Подключение устройств с Windows с помощью локального сценария

Вы также можете вручную подключить отдельные устройства к Defender для конечной точки. Вы можете подключить некоторые устройства при тестировании службы, прежде чем зафиксировать подключение всех устройств в сети.

Важно!

Сценарий, описанный в этой статье, рекомендуется для подключения устройств к Defender для конечной точки вручную. Его следует использовать только на ограниченном числе устройств (10 устройств или меньше). Если вы выполняете развертывание в рабочей среде, ознакомьтесь с другими вариантами развертывания, такими как Intune, групповая политика или Configuration Manager.

Ознакомьтесь с разделом Определение архитектуры и метода развертывания Defender для конечной точки , чтобы просмотреть различные пути при развертывании Defender для конечной точки.

Примечание.

Средство развертывания Defender (теперь в общедоступной предварительной версии) можно использовать для развертывания безопасности конечных точек Defender на устройствах Windows и Linux. Это упрощенное самообновяющееся приложение, которое упрощает процесс развертывания. Дополнительные сведения см. в разделах Развертывание Microsoft Defender безопасности конечных точек на устройствах Windows с помощью средства развертывания Defender (предварительная версия) и Развертывание Microsoft Defender безопасности конечных точек на Linux устройствах с помощью средства развертывания Defender (предварительная версия).

Подключение устройств

Совет

Если конечные точки недоступны в параметрах системы>, выполните одно или несколько из следующих действий по устранению неполадок.

• Подождите несколько минут, пока среда не инициализируется.
• Попробуйте открыть другие функции Microsoft Defender XDR (например, Инциденты или Охота).
• Убедитесь, что у вас есть необходимые роли (по крайней мере , администратор безопасности) и соответствующее лицензирование.

1. Откройте пакет конфигурации .zip файл (WindowsDefenderATPOnboardingPackage.zip), скачанный из мастера подключения службы.

   Кроме того, пакет подключения можно получить на портале Microsoft Defender, выполнив следующие действия.

   1. На портале Defender по адресу https://security.microsoft.comперейдите в разделПараметры>системы>Конечные точки>Управление устройствами в разделе >Подключение. Или, чтобы перейти непосредственно на страницу Подключения , используйте https://security.microsoft.com/securitysettings/endpoints/onboarding.
   2. На странице Подключение настройте следующие параметры:
      • В верхней части страницы убедитесь, Windows 10 выбрано значение 11.
      • 1. Подключение устройства :
        • Тип подключения. Выберите одно из следующих значений:
          • Standard. Используйте традиционный полный набор URL-адресов служб Microsoft Defender для конечной точки.
          • Упрощено. Упрощение настройки брандмауэра или прокси-сервера путем консолидации подключения к меньшему количеству конечных точек. Дополнительные сведения см. в статье Подключение устройств с помощью упрощенных подключений для Microsoft Defender для конечной точки.
        • Метод развертывания. Убедитесь, что выбран локальный сценарий (до 10 устройств).
   3. Выберите Скачать пакет подключения , чтобы скачать файлWindowsDefenderATPOnboardingPackage.zip .

2. Извлеките содержимое файла .zip на устройстве в расположении, которое легко найти (например, на рабочем столе). Файл .zip содержит один файл с именем WindowsDefenderATPLocalOnboardingScript.cmd.

3. На устройстве выполните следующие команды в командной строке с повышенными привилегиями (окно командной строки, которое вы открыли, выбрав Запуск от имени администратора):

   1. Перейдите в папку, в которой вы сохранили извлеченный WindowsDefenderATPLocalOnboardingScript.cmd файл. Например, чтобы перейти в папку Desktop, выполните следующую команду:

      if exist "%OneDrive%\Desktop" (cd /d "%OneDrive%\Desktop") else if exist "%USERPROFILE%\Desktop" cd /d "%USERPROFILE%\Desktop"
      

   2. Запустите сценарий WindowsDefenderATPLocalOnboardingScript.cmd :

      WindowsDefenderATPLocalOnboardingScript.cmd
      

   После завершения скрипта отобразится нажатие любой клавиши для продолжения.... Нажмите любую клавишу, чтобы выполнить действия на устройстве.

Сведения о том, как вручную проверить, соответствует ли устройство, и правильно сообщить данные датчика см. в статье Устранение проблем с подключением Microsoft Defender для конечной точки.

Совет

После подключения устройства можно выполнить тест обнаружения, чтобы убедиться, что устройство правильно подключено к службе. Дополнительные сведения см. в статье Запуск теста обнаружения в недавно подключенной конечной точке Microsoft Defender для конечной точки.

Настройка параметров коллекции примеров

На каждом устройстве параметр реестра настраивает, можно ли собирать образцы с устройства при выполнении запроса через Microsoft Defender XDR для отправки файла для глубокого анализа. Параметр AllowSampleCollection DWORD имеет следующие возможные значения:

• 0 (000000000): общий доступ к примерам не разрешен с устройства.
• 1 (00000001): с устройства разрешен общий доступ к файлам всех типов. Это значение является значением по умолчанию, если раздел реестра не существует.

Скопируйте следующий текст в Блокнот, задайте значение AllowSampleCollection, сохраните файл как файл .reg, а затем запустите файл .reg на устройстве.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection]
"AllowSampleCollection"=dword:00000000

Запуск теста обнаружения для проверки подключения

После подключения устройства можно выполнить тест обнаружения, чтобы убедиться, что устройство правильно подключено к службе. Дополнительные сведения см. в статье Запуск теста обнаружения на недавно подключенном Microsoft Defender для конечной точки устройстве.

Отключение устройств с помощью локального скрипта

По соображениям безопасности срок действия пакета, используемого для отключения устройств, истекает через семь дней после даты загрузки. Пакеты отключения с истекшим сроком действия, отправляемые на устройство, отклоняются. При скачивании пакета отключения вы получите уведомление о дате истечения срока действия пакета, и эта дата будет включена в имя файла пакета.

Примечание.

Не развертывайте политики подключения и отключения на одном устройстве одновременно. Могут возникать непредсказуемые столкновения.

1. Получите пакет на портале Microsoft Defender, выполнив следующие действия.

   1. На портале Defender по адресу https://security.microsoft.comперейдите в раздел>Параметры>системы>Конечные точки>Управление устройствами. Или, чтобы перейти непосредственно на страницу Offboarding , используйте https://security.microsoft.com/securitysettings/endpoints/offboarding.
   2. На странице Подключение настройте следующие параметры:
      • В верхней части страницы убедитесь, Windows 10 выбрано значение 11.
      • Метод развертывания. Убедитесь, что выбран локальный сценарий (до 10 устройств).
   3. Выберите Скачать пакет, а затем нажмите кнопку Скачать в диалоговом окне подтверждения, чтобы скачать файлWindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip .

2. Извлеките содержимое файла .zip на устройстве в расположении, которое легко найти (например, на рабочем столе). Файл .zip содержит один файл с именем WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

3. На устройстве выполните следующие команды в командной строке с повышенными привилегиями (окно командной строки, которое вы открыли, выбрав Запуск от имени администратора):

   1. Перейдите в папку, в которой вы сохранили извлеченный WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd файл. Например, чтобы перейти в папку Desktop, выполните следующую команду:

      if exist "%OneDrive%\Desktop" (cd /d "%OneDrive%\Desktop") else if exist "%USERPROFILE%\Desktop" cd /d "%USERPROFILE%\Desktop"
      

   2. Запустите скрипт WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd :

      WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd
      

Важно!

Отключение устройства приводит к тому, что устройство перестает отправлять данные датчиков на портал. Данные с устройства, включая ссылку на любое из его оповещений, хранятся в течение шести месяцев.

Мониторинг конфигурации устройства

Вы можете выполнить различные действия по проверке, описанные в разделе Устранение проблем с подключением , чтобы убедиться, что скрипт успешно завершен и агент запущен.

Мониторинг также можно выполнять непосредственно на портале или с помощью различных средств развертывания.

Мониторинг устройств с помощью портала

На портале Defender по адресу https://security.microsoft.comперейдите в раздел Активы>устройства. Или, чтобы перейти непосредственно на страницу Инвентаризация устройств , используйте https://security.microsoft.com/machines?category=all-devices.

На вкладке Все устройства на странице Инвентаризация устройств убедитесь, что устройства отображаются.

Статьи по теме

• Подключение устройств с Windows с помощью групповой политики
• Подключение устройств Windows с помощью Microsoft Configuration Manager
• Подключение устройств с Windows с помощью средств управления мобильными устройствами
• Подключение временных устройств инфраструктуры виртуальных рабочих столов (VDI)
• Запуск теста обнаружения на недавно подключенном Microsoft Defender для конечной точки устройстве
• Устранение неполадок подключения Microsoft Defender для конечных точек