迁移到Microsoft Defender for Endpoint - 阶段 3:载入
适用于:
 阶段 1:准备 |
 阶段 2:设置 |
 阶段 3:开始使用 |
|---|---|---|
| 你在这里! |
欢迎使用迁移到 Defender for Endpoint 的第 3 阶段。 此迁移阶段包括以下步骤:
- 将设备载入到 Defender for Endpoint。
- 运行检测测试。
- 确认Microsoft Defender防病毒在终结点上处于被动模式。
- 获取Microsoft Defender防病毒的更新。
- 卸载非 Microsoft 解决方案。
- 确保 Defender for Endpoint 正常工作。
步骤 1:将设备载入到Microsoft Defender for Endpoint
转到 Microsoft 365 Defender 门户 (https://security.microsoft.com) 并登录。
选择“设备管理) ”下的“设置>终结点>载入 (”。
在 “选择要启动载入过程的操作系统 ”列表中,选择一个操作系统。
在“ 部署方法”下,选择一个选项。 按照链接和提示加入组织的设备。 需要帮助? 请参阅本文) 中的 载入方法 (。
注意
如果载入时出现问题,请参阅排查Microsoft Defender for Endpoint载入问题。 本文介绍如何解决载入问题和终结点上的常见错误。
登录方法
部署方法因操作系统和首选方法而异。 下表列出了可帮助你载入 Defender for Endpoint 的资源:
| 操作系统 | 方法 |
|---|---|
| Windows 10 或更高版本 Windows Server 2019 或更高版本 Windows Server 版本 1803 或更高版本 Windows Server 2016或Windows Server 2012 R2[1] |
Microsoft Intune 或移动设备管理 Microsoft Configuration Manager 组策略 VDI 脚本 本地脚本 (最多 10 台设备) 请注意,本地脚本方法适用于概念证明,但不应用于生产部署。 对于生产部署,建议使用 组策略、Microsoft Configuration Manager 或 Intune。 |
| Windows Server 2008 R2 SP1 | Microsoft Monitoring Agent (MMA) 或 Microsoft Defender for Cloud 请注意,Microsoft Monitoring Agent 现在是 Azure Log Analytics 代理。 若要了解详细信息,请参阅 Log Analytics 代理概述。 |
| Windows 8.1 企业版 Windows 8.1 专业版 Windows 7 SP1 专业版 Windows 7 SP1 |
Microsoft Monitoring Agent (MMA) 请注意,Microsoft Monitoring Agent 现在是 Azure Log Analytics 代理。 若要了解详细信息,请参阅 Log Analytics 代理概述。 |
| Windows 服务器 Linux 服务器 |
与 Microsoft Defender for Cloud 集成 |
| macOS | 本地脚本 Microsoft Intune JAMF Pro 移动设备管理 |
| Linux Server | 本地脚本 木偶 Ansible 厨师 |
| Android | Microsoft Intune |
| iOS | Microsoft Intune 移动应用程序管理器 |
(1 个) Windows Server 2016和Windows Server 2012 R2 将需要按照载入 Windows 服务器中的说明载入。
重要
Defender for Endpoint 计划 1 和计划 2 的独立版本不包括服务器许可证。 若要加入服务器,需要额外的许可证,例如 Defender for Endpoint for Servers,或 Defender for Servers 计划 1 或计划 2。 若要了解详细信息,请参阅 Defender for Endpoint 加入 Windows Server。
步骤 2:运行检测测试
若要验证载入的设备是否已正确连接到 Defender for Endpoint,可以运行检测测试。
| 操作系统 | 指南 |
|---|---|
| Windows 10 或更高版本 Windows Server 2022 Windows Server 2019 Windows Server 版本 1803 或更高版本 Windows Server 2016 Windows Server 2012 R2 |
请参阅 运行检测测试。 |
| macOS (请参阅 系统要求 | 在 https://aka.ms/mdatpmacosdiy下载并使用 DIY 应用。 有关详细信息,请参阅 macOS 上的 Defender for Endpoint。 |
| Linux (请参阅 系统要求) | 1. 运行以下命令,并查找 结果 1: mdatp health --field real_time_protection_enabled。2. 打开终端窗口,并运行以下命令: curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt。3. 运行以下命令以列出检测到的任何威胁: mdatp threat list。有关详细信息,请参阅 Linux 上的 Defender for Endpoint。 |
步骤 3:确认终结点上Microsoft Defender防病毒处于被动模式
现在,终结点已载入到 Defender for Endpoint,下一步是确保Microsoft Defender防病毒在被动模式下运行。 可以使用多种方法之一,如下表所述:
| 方法 | 需执行的操作 |
|---|---|
| 命令提示符 | 1. 在 Windows 设备上,打开命令提示符。 2. 键入 sc query windefend,然后按 Enter。3. 查看结果以确认Microsoft Defender防病毒是否在被动模式下运行。 如果 WinDefend 处于被动模式,则其状态返回 STOPPABLE;如果处于主动模式,则NOT_STOPPABLE状态。 |
| PowerShell | 1. 在 Windows 设备上,以管理员身份打开Windows PowerShell。 2.运行以下 PowerShell cmdlet: Get-MpComputerStatus|select AMRunningMode。 3. 查看结果。 应会看到 被动模式。 |
| Windows 安全应用 | 1.在 Windows 设备上,打开Windows 安全中心应用。 2.选择“ 病毒 & 威胁防护”。 3. 在 “谁保护我?” 下,选择 “管理提供程序”。 4. 在“安全提供程序”页的“防病毒”下,查找“防病毒”已打开Microsoft Defender。 |
| 任务管理器 | 1. 在 Windows 设备上,打开“任务管理器”应用。 2.选择“ 详细信息 ”选项卡。在列表中查找 MsMpEng.exe 。 |
注意
在某些 Windows 版本中,你可能会看到Windows Defender防病毒,而不是Microsoft Defender防病毒。 若要详细了解被动模式和主动模式,请参阅有关Microsoft Defender防病毒状态的更多详细信息。
手动将 Windows Server 上的Microsoft Defender防病毒设置为被动模式
若要在 Windows Server 版本 1803 或更高版本、Windows Server 2019 或 Windows Server 2022 上将Microsoft Defender防病毒设置为被动模式,请执行以下步骤:
打开注册表编辑器,然后导航到
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection。编辑 (或) 名为 ForceDefenderPassiveMode 的 DWORD 条目,并指定以下设置:
- 将 DWORD 的值设置为 1。
- 在“ 基数”下,选择“ 十六进制”。
在 Windows Server 2016 上启动Microsoft Defender防病毒
如果使用 Windows Server 2016,可能需要手动启动Microsoft Defender防病毒。 可以在设备上使用 PowerShell cmdlet mpcmdrun.exe -wdenable 执行此任务。
步骤 4:获取Microsoft Defender防病毒的更新
使Microsoft Defender防病毒保持最新状态对于确保设备具有防范新恶意软件和攻击技术所需的最新技术和功能至关重要,即使Microsoft Defender防病毒在被动模式下运行也是如此。 (请参阅Microsoft Defender防病毒兼容性。)
有两种更新与使 Microsoft Defender 防病毒保持最新相关:
安全智能更新
产品更新
若要获取更新,请按照管理Microsoft Defender防病毒更新并应用基线中的指南进行操作。
步骤 5:卸载非 Microsoft 解决方案
如果此时已:
将组织的设备载入到 Defender for Endpoint,以及
安装并启用防病毒Microsoft Defender,
然后,下一步是卸载非 Microsoft 防病毒、反恶意软件和终结点保护解决方案。 卸载非 Microsoft 解决方案时,Microsoft Defender防病毒从被动模式更改为主动模式。 在大多数情况下,这会自动发生。
重要
如果由于某种原因,Microsoft Defender防病毒在卸载非 Microsoft 防病毒/反恶意软件解决方案后未进入活动模式,请参阅Microsoft Defender防病毒似乎停滞在被动模式下。
若要获取有关卸载非 Microsoft 解决方案的帮助,请联系其技术支持团队。
步骤 6:确保 Defender for Endpoint 正常工作
现已加入 Defender for Endpoint,并且卸载了以前的非 Microsoft 解决方案,下一步是确保 Defender for Endpoint 正常工作。
转到 Microsoft 365 Defender 门户 (https://security.microsoft.com) 并登录。
在导航窗格中,选择 “终结点设备>清单”。 在那里,你将能够看到设备的保护状态。
若要了解详细信息,请参阅 设备清单。
后续步骤
恭喜! 你已完成 到 Defender for Endpoint 的迁移!