Поделиться через

Миграция в Microsoft Defender для конечной точки — этап 2. Настройка

  • Статья

Область применения:

Этап 1. Подготовка.
Этап 1. Подготовка		 Этап 2. Настройка.
Этап 2. Настройка		 Этап 3. Подключение 3.
Этап 3. Подключение
Вы здесь!

Добро пожаловать на этап установки миграции в Defender для конечной точки. Этот этап включает в себя следующие шаги.

  1. Переустановите или включите антивирусную программу Microsoft Defender на конечных точках.
  2. Настройка Defender для конечной точки плана 1 или плана 2
  3. Добавьте Defender для конечной точки в список исключений для существующего решения.
  4. Добавьте существующее решение в список исключений для антивирусной программы Microsoft Defender.
  5. Настройка групп устройств, коллекций устройств и подразделений.

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

Шаг 1. Переустановка или включение антивирусной программы Microsoft Defender на конечных точках

В некоторых версиях Windows антивирусная программа Microsoft Defender, скорее всего, была удалена или отключена при установке антивирусного или антивредоносного решения сторонних разработчиков. Когда конечные точки под управлением Windows подключены к Defender для конечной точки, антивирусная программа Microsoft Defender может работать в пассивном режиме вместе с антивирусным решением сторонних разработчиков. Дополнительные сведения см. в статье Антивирусная защита с помощью Defender для конечной точки.

При переходе на Defender для конечной точки может потребоваться выполнить определенные действия, чтобы переустановить или включить антивирусную программу Microsoft Defender. В следующей таблице описаны действия на клиентах и серверах Windows.

Тип конечной точки Действия
Клиенты Windows (например, конечные точки под управлением Windows 10 и Windows 11) Как правило, вам не нужно предпринимать никаких действий для клиентов Windows (если только антивирусная программа Microsoft Defender не была удалена). Как правило, антивирусная программа Microsoft Defender по-прежнему должна быть установлена, но, скорее всего, отключена на этом этапе процесса миграции.

Если установлено антивирусное или антивредоносное решение сторонних разработчиков, а клиенты еще не подключены к Defender для конечной точки, антивирусная программа Microsoft Defender отключается автоматически. Позже, когда конечные точки клиента будут подключены к Defender для конечной точки, если эти конечные точки работают под управлением антивирусного решения, отличного от Майкрософт, антивирусная программа Microsoft Defender переходит в пассивный режим.

При удалении антивирусного решения сторонних разработчиков антивирусная программа в Microsoft Defender автоматически переходит в активный режим.
Серверы Windows В Windows Server необходимо переустановить антивирусную программу Microsoft Defender и вручную установить пассивный режим. На серверах Windows при установке антивирусной программы или антивредоносного ПО сторонних разработчиков антивирусная программа в Microsoft Defender не может работать вместе с антивирусным решением сторонних разработчиков. В таких случаях антивирусная программа Microsoft Defender отключается или удаляется вручную.

Чтобы переустановить или включить антивирусную программу Microsoft Defender в Windows Server, выполните следующие задачи:
- Повторное включение антивирусной программы Defender в Windows Server, если она была отключена
- Повторное включение антивирусной программы Defender на Windows Server, если она была удалена
- Установка антивирусной программы в Microsoft Defender в пассивный режим на Windows Server

Если у вас возникли проблемы с переустановкой или повторным включением антивирусной программы Microsoft Defender на Windows Server, см. статью Устранение неполадок: антивирусная программа в Microsoft Defender удаляется на Windows Server.

Совет

Дополнительные сведения о состояниях антивирусной программы Microsoft Defender с антивирусной защитой сторонних разработчиков см. в статье Совместимость антивирусной программы в Microsoft Defender.

Установка антивирусной программы в Microsoft Defender в пассивный режим на Windows Server

Совет

Теперь антивирусную программу Microsoft Defender можно запускать в пассивном режиме в Windows Server 2012 R2 и 2016. Дополнительные сведения см. в разделе Параметры установки Microsoft Defender для конечной точки.

  1. Откройте редактор реестра и перейдите по адресу Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

  2. Измените (или создайте) запись DWORD с именем ForceDefenderPassiveMode и укажите следующие параметры:

    • Задайте для параметра DWORD значение 1.

    • В разделе Базовый выберите Шестнадцатеричный.

Если компоненты антивирусной программы и установочные файлы в Microsoft Defender ранее были удалены из Windows Server 2016, следуйте инструкциям в разделе Настройка источника восстановления Windows для восстановления файлов установки компонентов.

Примечание.

После подключения к Defender для конечной точки может потребоваться установить пассивный режим антивирусной программы Microsoft Defender на Windows Server. Чтобы проверить, настроен ли пассивный режим должным образом, найдите событие 5007 в оперативном журнале Microsoft-Windows-Защитника Windows (находится по адресу C:\Windows\System32\winevt\Logs), и убедитесь, что для разделов реестра ForceDefenderPassiveMode или PassiveMode задано значение 0x1.

Вы используете Windows Server 2012 R2 или Windows Server 2016?

Теперь антивирусную программу Microsoft Defender можно запустить в пассивном режиме в Windows Server 2012 R2 и 2016 с помощью метода, описанного в предыдущем разделе. Дополнительные сведения см. в разделе Параметры установки Microsoft Defender для конечной точки.

Шаг 2. Настройка Defender для конечной точки плана 1 или плана 2

Важно!

  • В этой статье описывается настройка возможностей Defender для конечной точки перед подключением устройств.
  • Если у вас есть Defender для конечной точки плана 1, выполните шаги 1–5 в следующей процедуре.
  • Если у вас есть Defender для конечной точки плана 2, выполните шаги 1–7 в следующей процедуре.

  1. Убедитесь, что Defender для конечной точки подготовлен. Как глобальный администратор перейдите на портал Microsoft Defender (https://security.microsoft.com) и войдите в систему. Затем в области навигации выберите Активы>Устройства.

    В следующей таблице показано, как может выглядеть ваш экран и что это означает.

    Экран Что это означает
    Снимок экрана: сообщение Подготовка Defender для конечной точки еще не завершена. Возможно, вам придется немного подождать, пока процесс завершится.
    Снимок экрана: страница инвентаризации устройств без подключения устройства. Defender для конечной точки подготовлен. В этом случае перейдите к следующему шагу.

  2. Включите защиту от незаконного изменения. Мы рекомендуем включить защиту от незаконного изменения для всей организации. Эту задачу можно выполнить на портале Microsoft Defender (https://security.microsoft.com).

    1. На портале Microsoft Defender выберите Параметры Конечные>точки.

    2. Перейдите в раздел Общие>дополнительные функции и установите переключатель для защиты от незаконного изменения в значение Включено.

    3. Выберите Сохранить.

    Узнайте больше о защите от незаконного изменения.

  3. Если вы собираетесь использовать Microsoft Intune или Microsoft Endpoint Configuration Manager для подключения устройств и настройки политик устройств, настройте интеграцию с Defender для конечной точки, выполнив следующие действия:

    1. В Центре администрирования Microsoft Intune (https://endpoint.microsoft.com) перейдите в раздел Безопасность конечных точек.

    2. В разделе Программа установки выберите Microsoft Defender для конечной точки.

    3. В разделе Параметры профиля безопасности конечной точки установите переключатель Разрешить Microsoft Defender для конечной точки для принудительного применения конфигураций безопасности конечных точек значение Включено.

    4. В верхней части экрана нажмите кнопку Сохранить.

    5. На портале Microsoft Defender (https://security.microsoft.com) выберите Параметры Конечные>точки.

    6. Прокрутите вниз до пункта Управление конфигурацией и выберите Область применения.

    7. Установите переключатель Использовать MDE для принудительного применения параметров конфигурации безопасности из MEM в значение Вкл., а затем выберите параметры для клиентских устройств Windows и Windows Server.

    8. Если вы планируете использовать Configuration Manager, установите переключатель Управление параметрами безопасности с помощью Configuration Manager в значение Включено. (Если вам нужна помощь с этим шагом, см. статью Сосуществование с Microsoft Endpoint Configuration Manager.)

    9. Прокрутите вниз и нажмите кнопку Сохранить.

  4. Настройте первоначальные возможности сокращения направлений атак. Как минимум, сразу включите стандартные правила защиты, перечисленные в следующей таблице:

    Стандартные правила защиты Методы конфигурации
    Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)

    Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами

    Блокировка сохраняемости с помощью подписки на события инструментария управления Windows (WMI)    		 Intune (профили конфигурации устройств или политики безопасности конечных точек)

    Управление мобильными устройствами (MDM) (используйте поставщик службы конфигурации (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules , чтобы по отдельности включить и задать режим для каждого правила.)

    Групповая политика или PowerShell (только если вы не используете Intune, Configuration Manager или другую платформу управления корпоративного уровня)

    Узнайте больше о возможностях сокращения направлений атак.

  5. Настройте возможности защиты следующего поколения.

    Возможность Методы конфигурации
    Intune 1. В Центре администрирования Intune выберите Устройства>Профили конфигурации, а затем выберите тип профиля, который требуется настроить. Если вы еще не создали тип профиля ограничения устройства или хотите создать новый профиль, см. статью Настройка параметров ограничения устройств в Microsoft Intune.

    2. Выберите Свойства, а затем выберите Параметры конфигурации: Изменить

    3. Разверните узел Антивирусная программа Microsoft Defender.

    4. Включите облачную защиту.

    5. В раскрывающемся списке Запрашивать пользователей перед отправкой примера выберите Отправить все примеры автоматически.

    6. В раскрывающемся списке Обнаружение потенциально нежелательных приложений выберите Включить или Аудит.

    7. Выберите Проверить и сохранить, а затем нажмите кнопку Сохранить.

    СОВЕТ. Дополнительные сведения о профилях устройств Intune, включая создание и настройку параметров, см. в статье Что такое профили устройств Microsoft Intune?
    Диспетчер конфигураций См . статью Создание и развертывание политик защиты от вредоносных программ для Endpoint Protection в Configuration Manager.

    При создании и настройке политик защиты от вредоносных программ обязательно просмотрите параметры защиты в режиме реального времени и включите блокировку при первом появлении.
    Расширенное управление групповыми политиками
    или
    Консоль управления групповыми политиками    		 1. Перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты Windows Антивирусная>программа Microsoft Defender.

    2. Найдите политику под названием Отключить антивирусную программу в Microsoft Defender.

    3. Выберите Изменить параметр политики и убедитесь, что политика отключена. Это действие включает антивирусную программу в Microsoft Defender. (В некоторых версиях Windows может появиться антивирусная программа "Защитник Windows ", а не антивирусная программа Microsoft Defender .)
    Панель управления в Windows Следуйте инструкциям, приведенным здесь: Включение антивирусной программы в Microsoft Defender. (В некоторых версиях Windows может появиться антивирусная программа "Защитник Windows ", а не антивирусная программа Microsoft Defender .)

    Если у вас есть Defender для конечной точки плана 1, начальная настройка и настройка завершены. Если у вас есть Defender для конечной точки плана 2, перейдите к шагам 6–7.

  6. Настройте политики обнаружения конечных точек и реагирования (EDR) в Центре администрирования Intune (https://endpoint.microsoft.com). Чтобы получить справку по этой задаче, см . статью Создание политик EDR.

  7. Настройте возможности автоматического исследования и исправления на портале Microsoft Defender (https://security.microsoft.com). Дополнительные сведения об этой задаче см . в статье Настройка возможностей автоматического исследования и исправления в Microsoft Defender для конечной точки.

    На этом этапе начальная настройка и настройка Defender для конечной точки плана 2 завершена.

Шаг 3. Добавление Microsoft Defender для конечной точки в список исключений для существующего решения

Этот шаг процесса настройки включает добавление Defender для конечной точки в список исключений для существующего решения для защиты конечных точек и любых других продуктов безопасности, которые использует ваша организация. Обязательно ознакомьтесь с документацией поставщика решений, чтобы добавить исключения.

Конкретные исключения для настройки зависят от версии Windows, на которой работают конечные точки или устройства, и перечислены в следующей таблице.

ОС Исключения
Windows 11

Windows 10 версии 1803 или более поздней (см. сведения о выпуске Windows 10)

Windows 10 версии 1703 или 1709 с установленным KB4493441		 C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSC.exe

C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

C:\Program Files\Windows Defender Advanced Threat Protection\SenseTVM.exe
Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server версии 1803		 В Windows Server 2012 R2 и Windows Server 2016 с современным унифицированным решением после обновления компонента Sense EDR с помощью KB5005292 требуются следующие исключения:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseTVM.exe
Windows 8.1

Windows 7

Windows Server 2008 R2 с пакетом обновления 1 (SP1)		 C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe

ПРИМЕЧАНИЕ. Мониторинг временных файлов узла 6\45 может быть разными нумеруется вложенными папками.

C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Важно!

Рекомендуется поддерживать актуальность устройств и конечных точек организации. Убедитесь, что вы получаете последние обновления для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender, а также обновляйте операционные системы и приложения для повышения производительности вашей организации.

Шаг 4. Добавление существующего решения в список исключений для антивирусной программы в Microsoft Defender

На этом этапе процесса установки вы добавляете существующее решение в список исключений для антивирусной программы в Microsoft Defender. Вы можете выбрать один из нескольких способов добавления исключений в антивирусную программу Microsoft Defender, как показано в следующей таблице:

Метод Действия
Intune 1. Перейдите в Центр администрирования Microsoft Intune и выполните вход.

2. ВыберитеПрофили конфигурацииустройств>, а затем выберите профиль, который требуется настроить.

3. В разделе Управление выберите Свойства.

4. Выберите Параметры конфигурации: Изменить.

5. Разверните узел Антивирусная программа Microsoft Defender, а затем разверните узел Исключения антивирусной программы Microsoft Defender.

6. Укажите файлы и папки, расширения и процессы, которые следует исключить из проверок антивирусной программы в Microsoft Defender. Дополнительные сведения см. в разделе Исключения антивирусной программы в Microsoft Defender.

7. Выберите Проверить и сохранить, а затем нажмите кнопку Сохранить.
Microsoft Endpoint Configuration Manager 1. С помощью консоли Configuration Manager перейдите в раздел Активы и политики защиты> отвредоносных программEndpoint Protection>, а затем выберите политику, которую нужно изменить.

2. Укажите параметры исключения для файлов и папок, расширений и процессов, которые следует исключить из проверок антивирусной программы в Microsoft Defender.
Объект групповой политики 1. На компьютере управления групповыми политиками откройте консоль управления групповыми политиками. Щелкните правой кнопкой мыши объект групповой политики, который требуется настроить, и выберите изменить.

2. В редакторе управления групповыми политикамиперейдите в раздел Конфигурация компьютера и выберите Административные шаблоны.

3. Разверните дерево на компоненты > Windows Исключения антивирусной программы > в Microsoft Defender. (В некоторых версиях Windows может появиться антивирусная программа "Защитник Windows ", а не антивирусная программа Microsoft Defender .)

4. Дважды щелкните параметр Исключения пути и добавьте исключения.

5. Задайте для параметра значение Включено.

6. В разделе Параметры выберите Показать....

7. Укажите каждую папку в отдельной строке в столбце Имя значения . При указании файла обязательно введите полный путь к файлу, включая букву диска, путь к папке, имя файла и расширение. Введите 0 в столбце Значение .

8. Нажмите кнопку ОК.

9. Дважды щелкните параметр Исключения расширений и добавьте исключения.

10. Задайте для параметра значение Включено.

11. В разделе Параметры выберите Показать....

12. Введите каждое расширение файла в отдельной строке в столбце Имя значения . Введите 0 в столбце Значение .

13. Нажмите кнопку ОК.
Объект локальной групповой политики 1. На конечной точке или устройстве откройте редактор локальной групповой политики.

2. Перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Исключенияантивирусной программы> Microsoft Defender. (В некоторых версиях Windows может появиться антивирусная программа "Защитник Windows ", а не антивирусная программа Microsoft Defender .)

3. Укажите путь и обработайте исключения.
Раздел реестра 1. Экспортируйте следующий раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions.

2. Импортируйте раздел реестра. Далее приведено два примера.
— Локальный путь: regedit.exe /s c:\temp\MDAV_Exclusion.reg
— Общая сетевая папка: regedit.exe /s \\FileServer\ShareName\MDAV_Exclusion.reg

Дополнительные сведения об исключениях для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender.

Учитывайте следующие моменты об исключениях

При добавлении исключений в проверки антивирусной программы в Microsoft Defender следует добавить путь и обработку исключений.

  • Исключения пути исключают определенные файлы и любой доступ к этим файлам.
  • Исключения процесса исключают все, что касается процесса, но не исключают сам процесс.
  • Выведите список исключений процесса, используя полный путь, а не только по имени. (Метод только для имен менее защищен.)
  • Если вы перечислили каждый исполняемый файл (.exe) как исключение пути и исключение процесса, процесс и все, что он касается, будут исключены.

Шаг 5. Настройка групп устройств, коллекций устройств и подразделений

Группы устройств, коллекции устройств и организационные подразделения позволяют команде безопасности эффективно и эффективно управлять политиками безопасности и назначать их. В следующей таблице описаны каждая из этих групп и способы их настройки. Ваша организация может использовать не все три типа коллекций.

Примечание.

Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

Тип коллекции Действия
Группы устройств (ранее называемые группами компьютеров) позволяют группе по операциям безопасности настраивать возможности безопасности, такие как автоматическое исследование и исправление.

Группы устройств также полезны для назначения доступа к этим устройствам, чтобы команда по операциям безопасности могла при необходимости выполнить действия по исправлению.

Группы устройств создаются при обнаружении и остановке атаки, оповещения, такие как "первоначальное оповещение о доступе", активируются и отображаются на портале Microsoft Defender.		 1. Перейдите на портал Microsoft Defender (https://security.microsoft.com).

2. В области навигации слева выберите Параметры>Конечные> точкиРазрешения>группы устройств.

3. Выберите + Добавить группу устройств.

4. Укажите имя и описание для группы устройств.

5. В списке Уровень автоматизации выберите параметр. (Рекомендуется полностью — устранять угрозы автоматически.) Дополнительные сведения о различных уровнях автоматизации см. в статье Устранение угроз.

6. Укажите условия для правила сопоставления, чтобы определить, какие устройства относятся к группе устройств. Например, можно выбрать домен, версии ОС или даже использовать теги устройств.

7. На вкладке Доступ пользователя укажите роли, которые должны иметь доступ к устройствам, включенным в группу устройств.

8. Нажмите кнопку Готово.
Коллекции устройств позволяют команде по управлению безопасностью управлять приложениями, развертывать параметры соответствия или устанавливать обновления программного обеспечения на устройствах в организации.

Коллекции устройств создаются с помощью Configuration Manager.		 Выполните действия, описанные в разделе Создание коллекции.
Подразделения позволяют логически группировать такие объекты, как учетные записи пользователей, учетные записи служб или учетные записи компьютеров.

Затем можно назначить администраторов определенным подразделениям и применить групповую политику для принудительного применения целевых параметров конфигурации.

Подразделения определяются в доменных службах Microsoft Entra.		 Выполните действия, описанные в статье Создание подразделения в управляемом домене доменных служб Microsoft Entra.

Следующее действие

Поздравляем! Вы завершили этап установки миграции в Defender для конечной точки!

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.