Udostępnij za pośrednictwem


Instalowanie czujnika usługi Microsoft Defender for Identity

W tym artykule opisano sposób instalowania czujnika usługi Microsoft Defender for Identity, w tym autonomicznego czujnika. Zaleceniem domyślnym jest użycie interfejsu użytkownika. Jednak:

  • Podczas instalowania czujnika w systemie Windows Server Core lub wdrażania czujnika za pośrednictwem systemu wdrażania oprogramowania wykonaj kroki instalacji dyskretnej .

  • Jeśli używasz serwera proxy, zalecamy zainstalowanie czujnika i skonfigurowanie serwera proxy razem z poziomu wiersza polecenia. Jeśli musisz zaktualizować ustawienia serwera proxy później, użyj programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Aby uzyskać więcej informacji, zobacz Konfigurowanie serwera proxy punktu końcowego i ustawień łączności internetowej.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz następujące elementy:

Instalowanie czujnika przy użyciu interfejsu użytkownika

Wykonaj następujące kroki na serwerze kontrolera domeny, usług Active Directory Federation Services (AD FS) lub usług certyfikatów Active Directory (AD CS).

  1. Sprawdź, czy maszyna ma łączność z odpowiednimi punktami końcowymi usługi Defender for Identity w chmurze.

  2. Wyodrębnij pliki instalacyjne z pliku .zip. Instalacja bezpośrednio z pliku .zip kończy się niepowodzeniem.

  3. Uruchom setup.exe czujnika usługi Azure ATP z podwyższonym poziomem uprawnień (Uruchom jako administrator) i postępuj zgodnie z instrukcjami kreatora instalacji.

  4. Na stronie Powitanie wybierz język, a następnie wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający wybór autonomicznego języka instalacji czujnika usługi Defender for Identity.

    Kreator instalacji automatycznie sprawdza, czy serwer jest kontrolerem domeny, serwerem usług AD FS, serwerem usług AD CS lub dedykowanym serwerem. Typ serwera określa typ czujnika:

    • Jeśli serwer jest kontrolerem domeny, serwerem usług AD FS lub serwerem usług AD CS, zostanie zainstalowany czujnik usługi Defender for Identity.
    • Jeśli serwer jest dedykowany, jest zainstalowany autonomiczny czujnik usługi Defender for Identity.

    Na przykład kreator wyświetla następującą stronę, aby wskazać, że na kontrolerach domeny jest zainstalowany czujnik usługi Defender for Identity.

    Zrzut ekranu przedstawiający stronę identyfikującą typ wdrożenia czujnika.

  5. Wybierz Dalej.

    Kreator wyświetla ostrzeżenie, jeśli kontroler domeny, serwer usług AD FS, serwer usług AD CS lub dedykowany serwer nie spełnia minimalnych wymagań sprzętowych instalacji.

    Ostrzeżenie nie uniemożliwia wybrania pozycji Dalej i kontynuowania instalacji, co może być nadal właściwą opcją. Na przykład w przypadku instalowania małego środowiska testowego laboratorium potrzebna jest mniej miejsca na przechowywanie danych.

    W przypadku środowisk produkcyjnych zdecydowanie zalecamy pracę z narzędziem do określania rozmiaru usługi Defender for Identity, aby upewnić się, że kontrolery domeny lub dedykowane serwery spełniają wymagania dotyczące pojemności.

  6. Na stronie Konfigurowanie czujnika wprowadź następujące informacje dotyczące pakietu instalacyjnego:

    • Ścieżka instalacji: lokalizacja, w której zainstalowano czujnik usługi Defender for Identity. Domyślnie ścieżka to %programfiles%\Azure Advanced Threat Protection sensor. Pozostaw wartość domyślną.
    • Klucz dostępu: pobrany z portalu Microsoft Defender w poprzednim kroku.

    Zrzut ekranu przedstawiający stronę kreatora konfiguracji czujnika usługi Defender for Identity.

  7. Wybierz Zainstaluj. Następujące składniki są instalowane i konfigurowane podczas instalacji czujnika usługi Defender for Identity:

    • Usługa Czujnika usługi Defender for Identity i usługa updater czujnika usługi Defender for Identity

    • Npcap OEM w wersji 1.0

      Ważne

      System Npcap OEM w wersji 1.0 jest instalowany automatycznie, jeśli nie ma innej wersji serwera Npcap. Jeśli masz już zainstalowaną aplikację Npcap ze względu na inne wymagania dotyczące oprogramowania lub z jakiegokolwiek innego powodu, upewnij się, że jest ona w wersji 1.0 lub nowszej i że ma wymagane ustawienia usługi Defender for Identity.

Wyświetlanie wersji czujników

Począwszy od czujnika w wersji 2.176, podczas instalowania czujnika z nowego pakietu wersja w obszarze Dodaj/Usuń programy jest wyświetlana z pełnym numerem, takim jak 2.176.x.y. Wcześniej wersja została wyświetlona jako statyczna wersja 2.0.0.0.

Zainstalowana wersja będzie nadal wyświetlana nawet po uruchomieniu automatycznych aktualizacji przez usługi Defender for Identity w chmurze.

Wyświetl rzeczywistą wersję czujnika na stronie ustawień czujnika XDR w usłudze Microsoft Defender w ścieżce wykonywalnej lub w wersji pliku.

Przeprowadzanie instalacji dyskretnej usługi Defender for Identity

Instalacja dyskretna usługi Defender for Identity dla czujników jest skonfigurowana do automatycznego ponownego uruchamiania serwera na końcu instalacji, jeśli jest to konieczne.

Zaplanuj instalację dyskretną tylko podczas okna obsługi. Ze względu na usterkę Instalatora Windows nie można niezawodnie użyć norestart flagi, aby upewnić się, że serwer nie uruchamia się ponownie.

Aby śledzić postęp wdrażania, monitoruj dzienniki instalatora usługi Defender for Identity w programie %localappdata%\Temp.

Instalacja dyskretna za pośrednictwem systemu wdrażania

W przypadku dyskretnego wdrażania czujnika usługi Defender for Identity za pośrednictwem programu System Center Configuration Manager lub innego systemu wdrażania oprogramowania zalecamy utworzenie dwóch pakietów wdrożeniowych:

  • Program .NET Framework 4.7 lub nowszy, który może obejmować ponowne uruchomienie kontrolera domeny
  • Czujnik usługi Defender for Identity

Ustaw pakiet czujnika usługi Defender for Identity na zależne od wdrożenia wdrożenia pakietu .NET Framework. W razie potrzeby pobierz pakiet wdrożeniowy programu .NET Framework 4.7 w trybie offline.

Polecenia uruchamiania instalacji dyskretnej

Użyj następujących poleceń, aby wykonać w pełni dyskretną instalację czujnika usługi Defender for Identity przy użyciu klucza dostępu skopiowanego w poprzednim kroku.

składnia cmd.exe

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Składnia środowiska PowerShell

.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Uwaga

W przypadku korzystania ze składni programu PowerShell pominięcie prefiksu .\ powoduje błąd uniemożliwiający instalację dyskretną.

Opcje instalacji

Nazwisko Składnia Obowiązkowe w przypadku instalacji dyskretnej? opis
Quiet /quiet Tak Uruchamia instalatora bez wyświetlania interfejsu użytkownika lub monitów.
Help /help Nie. Udostępnia pomoc i skróconą dokumentację. Wyświetla informacje na temat poprawnego użycia polecenia konfiguracji, w tym listę wszystkich opcji i zachowań.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Tak Określa parametry instalacji programu .NET Framework. Należy ustawić, aby wymusić dyskretną instalację programu .NET Framework.

Parametry instalacji

Nazwisko Składnia Obowiązkowe w przypadku instalacji dyskretnej? opis
InstallationPath InstallationPath="" Nie. Ustawia ścieżkę instalacji plików binarnych czujnika usługi Defender for Identity. Ścieżka domyślna: %programfiles%\Azure Advanced Threat Protection Sensor.
AccessKey AccessKey="\*\*" Tak Ustawia klucz dostępu używany do rejestrowania czujnika usługi Defender for Identity w obszarze roboczym usługi Defender for Identity.
AccessKeyFile AccessKeyFile="" Nie. Ustawia klucz dostępu obszaru roboczego z podanej ścieżki pliku tekstowego.
DelayedUpdate DelayedUpdate=true Nie. Ustawia mechanizm aktualizacji czujnika, aby opóźnić aktualizację przez 72 godziny od oficjalnej wersji każdej aktualizacji usługi. Aby uzyskać więcej informacji, zobacz Opóźniona aktualizacja czujnika.
LogsPath LogsPath="" Nie. Ustawia ścieżkę dla dzienników czujnika usługi Defender for Identity. Ścieżka domyślna: %programfiles%\Azure Advanced Threat Protection Sensor.

Przykłady

Użyj następujących poleceń, aby dyskretnie zainstalować czujnik usługi Defender for Identity:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"

Polecenie uruchamiania instalacji dyskretnej z konfiguracją serwera proxy

Użyj następującego polecenia, aby skonfigurować serwer proxy razem z instalacją dyskretną:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`

Uwaga

Jeśli wcześniej skonfigurowano serwer proxy przy użyciu starszych opcji, w tym winINet lub aktualizacji klucza rejestru, musisz wprowadzić zmiany w tej samej metodzie, która została pierwotnie użyta. Aby uzyskać więcej informacji, zobacz Zmienianie konfiguracji serwera proxy przy użyciu starszych metod.

Parametry instalacji

Nazwisko Składnia Obowiązkowe w przypadku instalacji dyskretnej? opis
ProxyUrl ProxyUrl="http://proxy.contoso.com:8080" Nie. Określa adres URL serwera proxy i numer portu dla czujnika usługi Defender for Identity.
ProxyUserName ProxyUserName="Contoso\ProxyUser" Nie. Jeśli usługa proxy wymaga uwierzytelniania, zdefiniuj DOMAIN\user nazwę użytkownika w formacie .
ProxyUserPassword ProxyUserPassword="P@ssw0rd" Nie. Określa hasło dla nazwy użytkownika serwera proxy.

Czujnik usługi Defender for Identity szyfruje poświadczenia i przechowuje je lokalnie.

Napiwek

Jeśli musisz zaktualizować ustawienia serwera proxy później, użyj programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Aby uzyskać więcej informacji, zobacz Konfigurowanie serwera proxy punktu końcowego i ustawień łączności internetowej. Zalecamy utworzenie i użycie niestandardowego rekordu DNS A dla serwera proxy. Następnie możesz użyć tego rekordu, aby zmienić adres serwera proxy w razie potrzeby i użyć pliku hosts do testowania.

Po zainstalowaniu czujnika można wykonać dodatkowe kroki:

Następny krok