Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Defender для конечной точки расширяет поддержку, включив операционные системы нижнего уровня, предоставляя расширенные возможности обнаружения и исследования атак в поддерживаемых версиях Windows.
Чтобы подключить конечные точки клиента Windows нижнего уровня к Defender для конечной точки, можно:
Использование средства развертывания Defender для развертывания безопасности конечной точки Defender
или
Установка и настройка microsoft Monitoring Agent (MMA) и настройка и обновление клиентов System Center Endpoint Protection (SCEP)
Совет
После подключения устройства можно выполнить тест обнаружения, чтобы убедиться, что оно правильно подключено к службе. Дополнительные сведения см. в статье Запуск теста обнаружения в недавно подключенной конечной точке Defender для конечной точки.
Поддерживаемые операционные системы
Решение для обеспечения безопасности конечной точки Defender
- Windows 7 SP1 Pro
- Windows 7 с пакетом обновления 1 (SP1) Корпоративная
- Windows Server 2008 R2 с пакетом обновления 1 (SP1)
MMA/SCEP
- Windows 7 SP1 Pro
- Windows 7 с пакетом обновления 1 (SP1) Корпоративная
- Windows 8.1 Профессиональная
- Windows 8.1
- Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Использование средства развертывания Defender для развертывания безопасности конечной точки Defender
Для устаревших устройств Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1) доступна Microsoft Defender решения для обеспечения безопасности конечных точек (предварительная версия). Решение предоставляет расширенные возможности защиты и улучшенные функции для этих устройств по сравнению с другими решениями. В следующей таблице описаны поддерживаемые в настоящее время функциональные возможности решения.
| Функция | функциональность. |
|---|---|
| Расширенная охота | Поиск событий с помощью язык запросов Kusto |
| Антивирусная программа в пассивном режиме | Обеспечивает сосуществование с решениями для защиты от вредоносных программ сторонних разработчиков. |
| Пользовательские индикаторы файлов | Разрешение, блокировка, карантин файлов на основе хэша или сведений о сертификате |
| Возможности реагирования устройств и файлов | Изоляция устройства, блокировка и получение файлов, сбор пакетов исследования, запуск антивирусной проверки Примечание. Другие возможности ответа не поддерживаются. |
| Защита нового поколения | антивирусная программа Defender с мониторингом поведения в режиме реального времени, облачной доставкой и блокировкой и исправлением вредоносных программ на основе определений. Запланированные и запускаемые вручную проверки. Примечание. Защита сети, правила сокращения направлений атак, контролируемый доступ к папкам и связанные функции, включая индикаторы IP-адресов и URL-адресов, не поддерживаются. |
| Оценки уязвимостей операционной системы и программного обеспечения | Управление уязвимостями Defender предоставляет аналитические сведения об уязвимостях Windows и установленного программного обеспечения. Примечание. Следующие функции недоступны для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2: — Оценка конфигурации безопасности — "Ожидание перезагрузки" — Возможности premium: оценка базовых показателей безопасности, расширения браузера, блокировка сертификатов и приложений |
| Управление параметрами безопасности | Применение политики для антивирусная программа Defender возможностей. Обратите внимание, что вступают в силу только параметры доступных функций. |
| Датчик обнаружения датчика | Многофункциональные события обнаружения для использования в временная шкала устройства, поиске и создании оповещений на основе индикаторов компрометации и атаки. |
| Нарушение атаки: содержать устройство или IP-адрес | Автоматическое прерывание атаки для завершения атак с использованием бокового смещения. |
| (Автоматические) обновления | Регулярные обновления для компонентов защиты от вредоносных программ и обнаружения. |
Решение можно скачать и установить с помощью средства развертывания Defender— упрощенного самообновляющегося приложения, которое упрощает подключение для всех версий Windows, поддерживаемых Defender для конечной точки. Средство развертывания отвечает за предварительные требования, автоматизирует миграцию из более старых решений и устраняет необходимость в сложных сценариях подключения, отдельных скачиваниях и установках вручную. Сведения о средстве и его использовании см. в статье Развертывание Microsoft Defender безопасности конечных точек на устройствах Windows с помощью средства развертывания Defender (предварительная версия).
Установка и настройка Microsoft Monitoring Agent (MMA)
Подготовка к работе
Ознакомьтесь со следующими сведениями, чтобы проверить минимальные требования к системе:
Установка накопительного пакета ежемесячных обновлений за февраль 2018 г. — прямая ссылка для скачивания из каталога клиентский компонент Центра обновления Windows доступна здесь.
Установите обновление стека обслуживания от 12 марта 2019 г. (или более поздней версии) — прямая ссылка для скачивания из каталога клиентский компонент Центра обновления Windows доступна здесь.
Установка обновления поддержки подписывания кода SHA-2 — прямая ссылка для скачивания из каталога клиентский компонент Центра обновления Windows доступна здесь.
Примечание.
Применимо только для Windows Server 2008 R2, Windows 7 с пакетом обновления 1 (SP1) Корпоративная и Windows 7 SP1 Pro.
Установка обновления для взаимодействия с клиентом и диагностической телеметрии
Установка Microsoft платформа .NET Framework 4.5.2 или более поздней версии
Примечание.
Установка .NET 4.5 может потребовать перезагрузки компьютера после установки.
Соответствие минимальным требованиям к системе агента Log Analytics Azure. Дополнительные сведения см. в статье Сбор данных с компьютеров в вашей среде с помощью Log Analytics.
Этапы установки
Скачайте файл установки агента: 64-разрядный агент Windows или 32-разрядный агент Windows.
Примечание.
Из-за прекращения поддержки SHA-1 агентом MMA агент MMA должен быть версии 10.20.18029 или более поздней.
Получите идентификатор рабочей области:
- В области навигации Defender для конечной точки выберите Параметры Подключение > управления устройствами>.
- Выберите операционную систему.
- Скопируйте идентификатор рабочей области и ключ рабочей области.
С помощью идентификатора рабочей области и ключа рабочей области выберите один из следующих способов установки агента:
Установите агент вручную с помощью программы установки.
На странице Параметры установки агента выберите Подключить агент к Azure Log Analytics (OMS)
Примечание.
Если вы являетесь клиентом для государственных организаций США, в разделе "Azure облако" необходимо выбрать "Azure для государственных организаций США", если используется мастер настройки, или при использовании командной строки или скрипта задайте для параметра "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" значение 1.
Если вы используете прокси-сервер для подключения к Интернету, см. раздел Настройка параметров прокси-сервера и подключения к Интернету.
После завершения вы должны увидеть подключенные конечные точки на портале в течение часа.
Настройка и обновление клиентов System Center Endpoint Protection
Defender для конечной точки интегрируется с System Center Endpoint Protection, чтобы обеспечить видимость обнаружения вредоносных программ и остановить распространение атаки в организации путем запрета потенциально вредоносных файлов или предполагаемых вредоносных программ.
Чтобы включить эту интеграцию, необходимо выполнить следующие действия.
- Установка обновления платформы защиты от вредоносных программ за январь 2017 г. для клиентов Endpoint Protection
- Настройка членства клиента SCEP в службе Cloud Protection в дополнительном параметре
- Настройте сеть так, чтобы разрешить подключения к облаку антивирусной программы Microsoft Defender. Дополнительные сведения см. в статье Настройка и проверка сетевых подключений антивирусной программы Microsoft Defender.
Настройка параметров прокси-сервера и соединения с Интернетом
Если серверам необходимо использовать прокси-сервер для связи с Defender для конечной точки, используйте один из следующих методов, чтобы настроить MMA для использования прокси-сервера:
Если используется прокси-сервер или брандмауэр, убедитесь, что серверы могут получать доступ ко всем URL-адресам службы Microsoft Defender для конечной точки напрямую и без перехвата SSL. Дополнительные сведения см. в статье Включение доступа к URL-адресам службы Microsoft Defender для конечной точки. Использование перехвата SSL предотвращает взаимодействие системы со службой Defender для конечной точки.
После завершения вы должны увидеть подключенные серверы Windows на портале в течение часа.
Подключение серверов Windows через Microsoft Defender для облака
В области навигации Microsoft Defender XDR выберите Параметры Конечные>>точкиПодключениеуправления устройствами>.
Выберите Windows Server 2008 R2 с пакетом обновления 1 (SP1) в качестве операционной системы.
Выберите Подключить серверы в Microsoft Defender для облака.
Следуйте инструкциям по подключению в Microsoft Defender для конечной точки с Microsoft Defender для облака и если вы используете Azure ARC, следуйте инструкциям в разделе Включение интеграция Microsoft Defender для конечной точки.
После завершения действий по подключению необходимо настроить и обновить System Center Endpoint Protection клиентов.
Примечание.
- Чтобы подключиться через Microsoft Defender, чтобы серверы работали должным образом, сервер должен иметь соответствующую рабочую область и ключ, настроенные в параметрах Microsoft Monitoring Agent (MMA).
- После настройки на компьютере развертывается соответствующий пакет управления облаком, а процесс датчика (MsSenseS.exe) будет развернут и запущен.
- Это также необходимо, если сервер настроен на использование сервера шлюза OMS в качестве прокси-сервера.
Проверка подключения
Убедитесь, что Microsoft Defender антивирусная программа и Microsoft Defender для конечной точки запущены.
Примечание.
Запуск антивирусной программы Microsoft Defender не требуется, но рекомендуется. Если другой продукт антивирусной программы является основным решением для защиты конечных точек, можно запустить антивирусная программа Defender в пассивном режиме. Вы можете подтвердить, что пассивный режим включен только после проверки работы датчика Microsoft Defender для конечной точки (SENSE).
Примечание.
Так как антивирусная программа Microsoft Defender поддерживается только для Windows 10 и Windows 11, шаг 1 не применяется при запуске Windows Server 2008 R2 с пакетом обновления 1 (SP1).
Выполните следующую команду, чтобы убедиться, что антивирусная программа Microsoft Defender установлена:
sc.exe query WindefendЕсли результатом будет "Указанная служба не существует в качестве установленной службы", вам потребуется установить Microsoft Defender антивирусную программу. Дополнительные сведения см. в разделе антивирусная программа Microsoft Defender в Windows 10.
Сведения об использовании групповая политика для настройки и управления антивирусной программой Microsoft Defender на серверах Windows см. в статье Использование параметров групповая политика для настройки и управления Microsoft Defender антивирусной программы.
Если у вас возникли проблемы с подключением, см. статью Устранение неполадок при подключении.
Запустить проверку обнаружения
Выполните действия, описанные в разделе Запуск теста обнаружения на недавно подключенном устройстве , чтобы убедиться, что сервер отчитывается в Defender для службы конечной точки.
Подключение конечных точек без решения для управления
Использование групповой политики
Шаг 1. Скачайте соответствующее обновление для конечной точки.
Перейдите к c:\windows\sysvol\domain\scripts (управление изменениями может потребоваться на одном из контроллеров домена.)
Создайте папку с именем MMA.
Скачайте следующие файлы и поместите их в папку MMA:
- Обновление для взаимодействия с клиентами и диагностической телеметрии:
Для Windows Server 2008 R2 с пакетом обновления 1 (SP1) также требуются следующие обновления:
Ежемесячный сводка за февраль 2018 г. — KB4074598 (Windows Server 2008 R2)
Скачивание обновлений для Windows Server 2008 R2 x64
платформа .NET Framework 3.5.1 (KB315418)
Примечание.
В этой статье предполагается, что вы используете серверы на базе x64 (агент MMA .exe x64 Новая версия, совместимая с SHA-2).
Шаг 2. Создание файла с именем DeployMMA.cmd (с помощью блокнота) Добавьте следующие строки в файл CMD. Обратите внимание, что вам потребуются идентификатор рабочей области и ключ.
Примером является следующая команда. Замените следующие значения:
- KB — используйте соответствующий кб, относясь к подключенной конечной точке.
- Идентификатор рабочей области и КЛЮЧ — используйте идентификатор и ключ
@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (
wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1
)
Конфигурация групповая политика
Создайте групповую политику специально для подключения устройств, например "подключение Microsoft Defender для конечной точки".
Создайте папку групповая политика с именем "c:\windows\MMA"
Это добавит новую папку на каждом сервере, на который будет применен объект групповой политики с именем MMA, и будет храниться в c:\windows. Он будет содержать файлы установки для MMA, предварительные требования и скрипт установки.
Создайте параметр групповая политика Files для каждого из файлов, хранящихся в net logon.
Он копирует файлы из DOMAIN\NETLOGON\MMA\filename в C:\windows\MMA\filename, поэтому файлы установки являются локальными на сервере:
Повторите процесс, но создайте таргетинг на уровне элементов на вкладке COMMON, чтобы файл копировался только в соответствующую версию платформы или операционной системы в область:
Для Windows Server 2008 R2 вам потребуется (и он будет только копировать) следующее:
- Windows6.1-KB3080149-x64.msu
- Windows6.1-KB3154518-x64.msu
- Windows6.1-KB4075598-x64.msu
После этого необходимо создать политику скрипта запуска:
Имя файла, который выполняется здесь, — c:\windows\MMA\DeployMMA.cmd. После перезапуска сервера в процессе запуска он установит обновление для клиентского интерфейса и диагностической телеметрии KB, а затем установит агент MMA, задав идентификатор рабочей области и ключ, и сервер будет подключен.
Вы также можете использовать немедленную задачу для запуска deployMMA.cmd, если вы не хотите перезагружать все серверы.
Это можно сделать в два этапа. Сначала создайте файлы и папку в объекте групповой политики. Дайте системе время, чтобы убедиться, что объект групповой политики применен, и все серверы имеют файлы установки. Затем добавьте немедленную задачу. Это позволит добиться того же результата, не требуя перезагрузки.
Так как скрипт имеет метод выхода и не будет выполняться повторно, если установлен MMA, вы также можете использовать ежедневно запланированную задачу для достижения того же результата. Как и политика соответствия требованиям Configuration Manager, она будет проверка ежедневно, чтобы обеспечить наличие MMA.
Как упоминалось в документации по подключению для Сервера, в частности, по Server 2008 R2, см. ниже: Для Windows Server 2008 R2 с пакетом обновления 1 (SP1) убедитесь, что вы соответствуете следующим требованиям:
- Установка накопительного пакета ежемесячных обновлений за февраль 2018 г.
- Установите .NET Framework 4.5 (или более поздней версии) или KB3154518
Проверьте наличие KB перед подключением Windows Server 2008 R2. Этот процесс позволяет подключить все серверы, если у вас нет Configuration Manager управления серверами.
Отключенные конечные точки
Вы можете отключить конечные точки Windows из службы двумя способами:
- Удаление агента MMA
- Удаление конфигурации рабочей области Defender для конечной точки
Примечание.
Отключение приводит к тому, что конечная точка Windows перестает отправлять данные датчиков на портал, но данные из конечной точки, включая ссылки на все оповещения, которые она имела, будут храниться до шести месяцев.
Удаление агента MMA
Чтобы отключить конечную точку Windows, можно удалить агент MMA или отключить его от отчетов в рабочей области Defender для конечной точки. После отключения агента конечная точка больше не будет отправлять данные датчиков в Defender для конечной точки. Дополнительные сведения см. в разделе Отключение агента.
Удаление конфигурации рабочей области Defender для конечной точки
Можно использовать один из следующих методов:
- Удаление конфигурации рабочей области Defender для конечной точки из агента MMA
- Выполните команду PowerShell, чтобы удалить конфигурацию.
Удаление конфигурации рабочей области Defender для конечной точки из агента MMA
В свойствах агента мониторинга Майкрософт выберите вкладку Azure Log Analytics (OMS).
Выберите рабочую область Defender для конечной точки и нажмите кнопку Удалить.
Выполните команду PowerShell, чтобы удалить конфигурацию.
Получите идентификатор рабочей области:
- В области навигации выберите Параметры>Подключение.
- Выберите соответствующую операционную систему и получите идентификатор рабочей области.
Откройте PowerShell с повышенными привилегиями и выполните следующую команду. Используйте полученный идентификатор рабочей области и замените
WorkspaceID:$AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg # Remove OMS Workspace $AgentCfg.RemoveCloudWorkspace("WorkspaceID") # Reload the configuration and apply changes $AgentCfg.ReloadConfiguration()