將上一版 Windows 上線

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

平台

• Windows 7 SP1 Enterprise
• Windows 7 SP1 專業版
• Windows 8.1 專業版
• Windows 8.1 企業版
• Windows Server 2008 R2 SP1

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

適用於端點的 Defender 擴充支援以包含下層作業系統，在支援的 Windows 版本上提供進階的攻擊偵測和調查功能。

若要將下層 Windows 用戶端端點上線至適用於端點的 Defender，您必須：

• 設定及更新 System Center Endpoint Protection 用戶端
• 安裝和設定 Microsoft Monitoring Agent (MMA) 以報告感測器數據

針對 Windows Server 2008 R2 SP1，您可以選擇透過雲端 Microsoft Defender 上線。

注意事項

每個節點都需要適用於端點的Defender獨立伺服器授權，才能透過 Microsoft Monitoring Agent (選項 1) 將 Windows 伺服器上線。 或者，每個節點都需要伺服器授權 Microsoft Defender，才能透過雲端 (選項 2) Microsoft Defender 將 Windows 伺服器上線，請參閱雲端 Microsoft Defender 中支援的功能。

提示

將裝置上線之後，您可以選擇執行偵測測試，以確認它已正確上線至服務。 如需詳細資訊，請參閱 在新上線的適用於端點的Defender端點上執行偵測測試。

設定及更新 System Center Endpoint Protection 用戶端

適用於端點的 Defender 會與 System Center Endpoint Protection 整合，以提供惡意代碼偵測的可見度，並藉由禁止潛在的惡意檔案或可疑的惡意代碼，來停止在組織中傳播攻擊。

開啟此整合需要下列步驟：

• 安裝 Endpoint Protection 用戶端的 2017 年 1 月反惡意代碼平臺更新
• 將 SCEP 用戶端雲端保護服務成員資格設定為進 階 設定
• 設定您的網路以允許連線到 Microsoft Defender 防病毒軟體雲端。 如需詳細資訊，請參閱設定和驗證 Microsoft Defender 防病毒軟體網路連線

安裝及設定 Microsoft Monitoring Agent (MMA)

開始之前

請檢閱下列詳細數據，以確認最低系統需求：

• 安裝 2018 年 2 月的每月更新匯總 - 從 Windows Update 目錄直接下載連結可從這裡取得

• 安裝 2019 年 3 月 12 日 (或更新版本) 服務堆疊更新 - 您可以在這裡取得來自 Windows Update 目錄的直接下載連結

• 安裝 SHA-2 程式代碼簽署支援更新 - 從 Windows Update 目錄直接下載連結可從這裡取得

  注意事項

  僅適用於 Windows Server 2008 R2、Windows 7 SP1 Enterprise 和 Windows 7 SP1 專業版。

• 安裝 客戶體驗和診斷遙測的更新

• 安裝 Microsoft .Net Framework 4.5.2 或更新版本

  注意事項

  安裝 .NET 4.5 可能需要您在安裝後重新啟動計算機。

• 符合 Azure Log Analytics 代理程式的最低系統需求。 如需詳細資訊，請參閱 使用Log Analytics 從您環境中的電腦收集數據

安裝步驟

1. 下載代理程式安裝檔案： Windows 64 位代理 程式或 Windows 32 位代理程式。

   注意事項

   由於 MMA 代理程式淘汰 SHA-1 支援，MMA 代理程式必須是 10.20.18029 版或更新版本。

2. 取得工作區識別碼：

   • 在 [適用於端點的 Defender] 瀏覽窗格中，選取 [ 設定 > 裝置管理 > 上線]
   • 選取作業系統
   • 複製工作區識別碼和工作區金鑰

3. 使用 [工作區識別符] 和 [工作區金鑰] 選擇下列任何安裝方法來安裝代理程式：

   • 使用安裝程式手動安裝代理程式。

     在 [ 代理程式設定選項] 頁面上，選取 [ 將代理程式連線至 Azure Log Analytics (OMS)

   • 使用命令行安裝代理程式。

   • 使用文稿設定代理程式。

   注意事項

   如果您是 美國政府客戶，在 [Azure Cloud] 底下，如果您使用安裝精靈，或使用命令行或腳本，則必須選擇 [Azure US Gov] -將 “OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE” 參數設定為 1。

4. 如果您使用 Proxy 連線到因特網，請參閱設定 Proxy 和因特網連線設定一節。

完成之後，您應該會在一小時內在入口網站中看到已上線的端點。

設定 Proxy 和網際網路連接設定

如果您的伺服器需要使用 Proxy 來與適用於端點的 Defender 通訊，請使用下列其中一種方法來設定 MMA 以使用 Proxy 伺服器：

• 將 MMA 設定為使用 Proxy 伺服器

• 將 Windows 設定為針對所有連線使用 Proxy 伺服器

如果 Proxy 或防火牆正在使用中，請確定伺服器可以直接存取所有 適用於端點的 Microsoft Defender 服務 URL，而不需要 SSL 攔截。 如需詳細資訊，請參閱啟用 適用於端點的 Microsoft Defender 服務 URL 的存取權。 使用 SSL 攔截會防止系統與適用於端點的 Defender 服務通訊。

完成後，您應該會在一小時內在入口網站中看到已上線的 Windows 伺服器。

透過雲端 Microsoft Defender 將 Windows 伺服器上線

1. 在 [Microsoft Defender 全面偵測回應] 瀏覽窗格中，選取 [設定>端點>裝置管理>上線]。

2. 選 取 [Windows Server 2008 R2 SP1 ] 作為操作系統。

3. 按兩下 [雲端 Microsoft Defender 中的 [上線伺服器]。

4. 請遵循 適用於端點的 Microsoft Defender 與 Microsoft Defender for Cloud 中的上線指示，如果您使用 Azure ARC，請遵循啟用 適用於端點的 Microsoft Defender 整合中的上線指示。

完成上線步驟之後，您必須設定及更新 System Center Endpoint Protection 用戶端。

注意事項

• 若要透過 Microsoft Defender 上線，讓伺服器如預期般運作，伺服器必須在 Microsoft Monitoring Agent (MMA) 設定內設定適當的工作區和密鑰。
• 設定之後，會在計算機上部署適當的雲端管理元件，並部署並啟動感測器程式 (MsSenseS.exe) 。
• 如果伺服器設定為使用 OMS 閘道伺服器作為 Proxy，也需要這麼做。

確認上線

確認 Microsoft Defender 防病毒軟體和 適用於端點的 Microsoft Defender 正在執行。

注意事項

執行 Microsoft Defender 防病毒軟體並非必要，但建議您這麼做。 如果另一個防病毒軟體廠商產品是主要的端點保護解決方案，您可以在被動模式中執行Defender防病毒軟體。 您只能在確認 #DEB6FC638EE79464985363CDDA91882E8 感測器 (SENSE) 正在執行之後，才確認被動模式已開啟。

注意事項

由於 Microsoft Defender 防病毒軟體僅支援 Windows 10 和 Windows 11，因此執行 Windows Server 2008 R2 SP1 時不適用步驟 1。

1. 執行下列命令以確認已安裝 Microsoft Defender 防病毒軟體：

   sc.exe query Windefend
   

   如果結果是「指定的服務不存在為已安裝的服務」，則您必須安裝 Microsoft Defender 防病毒軟體。 如需詳細資訊，請參閱 Windows 10 中 Microsoft Defender 防病毒軟體。

   如需如何使用 群組原則 在 Windows 伺服器上設定和管理 Microsoft Defender 防病毒軟體的詳細資訊，請參閱使用 群組原則 設定來設定和管理 Microsoft Defender 防病毒軟體。

如果您在上線時遇到問題，請參閱 針對上線進行疑難解答。

執行偵測測試

請依照在新上 線裝置上執行偵測測試 中的步驟，確認伺服器向適用於端點的 Defender 服務回報。

將沒有管理解決方案的端點上線

使用群組原則

步驟 1：下載端點的對應更新。

1. 流覽至 c：\windows\sysvol\domain\scripts (其中一個域控制器上可能需要變更控件。)

2. Create 名為 MMA 的資料夾。

3. 下載下列內容，並將它們放在 MMA 資料夾中：

   • 客戶體驗和診斷遙測的更新：
     • 針對 Windows Server 2008 R2 x64

   針對 Windows Server 2008 R2 SP1，也需要下列更新：

   2018 年 2 月每月匯總 - KB4074598 (Windows Server 2008 R2)

   Microsoft Update Catalog
   下載 Windows Server 2008 R2 x64 的更新

   .NET Framework 3.5.1 (KB315418)
   針對 Windows Server 2008 R2 x64

   注意事項

   本文假設您使用 x64 型伺服器 (MMA 代理程式 .exe x64 新的 SHA-2 兼容版本) 。

步驟 2：使用記事本 DeployMMA.cmd (Create Create 檔名) 將下列幾行新增至 Cmd 檔案。 請注意，您將需要您的工作區標識碼和金鑰。

下列命令是範例。 取代下列值：

• KB - 使用與您上線端點相關的適用 KB
• 工作區識別碼和金鑰 - 使用您的識別碼和金鑰

@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

群組原則 組態

Create 新的組策略，專門用來將裝置上線，例如「適用於端點的 Microsoft Defender 上線」。

• Create 名為 「c：\windows\MMA」 的 群組原則資料夾

  

  這會在每部伺服器上新增資料夾，以套用 GPO，稱為 MMA，並儲存在 c：\windows 中。 這會包含 MMA、必要條件和安裝腳本的安裝檔案。

• Create Net 登入中儲存之每個檔案的 群組原則 檔案喜好設定。

  

它會將檔案從 DOMAIN\NETLOGON\MMA\filename 複製到 C：\windows\MMA\filename ， 因此安裝檔案是伺服器的本機：

重複此程式，但在 [一般] 索引標籤上建立目標專案層級，因此檔案只會複製到範圍內的適當平臺/操作系統版本：

針對 Windows Server 2008 R2，您將需要 (，且只會複製下列) ：

• Windows6.1-KB3080149-x64.msu
• Windows6.1-KB3154518-x64.msu
• Windows6.1-KB4075598-x64.msu

完成此動作之後，您必須建立啟動腳本原則：

要在這裡執行的檔名是 c：\windows\MMA\DeployMMA.cmd。 在啟動程式中重新啟動伺服器之後，它會安裝客戶體驗和診斷遙測 KB 的更新，然後安裝 MMA 代理程式，同時設定工作區識別碼和密鑰，伺服器將會上線。

如果您不想重新啟動所有伺服器，也可以使用 立即 工作來執行deployMMA.cmd。

這可以分兩個階段完成。 先在 GPO 中建立檔案和資料夾 - 提供系統時間以確保已套用 GPO，而且所有伺服器都有安裝檔案。 然後，新增立即工作。 這會達到相同的結果，而不需要重新啟動。

由於腳本具有結束方法，且如果已安裝 MMA，則不會重新執行，因此您也可以使用每日排程的工作來達到相同的結果。 類似於 Configuration Manager 合規性政策，它會每天檢查以確保 MMA 存在。

如特別關於 Server 2008 R2 的上線檔所述，請參閱下列內容：針對 Windows Server 2008 R2 SP1，請確定您符合下列需求：

• 安裝 2018 年 2 月的每月更新匯總
• 安裝 .NET Framework 4.5 (或更新版本) 或 KB3154518

請先檢查 KB 是否存在，再將 Windows Server 2008 R2 上線。 如果您沒有管理伺服器的 Configuration Manager，此程式可讓您將所有伺服器上線。

下線端點

您有兩個選項可從服務將 Windows 端點離線：

• 卸載 MMA 代理程式
• 拿掉適用於端點的Defender工作區設定

注意事項

下線會導致 Windows 端點停止將感測器數據傳送至入口網站，但來自端點的數據，包括其已保留的任何警示參考，最多會保留 6 個月。

卸載 MMA 代理程式

若要將 Windows 端點離線，您可以卸載 MMA 代理程式，或將它從向適用於端點的 Defender 工作區回報中斷連結。 將代理程式離線之後，端點將不再將感測器數據傳送至適用於端點的Defender。 如需詳細資訊，請 參閱停用代理程式。

拿掉適用於端點的Defender工作區設定

您可以使用下列其中一種方法：

• 從 MMA 代理程式移除適用於端點的 Defender 工作區設定
• 執行 PowerShell 命令以移除設定

從 MMA 代理程式移除適用於端點的 Defender 工作區設定

1. 在 [ Microsoft Monitoring Agent 內容] 中，選取 [Azure Log Analytics (OMS) ] 索引卷標。

2. 選取 [適用於端點的 Defender] 工作區，然後按兩下 [ 移除]。

   

執行 PowerShell 命令以移除設定

1. 取得您的工作區識別碼：

   1. 在瀏覽窗格中，選取 [ 設定>上線]。
   2. 選取相關的操作系統，並取得您的工作區標識符。

2. 開啟提升許可權的 PowerShell，然後執行下列命令。 使用您取得的工作區識別碼，並取代 WorkspaceID：

   $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
   
   # Remove OMS Workspace
   $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
   
   # Reload the configuration and apply changes
   $AgentCfg.ReloadConfiguration()
   

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。