoft Defender for Cloudban elérhető támogatott funkciók.

Tipp

Az eszköz előkészítése után futtathat egy észlelési tesztet annak ellenőrzéséhez, hogy megfelelően van-e regisztrálva a szolgáltatásba. További információ: Észlelési teszt futtatása újonnan előkészített Végponthoz készült Defender-végponton.

System Center Endpoint Protection-ügyfelek konfigurálása és frissítése

A Végponthoz készült Defender integrálható a System Center Endpoint Protection, hogy láthatóvá tehesse a kártevők észlelését, és megakadályozza a szervezeten belüli támadások propagálását a potenciálisan rosszindulatú fájlok vagy gyanús kártevők tiltásával.

Az integráció engedélyezéséhez a következő lépések szükségesek:

• Az Endpoint Protection-ügyfelek 2017. januári kártevőirtó platformfrissítésének telepítése
• Az SCEP-ügyfél Cloud Protection Service-tagságának konfigurálása a Speciális beállításra
• Konfigurálja a hálózatot úgy, hogy engedélyezze a Microsoft Defender víruskereső felhőhöz való csatlakozást. További információ: Microsoft Defender víruskereső hálózati kapcsolatainak konfigurálása és ellenőrzése

A Microsoft Monitoring Agent (MMA) telepítése és konfigurálása

Az első lépések

Tekintse át az alábbi adatokat a minimális rendszerkövetelmények ellenőrzéséhez:

• A 2018. februári havi kumulatív frissítés telepítése – A Windows Update katalógus közvetlen letöltési hivatkozása itt érhető el

• Telepítse a 2019. március 12-i (vagy újabb) karbantartási veremfrissítést – A Windows Update katalógus közvetlen letöltési hivatkozása itt érhető el

• Az SHA-2 kódaláírás támogatási frissítésének telepítése – A Windows Update katalógusból származó közvetlen letöltési hivatkozás itt érhető el

  Megjegyzés:

  Csak a Windows Server 2008 R2, a Windows 7 SP1 Enterprise és a Windows 7 SP1 Pro rendszerre vonatkozik.

• Telepítse az Update for customer experience and diagnostic telemetry (Frissítés az ügyfélélményhez és a diagnosztikai telemetriához) telepítését

• A Microsoft .Net Framework 4.5.2-s vagy újabb verziójának telepítése

  Megjegyzés:

  Előfordulhat, hogy a .NET 4.5 telepítése után újra kell indítania a számítógépet.

• Az Azure Log Analytics-ügynök minimális rendszerkövetelményeinek teljesítése. További információ: Adatok gyűjtése az Ön környezetében lévő számítógépekről a Log Analytics használatával

Telepítési lépések

1. Töltse le az ügynök telepítőfájlját: Windows 64 bites ügynök vagy Windows 32 bites ügynök.

   Megjegyzés:

   Az MMA-ügynök sha-1-támogatásának elavulása miatt az MMA-ügynöknek a 10.20.18029-es vagy újabb verziónak kell lennie.

2. Szerezze be a munkaterület azonosítóját:

   • A Végponthoz készült Defender navigációs panelen válassza a Beállítások > Eszközkezelés > Előkészítés lehetőséget.
   • Az operációs rendszer kiválasztása
   • A munkaterület azonosítójának és a munkaterület kulcsának másolása

3. A Munkaterület-azonosító és a Munkaterület kulcs használatával válasszon az alábbi telepítési módszerek közül az ügynök telepítéséhez:

   • Telepítse manuálisan az ügynököt a telepítővel.

     Az Ügynökbeállítási beállítások lapon válassza az Ügynök csatlakoztatása az Azure Log Analyticshez (OMS) lehetőséget

   • Telepítse az ügynököt a parancssor használatával.

   • Konfigurálja az ügynököt egy szkripttel.

   Megjegyzés:

   Ha Ön usa-beli kormányzati ügyfél, az "Azure Cloud" területen az "Azure US Government" lehetőséget kell választania, ha a telepítővarázslót használja, vagy ha parancssort vagy szkriptet használ – állítsa a "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" paramétert 1-es értékre.

4. Ha proxyt használ az internethez való csatlakozáshoz, tekintse meg a Proxy- és internetkapcsolat beállításainak konfigurálása című szakaszt.

Ha végzett, egy órán belül látnia kell a portálon az előkészített végpontokat.

Proxy és internetkapcsolat beállításainak konfigurálása

Ha a kiszolgálóknak proxyt kell használniuk a Végponthoz készült Defenderrel való kommunikációhoz, az alábbi módszerek egyikével konfigurálhatja az MMA-t a proxykiszolgáló használatára:

• Az MMA konfigurálása proxykiszolgáló használatára

• A Windows konfigurálása proxykiszolgáló használatára az összes kapcsolathoz

Ha proxy vagy tűzfal van használatban, győződjön meg arról, hogy a kiszolgálók az összes Végponthoz készült Microsoft Defender szolgáltatás URL-címét elérhetik közvetlenül és SSL-elfogás nélkül. További információ: Hozzáférés engedélyezése Végponthoz készült Microsoft Defender szolgáltatás URL-címéhez. Az SSL elfogása megakadályozza, hogy a rendszer kommunikáljon a Végponthoz készült Defender szolgáltatással.

A befejezést követően egy órán belül megjelenik az előkészített Windows-kiszolgálók a portálon.

Windows-kiszolgálók előkészítése a Microsoft Defender for Cloudon keresztül

1. A Microsoft Defender XDR navigációs panelen válassza a Beállítások>Végpontok>Eszközkezelés>Előkészítés lehetőséget.

2. Operációs rendszerként válassza a Windows Server 2008 R2 SP1 lehetőséget.

3. A Felhőhöz Microsoft Defender kattintson a Kiszolgálók előkészítése elemre.

4. Kövesse a felhőhöz készült Microsoft Defender Végponthoz készült Microsoft Defender előkészítési utasításait, és ha az Azure ARC-t használja, kövesse az előkészítési utasításokat a Végponthoz készült Microsoft Defender engedélyezése című témakörben. integrációt.

Az előkészítési lépések elvégzése után konfigurálnia és frissítenie kell System Center Endpoint Protection-ügyfeleket.

Megjegyzés:

• Ahhoz, hogy a kiszolgálók Microsoft Defender keresztüli előkészítés a várt módon működjön, a kiszolgálónak rendelkeznie kell egy megfelelő munkaterületkel és kulccsal, amely a Microsoft Monitoring Agent (MMA) beállításai között van konfigurálva.
• A konfigurálást követően a megfelelő felhőfelügyeleti csomag lesz üzembe helyezve a gépen, és az érzékelőfolyamat (MsSenseS.exe) üzembe lesz helyezve és elindul.
• Ez akkor is szükséges, ha a kiszolgáló OMS-átjárókiszolgáló proxyként való használatára van konfigurálva.

Az előkészítés ellenőrzése

Ellenőrizze, hogy fut-e Microsoft Defender víruskereső és Végponthoz készült Microsoft Defender.

Megjegyzés:

A Microsoft Defender víruskereső futtatása nem szükséges, de ajánlott. Ha egy másik víruskereső gyártó termék az elsődleges végpontvédelmi megoldás, passzív módban futtathatja Defender víruskereső. Csak akkor ellenőrizheti, hogy a passzív mód be van-e kapcsolva, miután ellenőrizte, hogy Végponthoz készült Microsoft Defender érzékelő (SENSE) fut-e.

Megjegyzés:

Mivel Microsoft Defender víruskereső csak Windows 10 és Windows 11 esetében támogatott, az 1. lépés nem vonatkozik a Windows Server 2008 R2 SP1 futtatásakor.

1. Futtassa a következő parancsot annak ellenőrzéséhez, hogy telepítve van-e Microsoft Defender víruskereső:

   sc.exe query Windefend
   

   Ha az eredmény "A megadott szolgáltatás nem létezik telepített szolgáltatásként", akkor telepítenie kell Microsoft Defender víruskeresőt. További információ: Microsoft Defender víruskereső a Windows 10-ban.

   A Csoportházirend Microsoft Defender víruskereső Windows-kiszolgálókon való konfigurálásáról és kezeléséről a Csoportházirend beállításainak használata Microsoft Defender víruskereső konfigurálásához és kezeléséhez című témakörben talál további információt.

Ha problémákba ütközik az előkészítéssel kapcsolatban, tekintse meg az előkészítéssel kapcsolatos hibák elhárítását ismertető cikket.

Észlelési teszt futtatása

Kövesse az Észlelési teszt futtatása újonnan előkészített eszközön című cikk lépéseit annak ellenőrzéséhez, hogy a kiszolgáló jelent-e a Végpont szolgáltatáshoz készült Defendernek.

Végpontok előkészítése felügyeleti megoldás nélkül

A Csoportházirend használata

1. lépés: Töltse le a végpont megfelelő frissítését.

1. Lépjen a c:\windows\sysvol\domain\scripts mappába (az egyik tartományvezérlőn szükség lehet változásvezérlésre.)

2. Hozzon létre egy MMA nevű mappát.

3. Töltse le a következőket, és helyezze őket az MMA mappába:

   • Frissítés az ügyfélélményhez és a diagnosztikai telemetriához:
     • Windows Server 2008 R2 x64 esetén

   Windows Server 2008 R2 SP1 esetén a következő frissítésekre is szükség van:

   2018. februári havi összegző frissítés – KB4074598 (Windows Server 2008 R2)

   Microsoft Update-katalógus
   A Windows Server 2008 R2 x64 frissítéseinek letöltése

   .NET-keretrendszer 3.5.1 (KB315418)
   Windows Server 2008 R2 x64 esetén

   Megjegyzés:

   Ez a cikk feltételezi, hogy x64-alapú kiszolgálókat használ (MMA-ügynök .exe x64 Új SHA-2-kompatibilis verzió).

2. lépés: Fájlnév létrehozása DeployMMA.cmd (jegyzettömb használatával) Adja hozzá a következő sorokat a parancsfájlhoz. Vegye figyelembe, hogy szüksége lesz a MUNKATERÜLET-azonosítóra és a KULCSra.

Az alábbi parancs egy példa. Cserélje le a következő értékeket:

• KB – Használja az előkészítéshez használt végpontra vonatkozó megfelelő tudásbázist
• Munkaterület azonosítója és KULCSA – Az azonosító és a kulcs használata

@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

Csoportházirend konfigurációja

Hozzon létre egy új csoportházirendet kifejezetten az eszközök előkészítéséhez, például "Végponthoz készült Microsoft Defender előkészítéshez".

• Hozzon létre egy "c:\windows\MMA" nevű Csoportházirend mappát

  

  Ezzel hozzáad egy új mappát minden kiszolgálón, amely alkalmazza a csoportházirend-objektumot MMA néven, és a c:\windows mappában lesz tárolva. Ez tartalmazza az MMA telepítési fájljait, az előfeltételeket és a telepítési szkriptet.

• Hozzon létre egy Csoportházirend Files beállítást a Net-bejelentkezésben tárolt összes fájlhoz.

  

Átmásolja a fájlokat a DOMAIN\NETLOGON\MMA\filename mappából a C:\windows\MMA\filename mappába, így a telepítési fájlok helyiek a kiszolgálón:

Ismételje meg a folyamatot, de hozzon létre elemszintű célzást a COMMON lapon, így a fájl csak a megfelelő platformra/operációsrendszer-verzióra lesz másolva a hatókörben:

Windows Server 2008 R2 esetén a következőkre lesz szüksége (és csak a vágólapra másolja):

• Windows6.1-KB3080149-x64.msu
• Windows6.1-KB3154518-x64.msu
• Windows6.1-KB4075598-x64.msu

Ha ez megtörtént, létre kell hoznia egy indítási szkriptszabályzatot:

Az itt futtatandó fájl neve c:\windows\MMA\DeployMMA.cmd. Miután a kiszolgáló az indítási folyamat részeként újraindul, telepíti a Frissítés az ügyfélélményhez és a diagnosztikai telemetria KB-hoz, majd telepíti az MMA-ügynököt, miközben beállítja a munkaterület azonosítóját és kulcsát, és a kiszolgáló elő lesz készítve.

Ha nem szeretné újraindítani az összes kiszolgálót, a deployMMA.cmd azonnali feladat használatával is futtathatja.

Ez két fázisban végezhető el. Először hozza létre a fájlokat és a mappát a csoportházirend-objektumban – Adjon időt a rendszernek a csoportházirend-objektum alkalmazásának ellenőrzésére, és az összes kiszolgáló rendelkezik a telepítési fájlokkal. Ezután adja hozzá az azonnali feladatot. Ez ugyanazt az eredményt fogja elérni újraindítás nélkül.

Mivel a szkript rendelkezik kilépési módszerrel, és nem fut újra, ha az MMA telepítve van, napi ütemezett feladattal is elérheti ugyanezt az eredményt. A Configuration Manager megfelelőségi szabályzathoz hasonlóan naponta ellenőrzi, hogy az MMA megtalálható-e.

Ahogy azt a Server 2008 R2 körüli server bevezetési dokumentációban is említettük, tekintse meg az alábbiakat: Windows Server 2008 R2 SP1 esetén győződjön meg arról, hogy megfelel a következő követelményeknek:

• A 2018. februári havi kumulatív frissítés telepítése
• Telepítse a .NET-keretrendszer 4.5-ös (vagy újabb) vagy KB3154518

A Windows Server 2008 R2 bevezetése előtt ellenőrizze, hogy a KB-k megtalálhatók-e. Ez a folyamat lehetővé teszi az összes kiszolgáló előkészítését, ha nem rendelkezik Configuration Manager kiszolgálók felügyeletével.

Végpontok kivezetése

Két lehetősége van a Windows-végpontok szolgáltatásból való kivezetésére:

• Az MMA-ügynök eltávolítása
• A Végponthoz készült Defender-munkaterület konfigurációjának eltávolítása

Megjegyzés:

A kivezetés miatt a Windows-végpont nem küld érzékelőadatokat a portálra, de a végpontról származó adatok, beleértve a riasztásokra való hivatkozást is, legfeljebb 6 hónapig maradnak meg.

Az MMA-ügynök eltávolítása

A Windows-végpont eltávolításához eltávolíthatja az MMA-ügynököt, vagy leválaszthatja a Végponthoz készült Defender-munkaterületre irányuló jelentéskészítésről. Az ügynök kivezetése után a végpont nem küld érzékelőadatokat a Végponthoz készült Defendernek. További információ: Ügynök letiltása.

A Végponthoz készült Defender-munkaterület konfigurációjának eltávolítása

Az alábbi módszerek bármelyikét használhatja:

• A Végponthoz készült Defender-munkaterület konfigurációjának eltávolítása az MMA-ügynökből
• PowerShell-parancs futtatása a konfiguráció eltávolításához

A Végponthoz készült Defender-munkaterület konfigurációjának eltávolítása az MMA-ügynökből

1. A Microsoft Monitoring Agent tulajdonságai területen válassza az Azure Log Analytics (OMS) lapot.

2. Válassza ki a Végponthoz készült Defender munkaterületet, majd kattintson az Eltávolítás gombra.

   

PowerShell-parancs futtatása a konfiguráció eltávolításához

1. Munkaterület-azonosító lekérése:

   1. A navigációs ablakban válassza a Beállítások>Előkészítés lehetőséget.
   2. Válassza ki a megfelelő operációs rendszert, és kérje le a munkaterület azonosítóját.

2. Nyisson meg egy emelt szintű PowerShellt, és futtassa a következő parancsot. Használja a beszerzett munkaterület-azonosítót, és cserélje le a következőt WorkspaceID:

   $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
   
   # Remove OMS Workspace
   $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
   
   # Reload the configuration and apply changes
   $AgentCfg.ReloadConfiguration()
   

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.