使用Configuration Manager加入 Windows 设备

  • 项目

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

先决条件

重要

需要 Endpoint Protection 点站点系统角色,以便将防病毒和攻击面减少策略正确部署到目标终结点。 如果没有此角色,设备集合中的终结点将不会收到配置的防病毒和攻击面减少策略。

可以使用Configuration Manager将终结点载入到Microsoft Defender for Endpoint服务。

可以使用多种选项通过Configuration Manager加入设备:

对于Windows Server 2012 R2 和Windows Server 2016 - 完成载入步骤后,需要配置和更新System Center Endpoint Protection客户端

注意

Defender for Endpoint 在 OOBE) 阶段的现装体验 ( 不支持载入。 确保用户在运行 Windows 安装或升级后完成 OOBE。

请注意,可以在Configuration Manager应用程序上创建检测规则,以持续检查设备是否已载入。 应用程序是与包和程序不同的对象类型。 如果设备由于等待 OOBE 完成或) 的任何其他原因而尚未载入 (,Configuration Manager将重试载入设备,直到规则检测到状态更改。

可以通过创建检测规则来检查“OnboardingState”注册表值是否 (类型为 REG_DWORD) = 1 来实现此行为。 此注册表值位于“HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status”下。 有关详细信息,请参阅在 System Center 2012 R2 Configuration Manager 中配置检测方法

配置示例集合设置

对于每个设备,可以设置一个配置值来说明当通过 Microsoft Defender XDR 提交文件以进行深入分析的请求时,是否可以从设备收集样本。

注意

这些配置设置通常通过Configuration Manager完成。

可以在 Configuration Manager 中为配置项目设置符合性规则,以更改设备上的示例共享设置。

此规则 应是修正 符合性规则配置项目,用于设置目标设备上的注册表项的值,以确保它们符合要求。

通过以下注册表项设置配置:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

其中,键类型为 D-WORD。 可能的值是:

  • 0:不允许从此设备共享示例
  • 1:允许共享此设备中的所有文件类型

注册表项不存在的默认值为 1。

有关 System Center Configuration Manager 合规性的详细信息,请参阅 System Center 2012 R2 Configuration Manager 中的合规性设置简介

使用 Microsoft Configuration Manager 载入 Windows 设备

集合创建

若要加入具有Microsoft Configuration Manager的 Windows 设备,部署可以面向现有集合,也可以创建用于测试的新集合。

使用 组策略 或手动方法等工具加入不会在系统上安装任何代理。

在 Microsoft Configuration Manager 控制台中,载入过程将配置为控制台中的符合性设置的一部分。

只要Configuration Manager客户端继续从管理点接收此策略,接收此必需配置的任何系统都保持该配置。

按照以下步骤使用 Microsoft Configuration Manager 载入终结点:

  1. 在Microsoft Configuration Manager控制台中,导航到“资产和符合性>概述>设备集合”。

    Microsoft Configuration Manager向导1 的屏幕截图。

  2. 选择并按住 (,或右键单击“) 设备集合 ”,然后选择“ 创建设备集合”。

    Microsoft Configuration Manager向导 2 的屏幕截图。

  3. 提供 “名称” 和“ 限制集合”,然后选择“ 下一步”。

    Microsoft Configuration Manager向导的屏幕截图3。

  4. 选择 “添加规则 ”,然后选择“ 查询规则”。

    Microsoft Configuration Manager向导 4 的屏幕截图。

  5. “直接成员身份向导”上选择“下一步”,然后选择“编辑查询语句”。

    Microsoft Configuration Manager向导 5 的屏幕截图。

  6. 选择“条件”,然后选择“star”图标。

    Microsoft Configuration Manager向导的屏幕截图6。

  7. 将条件类型保留为 简单值,选择 “操作系统 - 内部版本号”,“运算符”作为 大于或等于 和 值 14393,然后选择“ 确定”。

    Microsoft Configuration Manager向导的屏幕截图7。

  8. 选择“ 下一步 ”和 “关闭”。

    Microsoft Configuration Manager向导 8 的屏幕截图。

  9. 选择“下一步”。

    Microsoft Configuration Manager向导 9 的屏幕截图。

完成此任务后,你将拥有一个包含环境中所有 Windows 终结点的设备集合。

将设备加入服务后,请务必使用以下建议的配置设置启用设备,从而利用包含的威胁防护功能。

设备集合配置

如果使用 Configuration Manager 版本 2002 或更高版本,可以选择扩展部署以包括服务器或下层客户端。

下一代保护配置

建议使用以下配置设置:

扫描

  • 扫描可移动存储设备(如 U 盘):是

实时保护

  • 启用行为监视:是
  • 在下载时和安装之前启用针对可能不需要的应用程序的保护:是

云保护服务

  • 云保护服务成员身份类型:高级成员身份

攻击面减少

将所有可用规则配置为“审核”。

注意

阻止这些活动可能会中断合法的业务流程。 最佳方法是将所有内容设置为审核,确定哪些设置可以安全打开,然后在没有误报检测的终结点上启用这些设置。

若要通过Microsoft Configuration Manager (SCCM) 部署Microsoft Defender防病毒和攻击面减少策略,请执行以下步骤:

  • 启用 Endpoint Protection 并配置自定义客户端设置。
  • 从命令提示符安装 Endpoint Protection 客户端。
  • 验证 Endpoint Protection 客户端安装。
启用 Endpoint Protection 并配置自定义客户端设置

按照以下步骤启用终结点保护和自定义客户端设置的配置:

  1. 在Configuration Manager控制台中,单击“管理”。

  2. “管理 ”工作区中,单击“ 客户端设置”。

  3. 在“ 主页 ”选项卡上的“ 创建 ”组中,单击“ 创建自定义客户端设备设置”。

  4. “创建自定义客户端设备设置” 对话框中,提供设置组的名称和说明,然后选择“ Endpoint Protection”。

  5. 配置所需的 Endpoint Protection 客户端设置。 有关可以配置的 Endpoint Protection 客户端设置的完整列表,请参阅关于客户端设置中的 Endpoint Protection 部分。

    重要

    在为 Endpoint Protection 配置客户端设置之前,请安装 Endpoint Protection 站点系统角色。

  6. 单击“ 确定” 关闭“ 创建自定义客户端设备设置 ”对话框。 新的客户端设置显示在“管理”工作区的“客户端设置”节点中。

  7. 接下来,将自定义客户端设置部署到集合。 选择要部署的自定义客户端设置。 在“ 主页 ”选项卡的 “客户端设置” 组中,单击“ 部署”。

  8. “选择集合 ”对话框中,选择要将客户端设置部署到的集合,然后单击“ 确定 ”。新部署显示在详细信息窗格的“ 部署 ”选项卡中。

客户端在下次下载客户端策略时使用这些设置进行配置。 有关详细信息,请参阅启动Configuration Manager客户端的策略检索。

从命令提示符安装 Endpoint Protection 客户端

按照步骤从命令提示符完成 Endpoint Protection 客户端的安装。

  1. 将scepinstall.exe 从Configuration Manager安装文件夹的“客户端”文件夹复制到要安装 Endpoint Protection 客户端软件的计算机。

  2. 以管理员身份打开命令提示符。 使用安装程序将目录更改为文件夹。 然后运行 scepinstall.exe,添加所需的任何额外的命令行属性:

    属性 说明
    /s 以无提示方式运行安装程序
    /q 以无提示方式提取安装程序文件
    /i 正常运行安装程序
    /policy 指定反恶意软件策略文件以在安装期间配置客户端
    /sqmoptin 选择加入 Microsoft 客户体验改善计划 (CEIP)

  3. 按照屏幕上的说明完成客户端安装。

  4. 如果下载了最新的更新定义包,请将该包复制到客户端计算机,然后双击该定义包进行安装。

    注意

    Endpoint Protection 客户端安装完成后,客户端会自动执行定义更新检查。 如果此更新检查成功,则无需手动安装最新的定义更新包。

示例:使用反恶意软件策略安装客户端

scepinstall.exe /policy <full path>\<policy file>

验证 Endpoint Protection 客户端安装

在引用计算机上安装 Endpoint Protection 客户端后,请验证客户端是否正常工作。

  1. 在引用计算机上,从 Windows 通知区域打开System Center Endpoint Protection
  2. “System Center Endpoint Protection”对话框的“开始”选项卡上,验证“实时保护”是否设置为“打开”。
  3. 验证是否为病毒和间谍软件定义显示最新
  4. 若要确保参考计算机已准备好进行映像处理,请在“ 扫描选项”下选择完整”, 然后单击“ 立即扫描”。

网络保护

在审核或阻止模式下启用网络保护之前,请确保已安装反恶意软件平台更新,可从 支持页面获取该更新。

文件夹限制访问

在审核模式下启用该功能至少 30 天。 在此时间段后,查看检测并创建允许写入受保护目录的应用程序列表。

有关详细信息,请参阅 评估受控文件夹访问权限

运行检测测试以验证载入

载入设备后,可以选择运行检测测试,以验证设备是否已正确载入服务。 有关详细信息,请参阅在新加入的 Microsoft Defender for Endpoint 设备上运行检测测试

使用Configuration Manager的机外设备

出于安全原因,用于卸载设备的程序包将在下载之日起 30 天后过期。 发送到设备的过期卸载包将被拒绝。 下载卸载包时,系统会通知包到期日期,并且包名称中也会包含该包。

注意

载入和卸载策略不得同时部署在同一台设备上,否则将导致不可预知的冲突。

使用当前分支Microsoft Configuration Manager卸载设备

如果使用当前分支Microsoft Configuration Manager,请参阅创建卸载配置文件

使用 System Center 2012 R2 Configuration Manager 的卸载设备

  1. Microsoft Defender 门户获取卸载包:

    1. 在导航窗格中,选择 “设置>终结点>设备管理>卸载”。
    2. 选择“Windows 10”或“Windows 11”作为操作系统。
    3. “部署方法”字段中,选择“System Center Configuration Manager 2012/2012 R2/1511/1602”。
    4. 选择“ 下载包”,并保存 .zip 文件。

  2. 将 .zip 文件的内容提取到一个共享的只读位置,将部署包的网络管理员可以访问该位置。 应有一个名为 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd 的文件。

  3. 按照 System Center 2012 R2 中的包和程序一文中的步骤部署包Configuration Manager

    选择要将包部署到的预定义设备集合。

重要

卸载会导致设备停止向门户发送传感器数据,但从设备发送数据,包括对已保留最多 6 个月的警报的引用。

监视设备配置

如果使用当前分支Microsoft Configuration Manager,请使用 Configuration Manager 控制台中的内置 Defender for Endpoint 仪表板。 有关详细信息,请参阅 Defender for Endpoint - Monitor

如果使用 System Center 2012 R2 Configuration Manager,监视包括两个部分:

  1. 确认配置包已正确部署且正在运行 (或已在网络中的设备上运行) 。

  2. 检查设备是否符合 Defender for Endpoint 服务 (这可确保设备能够完成载入过程,并可以继续向服务报告数据) 。

确认配置包已正确部署

  1. 在Configuration Manager控制台中,单击导航窗格底部的“监视”。

  2. 选择 “概述 ”,然后选择“ 部署”。

  3. 选择具有包名称的部署。

  4. 查看 “完成统计信息 ”和“ 内容状态”下的状态指示器。

    如果设备部署失败, (设备) 错误未满足要求失败状态 ,则可能需要对设备进行故障排除。 有关详细信息,请参阅排查Microsoft Defender for Endpoint载入问题

    显示部署成功且没有错误的Configuration Manager

检查设备是否符合Microsoft Defender for Endpoint服务

可以在 System Center 2012 R2 Configuration Manager 中为配置项目设置符合性规则,以监视部署。

此规则应该是一个 非修正 符合性规则配置项目,用于监视目标设备上的注册表项的值。

监视以下注册表项项:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

有关详细信息,请参阅 System Center 2012 R2 Configuration Manager 中的合规性设置简介

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区