Megosztás a következőn keresztül:

Windows-eszközök előkészítése a Configuration Manager használatával

  • Cikk

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

A Configuration Manager használatával hozhatja be a végpontokat a Végponthoz készült Microsoft Defender szolgáltatásba.

Az eszközök Configuration Manager való előkészítésére több lehetőség is használható:

Megjegyzés:

A Végponthoz készült Defender nem támogatja az előkészítést a kezdőélmény (OOBE) fázisában. Győződjön meg arról, hogy a felhasználók befejezték az OOBE-t a Windows telepítése vagy frissítése után.

Létrehozhat egy észlelési szabályt egy Configuration Manager alkalmazásban, amely folyamatosan ellenőrzi, hogy az eszköz előkészítése megtörtént-e. Az alkalmazás más típusú objektum, mint a csomag és a program. Ha egy eszköz még nincs regisztrálva (az OOBE függőben lévő befejezése vagy más ok miatt), Configuration Manager újra meg kell ismételnie az eszközt, amíg a szabály nem észleli az állapotváltozást. További információ: Észlelési módszerek konfigurálása a System Center 2012 R2 Configuration Manager.

Előfeltételek

Mintagyűjtemény beállításainak konfigurálása

Minden eszközhöz beállíthat egy konfigurációs értéket, amely meghatározza, hogy gyűjthetők-e minták az eszközről, amikor a Microsoft Defender portálon keresztül kérnek egy fájlt mély elemzésre.

Megjegyzés:

Ezeket a konfigurációs beállításokat általában Configuration Manager keresztül kell elvégezni.

A konfigurációelem megfelelőségi szabályát a Configuration Manager-ben állíthatja be a mintamegosztási beállítás módosításához az eszközön.

Ennek a szabálynak a megfelelőségi szabály konfigurációelemének kell lennie, amely beállítja egy beállításkulcs értékét a megcélzott eszközökön, hogy meggyőződjön arról, hogy azok megfelelőek.

A konfiguráció a következő beállításkulcs-bejegyzéssel állítható be:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Ahol a kulcs típusa D-WORD. A lehetséges értékek a következők:

  • 0: Nem engedélyezi a mintamegosztást erről az eszközről
  • 1: Lehetővé teszi az összes fájltípus megosztását az eszközről

Ha a beállításkulcs nem létezik, az alapértelmezett érték 1.

További információ a System Center Configuration Manager Megfelelőségről: Bevezetés a System Center 2012 R2 Configuration Manager megfelelőségi beállításaiba.

Gyűjtemény létrehozása

A Windows-eszközök Microsoft Configuration Manager való előkészítéséhez az üzembe helyezés megcélzhat egy meglévő gyűjteményt, vagy létrehozhat egy új gyűjteményt tesztelés céljából.

Az olyan eszközökkel történő előkészítés, mint a Csoportházirend vagy egy manuális módszer, nem telepít ügynököket a rendszerre.

Az Microsoft Configuration Manager konzolon belül az előkészítési folyamat a konzol megfelelőségi beállításainak részeként lesz konfigurálva.

Minden olyan rendszer, amely megkapja ezt a szükséges konfigurációt, fenntartja ezt a konfigurációt mindaddig, amíg az Configuration Manager-ügyfél továbbra is megkapja ezt a házirendet a felügyeleti ponttól.

A végpontok Microsoft Configuration Manager használatával történő előkészítéséhez kövesse az alábbi lépéseket:

  1. A Microsoft Configuration Manager konzolon lépjen az Eszközök és megfelelőség > áttekintése > eszközgyűjtemények elemre.

    Képernyőkép a Microsoft Configuration Manager varázslóról1.

  2. Jelölje ki és tartsa lenyomva az Eszközgyűjtemény elemet (vagy kattintson rá a jobb gombbal), majd válassza az Eszközgyűjtemény létrehozása lehetőséget.

    Képernyőkép a Microsoft Configuration Manager varázslóról2.

  3. Adjon meg egy nevet és egy korlátgyűjteményt, majd válassza a Tovább gombot.

    Képernyőkép a Microsoft Configuration Manager varázslóról3.

  4. Válassza a Szabály hozzáadása , majd a Lekérdezési szabály lehetőséget.

    Képernyőkép a Microsoft Configuration Manager varázslóról4.

  5. A Közvetlen tagság varázslóban válassza a Tovább gombot, majd a Lekérdezési utasítás szerkesztése lehetőséget.

    Képernyőkép a Microsoft Configuration Manager varázslóról5.

  6. Válassza a Feltételek lehetőséget, majd a star ikont.

    Képernyőkép a Microsoft Configuration Manager varázslóról6.

  7. Tartsa meg a feltételtípust egyszerű értékként, válassza az Operációs rendszer – buildszám, operátor, amely nagyobb vagy egyenlő, ésértéke 14393, majd kattintson az OK gombra.

    Képernyőkép a Microsoft Configuration Manager varázslóról7.

  8. Válassza a Tovább és a Bezárás lehetőséget.

    Képernyőkép a Microsoft Configuration Manager varázslóról8.

  9. Válassza a Tovább gombot.

    A Microsoft Configuration Manager varázsló9 képernyőképe.

A feladat elvégzése után rendelkezik egy eszközgyűjteménysel a környezetben található összes Windows-végponttal.

A következő generációs védelem konfigurálása

Az alábbi táblázatban felsorolt konfigurációs beállítások használata ajánlott:

Beállítás Leírás
Átkutat Cserélhető tárolóeszközök, például USB-meghajtók vizsgálata: Igen
Valós idejű védelem Viselkedésfigyelés engedélyezése: Igen

A potenciálisan nemkívánatos alkalmazások elleni védelem engedélyezése letöltéskor és a telepítés előtt: Igen
Felhővédelmi szolgáltatás Cloud Protection Service-tagság típusa: Speciális tagság
Támadásifelület-csökkentés Konfigurálja az összes elérhető szabályt a naplózáshoz.

A tevékenységek letiltása megszakíthatja a jogszerű üzleti folyamatokat. A legjobb módszer az, ha mindent naplózásra állít be, azonosítja, hogy melyeket lehet biztonságosan bekapcsolni, majd engedélyezze ezeket a beállításokat olyan végpontokon, amelyek nem rendelkeznek téves pozitív észleléssel.

A Microsoft Defender víruskereső és a támadásifelület-csökkentési szabályzatok Microsoft Configuration Manager (SCCM) keresztüli üzembe helyezéséhez kövesse az alábbi lépéseket:

  • Engedélyezze az Endpoint Protectiont, és konfigurálja az egyéni ügyfélbeállításokat.
  • Telepítse az Endpoint Protection-ügyfelet egy parancssorból.
  • Ellenőrizze az Endpoint Protection-ügyfél telepítését.

Az Endpoint Protection engedélyezése és az egyéni ügyfélbeállítások konfigurálása

A végpontvédelem engedélyezéséhez és az egyéni ügyfélbeállítások konfigurálásához kövesse az alábbi lépéseket:

  1. A Configuration Manager konzolon kattintson az Adminisztráció elemre.

  2. Az Adminisztráció munkaterületen kattintson az Ügyfélbeállítások elemre.

  3. A KezdőlapLétrehozás csoportjában kattintson az Egyéni ügyféleszköz-beállítások létrehozása elemre.

  4. Az Egyéni ügyféleszköz-beállítások létrehozása párbeszédpanelen adja meg a beállítások csoportjának nevét és leírását, majd válassza az Endpoint Protection lehetőséget.

  5. Konfigurálja a szükséges Endpoint Protection-ügyfélbeállításokat. A konfigurálható Endpoint Protection-ügyfélbeállítások teljes listájáért tekintse meg az Endpoint Protection szakaszt az Ügyfélbeállítások ismertetése szakaszban.

    Fontos

    Az Endpoint Protection ügyfélbeállításainak konfigurálása előtt telepítse az Endpoint Protection helyrendszerszerepkört.

  6. Kattintson az OK gombra az Egyéni ügyféleszköz-beállítások létrehozása párbeszédpanel bezárásához. Az új ügyfélbeállítások az Adminisztráció munkaterület Ügyfélbeállítások csomópontjában jelennek meg.

  7. Ezután helyezze üzembe az egyéni ügyfélbeállításokat egy gyűjteményben. Válassza ki az üzembe helyezni kívánt egyéni ügyfélbeállításokat. A Kezdőlap lapÜgyfélbeállítások csoportjában kattintson az Üzembe helyezés gombra.

  8. A Gyűjtemény kiválasztása párbeszédpanelen válassza ki azt a gyűjteményt, amelyre telepíteni szeretné az ügyfélbeállításokat, majd kattintson az OK gombra. Az új üzemelő példány a részletek panel Üzemelő példányok lapján jelenik meg.

Az ügyfelek ezeket a beállításokat konfigurálják, amikor legközelebb letöltik az ügyfélházirendet. További információ: Szabályzatlekérés kezdeményezése Configuration Manager-ügyfélhez.

Megjegyzés:

A Configuration Manager 2207-Configuration Manager és újabb verziók által felügyelt Windows Server 2012 R2 és Windows Server 2016 esetén a Végponthoz készült Microsoft Defender (MDE) ügyféllel () ajánlott) beállítást. Másik lehetőségként a Configuration Manager régebbi verzióit is használhatja a migrálás végrehajtásához. További információ: Kiszolgálók migrálása a Microsoft Monitoring Agentből az egyesített megoldásba.

Az Endpoint Protection-ügyfél telepítése parancssor használatával

Kövesse a lépéseket az Endpoint Protection-ügyfél parancssorból történő telepítésének befejezéséhez.

  1. Másolja scepinstall.exe a Configuration Manager telepítési mappájának Ügyfél mappájából arra a számítógépre, amelyre telepíteni szeretné az Endpoint Protection-ügyfélszoftvert.

  2. Nyissa meg a parancssort rendszergazdaként. Módosítsa a könyvtárat a mappára a telepítővel. Ezután futtassa a parancsot scepinstall.exe, és adja hozzá a szükséges további parancssori tulajdonságokat:

    Tulajdonság Leírás
    /s A telepítő csendes futtatása
    /q A telepítőfájlok csendes kinyerése
    /i A telepítő normál futtatása
    /policy Adjon meg egy kártevőirtó-házirendfájlt, amely a telepítés során konfigurálja az ügyfelet
    /sqmoptin Részvétel a Microsoft Felhasználói élmény fokozása programjában (CEIP)

  3. Kövesse a képernyőn megjelenő utasításokat az ügyfél telepítésének befejezéséhez.

  4. Ha letöltötte a legújabb frissítésdefiníciós csomagot, másolja a csomagot az ügyfélszámítógépre, majd a telepítéshez kattintson duplán a definíciós csomagra.

    Megjegyzés:

    Az Endpoint Protection-ügyfél telepítése után az ügyfél automatikusan elvégzi a definíciófrissítés ellenőrzését. Ha a frissítés ellenőrzése sikeres, nem kell manuálisan telepítenie a legújabb definíciófrissítési csomagot.

Példa: az ügyfél telepítése kártevőirtó-házirenddel

scepinstall.exe /policy <full path>\<policy file>

Az Endpoint Protection-ügyfél telepítésének ellenőrzése

Miután telepítette az Endpoint Protection-ügyfelet a referencia-számítógépre, ellenőrizze, hogy az ügyfél megfelelően működik-e.

  1. A referencia-számítógépen nyissa meg System Center Endpoint Protection a Windows értesítési területéről.

  2. A System Center Endpoint Protection párbeszédpanel Kezdőlap lapján ellenőrizze, hogy a Valós idejű védelem be van-e kapcsolva.

  3. Ellenőrizze, hogy a vírus- és kémprogram-definícióknaprakészen jelennek-e meg.

  4. Annak érdekében, hogy a referencia-számítógép készen álljon a képalkotásra, a Vizsgálati beállítások területen válassza a Teljes lehetőséget, majd kattintson a Vizsgálat most gombra.

Hálózatvédelem konfigurálása

A hálózatvédelem naplózási vagy blokkolási módban való engedélyezése előtt győződjön meg arról, hogy telepítette a kártevőirtó platform frissítését, amely a támogatási oldalról szerezhető be.

Szabályozott mappahozzáférés konfigurálása

Engedélyezze a funkciót naplózási módban legalább 30 napig. Ezt követően tekintse át az észleléseket, és hozzon létre egy listát azokról az alkalmazásokról, amelyek írhatnak a védett könyvtárakba.

További információ: Ellenőrzött mappahozzáférés értékelése.

Észlelési teszt futtatása az előkészítés ellenőrzéséhez

Az eszköz előkészítése után futtathat egy észlelési tesztet annak ellenőrzéséhez, hogy az eszköz megfelelően van-e regisztrálva a szolgáltatásba. További információ: Észlelési teszt futtatása újonnan előkészített Végponthoz készült Microsoft Defender eszközön.

Eszközök kivezetése a Configuration Manager használatával

Biztonsági okokból az eszközök kivezetéséhez használt csomag a letöltést követő 7 napon belül lejár. Az eszközre küldött lejárt kivezetési csomagokat a rendszer elutasítja. A kivezetési csomag letöltésekor értesítést kap a csomagok lejárati dátumáról, és az is szerepelni fog a csomag nevében.

Megjegyzés:

Az előkészítési és kivezetési szabályzatokat nem lehet ugyanabban az eszközön egyszerre üzembe helyezni, ellenkező esetben ez kiszámíthatatlan ütközéseket okoz.

Eszközök kivezetése Microsoft Configuration Manager aktuális ág használatával

Ha Microsoft Configuration Manager aktuális ágat használja, lásd: Kivezetési konfigurációs fájl létrehozása.

Eszközök kivezetése a System Center 2012 R2 Configuration Manager

  1. Szerezze be a kivezetési csomagot Microsoft Defender portálról:

    1. A navigációs panelen válassza a Beállítások>Végpontok>Eszközkezelés>kivezetése lehetőséget.
    2. Operációs rendszerként válassza Windows 10 vagy Windows 11 lehetőséget.
    3. Az Üzembe helyezési módszer mezőben válassza a System Center Configuration Manager 2012/2012 R2/1511/1602 lehetőséget.
    4. Válassza a Csomag letöltése lehetőséget, és mentse a .zip fájlt.

  2. Bontsa ki a .zip fájl tartalmát egy megosztott, írásvédett helyre, amelyet a csomagot telepítő hálózati rendszergazdák érhetnek el. Rendelkeznie kell egy WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd nevű fájllal.

  3. Telepítse a csomagot a Csomagok és programok a System Center 2012 R2-ben című cikk lépéseit követve Configuration Manager.

    Válasszon ki egy előre definiált eszközgyűjteményt a csomag üzembe helyezéséhez.

Fontos

A kivezetés miatt az eszköz nem küld érzékelőadatokat a portálra, de az eszközről származó adatok, beleértve a riasztásokra való hivatkozást is, legfeljebb 6 hónapig maradnak meg.

Eszközkonfiguráció monitorozása

Ha Microsoft Configuration Manager aktuális ágat használja, használja az Configuration Manager konzol beépített Végponthoz készült Defender irányítópultját. További információ: Végponthoz készült Defender – Monitor.

A System Center 2012 R2 Configuration Manager használata esetén a figyelés két részből áll:

  1. Annak ellenőrzése, hogy a konfigurációs csomag megfelelően lett-e üzembe helyezve, és fut-e (vagy sikeresen futott) a hálózat eszközein.

  2. Annak ellenőrzése, hogy az eszközök megfelelnek-e a Végponthoz készült Defender szolgáltatásnak (ez biztosítja, hogy az eszköz befejezhesse az előkészítési folyamatot, és továbbra is jelentheti az adatokat a szolgáltatásnak).

Ellenőrizze, hogy a konfigurációs csomag megfelelően lett-e üzembe helyezve

  1. A Configuration Manager konzolon kattintson a navigációs ablak alján található Figyelés elemre.

  2. Válassza az Áttekintés , majd az Üzemelő példányok lehetőséget.

  3. Válassza ki az üzembe helyezést a csomag nevével.

  4. Tekintse át az állapotjelzőket a Befejezési statisztika és a Tartalom állapota területen.

    Sikertelen üzembe helyezések ( hibás, követelményeknek nem megfelelő vagy sikertelen állapotú eszközök) esetén előfordulhat, hogy hibaelhárítást kell végeznie az eszközökön. További információ: Végponthoz készült Microsoft Defender előkészítési problémák elhárítása.

    A sikeres üzembe helyezést mutató Configuration Manager hiba nélkül

Ellenőrizze, hogy az eszközök megfelelnek-e a Végponthoz készült Microsoft Defender szolgáltatásnak

A System Center 2012 R2 Configuration Manager konfigurálási eleméhez megfelelőségi szabályt állíthat be az üzemelő példány figyeléséhez.

Ennek a szabálynak egy nem szervizelt megfelelőségi szabály konfigurációs elemének kell lennie, amely a megcélzott eszközökön figyeli a beállításkulcs értékét.

Figyelje a következő beállításkulcs-bejegyzést:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

További információ: A System Center 2012 R2 Configuration Manager megfelelőségi beállításainak bemutatása.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.