設定Microsoft適用於端點的Defender方案1

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2

本文說明如何設定適用於端點的Defender方案1。 無論您有協助或自行執行，都可以使用本文作為整個部署的指南。

安裝和設定程序

適用於端點的 Defender 方案 1 的一般設定和設定程式如下：

數字	步驟	描述
1	檢視需求	列出授權、瀏覽器、操作系統和數據中心需求
2	規劃您的部署	列出數個要考慮的部署方法，並包含更多資源的連結，以協助您決定要使用的方法
3	設定您的租用戶環境	列出設定租用戶環境的工作
4	指派角色和權限	列出要為安全性小組考慮的角色和許可權 提示：一旦指派角色和許可權，您的安全性小組就可以開始使用 Microsoft Defender 入口網站。 若要深入瞭解，請 參閱開始使用。
5	上線到適用於端點的 Defender	列出操作系統上線至適用於端點的Defender方案1的數種方法，並包含每個方法的更詳細資訊連結
6	設定新一代保護技術	說明如何在 Microsoft Intune 中設定新一代保護設定
7	設定受攻擊面縮小功能	列出您可以設定的攻擊面縮小功能類型，並包含具有更多資源連結的程式

檢視需求

下表列出適用於端點的Defender方案1的基本需求：

需求	描述
授權需求	適用於端點的 Defender 方案 1 (獨立，或Microsoft 365 E3 或 A3)
瀏覽器需求	Microsoft Edge Internet Explorer 第 11 版 Google Chrome
作業系統 (用戶端)	Windows 11 Windows 10 版本 1709 或更新版本 macOS iOS Android OS
伺服器) (操作系統	Windows Server 2022 Windows Server 2019 Windows Server 1803 版和更新版本 使用新式整合解決方案時，支援 Windows Server 2016 和 2012 R2 Linux 伺服器
Datacenter	下列其中一個資料中心位置： - 歐盟 - 英國 - 美國

注意事項

適用於端點的 Defender 方案 1 的獨立版本不包含伺服器授權。 若要讓伺服器上線，您需要額外的授權，例如：

• Microsoft適用於伺服器的 Defender 方案 1 或方案 2 (作為 適用於雲 端的 Defender) 供應專案的一部分。
• Microsoft適用於伺服器端點的 Defender
• Microsoft適用於中小型企業的商務用 Defender 伺服器 ()

若要深入瞭解。 請參閱 適用於端點的Defender上線 Windows Server

規劃您的部署

當您規劃部署時，您可以從數個不同的架構和部署方法中選擇。 每個組織都是唯一的，因此您有數個要考慮的選項，如下表所示：

方法	描述
Intune	使用 Intune 管理雲端原生環境中的端點
Intune 和 Configuration Manager	使用 Intune 和 Configuration Manager 來管理跨內部部署和雲端環境的端點和工作負載
Configuration Manager	使用 Configuration Manager 以適用於端點的 Defender 雲端式功能來保護內部部署端點
從 Microsoft Defender 入口網站下載的本機腳本	在端點上使用本機腳本來執行試驗，或只將一些裝置上線

若要深入瞭解您的部署選項，請參閱 規劃適用於端點的Defender部署。 此外，請下載下列海報：

取得部署海報

提示

如需規劃部署的詳細資訊，請參閱 規劃適用於端點的 Microsoft Defender 部署。

設定您的租用戶環境

設定您的租使用者環境包含工作，例如：

• 驗證您的授權
• 設定您的租使用者
• 只有在必要時，才 (設定您的 Proxy 設定)
• 確定感測器正常運作，並將數據回報給適用於端點的 Defender

這些工作包含在適用於端點的Defender的安裝階段。 請參閱 設定適用於端點的Defender。

指派角色和權限

若要存取 Microsoft Defender 入口網站、設定適用於端點的 Defender 設定，或執行工作，例如對偵測到的威脅採取回應動作，必須指派適當的許可權。 適用於端點的 Defender 會使用 Microsoft Entra ID 內的內建角色。

Microsoft建議只指派用戶執行其工作所需的許可權等級。 您可以使用基本許可權管理，或使用 角色型訪問控制 (RBAC) 來指派許可權。

• 透過基本許可權管理，全域管理員和安全性系統管理員具有完整存取權，而安全性讀取者則具有唯讀存取權。
• 透過 RBAC，您可以透過更多角色來設定更細微的許可權。 例如，您可以有安全性讀取者、安全性操作員、安全性系統管理員、端點系統管理員等等。

下表描述組織中適用於端點的Defender應考慮的重要角色：

角色	描述
全域管理員 最佳做法是限制全域管理員的數目。	全域管理員可以執行各種工作。 根據默認，註冊貴公司Microsoft 365 或適用於 Microsoft Defender for Endpoint Plan 1 的人員是全域管理員。 全域管理員可以存取/變更所有Microsoft 365 入口網站的設定，例如： - Microsoft 365 系統管理中心(https://admin.microsoft.com) - Microsoft Defender 入口網站 (https://security.microsoft.com) - Intune 系統管理中心 (https://endpoint.microsoft.com)
安全性系統管理員	安全性系統管理員可以執行安全性操作員工作加上下列工作： - 監視安全性相關原則 - 管理安全性威脅和警示 - 檢視報告
安全性操作員	安全性操作員可以執行安全性讀取器工作加上下列工作： - 檢視偵測到的威脅相關信息 - 調查並回應偵測到的威脅
安全性讀取者	安全性讀取者可以執行下列工作： - 檢視跨 Microsoft 365 服務的安全性相關原則 - 檢視安全性威脅和警示 - 檢視報告

重要事項

Microsoft建議您使用許可權最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色，當您無法使用現有角色時，應該僅限於緊急案例。

若要深入瞭解 Microsoft Entra ID 中的角色，請參閱 將系統管理員和非系統管理員角色指派給具有 Microsoft Entra ID 的使用者。 此外，如需適用於端點的Defender角色的詳細資訊，請參閱 角色型訪問控制。

上線到適用於端點的 Defender

當您準備好將組織的端點上線時，您可以從數種方法中選擇，如下表所示：

端點	部署工具
Windows	本機指令碼 (最多 10 部裝置) 群組原則 Microsoft Intune/ 行動裝置管理員 Microsoft Endpoint Configuration Manager VDI 指令碼
macOS	本機指令碼 Microsoft Intune JAMF Pro 行動裝置管理
Android	Microsoft Intune
iOS	Microsoft Intune 行動應用程式管理員

然後，繼續設定新一代的保護和受攻擊面縮小功能。

設定新一代保護技術

我們建議使用 Intune 來管理組織的裝置和安全性設定，如下圖所示：

若要在 Intune 中設定新一代保護，請遵循下列步驟：

1. 移至 Intune 系統管理中心 (https://endpoint.microsoft.com) 並登入。

2. 選取 [端點安全>性防病毒軟體]，然後選取現有的原則。 (如果您沒有現有的原則，請建立新的原則。)

3. 設定或變更防病毒軟體組態設定。 需要協助？ 請參閱下列資源：
   

   • Microsoft Intune 中 Windows 10 Microsoft Defender 防病毒軟體原則的設定
   • 在 iOS 功能上設定適用於端點的 Defender

4. 當您完成指定設定時，請選擇 [ 檢閱 + 儲存]。

設定受攻擊面縮小功能

受攻擊面縮小是關於減少貴組織開放攻擊的位置和方式。 適用於端點的 Defender 方案 1 包含數個功能，可協助您減少端點上的受攻擊面。 下表列出這些功能：

功能/功能	描述
受攻擊面縮小規則	設定受攻擊面縮小規則，以限制以軟體為基礎的風險行為，並協助保護貴組織的安全。 受攻擊面縮小規則以特定軟體行為為目標，例如 - 啟動嘗試下載或執行檔案的可執行檔和腳本 - 執行模糊化或可疑的腳本 - 執行應用程式通常不會在一般日常工作期間起始的行為 這類軟體行為有時會出現在合法的應用程式中。 不過，這些行為通常會被視為有風險，因為攻擊者通常會透過惡意代碼濫用這些行為。
勒索軟體防護功能	設定受控資料夾存取權來設定勒索軟體防護功能，以協助保護貴組織的寶貴數據免於遭受惡意應用程式和威脅，例如勒索軟體。
裝置控制	為您的組織設定裝置控制項設定，以允許或封鎖可行動裝置 (，例如 USB 磁碟驅動器) 。
網路保護	設定網路保護以防止組織中的人員使用可存取因特網上危險網域或惡意內容的應用程式。
Web 保護	設定 Web 威脅防護，以保護貴組織的裝置免於網路釣魚網站、惡意探索網站，以及其他不受信任或低信譽的網站。 設定 Web 內容篩選，以根據網站的內容類別 (來追蹤及規範網站的存取，例如，語系、高頻寬、成人內容或法律責任) 。
網路防火牆	使用規則來設定網路防火牆，以判斷允許哪些網路流量進入或從組織的裝置傳出。
應用程式控制	如果您只想要允許信任的應用程式和程式在 Windows 裝置上執行，請設定應用程式控制規則。

受攻擊面縮小規則

在執行 Windows 的裝置上可以使用受攻擊面縮小規則。 我們建議使用 Intune，如下圖所示：

1. 移至 Intune 系統管理中心 並登入。

2. 選擇 [端點安全>性攻擊表面縮小>+ 建立原則]。

3. 針對 [平臺]，選取 [Windows 10]、[Windows 11] 和 [Windows Server]。

4. 針對 [配置檔]，選取 [ 受攻擊面縮小規則]，然後選擇 [ 建立]。

5. 在 [ 基本] 索引標籤上 ，指定原則的名稱和描述，然後選擇 [ 下一步]。

6. 在 [ 組態設定] 索引標籤上 ，展開 [ Defender] 底下的 [設定受攻擊面縮小規則]，然後選擇 [ 下一步]。 如需受攻擊面縮小規則的詳細資訊，請 參閱受攻擊面縮小規則部署概觀。

   我們建議您至少啟用下列三個標準保護規則：

   • 封鎖濫用惡意探索易受攻擊的已簽署驅動程式
   • 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
   • 透過 Windows Management Instrumentation (WMI) 事件訂閱封鎖持續性

7. 在 [ 範圍卷標] 索引標籤上 ，如果您的組織使用範圍卷標，請選擇 [+ 選取範圍標籤]，然後選取您要使用的標籤。 然後，選擇 [ 下一步]。

   若要深入瞭解範圍標籤，請 參閱使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤。

8. 在 [ 指派] 索引標籤 上，指定應套用您原則的使用者和群組，然後選擇 [ 下一步]。 (若要深入瞭解指派，請參閱 在 Microsoft Intune 中指派使用者和裝置配置檔。)

9. 在 [ 檢閱 + 建立] 索引標籤上，檢閱設定，然後選擇 [ 建立]。

提示

若要深入瞭解受攻擊面縮小規則，請參閱下列資源：

• 使用受攻擊面縮小規則防止惡意程式碼感染
• 檢視受攻擊面縮小規則的清單
• 受攻擊面縮小規則部署步驟 3：實作受攻擊面縮小規則

勒索軟體防護功能

您可以透過 受控資料夾存取來降低勒索軟體風險，這僅允許受信任的應用程式存取端點上受保護的資料夾。

建議您使用 Intune 來設定受控資料夾存取權。

1. 移至 Intune 系統管理中心 並登入。

2. 移至 [端點安全>性攻擊面縮小]，然後選擇 [ + 建立原則]。

3. 針對 [平臺]，選取 [Windows 10]、[Windows 11] 和 [Windows Server]，然後針對 [ 配置檔] 選取 [ 攻擊面縮小規則]。 接著，選擇 [建立]。

4. 在 [ 基本] 索引標籤上 ，為原則命名並新增描述。 選取 [下一步]。

5. 在 [ 組態設定] 索引卷標的 [ Defender ] 區段下，向下捲動至底部。 在 [ 啟用受控資料夾存取權 ] 下拉式清單中，選取 [ 已啟用]，然後選擇 [ 下一步]。

   您可以選擇性指定下列其他設定：

   • 在 [ 受控資料夾存取受保護的資料夾] 旁，將切換開關切換為 [已 設定]，然後新增需要保護的資料夾。
   • 在 [ 受控資料夾存取允許的應用程式] 旁，將切換開關切換為 [已 設定]，然後新增應具有受保護資料夾存取權的應用程式。

6. 在 [ 範圍卷標] 索引標籤上 ，如果您的組織使用範圍卷標，請選擇 [+ 選取範圍標籤]，然後選取您要使用的標籤。 然後，選擇 [ 下一步]。 若要深入瞭解範圍標籤，請 參閱使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤。

7. 在 [ 指派] 索引標籤 上，選取 [ 新增所有使用者 ] 和 [+ 新增所有裝置]，然後選擇 [ 下一步]。 (您也可以指定特定的使用者或裝置群組。)

8. 在 [ 檢閱 + 建立] 索引標籤上，檢閱您原則的設定，然後選擇 [ 建立]。 此原則會套用至任何即將上線至適用於端點的Defender的端點。

裝置控制

您可以設定適用於端點的 Defender 封鎖或允許卸載式裝置和卸載式裝置上的檔案。 建議您使用 Intune 來設定裝置控制項設定。

1. 移至 Intune 系統管理中心 並登入。

2. 選 取 [裝置>設定>+ 建立原則>]。

3. 針對 [平臺]，選取配置檔，例如 Windows 10 和更新版本，然後針對 [配置文件類型] 選取 [範本]。

   在 [範本名稱] 下，選取 [ 系統管理範本]，然後選擇 [ 建立]。

4. 在 [ 基本] 索引標籤上 ，為原則命名並新增描述。 選取 [下一步]。

5. 在 [ 組態設定] 索引標籤上 ，選取 [ 所有設定]。 然後在搜尋方塊中輸入 Removable ，以查看與卸載式裝置相關的所有設定。

6. 選取清單中的專案，例如 [所有卸除式記憶體類別：拒絕所有存取]，以開啟其飛出視窗窗格。 每個設定的飛出視窗會說明啟用、停用或未設定時會發生什麼情況。 選取設定，然後選擇 [ 確定]。

7. 針對您想要設定的每個設定重複步驟 6。 接著選擇 [下一步]。

8. 在 [ 範圍卷標] 索引標籤上 ，如果您的組織使用範圍卷標，請選擇 [+ 選取範圍標籤]，然後選取您要使用的標籤。 然後，選擇 [ 下一步]。

   若要深入瞭解範圍標籤，請 參閱使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤。

9. 在 [ 指派] 索引標籤 上，選取 [ 新增所有使用者 ] 和 [+ 新增所有裝置]，然後選擇 [ 下一步]。 (您也可以指定特定的使用者或裝置群組。)

10. 在 [ 檢閱 + 建立] 索引標籤上，檢閱您原則的設定，然後選擇 [ 建立]。 此原則會套用至任何即將上線至適用於端點的Defender的端點。

提示

如需詳細資訊，請 參閱如何使用適用於端點的 Microsoft Defender 來控制 USB 裝置和其他抽取式媒體。

網路保護

透過網路保護，您可以協助保護貴組織免於可能在因特網上裝載網路釣魚詐騙、惡意探索和其他惡意內容的危險的網域。 我們建議使用 Intune 開啟網路保護。

1. 移至 Intune 系統管理中心 並登入。

2. 選 取 [裝置>設定>+ 建立原則>]。

3. 針對 [平臺]，選取配置檔，例如 Windows 10 和更新版本，然後針對 [配置文件類型] 選取 [範本]。

   在 [範本名稱] 底下，選取 [ Endpoint Protection]，然後選擇 [ 建立]。

4. 在 [ 基本] 索引標籤上 ，為原則命名並新增描述。 選取 [下一步]。

5. 在 [ 組態設定] 索引卷標上 ，展開 [Microsoft Defender 惡意探索防護]，然後展開 [ 網络篩選]。

   將 [網络保護] 設定為 [啟用]。 (您可以選擇 [ 稽 核] 來查看網路保護在您的環境中的運作方式。)

   接著選擇 [下一步]。

6. 在 [ 指派] 索引標籤 上，選取 [ 新增所有使用者 ] 和 [+ 新增所有裝置]，然後選擇 [ 下一步]。 (您也可以指定特定的使用者或裝置群組。)

7. 在 [ 適用性規則] 索引 標籤上，設定規則。 您要設定的設定檔只會套用至符合您指定之合併準則的裝置。

   例如，您可以選擇將原則指派給只執行特定 OS 版本的端點。

   接著選擇 [下一步]。

8. 在 [ 檢閱 + 建立] 索引標籤上，檢閱您原則的設定，然後選擇 [ 建立]。 此原則會套用至任何即將上線至適用於端點的Defender的端點。

提示

您可以使用 Windows PowerShell 或組策略等其他方法來啟用網路保護。 若要深入瞭解， 請參閱開啟網路保護。

Web 保護

透過 Web 保護，您可以保護組織的裝置免於遭受 Web 威脅和垃圾內容。 您的 Web 保護包括 Web 威脅防護 和 Web 內容篩選。 設定這兩組功能。 建議您使用 Intune 來設定 Web 保護設定。

設定 Web 威脅防護

1. 移至 Intune 系統管理中心，然後登入。

2. 選擇 [端點安全>性攻擊面縮小]，然後選擇 [ + 建立原則]。

3. 選取平臺，例如 Windows 10 和更新版本，選取 Web 保護 配置檔，然後選擇 [ 建立]。

4. 在 [ 基本] 索引標籤上 ，指定名稱和描述，然後選擇 [ 下一步]。

5. 在 [ 組態設定] 索引標籤上 ，展開 [Web 保護]，指定下表中的設定，然後選擇 [ 下一步]。
   
   

   設定	建議
   啟用網路保護	設定為 [已啟用]。 防止使用者造訪惡意網站或網域。 或者，您可以將網路保護設定為 稽核模式 ，以查看其在環境中的運作方式。 在稽核模式中，網路保護不會防止使用者造訪網站或網域，但會將偵測追蹤為事件。
   需要適用於舊版 Microsoft SmartScreen	設定為 [是]。 協助保護使用者免於潛在的網路釣魚詐騙和惡意軟體。
   封鎖惡意網站存取	設定為 [是]。 防止使用者略過有關潛在惡意網站的警告。
   封鎖未經驗證的檔案下載	設定為 [是]。 防止使用者略過警告並下載未經驗證的檔案。

6. 在 [ 範圍卷標] 索引標籤上 ，如果您的組織使用範圍卷標，請選擇 [+ 選取範圍標籤]，然後選取您要使用的標籤。 然後，選擇 [ 下一步]。

   若要深入瞭解範圍標籤，請 參閱使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤。

7. 在 [ 指派] 索引標籤 上，指定要接收 Web 保護原則的使用者和裝置，然後選擇 [ 下一步]。

8. 在 [ 檢閱 + 建立] 索引標籤上，檢閱您的原則設定，然後選擇 [ 建立]。

提示

若要深入瞭解 Web 威脅防護，請參閱 保護您的組織免於遭受 Web 威脅。

設定 Web 內容篩選

1. 移至 Microsoft Defender 入口網站 並登入。

2. 選擇 設定>端點。

3. 在 [ 規則] 下，選擇 [Web 內容篩選]，然後選擇 [ + 新增原則]。

4. 在 [ 新增原則 ] 飛出視窗的 [一 般 ] 索引標籤上，指定您原則的名稱，然後選擇 [ 下一步]。

5. 在 [ 封鎖的類別] 上，選取您要封鎖的一或多個類別，然後選擇 [ 下一步]。

6. 在 [ 範圍] 索引 標籤上，選取您想要接收此原則的裝置群組，然後選擇 [ 下一步]。

7. 在 [ 摘要] 索引 標籤上，檢閱您的原則設定，然後選擇 [ 儲存]。

提示

若要深入瞭解如何設定 Web 內容篩選，請參閱 Web 內容篩選。

網路防火牆

網路防火牆有助於降低網路安全性威脅的風險。 您的安全性小組可以設定規則，以決定允許哪些流量流向組織的裝置或流出您組織的裝置。 建議您使用 Intune 來設定網路防火牆。

：：： alt-text=“Intune 入口網站中防火牆原則的螢幕快照。：：：

若要設定基本防火牆設定，請遵循下列步驟：

1. 移至 Intune 系統管理中心，然後登入。

2. 選擇 [端點安全>性防火牆]，然後選擇 [ + 建立原則]。

3. 選取 Windows 10、Windows 11 和 Windows Server 等平臺，選 取Microsoft防火牆 配置檔，然後選擇 [ 建立]。

4. 在 [ 基本] 索引標籤上 ，指定名稱和描述，然後選擇 [ 下一步]。

5. 展開 [防火牆]，然後向下捲動至清單底部。

6. 將下列每個設定設為 True：

   • 啟用網域網路防火牆
   • 啟用專用網防火牆
   • 啟用公用網路防火牆

   檢閱每個網域網路、專用網和公用網路下的設定清單。 您可以將其設定為 [未設定]，或變更它們以符合貴組織的需求。

   接著選擇 [下一步]。

7. 在 [ 範圍卷標] 索引標籤上 ，如果您的組織使用範圍卷標，請選擇 [+ 選取範圍標籤]，然後選取您要使用的標籤。 然後，選擇 [ 下一步]。

   若要深入瞭解範圍標籤，請 參閱使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤。

8. 在 [ 指派] 索引標籤 上，選取 [ 新增所有使用者 ] 和 [+ 新增所有裝置]，然後選擇 [ 下一步]。 (您也可以指定特定的使用者或裝置群組。)

9. 在 [ 檢閱 + 建立] 索引標籤上，檢閱您的原則設定，然後選擇 [ 建立]。

提示

防火牆設定很詳細，看起來可能很複雜。 請參閱 設定 Windows Defender 防火牆的最佳做法。

應用程式控制

Windows Defender 應用程控 (WDAC) 僅允許執行信任的應用程式和程式，協助保護您的 Windows 端點。 大部分的組織都使用 WDAC 的階段式部署。 也就是說，大部分組織一開始不會在所有 Windows 端點上推出 WDAC。 事實上，根據組織的 Windows 端點是完全受控、輕量管理還是「攜帶您自己的裝置」端點，您可能會在所有或部分端點上部署 WDAC。

若要協助規劃 WDAC 部署，請參閱下列資源：

• Windows 的應用程式控制

• Windows Defender 應用程控原則設計決策

• 不同案例中的 Windows Defender 應用程控部署：裝置類型

後續步驟

現在您已完成設定和設定程式，下一個步驟是開始使用適用於端點的 Defender。

• 開始使用適用於端點的Defender方案1

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動：Microsoft適用於端點的Defender技術社群。