Megosztás a következőn keresztül:


Migrálás végponthoz készült Microsoft Defenderbe – 2. fázis: Beállítás

Érintett szolgáltatás:

1. fázis: Előkészítés.
1. fázis: Előkészítés
2. fázis: Beállítás.
2. fázis: Beállítások
3. fázis: Előkészítés3.
3. fázis: Bevezetés
Itt vagy!

Üdvözöljük a Végponthoz készült Defenderbe való migrálás beállítási fázisában. Ez a fázis a következő lépéseket tartalmazza:

  1. Telepítse újra/engedélyezze a Microsoft Defender víruskeresőt a végpontokon.
  2. A Végponthoz készült Defender 1. vagy 2. csomagjának konfigurálása
  3. Adja hozzá a Végponthoz készült Defendert a meglévő megoldás kizárási listájához.
  4. Adja hozzá a meglévő megoldást a Microsoft Defender víruskereső kizárási listájához.
  5. Állítsa be eszközcsoportjait, eszközgyűjteményeit és szervezeti egységeit.

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

1. lépés: A Microsoft Defender víruskereső újratelepítése/engedélyezése a végpontokon

A Windows bizonyos verzióiban a Microsoft Defender víruskereső valószínűleg el lett távolítva vagy le lett tiltva, amikor a nem Microsoft víruskereső/kártevőirtó megoldás telepítve lett. Ha a Végponthoz készült Defenderbe windowsos végpontokat vezetnek be, a Microsoft Defender víruskereső passzív módban is futtatható egy nem Microsoft víruskereső megoldás mellett. További információ: Víruskereső-védelem a Végponthoz készült Defenderrel.

A Végponthoz készült Defenderre való váltás során előfordulhat, hogy bizonyos lépéseket kell tennie a Microsoft Defender víruskereső újratelepítéséhez vagy engedélyezéséhez. Az alábbi táblázat a Windows-ügyfeleken és -kiszolgálókon elvégezhető műveleteket ismerteti.

Végpont típusa Teendők
Windows-ügyfelek (például Windows 10-et és Windows 11-et futtató végpontok) Általánosságban elmondható, hogy a Windows-ügyfelek esetében nem kell semmilyen műveletet elvégeznie (kivéve, ha a Microsoft Defender víruskeresőt eltávolították). Általánosságban elmondható, hogy a Microsoft Defender víruskeresőt továbbra is telepíteni kell, de valószínűleg le van tiltva a migrálási folyamat ezen pontján.

Ha nem Microsoft víruskereső/kártevőirtó megoldás van telepítve, és az ügyfelek még nincsenek regisztrálva a Végponthoz készült Defenderbe, a Microsoft Defender víruskereső automatikusan le lesz tiltva. Később, amikor az ügyfélvégpontok a Végponthoz készült Defenderbe kerülnek, ha ezek a végpontok nem Microsoft víruskereső megoldást futtatnak, a Microsoft Defender víruskereső passzív módba lép.

Ha a nem Microsoft víruskereső megoldást eltávolítja, a Microsoft Defender víruskereső automatikusan aktív üzemmódba lép.
Windows-kiszolgálók Windows Serveren újra kell telepítenie a Microsoft Defender víruskeresőt, és manuálisan passzív módba kell állítania. Windows-kiszolgálókon, ha nem Microsoft víruskereső/kártevőirtó van telepítve, a Microsoft Defender víruskereső nem futtatható a nem Microsoft víruskereső megoldással együtt. Ezekben az esetekben a Microsoft Defender víruskereső manuálisan le van tiltva vagy eltávolítva.

A Microsoft Defender víruskereső Windows Serveren való újratelepítéséhez vagy engedélyezéséhez hajtsa végre a következő feladatokat:
- A Defender víruskereső újbóli engedélyezése Windows Serveren, ha le lett tiltva
- A Defender víruskereső újbóli engedélyezése Windows Serveren, ha eltávolították
- A Microsoft Defender víruskereső beállítása passzív módra Windows Serveren

Ha problémákba ütközik a Microsoft Defender víruskereső újratelepítése vagy ismételt engedélyezése során a Windows Serveren, tekintse meg a Hibaelhárítás: A Microsoft Defender víruskereső eltávolítása a Windows Serveren című témakört.

Tipp

A Nem Microsoft víruskereső védelemmel ellátott Microsoft Defender víruskereső állapotokról további információt a Microsoft Defender víruskereső kompatibilitását ismertető cikkben talál.

A Microsoft Defender víruskereső beállítása passzív módra Windows Serveren

Tipp

Mostantól passzív módban is futtathatja a Microsoft Defender víruskeresőt Windows Server 2012 R2 és 2016 rendszeren. További információ: A Végponthoz készült Microsoft Defender telepítésének lehetőségei.

  1. Nyissa meg a Beállításszerkesztőt, majd navigáljon a következőhöz: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

  2. Szerkessze (vagy hozza létre) a ForceDefenderPassiveMode nevű DWORD bejegyzést, és adja meg a következő beállításokat:

    • Állítsa a DWORD értékét 1-re.

    • Az Alap területen válassza a Hexadecimális lehetőséget.

Ha a Microsoft Defender víruskereső funkcióit és telepítőfájljait korábban eltávolították a Windows Server 2016-ból, kövesse a Windows-javítóforrás konfigurálása a szolgáltatástelepítési fájlok visszaállításához című témakör útmutatását.

Megjegyzés:

Előfordulhat, hogy a Végponthoz készült Defender előkészítése után passzív módra kell állítania a Microsoft Defender víruskeresőt a Windows Serveren. Annak ellenőrzéséhez, hogy a passzív mód a várt módon lett-e beállítva, keresse meg az 5007-as eseményt a Microsoft-Windows-Windows Defender operatív naplójában (a helyen C:\Windows\System32\winevt\Logstalálható), és ellenőrizze, hogy a ForceDefenderPassiveMode vagy a PassiveMode beállításkulcs 0x1 lett-e beállítva.

Windows Server 2012 R2 vagy Windows Server 2016 rendszert használ?

Mostantól passzív módban is futtathatja a Microsoft Defender víruskeresőt Windows Server 2012 R2 és 2016 rendszeren az előző szakaszban leírt módszerrel. További információ: A Végponthoz készült Microsoft Defender telepítésének lehetőségei.

2. lépés: A Végponthoz készült Defender 1. vagy 2. csomagjának konfigurálása

Fontos

  • Ez a cikk azt ismerteti, hogyan konfigurálhatja a Végponthoz készült Defender képességeit az eszközök előkészítése előtt.
  • Ha a Végponthoz készült Defender 1. csomaggal rendelkezik, hajtsa végre az 1–5. lépést az alábbi eljárásban.
  • Ha a Végponthoz készült Defender 2. csomaggal rendelkezik, hajtsa végre az alábbi eljárás 1–7. lépését.
  1. Győződjön meg arról, hogy a Végponthoz készült Defender ki van építve. Globális rendszergazdaként nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be. Ezután a navigációs panelen válassza az Eszközök>eszközök lehetőséget.

    Az alábbi táblázat bemutatja, hogyan nézhet ki a képernyő, és mit jelent.

    Képernyő Mit jelent ez?
    Képernyőkép a lefagyásról, mert az MDE még nincs kiépítve. A Végponthoz készült Defender kiépítése még nem fejeződött be. Előfordulhat, hogy várnia kell egy kicsit, amíg a folyamat befejeződik.
    Képernyőkép az eszközleltár oldaláról, amelyen még nincs előkészített eszköz. A Végponthoz készült Defender ki van építve. Ebben az esetben folytassa a következő lépésben.
  2. Kapcsolja be az illetéktelen módosítás elleni védelmet. Javasoljuk, hogy kapcsolja be az illetéktelen módosítás elleni védelmet a teljes szervezet számára. Ezt a feladatot a Microsoft Defender portálon (https://security.microsoft.com) végezheti el.

    1. A Microsoft Defender portálon válassza a Beállítások>Végpontok lehetőséget.

    2. Lépjen az Általános>speciális funkciók elemre, majd állítsa be az illetéktelen módosítás elleni védelem kapcsolóját Be értékre.

    3. Válassza a Mentés elemet.

    További információ az illetéktelen módosítás elleni védelemről.

  3. Ha a Microsoft Intune-t vagy a Microsoft Endpoint Configuration Managert fogja használni az eszközök előkészítéséhez és az eszközházirendek konfigurálásához, állítsa be a Végponthoz készült Defenderrel való integrációt az alábbi lépésekkel:

    1. A Microsoft Intune Felügyeleti központban (https://endpoint.microsoft.com) lépjen a Végpontbiztonság elemre.

    2. A Telepítés területen válassza a Végponthoz készült Microsoft Defender lehetőséget.

    3. Az Endpoint Security Profile Settings (Végponti biztonsági profil beállításai) területen állítsa be az Allow Microsoft Defender for Endpoint to enforce Endpoint Security Configurations (Végponthoz készült Microsoft Defender kényszerítése a végpont biztonsági konfigurációinak kényszerítéséhez ) kapcsolót Be értékre.

    4. A képernyő tetején válassza a Mentés lehetőséget.

    5. A Microsoft Defender portálon (https://security.microsoft.com) válassza a Beállítások>Végpontok lehetőséget.

    6. Görgessen le a Konfigurációkezeléshez, és válassza a Kényszerítési hatókör lehetőséget.

    7. Állítsa a Use MDE to enforce security configuration settings from MEM (MDE használata biztonsági konfigurációs beállítások kényszerítéséhez) kapcsolót Be értékre, majd adja meg a Windows-ügyfél és a Windows Server-eszközök beállításait.

    8. Ha a Configuration Manager használatát tervezi, állítsa a Biztonsági beállítások kezelése a Configuration Managerrel kapcsolót Be értékre. (Ha segítségre van szüksége ezzel a lépéssel kapcsolatban, tekintse meg az Egyidejű használat a Microsoft Endpoint Configuration Managerrel című témakört.)

    9. Görgessen le, és válassza a Mentés lehetőséget.

  4. Konfigurálja a kezdeti támadásifelület-csökkentési képességeket. Legalább engedélyezze az alábbi táblázatban felsorolt szabványos védelmi szabályokat:

    Standard védelmi szabályok Konfigurációs módszerek
    A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása

    A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása

    Adatmegőrzés letiltása a Windows Management Instrumentation (WMI) esemény-előfizetésen keresztül
    Intune (eszközkonfigurációs profilok vagy végpontbiztonsági szabályzatok)

    Mobileszköz-kezelés (MDM) (A ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules konfigurációs szolgáltató (CSP) használatával egyenként engedélyezheti és beállíthatja az egyes szabályok módját.)

    Csoportházirend vagy PowerShell (csak akkor, ha nem az Intune-t, a Configuration Managert vagy más nagyvállalati szintű felügyeleti platformot használ)

    További információ a támadásifelület-csökkentési képességekről.

  5. Konfigurálja a következő generációs védelmi képességeket.

    Képesség Konfigurációs módszerek
    Intune 1. Az Intune Felügyeleti központban válassza az Eszközök>konfigurációs profiljai lehetőséget, majd válassza ki a konfigurálni kívánt profiltípust. Ha még nem hozott létre eszközkorlátozási profiltípust, vagy ha újat szeretne létrehozni, olvassa el az Eszközkorlátozási beállítások konfigurálása a Microsoft Intune-ban című témakört.

    2. Válassza a Tulajdonságok, majd a Konfigurációs beállítások: Szerkesztés lehetőséget

    3. Bontsa ki a Microsoft Defender víruskeresőt.

    4. Engedélyezze a felhőben biztosított védelmet.

    5. A Felhasználók kérése a mintabeküldés előtt legördülő listában válassza az Összes minta automatikus küldése lehetőséget.

    6. A Potenciálisan nemkívánatos alkalmazások észlelése legördülő menüben válassza az Engedélyezés vagy a Naplózás lehetőséget.

    7. Válassza az Áttekintés + mentés, majd a Mentés lehetőséget.

    TIPP: Az Intune-eszközprofilokról, többek között a beállítások létrehozásáról és konfigurálásáról a Mik azok a Microsoft Intune-eszközprofilok? című témakörben talál további információt.
    Konfigurációkezelő Lásd: Kártevőirtó-házirendek létrehozása és telepítése az Endpoint Protectionhöz a Configuration Managerben.

    A kártevőirtó-házirendek létrehozásakor és konfigurálásakor először tekintse át a valós idejű védelmi beállításokat , és engedélyezze a blokkolást.
    Speciális csoportházirend-kezelés
    vagy
    Csoportházirend-felügyeleti konzol
    1. Lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső részhez.

    2. Keresse meg a Microsoft Defender víruskereső kikapcsolása című szabályzatot.

    3. Válassza a Házirend szerkesztése beállítást, és győződjön meg arról, hogy a szabályzat le van tiltva. Ez a művelet engedélyezi a Microsoft Defender víruskeresőt. (Előfordulhat, hogy a Windows egyes verzióiban a Microsoft Defender víruskereső helyett a Windows Defender víruskereső jelenik meg.)
    Vezérlőpult a Windowsban Kövesse az alábbi útmutatót: A Microsoft Defender víruskereső bekapcsolása. (Előfordulhat, hogy a Windows egyes verzióiban a Microsoft Defender víruskereső helyett a Windows Defender víruskereső jelenik meg.)

    Ha a Végponthoz készült Defender 1. csomaggal rendelkezik, a kezdeti beállítás és konfigurálás egyelőre kész. Ha a Végponthoz készült Defender 2. csomaggal rendelkezik, folytassa a 6–7. lépéssel.

  6. Konfigurálja a végpontészlelésre és -válaszra (EDR) vonatkozó szabályzatokat az Intune Felügyeleti központban (https://endpoint.microsoft.com). A feladattal kapcsolatos segítségért lásd: EDR-szabályzatok létrehozása.

  7. Konfigurálja az automatizált vizsgálati és szervizelési képességeket a Microsoft Defender portálon (https://security.microsoft.com). A feladattal kapcsolatos segítségért lásd: Automatizált vizsgálati és javítási képességek konfigurálása a Végponthoz készült Microsoft Defenderben.

    Ezen a ponton a Defender for Endpoint Plan 2 kezdeti beállítása és konfigurálása befejeződött.

3. lépés: A Végponthoz készült Microsoft Defender hozzáadása a meglévő megoldás kizárási listájához

A beállítási folyamat ezen lépése magában foglalja a Végponthoz készült Defender hozzáadását a meglévő végpontvédelmi megoldás kizárási listájához, valamint a szervezet által használt egyéb biztonsági termékekhez. A kizárások hozzáadásához tekintse meg a megoldásszolgáltató dokumentációját.

A konfigurálni kívánt kizárások attól függenek, hogy a Windows melyik verzióját futtatják a végpontok vagy eszközök, és az alábbi táblázatban szerepelnek.

Operációs rendszer Kizárások
Windows 11

Windows 10, 1803-es vagy újabb verzió (lásd a Windows 10 kiadási adatait)

Windows 10, 1703-es vagy 1709-es verzió, telepített KB4493441
C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSC.exe

C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

C:\Program Files\Windows Defender Advanced Threat Protection\SenseTVM.exe
Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server, 1803-es verzió
A modern, egységes megoldást futtató Windows Server 2012 R2-n és Windows Server 2016-on a Sense EDR összetevő KB5005292 való frissítése után a következő kizárásokra van szükség:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseTVM.exe
Windows 8.1

Windows 7

Windows Server 2008 R2 SP1
C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe

MEGJEGYZÉS: A 6\45-ös gazdagép ideiglenes fájljainak figyelése különböző számozott almappák lehetnek.

C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Fontos

Ajánlott eljárásként tartsa naprakészen a szervezet eszközeit és végpontjait. Mindenképpen szerezze be a Végponthoz készült Microsoft Defender és a Microsoft Defender víruskereső legújabb frissítéseit, és tartsa naprakészen a szervezet operációs rendszereit és hatékonyságnövelő alkalmazásait.

4. lépés: A meglévő megoldás hozzáadása a Microsoft Defender víruskereső kizárási listájához

A beállítási folyamat ezen lépése során hozzáadja a meglévő megoldást a Microsoft Defender víruskereső kizárási listájához. A kizárások Microsoft Defender víruskeresőhöz való hozzáadásához több módszer közül is választhat, az alábbi táblázatban leírtak szerint:

Módszer Teendők
Intune 1. Nyissa meg a Microsoft Intune Felügyeleti központot , és jelentkezzen be.

2. Válassza az Eszközök>konfigurációs profiljai lehetőséget, majd válassza ki a konfigurálni kívánt profilt.

3. A Kezelés területen válassza a Tulajdonságok lehetőséget.

4. Válassza a Konfigurációs beállítások: Szerkesztés lehetőséget.

5. Bontsa ki a Microsoft Defender víruskeresőt, majd bontsa ki a Microsoft Defender víruskereső kizárásai elemet.

6. Adja meg a Microsoft Defender víruskereső vizsgálatából kizárandó fájlokat és mappákat, bővítményeket és folyamatokat. További információért tekintse meg a Microsoft Defender víruskereső kizárásait ismertető cikket.

7. Válassza a Véleményezés + mentés, majd a Mentés lehetőséget.
Microsoft Endpoint Configuration Manager 1. A Configuration Manager konzolon lépjen az Eszközök és megfelelőség>Végpontvédelmi>kártevőirtó-házirendek elemre, majd válassza ki a módosítani kívánt szabályzatot.

2. Adja meg a Microsoft Defender víruskereső vizsgálatából kizárandó fájlok és mappák, bővítmények és folyamatok kizárási beállításait.
Csoportházirend-objektum 1. A Csoportházirend kezelése számítógépen nyissa meg a Csoportházirend kezelése konzolt. Kattintson a jobb gombbal a konfigurálni kívánt csoportházirend-objektumra, majd válassza a Szerkesztés parancsot.

2. A Csoportházirend kezelése szerkesztőben lépjen a Számítógép konfigurációja elemre, és válassza a Felügyeleti sablonok lehetőséget.

3. Bontsa ki a fát a Microsoft Defender víruskereső > kizárásai Windows-összetevőkre>. (Előfordulhat, hogy a Windows egyes verzióiban a Microsoft Defender víruskereső helyett a Windows Defender víruskereső jelenik meg.)

4. Kattintson duplán az Elérésiút-kizárások beállításra, és adja hozzá a kizárásokat.

5. Állítsa a beállítást Engedélyezve értékre.

6. A Beállítások szakaszban válassza a Megjelenítés... lehetőséget.

7. Adja meg az egyes mappákat a saját sorában az Érték neve oszlop alatt. Ha megad egy fájlt, mindenképpen adjon meg egy teljes elérési utat a fájlhoz, beleértve a meghajtó betűjelét, a mappa elérési útját, a fájlnevet és a kiterjesztést. Írja be a 0 értéket az Érték oszlopba.

8. Válassza az OK gombot.

9. Kattintson duplán a Bővítménykizárások beállításra, és adja hozzá a kizárásokat.

10. Állítsa a beállítást Engedélyezve értékre.

11. A Beállítások szakaszban válassza a Megjelenítés... lehetőséget.

12. Adja meg az egyes fájlkiterjesztéseket a saját sorában az Érték neve oszlop alatt. Írja be a 0 értéket az Érték oszlopba.

13. Válassza az OK gombot.
Helyi csoportházirend-objektum 1. A végponton vagy eszközön nyissa meg a Helyi csoportházirend-szerkesztőt.

2. Lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső>kizárásai szakaszra. (Előfordulhat, hogy a Windows egyes verzióiban a Microsoft Defender víruskereső helyett a Windows Defender víruskereső jelenik meg.)

3. Adja meg az elérési utat és a folyamatkivételeket.
Beállításkulcs 1. Exportálja a következő beállításkulcsot: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions.

2. Importálja a beállításkulcsot. Íme két példa:
- Helyi elérési út: regedit.exe /s c:\temp\MDAV_Exclusion.reg
- Hálózati megosztás: regedit.exe /s \\FileServer\ShareName\MDAV_Exclusion.reg

További információ a Végponthoz készült Microsoft Defender és a Microsoft Defender víruskereső kizárásairól.

Tartsa szem előtt a következő szempontokat a kizárásokkal kapcsolatban

Amikor kivételeket ad hozzá a Microsoft Defender víruskereső vizsgálatához, elérési utat és folyamatkizárásokat kell hozzáadnia.

  • Az elérésiút-kizárások kizárnak bizonyos fájlokat, és minden olyan fájlt, amelyhez ezek a fájlok hozzáférnek.
  • A folyamatkizárások kizárják a folyamat bármely érintését, de magát a folyamatot nem.
  • Listázhatja a folyamatkizárásokat a teljes elérési útjukkal, és nem csak a nevük alapján. (A csak névvel használható metódus kevésbé biztonságos.)
  • Ha az egyes végrehajtható fájlokat (.exe) útvonal-kizárásként és folyamatkizárásként is listázzuk, a folyamat és bármi, amit érint, ki lesz zárva.

5. lépés: Eszközcsoportok, eszközgyűjtemények és szervezeti egységek beállítása

Az eszközcsoportok, eszközgyűjtemények és szervezeti egységek lehetővé teszik, hogy a biztonsági csapat hatékonyan és hatékonyan kezelje és rendelje hozzá a biztonsági szabályzatokat. Az alábbi táblázat ezeket a csoportokat és azok konfigurálását ismerteti. Előfordulhat, hogy a szervezet nem használja mind a három gyűjteménytípust.

Megjegyzés:

Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

Gyűjtemény típusa Teendők
Az eszközcsoportok (korábbi nevén gépcsoportok) lehetővé teszik a biztonsági üzemeltetési csapat számára a biztonsági képességek konfigurálását, például az automatikus vizsgálatot és a szervizelést.

Az eszközcsoportok akkor is hasznosak, ha hozzáférést rendel ezekhez az eszközökhöz, hogy a biztonsági üzemeltetési csapat szükség esetén elvégezhesse a javítási műveleteket.

Az eszközcsoportok a támadás észlelése és leállítása során jönnek létre, a riasztások, például a "kezdeti hozzáférési riasztás" aktiválódtak és jelentek meg a Microsoft Defender portálon.
1. Nyissa meg a Microsoft Defender portált (https://security.microsoft.com).

2. A bal oldali navigációs panelen válassza a Beállítások>Végpontok>engedélyek>Eszközcsoportok lehetőséget.

3. Válassza az + Eszközcsoport hozzáadása lehetőséget.

4. Adja meg az eszközcsoport nevét és leírását.

5. Az Automation szint listájában válasszon egy lehetőséget. (Azt javasoljuk, hogy a Teljes körű – a fenyegetések automatikus elhárítása.) A különböző automatizálási szintekről további információt a Fenyegetések elhárítása című témakörben talál.

6. Adja meg az egyező szabály feltételeit annak meghatározásához, hogy mely eszközök tartoznak az eszközcsoporthoz. Választhat például tartományt, operációsrendszer-verziót, vagy akár eszközcímkéket is használhat.

7. A Felhasználói hozzáférés lapon adja meg azokat a szerepköröket, amelyeknek hozzáféréssel kell rendelkezniük az eszközcsoportban található eszközökhöz.

8. Válassza a Kész lehetőséget.
Az eszközgyűjtemények lehetővé teszik, hogy a biztonsági üzemeltetési csapat kezelje az alkalmazásokat, megfelelőségi beállításokat telepítsen, vagy szoftverfrissítéseket telepítsen a szervezet eszközeire.

Az eszközgyűjtemények a Configuration Managerrel hozhatók létre.
Kövesse a Gyűjtemény létrehozása című cikk lépéseit.
A szervezeti egységek lehetővé teszik az objektumok, például felhasználói fiókok, szolgáltatásfiókok vagy számítógépfiókok logikai csoportosítását.

Ezután hozzárendelhet rendszergazdákat adott szervezeti egységekhez, és csoportházirendet alkalmazhat a célzott konfigurációs beállítások kényszerítéséhez.

A szervezeti egységek a Microsoft Entra Domain Servicesben vannak meghatározva.
Kövesse a Szervezeti egység létrehozása a Microsoft Entra Domain Services által felügyelt tartományban című cikk lépéseit.

További lépés

Gratulálunk! Befejezte a Végponthoz készült Defenderbe való migrálás beállítási fázisát!

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.