Registrera tidigare versioner av Windows

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Plattformar

• Windows 7 SP1 Enterprise
• Windows 7 SP1 Pro
• Windows 8.1 Pro
• Windows 8.1 Enterprise
• Windows Server 2008 R2 SP1

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Defender för Endpoint utökar stödet till att omfatta operativsystem på låg nivå, vilket ger avancerade funktioner för identifiering och undersökning av attacker i Windows-versioner som stöds.

Om du vill registrera Windows-klientslutpunkter på nednivå till Defender för Endpoint måste du:

• Konfigurera och uppdatera System Center Endpoint Protection klienter
• Installera och konfigurera Microsoft Monitoring Agent (MMA) för att rapportera sensordata

För Windows Server 2008 R2 SP1 har du möjlighet att registrera dig via Microsoft Defender för molnet.

Obs!

Defender för slutpunkts fristående serverlicens krävs per nod för att kunna registrera en Windows-server via Microsoft Monitoring Agent (alternativ 1). Alternativt krävs en Microsoft Defender för serverlicens per nod för att registrera en Windows-server via Microsoft Defender för molnet (alternativ 2) i Funktioner som stöds i Microsoft Defender för molnet.

Tips

När du har registrerat enheten kan du välja att köra ett identifieringstest för att kontrollera att den är korrekt registrerad i tjänsten. Mer information finns i Köra ett identifieringstest på en nyligen registrerad Defender för Endpoint-slutpunkt.

Konfigurera och uppdatera System Center Endpoint Protection klienter

Defender för Endpoint integreras med System Center Endpoint Protection för att ge insyn i identifiering av skadlig kod och för att stoppa spridningen av en attack i din organisation genom att förbjuda potentiellt skadliga filer eller misstänkt skadlig kod.

Följande steg krävs för att aktivera den här integreringen:

• Installera uppdateringen av plattformen för skydd mot skadlig kod i januari 2017 för Endpoint Protection-klienter
• Konfigurera SCEP-klientens Cloud Protection Service-medlemskap till inställningen Avancerat
• Konfigurera nätverket så att det tillåter anslutningar till Microsoft Defender Antivirus-molnet. Mer information finns i Konfigurera och verifiera Microsoft Defender Antivirus-nätverksanslutningar

Installera och konfigurera Microsoft Monitoring Agent (MMA)

Innan du börjar

Granska följande information för att kontrollera minimikraven för systemet:

• Installera månadsuppdateringslänken för februari 2018 – direktnedladdning från Windows Update-katalogen finns här

• Installera uppdatering av servicestacken den 12 mars 2019 (eller senare) – Direktnedladdningslänk från Windows Update-katalogen finns här

• Installera sha-2-kodsigneringssupportuppdateringen – Direkt nedladdningslänk från Windows Update-katalogen finns här

  Obs!

  Gäller endast för Windows Server 2008 R2, Windows 7 SP1 Enterprise och Windows 7 SP1 Pro.

• Installera uppdatering för kundupplevelse och diagnostiktelemetri

• Installera Microsoft .Net Framework 4.5.2 eller senare

  Obs!

  Installationen av .NET 4.5 kan kräva att du startar om datorn efter installationen.

• Uppfylla minimikraven för Azure Log Analytics-agentens system. Mer information finns i Samla in data från datorer i din miljö med Log Analytics

Installationssteg

1. Ladda ned installationsfilen för agenten: Windows 64-bitarsagent eller Windows 32-bitarsagent.

   Obs!

   På grund av utfasningen av SHA-1-stöd från MMA-agenten måste MMA-agenten vara version 10.20.18029 eller senare.

2. Hämta arbetsytans ID:

   • I navigeringsfönstret Defender för Endpoint väljer du Inställningar > Enhetshantering > Registrering
   • Välj operativsystemet
   • Kopiera arbetsytans ID och arbetsytenyckel

3. Med hjälp av arbetsyte-ID och arbetsytenyckel väljer du någon av följande installationsmetoder för att installera agenten:

   • Installera agenten manuellt med hjälp av konfigurationen.

     På sidan Installationsalternativ för agent väljer du Anslut agenten till Azure Log Analytics (OMS)

   • Installera agenten med hjälp av kommandoraden.

   • Konfigurera agenten med hjälp av ett skript.

   Obs!

   Om du är en us government-kund måste du under "Azure Cloud" välja "Azure US Government" om du använder installationsguiden, eller om du använder en kommandorad eller ett skript – ange parametern "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" till 1.

4. Om du använder en proxy för att ansluta till Internet läser du avsnittet Konfigurera inställningar för proxy och Internetanslutning.

När du är klar bör du se registrerade slutpunkter i portalen inom en timme.

Konfigurera inställningar för proxy- och Internetanslutning

Om dina servrar behöver använda en proxy för att kommunicera med Defender för Endpoint använder du någon av följande metoder för att konfigurera MMA för att använda proxyservern:

• Konfigurera MMA för att använda en proxyserver

• Konfigurera Windows för att använda en proxyserver för alla anslutningar

Om en proxy eller brandvägg används kontrollerar du att servrarna kan komma åt alla url:er för Microsoft Defender för Endpoint-tjänsten direkt och utan SSL-avlyssning. Mer information finns i Aktivera åtkomst till Microsoft Defender för Endpoint-tjänst-URL:er. Användning av SSL-avlyssning förhindrar att systemet kommunicerar med Tjänsten Defender för Endpoint.

När du är klar bör du se registrerade Windows-servrar i portalen inom en timme.

Registrera Windows-servrar via Microsoft Defender för molnet

1. I navigeringsfönstret Microsoft Defender XDR väljer du Inställningar>Slutpunkter>Enhetshantering>Registrering.

2. Välj Windows Server 2008 R2 SP1 som operativsystem.

3. Klicka på Publicera servrar i Microsoft Defender för molnet.

4. Följ onboarding-anvisningarna i Microsoft Defender för Endpoint med Microsoft Defender för molnet och Om du använder Azure ARC följer du registreringsanvisningarna i Aktivera integrering av Microsoft Defender för Endpoint.

När du har slutfört registreringsstegen måste du konfigurera och uppdatera System Center Endpoint Protection klienter.

Obs!

• För registrering via Microsoft Defender för att servrar ska fungera som förväntat måste servern ha en lämplig arbetsyta och nyckel konfigurerad i INSTÄLLNINGARNA för Microsoft Monitoring Agent (MMA).
• När det har konfigurerats distribueras lämpligt molnhanteringspaket på datorn och sensorprocessen (MsSenseS.exe) distribueras och startas.
• Detta krävs också om servern är konfigurerad att använda en OMS Gateway-server som proxy.

Verifiera registrering

Kontrollera att Microsoft Defender Antivirus och Microsoft Defender för Endpoint körs.

Obs!

Det krävs inte att köra Microsoft Defender Antivirus, men det rekommenderas. Om en annan antivirusleverantör är den primära slutpunktsskyddslösningen kan du köra Defender Antivirus i passivt läge. Du kan bara bekräfta att passivt läge är aktiverat när du har kontrollerat att Microsoft Defender för Endpoint sensor (SENSE) körs.

Obs!

Eftersom Microsoft Defender Antivirus endast stöds för Windows 10 och Windows 11 gäller inte steg 1 när du kör Windows Server 2008 R2 SP1.

1. Kör följande kommando för att kontrollera att Microsoft Defender Antivirus är installerat:

   sc.exe query Windefend
   

   Om resultatet är "Den angivna tjänsten finns inte som en installerad tjänst" måste du installera Microsoft Defender Antivirus. Mer information finns i Microsoft Defender Antivirus i Windows 10.

   Information om hur du använder grupprincip för att konfigurera och hantera Microsoft Defender Antivirus på dina Windows-servrar finns i Använda grupprincip-inställningar för att konfigurera och hantera Microsoft Defender Antivirus.

Om du stöter på problem med registrering läser du Felsöka registrering.

Köra ett identifieringstest

Följ stegen i Kör ett identifieringstest på en nyligen registrerad enhet för att kontrollera att servern rapporterar till Defender för Endpoint-tjänsten.

Registrera slutpunkter utan hanteringslösning

Använd Grupprincip

Steg 1: Ladda ned motsvarande uppdatering för slutpunkten.

1. Gå till c:\windows\sysvol\domain\scripts (Ändringskontroll kan behövas på en av domänkontrollanterna.)

2. Skapa en mapp med namnet MMA.

3. Ladda ned följande och placera dem i MMA-mappen:

   • Uppdatering för kundupplevelse och diagnostiktelemetri:
     • För Windows Server 2008 R2 x64

   För Windows Server 2008 R2 SP1 krävs även följande uppdateringar:

   Månadsuppslagning februari 2018 – KB4074598 (Windows Server 2008 R2)

   Microsoft Update Catalog
   Ladda ned uppdateringar för Windows Server 2008 R2 x64

   .NET Framework 3.5.1 (KB315418)
   För Windows Server 2008 R2 x64

   Obs!

   Den här artikeln förutsätter att du använder x64-baserade servrar (MMA Agent .exe x64 Ny SHA-2-kompatibel version).

Steg 2: Skapa ett filnamn DeployMMA.cmd (med anteckningar) Lägg till följande rader i cmd-filen. Observera att du behöver ditt arbetsyte-ID och nyckel.

Följande kommando är ett exempel. Ersätt följande värden:

• KB – Använd tillämplig KB som är relevant för slutpunkten som du registrerar
• Arbetsyte-ID och NYCKEL – Använd ditt ID och nyckel

@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

grupprincip konfiguration

Skapa en ny grupprincip specifikt för registrering av enheter, till exempel "Microsoft Defender för Endpoint Onboarding".

• Skapa en grupprincip mapp med namnet "c:\windows\MMA"

  

  Då läggs en ny mapp till på varje server som tillämpar grupprincipobjektet, som kallas MMA, och som lagras i c:\windows. Detta innehåller installationsfilerna för MMA, krav och installationsskript.

• Skapa en grupprincip Files-inställning för var och en av filerna som lagras i Net-inloggning.

  

Den kopierar filerna från DOMAIN\NETLOGON\MMA\filename till C:\windows\MMA\filename – så att installationsfilerna är lokala på servern:

Upprepa processen men skapa objektnivåmål på fliken COMMON, så att filen bara kopieras till lämplig plattforms-/operativsystemversion i omfånget:

För Windows Server 2008 R2 behöver du (och den kopieras bara ned) följande:

• Windows6.1-KB3080149-x64.msu
• Windows6.1-KB3154518-x64.msu
• Windows6.1-KB4075598-x64.msu

När detta är klart måste du skapa en princip för startskript:

Namnet på filen som ska köras här är c:\windows\MMA\DeployMMA.cmd. När servern har startats om som en del av startprocessen kommer den att installera uppdateringen för kundupplevelse och diagnostiktelemetri KB och sedan installera MMA-agenten medan du anger arbetsyte-ID och nyckel, och servern kommer att registreras.

Du kan också använda en omedelbar uppgift för att köra deployMMA.cmd om du inte vill starta om alla servrar.

Detta kan göras i två faser. Skapa först filerna och mappen i grupprincipobjektet – Ge systemet tid att se till att grupprincipobjektet har tillämpats och att alla servrar har installationsfilerna. Lägg sedan till den omedelbara uppgiften. Detta ger samma resultat utan att en omstart krävs.

Eftersom skriptet har en avslutsmetod och inte körs igen om MMA är installerat kan du också använda en daglig schemalagd aktivitet för att uppnå samma resultat. På samma sätt som en Configuration Manager efterlevnadsprincip kontrolleras den dagligen för att säkerställa att MMA finns.

Som nämns i registreringsdokumentationen för Server specifikt kring Server 2008 R2, se nedan: För Windows Server 2008 R2 SP1, se till att du uppfyller följande krav:

• Installera den samlade månadsuppdateringen för februari 2018
• Installera antingen .NET Framework 4.5 (eller senare) eller KB3154518

Kontrollera att kb:erna finns innan du registrerar Windows Server 2008 R2. Med den här processen kan du registrera alla servrar om du inte har Configuration Manager hantera servrar.

Avregistrera slutpunkter

Du har två alternativ för att avregistrera Windows-slutpunkter från tjänsten:

• Avinstallera MMA-agenten
• Ta bort konfigurationen av Arbetsytan Defender för Endpoint

Obs!

Avregistrering gör att Windows-slutpunkten slutar skicka sensordata till portalen, men data från slutpunkten, inklusive hänvisningar till eventuella aviseringar som den har haft kommer att behållas i upp till 6 månader.

Avinstallera MMA-agenten

Om du vill avregistrera Windows-slutpunkten kan du avinstallera MMA-agenten eller koppla från den från att rapportera till din Defender för Endpoint-arbetsyta. När agenten har avregistrerats skickar slutpunkten inte längre sensordata till Defender för Endpoint. Mer information finns i Inaktivera en agent.

Ta bort konfigurationen av Arbetsytan Defender för Endpoint

Du kan använda någon av följande metoder:

• Ta bort konfigurationen av Defender för Endpoint-arbetsytan från MMA-agenten
• Kör ett PowerShell-kommando för att ta bort konfigurationen

Ta bort konfigurationen av Defender för Endpoint-arbetsytan från MMA-agenten

1. I Egenskaper för Microsoft Monitoring Agent väljer du fliken Azure Log Analytics (OMS).

2. Välj arbetsytan Defender för Endpoint och klicka på Ta bort.

   

Kör ett PowerShell-kommando för att ta bort konfigurationen

1. Hämta ditt arbetsyte-ID:

   1. I navigeringsfönstret väljer du Inställningar>Registrering.
   2. Välj det relevanta operativsystemet och hämta ditt arbetsyte-ID.

2. Öppna en upphöjd PowerShell och kör följande kommando. Använd det arbetsyte-ID som du fick och ersätt WorkspaceID:

   $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
   
   # Remove OMS Workspace
   $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
   
   # Reload the configuration and apply changes
   $AgentCfg.ReloadConfiguration()
   

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.