Installer en Microsoft Defender for identitet sensor
Denne artikkelen beskriver hvordan du installerer en Microsoft Defender for identitet sensor, inkludert en frittstående sensor. Standardanbefalingen er å bruke brukergrensesnittet. Imidlertid:
Når du installerer sensoren på Windows Server Core eller distribuerer sensoren via et programvaredistribusjonssystem, følger du fremgangsmåten for stille installasjon i stedet.
Hvis du bruker en proxy, anbefaler vi at du installerer sensoren og konfigurerer proxyen sammen fra kommandolinjen. Hvis du trenger å oppdatere proxy-innstillingene senere, kan du bruke PowerShell eller Azure CLI. Hvis du vil ha mer informasjon, kan du se Konfigurere proxy- og Internett-tilkoblingsinnstillinger for endepunkt.
Før du begynner, må du kontrollere at du har:
En nedlastet kopi av konfigurasjonspakken defender for identitetssensor og tilgangsnøkkelen.
Microsoft .NET Framework 4.7 eller nyere installert på maskinen. Hvis Microsoft .NET Framework 4.7 eller nyere ikke er installert, installerer konfigurasjonspakken defender for identity sensor den. Installasjon fra installasjonspakken kan kreve en omstart av serveren.
Relevante serverspesifikasjoner og nettverkskrav. Hvis du vil ha mer informasjon, kan du se:
Klarerte rotsertifikater på maskinen. Hvis de klarerte sertifikatene for rotsertifiseringsinstansen mangler, kan det hende du får en tilkoblingsfeil.
Utfør følgende trinn på domenekontrolleren, Active Directory Federation Services (AD FS)-server eller Active Directory Certificate Services (AD CS)-server.
Kontroller at maskinen har tilkobling til relevante endepunkter for Defender for Identity-skytjenesten.
Pakk ut installasjonsfilene fra .zip-filen. Installasjonen direkte fra .zip-filen mislykkes.
Kjør Azure ATP-sensoren setup.exe med utvidede rettigheter (Kjør som administrator), og følg konfigurasjonsveiviseren.
Velg språket ditt på velkomstsiden , og velg deretter Neste.
Installasjonsveiviseren kontrollerer automatisk om serveren er en domenekontroller, en AD FS-server, en AD CS-server eller en dedikert server. Servertypen bestemmer sensortypen:
- Hvis serveren er en domenekontroller, AD FS-server eller AD CS-server, installeres Defender for Identity-sensoren.
- Hvis serveren er dedikert, installeres den frittstående Defender for Identity-sensoren.
Veiviseren viser for eksempel følgende side for å angi at en Defender for Identity-sensor er installert på domenekontrollere.
Velg Neste.
Veiviseren utsteder en advarsel hvis domenekontrolleren, AD FS-serveren, AD CS-serveren eller den dedikerte serveren ikke oppfyller minimumskravene for maskinvare for installasjonen.
Advarselen hindrer deg ikke i å velge Neste og fortsette med installasjonen, som fortsatt kan være det riktige alternativet. Du trenger for eksempel mindre plass til datalagring når du installerer et lite øvelsestestmiljø.
For produksjonsmiljøer anbefaler vi på det sterkeste å arbeide med skaleringsverktøyet Defender for identitet for å sikre at domenekontrollere eller dedikerte servere oppfyller kapasitetskravene.
Skriv inn følgende informasjon for installasjonspakken på siden Konfigurer sensor :
-
Installasjonsbane: Plasseringen der Defender for Identity-sensoren er installert. Som standard er
%programfiles%\Azure Advanced Threat Protection sensor
banen . La standardverdien være. - Tilgangsnøkkel: Hentet fra Microsoft Defender-portalen i et tidligere trinn.
-
Installasjonsbane: Plasseringen der Defender for Identity-sensoren er installert. Som standard er
Velg Installer. Følgende komponenter installeres og konfigureres under installasjonen av Defender for Identity-sensoren:
Defender for identity sensor service og Defender for Identity sensor updater service
Npcap OEM versjon 1.0
Viktig
Npcap OEM versjon 1.0 installeres automatisk hvis ingen annen versjon av Npcap finnes. Hvis du allerede har Npcap installert på grunn av andre programvarekrav eller av en annen grunn, må du kontrollere at det er versjon 1.0 eller nyere, og at det har de nødvendige innstillingene for Defender for Identity.
Fra og med sensorversjon 2.176, når du installerer sensoren fra en ny pakke, vises versjonen under Legg til / fjern programmer med hele nummeret, for eksempel 2.176.x.y. Tidligere ble versjonen vist som den statiske 2.0.0.0.
Den installerte versjonen vises fortsatt selv etter at Defender for Identity-skytjenestene kjører automatiske oppdateringer.
Vis sensorens virkelige versjon på siden for Microsoft Defender XDR sensorinnstillinger, i den kjørbare banen eller i filversjonen.
Defender for Identity stille installasjon for sensorer er konfigurert til automatisk å starte serveren på slutten av installasjonen, om nødvendig.
Planlegg en stille installasjon bare under et vedlikeholdsvindu. På grunn av en Windows Installer-feil kan du ikke bruke norestart
flagget på en pålitelig måte for å sikre at serveren ikke starter på nytt.
Hvis du vil spore distribusjonsfremdriften, overvåker du påloggingsloggene for %localappdata%\Temp
Defender for Identity-installasjonsprogrammet.
Når du i stillhet distribuerer en Defender for Identity-sensor via System Center Configuration Manager eller et annet programvaredistribusjonssystem, anbefaler vi at du oppretter to distribusjonspakker:
- .NET Framework 4.7 eller nyere, som kan omfatte omstart av domenekontrolleren
- Defender for Identitet-sensoren
Gjør defender for identitetssensorpakken avhengig av distribusjonen av .NET Framework pakkedistribusjonen. Om nødvendig kan du få .NET Framework 4.7 frakoblet distribusjonspakke.
Bruk følgende kommandoer til å utføre en fullstendig stille installasjon av Defender for Identity-sensoren ved hjelp av tilgangsnøkkelen du kopierte i et tidligere trinn.
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"
.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"
Obs!
Når du bruker PowerShell-syntaksen, vil det å .\
utelate forordet resultere i en feil som forhindrer stille installasjon.
Navn | Syntaks | Obligatorisk for stille installasjon? | Beskrivelse |
---|---|---|---|
Quiet |
/quiet |
Ja | Kjører installasjonsprogrammet uten å vise brukergrensesnittet eller ledetekster. |
Help |
/help |
Nei | Gir hjelp og hurtigreferanse. Viser riktig bruk av installasjonskommandoen, inkludert en liste over alle alternativer og virkemåter. |
NetFrameworkCommandLineArguments="/q" |
NetFrameworkCommandLineArguments="/q" |
Ja | Angir parameterne for .NET Framework installasjonen. Må angis for å fremtvinge stille installasjon av .NET Framework. |
Navn | Syntaks | Obligatorisk for stille installasjon? | Beskrivelse |
---|---|---|---|
InstallationPath |
InstallationPath="" |
Nei | Angir banen for installasjon av Defender for identitetssensorbinærer. Standardbane: %programfiles%\Azure Advanced Threat Protection Sensor . |
AccessKey |
AccessKey="\*\*" |
Ja | Angir tilgangsnøkkelen som brukes til å registrere Defender for Identity-sensoren med Defender for Identity-arbeidsområdet. |
AccessKeyFile |
AccessKeyFile="" |
Nei | Angir tilgangsnøkkelen for arbeidsområdet fra den angitte tekstfilbanen. |
DelayedUpdate |
DelayedUpdate=true |
Nei | Angir sensorens oppdateringsmekanisme for å forsinke oppdateringen i 72 timer fra den offisielle utgivelsen av hver tjenesteoppdatering. Hvis du vil ha mer informasjon, kan du se Forsinket sensoroppdatering. |
LogsPath |
LogsPath="" |
Nei | Angir banen for defender for identitetssensorlogger. Standardbane: %programfiles%\Azure Advanced Threat Protection Sensor . |
Bruk følgende kommandoer til å stille installere Defender for Identity-sensoren:
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"
Bruk følgende kommando til å konfigurere proxyen sammen med en stille installasjon:
"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`
Obs!
Hvis du tidligere har konfigurert proxyen ved hjelp av eldre alternativer, inkludert WinINet eller en oppdatering av registernøkkelen, må du gjøre endringer med samme metode som du opprinnelig brukte. Hvis du vil ha mer informasjon, kan du se Endre proxy-konfigurasjon ved hjelp av eldre metoder.
Navn | Syntaks | Obligatorisk for stille installasjon? | Beskrivelse |
---|---|---|---|
ProxyUrl |
ProxyUrl="http://proxy.contoso.com:8080" |
Nei | Angir URL-adressen til proxyen og portnummeret for Defender for Identity-sensoren. |
ProxyUserName |
ProxyUserName="Contoso\ProxyUser" |
Nei | Hvis proxy-tjenesten krever godkjenning, definerer du et brukernavn i DOMAIN\user formatet. |
ProxyUserPassword |
ProxyUserPassword="P@ssw0rd" |
Nei | Angir passordet for proxy-brukernavnet. Defender for Identity-sensoren krypterer legitimasjon og lagrer dem lokalt. |
Tips
Hvis du trenger å oppdatere proxy-innstillingene senere, kan du bruke PowerShell eller Azure CLI. Hvis du vil ha mer informasjon, kan du se Konfigurere proxy- og Internett-tilkoblingsinnstillinger for endepunkt. Vi anbefaler at du oppretter og bruker en egendefinert DNS A-post for proxy-serveren. Deretter kan du bruke denne posten til å endre adressen til proxy-serveren når det er nødvendig, og bruke vertsfilen til testing.
Når du har installert en sensor, kan du følge ekstra trinn:
Hvis du installerte sensoren på en AD FS- eller AD CS-server, kan du se trinnene etter installasjonen (valgfritt).
Hvis du har installert en frittstående sensor, kan du se: