Registrera Windows-servrar till Microsoft Defender för Endpoint-tjänsten

  • Artikel

Gäller för:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server Semi-Annual Enterprise Channel
  • Windows Server 2019 och senare
  • Windows Server 2019 Core Edition
  • Windows Server 2022
  • Microsoft Defender för Endpoint

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Defender för Endpoint utökar stödet till att även omfatta Windows Server-operativsystemet. Det här stödet ger sömlösa funktioner för identifiering och undersökning av attacker via Microsoft Defender XDR-konsolen. Stöd för Windows Server ger djupare inblick i serveraktiviteter, täckning för identifiering av kernel- och minnesattacker och aktiverar svarsåtgärder.

Den här artikeln beskriver hur du registrerar specifika Windows-servrar för att Microsoft Defender för Endpoint.

Mer information om hur du laddar ned och använder Windows-säkerhet-baslinjer för Windows-servrar finns i Windows-säkerhet Baselines (Baslinjer).

Tips

Som ett komplement till den här artikeln rekommenderar vi att du använder Microsoft Defender för Endpoint automatiserad installationsguide när du är inloggad på Administrationscenter för Microsoft 365. Den här guiden anpassar din upplevelse baserat på din miljö. Om du vill granska metodtipsen utan att logga in och aktivera funktioner för automatisk installation går du till installationsguiden för Microsoft 365.

Översikt över Windows Server-registrering

Du måste utföra följande allmänna steg för att kunna registrera servrar.

En bild av registreringsflödet för Windows-servrar och Windows 10 enheter

Obs!

Windows Hyper-V Server-utgåvor stöds inte.

Integrering med Microsoft Defender för servrar:

Microsoft Defender för Endpoint integreras sömlöst med Microsoft Defender för servrar. Du kan registrera servrar automatiskt, låta servrar övervakas av Microsoft Defender för molnet visas i Defender för Endpoint och utföra detaljerade undersökningar som en Microsoft Defender för molnkunder. Mer information finns i Skydda dina slutpunkter med Defender för molnets integrerade EDR-lösning: Microsoft Defender för Endpoint

Obs!

För Windows Server 2012 R2 och 2016 kan du antingen installera/uppgradera den moderna, enhetliga lösningen manuellt på dessa datorer eller använda integreringen för att automatiskt distribuera eller uppgradera servrar som omfattas av dina respektive Microsoft Defender för serverplanen. Mer information om hur du gör växeln på Skydda dina slutpunkter med Defender för molnets integrerade EDR-lösning: Microsoft Defender för Endpoint.

  • När du använder Microsoft Defender för molnet för att övervaka servrar skapas automatiskt en Defender för Endpoint-klientorganisation (i USA för amerikanska användare, i EU för europeiska användare och i Storbritannien för brittiska användare). Data som samlas in av Defender för Endpoint lagras på den geo-plats för klientorganisationen som identifierades under etableringen.
  • Om du använder Defender för Endpoint innan du använder Microsoft Defender för molnet lagras dina data på den plats som du angav när du skapade din klientorganisation även om du integrerar med Microsoft Defender för molnet vid ett senare tillfälle.
  • När den har konfigurerats kan du inte ändra platsen där dina data lagras. Om du behöver flytta dina data till en annan plats måste du kontakta Microsoft Support för att återställa klientorganisationen.
  • Övervakning av serverslutpunkter med den här integreringen har inaktiverats för Office 365 GCC-kunder.
  • Tidigare tilläts användning av Microsoft Monitoring Agent (MMA) på Windows Server 2016 och tidigare versioner av Windows Server för OMS/Log Analytics-gatewayen för att tillhandahålla anslutning till Defender-molntjänster. Den nya lösningen, som Microsoft Defender för Endpoint på Windows Server 2019, Windows Server 2022 och Windows 10, stöder inte den här gatewayen.
  • Linux-servrar som registreras via Microsoft Defender för molnet har sin första konfiguration inställd på att köra Defender Antivirus i passivt läge.

Windows Server 2012 R2 och Windows Server 2016:

  • Ladda ned installations- och registreringspaket
  • Tillämpa installationspaketet
  • Följ registreringsstegen för motsvarande verktyg

Windows Server Semi-Annual Enterprise Channel och Windows Server 2019:

  • Ladda ned onboarding-paketet
  • Följ registreringsstegen för motsvarande verktyg

Windows Server 2012 R2 och Windows Server 2016

Nya Windows Server 2012 R2- och 2016-funktioner i den moderna enhetliga lösningen

Den tidigare implementeringen (före april 2022) av registrering Windows Server 2012 R2 och Windows Server 2016 krävde användning av Microsoft Monitoring Agent (MMA).

Det nya enhetliga lösningspaketet gör det enklare att registrera servrar genom att ta bort beroenden och installationssteg. Det ger också en mycket utökad funktionsuppsättning. Mer information finns i Försvara Windows Server 2012 R2 och 2016.

Beroende på vilken server du registrerar installerar den enhetliga lösningen Microsoft Defender Antivirus och/eller EDR-sensorn. Följande tabell anger vilken komponent som är installerad och vad som är inbyggt som standard.

Serverversion AV EDR
Windows Server 2012 R2 Ja. Ja.
Windows Server 2016 Inbyggda Ja.
Windows Server 2019 eller senare Inbyggda Inbyggda

Om du tidigare har registrerat dina servrar med hjälp av MMA följer du anvisningarna i Servermigrering för att migrera till den nya lösningen.

Viktigt

Innan du fortsätter med onboarding kan du läsa avsnittet Kända problem och begränsningar i det nya enhetliga lösningspaketet för Windows Server 2012 R2 och 2016.

Förutsättningar

Krav för Windows Server 2012 R2

Om du har uppdaterat dina datorer fullständigt med det senaste månatliga sammanslagningspaketet finns det inga andra krav och kraven nedan kommer redan att fyllas i.

Installationspaketet kontrollerar om följande komponenter redan har installerats via en uppdatering för att bedöma om minimikraven har uppfyllts för en lyckad installation:

Förutsättningar för Windows Server 2016

Vi rekommenderar att du installerar den senaste tillgängliga SSU och LCU på servern.

Krav för att köra med säkerhetslösningar från tredje part

Om du tänker använda en lösning mot skadlig kod från tredje part måste du köra Microsoft Defender Antivirus i passivt läge. Du måste komma ihåg att ställa in på passivt läge under installationen och registreringsprocessen.

Obs!

Om du installerar Microsoft Defender för Endpoint på servrar med McAfee Endpoint Security (ENS) eller VirusScan Enterprise (VSE) kan versionen av McAfee-plattformen behöva uppdateras för att säkerställa att Microsoft Defender Antivirus inte tas bort eller inaktiveras. Mer information, inklusive de specifika versionsnummer som krävs, finns i artikeln McAfee Knowledge Center.

Uppdatera paket för Microsoft Defender för Endpoint på Windows Server 2012 R2 och 2016

Om du vill få regelbundna produktförbättringar och korrigeringar för EDR Sensor-komponenten ska du se till att Windows Update KB5005292 tillämpas eller godkänns. Information om hur du håller skyddskomponenterna uppdaterade finns dessutom i Hantera Microsoft Defender Antivirus-uppdateringar och tillämpa baslinjer.

Om du använder Windows Server Update Services (WSUS) och/eller Microsoft Endpoint Configuration Manager är den här nya "Microsoft Defender för Endpoint-uppdateringen för EDR Sensor" tillgänglig under kategorin " Microsoft Defender för Endpoint".

Sammanfattning av registreringssteg

STEG 1: Ladda ned installations- och registreringspaket

Du måste ladda ned både installations- och registreringspaketen från portalen.

Obs!

Installationspaketet uppdateras varje månad. Se till att ladda ned det senaste paketet före användning. Om du vill uppdatera efter installationen behöver du inte köra installationspaketet igen. Om du gör det ber installationsprogrammet dig att avregistrera dig först eftersom det är ett krav för avinstallation. Se Uppdatera paket för Microsoft Defender för Endpoint på Windows Server 2012 R2 och 2016.

Bild av instrumentpanelen för registrering

Obs!

I Windows Server 2012R2 installeras Microsoft Defender Antivirus av installationspaketet och är aktivt om du inte ställer in det på passivt läge. På Windows Server 2016 måste Microsoft Defender Antivirus installeras som en funktion (se Växla till MDE) först och helt uppdaterat innan du fortsätter med installationen.

Om du kör en icke-Microsoft-lösning mot skadlig kod ser du till att du lägger till undantag för Microsoft Defender Antivirus (från den här listan över Microsoft Defender processer på fliken Defender-processer) i lösningen som inte kommer från Microsoft före installationen. Vi rekommenderar också att du lägger till säkerhetslösningar som inte kommer från Microsoft i listan med Undantag för Defender Antivirus.

Installationspaketet innehåller en MSI-fil som installerar Microsoft Defender för Endpoint-agenten.

Registreringspaketet innehåller följande fil:

  • WindowsDefenderATPOnboardingScript.cmd – innehåller registreringsskriptet

Följ dessa steg för att ladda ned paketen:

  1. I Microsoft Defender XDR går du till Inställningar > Slutpunktsregistrering>.

  2. Välj Windows Server 2012 R2 och 2016.

  3. Välj Ladda ned installationspaket och spara .msi-filen.

  4. Välj Ladda ned registreringspaket och spara .zip-filen.

  5. Installera installationspaketet med något av alternativen för att installera Microsoft Defender Antivirus. Installationen kräver administratörsbehörighet.

Viktigt

Ett lokalt registreringsskript är lämpligt för konceptbevis men bör inte användas för produktionsdistribution. För en produktionsdistribution rekommenderar vi att du använder grupprincip eller Microsoft Endpoint Configuration Manager.

STEG 2: Tillämpa installations- och registreringspaketet

I det här steget installerar du de komponenter för förebyggande och identifiering som krävs innan du registrerar enheten i Microsoft Defender för Endpoint molnmiljö för att förbereda datorn för registrering. Kontrollera att alla krav har uppfyllts .

Obs!

Microsoft Defender Antivirus installeras och är aktivt om du inte ställer in det på passivt läge.

Alternativ för att installera Microsoft Defender för Endpoint paket

I föregående avsnitt laddade du ned ett installationspaket. Installationspaketet innehåller installationsprogrammet för alla Microsoft Defender för Endpoint komponenter.

Du kan använda något av följande alternativ för att installera agenten:

Installera Microsoft Defender för slutpunkt med hjälp av kommandoraden

Använd installationspaketet från föregående steg för att installera Microsoft Defender för Endpoint.

Kör följande kommando för att installera Microsoft Defender för Endpoint:

Msiexec /i md4ws.msi /quiet

Om du vill avinstallera kontrollerar du att datorn är avregistrerad först med lämpligt avregistreringsskript. Använd sedan Kontrollpanelen > Program > och funktioner för att utföra avinstallationen.

Du kan också köra följande avinstallationskommando för att avinstallera Microsoft Defender för Endpoint:

Msiexec /x md4ws.msi /quiet

Du måste använda samma paket som du använde för installationen för att kommandot ovan ska lyckas.

Växeln /quiet undertrycker alla meddelanden.

Obs!

Microsoft Defender Antivirus hamnar inte automatiskt i passivt läge. Du kan välja att ange att Microsoft Defender Antivirus ska köras i passivt läge om du kör en antivirus-/programlösning som inte kommer från Microsoft. För kommandoradsinstallationer anger det valfria FORCEPASSIVEMODE=1 omedelbart Microsoft Defender Antivirus-komponenten till passivt läge för att undvika störningar. För att säkerställa att Defender Antivirus förblir i passivt läge efter registrering för att stödja funktioner som EDR Block anger du registernyckeln "ForceDefenderPassiveMode".

Stöd för Windows Server ger djupare inblick i serveraktiviteter, täckning för identifiering av kernel- och minnesattacker och aktiverar svarsåtgärder.

Installera Microsoft Defender för Endpoint med ett skript

Du kan använda installationshjälpskriptet för att automatisera installation, avinstallation och registrering.

Obs!

Installationsskriptet är signerat. Eventuella ändringar av skriptet ogiltigförklarar signaturen. När du laddar ned skriptet från GitHub är den rekommenderade metoden för att undvika oavsiktlig ändring att ladda ned källfilerna som ett zip-arkiv och sedan extrahera det för att hämta den install.ps1 filen (på huvudsidan Kod klickar du på listrutan Kod och väljer "Ladda ned ZIP").

Det här skriptet kan användas i olika scenarier, inklusive de scenarier som beskrivs i Scenarier för servermigrering från den tidigare MMA-baserade Microsoft Defender för Endpoint-lösningen och för distribution med hjälp av grupprincip enligt beskrivningen nedan.

Använd Microsoft Defender för Endpoint installations- och registreringspaket med grupprincip när du utför installationen med ett installationsskript

  1. Skapa en grupprincip:
    Öppna grupprincip-hanteringskonsolen (GPMC), högerklicka grupprincip objekt som du vill konfigurera och välj Ny. Ange namnet på det nya grupprincipobjektet i dialogrutan som visas och välj OK.

  2. Öppna grupprincip-hanteringskonsolen (GPMC), högerklicka på det grupprincip objekt (GPO) som du vill konfigurera och välj Redigera.

  3. I grupprincip Management Editor går du till Datorkonfiguration, sedan Inställningar och sedan Inställningar på Kontrollpanelen.

  4. Högerklicka på Schemalagda aktiviteter, peka på Ny och klicka sedan på Omedelbar aktivitet (Minst Windows 7).

  5. I fönstret Aktivitet som öppnas går du till fliken Allmänt . Under Säkerhetsalternativ väljer du Ändra användare eller grupp och skriver SYSTEM och väljer sedan Kontrollera namn och sedan OK. NT AUTHORITY\SYSTEM visas som användarkontot som aktiviteten ska köras som.

  6. Välj Kör om användaren är inloggad eller inte och markera kryssrutan Kör med högsta behörighet .

  7. I fältet Namn anger du ett lämpligt namn för den schemalagda aktiviteten (till exempel Defender för slutpunktsdistribution).

  8. Gå till fliken Åtgärder och välj Ny... Kontrollera att Starta ett program är markerat i fältet Åtgärd . Installationsskriptet hanterar installationen och utför omedelbart registreringssteget när installationen är klar. Välj C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ange sedan argumenten:

     -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd

    Obs!

    Den rekommenderade körningsprincipinställningen är Allsigned. Detta kräver att du importerar skriptets signeringscertifikat till arkivet Betrodda utgivare för lokal dator om skriptet körs som SYSTEM på slutpunkten.

    Ersätt \\servername-or-dfs-space\share-name med UNC-sökvägen med filserverns fullständigt kvalificerade domännamn (FQDN) för den delade install.ps1 filen. Installationspaketet md4ws.msi måste placeras i samma katalog. Kontrollera att behörigheterna för UNC-sökvägen tillåter skrivåtkomst till datorkontot som installerar paketet för att skapa loggfiler. Om du vill inaktivera skapandet av loggfiler (rekommenderas inte) kan du använda parametrarna -noETL -noMSILog.

    För scenarier där du vill att Microsoft Defender Antivirus ska samexistera med icke-Microsoft-lösningar för program mot skadlig kod lägger du till parametern $Passive för att ange passivt läge under installationen.

  9. Välj OK och stäng alla öppna GPMC-fönster.

  10. Om du vill länka grupprincipobjektet till en organisationsenhet (OU) högerklickar du på och väljer Länka ett befintligt grupprincipobjekt. I dialogrutan som visas väljer du det grupprincip objekt som du vill länka. Välj OK.

Fler konfigurationsinställningar finns i Konfigurera exempelsamlingsinställningar och Andra rekommenderade konfigurationsinställningar.

STEG 3: Slutför registreringsstegen

Följande steg gäller endast om du använder en lösning mot skadlig kod från tredje part. Du måste använda följande inställning Microsoft Defender Passivt antivirusläge. Kontrollera att den har konfigurerats korrekt:

  1. Ange följande registerpost:

    • Sökvägen: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • Namn: ForceDefenderPassiveMode
    • Typ: REG_DWORD
    • Värde: 1

    Verifieringsresultatet för passivt läge

Kända problem och begränsningar i det nya enhetliga lösningspaketet för Windows Server 2012 R2 och 2016

Viktigt

Ladda alltid ned det senaste installationspaketet från Microsoft Defender-portalen (https://security.microsoft.com) innan du utför en ny installation och se till att kraven har uppfyllts. Efter installationen bör du regelbundet uppdatera med hjälp av komponentuppdateringar som beskrivs i avsnittet Uppdateringspaket för Microsoft Defender för Endpoint på Windows Server 2012 R2 och 2016.

  • En uppdatering av operativsystemet kan medföra ett installationsproblem på datorer med långsammare diskar på grund av en timeout med tjänstinstallation. Installationen misslyckas med meddelandet "Det gick inte att hitta c:\program files\windows defender\mpasdesc.dll, – 310 WinDefend". Använd det senaste installationspaketet och det senaste install.ps1 skriptet för att rensa den misslyckade installationen om det behövs.
  • Vi har identifierat ett problem med Windows Server 2012 R2-anslutning till molnet när statisk TelemetryProxyServer används och URL:erna för listan över återkallade certifikat (CRL) inte kan nås från SYSTEM-kontokontexten. Se till att EDR-sensorn har uppdaterats till version 10.8210.* eller senare (med KB5005292) för att lösa problemet. Du kan också använda ett annat proxyalternativ ("systemomfattande") som tillhandahåller en sådan anslutning eller konfigurera samma proxy via WinInet-inställningen i SYSTEM-kontokontexten.
  • På Windows Server 2012 R2 finns det inget användargränssnitt för Microsoft Defender Antivirus. Dessutom tillåter användargränssnittet på Windows Server 2016 endast grundläggande åtgärder. Information om hur du utför åtgärder på en enhet lokalt finns i Hantera Microsoft Defender för Endpoint med PowerShell, WMI och MPCmdRun.exe. Därför kanske funktioner som specifikt förlitar sig på användarinteraktion, till exempel när användaren uppmanas att fatta ett beslut eller utföra en viss uppgift, inte fungerar som förväntat. Vi rekommenderar att du inaktiverar eller inte aktiverar användargränssnittet eller kräver användarinteraktion på någon hanterad server eftersom det kan påverka skyddsfunktionen.
  • Alla regler för minskning av attackytan gäller inte för alla operativsystem. Se Regler för minskning av attackytan.
  • Operativsystemuppgraderingar stöds inte. Avinstallera sedan innan du uppgraderar. Installationspaketet kan bara användas för att uppgradera installationer som ännu inte har uppdaterats med nya program mot skadlig kod eller EDR-sensoruppdateringspaket.
  • Automatiska undantag för serverroller stöds inte på Windows Server 2012 R2, men inbyggda undantag för operativsystemfiler är det. Mer information om hur du lägger till undantag finns i Konfigurera Microsoft Defender Antivirus-undantag på Windows Server.
  • Om du vill distribuera och publicera den nya lösningen automatiskt med hjälp av Microsoft Endpoint Configuration Manager (MECM) måste du ha version 2207 eller senare. Du kan fortfarande konfigurera och distribuera med hjälp av version 2107 med den samlade snabbkorrigeringen, men detta kräver ytterligare distributionssteg. Mer information finns i Microsoft Endpoint Configuration Manager migreringsscenarier.

Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019 och Windows Server 2022

Ladda ned paket

  1. I Microsoft Defender XDR går du till Inställningar > Slutpunkter > Enhetshantering > Onboarding.

  2. Välj Windows Server 1803 och 2019.

  3. Välj Ladda ned paket. Spara den som WindowsDefenderATPOnboardingPackage.zip.

  4. Följ stegen i avsnittet Slutför registreringsstegen .

Verifiera registrering och installation

Kontrollera att Microsoft Defender Antivirus och Microsoft Defender för Endpoint körs.

Kör ett identifieringstest för att verifiera registrering

När du har registrerat enheten kan du välja att köra ett identifieringstest för att kontrollera att en enhet är korrekt registrerad i tjänsten. Mer information finns i Köra ett identifieringstest på en nyligen registrerad Microsoft Defender för Endpoint enhet.

Obs!

Det krävs inte att köra Microsoft Defender Antivirus, men det rekommenderas. Om en annan antivirusleverantör är den primära slutpunktsskyddslösningen kan du köra Defender Antivirus i passivt läge. Du kan bara bekräfta att passivt läge är aktiverat när du har kontrollerat att Microsoft Defender för Endpoint sensor (SENSE) körs.

  1. Kör följande kommando för att kontrollera att Microsoft Defender Antivirus är installerat:

    Obs!

    Det här verifieringssteget krävs bara om du använder Microsoft Defender Antivirus som din aktiva lösning för program mot skadlig kod.

    sc.exe query Windefend

    Om resultatet är "Den angivna tjänsten finns inte som en installerad tjänst" måste du installera Microsoft Defender Antivirus.

    Information om hur du använder grupprincip för att konfigurera och hantera Microsoft Defender Antivirus på dina Windows-servrar finns i Använda grupprincip-inställningar för att konfigurera och hantera Microsoft Defender Antivirus.

  2. Kör följande kommando för att kontrollera att Microsoft Defender för Endpoint körs:

    sc.exe query sense

    Resultatet bör visa att det körs. Om du stöter på problem med registrering läser du Felsöka registrering.

Köra ett identifieringstest

Följ stegen i Kör ett identifieringstest på en nyligen registrerad enhet för att kontrollera att servern rapporterar till Defender för Endpoint-tjänsten.

Nästa steg

När du har registrerat enheter till tjänsten måste du konfigurera de enskilda komponenterna i Microsoft Defender för Endpoint. Följ Konfigurera funktioner för att få vägledning om hur du aktiverar de olika komponenterna.

Avregistrera Windows-servrar

Du kan avregistrera Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019 och Windows Server 2019 Core Edition i samma metod som är tillgänglig för Windows 10 klientenheter.

Efter avregistreringen kan du fortsätta att avinstallera det enhetliga lösningspaketet på Windows Server 2012 R2 och Windows Server 2016.

För andra Windows Server-versioner har du två alternativ för att avregistrera Windows-servrar från tjänsten:

  • Avinstallera MMA-agenten
  • Ta bort konfigurationen av Arbetsytan Defender för Endpoint

Obs!

Dessa avregistreringsinstruktioner för andra Windows Server-versioner gäller även om du kör föregående Microsoft Defender för Endpoint för Windows Server 2016 och Windows Server 2012 R2 som kräver MMA. Instruktioner för att migrera till den nya enhetliga lösningen finns i Scenarier för servermigrering i Microsoft Defender för Endpoint.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.