Поделиться через


Подключение устройств Windows с помощью Configuration Manager

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Предварительные условия

Важно!

Роль системы сайта точки Endpoint Protection необходима, чтобы политики антивирусной защиты и сокращения направлений атак правильно развертывались в целевых конечных точках. Без этой роли конечные точки в коллекции устройств не будут получать настроенные политики антивирусной программы и сокращения направлений атак.

Вы можете использовать Configuration Manager для подключения конечных точек к службе Microsoft Defender для конечной точки.

Для подключения устройств с помощью Configuration Manager можно использовать несколько вариантов:

Примечание.

Defender для конечной точки не поддерживает подключение на этапе запуска при первом включении (OOBE). Убедитесь, что пользователи завершают OOBE после установки или обновления Windows.

Обратите внимание, что в приложении Configuration Manager можно создать правило обнаружения, чтобы непрерывно проверка, если устройство было подключено. Приложение — это другой тип объекта, чем пакет и программа. Если устройство еще не подключено (из-за ожидания завершения OOBE или по какой-либо другой причине), Configuration Manager будет повторять подключение устройства до тех пор, пока правило не обнаружит изменение состояния.

Это можно сделать, создав правило обнаружения, проверяющее, является ли значение реестра OnboardingState (типа REG_DWORD) = 1. Это значение реестра находится в разделе "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". Дополнительные сведения см. в разделе Настройка методов обнаружения в System Center 2012 R2 Configuration Manager.

Настройка параметров коллекции примеров

Для каждого устройства можно задать значение конфигурации, указывающее, можно ли собирать образцы с устройства при выполнении запроса через Microsoft Defender XDR для отправки файла для глубокого анализа.

Примечание.

Эти параметры конфигурации обычно выполняются с помощью Configuration Manager.

Вы можете задать правило соответствия для элемента конфигурации в Configuration Manager, чтобы изменить параметр примера общей папки на устройстве.

Это правило должно быть элементом конфигурации правила соответствия, который задает значение раздела реестра на целевых устройствах, чтобы убедиться, что они соответствуют требованиям.

Конфигурация задается с помощью следующей записи раздела реестра:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Где тип ключа — это D-WORD. Возможные значения:

  • 0. Не разрешает общий доступ к образцам с этого устройства
  • 1. Разрешает общий доступ к файлам всех типов с этого устройства

Значение по умолчанию, если раздел реестра не существует, равно 1.

Дополнительные сведения о соответствии требованиям System Center Configuration Manager см. в статье Общие сведения о параметрах соответствия в System Center 2012 R2 Configuration Manager.

Подключение устройств Windows с помощью Microsoft Configuration Manager

Создание коллекции

Чтобы подключить устройства Windows с Microsoft Configuration Manager, развертывание может быть нацелено на существующую коллекцию или создать новую коллекцию для тестирования.

Подключение с помощью таких средств, как групповая политика или ручной метод, не устанавливает агенты в системе.

В консоли Microsoft Configuration Manager процесс подключения будет настроен как часть параметров соответствия в консоли.

Любая система, получающая эту необходимую конфигурацию, поддерживает эту конфигурацию до тех пор, пока клиент Configuration Manager продолжает получать эту политику из точки управления.

Чтобы подключить конечные точки с помощью Microsoft Configuration Manager, выполните следующие действия:

  1. В консоли Microsoft Configuration Manager перейдите в раздел Активы и соответствие > общим > коллекциям устройств.

    Снимок экрана: мастер Microsoft Configuration Manager 1.

  2. Выберите и удерживайте (или щелкните правой кнопкой мыши) Коллекцию устройств и выберите Создать коллекцию устройств.

    Снимок экрана: мастер Microsoft Configuration Manager 2.

  3. Укажите имя и ограничивающую коллекцию, а затем нажмите кнопку Далее.

    Снимок экрана: мастер Microsoft Configuration Manager 3.

  4. Выберите Добавить правило и выберите Правило запроса.

    Снимок экрана: мастер Microsoft Configuration Manager 4.

  5. Нажмите кнопку Далее в мастере прямого членства , а затем выберите Изменить инструкцию запроса.

    Снимок экрана: мастер Microsoft Configuration Manager 5.

  6. Выберите Критерии, а затем щелкните значок star.

    Снимок экрана: мастер Microsoft Configuration Manager 6.

  7. Оставьте тип условия простым значением, выберите тогда как операционная система — номер сборки, оператор как больше или равен и значение 14393 и нажмите кнопку ОК.

    Снимок экрана: мастер Microsoft Configuration Manager 7.

  8. Выберите Далее и Закрыть.

    Снимок экрана: мастер Microsoft Configuration Manager 8.

  9. Нажмите кнопку Далее.

    Снимок экрана: мастер Microsoft Configuration Manager 9.

После выполнения этой задачи у вас будет коллекция устройств со всеми конечными точками Windows в среде.

После подключения устройств к службе важно воспользоваться включенными возможностями защиты от угроз, включив их со следующими рекомендуемыми параметрами конфигурации.

Конфигурация коллекции устройств

Если вы используете Configuration Manager версии 2002 или более поздней, вы можете расширить развертывание, включив серверы или клиенты нижнего уровня.

Конфигурация защиты следующего поколения

Рекомендуется использовать следующие параметры конфигурации:

Проверка

  • Проверка съемных запоминающих устройств, таких как USB-накопители: Да

Защита в режиме реального времени

  • Включить мониторинг поведения: Да
  • Включить защиту от потенциально нежелательных приложений при скачивании и перед установкой: Да

Облачная служба защиты

  • Тип членства в службе Cloud Protection: расширенное членство

Сокращение направлений атак

Настройте все доступные правила для параметра Аудит.

Примечание.

Блокировка этих действий может привести к прерыванию допустимых бизнес-процессов. Лучший подход — настроить все для аудита, определить, какие из них безопасно включить, а затем включить эти параметры на конечных точках, которые не имеют ложноположительных обнаружений.

Для развертывания Microsoft Defender антивирусной программы и политик сокращения направлений атак с помощью Microsoft Configuration Manager (SCCM) выполните следующие действия:

  • Включите Endpoint Protection и настройте пользовательские параметры клиента.
  • Установите клиент Endpoint Protection из командной строки.
  • Проверьте установку клиента Endpoint Protection.
Включение Endpoint Protection и настройка пользовательских параметров клиента

Выполните действия, чтобы включить защиту конечных точек и настроить пользовательские параметры клиента.

  1. В консоли Configuration Manager щелкните Администрирование.

  2. В рабочей области Администрирование щелкните Параметры клиента.

  3. На вкладке Главная в группе Создать щелкните Создать параметры пользовательского клиентского устройства.

  4. В диалоговом окне Создание пользовательских параметров клиентского устройства укажите имя и описание группы параметров, а затем выберите Endpoint Protection.

  5. Настройте необходимые параметры клиента Endpoint Protection. Полный список параметров клиента Endpoint Protection, которые можно настроить, см. в разделе Endpoint Protection статьи О параметрах клиента.

    Важно!

    Установите роль системы сайта Endpoint Protection перед настройкой параметров клиента для Endpoint Protection.

  6. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Создание пользовательских параметров клиентского устройства . Новые параметры клиента отображаются в узле Параметры клиента рабочей области Администрирование .

  7. Затем разверните настраиваемые параметры клиента в коллекции. Выберите настраиваемые параметры клиента, которые требуется развернуть. На вкладке Главная в группе Параметры клиента нажмите кнопку Развернуть.

  8. В диалоговом окне Выбор коллекции выберите коллекцию, в которой необходимо развернуть параметры клиента, и нажмите кнопку ОК. Новое развертывание отображается на вкладке Развертывания области сведений.

Клиенты настраиваются с этими параметрами при следующем скачивании политики клиента. Дополнительные сведения см. в статье Инициирование извлечения политики для клиента Configuration Manager.

Примечание.

Для Windows Server 2012 R2 и Windows Server 2016, управляемых Configuration Manager 2207 и более поздних версий, подключение осуществляется с помощью клиента Microsoft Defender для конечной точки (MDE) ( рекомендуется) параметр. Кроме того, для миграции можно использовать более старые версии Configuration Manager. Дополнительные сведения см. в статье Перенос серверов из Microsoft Monitoring Agent в единое решение.

Установка клиента Endpoint Protection из командной строки

Выполните действия, чтобы завершить установку клиента endpoint protection из командной строки.

  1. Скопируйте scepinstall.exe из папки Client папки установки Configuration Manager на компьютер, на котором вы хотите установить клиентское программное обеспечение Endpoint Protection.

  2. Откройте окно командной строки c правами администратора. Измените каталог в папку с помощью установщика. Затем запустите scepinstall.exe, добавив все необходимые свойства командной строки:

    Свойство Описание
    /s Автоматический запуск установщика
    /q Автоматическое извлечение файлов установки
    /i Обычный запуск установщика
    /policy Укажите файл политики защиты от вредоносных программ для настройки клиента во время установки
    /sqmoptin Согласие на участие в программе улучшения качества программного обеспечения (CEIP) Майкрософт
  3. Следуйте инструкциям на экране, чтобы завершить установку клиента.

  4. Если вы скачали последний пакет определения обновления, скопируйте его на клиентский компьютер, а затем дважды щелкните пакет определения, чтобы установить его.

    Примечание.

    После завершения установки клиента Endpoint Protection клиент автоматически выполняет обновление определения проверка. Если это обновление проверка выполнено успешно, вам не нужно вручную устанавливать последний пакет обновления определения.

Пример: установка клиента с помощью политики защиты от вредоносных программ

scepinstall.exe /policy <full path>\<policy file>

Проверка установки клиента Endpoint Protection

После установки клиента Endpoint Protection на компьютере-образце убедитесь, что клиент работает правильно.

  1. На компьютере-образце откройте System Center Endpoint Protection в области уведомлений Windows.
  2. На вкладке Главная диалогового окна System Center Endpoint Protection убедитесь, что для защиты в режиме реального временизадано значение Включено.
  3. Убедитесь, что для определений вирусов и шпионских программ отображается обновленная дата.
  4. Чтобы убедиться, что компьютер-образ готов к работе с образами, в разделе Параметры сканирования выберите Полный и нажмите кнопку Проверить сейчас.

Защита сети

Перед включением защиты сети в режиме аудита или блокировки убедитесь, что установлено обновление платформы защиты от вредоносных программ, которое можно получить на странице поддержки.

Контролируемый доступ к папкам

Включите функцию в режиме аудита не менее 30 дней. По истечении этого периода проверьте обнаружения и создайте список приложений, которым разрешено записывать данные в защищенные каталоги.

Дополнительные сведения см. в разделе Оценка управляемого доступа к папкам.

Запуск теста обнаружения для проверки подключения

После подключения устройства можно выполнить тест обнаружения, чтобы убедиться, что устройство правильно подключено к службе. Дополнительные сведения см. в статье Запуск теста обнаружения на недавно подключенном Microsoft Defender для конечной точки устройстве.

Отключение устройств с помощью Configuration Manager

По соображениям безопасности срок действия пакета, используемого для отключенных устройств, истекает через 7 дней после даты загрузки. Пакеты отключения с истекшим сроком действия, отправленные на устройство, будут отклонены. При скачивании пакета offboarding вы получите уведомление о дате окончания срока действия пакетов, и он также будет включен в имя пакета.

Примечание.

Политики подключения и отключения не должны развертываться на одном устройстве одновременно, в противном случае это приведет к непредсказуемым конфликтам.

Отключение устройств с помощью Microsoft Configuration Manager текущей ветви

Если вы используете Microsoft Configuration Manager текущей ветви, см. статью Создание файла конфигурации отключения.

Отключение устройств с помощью System Center 2012 R2 Configuration Manager

  1. Получите пакет offboarding на портале Microsoft Defender:

    1. В области навигации выберите Параметры Конечные>>точкиУправление устройствами>Отключение.
    2. Выберите Windows 10 или Windows 11 в качестве операционной системы.
    3. В поле Метод развертывания выберите System Center Configuration Manager 2012/2012 R2/1511/1602.
    4. Выберите Скачать пакет и сохраните файл .zip.
  2. Извлеките содержимое файла .zip в общее расположение только для чтения, к которому могут обращаться сетевые администраторы, которые будут развертывать пакет. У вас должен быть файл с именем WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Разверните пакет, выполнив действия, описанные в статье Пакеты и программы в System Center 2012 R2 Configuration Manager.

    Выберите предопределенную коллекцию устройств для развертывания пакета.

Важно!

Отключение приводит к тому, что устройство перестает отправлять данные датчика на портал, но данные с устройства, включая ссылки на все оповещения, которые у него были, будут храниться до 6 месяцев.

Мониторинг конфигурации устройства

Если вы используете Microsoft Configuration Manager текущей ветви, используйте встроенную панель мониторинга Defender для конечной точки в консоли Configuration Manager. Дополнительные сведения см. в разделе Defender для конечной точки — монитор.

Если вы используете System Center 2012 R2 Configuration Manager, мониторинг состоит из двух частей:

  1. Подтверждение правильного развертывания пакета конфигурации и выполнения (или успешного выполнения) на устройствах в сети.

  2. Проверка соответствия устройств службе Defender для конечной точки (это гарантирует, что устройство может завершить процесс подключения и продолжать передавать данные службе).

Убедитесь, что пакет конфигурации был правильно развернут

  1. В консоли Configuration Manager щелкните Мониторинг в нижней части области навигации.

  2. Выберите Обзор , а затем — Развертывания.

  3. Выберите развертывание с именем пакета.

  4. Просмотрите индикаторы состояния в разделе Статистика завершения и Состояние содержимого.

    Если развертывания завершаются сбоем (устройства с состоянием ошибки, требования не выполнены или сбой), возможно, потребуется устранить неполадки с устройствами. Дополнительные сведения см. в статье Устранение неполадок с подключением Microsoft Defender для конечной точки.

    Configuration Manager, показывающий успешное развертывание без ошибок

Убедитесь, что устройства соответствуют службе Microsoft Defender для конечной точки.

Для мониторинга развертывания можно задать правило соответствия для элемента конфигурации в System Center 2012 R2 Configuration Manager.

Это правило должно быть неправляющим элементом конфигурации правила соответствия, который отслеживает значение раздела реестра на целевых устройствах.

Отслеживайте следующую запись раздела реестра:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Дополнительные сведения см. в статье Общие сведения о параметрах соответствия в System Center 2012 R2 Configuration Manager.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.