Dela via


Konfigurera Microsoft Defender för Endpoint plan 1

Gäller för:

Den här artikeln beskriver hur du konfigurerar Defender för Endpoint Plan 1. Oavsett om du har hjälp eller gör det själv kan du använda den här artikeln som en guide under hela distributionen.

Konfigurations- och konfigurationsprocessen

Installations- och distributionsflöde för Microsoft Defender för Endpoint plan 1

Den allmänna konfigurationsprocessen för Defender för Endpoint Plan 1 är följande:

Tal Steg Beskrivning
1 Granska kraven Listor licensiering, webbläsare, operativsystem och datacenterkrav
2 Planera distributionen Listor flera distributionsmetoder att överväga och innehåller länkar till fler resurser som hjälper dig att avgöra vilken metod som ska användas
3 Konfigurera din klientmiljö Listor uppgifter för att konfigurera klientmiljön
4 Tilldela roller och behörigheter Listor roller och behörigheter att tänka på för ditt säkerhetsteam

TIPS: Så snart roller och behörigheter har tilldelats kan säkerhetsteamet komma igång med Microsoft Defender portalen. Mer information finns i Komma igång.
5 Registrera till Defender för Endpoint Listor flera metoder per operativsystem för registrering till Defender för Endpoint Plan 1 och innehåller länkar till mer detaljerad information för varje metod
6 Konfigurera nästa generations skydd Beskriver hur du konfigurerar nästa generations skyddsinställningar i Microsoft Intune
7 Konfigurera funktionerna för minskning av attackytan Listor de typer av funktioner för minskning av attackytan som du kan konfigurera och innehåller procedurer med länkar till fler resurser

Granska kraven

I följande tabell visas de grundläggande kraven för Defender för Endpoint Plan 1:

Krav Beskrivning
Licensieringskrav Defender för Endpoint Plan 1 (fristående eller som en del av Microsoft 365 E3 eller A3)
Webbläsarkrav Microsoft Edge
Internet Explorer version 11
Google Chrome
Operativsystem (klient) Windows 11
Windows 10 version 1709 eller senare
macOS
iOS
Android OS
Operativsystem (server) Windows Server 2022
Windows Server 2019
Windows Server version 1803 och senare
Windows Server 2016 och 2012 R2 stöds när du använder den moderna enhetliga lösningen
Linux Server
Datacenter En av följande datacenterplatser:
- Europeiska unionen
-Storbritannien
- USA

Obs!

Den fristående versionen av Defender för Endpoint Plan 1 innehåller inte serverlicenser. För att registrera servrar behöver du ytterligare en licens, till exempel:

Om du vill veta mer. se Defender för Endpoint onboarding Windows Server

Planera distributionen

När du planerar distributionen kan du välja mellan flera olika arkitekturer och distributionsmetoder. Varje organisation är unik, så du har flera alternativ att tänka på, som du ser i följande tabell:

Metod Beskrivning
Intune Använda Intune för att hantera slutpunkter i en molnbaserad miljö
Intune och Configuration Manager Använd Intune och Configuration Manager för att hantera slutpunkter och arbetsbelastningar som sträcker sig över en lokal miljö och molnmiljö
Configuration Manager Använd Configuration Manager för att skydda lokala slutpunkter med den molnbaserade kraften i Defender för Endpoint
Lokalt skript som laddats ned från Microsoft Defender-portalen Använd lokala skript på slutpunkter för att köra en pilot eller registrera bara några få enheter

Mer information om dina distributionsalternativ finns i Planera din Defender för Endpoint-distribution. Och ladda ned följande affisch:

Miniatyrbild av distributionsstrategi

Hämta distributionsaffisch

Tips

Mer detaljerad information om hur du planerar distributionen finns i Planera din Microsoft Defender för Endpoint distribution.

Konfigurera din klientmiljö

Konfigurationen av din klientmiljö omfattar uppgifter, till exempel:

  • Verifiera dina licenser
  • Konfigurera din klientorganisation
  • Konfigurera proxyinställningarna (endast om det behövs)
  • Se till att sensorerna fungerar korrekt och rapportera data till Defender för Endpoint

Dessa uppgifter ingår i konfigurationsfasen för Defender för Endpoint. Se Konfigurera Defender för Endpoint.

Tilldela roller och behörigheter

För att få åtkomst till Microsoft Defender-portalen, konfigurera inställningar för Defender för Endpoint eller utföra uppgifter, till exempel vidta svarsåtgärder vid identifierade hot, måste lämpliga behörigheter tilldelas. Defender för Endpoint använder inbyggda roller i Microsoft Entra ID.

Microsoft rekommenderar att du endast tilldelar användarna den behörighetsnivå de behöver för att utföra sina uppgifter. Du kan tilldela behörigheter med hjälp av grundläggande behörighetshantering eller med hjälp av rollbaserad åtkomstkontroll (RBAC).

  • Med grundläggande behörighetshantering har globala administratörer och säkerhetsadministratörer fullständig åtkomst, medan säkerhetsläsare har skrivskyddad åtkomst.
  • Med RBAC kan du ange mer detaljerade behörigheter via fler roller. Du kan till exempel ha säkerhetsläsare, säkerhetsoperatörer, säkerhetsadministratörer, slutpunktsadministratörer med mera.

I följande tabell beskrivs viktiga roller att tänka på för Defender för Endpoint i din organisation:

Roll Beskrivning
Globala administratörer (kallas även globala administratörer)

Vi rekommenderar att du begränsar antalet globala administratörer.
Globala administratörer kan utföra alla typer av uppgifter. Den person som registrerade ditt företag för Microsoft 365 eller för Microsoft Defender för Endpoint Plan 1 är som standard global administratör.

Globala administratörer kan komma åt/ändra inställningar i alla Microsoft 365-portaler, till exempel:
- Administrationscenter för Microsoft 365 (https://admin.microsoft.com)
– Microsoft Defender portalen (https://security.microsoft.com)
– Intune administrationscenter (https://endpoint.microsoft.com)
Säkerhetsadministratörer (kallas även säkerhetsadministratörer) Säkerhetsadministratörer kan utföra säkerhetsoperatörsuppgifter plus följande uppgifter:
– Övervaka säkerhetsrelaterade principer
– Hantera säkerhetshot och aviseringar
– Visa rapporter
Säkerhetsoperatör Säkerhetsoperatorer kan utföra uppgifter för säkerhetsläsare plus följande uppgifter:
– Visa information om identifierade hot
– Undersöka och svara på identifierade hot
Säkerhetsläsare Säkerhetsläsare kan utföra följande uppgifter:
– Visa säkerhetsrelaterade principer i Microsoft 365-tjänster
– Visa säkerhetshot och aviseringar
– Visa rapporter

Tips

Mer information om roller i Microsoft Entra ID finns i Tilldela administratörs- och icke-administratörsroller till användare med Microsoft Entra ID. Mer information om roller för Defender för Endpoint finns i Rollbaserad åtkomstkontroll.

Registrera till Defender för Endpoint

När du är redo att registrera organisationens slutpunkter kan du välja mellan flera metoder, enligt följande tabell:

Slutpunkt Distributionsverktyg
Windows Lokalt skript (upp till 10 enheter)
Grupprincip
Microsoft Intune/Mobile Enhetshanteraren
Microsoft Endpoint Configuration Manager
VDI-skript
macOS Lokalt skript
Microsoft Intune
JAMF Pro
Mobile Device Management
Android Microsoft Intune
iOS Microsoft Intune
Mobile Application Manager

Fortsätt sedan med att konfigurera nästa generations funktioner för skydd och minskning av attackytan.

Konfigurera nästa generations skydd

Vi rekommenderar att du använder Intune för att hantera organisationens enheter och säkerhetsinställningar, enligt följande bild:

Slutpunktssäkerhetsprinciper i Intune-portalen

Så här konfigurerar du nästa generations skydd i Intune:

  1. Gå till Intune administrationscenter (https://endpoint.microsoft.com) och logga in.

  2. Välj Endpoint Security>Antivirus och välj sedan en befintlig princip. (Om du inte har någon befintlig princip skapar du en ny princip.)

  3. Ange eller ändra inställningarna för antiviruskonfigurationen. Behöver du hjälp? Se följande resurser:

  4. När du är klar med att ange inställningarna väljer du Granska + spara.

Konfigurera funktionerna för minskning av attackytan

Minskning av attackytan handlar om att minska antalet platser och hur din organisation är öppen för angrepp. Defender för Endpoint Plan 1 innehåller flera funktioner som hjälper dig att minska dina attackytor över dina slutpunkter. Dessa funktioner visas i följande tabell:

Funktion/funktion Beskrivning
Regler för minskning av attackytan Konfigurera regler för minskning av attackytan för att begränsa programvarubaserade riskfyllda beteenden och hjälpa till att skydda din organisation. Regler för minskning av attackytan är inriktade på vissa programvarubeteenden, till exempel
– Starta körbara filer och skript som försöker ladda ned eller köra filer
– Köra dolda eller på annat sätt misstänkta skript
– Utföra beteenden som appar vanligtvis inte initierar under normalt dagligt arbete

Sådana programvarubeteenden kan ibland ses i legitima program. Dessa beteenden anses dock ofta vara riskfyllda eftersom de ofta missbrukas av angripare via skadlig kod.
Riskreducering av utpressningstrojaner Konfigurera åtgärder mot utpressningstrojaner genom att konfigurera kontrollerad mappåtkomst, vilket hjälper dig att skydda organisationens värdefulla data från skadliga appar och hot, till exempel utpressningstrojaner.
Enhetskontroll Konfigurera inställningar för enhetskontroll för din organisation för att tillåta eller blockera flyttbara enheter (till exempel USB-enheter).
Nätverksskydd Konfigurera nätverksskydd för att förhindra att personer i organisationen använder program som har åtkomst till farliga domäner eller skadligt innehåll på Internet.
Webbskydd Konfigurera skydd mot webbhot för att skydda organisationens enheter från nätfiskewebbplatser, sårbarhetswebbplatser och andra ej betrodda webbplatser eller webbplatser med dåligt rykte. Konfigurera webbinnehållsfiltrering för att spåra och reglera åtkomsten till webbplatser baserat på deras innehållskategorier (till exempel fritid, hög bandbredd, vuxet innehåll eller juridiskt ansvar).
Nätverksbrandvägg Konfigurera nätverksbrandväggen med regler som avgör vilken nätverkstrafik som tillåts komma in i eller gå ut från organisationens enheter.
Applikationskontroll Konfigurera regler för programkontroll om du bara vill tillåta att betrodda program och processer körs på dina Windows-enheter.

Regler för minskning av attackytan

Regler för minskning av attackytan är tillgängliga på enheter som kör Windows. Vi rekommenderar att du använder Intune, enligt följande bild:

Regler för minskning av attackytan i Intune-portalen

  1. Gå till Intune administrationscenter (https://endpoint.microsoft.com) och logga in.

  2. Välj Slutpunktssäkerhet>Minskning av> attackytan+ Skapa princip.

  3. För Plattform väljer du Windows 10 och senare.

  4. För Profil väljer du Regler för minskning av attackytan och väljer sedan Skapa.

  5. På fliken Grundläggande anger du ett namn och en beskrivning för principen och väljer sedan Nästa.

  6. På fliken Konfigurationsinställningar expanderar du Regler för minskning av attackytan.

  7. Ange inställningar för varje regel och välj sedan Nästa. (Mer information om vad varje regel gör finns i Regler för minskning av attackytan.)

  8. Om din organisation använder omfångstaggar på fliken Omfångstaggar väljer du + Välj omfångstaggar och väljer sedan de taggar som du vill använda. Välj sedan Nästa.

    Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.

  9. På fliken Tilldelningar anger du de användare och grupper som principen ska tillämpas på och väljer sedan Nästa. (Mer information om tilldelningar finns i Tilldela användar- och enhetsprofiler i Microsoft Intune.)

  10. Granska inställningarna på fliken Granska + skapa och välj sedan Skapa.

Riskreducering av utpressningstrojaner

Du får risk för utpressningstrojaner via kontrollerad mappåtkomst, vilket endast tillåter att betrodda appar får åtkomst till skyddade mappar på dina slutpunkter.

Vi rekommenderar att du använder Intune för att konfigurera kontrollerad mappåtkomst.

principer för minskning av attackytan i Intune-portalen

  1. Gå till Intune administrationscenter (https://endpoint.microsoft.com) och logga in.

  2. Välj Slutpunktssäkerhet och välj sedan Minskning av attackytan.

  3. Välj + Skapa princip.

  4. För Plattform väljer du Windows 10 och senare och för Profil väljer du Regler för minskning av attackytan. Välj sedan Skapa.

  5. På fliken Grunder namnger du principen och lägger till en beskrivning. Välj Nästa.

  6. På fliken Konfigurationsinställningar går du till avsnittet Regler för minskning av attackytan och rullar ned till slutet. I listrutan Aktivera mappskydd väljer du Aktivera. Du kan också ange följande andra inställningar:

    • Bredvid Lista över ytterligare mappar som behöver skyddas väljer du den nedrullningsbara menyn och lägger sedan till mappar som behöver skyddas.
    • Bredvid Lista över appar som har åtkomst till skyddade mappar väljer du den nedrullningsbara menyn och lägger sedan till appar som ska ha åtkomst till skyddade mappar.
    • Bredvid Exkludera filer och sökvägar från reglerna för minskning av attackytan väljer du den nedrullningsbara menyn och lägger sedan till de filer och sökvägar som måste undantas från reglerna för minskning av attackytan.

    Välj sedan Nästa.

  7. Om din organisation använder omfångstaggar på fliken Omfångstaggar väljer du + Välj omfångstaggar och väljer sedan de taggar som du vill använda. Välj sedan Nästa.

    Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.

  8. På fliken Tilldelningar väljer du Lägg till alla användare och + Lägg till alla enheter och sedan Nästa. (Du kan alternativt ange specifika grupper av användare eller enheter.)

  9. På fliken Granska + skapa granskar du inställningarna för principen och väljer sedan Skapa. Principen tillämpas på alla slutpunkter som har registrerats för Defender för Endpoint inom kort.

Enhetskontroll

Du kan konfigurera Defender för Endpoint för att blockera eller tillåta flyttbara enheter och filer på flyttbara enheter. Vi rekommenderar att du använder Intune för att konfigurera inställningarna för enhetskontroll.

Intune administrativa mallar

  1. Gå till Intune administrationscenter (https://endpoint.microsoft.com) och logga in.

  2. Välj Enheter>Konfigurationsprofiler>Skapa profil.

  3. För Plattform väljer du Windows 10 och senare och för Profiltyp väljer du Mallar.

    Under Mallnamn väljer du Administrativa mallar och sedan Skapa.

  4. På fliken Grunder namnger du principen och lägger till en beskrivning. Välj Nästa.

  5. På fliken Konfigurationsinställningar väljer du Alla inställningar. Skriv sedan i sökrutan Removable för att se alla inställningar som gäller flyttbara enheter.

  6. Välj ett objekt i listan, till exempel Alla flyttbara lagringsklasser: Neka all åtkomst för att öppna dess utfällbara fönster. Den utfällbara menyn för varje inställning förklarar vad som händer när den är aktiverad, inaktiverad eller inte konfigurerad. Välj en inställning och välj sedan OK.

  7. Upprepa steg 6 för varje inställning som du vill konfigurera. Välj sedan Nästa.

  8. Om din organisation använder omfångstaggar på fliken Omfångstaggar väljer du + Välj omfångstaggar och väljer sedan de taggar som du vill använda. Välj sedan Nästa.

    Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.

  9. På fliken Tilldelningar väljer du Lägg till alla användare och + Lägg till alla enheter och sedan Nästa. (Du kan alternativt ange specifika grupper av användare eller enheter.)

  10. På fliken Granska + skapa granskar du inställningarna för principen och väljer sedan Skapa. Principen tillämpas på alla slutpunkter som har registrerats för Defender för Endpoint inom kort.

Nätverksskydd

Med nätverksskydd kan du skydda din organisation mot farliga domäner som kan vara värdar för nätfiskebedrägerier, kryphål och annat skadligt innehåll på Internet. Vi rekommenderar att du använder Intune för att aktivera nätverksskydd.

Endpoint Protection-profil i Intune-portalen

  1. Gå till Intune administrationscenter (https://endpoint.microsoft.com) och logga in.

  2. Välj Enheter>Konfigurationsprofiler>Skapa profil.

  3. För Plattform väljer du Windows 10 och senare och för Profiltyp väljer du Mallar.

    Under Mallnamn väljer du Slutpunktsskydd och sedan Skapa.

  4. På fliken Grunder namnger du principen och lägger till en beskrivning. Välj Nästa.

  5. På fliken Konfigurationsinställningar expanderar du Microsoft Defender Exploit Guard och expanderar sedan Nätverksfiltrering.

    Ange Nätverksskydd till Aktivera. (Du kan välja Granska om du vill se hur nätverksskyddet fungerar i din miljö först.)

    Välj sedan Nästa.

  6. På fliken Tilldelningar väljer du Lägg till alla användare och + Lägg till alla enheter och sedan Nästa. (Du kan alternativt ange specifika grupper av användare eller enheter.)

  7. På fliken Tillämplighetsregler konfigurerar du en regel. Profilen som du konfigurerar tillämpas endast på enheter som uppfyller de kombinerade kriterier som du anger.

    Du kan till exempel välja att tilldela principen till slutpunkter som endast kör en viss OS-utgåva.

    Välj sedan Nästa.

  8. På fliken Granska + skapa granskar du inställningarna för principen och väljer sedan Skapa. Principen tillämpas på alla slutpunkter som har registrerats för Defender för Endpoint inom kort.

Tips

Du kan använda andra metoder, till exempel Windows PowerShell eller grupprincip, för att aktivera nätverksskydd. Mer information finns i Aktivera nätverksskydd.

Webbskydd

Med webbskydd kan du skydda organisationens enheter mot webbhot och oönskat innehåll. Ditt webbskydd omfattar skydd mot webbhot och webbinnehållsfiltrering. Konfigurera båda uppsättningarna med funktioner. Vi rekommenderar att du använder Intune för att konfigurera inställningarna för webbskydd.

Konfigurera skydd mot webbhot

  1. Gå till Intune administrationscenter (https://endpoint.microsoft.com) och logga in.

  2. Välj Minskningav attackytan för slutpunktssäkerhet> och välj sedan + Skapa princip.

  3. Välj en plattform, till exempel Windows 10 och senare, välj webbskyddsprofilen och välj sedan Skapa.

  4. På fliken Grundläggande anger du ett namn och en beskrivning och väljer sedan Nästa.

  5. På fliken Konfigurationsinställningar expanderar du Webbskydd, anger inställningarna i följande tabell och väljer sedan Nästa.

    Inställning Rekommendation
    Aktivera nätverksskydd Ange till Aktiverad. Hindrar användare från att besöka skadliga webbplatser eller domäner.

    Alternativt kan du ställa in nätverksskydd på Granskningsläge för att se hur det fungerar i din miljö. I granskningsläge hindrar inte nätverksskyddet användare från att besöka webbplatser eller domäner, men det spårar identifieringar som händelser.
    Kräv SmartScreen för Microsoft Edge (äldre version) Ange till Ja. Hjälper till att skydda användare från potentiella nätfiskebedrägerier och skadlig programvara.
    Blockera åtkomst till skadlig webbplats Ange till Ja. Hindrar användare från att kringgå varningar om potentiellt skadliga webbplatser.
    Blockera nedladdning av overifierad fil Ange till Ja. Hindrar användare från att kringgå varningarna och ladda ned overifierade filer.
  6. Om din organisation använder omfångstaggar på fliken Omfångstaggar väljer du + Välj omfångstaggar och väljer sedan de taggar som du vill använda. Välj sedan Nästa.

    Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.

  7. På fliken Tilldelningar anger du vilka användare och enheter som ska ta emot webbskyddsprincipen och väljer sedan Nästa.

  8. Granska principinställningarna på fliken Granska + skapa och välj sedan Skapa.

Tips

Mer information om skydd mot webbhot finns i Skydda din organisation mot webbhot.

Konfigurera webbinnehållsfiltrering

  1. Gå till Microsoft Defender-portalen (https://security.microsoft.com/) och logga in.

  2. Välj Inställningar>Slutpunkter.

  3. Under Regler väljer du Webbinnehållsfiltrering och sedan + Lägg till princip.

  4. I den utfällbara menyn Lägg till princip går du till fliken Allmänt , anger ett namn för principen och väljer sedan Nästa.

  5. I kategorierna Blockerade väljer du en eller flera kategorier som du vill blockera och väljer sedan Nästa.

  6. På fliken Omfång väljer du de enhetsgrupper som du vill ta emot den här principen och väljer sedan Nästa.

  7. Granska principinställningarna på fliken Sammanfattning och välj sedan Spara.

Tips

Mer information om hur du konfigurerar webbinnehållsfiltrering finns i Webbinnehållsfiltrering.

Nätverksbrandvägg

Nätverksbrandväggen bidrar till att minska risken för nätverkssäkerhetshot. Säkerhetsteamet kan ange regler som avgör vilken trafik som tillåts flöda till eller från organisationens enheter. Vi rekommenderar att du använder Intune för att konfigurera nätverksbrandväggen.

Brandväggsprincip i Intune-portalen

Följ dessa steg för att konfigurera grundläggande brandväggsinställningar:

  1. Gå till Intune administrationscenter (https://endpoint.microsoft.com) och logga in.

  2. Välj Brandvägg för slutpunktssäkerhet> och välj sedan + Skapa Princip.

  3. Välj en plattform, till exempel Windows 10 och senare, välj profilen Microsoft Defender Firewall och välj sedan Skapa.

  4. På fliken Grundläggande anger du ett namn och en beskrivning och väljer sedan Nästa.

  5. Expandera Microsoft Defender Firewall och rulla sedan ned till slutet av listan.

  6. Ställ in var och en av följande inställningar på Ja:

    • Aktivera Microsoft Defender-brandväggen för domännätverk
    • Aktivera Microsoft Defender brandvägg för privata nätverk
    • Aktivera Microsoft Defender brandvägg för offentliga nätverk

    Granska listan med inställningar under vart och ett av domännätverk, privata nätverk och offentliga nätverk. Du kan låta dem vara inställda på Inte konfigurerade eller ändra dem så att de passar organisationens behov.

    Välj sedan Nästa.

  7. Om din organisation använder omfångstaggar på fliken Omfångstaggar väljer du + Välj omfångstaggar och väljer sedan de taggar som du vill använda. Välj sedan Nästa.

    Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.

  8. På fliken Tilldelningar väljer du Lägg till alla användare och + Lägg till alla enheter och sedan Nästa. (Du kan alternativt ange specifika grupper av användare eller enheter.)

  9. Granska principinställningarna på fliken Granska + skapa och välj sedan Skapa.

Tips

Brandväggsinställningarna är detaljerade och kan verka komplexa. Se Metodtips för att konfigurera Windows Defender-brandväggen.

Applikationskontroll

Windows Defender Application Control (WDAC) skyddar dina Windows-slutpunkter genom att endast tillåta att betrodda program och processer körs. De flesta organisationer använde en stegvis distribution av WDAC. De flesta organisationer distribuerar alltså inte WDAC över alla Windows-slutpunkter först. Beroende på om din organisations Windows-slutpunkter är fullständigt hanterade, lätthanterade eller "Bring Your Own Device"-slutpunkter kan du distribuera WDAC på alla eller vissa slutpunkter.

Information om hur du planerar WDAC-distributionen finns i följande resurser:

Nästa steg

Nu när du har gått igenom konfigurationsprocessen är nästa steg att komma igång med Defender för Endpoint.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.