Eseguire l'onboarding dei server Windows nel servizio Microsoft Defender per endpoint

Si applica a:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server Semi-Annual Enterprise Channel
  • Windows Server 2019 e versioni successive
  • Windows Server 2019 Core Edition
  • Windows Server 2022
  • Microsoft Defender per endpoint

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Defender per endpoint estende il supporto per includere anche il sistema operativo Windows Server. Questo supporto offre funzionalità avanzate di rilevamento e analisi degli attacchi tramite la console di Microsoft 365 Defender. Il supporto per Windows Server fornisce informazioni più approfondite sulle attività del server, la copertura per il rilevamento degli attacchi del kernel e della memoria e abilita le azioni di risposta.

Questo argomento descrive come eseguire l'onboarding di server Windows specifici per Microsoft Defender per endpoint.

Per indicazioni su come scaricare e usare le baseline di Sicurezza di Windows per i server Windows, vedere Sicurezza di Windows Baselines.

Panoramica dell'onboarding di Windows Server

Per eseguire correttamente l'onboarding dei server, è necessario completare i passaggi generali seguenti.

Illustrazione del flusso di onboarding per i server Windows e i dispositivi Windows 10

Integrazione con Microsoft Defender per server

Microsoft Defender per endpoint si integra perfettamente con Microsoft Defender per server. È possibile eseguire l'onboarding automatico dei server, fare in modo che i server monitorati da Microsoft Defender per cloud vengano visualizzati in Defender per endpoint e condurre indagini dettagliate come clienti di Microsoft Defender for Cloud.

Per altre informazioni, vedere Integrazione con Microsoft Defender per il cloud.

Nota

Per Windows Server 2012 R2 e 2016 che eseguono la soluzione unificata moderna, è possibile installare/aggiornare manualmente la nuova soluzione in questi computer oppure usare l'integrazione per distribuire o aggiornare automaticamente i server coperti dal rispettivo piano di Microsoft Defender per server. Altre informazioni sull'impostazione del commutatore in Proteggere gli endpoint con la soluzione EDR integrata di Defender per cloud: Microsoft Defender per endpoint.

  • Quando si usa Microsoft Defender per cloud per monitorare i server, viene creato automaticamente un tenant di Defender per endpoint (negli Stati Uniti per gli utenti degli Stati Uniti, nell'UE per gli utenti europei e nel Regno Unito per gli utenti del Regno Unito). I dati raccolti da Defender per endpoint vengono archiviati nella posizione geografica del tenant, come identificato durante il provisioning.
  • Se si usa Defender per endpoint prima di usare Microsoft Defender per cloud, i dati verranno archiviati nella posizione specificata al momento della creazione del tenant, anche se si esegue l'integrazione con Microsoft Defender per cloud in un secondo momento.
  • Dopo aver configurato, non è possibile modificare la posizione in cui vengono archiviati i dati. Se è necessario spostare i dati in un'altra posizione, è necessario contattare supporto tecnico Microsoft per reimpostare il tenant.
  • L'integrazione tra Microsoft Defender per server e Microsoft Defender per endpoint è stata espansa per supportare Windows Server 2022, Windows Server 2019 e Desktop virtuale Windows (WVD).
  • Il monitoraggio degli endpoint server che usa questa integrazione è stato disabilitato per Office 365 clienti GCC.

Windows Server 2012 R2 e Windows Server 2016:

  • Scaricare i pacchetti di installazione e onboarding
  • Applicare il pacchetto di installazione
  • Seguire i passaggi di onboarding per lo strumento corrispondente

Windows Server Semi-Annual Enterprise Channel e Windows Server 2019:

  • Scaricare il pacchetto di onboarding
  • Seguire i passaggi di onboarding per lo strumento corrispondente

Importante

Per poter acquistare Microsoft Defender per endpoint SKU server, è necessario aver già acquistato un minimo combinato di una delle licenze di sottoscrizione seguenti, Windows E5/A5, Microsoft 365 E5/A5 o Microsoft 365 E5 Security. Per altre informazioni sulle licenze, vedere le Condizioni per il prodotto.

Nuove funzionalità Windows Server 2012 R2 e 2016 nella soluzione unificata moderna

L'implementazione precedente dell'onboarding Windows Server 2012 R2 e Windows Server 2016 richiedeva l'uso di Microsoft Monitoring Agent (MMA).

Il nuovo pacchetto della soluzione unificata semplifica l'onboarding dei server rimuovendo le dipendenze e i passaggi di installazione. Inoltre, questo pacchetto di soluzione unificata include i miglioramenti principali seguenti:

A seconda del server di cui si esegue l'onboarding, la soluzione unificata installa Microsoft Defender Antivirus e/o il sensore EDR. La tabella seguente indica quale componente è installato e cosa è incorporato per impostazione predefinita.

Versione del server Av Edr
Windows Server 2012 R2 SP1 Sì. Sì.
Windows Server 2016 Incorporato Sì.
Windows Server 2019 o versione successiva Incorporato Incorporato

Se in precedenza è stato eseguito l'onboarding dei server usando MMA, seguire le indicazioni fornite in Migrazione del server per eseguire la migrazione alla nuova soluzione.

Problemi noti e limitazioni nel nuovo pacchetto di soluzione unificata per Windows Server 2012 R2 e 2016

Le specifiche seguenti si applicano al nuovo pacchetto di soluzione unificata per Windows Server 2012 R2 e 2016:

  • Un aggiornamento del sistema operativo può introdurre un problema di installazione nei computer con dischi più lenti a causa di un timeout con l'installazione del servizio. L'installazione non riesce con il messaggio "Impossibile trovare c:\programmi\windows defender\mpasdesc.dll, - 310 WinDefend". Usare il pacchetto di installazione più recente, nonché lo script diinstall.ps1 più recente per facilitare la cancellazione dell'installazione non riuscita, se necessario.

  • Verificare che i requisiti di connettività specificati in Abilitare l'accesso agli URL del servizio Microsoft Defender per endpoint nel server proxy siano soddisfatti. Sono equivalenti a questi requisiti per Windows Server 2019.

  • È stato rilevato un problema con Windows Server 2012 connettività R2 al cloud quando si usa telemetria staticaProxyServer e gli URL dell'elenco di revoche di certificati (CRL) non sono raggiungibili dal contesto dell'account SYSTEM. La mitigazione immediata consiste nell'usare un'opzione proxy alternativa ("a livello di sistema") che fornisce tale connettività o configurare lo stesso proxy tramite l'impostazione WinInet nel contesto dell'account SYSTEM. In alternativa, usare le istruzioni fornite in Soluzione alternativa per un problema noto con TelemetryProxyServer nei computer disconnessi per installare un certificato come soluzione alternativa.

  • In precedenza, l'uso di Microsoft Monitoring Agent (MMA) in Windows Server 2016 e versioni successive consentiva al gateway OMS/Log Analytics di fornire connettività ai servizi cloud di Defender. La nuova soluzione, ad esempio Microsoft Defender per endpoint in Windows Server 2019, Windows Server 2022 e Windows 10, non supporta questo gateway.

  • In Windows Server 2016 verificare che Microsoft Defender Antivirus sia installato, sia attivo e aggiornato. È possibile scaricare e installare la versione più recente della piattaforma usando Windows Update. In alternativa, scaricare il pacchetto di aggiornamento manualmente da Microsoft Update Catalog o da MMPC.

  • In Windows Server 2012 R2 non è disponibile alcuna interfaccia utente per Microsoft Defender Antivirus. Inoltre, l'interfaccia utente in Windows Server 2016 consente solo operazioni di base. Per eseguire operazioni in un dispositivo in locale, vedere Gestire Microsoft Defender per endpoint con PowerShell, WMI e MPCmdRun.exe. Di conseguenza, le funzionalità che si basano specificamente sull'interazione dell'utente, ad esempio quando all'utente viene richiesto di prendere una decisione o di eseguire un'attività specifica, potrebbero non funzionare come previsto. È consigliabile disabilitare o non abilitare l'interfaccia utente né richiedere l'interazione dell'utente su qualsiasi server gestito in quanto può influire sulla funzionalità di protezione.

  • Non tutte le regole di riduzione della superficie di attacco sono disponibili in tutti i sistemi operativi. Vedere Regole di riduzione della superficie di attacco (ASR).

  • Per abilitare Protezione rete, sono necessarie altre configurazioni:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

    Inoltre, nei computer con un volume elevato di traffico di rete, è consigliabile eseguire test delle prestazioni nell'ambiente prima di abilitare questa funzionalità su larga scala. Potrebbe essere necessario tenere conto del consumo aggiuntivo di risorse.

  • In Windows Server 2012 R2, gli eventi di rete potrebbero non essere popolati nella sequenza temporale. Questo problema richiede un Windows Update rilasciato come parte del rollup mensile del 12 ottobre 2021 (KB5006714).This issue requires a Windows Update released as part of the October 12, 2021 monthly rollup (KB5006714).

  • Gli aggiornamenti del sistema operativo non sono supportati. Offboard e quindi disinstallazione prima dell'aggiornamento.

  • Le esclusioni automatiche per i ruoli del server non sono supportate in Windows Server 2012 R2. Tuttavia, le esclusioni predefinite per i file del sistema operativo lo sono. Per altre informazioni sull'aggiunta di esclusioni, vedere Raccomandazioni sull'analisi dei virus per i computer aziendali che eseguono versioni attualmente supportate di Windows.

  • Nei computer che sono stati aggiornati dalla soluzione precedente basata su MMA e dal sensore EDR è una versione (anteprima) precedente alla versione 10.8047.22439.1056, la disinstallazione e il ripristino della soluzione basata su MMA potrebbero causare arresti anomali. Se si usa una versione di anteprima di questo tipo, eseguire l'aggiornamento usando KB5005292.

  • Per distribuire ed eseguire l'onboarding della nuova soluzione usando Microsoft Endpoint Manager, questo processo richiede attualmente la creazione di un pacchetto. Per altre informazioni su come distribuire programmi e script in Configuration Manager, vedere Pacchetti e programmi in Configuration Manager. MECM 2107 con l'hotfix rollup o versione successiva è necessario per supportare la gestione della configurazione dei criteri tramite il nodo Endpoint Protection.

Soluzione alternativa per un problema noto con TelemetryProxyServer nei computer disconnessi

Descrizione del problema: quando si usa l'impostazione TelemetryProxyServer per specificare un proxy da usare dal componente EDR di Microsoft Defender per endpoint, nei computer che non hanno altro modo di accedere all'URL dell'elenco di revoche di certificati (CRL), un certificato intermedio mancante causerà la mancata connessione del sensore EDR al servizio cloud.

Scenario interessato: -Microsoft Defender per endpoint con numero di versione Sense 10.8048.22439.1065 o versioni di anteprima precedenti in esecuzione in Windows Server 2012 R2 - Uso della configurazione proxy TelemetryProxyServer; gli altri metodi non sono interessati

Soluzione:

  1. Verificare che il computer stia eseguendo Sense versione 10.8048.22439.1065 o successiva installando usando il pacchetto più recente disponibile dalla pagina di onboarding o applicando KB5005292.
  2. Scaricare e decomprimere il certificato da https://github.com/microsoft/mdefordownlevelserver/blob/main/InterCA.zip
  3. Importare il certificato nell'archivio "Autorità di certificazione intermedie" attendibile del computer locale. È possibile usare il comando di PowerShell: Import-Certificate -FilePath .\InterCA.cer -CertStoreLocation Cert:\LocalMachine\Ca

Integrazione con Microsoft Defender for Cloud

Microsoft Defender per endpoint si integra perfettamente con Microsoft Defender per il cloud. È possibile eseguire l'onboarding automatico dei server, fare in modo che i server monitorati da Microsoft Defender per cloud vengano visualizzati in Defender per endpoint e condurre indagini dettagliate come clienti di Microsoft Defender for Cloud.

Per altre informazioni, vedere Integrazione con Microsoft Defender per il cloud. I server Linux caricati tramite Microsoft Defender for Cloud avranno la configurazione iniziale impostata per l'esecuzione di Defender Antivirus in modalità passiva.

Nota

  • L'integrazione tra Microsoft Defender per server e Microsoft Defender per endpoint è stata espansa per supportare Windows Server 2022, Windows Server 2019 e Desktop virtuale Windows (WVD).
  • Il monitoraggio degli endpoint server che usa questa integrazione è stato disabilitato per Office 365 clienti GCC.

Windows Server 2012 R2 e Windows Server 2016

Prerequisiti

Prerequisiti per Windows Server 2012 R2

Se i computer sono stati completamente aggiornati con l'ultimo pacchetto di rollup mensile , non sono presenti altri prerequisiti.

Il pacchetto del programma di installazione verificherà se i componenti seguenti sono già stati installati tramite un aggiornamento:

Prerequisiti per Windows Server 2016

Prerequisiti per l'esecuzione con soluzioni di sicurezza di terze parti

Se si intende usare una soluzione antimalware di terze parti, è necessario eseguire Microsoft Defender Antivirus in modalità passiva. È necessario ricordare di impostare la modalità passiva durante il processo di installazione e onboarding.

Nota

Se si installa Microsoft Defender per endpoint in server con McAfee Endpoint Security (ENS) o VirusScan Enterprise (VSE), potrebbe essere necessario aggiornare la versione della piattaforma McAfee per assicurarsi che Microsoft Defender Antivirus non venga rimosso o disabilitato. Per altre informazioni, inclusi i numeri di versione specifici necessari, vedere l'articolo del Centro conoscenze McAfee.

Aggiornare il pacchetto per Microsoft Defender per endpoint in Windows Server 2012 R2 e 2016

Per ricevere miglioramenti e correzioni di prodotti regolari per il componente sensore EDR, assicurarsi che Windows Update KB5005292 venga applicato o approvato. Inoltre, per mantenere aggiornati i componenti di protezione, vedere Gestire gli aggiornamenti di Microsoft Defender Antivirus e applicare le baseline.

Se si usa Windows Server Update Services (WSUS) e/o Microsoft Endpoint Configuration Manager, questo nuovo "aggiornamento Microsoft Defender per endpoint per il sensore EDR" è disponibile nella categoria " Microsoft Defender per endpoint".

Riepilogo dei passaggi di onboarding

PASSAGGIO 1: Scaricare i pacchetti di installazione e onboarding

Sarà necessario scaricare i pacchetti di installazione e onboarding dal portale.

Nota

Il pacchetto di installazione viene aggiornato mensilmente. Assicurarsi di scaricare il pacchetto più recente prima dell'utilizzo.

Immagine del dashboard di onboarding

Nota

In Windows Server 2012R2, Microsoft Defender Antivirus verrà installato dal pacchetto di installazione e sarà attivo a meno che non venga impostato sulla modalità passiva. In Windows Server 2016, Microsoft Defender Antivirus deve essere installato come funzionalità (vedere Passare a MDE) prima di procedere con l'installazione.

Se si esegue una soluzione antimalware non Microsoft, assicurarsi di aggiungere esclusioni per Microsoft Defender Antivirus (da questo elenco di processi di Microsoft Defender nella scheda Processi di Defender) alla soluzione non Microsoft prima dell'installazione. È anche consigliabile aggiungere soluzioni di sicurezza non Microsoft all'elenco di esclusione di Defender Antivirus.

Il pacchetto di installazione contiene un file MSI che installa l'agente Microsoft Defender per endpoint.

Il pacchetto di onboarding contiene i file seguenti:

  • OptionalParamsPolicy - contiene l'impostazione che abilita la raccolta di esempi
  • WindowsDefenderATPOnboardingScript.cmd - contiene lo script di onboarding

Per scaricare i pacchetti, seguire questa procedura:

  1. In Microsoft 365 Defender passare a Impostazioni > Gestione dispositivi > Onboarding.

  2. Selezionare Windows Server 2012 R2 e 2016.

  3. Selezionare Scarica pacchetto di installazione e salvare il file .msi.

  4. Selezionare Scarica pacchetto di onboarding e salvare il file .zip.

  5. Installare il pacchetto di installazione usando una delle opzioni per installare Microsoft Defender Antivirus. L'installazione richiede autorizzazioni amministrative.

PASSAGGIO 2: Applicare il pacchetto di installazione e onboarding

In questo passaggio verranno installati i componenti di prevenzione e rilevamento necessari prima di eseguire l'onboarding del dispositivo nell'ambiente cloud Microsoft Defender per endpoint, per preparare il computer per l'onboarding. Verificare che tutti i prerequisiti siano stati soddisfatti.

Nota

Microsoft Defender Antivirus verrà installato e sarà attivo a meno che non sia stato impostato sulla modalità passiva.

Opzioni per installare i pacchetti Microsoft Defender per endpoint

Nella sezione precedente è stato scaricato un pacchetto di installazione. Il pacchetto di installazione contiene il programma di installazione per tutti i componenti Microsoft Defender per endpoint.

È possibile usare una delle opzioni seguenti per installare l'agente:

Installare Microsoft Defender For Endpoint tramite la riga di comando

Usare il pacchetto di installazione del passaggio precedente per installare Microsoft Defender per endpoint.

Eseguire il comando seguente per installare Microsoft Defender per endpoint:

Msiexec /i md4ws.msi /quiet

Per disinstallare, assicurarsi che il computer sia prima offboarding usando lo script di offboarding appropriato. Usare quindi Pannello di controllo > Programmi > e funzionalità per eseguire la disinstallazione.

In alternativa, eseguire il comando di disinstallazione seguente per disinstallare Microsoft Defender per endpoint:

Msiexec /x md4ws.msi /quiet

È necessario usare lo stesso pacchetto usato per l'installazione affinché il comando precedente abbia esito positivo.

L'opzione /quiet elimina tutte le notifiche.

Nota

Microsoft Defender Antivirus non passa automaticamente alla modalità passiva. È possibile scegliere di impostare Microsoft Defender Antivirus per l'esecuzione in modalità passiva se si esegue una soluzione antivirus/antimalware non Microsoft. Per le installazioni da riga di comando, l'opzione imposta FORCEPASSIVEMODE=1 immediatamente il componente Antivirus Microsoft Defender sulla modalità passiva per evitare interferenze. Quindi, per assicurarsi che Defender Antivirus rimanga in modalità passiva dopo l'onboarding per supportare funzionalità come EDR Block, impostare la chiave del Registro di sistema "ForceDefenderPassiveMode".

Il supporto per Windows Server fornisce informazioni più approfondite sulle attività del server, la copertura per il rilevamento degli attacchi del kernel e della memoria e abilita le azioni di risposta.

Installare Microsoft Defender per endpoint usando uno script

È possibile usare lo script del programma di installazione per automatizzare l'installazione, la disinstallazione e l'onboarding.

Nota

Lo script di installazione è firmato. Qualsiasi modifica allo script invaliderà la firma. Quando si scarica lo script da GitHub, l'approccio consigliato per evitare modifiche accidentali consiste nel scaricare i file di origine come archivio ZIP e quindi estrarli per ottenere il file install.ps1 (nella pagina Codice principale fare clic sul menu a discesa Codice e selezionare "Scarica ZIP").

Questo script può essere usato in vari scenari, inclusi quelli descritti in Scenari di migrazione del server della soluzione Microsoft Defender per endpoint precedente basata su MMA e per la distribuzione tramite Criteri di gruppo come descritto di seguito.

Applicare i pacchetti di installazione e onboarding Microsoft Defender per endpoint usando Criteri di gruppo
  1. Creare criteri di gruppo:
    Aprire la console di gestione Criteri di gruppo, fare clic con il pulsante destro del mouse su Criteri di gruppo Oggetti da configurare e scegliere Nuovo. Immettere il nome del nuovo oggetto Criteri di gruppo nella finestra di dialogo visualizzata e fare clic su OK.

  2. Aprire Criteri di gruppo Console gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera configurare e scegliere Modifica.

  3. Nell'editor di gestione Criteri di gruppo passare a Configurazione computer, quindi Preferenze e quindi impostazioni del Pannello di controllo.

  4. Fare clic con il pulsante destro del mouse su Attività pianificate, scegliere Nuovo e quindi fare clic su Attività immediata (almeno Windows 7).

  5. Nella finestra Attività visualizzata passare alla scheda Generale . In Opzioni di sicurezza fare clic su Modifica utente o gruppo e digitare SISTEMA, quindi fare clic su Controlla nomi e quindi su OK. NT AUTHORITY\SYSTEM viene visualizzato come account utente con cui verrà eseguita l'attività.

  6. Selezionare Esegui se l'utente è connesso o meno e selezionare la casella di controllo Esegui con i privilegi più elevati .

  7. Nel campo Nome digitare un nome appropriato per l'attività pianificata, ad esempio Defender per la distribuzione di endpoint.

  8. Passare alla scheda Azioni e selezionare Nuovo... Assicurarsi che l'opzione Avvia un programma sia selezionata nel campo Azione . Lo script del programma di installazione gestisce l'installazione ed esegue immediatamente il passaggio di onboarding al termine dell'installazione. Selezionare C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe quindi specificare gli argomenti:

     -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd
    

    Nota

    L'impostazione dei criteri di esecuzione consigliata è Allsigned. A tale scopo, è necessario importare il certificato di firma dello script nell'archivio Autori attendibili del computer locale se lo script è in esecuzione come SYSTEM nell'endpoint.

    Sostituire \servername-or-dfs-space\share-name con il percorso UNC, usando il nome di dominio completo (FQDN) del file diinstall.ps1 condiviso del file. Il pacchetto del programma di installazione md4ws.msi deve essere inserito nella stessa directory. Assicurarsi che le autorizzazioni del percorso UNC consentano l'accesso in scrittura all'account computer che sta installando il pacchetto, per supportare la creazione di file di log. Se si desidera disabilitare la creazione di file di log (scelta non consigliata), è possibile usare i parametri -noETL -noETW.

    Per gli scenari in cui si vuole che Microsoft Defender Antivirus coesiste con soluzioni antimalware non Microsoft, aggiungere il parametro $Passive per impostare la modalità passiva durante l'installazione.

  9. Selezionare OK e chiudere tutte le finestre di Console Gestione Criteri di gruppo aperte.

  10. Per collegare l'oggetto Criteri di gruppo a un'unità organizzativa (OU), fare clic con il pulsante destro del mouse e scegliere Collega un oggetto Criteri di gruppo esistente. Nella finestra di dialogo visualizzata selezionare l'oggetto Criteri di gruppo da collegare. Fare clic su OK.

Per altre impostazioni di configurazione, vedere Configurare le impostazioni della raccolta di esempio e Altre impostazioni di configurazione consigliate.

PASSAGGIO 3: Completare i passaggi di onboarding

I passaggi seguenti sono applicabili solo se si usa una soluzione antimalware di terze parti. È necessario applicare la seguente impostazione della modalità passiva di Microsoft Defender Antivirus. Verificare che sia stato configurato correttamente:

  1. Impostare la voce del Registro di sistema seguente:

    • Percorso: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • Nome: ForceDefenderPassiveMode
    • Digitare: REG_DWORD
    • Valore: 1

    Risultato della verifica in modalità passiva

Importante

  • Il pacchetto di onboarding per Windows Server 2012 R2, 2016, 2019 e 2022 tramite Microsoft Endpoint Manager attualmente viene fornito come script. Per altre informazioni su come distribuire programmi e script in Configuration Manager, vedere Pacchetti e programmi in Configuration Manager.
  • Uno script locale è adatto per un modello di verifica, ma non deve essere usato per la distribuzione di produzione. Per una distribuzione di produzione, è consigliabile usare Criteri di gruppo o Microsoft Endpoint Configuration Manager.

Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019 e Windows Server 2022

Scaricare il pacchetto

  1. In Microsoft 365 Defender passare a Impostazioni > Gestione dispositivi > Onboarding.

  2. Selezionare Windows Server 1803 e 2019.

  3. Selezionare Scarica pacchetto. Salvarlo come WindowsDefenderATPOnboardingPackage.zip.

  4. Seguire i passaggi descritti nella sezione Completare i passaggi di onboarding .

Verificare l'onboarding e l'installazione

Verificare che Microsoft Defender Antivirus e Microsoft Defender per endpoint siano in esecuzione.

Eseguire un test di rilevamento per verificare l'onboarding

Dopo aver eseguito l'onboarding del dispositivo, è possibile scegliere di eseguire un test di rilevamento per verificare che un dispositivo sia stato correttamente caricato nel servizio. Per altre informazioni, vedere Eseguire un test di rilevamento in un dispositivo Microsoft Defender per endpoint appena caricato.

Nota

L'esecuzione di Microsoft Defender Antivirus non è necessaria, ma è consigliabile. Se un altro prodotto fornitore di antivirus è la soluzione di protezione degli endpoint principale, è possibile eseguire Defender Antivirus in modalità passiva. È possibile verificare che la modalità passiva sia attiva solo dopo aver verificato che Microsoft Defender per endpoint sensore (SENSE) sia in esecuzione.

  1. Eseguire il comando seguente per verificare che Microsoft Defender Antivirus sia installato:

    Nota

    Questo passaggio di verifica è necessario solo se si usa Microsoft Defender Antivirus come soluzione antimalware attiva.

    sc.exe query Windefend
    

    Se il risultato è "Il servizio specificato non esiste come servizio installato", sarà necessario installare Microsoft Defender Antivirus.

    Per informazioni su come usare Criteri di gruppo per configurare e gestire Microsoft Defender Antivirus nei server Windows, vedere Usare le impostazioni di Criteri di gruppo per configurare e gestire Microsoft Defender Antivirus.

  2. Eseguire il comando seguente per verificare che Microsoft Defender per endpoint sia in esecuzione:

    sc.exe query sense
    

    Il risultato dovrebbe mostrare che è in esecuzione. Se si verificano problemi con l'onboarding, vedere Risolvere i problemi di onboarding.

Eseguire un test di rilevamento

Seguire la procedura descritta in Eseguire un test di rilevamento in un dispositivo appena caricato per verificare che il server stia segnalando a Defender per il servizio endpoint.

Passaggi successivi

Dopo aver eseguito correttamente l'onboarding dei dispositivi nel servizio, è necessario configurare i singoli componenti di Microsoft Defender per endpoint. Seguire l'ordine di adozione per essere guidati sull'abilitazione dei vari componenti.

Server Windows offboard

È possibile eseguire l'offboarding Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019 e Windows Server 2019 Core edition nello stesso metodo disponibile per Windows 10 dispositivi client.

Dopo l'offboarding, è possibile procedere alla disinstallazione del pacchetto della soluzione unificata in Windows Server 2012 R2 e Windows Server 2016.

Per altre versioni di Windows Server, sono disponibili due opzioni per l'offboarding dei server Windows dal servizio:

  • Disinstallare l'agente MMA
  • Rimuovere la configurazione dell'area di lavoro Defender per endpoint

Nota

Queste istruzioni di offboarding per altre versioni di Windows Server si applicano anche se si esegue il Microsoft Defender per endpoint precedente per Windows Server 2016 e Windows Server 2012 R2 che richiede MMA. Le istruzioni per eseguire la migrazione alla nuova soluzione unificata sono disponibili negli scenari di migrazione del server in Microsoft Defender per endpoint.