Windows-apparaten onboarden met Configuration Manager

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR
• Microsoft Configuration Manager huidige vertakking
• System Center 2012 R2 Configuration Manager

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Vereisten

• Sitesysteemrol Endpoint Protection-punt

Belangrijk

De sitesysteemrol Endpoint Protection-punt is vereist, zodat het beleid voor het verminderen van antivirus- en kwetsbaarheid voor aanvallen correct wordt geïmplementeerd op de doeleindpunten. Zonder deze rol ontvangen de eindpunten in de apparaatverzameling niet het geconfigureerde antivirus- en kwetsbaarheidsbeperkingsbeleid.

U kunt Configuration Manager gebruiken om eindpunten te onboarden bij de Microsoft Defender voor Eindpunt-service.

Er zijn verschillende opties die u kunt gebruiken om apparaten te onboarden met behulp van Configuration Manager:

• Apparaten onboarden met System Center Configuration Manager
• Tenantkoppeling

Voor Windows Server 2012 R2 en Windows Server 2016: nadat u de onboardingstappen hebt voltooid, moet u System Center Endpoint Protection clients configureren en bijwerken.

Opmerking

Defender voor Eindpunt biedt geen ondersteuning voor onboarding tijdens de Out-Of-Box Experience-fase (OOBE). Zorg ervoor dat gebruikers OOBE voltooien na het uitvoeren van windows-installatie of een upgrade.

Houd er rekening mee dat het mogelijk is om een detectieregel te maken voor een Configuration Manager toepassing om continu te controleren of een apparaat is onboarded. Een toepassing is een ander type object dan een pakket en programma. Als een apparaat nog niet is onboarded (vanwege OOBE-voltooiing in behandeling of een andere reden), probeert Configuration Manager het apparaat opnieuw te onboarden totdat de regel de statuswijziging detecteert.

Dit gedrag kan worden bereikt door een detectieregel te maken die controleert of de registerwaarde 'OnboardingState' (van het type REG_DWORD) = 1 is. Deze registerwaarde bevindt zich onder HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status. Zie Detectiemethoden configureren in System Center 2012 R2 Configuration Manager voor meer informatie.

Instellingen voor voorbeeldverzameling configureren

Voor elk apparaat kunt u een configuratiewaarde instellen om aan te geven of voorbeelden van het apparaat kunnen worden verzameld wanneer een aanvraag wordt gedaan via Microsoft Defender XDR om een bestand in te dienen voor diepgaande analyse.

Opmerking

Deze configuratie-instellingen worden doorgaans uitgevoerd via Configuration Manager.

U kunt een nalevingsregel instellen voor configuratie-item in Configuration Manager om de voorbeeldshare-instelling op een apparaat te wijzigen.

Deze regel moet een configuratie-item voor het herstellen van de nalevingsregel zijn waarmee de waarde van een registersleutel op doelapparaten wordt ingesteld om ervoor te zorgen dat ze compatibel zijn.

De configuratie wordt ingesteld via de volgende registersleutelvermelding:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Waarbij sleuteltype een D-WORD is. Mogelijke waarden zijn:

• 0: Het delen van voorbeelden vanaf dit apparaat is niet toegestaan
• 1: Hiermee kunt u alle bestandstypen vanaf dit apparaat delen

De standaardwaarde voor het geval de registersleutel niet bestaat, is 1.

Zie Inleiding tot nalevingsinstellingen in System Center 2012 R2 Configuration Manager voor meer informatie over Naleving van System Center Configuration Manager.

Windows-apparaten onboarden met Microsoft Configuration Manager

Verzameling maken

Als u Windows-apparaten wilt onboarden met Microsoft Configuration Manager, kan de implementatie gericht zijn op een bestaande verzameling of kan een nieuwe verzameling worden gemaakt om te worden getest.

Onboarding met behulp van hulpprogramma's zoals groepsbeleid of een handmatige methode installeert geen agents op het systeem.

In de Microsoft Configuration Manager-console wordt het onboardingproces geconfigureerd als onderdeel van de nalevingsinstellingen in de console.

Elk systeem dat deze vereiste configuratie ontvangt, behoudt die configuratie zolang de Configuration Manager client dit beleid van het beheerpunt blijft ontvangen.

Volg deze stappen om eindpunten te onboarden met behulp van Microsoft Configuration Manager:

1. Navigeer in de Microsoft Configuration Manager-console naar Apparaatverzamelingen met het overzicht > van assets en naleving>.

   

2. Selecteer Apparaatverzameling en houd deze vast (of klik erop met de rechtermuisknop) en selecteer Creatie Apparaatverzameling.

   

3. Geef een naam en verzameling beperken op en selecteer vervolgens Volgende.

   

4. Selecteer Regel toevoegen en kies Queryregel.

   

5. Selecteer Volgende in de wizard Direct lidmaatschap en selecteer vervolgens Query-instructie bewerken.

   

6. Selecteer Criteria en kies vervolgens het pictogram star.

   

7. Houd criteriumtype als eenvoudige waarde, kies besturingssysteem - buildnummer, operator als groter dan of gelijk is aan en waarde 14393 en selecteer OK.

   

8. Selecteer Volgende en Sluiten.

   

9. Selecteer Volgende.

   

Nadat u deze taak hebt voltooid, hebt u een apparaatverzameling met alle Windows-eindpunten in de omgeving.

Andere aanbevolen configuratie-instellingen

Na het onboarden van apparaten voor de service is het belangrijk om te profiteren van de meegeleverde mogelijkheden voor bedreigingsbeveiliging door ze in te schakelen met de volgende aanbevolen configuratie-instellingen.

Configuratie van apparaatverzameling

Als u Configuration Manager, versie 2002 of hoger gebruikt, kunt u ervoor kiezen om de implementatie uit te breiden met servers of downlevel clients.

Beveiligingsconfiguratie van de volgende generatie

De volgende configuratie-instellingen worden aanbevolen:

Scan

• Verwisselbare opslagapparaten zoals USB-stations scannen: Ja

Realtime-beveiliging

• Gedragsbewaking inschakelen: Ja
• Beveiliging tegen mogelijk ongewenste toepassingen bij het downloaden en vóór de installatie inschakelen: Ja

Cloud Protection Service

• Lidmaatschapstype cloudbeveiligingsservice: Geavanceerd lidmaatschap

Kwetsbaarheid voor aanvallen verminderen

Configureer alle beschikbare regels voor Controle.

Opmerking

Het blokkeren van deze activiteiten kan legitieme bedrijfsprocessen onderbreken. De beste aanpak is om alles in te stellen op controle, te bepalen welke veilig zijn om in te schakelen en vervolgens die instellingen in te schakelen op eindpunten die geen fout-positieve detecties hebben.

Voor het implementeren van Microsoft Defender Antivirus- en kwetsbaarheidsbeperkingsbeleid via Microsoft Configuration Manager (SCCM) volgt u de stappen:

• Schakel Endpoint Protection in en configureer aangepaste clientinstellingen.
• Installeer de Endpoint Protection-client vanaf een opdrachtprompt.
• Controleer de installatie van de Endpoint Protection-client.

Endpoint Protection inschakelen en aangepaste clientinstellingen configureren

Volg de stappen om eindpuntbeveiliging en configuratie van aangepaste clientinstellingen in te schakelen:

1. Klik in de Configuration Manager-console op Beheer.

2. Klik in de werkruimte Beheer op Clientinstellingen.

3. Klik op het tabblad Start in de groep Creatie op Creatie Aangepaste clientapparaatinstellingen.

4. Geef in het dialoogvenster Aangepaste clientapparaatinstellingen Creatie een naam en een beschrijving op voor de groep instellingen en selecteer vervolgens Endpoint Protection.

5. Configureer de endpoint protection-clientinstellingen die u nodig hebt. Zie de sectie Endpoint Protection in Over clientinstellingen voor een volledige lijst met Endpoint Protection-clientinstellingen die u kunt configureren.

   Belangrijk

   Installeer de sitesysteemrol Endpoint Protection voordat u clientinstellingen configureert voor Endpoint Protection.

6. Klik op OK om het dialoogvenster Aangepaste clientapparaatinstellingen te sluiten Creatie. De nieuwe clientinstellingen worden weergegeven in het knooppunt Clientinstellingen van de werkruimte Beheer .

7. Implementeer vervolgens de aangepaste clientinstellingen in een verzameling. Selecteer de aangepaste clientinstellingen die u wilt implementeren. Klik op het tabblad Start in de groep Clientinstellingen op Implementeren.

8. Kies in het dialoogvenster Verzameling selecteren de verzameling waarvoor u de clientinstellingen wilt implementeren en klik vervolgens op OK. De nieuwe implementatie wordt weergegeven op het tabblad Implementaties van het detailvenster.

Clients worden geconfigureerd met deze instellingen wanneer ze vervolgens clientbeleid downloaden. Zie Het ophalen van beleid voor een Configuration Manager-client initiëren voor meer informatie.

Installatie van Endpoint Protection-client vanaf een opdrachtprompt

Volg de stappen om de installatie van de Endpoint Protection-client te voltooien vanaf de opdrachtprompt.

1. Kopieer scepinstall.exe uit de map Client van de Configuration Manager installatiemap naar de computer waarop u de Endpoint Protection-clientsoftware wilt installeren.

2. Open een opdrachtprompt-venster als beheerder. Wijzig de map in de map met het installatieprogramma. Voer vervolgens uit scepinstall.exeen voeg eventuele extra opdrachtregeleigenschappen toe die u nodig hebt:

   Eigenschap	Beschrijving
   /s	Voer het installatieprogramma op de achtergrond uit
   /q	De installatiebestanden op de achtergrond uitpakken
   /i	Voer het installatieprogramma normaal uit
   /policy	Geef een antimalwarebeleidsbestand op om de client tijdens de installatie te configureren
   /sqmoptin	Aanmelden voor het Microsoft-programma voor kwaliteitsverbetering (CEIP)

3. Volg de instructies op het scherm om de clientinstallatie te voltooien.

4. Als u het meest recente updatedefinitiepakket hebt gedownload, kopieert u het pakket naar de clientcomputer en dubbelklikt u vervolgens op het definitiepakket om het te installeren.

   Opmerking

   Nadat de installatie van de Endpoint Protection-client is voltooid, voert de client automatisch een definitie-updatecontrole uit. Als deze updatecontrole slaagt, hoeft u het meest recente definitie-updatepakket niet handmatig te installeren.

Voorbeeld: de client installeren met een antimalwarebeleid

scepinstall.exe /policy <full path>\<policy file>

De installatie van de Endpoint Protection-client controleren

Nadat u de Endpoint Protection-client op uw referentiecomputer hebt geïnstalleerd, controleert u of de client correct werkt.

1. Open op de referentiecomputer System Center Endpoint Protection vanuit het Windows-systeemvak.
2. Controleer op het tabblad Start van het dialoogvenster System Center Endpoint Protection of Realtime-beveiliging is ingesteld op Aan.
3. Controleer of er up-to-date wordt weergegeven voor virus- en spywaredefinities.
4. Als u ervoor wilt zorgen dat uw referentiecomputer gereed is voor imaging, selecteert u onder Scanoptiesde optie Volledig en klikt u vervolgens op Nu scannen.

Netwerkbeveiliging

Voordat u netwerkbeveiliging inschakelt in de audit- of blokkeringsmodus, moet u ervoor zorgen dat u de update van het antimalwareplatform hebt geïnstalleerd, die u kunt vinden op de ondersteuningspagina.

Gecontroleerde mappentoegang

Schakel de functie ten minste 30 dagen in in de controlemodus. Controleer na deze periode de detecties en maak een lijst met toepassingen die mogen schrijven naar beveiligde mappen.

Zie Gecontroleerde maptoegang evalueren voor meer informatie.

Een detectietest uitvoeren om onboarding te controleren

Nadat u het apparaat hebt onboarden, kunt u ervoor kiezen om een detectietest uit te voeren om te controleren of een apparaat correct is onboarding voor de service. Zie Een detectietest uitvoeren op een nieuw onboarded Microsoft Defender voor Eindpunt-apparaat voor meer informatie.

Offboard-apparaten met Configuration Manager

Om veiligheidsredenen verloopt het pakket dat wordt gebruikt voor offboard-apparaten 30 dagen na de datum waarop het is gedownload. Verlopen offboardingpakketten die naar een apparaat worden verzonden, worden geweigerd. Wanneer u een offboarding-pakket downloadt, wordt u op de hoogte gesteld van de vervaldatum van de pakketten en wordt deze ook opgenomen in de pakketnaam.

Opmerking

Onboarding- en offboarding-beleid mag niet tegelijkertijd op hetzelfde apparaat worden geïmplementeerd, anders veroorzaakt dit onvoorspelbare botsingen.

Offboard-apparaten met Microsoft Configuration Manager current branch

Als u Microsoft Configuration Manager current branch gebruikt, raadpleegt u Creatie een offboarding-configuratiebestand.

Offboard-apparaten met System Center 2012 R2 Configuration Manager

1. Download het offboarding-pakket vanuit Microsoft Defender portal:

   1. Selecteer in het navigatiedeelvenster Instellingen>Eindpunten>Offboardingvan apparaatbeheer>.
   2. Selecteer Windows 10 of Windows 11 als het besturingssysteem.
   3. Selecteer system center Configuration Manager 2012/2012 R2/1511/1602 in het veld Implementatiemethode.
   4. Selecteer Pakket downloaden en sla het .zip bestand op.

2. Pak de inhoud van het .zip-bestand uit op een gedeelde, alleen-lezen locatie die toegankelijk is voor de netwerkbeheerders die het pakket gaan implementeren. U moet een bestand hebben met de naam WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

3. Implementeer het pakket door de stappen te volgen in het artikel Pakketten en programma's in System Center 2012 R2 Configuration Manager.

   Kies een vooraf gedefinieerde apparaatverzameling om het pakket naar te implementeren.

Belangrijk

Offboarding zorgt ervoor dat het apparaat stopt met het verzenden van sensorgegevens naar de portal, maar gegevens van het apparaat, inclusief verwijzingen naar eventuele waarschuwingen die het heeft gehad, worden maximaal 6 maanden bewaard.

Apparaatconfiguratie bewaken

Als u Microsoft Configuration Manager huidige vertakking gebruikt, gebruikt u het ingebouwde Defender voor Eindpunt-dashboard in de Configuration Manager-console. Zie Defender voor Eindpunt - Monitor voor meer informatie.

Als u System Center 2012 R2 gebruikt Configuration Manager, bestaat de bewaking uit twee onderdelen:

1. Controleren of het configuratiepakket correct is geïmplementeerd en wordt uitgevoerd (of is uitgevoerd) op de apparaten in uw netwerk.

2. Controleren of de apparaten compatibel zijn met de Defender for Endpoint-service (dit zorgt ervoor dat het apparaat het onboardingproces kan voltooien en gegevens kan blijven rapporteren aan de service).

Controleer of het configuratiepakket correct is geïmplementeerd

1. Klik in de Configuration Manager-console op Bewaking onder aan het navigatiedeelvenster.

2. Selecteer Overzicht en vervolgens Implementaties.

3. Selecteer de implementatie met de pakketnaam.

4. Bekijk de statusindicatoren onder Voltooiingsstatistieken en Inhoudsstatus.

   Als er mislukte implementaties zijn (apparaten met de status Fout, Vereisten niet voldaan of Mislukt), moet u mogelijk problemen met de apparaten oplossen. Zie Problemen met Microsoft Defender voor Eindpunt onboarding oplossen voor meer informatie.

   

Controleer of de apparaten compatibel zijn met de Microsoft Defender voor Eindpunt-service

U kunt een nalevingsregel instellen voor configuratie-item in System Center 2012 R2 Configuration Manager om uw implementatie te bewaken.

Deze regel moet een niet-herstellend configuratie-item voor nalevingsregel zijn waarmee de waarde van een registersleutel op doelapparaten wordt bewaakt.

Controleer de volgende registersleutelvermelding:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Zie Inleiding tot nalevingsinstellingen in System Center 2012 R2 Configuration Manager voor meer informatie.

Verwante onderwerpen

• Windows-apparaten onboarden met behulp van groepsbeleid
• Windows-apparaten onboarden met behulp van Mobile Device Management-hulpmiddelen
• Windows-apparaten onboarden met behulp van een lokaal script
• Onboarden niet-permanente virtual desktop infrastructure (VDI)-apparaten
• Een detectietest uitvoeren op een nieuw onboarded Microsoft Defender voor Eindpunt-apparaat
• Problemen met Microsoft Defender voor Eindpunt onboarding oplossen

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.