Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per endpoint supporta sistemi operativi di livello inferiore, offrendo funzionalità avanzate di rilevamento e analisi degli attacchi nelle versioni di Windows supportate.
Per eseguire l'onboarding degli endpoint client Windows di livello inferiore nella soluzione di sicurezza di Defender per endpoint:
Usare lo strumento di distribuzione Defender se il client Windows di livello inferiore esegue uno dei sistemi operativi seguenti:
- Windows 7 SP1 Pro
- Windows 7 SP1 Enterprise
- Windows Server 2008 R2 SP1
Lo strumento di distribuzione Defender installerà la soluzione di sicurezza degli endpoint di Defender appropriata. Per altre informazioni su questa soluzione, vedere Usare lo strumento di distribuzione defender per distribuire la sicurezza degli endpoint di Defender. Se l'onboarding dei dispositivi è già stato eseguito in precedenza tramite Microsoft Monitoring Agent (MMA), è possibile usare questo strumento per eseguire un aggiornamento.
Installare e configurare Microsoft Monitoring Agent (MMA) se il client Windows di livello inferiore esegue Windows 8.1 o Windows 8.1 Pro.
Consiglio
Dopo aver eseguito l'onboarding del dispositivo, è possibile scegliere di eseguire un test di rilevamento per verificare che sia stato eseguito correttamente l'onboarding nel servizio. Per altre informazioni, vedere Eseguire un test di rilevamento in un endpoint defender per endpoint appena caricato.
Usare lo strumento di distribuzione defender per distribuire la sicurezza degli endpoint di Defender
Per i dispositivi Windows 7 SP1 e Windows Server 2008 R2 SP1 è disponibile un Microsoft Defender per la soluzione di sicurezza degli endpoint. La soluzione offre funzionalità di protezione avanzate e funzionalità migliorate per tali dispositivi rispetto ad altre soluzioni. Nella tabella seguente vengono descritte le funzionalità attualmente supportate della soluzione.
| Funzionalità | Funzionalità |
|---|---|
| Ricerca avanzata | Eseguire la ricerca tra gli eventi con Linguaggio di query Kusto |
| Antivirus in modalità passiva | Consente la coesistenza con soluzioni antimalware non Microsoft. |
| Indicatori di file personalizzati | Consentire, bloccare e mettere in quarantena i file in base alle informazioni sull'hash o sul certificato |
| Funzionalità di risposta di dispositivi e file | Isolare il dispositivo, bloccare e ottenere file, raccogliere pacchetti di indagine, eseguire l'analisi antivirus Nota: altre funzionalità di risposta non sono supportate |
| Protezione di nuova generazione | Antivirus Defender con il monitoraggio del comportamento in tempo reale, il blocco e la correzione di malware basati su definizione e recapitati nel cloud. Analisi pianificate e attivate manualmente. Nota: la protezione della rete, le regole di riduzione della superficie di attacco, l'accesso controllato alle cartelle e le funzionalità correlate, inclusi gli indicatori IP e URL, non sono supportati. |
| Valutazioni delle vulnerabilità del sistema operativo e del software | Gestione delle vulnerabilità di Defender fornisce informazioni dettagliate sulle vulnerabilità per Windows e il software installato. Nota: la funzionalità seguente non è disponibile per Windows 7 SP1 e Windows Server 2008 R2: - Valutazione della configurazione della sicurezza - Esperienza "Riavvio in sospeso" - Funzionalità Premium: valutazione della baseline di sicurezza, estensioni del browser, blocco di certificati e applicazioni |
| Gestione delle impostazioni di sicurezza | Imposizione dei criteri per le funzionalità di Antivirus Defender. Si noti che saranno effettive solo le impostazioni per le funzionalità disponibili. |
| Sensore di rilevamento dei sensi | Eventi di rilevamento avanzati da usare nella sequenza temporale del dispositivo, nella ricerca e per generare avvisi in base agli indicatori di compromissione e attacco. |
| Interruzione degli attacchi: contengono dispositivo/IP | Interruzione automatica degli attacchi per arrestare gli attacchi che sfruttano lo spostamento laterale. |
| Aggiornamenti (automatici) | Aggiornamenti regolari per i componenti antimalware e di rilevamento. |
La soluzione può essere scaricata e installata usando lo strumento di distribuzione Defender, un'applicazione leggera e autoaggionibile che semplifica l'onboarding per tutte le versioni di Windows supportate da Defender per endpoint. Lo strumento di distribuzione si occupa dei prerequisiti, automatizza le migrazioni da soluzioni precedenti e rimuove la necessità di script di onboarding complessi, download separati e installazioni manuali. Per informazioni sullo strumento e su come usarlo, vedere Distribuire Microsoft Defender sicurezza degli endpoint nei dispositivi Windows usando lo strumento di distribuzione Defender.
Installare e configurare Microsoft Monitoring Agent (solo Windows 8.1)
È consigliabile eseguire l'onboarding di client Windows di livello inferiore tramite MMA e SCEP solo se il client esegue Windows 8.1 o 8.1 Pro. Per tutti gli altri sistemi operativi Windows, usare lo strumento di distribuzione Defender.
Prima di iniziare
Esaminare i dettagli seguenti per verificare i requisiti minimi di sistema:
Installare l'aggiornamento cumulativo mensile di febbraio 2018 - Collegamento per il download diretto dal catalogo Windows Update è disponibile qui
Installare l'aggiornamento dello stack di manutenzione del 12 marzo 2019 (o versione successiva): il collegamento per il download diretto dal catalogo Windows Update è disponibile qui
Installare l'aggiornamento per l'esperienza del cliente e i dati di telemetria di diagnostica
Installare Microsoft .NET Framework 4.5.2 o versione successiva
Nota
L'installazione di .NET 4.5 potrebbe richiedere il riavvio del computer dopo l'installazione.
Soddisfare i requisiti di sistema minimi dell'agente di Log Analytics Azure. Per altre informazioni, vedere Raccogliere dati dai computer nell'ambiente con Log Analytics
Procedure di installazione
Scaricare il file di installazione dell'agente: agente windows a 64 bit o agente windows a 32 bit.
Nota
A causa della deprecazione del supporto SHA-1 da parte dell'agente MMA, l'agente MMA deve essere versione 10.20.18029 o successiva.
Ottenere l'ID dell'area di lavoro:
- Nel riquadro di spostamento di Defender per Endpoint selezionare Impostazioni > Onboarding gestione > dispositivi.
- Selezionare il sistema operativo.
- Copiare l'ID dell'area di lavoro e la chiave dell'area di lavoro.
Usando l'ID area di lavoro e la chiave dell'area di lavoro, scegliere uno dei metodi di installazione seguenti per installare l'agente:
Installare manualmente l'agente usando il programma di installazione.
Nella pagina Opzioni di installazione dell'agente selezionare Connetti l'agente a Log Analytics di Azure (OMS)
Nota
Se si è un cliente del governo degli Stati Uniti, in "Azure Cloud" è necessario scegliere "Azure Governo Statunitense" se si usa la configurazione guidata o se si usa una riga di comando o uno script, impostare il parametro "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" su 1.
Se si usa un proxy per connettersi a Internet, vedere la sezione Configurare le impostazioni di connettività Proxy e Internet.
Al termine, gli endpoint di cui è stato eseguito l'onboarding nel portale dovrebbero essere visualizzati entro un'ora.
Configurare e aggiornare i client System Center Endpoint Protection
Defender per endpoint si integra con System Center Endpoint Protection per fornire visibilità ai rilevamenti di malware e arrestare la propagazione di un attacco nell'organizzazione vietando file potenzialmente dannosi o malware sospetto.
Per abilitare questa integrazione sono necessari i passaggi seguenti:
- Installare l'aggiornamento della piattaforma antimalware di gennaio 2017 per i client Endpoint Protection
- Configurare l'appartenenza del servizio Cloud Protection del client SCEP all'impostazione Avanzate
- Configurare la rete per consentire le connessioni al cloud antivirus Microsoft Defender. Per altre informazioni, vedere Configurare e convalidare le connessioni di rete Microsoft Defender Antivirus
Configurare le impostazioni di connettività Proxy e Internet
Se i server devono usare un proxy per comunicare con Defender per endpoint, usare uno dei metodi seguenti per configurare MMA per l'uso del server proxy:
Se è in uso un proxy o un firewall, assicurarsi che i server possano accedere a tutti gli URL del servizio Microsoft Defender per endpoint direttamente e senza intercettazione SSL. Per altre informazioni, vedere abilitare l'accesso agli URL del servizio Microsoft Defender per endpoint. L'uso dell'intercettazione SSL impedisce al sistema di comunicare con il servizio Defender per endpoint.
Al termine, nel portale verranno visualizzati i server Windows di cui è stato eseguito l'onboarding entro un'ora.
Endpoint offboard
Sono disponibili due opzioni per l'offboarding degli endpoint di Windows dal servizio:
- Disinstallare l'agente MMA
- Rimuovere la configurazione dell'area di lavoro Defender per endpoint
Nota
L'offboarding fa sì che l'endpoint di Windows interrompa l'invio dei dati del sensore al portale, ma i dati dall'endpoint, incluso il riferimento agli avvisi che ha avuto, verranno conservati per un massimo di sei mesi.
Opzione 1: Disinstallare l'agente MMA
Per eseguire l'offboarding dell'endpoint di Windows, è possibile disinstallare l'agente MMA o scollegarlo dalla creazione di report nell'area di lavoro Defender per endpoint. Dopo l'offboarding dell'agente, l'endpoint non invierà più i dati del sensore a Defender per endpoint. Per altre informazioni, vedere Per disabilitare un agente.
Opzione 2: Rimuovere la configurazione dell'area di lavoro Defender per endpoint
È possibile usare uno dei metodi seguenti:
- Rimuovere la configurazione dell'area di lavoro defender per endpoint dall'agente MMA
- Eseguire un comando di PowerShell per rimuovere la configurazione
Rimuovere la configurazione dell'area di lavoro defender per endpoint dall'agente MMA
Nelle proprietà di Microsoft Monitoring Agent selezionare la scheda Log Analytics di Azure (OMS).
Selezionare l'area di lavoro Defender per endpoint e selezionare Rimuovi.
Eseguire un comando di PowerShell per rimuovere la configurazione
Ottenere l'ID area di lavoro:
- Nel riquadro di spostamento selezionare Impostazioni>Onboarding.
- Selezionare il sistema operativo pertinente e ottenere l'ID area di lavoro.
Aprire un'istanza di PowerShell con privilegi elevati ed eseguire il comando seguente. Usare l'ID area di lavoro ottenuto e sostituire
WorkspaceID:$AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg # Remove OMS Workspace $AgentCfg.RemoveCloudWorkspace("WorkspaceID") # Reload the configuration and apply changes $AgentCfg.ReloadConfiguration()