Windows-eszközök előkészítése a Configuration Manager használatával

  • Cikk

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Előfeltételek

Fontos

Az Endpoint Protection pont helyrendszerszerepkörre azért van szükség, hogy a vírusvédelmi és támadásifelület-csökkentési szabályzatok megfelelően legyenek üzembe helyezve a célzott végpontokon. E szerepkör nélkül az eszközgyűjtemény végpontjai nem kapják meg a konfigurált víruskereső és támadásifelület-csökkentési szabályzatokat.

A Configuration Manager használatával hozhatja be a végpontokat a Végponthoz készült Microsoft Defender szolgáltatásba.

Az eszközök Configuration Manager való előkészítésére több lehetőség is használható:

Windows Server 2012 R2 és Windows Server 2016 esetén – az előkészítési lépések elvégzése után konfigurálnia és frissítenie kell System Center Endpoint Protection-ügyfeleket.

Megjegyzés:

A Végponthoz készült Defender nem támogatja az előkészítést a kezdőélmény (OOBE) fázisában. Győződjön meg arról, hogy a felhasználók befejezték az OOBE-t a Windows telepítése vagy frissítése után.

Vegye figyelembe, hogy létrehozhat egy észlelési szabályt egy Configuration Manager alkalmazásban, amely folyamatosan ellenőrzi, hogy az eszköz előkészítése megtörtént-e. Az alkalmazás más típusú objektum, mint a csomag és a program. Ha egy eszköz még nincs regisztrálva (az OOBE függőben lévő befejezése vagy bármilyen más ok miatt), Configuration Manager újra megkísérli az eszköz előkészítését, amíg a szabály nem észleli az állapotváltozást.

Ez a viselkedés úgy valósítható meg, hogy létrehoz egy észlelési szabályt, amely ellenőrzi, hogy az "OnboardingState" beállításazonosító (REG_DWORD típusú) = 1-e. Ez a beállításazonosító a "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status" alatt található. További információ: Észlelési módszerek konfigurálása a System Center 2012 R2 Configuration Manager.

Mintagyűjtemény beállításainak konfigurálása

Minden eszközhöz beállíthat egy konfigurációs értéket, amely meghatározza, hogy gyűjthetők-e minták az eszközről, amikor a rendszer Microsoft Defender XDR keresztül kér egy fájlt mély elemzésre.

Megjegyzés:

Ezeket a konfigurációs beállításokat általában Configuration Manager keresztül kell elvégezni.

A konfigurációelem megfelelőségi szabályát a Configuration Manager-ben állíthatja be a mintamegosztási beállítás módosításához az eszközön.

Ennek a szabálynak a megfelelőségi szabály konfigurációelemének kell lennie, amely beállítja egy beállításkulcs értékét a megcélzott eszközökön, hogy meggyőződjön arról, hogy azok megfelelőek.

A konfiguráció a következő beállításkulcs-bejegyzéssel állítható be:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Ahol a kulcs típusa D-WORD. A lehetséges értékek a következők:

  • 0: Nem engedélyezi a mintamegosztást erről az eszközről
  • 1: Lehetővé teszi az összes fájltípus megosztását az eszközről

Ha a beállításkulcs nem létezik, az alapértelmezett érték 1.

További információ a System Center Configuration Manager Megfelelőségről: Bevezetés a System Center 2012 R2 Configuration Manager megfelelőségi beállításaiba.

Windows-eszközök előkészítése a Microsoft Configuration Manager használatával

Gyűjtemény létrehozása

A Windows-eszközök Microsoft Configuration Manager való előkészítéséhez az üzembe helyezés megcélzhat egy meglévő gyűjteményt, vagy létrehozhat egy új gyűjteményt tesztelés céljából.

Az olyan eszközökkel történő előkészítés, mint a Csoportházirend vagy egy manuális módszer, nem telepít ügynököket a rendszerre.

Az Microsoft Configuration Manager konzolon belül az előkészítési folyamat a konzol megfelelőségi beállításainak részeként lesz konfigurálva.

Minden olyan rendszer, amely megkapja ezt a szükséges konfigurációt, fenntartja ezt a konfigurációt mindaddig, amíg az Configuration Manager-ügyfél továbbra is megkapja ezt a házirendet a felügyeleti ponttól.

A végpontok Microsoft Configuration Manager használatával történő előkészítéséhez kövesse az alábbi lépéseket:

  1. A Microsoft Configuration Manager konzolon lépjen az Eszközök és megfelelőség > áttekintése > eszközgyűjtemények elemre.

    Képernyőkép a Microsoft Configuration Manager varázslóról1.

  2. Jelölje ki és tartsa lenyomva az Eszközgyűjtemény elemet (vagy kattintson rá a jobb gombbal), majd válassza Létrehozás Eszközgyűjtemény lehetőséget.

    Képernyőkép a Microsoft Configuration Manager varázslóról2.

  3. Adjon meg egy nevet és egy korlátgyűjteményt, majd válassza a Tovább gombot.

    Képernyőkép a Microsoft Configuration Manager varázslóról3.

  4. Válassza a Szabály hozzáadása , majd a Lekérdezési szabály lehetőséget.

    Képernyőkép a Microsoft Configuration Manager varázslóról4.

  5. A Közvetlen tagság varázslóban válassza a Tovább gombot, majd a Lekérdezési utasítás szerkesztése lehetőséget.

    Képernyőkép a Microsoft Configuration Manager varázslóról5.

  6. Válassza a Feltételek lehetőséget, majd a star ikont.

    Képernyőkép a Microsoft Configuration Manager varázslóról6.

  7. Tartsa meg a feltételtípust egyszerű értékként, válassza az Operációs rendszer – buildszám, operátor, amely nagyobb vagy egyenlő, ésértéke 14393, majd kattintson az OK gombra.

    Képernyőkép a Microsoft Configuration Manager varázslóról7.

  8. Válassza a Tovább és a Bezárás lehetőséget.

    Képernyőkép a Microsoft Configuration Manager varázslóról8.

  9. Válassza a Tovább gombot.

    A Microsoft Configuration Manager varázsló9 képernyőképe.

A feladat elvégzése után rendelkezik egy eszközgyűjteménysel a környezetben található összes Windows-végponttal.

Miután előkészítette az eszközöket a szolgáltatásba, fontos, hogy kihasználja a beépített veszélyforrások elleni védelmi képességeket azáltal, hogy az alábbi ajánlott konfigurációs beállításokkal engedélyezi őket.

Eszközgyűjtemény konfigurációja

Ha a Configuration Manager 2002-es vagy újabb verzióját használja, dönthet úgy, hogy kibővíti az üzemelő példányt, hogy kiszolgálókat vagy alacsonyabb szintű ügyfeleket is tartalmazzon.

Következő generációs védelmi konfiguráció

A következő konfigurációs beállítások ajánlottak:

Átkutat

  • Cserélhető tárolóeszközök, például USB-meghajtók vizsgálata: Igen

Valós idejű védelem

  • Viselkedésfigyelés engedélyezése: Igen
  • A potenciálisan nemkívánatos alkalmazások elleni védelem engedélyezése letöltéskor és a telepítés előtt: Igen

Felhővédelmi szolgáltatás

  • Cloud Protection Service-tagság típusa: Speciális tagság

Támadásifelület-csökkentés

Konfigurálja az összes elérhető szabályt a naplózáshoz.

Megjegyzés:

A tevékenységek letiltása megszakíthatja a jogszerű üzleti folyamatokat. A legjobb módszer az, ha mindent naplózásra állít be, azonosítja, hogy melyeket lehet biztonságosan bekapcsolni, majd engedélyezze ezeket a beállításokat olyan végpontokon, amelyek nem rendelkeznek téves pozitív észleléssel.

A Microsoft Defender víruskereső és a támadásifelület-csökkentési szabályzatok Microsoft Configuration Manager (SCCM) használatával történő üzembe helyezéséhez kövesse az alábbi lépéseket:

  • Engedélyezze az Endpoint Protectiont, és konfigurálja az egyéni ügyfélbeállításokat.
  • Telepítse az Endpoint Protection-ügyfelet egy parancssorból.
  • Ellenőrizze az Endpoint Protection-ügyfél telepítését.
Az Endpoint Protection engedélyezése és az egyéni ügyfélbeállítások konfigurálása

A végpontvédelem engedélyezéséhez és az egyéni ügyfélbeállítások konfigurálásához kövesse az alábbi lépéseket:

  1. A Configuration Manager-konzolon kattintson az Adminisztráció elemre.

  2. Az Adminisztráció munkaterületen kattintson az Ügyfélbeállítások elemre.

  3. A Kezdőlap lap Létrehozás csoportjában kattintson Létrehozás Egyéni ügyféleszköz-beállítások elemre.

  4. Az Létrehozás Egyéni ügyféleszköz-beállítások párbeszédpanelen adja meg a beállítások csoportjának nevét és leírását, majd válassza az Endpoint Protection lehetőséget.

  5. Konfigurálja a szükséges Endpoint Protection-ügyfélbeállításokat. A konfigurálható Endpoint Protection-ügyfélbeállítások teljes listájáért tekintse meg az Endpoint Protection szakaszt az Ügyfélbeállítások ismertetése szakaszban.

    Fontos

    Az Endpoint Protection ügyfélbeállításainak konfigurálása előtt telepítse az Endpoint Protection helyrendszerszerepkört.

  6. Kattintson az OK gombra a Létrehozás Egyéni ügyféleszköz-beállítások párbeszédpanel bezárásához. Az új ügyfélbeállítások az Adminisztráció munkaterület Ügyfélbeállítások csomópontjában jelennek meg.

  7. Ezután helyezze üzembe az egyéni ügyfélbeállításokat egy gyűjteményben. Válassza ki az üzembe helyezni kívánt egyéni ügyfélbeállításokat. A Kezdőlap lapÜgyfélbeállítások csoportjában kattintson az Üzembe helyezés gombra.

  8. A Gyűjtemény kiválasztása párbeszédpanelen válassza ki azt a gyűjteményt, amelyre telepíteni szeretné az ügyfélbeállításokat, majd kattintson az OK gombra. Az új telepítés megjelenik a részletek panel Központi telepítések lapján.

Az ügyfelek ezeket a beállításokat konfigurálják, amikor legközelebb letöltik az ügyfélházirendet. További információ: Szabályzatlekérés kezdeményezése Configuration Manager-ügyfélhez.

Az Endpoint Protection-ügyfél telepítése parancssorból

Kövesse a lépéseket az Endpoint Protection-ügyfél parancssorból történő telepítésének befejezéséhez.

  1. Másolja scepinstall.exe a Configuration Manager telepítési mappájának Ügyfél mappájából arra a számítógépre, amelyre telepíteni szeretné az Endpoint Protection-ügyfélszoftvert.

  2. Nyisson meg egy parancssort rendszergazdaként. Módosítsa a könyvtárat a mappára a telepítővel. Ezután futtassa a parancsot scepinstall.exe, és adja hozzá a szükséges további parancssori tulajdonságokat:

    Tulajdonság Leírás
    /s A telepítő csendes futtatása
    /q A telepítőfájlok csendes kinyerése
    /i A telepítő normál futtatása
    /policy Adjon meg egy kártevőirtó-házirendfájlt, amely a telepítés során konfigurálja az ügyfelet
    /sqmoptin Részvétel a Microsoft Felhasználói élmény fokozása programjában (CEIP)

  3. Kövesse a képernyőn megjelenő utasításokat az ügyfél telepítésének befejezéséhez.

  4. Ha letöltötte a legújabb frissítésdefiníciós csomagot, másolja a csomagot az ügyfélszámítógépre, majd a telepítéshez kattintson duplán a definíciós csomagra.

    Megjegyzés:

    Az Endpoint Protection-ügyfél telepítése után az ügyfél automatikusan elvégzi a definíciófrissítés ellenőrzését. Ha a frissítés ellenőrzése sikeres, nem kell manuálisan telepítenie a legújabb definíciófrissítési csomagot.

Példa: az ügyfél telepítése kártevőirtó-házirenddel

scepinstall.exe /policy <full path>\<policy file>

Az Endpoint Protection-ügyfél telepítésének ellenőrzése

Miután telepítette az Endpoint Protection-ügyfelet a referencia-számítógépre, ellenőrizze, hogy az ügyfél megfelelően működik-e.

  1. A referencia-számítógépen nyissa meg System Center Endpoint Protection a Windows értesítési területéről.
  2. A System Center Endpoint Protection párbeszédpanel Kezdőlap lapján ellenőrizze, hogy a Valós idejű védelem be van-e kapcsolva.
  3. Ellenőrizze, hogy a vírus- és kémprogram-definícióknaprakészen jelennek-e meg.
  4. Annak érdekében, hogy a referencia-számítógép készen álljon a képalkotásra, a Vizsgálati beállítások területen válassza a Teljes lehetőséget, majd kattintson a Vizsgálat most gombra.

Hálózatvédelem

A hálózatvédelem naplózási vagy blokkolási módban való engedélyezése előtt győződjön meg arról, hogy telepítette a kártevőirtó platform frissítését, amely a támogatási oldalról szerezhető be.

Mappákhoz való hozzáférés szabályozása

Engedélyezze a funkciót naplózási módban legalább 30 napig. Ezt követően tekintse át az észleléseket, és hozzon létre egy listát azokról az alkalmazásokról, amelyek írhatnak a védett könyvtárakba.

További információ: Ellenőrzött mappahozzáférés értékelése.

Észlelési teszt futtatása az előkészítés ellenőrzéséhez

Az eszköz előkészítése után futtathat egy észlelési tesztet annak ellenőrzéséhez, hogy az eszköz megfelelően van-e regisztrálva a szolgáltatásba. További információ: Észlelési teszt futtatása újonnan előkészített Végponthoz készült Microsoft Defender eszközön.

Eszközök kivezetése a Configuration Manager használatával

Biztonsági okokból az eszközök kivezetéséhez használt csomag a letöltés után 30 nappal lejár. Az eszközre küldött lejárt kivezetési csomagokat a rendszer elutasítja. A kivezetési csomag letöltésekor értesítést kap a csomagok lejárati dátumáról, és az is szerepelni fog a csomag nevében.

Megjegyzés:

Az előkészítési és kivezetési szabályzatokat nem lehet ugyanabban az eszközön egyszerre üzembe helyezni, ellenkező esetben ez kiszámíthatatlan ütközéseket okoz.

Eszközök kivezetése Microsoft Configuration Manager aktuális ág használatával

Ha Microsoft Configuration Manager aktuális ágat használja, tekintse meg a kivezetési konfigurációs fájl Létrehozás című témakört.

Eszközök kivezetése a System Center 2012 R2 Configuration Manager

  1. Szerezze be a kivezetési csomagot Microsoft Defender portálról:

    1. A navigációs panelen válassza a Beállítások>Végpontok>Eszközkezelés>kivezetése lehetőséget.
    2. Operációs rendszerként válassza Windows 10 vagy Windows 11 lehetőséget.
    3. Az Üzembe helyezési módszer mezőben válassza a System Center Configuration Manager 2012/2012 R2/1511/1602 lehetőséget.
    4. Válassza a Csomag letöltése lehetőséget, és mentse a .zip fájlt.

  2. Bontsa ki a .zip fájl tartalmát egy megosztott, írásvédett helyre, amelyet a csomagot telepítő hálózati rendszergazdák érhetnek el. Rendelkeznie kell egy WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd nevű fájllal.

  3. Telepítse a csomagot a Csomagok és programok a System Center 2012 R2-ben című cikk lépéseit követve Configuration Manager.

    Válasszon ki egy előre definiált eszközgyűjteményt a csomag üzembe helyezéséhez.

Fontos

A kivezetés miatt az eszköz nem küld érzékelőadatokat a portálra, de az eszközről származó adatok, beleértve a riasztásokra való hivatkozást is, legfeljebb 6 hónapig maradnak meg.

Eszközkonfiguráció monitorozása

Ha Microsoft Configuration Manager aktuális ágat használja, használja az Configuration Manager konzol beépített Végponthoz készült Defender irányítópultját. További információ: Végponthoz készült Defender – Monitor.

A System Center 2012 R2 Configuration Manager használata esetén a figyelés két részből áll:

  1. Annak ellenőrzése, hogy a konfigurációs csomag megfelelően lett-e üzembe helyezve, és fut-e (vagy sikeresen futott) a hálózat eszközein.

  2. Annak ellenőrzése, hogy az eszközök megfelelnek-e a Végponthoz készült Defender szolgáltatásnak (ez biztosítja, hogy az eszköz befejezhesse az előkészítési folyamatot, és továbbra is jelentheti az adatokat a szolgáltatásnak).

Ellenőrizze, hogy a konfigurációs csomag megfelelően lett-e üzembe helyezve

  1. A Configuration Manager konzolon kattintson a navigációs ablak alján található Figyelés elemre.

  2. Válassza az Áttekintés , majd az Üzemelő példányok lehetőséget.

  3. Válassza ki az üzembe helyezést a csomag nevével.

  4. Tekintse át az állapotjelzőket a Befejezési statisztika és a Tartalom állapota területen.

    Sikertelen üzembe helyezések ( hibás, követelményeknek nem megfelelő vagy sikertelen állapotú eszközök) esetén előfordulhat, hogy hibaelhárítást kell végeznie az eszközökön. További információ: Végponthoz készült Microsoft Defender előkészítési problémák elhárítása.

    A sikeres üzembe helyezést mutató Configuration Manager hiba nélkül

Ellenőrizze, hogy az eszközök megfelelnek-e a Végponthoz készült Microsoft Defender szolgáltatásnak

A System Center 2012 R2 Configuration Manager konfigurálási eleméhez megfelelőségi szabályt állíthat be az üzemelő példány figyeléséhez.

Ennek a szabálynak egy nem szervizelt megfelelőségi szabály konfigurációs elemének kell lennie, amely a megcélzott eszközökön figyeli a beállításkulcs értékét.

Figyelje a következő beállításkulcs-bejegyzést:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

További információ: A System Center 2012 R2 Configuration Manager megfelelőségi beállításainak bemutatása.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.