Dołączanie urządzeń z systemem Windows przy użyciu Configuration Manager

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Wymagania wstępne

Ważna

Rola systemu lokacji punktu ochrony punktu końcowego jest wymagana, aby zasady ochrony antywirusowej i zmniejszania obszaru podatnego na ataki były prawidłowo wdrażane w docelowych punktach końcowych. Bez tej roli punkty końcowe w kolekcji urządzeń nie otrzymają skonfigurowanych zasad ochrony antywirusowej i zmniejszania obszaru podatnego na ataki.

Za pomocą Configuration Manager można dołączyć punkty końcowe do usługi Ochrona punktu końcowego w usłudze Microsoft Defender.

Istnieje kilka opcji dołączania urządzeń przy użyciu Configuration Manager:

W przypadku Windows Server 2012 R2 i Windows Server 2016 — po wykonaniu kroków dołączania należy skonfigurować i zaktualizować klientów System Center Endpoint Protection.

Uwaga

Usługa Defender for Endpoint nie obsługuje dołączania w fazie OOBE (Out-Of-Box Experience). Upewnij się, że użytkownicy ukończyli program OOBE po uruchomieniu instalacji systemu Windows lub uaktualnieniu.

Należy pamiętać, że istnieje możliwość utworzenia reguły wykrywania w aplikacji Configuration Manager w celu ciągłego sprawdzania, czy urządzenie zostało dołączone. Aplikacja jest innym typem obiektu niż pakiet i program. Jeśli urządzenie nie zostało jeszcze dołączone (z powodu oczekującego ukończenia OOBE lub z jakiejkolwiek innej przyczyny), Configuration Manager spróbuje ponownie dołączyć urządzenie, dopóki reguła nie wykryje zmiany stanu.

To zachowanie można osiągnąć, tworząc regułę wykrywania, sprawdzając, czy wartość rejestru "OnboardingState" (typu REG_DWORD) = 1. Ta wartość rejestru znajduje się w obszarze "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". Aby uzyskać więcej informacji, zobacz Konfigurowanie metod wykrywania w programie System Center 2012 R2 Configuration Manager.

Konfigurowanie ustawień przykładowej kolekcji

Dla każdego urządzenia można ustawić wartość konfiguracji, aby określić, czy przykłady mogą być zbierane z urządzenia, gdy żądanie jest wysyłane za pośrednictwem Microsoft Defender XDR w celu przesłania pliku do głębokiej analizy.

Uwaga

Te ustawienia konfiguracji są zwykle wykonywane za pośrednictwem Configuration Manager.

Możesz ustawić regułę zgodności dla elementu konfiguracji w Configuration Manager, aby zmienić ustawienie przykładowego udziału na urządzeniu.

Ta reguła powinna być elementem konfiguracji reguły zgodności korygowania , który ustawia wartość klucza rejestru na urządzeniach docelowych, aby upewnić się, że są one zgodne.

Konfiguracja jest ustawiana za pomocą następującego wpisu klucza rejestru:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Gdzie typ klucza to D-WORD. Możliwe wartości to:

  • 0: Nie zezwala na udostępnianie przykładów z tego urządzenia
  • 1: Umożliwia udostępnianie wszystkich typów plików z tego urządzenia

Wartość domyślna w przypadku, gdy klucz rejestru nie istnieje, to 1.

Aby uzyskać więcej informacji na temat zgodności programu System Center Configuration Manager, zobacz Wprowadzenie do ustawień zgodności w programie System Center 2012 R2 Configuration Manager.

Dołączanie urządzeń z systemem Windows przy użyciu Microsoft Configuration Manager

Tworzenie kolekcji

Aby dołączyć urządzenia z systemem Windows z Microsoft Configuration Manager, wdrożenie może być przeznaczone dla istniejącej kolekcji lub można utworzyć nową kolekcję na potrzeby testowania.

Dołączanie przy użyciu narzędzi, takich jak zasady grupy lub metoda ręczna, nie powoduje zainstalowania żadnych agentów w systemie.

W konsoli Microsoft Configuration Manager proces dołączania zostanie skonfigurowany jako część ustawień zgodności w konsoli programu .

Każdy system, który otrzymuje tę wymaganą konfigurację, utrzymuje tę konfigurację tak długo, jak długo klient Configuration Manager będzie nadal otrzymywać te zasady z punktu zarządzania.

Wykonaj następujące kroki, aby dołączyć punkty końcowe przy użyciu Microsoft Configuration Manager:

  1. W konsoli Microsoft Configuration Manager przejdź do pozycji Zasoby i omówienie > zgodności > Kolekcje urządzeń.

    Zrzut ekranu przedstawiający kreatora Microsoft Configuration Manager 1.

  2. Wybierz i przytrzymaj (lub kliknij prawym przyciskiem myszy) kolekcję urządzeń i wybierz pozycję Twórca Kolekcja urządzeń.

    Zrzut ekranu przedstawiający kreatora Microsoft Configuration Manager 2.

  3. Podaj nazwę i ograniczenie kolekcji, a następnie wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający kreatora Microsoft Configuration Manager 3.

  4. Wybierz pozycję Dodaj regułę i wybierz pozycję Reguła zapytania.

    Zrzut ekranu przedstawiający kreatora Microsoft Configuration Manager 4.

  5. Wybierz pozycję Dalej w Kreatorze członkostwa bezpośredniego , a następnie wybierz pozycję Edytuj instrukcję zapytania.

    Zrzut ekranu przedstawiający kreatora Microsoft Configuration Manager 5.

  6. Wybierz pozycję Kryteria, a następnie wybierz ikonę star.

    Zrzut ekranu przedstawiający kreatora Microsoft Configuration Manager 6.

  7. Zachowaj typ kryterium jako wartość prostą, wybierz pozycję System operacyjny — numer kompilacji, operator, który jest większy niż lub równy wartości i 14393, a następnie wybierz przycisk OK.

    Zrzut ekranu przedstawiający kreatora Microsoft Configuration Manager 7.

  8. Wybierz pozycję Dalej i Zamknij.

    Zrzut ekranu przedstawiający kreatora Microsoft Configuration Manager 8.

  9. Wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający kreatora Microsoft Configuration Manager 9.

Po wykonaniu tego zadania masz kolekcję urządzeń ze wszystkimi punktami końcowymi systemu Windows w środowisku.

Po dołączeniu urządzeń do usługi ważne jest, aby skorzystać z dołączonych możliwości ochrony przed zagrożeniami, włączając je przy użyciu następujących zalecanych ustawień konfiguracji.

Konfiguracja kolekcji urządzeń

Jeśli używasz Configuration Manager w wersji 2002 lub nowszej, możesz rozszerzyć wdrożenie o serwery lub klientów niższego poziomu.

Konfiguracja ochrony następnej generacji

Zalecane są następujące ustawienia konfiguracji:

Skanowania

  • Skanuj wymienne urządzenia magazynujące, takie jak dyski USB: Tak

Ochrona w czasie rzeczywistym

  • Włącz monitorowanie behawioralne: Tak
  • Włącz ochronę przed potencjalnie niepożądanymi aplikacjami podczas pobierania i przed instalacją: Tak

Usługa Cloud Protection

  • Typ członkostwa w usłudze Cloud Protection: członkostwo zaawansowane

Zmniejszanie obszaru podatnego na ataki

Skonfiguruj wszystkie dostępne reguły na wartość Inspekcja.

Uwaga

Zablokowanie tych działań może przerwać uzasadnione procesy biznesowe. Najlepszym podejściem jest ustawienie wszystkich elementów do inspekcji, określenie, które z nich można bezpiecznie włączyć, a następnie włączenie tych ustawień w punktach końcowych, które nie mają wykrywania fałszywie dodatniego.

Aby wdrożyć zasady ochrony antywirusowej Microsoft Defender i zmniejszania obszaru ataków za pośrednictwem Microsoft Configuration Manager (SCCM), wykonaj następujące kroki:

  • Włącz program Endpoint Protection i skonfiguruj niestandardowe ustawienia klienta.
  • Zainstaluj klienta programu Endpoint Protection z wiersza polecenia.
  • Sprawdź instalację klienta programu Endpoint Protection.
Włączanie programu Endpoint Protection i konfigurowanie niestandardowych ustawień klienta

Wykonaj kroki, aby włączyć ochronę punktu końcowego i konfigurację niestandardowych ustawień klienta:

  1. W konsoli Configuration Manager kliknij pozycję Administracja.

  2. W obszarze roboczym Administracja kliknij pozycję Ustawienia klienta.

  3. Na karcie Narzędzia główne w grupie Twórca kliknij pozycję Twórca Niestandardowe ustawienia urządzenia klienckiego.

  4. W oknie dialogowym Twórca Niestandardowe ustawienia urządzenia klienckiego podaj nazwę i opis grupy ustawień, a następnie wybierz pozycję Endpoint Protection.

  5. Skonfiguruj wymagane ustawienia klienta programu Endpoint Protection. Aby uzyskać pełną listę ustawień klienta programu Endpoint Protection, które można skonfigurować, zobacz sekcję Endpoint Protection w temacie About client settings (Informacje o ustawieniach klienta).

    Ważna

    Zainstaluj rolę systemu lokacji programu Endpoint Protection przed skonfigurowaniem ustawień klienta programu Endpoint Protection.

  6. Kliknij przycisk OK, aby zamknąć okno dialogowe Twórca Niestandardowe ustawienia urządzenia klienta. Nowe ustawienia klienta są wyświetlane w węźle Ustawienia klienta obszaru roboczego Administracja .

  7. Następnie wdróż niestandardowe ustawienia klienta w kolekcji. Wybierz niestandardowe ustawienia klienta, które chcesz wdrożyć. Na karcie Narzędzia główne w grupie Ustawienia klienta kliknij pozycję Wdróż.

  8. W oknie dialogowym Wybieranie kolekcji wybierz kolekcję, w której chcesz wdrożyć ustawienia klienta, a następnie kliknij przycisk OK. Nowe wdrożenie jest wyświetlane na karcie Wdrożenia w okienku szczegółów.

Klienci są konfigurowane z tymi ustawieniami podczas następnego pobierania zasad klienta. Aby uzyskać więcej informacji, zobacz Initiate policy retrieval for a Configuration Manager client (Inicjowanie pobierania zasad dla klienta Configuration Manager).

Instalacja klienta programu Endpoint Protection z poziomu wiersza polecenia

Wykonaj kroki, aby zakończyć instalację klienta programu Endpoint Protection w wierszu polecenia.

  1. Skopiuj scepinstall.exe z folderu Client folderu instalacyjnego Configuration Manager na komputer, na którym chcesz zainstalować oprogramowanie klienckie programu Endpoint Protection.

  2. Otwórz okno wiersza polecenia jako administrator. Zmień katalog na folder przy użyciu instalatora. Następnie uruchom polecenie scepinstall.exe, dodając wymagane dodatkowe właściwości wiersza polecenia:

    Właściwość Opis
    /s Uruchamianie instalatora w trybie dyskretnym
    /q Wyodrębnianie plików konfiguracji w trybie dyskretnym
    /i Uruchamianie instalatora normalnie
    /policy Określanie pliku zasad ochrony przed złośliwym kodem w celu skonfigurowania klienta podczas instalacji
    /sqmoptin Zgoda na program poprawy jakości obsługi klienta firmy Microsoft (CEIP)

  3. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby ukończyć instalację klienta.

  4. Jeśli pobrano najnowszy pakiet definicji aktualizacji, skopiuj pakiet na komputer kliencki, a następnie kliknij dwukrotnie pakiet definicji, aby go zainstalować.

    Uwaga

    Po zakończeniu instalacji klienta programu Endpoint Protection klient automatycznie przeprowadza sprawdzanie aktualizacji definicji. Jeśli to sprawdzanie aktualizacji zakończy się pomyślnie, nie trzeba ręcznie instalować najnowszego pakietu aktualizacji definicji.

Przykład: instalowanie klienta przy użyciu zasad ochrony przed złośliwym kodem

scepinstall.exe /policy <full path>\<policy file>

Weryfikowanie instalacji klienta programu Endpoint Protection

Po zainstalowaniu klienta programu Endpoint Protection na komputerze odniesienia sprawdź, czy klient działa prawidłowo.

  1. Na komputerze odniesienia otwórz System Center Endpoint Protection z obszaru powiadomień systemu Windows.
  2. Na karcie Narzędzia główne okna dialogowego System Center Endpoint Protection sprawdź, czy ochrona w czasie rzeczywistym jest ustawiona na Włączone.
  3. Sprawdź, czy dla definicji wirusów i programów szpiegujących są wyświetlane aktualne informacje.
  4. Aby upewnić się, że komputer odniesienia jest gotowy do przetwarzania obrazów, w obszarze Opcje skanowania wybierz pozycję Pełne, a następnie kliknij przycisk Skanuj teraz.

Ochrona sieci

Przed włączeniem ochrony sieci w trybie inspekcji lub bloku upewnij się, że zainstalowano aktualizację platformy ochrony przed złośliwym kodem, którą można uzyskać na stronie pomocy technicznej.

Kontrolowany dostęp do folderu

Włącz funkcję w trybie inspekcji przez co najmniej 30 dni. Po tym okresie przejrzyj wykrycia i utwórz listę aplikacji, które mogą zapisywać w chronionych katalogach.

Aby uzyskać więcej informacji, zobacz Evaluate controlled folder access (Ocena kontrolowanego dostępu do folderów).

Uruchamianie testu wykrywania w celu zweryfikowania dołączania

Po dołączeniu urządzenia można uruchomić test wykrywania, aby sprawdzić, czy urządzenie jest prawidłowo dołączone do usługi. Aby uzyskać więcej informacji, zobacz Uruchamianie testu wykrywania na nowo dołączonym urządzeniu Ochrona punktu końcowego w usłudze Microsoft Defender.

Odłączanie urządzeń przy użyciu Configuration Manager

Ze względów bezpieczeństwa pakiet używany do odłączenia urządzeń wygaśnie 30 dni po pobraniu. Wygasłe pakiety odłączania wysyłane do urządzenia zostaną odrzucone. Podczas pobierania pakietu odłączania otrzymasz powiadomienie o dacie wygaśnięcia pakietów i zostanie on również uwzględniony w nazwie pakietu.

Uwaga

Zasady dołączania i odłączania nie mogą być wdrażane na tym samym urządzeniu w tym samym czasie, w przeciwnym razie spowoduje to nieprzewidywalne kolizje.

Odłączanie urządzeń przy użyciu Microsoft Configuration Manager bieżącej gałęzi

Jeśli używasz Microsoft Configuration Manager bieżącej gałęzi, zobacz Twórca plik konfiguracji odłączania.

Odłączanie urządzeń przy użyciu programu System Center 2012 R2 Configuration Manager

  1. Pobierz pakiet odłączania z portalu Microsoft Defender:

    1. W okienku nawigacji wybierz pozycję Ustawienia>Punkty końcowe>Odłączanie zarządzania urządzeniami>.
    2. Wybierz Windows 10 lub Windows 11 jako system operacyjny.
    3. W polu Metoda wdrażania wybierz pozycję System Center Configuration Manager 2012/2012 R2/1511/1602.
    4. Wybierz pozycję Pobierz pakiet i zapisz plik .zip.

  2. Wyodrębnij zawartość pliku .zip do udostępnionej lokalizacji tylko do odczytu, do których mogą uzyskać dostęp administratorzy sieci, którzy wdrożą pakiet. Powinien istnieć plik o nazwie WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Wdróż pakiet, wykonując kroki opisane w artykule Configuration Manager Packages and Programs in System Center 2012 R2 (Pakiety i programy w programie System Center 2012 R2).

    Wybierz wstępnie zdefiniowaną kolekcję urządzeń do wdrożenia pakietu.

Ważna

Odłączanie powoduje, że urządzenie przestaje wysyłać dane czujnika do portalu, ale dane z urządzenia, w tym odwołanie do wszelkich alertów, które miał, zostaną zachowane przez maksymalnie 6 miesięcy.

Monitorowanie konfiguracji urządzenia

Jeśli używasz Microsoft Configuration Manager bieżącej gałęzi, użyj wbudowanego pulpitu nawigacyjnego usługi Defender for Endpoint w konsoli Configuration Manager. Aby uzyskać więcej informacji, zobacz Defender for Endpoint — Monitor.

Jeśli używasz programu System Center 2012 R2 Configuration Manager, monitorowanie składa się z dwóch części:

  1. Potwierdzanie, że pakiet konfiguracji został poprawnie wdrożony i jest uruchomiony (lub został pomyślnie uruchomiony) na urządzeniach w sieci.

  2. Sprawdzanie, czy urządzenia są zgodne z usługą Defender for Endpoint (dzięki temu urządzenie może ukończyć proces dołączania i nadal raportować dane do usługi).

Upewnij się, że pakiet konfiguracji został poprawnie wdrożony

  1. W konsoli Configuration Manager kliknij pozycję Monitorowanie w dolnej części okienka nawigacji.

  2. Wybierz pozycję Przegląd , a następnie pozycję Wdrożenia.

  3. Wybierz wdrożenie z nazwą pakietu.

  4. Przejrzyj wskaźniki stanu w obszarze Statystyki ukończenia i Stan zawartości.

    Jeśli istnieją wdrożenia zakończone niepowodzeniem (urządzenia z błędem, wymaganiami, które nie zostały spełnione lub stanem Niepowodzenie), może być konieczne rozwiązanie problemów z urządzeniami. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z dołączaniem Ochrona punktu końcowego w usłudze Microsoft Defender.

    Configuration Manager pokazujący pomyślne wdrożenie bez błędów

Sprawdź, czy urządzenia są zgodne z usługą Ochrona punktu końcowego w usłudze Microsoft Defender

Aby monitorować wdrożenie, można ustawić regułę zgodności dla elementu konfiguracji w programie System Center 2012 R2 Configuration Manager.

Ta reguła powinna być elementem konfiguracji reguły zgodności nie korygującej , który monitoruje wartość klucza rejestru na urządzeniach docelowych.

Monitoruj następujący wpis klucza rejestru:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Aby uzyskać więcej informacji, zobacz Wprowadzenie do ustawień zgodności w programie System Center 2012 R2 Configuration Manager.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.