Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для конечной точки поддерживает операционные системы нижнего уровня, предоставляя расширенные возможности обнаружения и исследования атак в поддерживаемых версиях Windows.
Чтобы подключить клиентские конечные точки Windows нижнего уровня к решению безопасности Defender для конечной точки, выполните следующие действия.
Используйте средство развертывания Defender , если клиент Windows нижнего уровня работает под управлением одной из следующих операционных систем:
- Windows 7 SP1 Pro
- Windows 7 с пакетом обновления 1 (SP1) Корпоративная
- Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Средство развертывания Defender установит соответствующее решение для безопасности конечной точки Defender. Дополнительные сведения об этом решении см . в статье Использование средства развертывания Defender для развертывания безопасности конечных точек Defender. Если ваши устройства уже были подключены ранее с помощью Microsoft Monitoring Agent (MMA), вы можете использовать это средство для выполнения обновления.
Установите и настройте Microsoft Monitoring Agent (MMA), если клиент Windows нижнего уровня работает Windows 8.1 или Windows 8.1 Профессиональная.
Совет
После подключения устройства можно выполнить тест обнаружения, чтобы убедиться, что оно правильно подключено к службе. Дополнительные сведения см. в статье Запуск теста обнаружения в недавно подключенной конечной точке Defender для конечной точки.
Использование средства развертывания Defender для развертывания безопасности конечной точки Defender
Для устройств Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1) доступна Microsoft Defender решения для обеспечения безопасности конечных точек. Решение предоставляет расширенные возможности защиты и улучшенные функции для этих устройств по сравнению с другими решениями. В следующей таблице описаны поддерживаемые в настоящее время функциональные возможности решения.
| Функция | функциональность. |
|---|---|
| Расширенная охота | Поиск событий с помощью язык запросов Kusto |
| Антивирусная программа в пассивном режиме | Обеспечивает сосуществование с решениями для защиты от вредоносных программ сторонних разработчиков. |
| Пользовательские индикаторы файлов | Разрешение, блокировка, карантин файлов на основе хэша или сведений о сертификате |
| Возможности реагирования устройств и файлов | Изоляция устройства, блокировка и получение файлов, сбор пакетов исследования, запуск антивирусной проверки Примечание. Другие возможности ответа не поддерживаются. |
| Защита нового поколения | антивирусная программа Defender с мониторингом поведения в режиме реального времени, облачной доставкой и блокировкой и исправлением вредоносных программ на основе определений. Запланированные и запускаемые вручную проверки. Примечание. Защита сети, правила сокращения направлений атак, контролируемый доступ к папкам и связанные функции, включая индикаторы IP-адресов и URL-адресов, не поддерживаются. |
| Оценки уязвимостей операционной системы и программного обеспечения | Управление уязвимостями Defender предоставляет аналитические сведения об уязвимостях Windows и установленного программного обеспечения. Примечание. Следующие функции недоступны для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2: — Оценка конфигурации безопасности — "Ожидание перезагрузки" — Возможности premium: оценка базовых показателей безопасности, расширения браузера, блокировка сертификатов и приложений |
| Управление параметрами безопасности | Применение политики для антивирусная программа Defender возможностей. Обратите внимание, что вступают в силу только параметры доступных функций. |
| Датчик обнаружения датчика | Многофункциональные события обнаружения для использования в временная шкала устройства, поиске и создании оповещений на основе индикаторов компрометации и атаки. |
| Нарушение атаки: содержать устройство или IP-адрес | Автоматическое прерывание атаки для завершения атак с использованием бокового смещения. |
| (Автоматические) обновления | Регулярные обновления для компонентов защиты от вредоносных программ и обнаружения. |
Решение можно скачать и установить с помощью средства развертывания Defender— упрощенного самообновляющегося приложения, которое упрощает подключение для всех версий Windows, поддерживаемых Defender для конечной точки. Средство развертывания отвечает за предварительные требования, автоматизирует миграцию из более старых решений и устраняет необходимость в сложных сценариях подключения, отдельных скачиваниях и установках вручную. Сведения о средстве и его использовании см. в статье Развертывание Microsoft Defender безопасности конечных точек на устройствах Windows с помощью средства развертывания Defender.
Установка и настройка microsoft Monitoring Agent (только Windows 8.1)
Рекомендуется подключить клиенты Windows нижнего уровня через MMA и SCEP только в том случае, если клиент работает Windows 8.1 или 8.1 Pro. Для всех остальных операционных систем Windows используйте средство развертывания Defender.
Подготовка к работе
Ознакомьтесь со следующими сведениями, чтобы проверить минимальные требования к системе:
Установка накопительного пакета ежемесячных обновлений за февраль 2018 г. — прямая ссылка для скачивания из каталога клиентский компонент Центра обновления Windows доступна здесь.
Установите обновление стека обслуживания от 12 марта 2019 г. (или более поздней версии) — прямая ссылка для скачивания из каталога клиентский компонент Центра обновления Windows доступна здесь.
Установка обновления для взаимодействия с клиентом и диагностической телеметрии
Установка Microsoft платформа .NET Framework 4.5.2 или более поздней версии
Примечание.
Установка .NET 4.5 может потребовать перезагрузки компьютера после установки.
Соответствие минимальным требованиям к системе агента Log Analytics Azure. Дополнительные сведения см. в статье Сбор данных с компьютеров в вашей среде с помощью Log Analytics.
Этапы установки
Скачайте файл установки агента: 64-разрядный агент Windows или 32-разрядный агент Windows.
Примечание.
Из-за прекращения поддержки SHA-1 агентом MMA агент MMA должен быть версии 10.20.18029 или более поздней.
Получите идентификатор рабочей области:
- В области навигации Defender для конечной точки выберите Параметры Подключение > управления устройствами>.
- Выберите операционную систему.
- Скопируйте идентификатор рабочей области и ключ рабочей области.
С помощью идентификатора рабочей области и ключа рабочей области выберите один из следующих способов установки агента:
Установите агент вручную с помощью программы установки.
На странице Параметры установки агента выберите Подключить агент к Azure Log Analytics (OMS)
Примечание.
Если вы являетесь клиентом для государственных организаций США, в разделе "Azure облако" необходимо выбрать "Azure для государственных организаций США", если используется мастер настройки, или при использовании командной строки или скрипта задайте для параметра "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" значение 1.
Если вы используете прокси-сервер для подключения к Интернету, см. раздел Настройка параметров прокси-сервера и подключения к Интернету.
После завершения вы должны увидеть подключенные конечные точки на портале в течение часа.
Настройка и обновление клиентов System Center Endpoint Protection
Defender для конечной точки интегрируется с System Center Endpoint Protection, чтобы обеспечить видимость обнаружения вредоносных программ и остановить распространение атаки в организации путем запрета потенциально вредоносных файлов или предполагаемых вредоносных программ.
Чтобы включить эту интеграцию, необходимо выполнить следующие действия.
- Установка обновления платформы защиты от вредоносных программ за январь 2017 г. для клиентов Endpoint Protection
- Настройка членства клиента SCEP в службе Cloud Protection в дополнительном параметре
- Настройте сеть так, чтобы разрешить подключения к облаку антивирусной программы Microsoft Defender. Дополнительные сведения см. в статье Настройка и проверка сетевых подключений антивирусной программы Microsoft Defender.
Настройка параметров прокси-сервера и соединения с Интернетом
Если серверам необходимо использовать прокси-сервер для связи с Defender для конечной точки, используйте один из следующих методов, чтобы настроить MMA для использования прокси-сервера:
Если используется прокси-сервер или брандмауэр, убедитесь, что серверы могут получать доступ ко всем URL-адресам службы Microsoft Defender для конечной точки напрямую и без перехвата SSL. Дополнительные сведения см. в статье Включение доступа к URL-адресам службы Microsoft Defender для конечной точки. Использование перехвата SSL предотвращает взаимодействие системы со службой Defender для конечной точки.
После завершения вы должны увидеть подключенные серверы Windows на портале в течение часа.
Отключенные конечные точки
Вы можете отключить конечные точки Windows из службы двумя способами:
- Удаление агента MMA
- Удаление конфигурации рабочей области Defender для конечной точки
Примечание.
Отключение приводит к тому, что конечная точка Windows перестает отправлять данные датчиков на портал, но данные из конечной точки, включая ссылки на все оповещения, которые она имела, будут храниться до шести месяцев.
Вариант 1. Удаление агента MMA
Чтобы отключить конечную точку Windows, можно удалить агент MMA или отключить его от отчетов в рабочей области Defender для конечной точки. После отключения агента конечная точка больше не будет отправлять данные датчиков в Defender для конечной точки. Дополнительные сведения см. в разделе Отключение агента.
Вариант 2. Удаление конфигурации рабочей области Defender для конечной точки
Можно использовать один из следующих методов:
- Удаление конфигурации рабочей области Defender для конечной точки из агента MMA
- Выполните команду PowerShell, чтобы удалить конфигурацию.
Удаление конфигурации рабочей области Defender для конечной точки из агента MMA
В свойствах агента мониторинга Майкрософт выберите вкладку Azure Log Analytics (OMS).
Выберите рабочую область Defender для конечной точки и нажмите кнопку Удалить.
Выполните команду PowerShell, чтобы удалить конфигурацию.
Получите идентификатор рабочей области:
- В области навигации выберите Параметры>Подключение.
- Выберите соответствующую операционную систему и получите идентификатор рабочей области.
Откройте PowerShell с повышенными привилегиями и выполните следующую команду. Используйте полученный идентификатор рабочей области и замените
WorkspaceID:$AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg # Remove OMS Workspace $AgentCfg.RemoveCloudWorkspace("WorkspaceID") # Reload the configuration and apply changes $AgentCfg.ReloadConfiguration()