Om bord på Windows-enheter ved hjelp av et lokalt skript

  • Artikkel

Gjelder for:

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Du kan også manuelt sette individuelle enheter inn i Defender for endepunkt. Det kan være lurt å ta i bruk noen enheter når du tester tjenesten før du forplikter deg til å pålaste alle enhetene i nettverket.

Viktig

Skriptet som er beskrevet i denne artikkelen, anbefales for manuell pålasting av enheter til Defender for endepunkt. Den skal bare brukes på et begrenset antall enheter. Hvis du distribuerer til et produksjonsmiljø, kan du se andre distribusjonsalternativer, for eksempel Intune, gruppepolicy eller Configuration Manager.

Se Identifiser Defender for endepunktarkitektur og distribusjonsmetode for å se de ulike banene i distribusjonen av Defender for Endpoint.

Innebygde enheter

  1. Åpne konfigurasjonspakken .zip fil (WindowsDefenderATPOnboardingPackage.zip) som du lastet ned fra veiviseren for servicepålasting. Du kan også få pakken fra Microsoft Defender portalen:

    1. VelgOnboarding forenhetsbehandling>>for innstillinger> for endepunkter i navigasjonsruten.

    2. Velg Windows 10 eller Windows 11 som operativsystem.

    3. Velg Lokalt skript i distribusjonsmetodefeltet.

    4. Velg Last ned pakken , og lagre .zip filen.

  2. Trekk ut innholdet i konfigurasjonspakken til en plassering på enheten du vil ta med (for eksempel skrivebordet). Du bør ha en fil med navnet WindowsDefenderATPLocalOnboardingScript.cmd.

  3. Åpne en hevet ledelinjeledetekst på enheten, og kjør skriptet:

    1. Gå til Start og skriv inn cmd.

    2. Høyreklikk ledeteksten, og velg Kjør som administrator.

    Start-menyen i vinduet som peker til Kjør som administrator

  4. Skriv inn plasseringen til skriptfilen. Hvis du kopierte filen til skrivebordet, skriver du inn: %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd

  5. Trykk enter-tasten , eller velg OK.

  6. Skriv inn «Y», og skriv inn når du blir bedt om det.

  7. Når skriptet er fullført, vises «Trykk en tast for å fortsette ...». Trykk på en tast for å fullføre trinnene på enheten.

Hvis du vil ha informasjon om hvordan du manuelt kan validere at enheten er kompatibel og rapporterer sensordata på riktig måte, kan du se Feilsøke Microsoft Defender for endepunkt pålastingsproblemer.

Tips

Når du har pålastet enheten, kan du velge å kjøre en gjenkjenningstest for å bekrefte at en enhet er riktig pålastet tjenesten. Hvis du vil ha mer informasjon, kan du se Kjøre en gjenkjenningstest på et nylig innlastet Microsoft Defender for endepunkt endepunkt.

Konfigurer innstillinger for eksempelsamling

For hver enhet kan du angi en konfigurasjonsverdi for å angi om eksempler kan samles inn fra enheten når en forespørsel gjøres gjennom Microsoft Defender XDR for å sende inn en fil for dyp analyse.

Du kan konfigurere innstillingen for eksempeldeling manuelt på enheten ved hjelp av regedit eller opprette og kjøre en .reg fil.

Konfigurasjonen angis gjennom følgende registernøkkeloppføring:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Der navnetypen er en D-WORD. Mulige verdier er:

  • 0 – tillater ikke eksempeldeling fra denne enheten
  • 1 – tillater deling av alle filtyper fra denne enheten

Standardverdien i tilfelle registernøkkelen ikke finnes, er 1.

Kjør en gjenkjenningstest for å bekrefte pålasting

Når du har pålastet enheten, kan du velge å kjøre en gjenkjenningstest for å bekrefte at en enhet er riktig pålastet tjenesten. Hvis du vil ha mer informasjon, kan du se Kjøre en gjenkjenningstest på en nylig pålastet Microsoft Defender for endepunkt enhet.

Offboard-enheter som bruker et lokalt skript

Av sikkerhetsårsaker utløper pakken som brukes til offboard-enheter, tre dager etter datoen den ble lastet ned. Utløpte offboarding-pakker som sendes til en enhet, avvises. Når du laster ned en offboarding-pakke, blir du varslet om pakkens utløpsdato, og denne datoen er inkludert i pakkefilnavnet.

Obs!

Pålastings- og avlastingspolicyer må ikke distribueres på samme enhet samtidig. Ellers kan det oppstå uforutsigbare kollisjoner.

  1. Hent offboarding-pakken fra Microsoft Defender portal:

    1. Velg Innstillinger>endepunkter enhetsbehandling>>offboarding i navigasjonsruten.

    2. Velg Windows 10 eller Windows 11 som operativsystem.

    3. Velg Lokalt skript i distribusjonsmetodefeltet.

    4. Velg Last ned pakken , og lagre .zip filen.

  2. Pakk ut innholdet i .zip-filen til en delt, skrivebeskyttet plassering som enheter har tilgang til. Du bør ha en fil med navnet WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Åpne en hevet ledelinjeledetekst på enheten, og kjør skriptet:

    1. Gå til Start og skriv inn cmd.

    2. Høyreklikk ledeteksten, og velg Kjør som administrator.

      Startmenyen i Windows som peker til alternativet Kjør som administrator

  4. Skriv inn plasseringen til skriptfilen. Hvis du kopierte filen til skrivebordet, skriver du inn: %userprofile%\Desktop\WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd

  5. Trykk enter-tasten , eller velg OK.

Viktig

Avlasting fører til at enheten slutter å sende sensordata til portalen, men data fra enheten, inkludert referanse til eventuelle varsler den har hatt, beholdes i opptil 6 måneder.

Overvåk enhetskonfigurasjon

Du kan følge de ulike bekreftelsestrinnene i feilsøke pålastingsproblemer for å bekrefte at skriptet er fullført, og at agenten kjører.

Overvåking kan også utføres direkte i portalen, eller ved hjelp av de ulike distribusjonsverktøyene.

Overvåk enheter ved hjelp av portalen

  1. Gå til Microsoft Defender portal.

  2. Velg Enheter-beholdning.

  3. Kontroller at enhetene vises.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.