Compartilhar via

Integrar servidores Windows no serviço Microsoft Defender para Endpoint

  • Artigo

Aplica-se a:

  • Windows Server 2016 e Windows Server 2012 R2
  • Canal Windows Server Semi-Annual Enterprise
  • Windows Server 2019 e posterior
  • Windows Server 2019 core edition
  • Windows Server 2022
  • Microsoft Defender para Ponto de Extremidade

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

O Defender para Endpoint expande o suporte para incluir também o sistema operativo Windows Server. Este suporte fornece capacidades avançadas de deteção e investigação de ataques de forma totalmente integrada através da consola do Microsoft Defender XDR. O suporte para o Windows Server fornece informações mais aprofundadas sobre as atividades do servidor, a cobertura para a deteção de ataques de kernel e memória e permite ações de resposta.

Este artigo descreve como integrar servidores Windows específicos no Microsoft Defender para Endpoint.

Para obter orientações sobre como transferir e utilizar linhas de base de segurança do Windows para servidores Windows, consulte Linhas de Base de Segurança do Windows.

Dica

Como complemento deste artigo, consulte o nosso guia de configuração do Analisador de Segurança para rever as melhores práticas e aprender a fortalecer as defesas, melhorar a conformidade e navegar no panorama da cibersegurança com confiança. Para uma experiência personalizada com base no seu ambiente, pode aceder ao guia de configuração automatizada do Analisador de Segurança no centro de administração do Microsoft 365.

Descrição geral da integração do Windows Server

Terá de concluir os seguintes passos gerais para integrar servidores com êxito.

Uma ilustração do fluxo de integração para dispositivos Windows Server e Windows 10

Observação

As edições do Windows Hyper-V Server não são suportadas.

Integração com o Microsoft Defender para Servidores:

O Microsoft Defender para Endpoint integra-se perfeitamente com o Microsoft Defender para Servidores. Pode integrar servidores automaticamente, fazer com que os servidores monitorizados pelo Microsoft Defender para Cloud sejam apresentados no Defender para Endpoint e realizar investigações detalhadas como cliente do Microsoft Defender for Cloud. Para obter mais informações, aceda a Proteger os seus pontos finais com a solução EDR integrada do Defender para a Cloud: Microsoft Defender para Endpoint

Observação

Para o Windows Server 2016 e o Windows Server 2012 R2, pode instalar/atualizar manualmente a solução moderna e unificada nestes computadores ou utilizar a integração para implementar ou atualizar automaticamente os servidores abrangidos pelo respetivo plano do Microsoft Defender para Servidor. Mais informações sobre como mudar em Proteger os seus pontos finais com a solução EDR integrada do Defender para a Cloud: Microsoft Defender para Endpoint.

  • Quando utiliza o Microsoft Defender para a Cloud para monitorizar servidores, é criado automaticamente um inquilino do Defender para Endpoint (nos EUA para utilizadores norte-americanos, na UE para utilizadores europeus e no Reino Unido para utilizadores do Reino Unido). Os dados recolhidos pelo Defender para Endpoint são armazenados na localização geográfica do inquilino, conforme identificado durante o aprovisionamento.
  • Se utilizar o Defender para Endpoint antes de utilizar o Microsoft Defender para a Cloud, os seus dados são armazenados na localização que especificou quando criou o seu inquilino, mesmo que se integre com o Microsoft Defender para a Cloud mais tarde.
  • Depois de configurado, não pode alterar a localização onde os seus dados estão armazenados. Se precisar de mover os seus dados para outra localização, terá de contactar o Suporte da Microsoft para repor o inquilino.
  • A monitorização do ponto final do servidor que utiliza esta integração foi desativada para clientes do Office 365 GCC.
  • Anteriormente, a utilização do Microsoft Monitoring Agent (MMA) no Windows Server 2016 e Windows Server 2012 R2 e versões anteriores do Windows Server permitia que o gateway do OMS/Log Analytics fornecesse conectividade aos serviços cloud do Defender. A nova solução, como o Microsoft Defender para Endpoint no Windows Server 2022, Windows Server 2019 e Windows 10 ou posterior, não suporta este gateway.
  • Os servidores Linux integrados através do Microsoft Defender para Cloud têm a configuração inicial definida para executar o Antivírus do Defender no modo passivo.

Windows Server 2016 e Windows Server 2012 R2:

  • Transferir pacotes de instalação e inclusão
  • Aplicar o pacote de instalação
  • Siga os passos de inclusão da ferramenta correspondente

Windows Server Semi-Annual Enterprise Channel e Windows Server 2019:

  • Transferir o pacote de inclusão
  • Siga os passos de inclusão da ferramenta correspondente

Windows Server 2016 e Windows Server 2012 R2

Funcionalidade na solução unificada moderna

A implementação anterior (antes de abril de 2022) da integração do Windows Server 2016 e do Windows Server 2012 R2 exigia a utilização do Microsoft Monitoring Agent (MMA).

O novo pacote de solução unificada facilita a integração de servidores ao remover dependências e passos de instalação. Também fornece um conjunto de funcionalidades muito expandido. Para obter mais informações, consulte Defender o Windows Server 2012 R2 e 2016.

Consoante o servidor que estiver a integrar, a solução unificada instala o Antivírus do Microsoft Defender e/ou o sensor EDR. A tabela seguinte indica que componente está instalado e o que está incorporado por predefinição.

Versão do servidor AV EDR
Windows Server 2012 R2 Sim. Sim.
Windows Server 2016 Incorporado Sim.
Windows Server 2019 ou posterior Incorporado Incorporado

Se já tiver integrado os servidores com MMA, siga as orientações fornecidas em Migração do servidor para migrar para a nova solução.

Importante

Antes de continuar com a inclusão, consulte a secção Problemas conhecidos e limitações no novo pacote de solução unificado para o Windows Server 2012 R2 e Windows Server 2016.

Pré-requisitos

Pré-requisitos para o Windows Server 2016 e Windows Server 2012 R2

Recomenda-se que instale a SSU e a LCU mais recentes disponíveis no servidor.

Pré-requisitos para execução com soluções de segurança de terceiros

Se pretender utilizar uma solução antimalware de terceiros, terá de executar o Antivírus do Microsoft Defender no modo passivo. Tem de se lembrar de definir como modo passivo durante o processo de instalação e integração.

Observação

Se estiver a instalar o Microsoft Defender para Endpoint em Servidores com o McAfee Endpoint Security (ENS) ou o VirusScan Enterprise (VSE), a versão da plataforma McAfee poderá ter de ser atualizada para garantir que o Antivírus do Microsoft Defender não é removido ou desativado. Para obter mais informações, incluindo os números de versão específicos necessários, veja o artigo Centro de Conhecimento McAfee.

Atualizar pacotes para o Microsoft Defender para Endpoint no Windows Server 2016 e Windows Server 2012 R2

Para receber melhoramentos e correções regulares do produto para o componente sensor EDR, certifique-se de que o Windows Update KB5005292 é aplicado ou aprovado. Além disso, para manter os componentes de proteção atualizados, veja Gerir atualizações do Antivírus do Microsoft Defender e aplicar linhas de base.

Se estiver a utilizar o Windows Server Update Services (WSUS) e/ou o Microsoft Endpoint Configuration Manager, esta nova "atualização do Microsoft Defender para Ponto Final para o Sensor EDR" está disponível na categoria "Microsoft Defender para Ponto Final".

Resumo dos passos de inclusão

PASSO 1: Transferir pacotes de instalação e inclusão

Terá de transferir os pacotes de instalação e inclusão a partir do portal.

Observação

O pacote de instalação é atualizado mensalmente. Certifique-se de que transfere o pacote mais recente antes da utilização. Para atualizar após a instalação, não tem de executar novamente o pacote do instalador. Se o fizer, o instalador pedir-lhe-á para sair primeiro, uma vez que este é um requisito para a desinstalação. Consulte Atualizar pacotes para o Microsoft Defender para Endpoint no Windows Server 2012 R2 e 2016.

Imagem do dashboard de inclusão

Observação

No Windows Server 2016 e no Windows Server 2012 R2, o Antivírus do Microsoft Defender tem de ser instalado como uma funcionalidade (consulte Mudar para MDE) primeiro e totalmente atualizado antes de prosseguir com a instalação.

Se estiver a executar uma solução antimalware que não seja da Microsoft, certifique-se de que adiciona exclusões para o Antivírus do Microsoft Defender (a partir desta lista de Processos do Microsoft Defender no separador Processos do Defender) à solução que não é da Microsoft antes da instalação. Também é recomendado adicionar soluções de segurança que não sejam da Microsoft à lista de exclusão do Antivírus do Defender.

O pacote de instalação contém um ficheiro MSI que instala o agente do Microsoft Defender para Endpoint.

O pacote de inclusão contém o seguinte ficheiro:

  • WindowsDefenderATPOnboardingScript.cmd - contém o script de inclusão

Siga estes passos para transferir os pacotes:

  1. No Microsoft Defender XDR, aceda a Definições > Endpoint > Onboarding.

  2. Selecione Windows Server 2016 e Windows Server 2012 R2.

  3. Selecione Transferir pacote de instalação e guarde o ficheiro .msi.

  4. Selecione Transferir pacote de inclusão e guarde o ficheiro .zip.

  5. Instale o pacote de instalação com qualquer uma das opções para instalar o Antivírus do Microsoft Defender. A instalação requer permissões administrativas.

Importante

Um script de inclusão local é adequado para uma prova de conceito, mas não deve ser utilizado para implementação de produção. Para uma implementação de produção, recomendamos que utilize a Política de Grupo ou o Microsoft Endpoint Configuration Manager.

PASSO 2: Aplicar o pacote de instalação e integração

Neste passo, irá instalar os componentes de prevenção e deteção necessários antes de integrar o dispositivo no ambiente da cloud do Microsoft Defender para Endpoint, para preparar o computador para integração. Certifique-se de que todos os pré-requisitos foram cumpridos .

Observação

O Antivírus do Microsoft Defender será instalado e estará ativo, a menos que o defina como modo passivo.

Opções para instalar os pacotes do Microsoft Defender para Endpoint

Na secção anterior, transferiu um pacote de instalação. O pacote de instalação contém o instalador para todos os componentes do Microsoft Defender para Endpoint.

Pode utilizar qualquer uma das seguintes opções para instalar o agente:

Instalar o Microsoft Defender Para Endpoint com a linha de comandos

Utilize o pacote de instalação do passo anterior para instalar o Microsoft Defender para Endpoint.

Execute o seguinte comando para instalar o Microsoft Defender para Endpoint:

Msiexec /i md4ws.msi /quiet

Para desinstalar, certifique-se de que o computador está offboarded primeiro com o script de exclusão adequado. Em seguida, utilize Programas e Funcionalidades > do Painel > de Controlo para efetuar a desinstalação.

Em alternativa, execute o seguinte comando de desinstalação para desinstalar o Microsoft Defender para Endpoint:

Msiexec /x md4ws.msi /quiet

Tem de utilizar o mesmo pacote que utilizou para a instalação para que o comando acima seja bem-sucedido.

O /quiet comutador suprime todas as notificações.

Observação

O Antivírus do Microsoft Defender não entra automaticamente no modo passivo. Pode optar por definir o Antivírus do Microsoft Defender para ser executado no modo passivo se estiver a executar uma solução antivírus/antimalware que não seja da Microsoft. Para instalações da linha de comandos, o opcional FORCEPASSIVEMODE=1 define imediatamente o componente antivírus do Microsoft Defender para o modo Passivo para evitar interferências. Em seguida, para garantir que o Antivírus do Defender permanece no modo passivo após a integração para suportar capacidades como o Bloco EDR, defina a chave de registo "ForceDefenderPassiveMode".

O suporte para o Windows Server fornece informações mais aprofundadas sobre as atividades do servidor, a cobertura para a deteção de ataques de kernel e memória e permite ações de resposta.

Instalar o Microsoft Defender para Endpoint com um script

Pode utilizar o script auxiliar do instalador para ajudar a automatizar a instalação, a desinstalação e a integração.

Observação

O script de instalação está assinado. Quaisquer modificações ao script invalidarão a assinatura. Quando transfere o script do GitHub, a abordagem recomendada para evitar modificações inadvertidas é transferir os ficheiros de origem como um arquivo zip e, em seguida, extraí-lo para obter o ficheiro de install.ps1 (na página principal Código, clique no menu pendente Código e selecione "Transferir ZIP").

Este script pode ser utilizado em vários cenários, incluindo os cenários descritos em Cenários de migração do servidor da solução anterior do Microsoft Defender para Endpoint baseada em MMA e para implementação com a Política de Grupo, conforme descrito abaixo.

Aplicar os pacotes de instalação e inclusão do Microsoft Defender para Endpoint com a política de Grupo ao efetuar a instalação com um script de instalação

  1. Criar uma política de grupo:
    Abra a Consola de Gestão de Políticas de Grupo (GPMC), clique com o botão direito do rato em Objetos de Política de Grupo que pretende configurar e selecione Novo. Introduza o nome do novo GPO na caixa de diálogo apresentada e selecione OK.

  2. Abra a Consola de Gestão de Políticas de Grupo (GPMC), clique com o botão direito do rato no Objeto de Política de Grupo (GPO) que pretende configurar e selecione Editar.

  3. No Editor de Gestão de Políticas de Grupo, aceda a Configuração do computador, Preferências e, em seguida, definições do Painel de controlo.

  4. Clique com o botão direito do rato em Tarefas agendadas, aponte para Nova e, em seguida, clique em Tarefa Imediata (Pelo menos Windows 7).

  5. Na janela Tarefa que é aberta, aceda ao separador Geral . Em Opções de segurança , selecione Alterar Utilizador ou Grupo e escreva SISTEMA e, em seguida, selecione Verificar Nomes e , em seguida, OK. NT AUTHORITY\SYSTEM aparece como a conta de utilizador que a tarefa irá executar como.

  6. Selecione Executar se o utilizador tem sessão iniciada ou não e selecione a caixa de verificação Executar com privilégios mais altos .

  7. No campo Nome, escreva um nome adequado para a tarefa agendada (por exemplo, Implementação do Defender para Ponto Final).

  8. Aceda ao separador Ações e selecione Novo... Certifique-se de que Iniciar um programa está selecionado no campo Ação . O script do instalador processa a instalação e efetua imediatamente o passo de inclusão após a conclusão da instalação. Selecione C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe , em seguida, forneça os argumentos:

     -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd

    Observação

    A definição de política de execução recomendada é Allsigned. Isto requer a importação do certificado de assinatura do script para o arquivo Fabricantes Fidedignos de Computador Local se o script estiver a ser executado como SYSTEM no ponto final.

    Substitua \\servername-or-dfs-space\share-name pelo caminho UNC, utilizando o nome de domínio completamente qualificado (FQDN) do servidor de ficheiros do ficheiro deinstall.ps1 partilhado. O pacote do instalador md4ws.msi tem de ser colocado no mesmo diretório. Certifique-se de que as permissões do caminho UNC permitem o acesso de escrita à conta de computador que está a instalar o pacote, para suportar a criação de ficheiros de registo. Se quiser desativar a criação de ficheiros de registo (não recomendado), pode utilizar os parâmetros -noETL -noMSILog.

    Para cenários em que pretende que o Antivírus do Microsoft Defender coexista com soluções antimalware que não sejam da Microsoft, adicione o parâmetro $Passive para definir o modo passivo durante a instalação.

  9. Selecione OK e feche todas as janelas de GPMC abertas.

  10. Para ligar o GPO a uma Unidade Organizacional (UO), clique com o botão direito do rato e selecione Ligar um GPO existente. Na caixa de diálogo apresentada, selecione o Objeto de Política de Grupo que pretende ligar. Selecione OK.

Para obter mais definições de configuração, veja Configurar definições de recolha de exemplo e Outras definições de configuração recomendadas.

PASSO 3: Concluir os passos de integração

Os passos seguintes só são aplicáveis se estiver a utilizar uma solução antimalware de terceiros. Terá de aplicar a seguinte definição de modo passivo do Antivírus do Microsoft Defender. Verifique se foi configurado corretamente:

  1. Defina a seguinte entrada de registo:

    • Caminho: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • Nome: ForceDefenderPassiveMode
    • Tipo: REG_DWORD
    • Valor: 1

    O resultado da verificação do modo passivo

Problemas conhecidos e limitações no novo pacote de solução unificado para o Windows Server 2016 e Windows Server 2012 R2

Importante

Transfira sempre o pacote do instalador mais recente a partir do portal do Microsoft Defender (https://security.microsoft.com) antes de efetuar uma nova instalação e certifique-se de que os pré-requisitos foram cumpridos. Após a instalação, certifique-se de que atualiza regularmente com as atualizações de componentes descritas na secção Atualizar pacotes para o Microsoft Defender para Endpoint no Windows Server 2012 R2 e 2016.

  • Uma atualização do sistema operativo pode introduzir um problema de instalação em computadores com discos mais lentos devido a um tempo limite com a instalação do serviço. A instalação falha com a mensagem "Não foi possível localizar c:\programas\windows defender\mpasdesc.dll, - 310 WinDefend". Utilize o pacote de instalação mais recente e o script deinstall.ps1 mais recente para ajudar a limpar a instalação falhada, se necessário.

  • a interface de utilizador no Windows Server 2016 e Windows Server 2012 R2 permite apenas operações básicas. Para realizar operações num dispositivo localmente, consulte Gerir o Microsoft Defender para Endpoint com o PowerShell, WMI e MPCmdRun.exe. Como resultado, as funcionalidades que dependem especificamente da interação do utilizador, como quando é pedido ao utilizador para tomar uma decisão ou executar uma tarefa específica, podem não funcionar conforme esperado. Recomenda-se desativar ou não ativar a interface de utilizador nem exigir a interação do utilizador em qualquer servidor gerido, uma vez que pode afetar a capacidade de proteção.

  • Nem todas as regras de Redução da Superfície de Ataque são aplicáveis a todos os sistemas operativos. Consulte Regras de redução da superfície de ataque.

  • As atualizações do sistema operativo não são suportadas. Em seguida, desinstale antes de atualizar. O pacote do instalador só pode ser utilizado para atualizar instalações que ainda não tenham sido atualizadas com novas plataformas antimalware ou pacotes de atualização do sensor EDR.

  • Para implementar e integrar automaticamente a nova solução com o Microsoft Endpoint Configuration Manager (MECM), tem de estar na versão 2207 ou posterior. Ainda pode configurar e implementar com a versão 2107 com o rollup de correções, mas isto requer passos de implementação adicionais. Veja Cenários de migração do Microsoft Endpoint Configuration Manager para obter mais informações.

Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019 e Windows Server 2022

Transferir pacote

  1. No Microsoft Defender XDR, aceda a Definições Pontos Finais > Gestão > de Dispositivos > Integração.

  2. Selecione Windows Server 1803 e 2019.

  3. Selecione Transferir pacote. Guarde-o como WindowsDefenderATPOnboardingPackage.zip.

  4. Siga os passos indicados na secção Concluir os passos de inclusão .

Verificar a integração e a instalação

Verifique se o Antivírus do Microsoft Defender e o Microsoft Defender para Endpoint estão em execução.

Executar um teste de deteção para verificar a inclusão

Depois de integrar o dispositivo, pode optar por executar um teste de deteção para verificar se um dispositivo está corretamente integrado no serviço. Para obter mais informações, consulte Executar um teste de deteção num dispositivo do Microsoft Defender para Endpoint recentemente integrado.

Observação

Não é necessário executar o Antivírus do Microsoft Defender, mas é recomendado. Se outro produto de fornecedor de antivírus for a solução principal de proteção de pontos finais, pode executar o Antivírus do Defender no modo Passivo. Só pode confirmar que o modo passivo está ativado depois de verificar se o sensor do Microsoft Defender para Endpoint (SENSE) está em execução.

  1. Execute o seguinte comando para verificar se o Antivírus do Microsoft Defender está instalado:

    Observação

    Este passo de verificação só é necessário se estiver a utilizar o Antivírus do Microsoft Defender como solução antimalware ativa.

    sc.exe query Windefend

    Se o resultado for "O serviço especificado não existe como um serviço instalado", terá de instalar o Antivírus do Microsoft Defender.

    Para obter informações sobre como utilizar a Política de Grupo para configurar e gerir o Antivírus do Microsoft Defender nos seus servidores Windows, consulte Utilizar as definições da Política de Grupo para configurar e gerir o Antivírus do Microsoft Defender.

  2. Execute o seguinte comando para verificar se o Microsoft Defender para Endpoint está em execução:

    sc.exe query sense

    O resultado deve mostrar que está em execução. Se tiver problemas com a integração, veja Resolução de problemas de integração.

Executar um teste de detecção

Siga os passos em Executar um teste de deteção num dispositivo recentemente integrado para verificar se o servidor está a reportar ao Defender para o serviço Endpoint.

Próximas etapas

Depois de integrar dispositivos no serviço com êxito, terá de configurar os componentes individuais do Microsoft Defender para Endpoint. Siga Configurar capacidades para ser orientado para ativar os vários componentes.

Exclusão de servidores Windows

Pode integrar a edição Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019 e Windows Server 2019 Core no mesmo método disponível para dispositivos cliente Windows 10.

Após a exclusão, pode continuar a desinstalar o pacote de solução unificada no Windows Server 2016 e Windows Server 2012 R2.

Para outras versões do windows server, tem duas opções para eliminar servidores Windows do serviço:

  • Desinstalar o agente MMA
  • Remover a configuração da área de trabalho do Defender para Endpoint

Observação

Estas instruções de exclusão para outras versões do windows server também se aplicam se estiver a executar o Microsoft Defender para Endpoint anterior para Windows Server 2016 e Windows Server 2012 R2 que requer o MMA. As instruções para migrar para a nova solução unificada encontram-se em Cenários de migração do servidor no Microsoft Defender para Endpoint.

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.