A Windows korábbi verzióinak bevezetése

A Végponthoz készült Defender kiterjeszti a támogatást az alacsonyabb szintű operációs rendszerekre, így fejlett támadásészlelési és vizsgálati képességeket biztosít a támogatott Windows-verziókon.

Ha alacsonyabb szintű Windows-ügyfélvégpontokat szeretne létrehozni a Végponthoz készült Defenderben, a következőket teheti:

• A Defender-végpontbiztonság üzembe helyezése a Defender üzembehelyezési eszközével

  vagy

• A Microsoft Monitoring Agent (MMA) telepítése és konfigurálása, valamint a System Center Endpoint Protection (SCEP) ügyfelek konfigurálása és frissítése

Tipp

Az eszköz előkészítése után futtathat egy észlelési tesztet annak ellenőrzéséhez, hogy megfelelően van-e regisztrálva a szolgáltatásba. További információ: Észlelési teszt futtatása újonnan előkészített Végponthoz készült Defender-végponton.

Támogatott operációs rendszerek

Defender-végpont biztonsági megoldása

• Windows 7 SP1 Pro
• Windows 7 SP1 Enterprise
• Windows Server 2008 R2 SP1

MMA/SCEP

• Windows 7 SP1 Pro
• Windows 7 SP1 Enterprise
• Windows 8.1 Pro
• Windows 8.1
• Windows Server 2008 R2 SP1

A Defender-végpontbiztonság üzembe helyezése a Defender üzembehelyezési eszközével

A végpontbiztonsági megoldás (előzetes verzió) Microsoft Defender az örökölt Windows 7 SP1 és Windows Server 2008 R2 SP1 rendszerű eszközökhöz érhető el. A megoldás speciális védelmi képességeket és továbbfejlesztett funkciókat biztosít ezen eszközök számára más megoldásokhoz képest. Az alábbi táblázat a megoldás jelenleg támogatott funkcióit ismerteti.

Kiemelés	Funkcionalitás
Speciális veszélyforrás-keresés	Események közötti keresés a Kusto lekérdezésnyelv
Víruskereső passzív módban	Lehetővé teszi a nem Microsoft kártevőirtó megoldásokkal való egyidejű együttélést.
Egyéni fájljelölők	Fájlok engedélyezése, letiltása, karanténba helyezése kivonat vagy tanúsítványadatok alapján
Eszköz- és fájlválasz képességei	Eszköz elkülönítése, fájlok blokkolása és lekérése, vizsgálati csomagok gyűjtése, víruskereső-vizsgálat futtatása Megjegyzés: más válaszképességek nem támogatottak
Következő generációs védelem	Defender víruskereső valós idejű viselkedésmonitorozással, felhőben történő kézbesítéssel és definícióalapú kártevő-blokkolással és -szervizeléssel. Ütemezett és manuálisan aktivált vizsgálatok. Megjegyzés: A hálózatvédelem, a támadásifelület-csökkentési szabályok, a szabályozott mappahozzáférés és a kapcsolódó funkciók, például az IP- és URL-jelzők nem támogatottak.
Operációs rendszer és szoftver sebezhetőségi felmérései	Defender biztonságirés-kezelés betekintést nyújt a Windows és a telepített szoftverek biztonsági réseibe. Megjegyzés: A következő funkciók nem érhetők el Windows 7 SP1 és Windows Server 2008 R2 rendszeren: – Biztonsági konfiguráció értékelése – "Újraindítás függőben" élmény - Prémium képességek: biztonsági alapkonfiguráció értékelése, böngészőbővítmények, tanúsítvány- és alkalmazásblokkolás
Biztonsági beállítások kezelése	Szabályzatkényszerítés Defender víruskereső képességekhez. Vegye figyelembe, hogy csak az elérhető funkciók beállításai lépnek érvénybe.
Érzékelő érzékelése	Részletes észlelési események az eszköz idővonalán, a veszélyforrás-keresésben és a biztonsági rések és a támadás jelzései alapján történő riasztások létrehozásához.
Támadási zavar: tartalmazza az eszközt/IP-címet	Automatikus támadáskimaradás az oldalirányú mozgást kihasználó támadások leállításához.
(Automatikus) frissítések	Rendszeres frissítések a kártevőirtó és észlelési összetevőkhöz.

A megoldás letölthető és telepíthető a Defender üzembe helyezési eszközével, amely egy egyszerűsített, önfrissítési alkalmazás, amely leegyszerűsíti a Végponthoz készült Defender által támogatott összes Windows-verzió előkészítését. Az üzembe helyezési eszköz gondoskodik az előfeltételekről, automatizálja a régebbi megoldásokból való migrálást, és megszünteti az összetett előkészítési szkriptek, a különálló letöltések és a manuális telepítések szükségességét. Az eszközzel és annak használatával kapcsolatos információkért lásd: Microsoft Defender végpontbiztonság központi telepítése Windows-eszközökre a Defender üzembe helyezési eszközével (előzetes verzió).

A Microsoft Monitoring Agent (MMA) telepítése és konfigurálása

Az első lépések

Tekintse át az alábbi adatokat a minimális rendszerkövetelmények ellenőrzéséhez:

• A 2018. februári havi kumulatív frissítés telepítése – A Windows Update katalógus közvetlen letöltési hivatkozása itt érhető el

• Telepítse a 2019. március 12-i (vagy újabb) karbantartási veremfrissítést – A Windows Update katalógus közvetlen letöltési hivatkozása itt érhető el

• Az SHA-2 kódaláírás támogatási frissítésének telepítése – A Windows Update katalógusból származó közvetlen letöltési hivatkozás itt érhető el

  Megjegyzés:

  Csak a Windows Server 2008 R2, a Windows 7 SP1 Enterprise és a Windows 7 SP1 Pro rendszerre vonatkozik.

• Telepítse az Update for customer experience and diagnostic telemetry (Frissítés az ügyfélélményhez és a diagnosztikai telemetriához) telepítését

• A Microsoft .NET-keretrendszer 4.5.2-s vagy újabb verziójának telepítése

  Megjegyzés:

  Előfordulhat, hogy a .NET 4.5 telepítése után újra kell indítania a számítógépet.

• A Azure Log Analytics-ügynök minimális rendszerkövetelményeinek teljesítése. További információ: Adatok gyűjtése a környezetben lévő számítógépekről a Log Analytics használatával

Telepítési lépések

1. Töltse le az ügynök telepítőfájlját: Windows 64 bites ügynök vagy Windows 32 bites ügynök.

   Megjegyzés:

   Az MMA-ügynök sha-1-támogatásának elavulása miatt az MMA-ügynöknek a 10.20.18029-es vagy újabb verziónak kell lennie.

2. Szerezze be a munkaterület azonosítóját:

   • A Végponthoz készült Defender navigációs panelen válassza a Beállítások > Eszközkezelés > előkészítés lehetőséget.
   • Válassza ki az operációs rendszert.
   • Másolja ki a munkaterület azonosítóját és a munkaterület kulcsát.

3. A Munkaterület-azonosító és a Munkaterület kulcs használatával válasszon az alábbi telepítési módszerek közül az ügynök telepítéséhez:

   • Telepítse manuálisan az ügynököt a telepítővel.

     Az Ügynökbeállítási beállítások lapon válassza az Ügynök csatlakoztatása Azure Log Analyticshez (OMS) lehetőséget.

   • Telepítse az ügynököt a parancssor használatával.

   • Konfigurálja az ügynököt egy szkripttel.

   Megjegyzés:

   Ha Ön az USA kormányzati szerveinek ügyfele, a "Azure Cloud" területen a "Azure US Government" lehetőséget kell választania, ha a beállítási varázslót használja, vagy parancssort vagy szkriptet használ – állítsa a "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" paramétert 1-re.

4. Ha proxyt használ az internethez való csatlakozáshoz, tekintse meg a Proxy- és internetkapcsolat beállításainak konfigurálása című szakaszt.

Ha végzett, egy órán belül látnia kell a portálon az előkészített végpontokat.

System Center Endpoint Protection-ügyfelek konfigurálása és frissítése

A Végponthoz készült Defender integrálható a System Center Endpoint Protection, hogy láthatóvá tehesse a kártevők észlelését, és megakadályozza a szervezeten belüli támadások propagálását a potenciálisan rosszindulatú fájlok vagy gyanús kártevők tiltásával.

Az integráció engedélyezéséhez a következő lépések szükségesek:

• Az Endpoint Protection-ügyfelek 2017. januári kártevőirtó platformfrissítésének telepítése
• Az SCEP-ügyfél Cloud Protection Service-tagságának konfigurálása a Speciális beállításra
• Konfigurálja a hálózatot úgy, hogy engedélyezze a Microsoft Defender víruskereső felhőhöz való csatlakozást. További információ: Microsoft Defender víruskereső hálózati kapcsolatainak konfigurálása és ellenőrzése

Proxy és internetkapcsolat beállításainak konfigurálása

Ha a kiszolgálóknak proxyt kell használniuk a Végponthoz készült Defenderrel való kommunikációhoz, az alábbi módszerek egyikével konfigurálhatja az MMA-t a proxykiszolgáló használatára:

• Az MMA konfigurálása proxykiszolgáló használatára

• A Windows konfigurálása proxykiszolgáló használatára az összes kapcsolathoz

Ha proxy vagy tűzfal van használatban, győződjön meg arról, hogy a kiszolgálók közvetlenül és SSL elfogása nélkül is hozzáférhetnek az Végponthoz készült Microsoft Defender szolgáltatás összes URL-címéhez. További információ: Hozzáférés engedélyezése Végponthoz készült Microsoft Defender szolgáltatás URL-címéhez. Az SSL elfogása megakadályozza, hogy a rendszer kommunikáljon a Végponthoz készült Defender szolgáltatással.

A befejezést követően egy órán belül megjelenik az előkészített Windows-kiszolgálók a portálon.

Windows-kiszolgálók előkészítése a Microsoft Defender for Cloudon keresztül

1. A Microsoft Defender XDR navigációs panelen válassza a Beállítások>Végpontok>Eszközkezelés>Előkészítés lehetőséget.

2. Operációs rendszerként válassza Windows Server 2008 R2 SP1 lehetőséget.

3. Válassza a Kiszolgálók előkészítése lehetőséget a felhőhöz Microsoft Defender.

4. Kövesse a felhőhöz készült Microsoft Defender Végponthoz készült Microsoft Defender előkészítési utasításait, és ha Azure ARC-ot használ, kövesse az előkészítési utasításokat a Következő engedélyezése című témakörben: Végponthoz készült Microsoft Defender integráció.

Az előkészítési lépések elvégzése után konfigurálnia és frissítenie kell System Center Endpoint Protection-ügyfeleket.

Megjegyzés:

• Ahhoz, hogy a kiszolgálók Microsoft Defender keresztüli előkészítés a várt módon működjön, a kiszolgálónak rendelkeznie kell egy megfelelő munkaterületkel és kulccsal, amely a Microsoft Monitoring Agent (MMA) beállításai között van konfigurálva.
• A konfigurálást követően a megfelelő felhőfelügyeleti csomag lesz üzembe helyezve a gépen, és az érzékelőfolyamat (MsSenseS.exe) üzembe lesz helyezve és elindul.
• Ez akkor is szükséges, ha a kiszolgáló OMS-átjárókiszolgáló proxyként való használatára van konfigurálva.

Az előkészítés ellenőrzése

Ellenőrizze, hogy fut-e Microsoft Defender víruskereső és Végponthoz készült Microsoft Defender.

Megjegyzés:

A Microsoft Defender víruskereső futtatása nem szükséges, de ajánlott. Ha egy másik víruskereső gyártó termék az elsődleges végpontvédelmi megoldás, passzív módban futtathatja Defender víruskereső. Csak akkor ellenőrizheti, hogy a passzív mód be van-e kapcsolva, miután ellenőrizte, hogy Végponthoz készült Microsoft Defender érzékelő (SENSE) fut-e.

Megjegyzés:

Mivel Microsoft Defender víruskereső csak Windows 10 és Windows 11 esetében támogatott, az 1. lépés nem vonatkozik a Windows Server 2008 R2 SP1 futtatásakor.

1. Futtassa a következő parancsot annak ellenőrzéséhez, hogy telepítve van-e Microsoft Defender víruskereső:

   sc.exe query Windefend
   

   Ha az eredmény "A megadott szolgáltatás nem létezik telepített szolgáltatásként", akkor telepítenie kell Microsoft Defender víruskeresőt. További információ: Microsoft Defender víruskereső a Windows 10-ban.

   A Csoportházirend Microsoft Defender víruskereső Windows-kiszolgálókon való konfigurálásáról és kezeléséről a Csoportházirend beállításainak használata Microsoft Defender víruskereső konfigurálásához és kezeléséhez című témakörben talál további információt.

Ha problémákba ütközik az előkészítéssel kapcsolatban, tekintse meg az előkészítéssel kapcsolatos hibák elhárítását ismertető cikket.

Észlelési teszt futtatása

Kövesse az Észlelési teszt futtatása újonnan előkészített eszközön című cikk lépéseit annak ellenőrzéséhez, hogy a kiszolgáló jelent-e a Végpont szolgáltatáshoz készült Defendernek.

Végpontok előkészítése felügyeleti megoldás nélkül

A Csoportházirend használata

1. lépés: Töltse le a végpont megfelelő frissítését.

1. Lépjen a c:\windows\sysvol\domain\scripts mappába (az egyik tartományvezérlőn szükség lehet változásvezérlésre.)

2. Hozzon létre egy MMA nevű mappát.

3. Töltse le a következőket, és helyezze őket az MMA mappába:

   • Frissítés az ügyfélélményhez és a diagnosztikai telemetriához:
     • Windows Server 2008 R2 x64 esetén

   A Windows Server 2008 R2 SP1 esetén a következő frissítésekre is szükség van:

   • 2018. februári összegző havi összegző – KB4074598 (Windows Server 2008 R2)

   • Microsoft Update-katalógus
     

   • A Windows Server 2008 R2 x64 frissítéseinek letöltése

   • .NET-keretrendszer 3.5.1 (KB315418)
     

   • Windows Server 2008 R2 x64 esetén

   Megjegyzés:

   Ez a cikk feltételezi, hogy x64-alapú kiszolgálókat használ (MMA-ügynök .exe x64 Új SHA-2-kompatibilis verzió).

2. lépés: Hozzon létre egy DeployMMA.cmd nevű fájlt (a jegyzettömb használatával) Adja hozzá a következő sorokat a parancsfájlhoz. Vegye figyelembe, hogy szüksége lesz a MUNKATERÜLET-azonosítóra és a KULCSra.

Az alábbi parancs egy példa. Cserélje le a következő értékeket:

• KB – Használja az előkészítéshez használt végpontra vonatkozó megfelelő tudásbázist
• Munkaterület azonosítója és KULCSA – Az azonosító és a kulcs használata

@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

Csoportházirend konfigurációja

Hozzon létre egy új csoportházirendet kifejezetten az eszközök előkészítéséhez, például "Végponthoz készült Microsoft Defender előkészítéshez".

• Hozzon létre egy "c:\windows\MMA" nevű Csoportházirend mappát

  

  Ezzel hozzáad egy új mappát minden kiszolgálón, amely alkalmazza a csoportházirend-objektumot MMA néven, és a c:\windows mappában lesz tárolva. Ez tartalmazza az MMA telepítési fájljait, az előfeltételeket és a telepítési szkriptet.

• Hozzon létre egy Csoportházirend Files beállítást a Net-bejelentkezésben tárolt összes fájlhoz.

  

Átmásolja a fájlokat a DOMAIN\NETLOGON\MMA\filename mappából a C:\windows\MMA\filename mappába, így a telepítési fájlok helyiek a kiszolgálón:

Ismételje meg a folyamatot, de hozzon létre elemszintű célzást a COMMON lapon, így a fájl csak a megfelelő platformra/operációsrendszer-verzióra lesz másolva a hatókörben:

A Windows Server 2008 R2 esetén a következőkre lesz szüksége (és csak a vágólapra másolja):

• Windows6.1-KB3080149-x64.msu
• Windows6.1-KB3154518-x64.msu
• Windows6.1-KB4075598-x64.msu

Ha ez megtörtént, létre kell hoznia egy indítási szkriptszabályzatot:

Az itt futtatandó fájl neve: c:\windows\MMA\DeployMMA.cmd. Miután a kiszolgáló az indítási folyamat részeként újraindul, telepíti a Frissítés az ügyfélélményhez és a diagnosztikai telemetria KB-hoz, majd telepíti az MMA-ügynököt, miközben beállítja a munkaterület azonosítóját és kulcsát, és a kiszolgáló elő lesz készítve.

Ha nem szeretné újraindítani az összes kiszolgálót, a deployMMA.cmd azonnali feladat használatával is futtathatja.

Ez két fázisban végezhető el. Először hozza létre a fájlokat és a mappát a csoportházirend-objektumban – Adjon időt a rendszernek a csoportházirend-objektum alkalmazásának ellenőrzésére, és az összes kiszolgáló rendelkezik a telepítési fájlokkal. Ezután adja hozzá az azonnali feladatot. Ez ugyanazt az eredményt fogja elérni újraindítás nélkül.

Mivel a szkript rendelkezik kilépési módszerrel, és nem fut újra, ha az MMA telepítve van, napi ütemezett feladattal is elérheti ugyanezt az eredményt. A Configuration Manager megfelelőségi szabályzathoz hasonlóan naponta ellenőrzi, hogy az MMA megtalálható-e.

Amint azt a Server 2008 R2-höz készült előkészítési dokumentációban említettük, tekintse meg az alábbiakat: Windows Server 2008 R2 SP1 esetén győződjön meg arról, hogy megfelel a következő követelményeknek:

• A 2018. februári havi kumulatív frissítés telepítése
• Telepítse a .NET-keretrendszer 4.5-ös (vagy újabb) vagy KB3154518

A 2008 R2 Windows Server előkészítése előtt ellenőrizze, hogy a KB-k megtalálhatók-e. Ez a folyamat lehetővé teszi az összes kiszolgáló előkészítését, ha nem rendelkezik Configuration Manager kiszolgálók felügyeletével.

Végpontok kivezetése

Két lehetősége van a Windows-végpontok szolgáltatásból való kivezetésére:

• Az MMA-ügynök eltávolítása
• A Végponthoz készült Defender-munkaterület konfigurációjának eltávolítása

Megjegyzés:

A kivezetés miatt a Windows-végpont nem küld érzékelőadatokat a portálra, de a végpontról származó adatok, beleértve a riasztásokra való hivatkozást is, legfeljebb hat hónapig maradnak meg.

Az MMA-ügynök eltávolítása

A Windows-végpont eltávolításához eltávolíthatja az MMA-ügynököt, vagy leválaszthatja a Végponthoz készült Defender-munkaterületre irányuló jelentéskészítésről. Az ügynök kivezetése után a végpont nem küld érzékelőadatokat a Végponthoz készült Defendernek. További információ: Ügynök letiltása.

A Végponthoz készült Defender-munkaterület konfigurációjának eltávolítása

Az alábbi módszerek bármelyikét használhatja:

• A Végponthoz készült Defender-munkaterület konfigurációjának eltávolítása az MMA-ügynökből
• PowerShell-parancs futtatása a konfiguráció eltávolításához

A Végponthoz készült Defender-munkaterület konfigurációjának eltávolítása az MMA-ügynökből

1. A Microsoft Monitoring Agent tulajdonságai területen válassza a Azure Log Analytics (OMS) lapot.

2. Válassza ki a Végponthoz készült Defender munkaterületet, majd válassza az Eltávolítás lehetőséget.

   

PowerShell-parancs futtatása a konfiguráció eltávolításához

1. Munkaterület-azonosító lekérése:

   1. A navigációs ablakban válassza a Beállítások>Előkészítés lehetőséget.
   2. Válassza ki a megfelelő operációs rendszert, és kérje le a munkaterület azonosítóját.

2. Nyisson meg egy emelt szintű PowerShellt, és futtassa a következő parancsot. Használja a beszerzett munkaterület-azonosítót, és cserélje le a következőt WorkspaceID:

   $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
   
   # Remove OMS Workspace
   $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
   
   # Reload the configuration and apply changes
   $AgentCfg.ReloadConfiguration()
   

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.