Om bord på Windows-enheter ved hjelp av Configuration Manager

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR
• Microsoft Configuration Manager gjeldende gren
• System Center 2012 R2 Configuration Manager

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Forutsetninger

• Systemrolle for endepunktbeskyttelsespunktområde

Viktig

Systemrollen for endepunktbeskyttelsespunktet kreves, slik at policyer for reduksjon av antivirus- og angrepsoverflater distribueres riktig til de målrettede endepunktene. Uten denne rollen vil ikke endepunktene i enhetssamlingen motta de konfigurerte policyene for reduksjon av antivirus- og angrepsoverflaten.

Du kan bruke Configuration Manager på tavle-endepunkter til Microsoft Defender for endepunkt-tjenesten.

Det finnes flere alternativer du kan bruke på innebygde enheter ved hjelp av Configuration Manager:

• Innebygde enheter som bruker System Center Configuration Manager
• Leiervedlegg

Obs!

Defender for Endpoint støtter ikke pålasting under OOBE-fasen (Out-Of-Box Experience ). Kontroller at brukere fullfører OOBE etter å ha kjørt Windows-installasjonen eller oppgraderingen.

Vær oppmerksom på at det er mulig å opprette en gjenkjenningsregel på et Configuration Manager program for kontinuerlig å kontrollere om en enhet er pålastet. Et program er en annen type objekt enn en pakke og et program. Hvis en enhet ennå ikke er pålastet (på grunn av ventende OOBE-fullføring eller annen grunn), vil Configuration Manager prøve å starte enheten på nytt til regelen oppdager statusendringen.

Denne virkemåten kan oppnås ved å opprette en gjenkjenningsregel som kontrollerer om registerverdien OnboardingState (av typen REG_DWORD) = 1. Denne registerverdien er plassert under "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". Hvis du vil ha mer informasjon, kan du se Konfigurere gjenkjenningsmetoder i System Center 2012 R2 Configuration Manager.

Konfigurer innstillinger for eksempelsamling

For hver enhet kan du angi en konfigurasjonsverdi for å angi om eksempler kan samles inn fra enheten når en forespørsel gjøres gjennom Microsoft Defender XDR for å sende inn en fil for dyp analyse.

Obs!

Disse konfigurasjonsinnstillingene utføres vanligvis gjennom Configuration Manager.

Du kan angi en samsvarsregel for konfigurasjonselement i Configuration Manager for å endre innstillingen for eksempeldeling på en enhet.

Denne regelen bør være en utbedring av konfigurasjonselementet for samsvarsregler som angir verdien for en registernøkkel på målrettede enheter for å sikre at de samsvarer med samsvar.

Konfigurasjonen angis gjennom følgende registernøkkeloppføring:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Der nøkkeltype er en D-WORD. Mulige verdier er:

• 0: Tillater ikke eksempeldeling fra denne enheten
• 1: Tillater deling av alle filtyper fra denne enheten

Standardverdien i tilfelle registernøkkelen ikke finnes, er 1.

Hvis du vil ha mer informasjon om System Center Configuration Manager Compliance, kan du se Innføring i samsvarsinnstillinger i System Center 2012 R2 Configuration Manager.

Om bord på Windows-enheter ved hjelp av Microsoft Configuration Manager

Oppretting av samling

Distribusjonen kan målrette mot en eksisterende samling, eller en ny samling kan opprettes for testing for å få windows-enheter med Microsoft Configuration Manager.

Pålasting ved hjelp av verktøy som gruppepolicy eller en manuell metode installerer ingen agenter på systemet.

Innenfor Microsoft Configuration Manager-konsollen konfigureres pålastingsprosessen som en del av samsvarsinnstillingene i konsollen.

Alle systemer som mottar denne nødvendige konfigurasjonen, opprettholder denne konfigurasjonen så lenge den Configuration Manager klienten fortsetter å motta denne policyen fra administrasjonspunktet.

Følg disse trinnene for å legge inn endepunkter ved hjelp av Microsoft Configuration Manager:

1. Naviger til aktiva og enhetssamlinger for samsvarsoversikt >>i Microsoft Configuration Manager-konsollen.

   

2. Velg og hold (eller høyreklikk) Enhetssamling, og velg Opprett Enhetssamling.

   

3. Angi et navn og begrens samling, og velg deretter Neste.

   

4. Velg Legg til regel , og velg Spørringsregel.

   

5. Velg Neste i veiviseren for direkte medlemskap , og velg deretter Rediger spørringssetning.

   

6. Velg Vilkår , og velg deretter stjerneikonet.

   

7. Behold vilkårstypen som enkel verdi, velg mens operativsystem – byggnummer, operator som er større enn eller lik og verdi 14393, og velg OK.

   

8. Velg Neste og Lukk.

   

9. Velg Neste.

   

Når du har fullført denne oppgaven, har du en enhetssamling med alle Windows-endepunktene i miljøet.

Andre anbefalte konfigurasjonsinnstillinger

Etter pålasting av enheter til tjenesten, er det viktig å dra nytte av de inkluderte funksjonene for trusselbeskyttelse ved å aktivere dem med følgende anbefalte konfigurasjonsinnstillinger.

Konfigurasjon av enhetssamling

Hvis du bruker Configuration Manager, versjon 2002 eller nyere, kan du velge å utvide distribusjonen til å inkludere servere eller klienter på nednivå.

Neste generasjons beskyttelseskonfigurasjon

Følgende konfigurasjonsinnstillinger anbefales:

Skanne

• Skann flyttbare lagringsenheter, for eksempel USB-stasjoner: Ja

Sanntidsbeskyttelse

• Aktiver atferdsovervåking: Ja
• Aktiver beskyttelse mot potensielt uønskede programmer ved nedlasting og før installasjonen: Ja

Cloud Protection Service

• Medlemskapstype for Cloud Protection Service: Avansert medlemskap

Reduksjon av angrepsoverflaten

Konfigurer alle tilgjengelige regler til overvåking.

Obs!

Blokkering av disse aktivitetene kan avbryte legitime forretningsprosesser. Den beste fremgangsmåten er å sette alt til overvåking, identifisere hvilke som er trygge å slå på, og deretter aktivere disse innstillingene på endepunkter som ikke har falske positive gjenkjenninger.

Følg fremgangsmåten for å distribuere policyer for reduksjon av Microsoft Defender antivirus- og angrepsoverflate gjennom Microsoft Configuration Manager (SCCM):

• Aktiver Endpoint Protection og konfigurer egendefinerte klientinnstillinger.
• Installer Endpoint Protection-klienten fra en ledetekst.
• Kontroller installasjonen av Endpoint Protection-klienten.

Aktiver Endpoint Protection og konfigurer egendefinerte klientinnstillinger

Følg trinnene for å aktivere endepunktbeskyttelse og konfigurasjon av egendefinerte klientinnstillinger:

1. Klikk Administrasjon i Configuration Manager-konsollen.

2. Klikk Klientinnstillinger i administrasjonsarbeidsområdet.

3. Klikk Opprett Innstillinger for egendefinert klientenhet i Opprett-gruppen på Hjem-fanen.

4. Skriv inn et navn og en beskrivelse for gruppen med innstillinger i dialogboksen Opprett Innstillinger for egendefinert klientenhet, og velg deretter Endpoint Protection.

5. Konfigurer klientinnstillingene for Endpoint Protection som du trenger. Hvis du vil ha en fullstendig liste over klientinnstillinger for Endpoint Protection som du kan konfigurere, kan du se delen Endpoint Protection i Om klientinnstillinger.

   Viktig

   Installer systemrollen for Endpoint Protection-området før du konfigurerer klientinnstillinger for Endpoint Protection.

6. Klikk OK for å lukke dialogboksen Opprett Innstillinger for egendefinert klientenhet. De nye klientinnstillingene vises i noden Klientinnstillinger i arbeidsområdet for administrasjon .

7. Deretter distribuerer du de egendefinerte klientinnstillingene til en samling. Velg de egendefinerte klientinnstillingene du vil distribuere. Klikk Distribuer i Klientinnstillinger-gruppen på Hjem-fanen.

8. Velg samlingen du vil distribuere klientinnstillingene til, i dialogboksen Velg samling , og klikk deretter OK. Den nye distribusjonen vises i kategorien Distribusjoner i detaljruten.

Klienter konfigureres med disse innstillingene når de laster ned klientpolicyen neste gang. Hvis du vil ha mer informasjon, kan du se Start policyhenting for en Configuration Manager-klient.

Obs!

For Windows Server 2012 R2 og Windows Server 2016 som administreres av Configuration Manager 2207 og nyere versjoner, kan du ta i bruk innstillingen Microsoft Defender for endepunkt (MDE) klient (anbefales). Du kan også bruke eldre versjoner av Configuration Manager til å utføre en overføring. Hvis du vil ha mer informasjon, kan du se Overføre servere fra Microsoft Monitoring Agent til den enhetlige løsningen.

Installasjon av Endpoint Protection-klient fra en ledetekst

Følg trinnene for å fullføre installasjonen av endepunktbeskyttelsesklienten fra ledeteksten.

1. Kopier scepinstall.exe fra klientmappen i Configuration Manager installasjonsmappen til datamaskinen der du vil installere klientprogramvaren for Endpoint Protection.

2. Åpne en ledetekst som administrator. Endre katalogen til mappen med installasjonsprogrammet. scepinstall.exeKjør deretter , og legg til eventuelle ekstra kommandolinjeegenskaper du trenger:

   Egenskapen	Beskrivelse
   /s	Kjør installasjonsprogrammet stille
   /q	Pakk ut installasjonsfilene stille
   /i	Kjør installasjonsprogrammet normalt
   /policy	Angi en policyfil for beskyttelse mot skadelig programvare for å konfigurere klienten under installasjonen
   /sqmoptin	Meld deg på Microsofts program for forbedret kundeopplevelse

3. Følg instruksjonene på skjermen for å fullføre klientinstallasjonen.

4. Hvis du lastet ned den nyeste oppdateringsdefinisjonspakken, kopierer du pakken til klientdatamaskinen og dobbeltklikker definisjonspakken for å installere den.

   Obs!

   Når endepunktbeskyttelsesklienten er fullført, utfører klienten automatisk en kontroll av definisjonsoppdatering. Hvis denne oppdateringskontrollen lykkes, trenger du ikke å installere den nyeste oppdateringspakken for definisjonen manuelt.

Eksempel: Installere klienten med en policy for beskyttelse mot skadelig programvare

scepinstall.exe /policy <full path>\<policy file>

Bekreft installasjonen av Endpoint Protection-klienten

Når du har installert Endpoint Protection-klienten på referansedatamaskinen, må du kontrollere at klienten fungerer som den skal.

1. Åpne System Center Endpoint Protection fra systemstatusfeltet i Windows på referansedatamaskinen.
2. Kontroller at sanntidsbeskyttelse er satt til På på fanen Hjem i dialogboksen System Center Endpoint Protection.
3. Kontroller at oppdatert vises for virus- og spionprogramdefinisjoner.
4. Hvis du vil forsikre deg om at referansedatamaskinen er klar for bildebehandling, velger du Full under Skannealternativer, og deretter klikker du Skann nå.

Nettverksbeskyttelse

Før du aktiverer nettverksbeskyttelse i overvåkings- eller blokkeringsmodus, må du kontrollere at du har installert plattformen for beskyttelse mot skadelig programvare, som kan hentes fra støttesiden.

Kontrollert mappetilgang

Aktiver funksjonen i overvåkingsmodus i minst 30 dager. Etter denne perioden kan du se gjennom gjenkjenninger og opprette en liste over programmer som har tillatelse til å skrive til beskyttede kataloger.

Hvis du vil ha mer informasjon, kan du se Evaluer kontrollert mappetilgang.

Kjør en gjenkjenningstest for å bekrefte pålasting

Når du har pålastet enheten, kan du velge å kjøre en gjenkjenningstest for å bekrefte at en enhet er riktig pålastet tjenesten. Hvis du vil ha mer informasjon, kan du se Kjøre en gjenkjenningstest på en nylig pålastet Microsoft Defender for endepunkt enhet.

Eksterne enheter som bruker Configuration Manager

Av sikkerhetsårsaker utløper pakken som brukes til offboard-enheter, 30 dager etter datoen den ble lastet ned. Utløpte offboarding-pakker som sendes til en enhet, blir avvist. Når du laster ned en offboarding-pakke, blir du varslet om utløpsdatoen for pakkene, og den blir også inkludert i pakkenavnet.

Obs!

Pålastings- og avlastingspolicyer må ikke distribueres på samme enhet samtidig, ellers vil dette føre til uforutsigbare kollisjoner.

Offboard-enheter som bruker Microsoft Configuration Manager gjeldende gren

Hvis du bruker Microsoft Configuration Manager gjeldende gren, kan du se Opprett en offboarding-konfigurasjonsfil.

Offboard-enheter som bruker System Center 2012 R2 Configuration Manager

1. Hent offboarding-pakken fra Microsoft Defender portal:

   1. Velg Innstillinger>endepunkter enhetsbehandling>>offboarding i navigasjonsruten.
   2. Velg Windows 10 eller Windows 11 som operativsystem.
   3. Velg Systemsenter Configuration Manager 2012/2012 R2/1511/1602 i distribusjonsmetodefeltet.
   4. Velg Last ned pakke, og lagre .zip filen.

2. Pakk ut innholdet i .zip-filen til en delt, skrivebeskyttet plassering som nettverksadministratorene kan få tilgang til. Du bør ha en fil med navnet WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

3. Distribuer pakken ved å følge trinnene i artikkelen Pakker og programmer i System Center 2012 R2 Configuration Manager.

   Velg en forhåndsdefinert enhetssamling å distribuere pakken til.

Viktig

Avlasting fører til at enheten slutter å sende sensordata til portalen, men data fra enheten, inkludert referanse til eventuelle varsler den har hatt, beholdes i opptil 6 måneder.

Overvåk enhetskonfigurasjon

Hvis du bruker Microsoft Configuration Manager gjeldende gren, kan du bruke det innebygde instrumentbordet for Defender for Endpoint i Configuration Manager-konsollen. Hvis du vil ha mer informasjon, kan du se Defender for Endpoint – Monitor.

Hvis du bruker System Center 2012 R2 Configuration Manager, består overvåking av to deler:

1. Bekrefter at konfigurasjonspakken er riktig distribuert og kjører (eller har kjørt) på enhetene i nettverket.

2. Kontroller at enhetene er kompatible med Defender for Endpoint-tjenesten (dette sikrer at enheten kan fullføre pålastingsprosessen og kan fortsette å rapportere data til tjenesten).

Bekreft at konfigurasjonspakken er riktig distribuert

1. Klikk Overvåking nederst i navigasjonsruten i Configuration Manager-konsollen.

2. Velg Oversikt og deretter Distribusjoner.

3. Velg distribusjonen med pakkenavnet.

4. Se gjennom statusindikatorene under Fullføringsstatistikk og Innholdsstatus.

   Hvis det finnes mislykkede distribusjoner (enheter med feil, krav ikke oppfylt eller mislykkede statuser), må du kanskje feilsøke enhetene. Hvis du vil ha mer informasjon, kan du se Feilsøke Microsoft Defender for endepunkt pålastingsproblemer.

   

Kontroller at enhetene er kompatible med Microsoft Defender for endepunkt-tjenesten

Du kan angi en samsvarsregel for konfigurasjonselement i System Center 2012 R2 Configuration Manager for å overvåke distribusjonen.

Denne regelen bør være et ikke-utbedring av konfigurasjonselement for samsvarsregler som overvåker verdien av en registernøkkel på målrettede enheter.

Overvåk følgende registernøkkeloppføring:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Hvis du vil ha mer informasjon, kan du se Innføring i samsvarsinnstillinger i System Center 2012 R2 Configuration Manager.

Beslektede emner

• Om bord på Windows-enheter ved hjelp av gruppepolicy
• Om bord på Windows-enheter ved hjelp av Mobile Enhetsbehandling-verktøy
• Om bord på Windows-enheter ved hjelp av et lokalt skript
• Innebygde VDI-enheter (Virtual Desktop Infrastructure)
• Kjøre en gjenkjenningstest på en nylig pålastet Microsoft Defender for endepunkt enhet
• Feilsøke Microsoft Defender for endepunkt pålastingsproblemer

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.