共用方式為


將 Windows 伺服器上線至 適用於端點的 Microsoft Defender 服務

適用於:

  • Windows Server 2016 和 Windows Server 2012 R2
  • Windows Server Semi-Annual Enterprise Channel
  • Windows Server 2019 和更新版本
  • Windows Server 2019 核心版
  • Windows Server 2022
  • 適用於端點的 Microsoft Defender

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

適用於端點的 Defender 會擴充支援,以同時包含 Windows Server 作業系統。 這項支援透過 Microsoft Defender 全面偵測回應 主控台順暢地提供進階攻擊偵測和調查功能。 支援 Windows Server 可讓您深入瞭解伺服器活動、核心和記憶體攻擊偵測的涵蓋範圍,以及啟用回應動作。

本文說明如何將特定 Windows 伺服器上線以 適用於端點的 Microsoft Defender。

如需如何下載和使用 Windows 伺服器 Windows 安全性 基準的指引,請參閱 Windows 安全性 基準。

提示

如需本文的附屬內容,請參閱我們的 安全性分析器設定指南 ,以檢閱最佳做法,並瞭解如何加強防禦、改善合規性,並放心瀏覽網路安全性環境。 如需以您的環境為基礎的自定義體驗,您可以存取 Microsoft 365 系統管理中心 中的安全性分析器自動化設定指南

Windows Server 上線概觀

您必須完成下列一般步驟,才能成功將伺服器上線。

Windows Server 和 Windows 10 裝置上線流程的圖例

注意事項

不支援 Windows Hyper-V 伺服器版本。

與伺服器 Microsoft Defender 整合

適用於端點的 Microsoft Defender 與伺服器的 Microsoft Defender 緊密整合。 您可以自動將伺服器上線、讓雲端 Microsoft Defender 監視的伺服器出現在適用於端點的Defender中,並以雲端客戶的 Microsoft Defender身分進行詳細調查。 如需詳細資訊,請移至使用適用於雲端的Defender整合式EDR解決方案保護您的端點:適用於端點的 Microsoft Defender

注意事項

針對 Windows Server 2016 和 Windows Server 2012 R2,您可以在這些電腦上手動安裝/升級新式整合解決方案,或使用整合來自動部署或升級個別伺服器方案 Microsoft Defender 所涵蓋的伺服器。 有關使用適用於雲端的Defender整合式EDR解決方案保護端點進行切換的詳細資訊:適用於端點的 Microsoft Defender。

  • 當您使用適用於雲端的 Microsoft Defender 來監視伺服器時,系統會自動在美國為美國使用者建立 (適用於端點的 Defender 租使用者,針對歐洲使用者在美國,以及針對英國使用者) 英國建立。 適用於端點的 Defender 所收集的數據會儲存在租使用者的地理位置,如布建期間所識別。
  • 如果您在使用適用於雲端的 Microsoft Defender 之前使用適用於端點的 Defender,則即使稍後與適用於雲端的 Microsoft Defender 整合,您的數據仍會儲存在您建立租使用者時指定的位置。
  • 設定之後,您就無法變更資料的儲存位置。 如果您需要將數據移至另一個位置,您必須連絡 Microsoft 支援服務 以重設租使用者。
  • 已為 Office 365 GCC 客戶停用使用此整合的伺服器端點監視。
  • 先前,Windows Server 2016 上使用 Microsoft Monitoring Agent (MMA) ,Windows Server 2012 R2 和舊版 Windows Server 允許 OMS/ Log Analytics 網關提供與 Defender 雲端服務的連線。 新的解決方案,例如 Windows Server 2022、Windows Server 2019 和 Windows 10 或更新版本上的 適用於端點的 Microsoft Defender,不支援此閘道。
  • 透過雲端 Microsoft Defender 上線的 Linux 伺服器已將其初始組態設定為以被動模式執行 Defender 防毒軟體。

Windows Server 2016 和 Windows Server 2012 R2

  • 下載安裝和上線套件
  • 套用安裝套件
  • 請遵循對應工具的上線步驟

Windows Server Semi-Annual Enterprise Channel 和 Windows Server 2019

  • 下載上線套件
  • 請遵循對應工具的上線步驟

Windows Server 2016 和 Windows Server 2012 R2

新式統一解決方案中的功能

先前的實作 (在 2022 年 4 月之前) 上線 Windows Server 2016 和 Windows Server 2012 R2 需要使用 Microsoft Monitoring Agent (MMA) 。

新的統一方案套件可移除相依性與安裝步驟,更輕鬆地讓伺服器上線。 它也提供擴充程度更大的功能集。 如需詳細資訊,請參閱 Windows Server 2012 R2 和 2016

根據您要上線的伺服器,統一解決方案會安裝 Microsoft Defender 防病毒軟體和/或 EDR 感測器。 下表指出已安裝的元件,以及預設內建的內容。

伺服器版本 AV EDR
Windows Server 2012 R2 是。 是。
Windows Server 2016 內建 是。
Windows Server 2019 或更新版本 內建 內建

如果您先前已使用 MMA 將伺服器上線,請遵循 伺服器移 轉中提供的指引移轉至新的解決方案。

必要條件

Windows Server 2016和 Windows Server 2012 R2 的必要條件

建議您在伺服器上安裝最新的可用 SSU 和 LCU。

使用第三方安全性解決方案執行的必要條件

如果您想要使用第三方反惡意代碼解決方案,您必須以被動模式執行 Microsoft Defender 防病毒軟體。 您必須記得在安裝和上線程式期間設定為被動模式。

注意事項

如果您要在具有 McAfee 端點安全性 (ENS) 或 VirusScan Enterprise (VSE) 的伺服器上安裝 適用於端點的 Microsoft Defender,則可能需要更新 McAfee 平臺的版本,以確保不會移除或停用 Microsoft Defender 防病毒軟體。 如需詳細資訊,包括所需的特定版本號碼,請參閱 McAfee知識中心一文

在 Windows Server 2016 上更新 適用於端點的 Microsoft Defender 的套件,並 Windows Server 2012 R2

若要接收 EDR 感測器元件的一般產品改進和修正,請確定 Windows Update KB5005292已套用或核准。 此外,若要讓保護元件保持更新,請參閱管理 Microsoft Defender 防病毒軟體更新和套用基準

如果您使用 Windows Server Update Services (WSUS) 和/或Microsoft端點 Configuration Manager,則類別下提供這個新的「EDR 感測器 適用於端點的 Microsoft Defender 更新」適用於端點的 Microsoft Defender」。

上線步驟摘要

步驟 1:下載安裝和上線套件

您必須從入口網站下載 安裝 線套件。

注意事項

安裝套件會每月更新一次。 請務必在使用前下載最新的套件。 若要在安裝之後更新,您不需要再次執行安裝程式套件。 如果您這樣做,安裝程式會要求您先脫機,因為這是卸載的需求。 請參閱 Windows Server 2012 R2 和 2016 上的更新 適用於端點的 Microsoft Defender 套件

上線儀錶板的影像

注意事項

在 Windows Server 2016 和 Windows Server 2012 R2 上,Microsoft Defender 防病毒軟體必須安裝為功能 (請參閱先切換至 MDE) ,然後再繼續安裝。

如果您執行的是非Microsoft反惡意代碼解決方案,請確定您在安裝之前,會從 [Defender 處理程式] 索引標籤上的 [Microsoft Defender 行程] 清單中新增 Microsoft Defender 防病毒軟體 (排除專案,) 到非Microsoft解決方案。 也建議您將非Microsoft安全性解決方案新增至 Defender 防毒軟體 排除清單。

安裝套件包含 MSI 檔案,可安裝 適用於端點的 Microsoft Defender 代理程式。

上線套件包含下列檔案:

  • WindowsDefenderATPOnboardingScript.cmd - 包含上線文稿

請遵循下列步驟來下載套件:

  1. 在 Microsoft Defender 全面偵測回應 中,移至 [設定>端點>上線]

  2. Windows Server 2016 並 Windows Server 2012 R2

  3. 取 [下載安裝套件 ] 並儲存 .msi 檔。

  4. 取 [下載上線套件 ],然後儲存 .zip 檔案。

  5. 使用任何選項安裝 Microsoft Defender 防病毒軟體] 來安裝安裝套件。 安裝需要系統管理許可權。

重要事項

本機上線腳本適用於概念證明,但不應用於生產環境部署。 針對生產環境部署,建議您使用 群組原則 或Microsoft端點 Configuration Manager。

步驟 2:套用安裝和上線套件

在此步驟中,您將安裝將裝置上架至 適用於端點的 Microsoft Defender 雲端環境之前所需的預防和偵測元件,以準備計算機上線。 請確定已符合所有 必要條件

注意事項

Microsoft Defender,除非您將防病毒軟體設定為被動模式,否則防病毒軟體將會安裝並處於主動狀態。

安裝 適用於端點的 Microsoft Defender 套件的選項

在上一節中,您已下載安裝套件。 安裝套件包含所有 適用於端點的 Microsoft Defender元件的安裝程式。

您可以使用下列任何選項來安裝代理程式:

使用命令行安裝 Microsoft Defender For Endpoint

使用上一個步驟中的安裝套件來安裝 適用於端點的 Microsoft Defender。

執行下列命令以安裝 適用於端點的 Microsoft Defender:

Msiexec /i md4ws.msi /quiet

若要卸載,請確定計算機已先使用適當的離線腳本脫機。 然後,使用 控制台 > 程式>和功能來執行卸載。

或者,執行下列卸載命令以卸載 適用於端點的 Microsoft Defender:

Msiexec /x md4ws.msi /quiet

您必須使用用於安裝的相同套件,上述命令才能成功。

參數 /quiet 會隱藏所有通知。

注意事項

Microsoft Defender 防病毒軟體不會自動進入被動模式。 如果您執行非Microsoft防病毒軟體/反惡意代碼解決方案,您可以選擇設定 Microsoft Defender 防病毒軟體以被動模式執行。 針對命令行安裝,選擇性 FORCEPASSIVEMODE=1 會立即將 Microsoft Defender 防病毒軟體元件設定為被動模式,以避免干擾。 然後,若要確保 Defender 防毒軟體 在上線之後保持被動模式,以支援 EDR 區塊等功能,請設定 “ForceDefenderPassiveMode” 登錄機碼。

支援 Windows Server 可讓您深入瞭解伺服器活動、核心和記憶體攻擊偵測的涵蓋範圍,以及啟用回應動作。

使用腳本安裝 適用於端點的 Microsoft Defender

您可以使用 安裝程式協助程式腳本來 協助自動化安裝、卸載和上線。

注意事項

安裝腳本已簽署。 對腳本的任何修改都會使簽章失效。 當您從 GitHub 下載腳本時,避免意外修改的建議方法是將來源檔案下載為 zip 封存,然後將它解壓縮以取得主要 [程序代碼] 頁面上 (的 install.ps1 檔案,單擊 [程序代碼] 下拉菜單,然後選取 [下載 ZIP] ) 。

此腳本可用於各種案例,包括先前 MMA 型 適用於端點的 Microsoft Defender 解決方案的伺服器移轉案例中所述的案例,以及使用 群組原則 進行部署,如下所述。

使用安裝程式文稿執行安裝時,使用組策略套用 適用於端點的 Microsoft Defender 安裝和上線套件

  1. 建立群組原則:
    啟 #D61217554B9D74A62A106037AFF288E81 Management Console (GPMC) ,以滑鼠右鍵按兩下 [群組原則 您要設定的物件],然後選取 [新增]。 在顯示的對話框中輸入新 GPO 的名稱,然後選取 [ 確定]

  2. 啟 #D8D962E27F4754F7EA0E8BB189D734F86 Management Console (GPMC) ,以滑鼠右鍵按兩下您要設定的 群組原則 物件 (GPO) ,然後選取 [編輯]

  3. 群組原則管理編輯器中,依序前往 [電腦組態][喜好設定][控制台設定]

  4. 以滑鼠右鍵按一下 [排程工作],指向 [新增],然後按一下 [立即工作 (至少 Windows 7)]

  5. 在開啟的 [ 工作 ] 視窗中,移至 [ 一般] 索引 卷標。在 [安全性選項] 下,選取 [變更使用者或群組 ] 並輸入 SYSTEM,然後選取 [ 檢查名稱 ],然後選取 [ 確定]。 NT AUTHORITY\SYSTEM 會顯示為執行工作的使用者帳戶身分。

  6. 選取 [不論使用者登入與否均執行],然後勾選 [以最高權限執行] 核取方塊。

  7. 在 [名稱] 欄位中,輸入排程工作的適當名稱 (例如適用於端點部署的Defender) 。

  8. 移至 [動作] 索引標籤,然後選取 [新增...]。確定已在 [動作] 欄位中選取 [啟動程式]。 安裝程式腳本會處理安裝,並在安裝完成後立即執行上線步驟。 選 取C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 然後提供自變數:

     -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd
    

    注意事項

    建議的執行原則設定為 Allsigned。 如果腳本在端點上以 SYSTEM 身分執行,則需要將腳本的簽署憑證匯入本機電腦信任的發行者存放區。

    使用共用install.ps1檔案的檔伺服器完整域名 (FQDN) ,將 \\servername-or-dfs-space\ share-name 取代為 UNC 路徑。 安裝程式套件 md4ws.msi 必須放在相同的目錄中。 請確定 UNC 路徑的許可權允許寫入存取正在安裝套件的電腦帳戶,以支援建立記錄檔。 如果您想要停用建立記錄檔 (不建議) ,您可以使用 -noETL -noMSILog 參數。

    針對您想要 Microsoft Defender 防病毒軟體與非Microsoft反惡意代碼解決方案共存的案例,請新增 $Passive 參數,以在安裝期間設定被動模式。

  9. 選取 [確定 ],然後關閉任何開啟的 GPMC 視窗。

  10. 若要將 GPO 連結至組織單位 (OU) ,請以滑鼠右鍵按兩下並選取 [鏈接現有的 GPO]。 在顯示的對話框中,選取您要連結的 群組原則 物件。 選取 [確定]

如需更多組態設定,請參閱設定範例集合設定和其他建議的組態設定

步驟 3:完成上線步驟

只有在您使用第三方反惡意代碼解決方案時,才適用下列步驟。 您必須套用下列 Microsoft Defender 防病毒軟體被動模式設定。 確認已正確設定:

  1. 設定下列登入專案:

    • 路徑:HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • 名稱:ForceDefenderPassiveMode
    • 類型:REG_DWORD
    • 值:1

    被動模式驗證結果

適用於 Windows Server 2016和 Windows Server 2012 R2 之全新整合解決方案套件的已知問題和限制

重要事項

在執行新的安裝之前,請務必先從 Microsoft Defender 入口網站下載最新的安裝程式套件 (https://security.microsoft.com) ,並確定已符合必要條件。 安裝之後,請務必使用 Windows Server 2012 R2 和 2016 上更新 適用於端點的 Microsoft Defender 套件一節中所述的元件更新定期更新。

  • 由於服務安裝逾時,操作系統更新可能會在磁碟速度較慢的計算機上造成安裝問題。 安裝失敗,並顯示「找不到 c:\program files\windows defender\mpasdesc.dll, - 310 WinDefend」訊息。 如有需要,請使用最新的安裝套件和最新的 install.ps1 腳本來協助清除失敗的安裝。

  • Windows Server 2016 和 Windows Server 2012 R2 上的使用者介面僅允許基本作業。 若要在本機裝置上執行作業,請參閱使用PowerShell、WMI和 MPCmdRun.exe管理 適用於端點的 Microsoft Defender。 因此,特別依賴用戶互動的功能,例如提示用戶進行決策或執行特定工作的功能,可能無法如預期般運作。 建議您停用或不啟用使用者介面,也不需要在任何受管理的伺服器上進行使用者互動,因為這可能會影響保護功能。

  • 並非所有的「降低攻擊面」規則都適用於所有作業系統。 請參閱 受攻擊面縮小規則

  • 不支援操作系統升級。 在升級之前,請先下架再卸載。 安裝程式套件只能用來升級尚未使用新的反惡意代碼平臺或 EDR 感測器更新套件更新的安裝。

  • 若要使用 Microsoft 端點 Configuration Manager (MECM 自動部署並上架新解決方案) 您必須是 2207 版或更新版本。 您仍然可以使用 2107 版搭配 Hotfix 匯總來設定和部署,但這需要額外的部署步驟。 如需詳細資訊,請參閱Microsoft端點 Configuration Manager 移轉案例。

Windows Server Semi-Annual Enterprise Channel (SAC) 、Windows Server 2019 和 Windows Server 2022

下載套件

  1. 在 Microsoft Defender 全面偵測回應 中,移至 [設定>端點 > 裝置管理 > 上線]

  2. 取 [Windows Server 1803 和 2019]

  3. 選取 [下載套件]。 將它儲存為 WindowsDefenderATPOnboardingPackage.zip。

  4. 請遵循 完成上線步驟 一節中提供的步驟。

確認上線和安裝

確認 Microsoft Defender 防病毒軟體和 適用於端點的 Microsoft Defender 正在執行。

執行偵測測試以確認上線

將裝置上線之後,您可以選擇執行偵測測試,以驗證裝置已正確上線到服務。 如需詳細資訊,請參閱 在新上線的適用於端點的 Microsoft Defender 裝置上執行偵測測試

注意事項

執行 Microsoft Defender 防病毒軟體並非必要,但建議您這麼做。 如果另一個防病毒軟體廠商產品是主要的端點保護解決方案,您可以在被動模式中執行 Defender 防毒軟體。 您只能在確認 #D49C1A4C57602459486ACD3A2816B2DA2 感測器 (SENSE) 正在執行之後,確認被動模式已開啟。

  1. 執行下列命令以確認已安裝 Microsoft Defender 防病毒軟體:

    注意事項

    只有當您使用 Microsoft Defender 防病毒軟體作為作用中的反惡意代碼解決方案時,才需要此驗證步驟。

    sc.exe query Windefend
    

    如果結果是「指定的服務不存在於已安裝的服務中」,則您必須安裝 Microsoft Defender 防病毒軟體。

    如需如何使用 群組原則 在 Windows 伺服器上設定和管理 Microsoft Defender 防病毒軟體的詳細資訊,請參閱使用 群組原則 設定來設定和管理 Microsoft Defender 防病毒軟體

  2. 執行下列命令以確認 適用於端點的 Microsoft Defender 正在執行:

    sc.exe query sense
    

    結果應該會顯示其正在執行中。 如果您在上線時遇到問題,請參閱 針對上線進行疑難解答

執行偵測測試

請依照在新上 線裝置上執行偵測測試 中的步驟,確認伺服器向適用於端點的 Defender 服務回報。

後續步驟

成功將裝置上線至服務之後,您必須設定 適用於端點的 Microsoft Defender 的個別元件。 請遵循 設定功能 ,以引導您啟用各種元件。

將 Windows 伺服器離線

您可以使用適用於 Windows Server 2012 Windows 10 用戶端裝置的相同方法,將 R2、Windows Server 2016、Windows Server (SAC) 、Windows Server 2019 和 Windows Server 2019 Core 版本脫機。

下架之後,您可以繼續在 Windows Server 2016 上卸載統一的解決方案套件,並 Windows Server 2012 R2。

對於其他 Windows 伺服器版本,您有兩個選項可從服務卸除 Windows 伺服器:

  • 卸載 MMA 代理程式
  • 拿掉適用於端點的Defender工作區設定

注意事項

如果您針對需要 MMA 的 Windows Server 2016 和 Windows Server 2012 R2 執行先前的 適用於端點的 Microsoft Defender,其他 Windows 伺服器版本的這些下架指示也適用。 移轉至新整合解決方案的指示位於 適用於端點的 Microsoft Defender 中的伺服器移轉案例

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。