安装 Microsoft Defender for Identity 传感器
本文章介绍了如何安装 Microsoft Defender for Identity 传感器,包含独立传感器。 默认推荐使用 UI。 但是:
在 Windows Server Core 上安装传感器时,或通过软件部署系统部署传感器时,请按照无提示安装步骤进行操作。
如果使用的是代理,我们建议一起从命令行安装传感器并配置代理。 如果稍后需要更新代理设置,请使用 PowerShell 或 CLI。 有关详细信息,请参阅配置端点代理和 Internet 连接设置。
先决条件
在开始之前,请确保已做好以下准备:
所下载的 Defender for Identity 传感器安装包副本以及访问密钥。
计算机上已安装 Microsoft .NET Framework 4.7 或更高版本。 若未安装 Microsoft .NET Framework 4.7 或更高版本,则 Defender for Identity 传感器安装包会安装它,这可能需要重启服务器。
相关服务器规范和网络要求。 有关详细信息,请参阅:
计算机上受信任的根证书。 如果缺少受信任的根 CA 签名证书,可能会收到连接错误。
使用 UI 安装传感器
在域控制器或 AD FS/AD CS 服务器上执行以下步骤。
验证计算机是否已连接到相关 Defender for Identity 云服务终结点。
从 zip 文件中提取安装文件。 直接从 zip 文件安装会导致安装失败。
使用提升的权限运行 Azure ATP sensor setup.exe(以管理员身份运行),并按照安装向导进行操作。
在欢迎页上选择你的语言,然后选择下一步。 例如:
安装向导将自动检查服务器是域控制器、AD FS 服务器、AC CS 服务器还是专用服务器。
- 如果是域控制器/AD FS 服务器/AD CS 服务器,则安装 Defender for Identity 传感器。
- 如果是专用服务器,则安装 Defender for Identity 独立传感器。
例如,对于 Defender for Identity 传感器,会显示以下屏幕,提示将在专用服务器上安装 Defender for Identity 传感器:
选择下一步。
如果域控制器/AD FS 服务器/AD CS 或专用服务器不符合安装的最低硬件要求,将会发出警告。
该警告不会阻止你选择下一步并继续安装,这可能仍然是正确的选项。 例如,在安装小型实验室测试环境时,只需要较少的数据存储空间。
对于生产环境,我们强烈建议使用 Defender for Identity 的容量规划指南,以确保域控制器或专用服务器符合必要的要求。
在配置传感器屏幕上,输入安装路径和设置包访问密钥。 例如:
输入以下详细信息:
- 安装路径:Defender for Identity 传感器的安装位置。 默认情况下,路径为
%programfiles%\Azure Advanced Threat Protection sensor。 保留默认值。 - 访问密钥:已在上一步中从 Microsoft Defender 门户检索得到。
- 安装路径:Defender for Identity 传感器的安装位置。 默认情况下,路径为
选择安装。 以下组件是在安装 Defender for Identity 传感器期间安装和配置的:
Defender for Identity 传感器服务和 Defender for Identity 传感器更新程序服务
Npcap OEM 版本 1.0
重要
- 如果没有其他版本的 Npcap,则会自动安装 Npcap OEM 版本 1.0。 如果由于其他软件要求或任何其他原因已安装 Npcap,请务必确保为版本 1.0 或更高版本,并且已使用 Defender for Identity 所需的设置进行安装。
查看传感器版本
自版本 2.176 起,从新软件包安装该传感器时,添加/删除程序下的传感器版本会显示完整版本号,如 2.176.x.y,而不像之前一样显示静态的 2.0.0.0。
即使在从 Defender for Identity 云服务运行自动更新后,已安装的版本仍会继续显示。
在 Microsoft Defender XDR 传感器设置页面、可执行路径或文件版本中查看传感器的真实版本。
Defender for Identity 传感器无提示安装
Defender for Identity 无提示安装配置为在安装结束时自动重启服务器(如有必要)。
请确保仅在维护时段期间安排无提示安装。 由于 Windows Installer 的错误,使用 norestart 标志可能无法可靠地确保服务器不会重启。
要跟踪你的部署进度,请监视位于 %AppData%\Local\Temp 中的 Defender for Identity 安装程序日志。
通过部署系统进行无提示安装
通过 System Center Configuration Manager 或其他软件部署系统无提示部署 Defender for Identity 传感器时,我们建议创建两个部署包:
- Net Framework 4.7 或更高版本,其中可能包含重新启动域控制器
- Defender for Identity 传感器
使 Defender for Identity 传感器包依赖于 .NET Framework 包的部署。 如果需要,请获取 .Net Framework 4.7 离线部署包。
运行无提示安装
使用以下命令,使用在上一步骤中拷贝的访问密钥,完全无提示安装 Defender for Identity 传感器。
cmd.exe 语法:
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"
PowerShell 语法:
.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"
注意
使用 Powershell 语法时,省略 .\ 序言会导致错误,从而阻止无提示安装。
安装选项:
| 名称 | 语法 | 是否是无提示安装所必需的? | 说明 |
|---|---|---|---|
Quiet |
/quiet |
是 | 在不显示 UI 且无提示的情况下运行安装程序。 |
Help |
/help |
否 | 提供帮助和快速引用。 显示安装命令的正确使用方法,包括一个显示全部选项和行为的列表。 |
NetFrameworkCommandLineArguments="/q" |
NetFrameworkCommandLineArguments="/q" |
是 | 指定 .NET Framework 安装的参数。 必须设置为强制进行 .NET Framework 无提示安装。 |
安装参数:
| 名称 | 语法 | 是否是无提示安装所必需的? | 说明 |
|---|---|---|---|
InstallationPath |
InstallationPath="" |
否 | 设置 Defender for Identity 传感器二进制文件的安装路径。 默认路径:%programfiles%\Azure Advanced Threat Protection Sensor |
AccessKey |
AccessKey="\*\*" |
是 | 设置在 Defender for Identity 工作区中注册 Defender for Identity 传感器所使用的访问密钥。 |
AccessKeyFile |
AccessKeyFile="" |
否 | 根据提供的文本文件路径设置工作区访问密钥。 |
DelayedUpdate |
DelayedUpdate=true |
否 | 将传感器的更新机制设置为从每次服务更新的正式发布起将更新延迟 72 小时。 有关详细信息,请参阅延迟传感器更新。 |
LogsPath |
LogsPath="" |
否 | 为 Defender for Identity 传感器日志设置路径。 默认路径:%programfiles%\Azure Advanced Threat Protection Sensor |
示例:
使用如下无提示安装 Defender for Identity 传感器:
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"
使用代理配置运行无提示安装
使用以下命令将代理与无提示安装一起配置:
"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`
注意
如果你以前使用旧的选项(包含 WiniNet 或注册表项更新)配置过代理,则进行任何更改都需要使用最初使用的相同方法。 有关详细信息,请参阅使用旧方法更改代理配置。
安装参数:
| 名称 | 语法 | 是否是无提示安装所必需的? | 说明 |
|---|---|---|---|
| ProxyURL | ProxyUrl="http://proxy.contoso.com:8080" |
否 | 指定 Defender for Identity 传感器的代理 URL 和端口号。 |
| ProxyUserName | ProxyUserName="Contoso\ProxyUser" |
否 | 如果你的代理服务要求身份验证,请按 DOMAIN\user 格式定义用户名。 |
| ProxyUserPassword | ProxyUserPassword="P@ssw0rd" |
否 | 指定代理用户名的密码。 凭证由 Defender for Identity 传感器加密并存储在本地。 |
提示
如果稍后需要更新代理设置,请使用 PowerShell 或 CLI。 有关详细信息,请参阅配置端点代理和 Internet 连接设置。 我们建议为代理服务器创建并使用自定义 DNS A 记录,你可以在需要时使用该记录更改代理服务器地址,并使用主机文件进行测试。
相关内容
如果在 AD FS/AD CS 服务器上安装了传感器,或者安装了独立传感器,请执行额外的安装后步骤:
AD FS/AD CS 服务器:AD FS/AD CS 服务器的安装后步骤(可选)
独立传感器: