Подключение предыдущих версий Windows

Microsoft Defender для конечной точки поддерживает операционные системы нижнего уровня, предоставляя расширенные возможности обнаружения и исследования атак в поддерживаемых версиях Windows.

Чтобы подключить клиентские конечные точки Windows нижнего уровня к решению безопасности Defender для конечной точки, выполните следующие действия.

Совет

После подключения устройства можно выполнить тест обнаружения, чтобы убедиться, что оно правильно подключено к службе. Дополнительные сведения см. в статье Запуск теста обнаружения в недавно подключенной конечной точке Defender для конечной точки.

Использование средства развертывания Defender для развертывания безопасности конечной точки Defender

Для устройств Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1) доступна Microsoft Defender решения для обеспечения безопасности конечных точек. Решение предоставляет расширенные возможности защиты и улучшенные функции для этих устройств по сравнению с другими решениями. В следующей таблице описаны поддерживаемые в настоящее время функциональные возможности решения.

Функция функциональность.
Расширенная охота Поиск событий с помощью язык запросов Kusto
Антивирусная программа в пассивном режиме Обеспечивает сосуществование с решениями для защиты от вредоносных программ сторонних разработчиков.
Пользовательские индикаторы файлов Разрешение, блокировка, карантин файлов на основе хэша или сведений о сертификате
Возможности реагирования устройств и файлов Изоляция устройства, блокировка и получение файлов, сбор пакетов исследования, запуск антивирусной проверки

Примечание. Другие возможности ответа не поддерживаются.
Защита нового поколения антивирусная программа Defender с мониторингом поведения в режиме реального времени, облачной доставкой и блокировкой и исправлением вредоносных программ на основе определений. Запланированные и запускаемые вручную проверки.

Примечание. Защита сети, правила сокращения направлений атак, контролируемый доступ к папкам и связанные функции, включая индикаторы IP-адресов и URL-адресов, не поддерживаются.
Оценки уязвимостей операционной системы и программного обеспечения Управление уязвимостями Defender предоставляет аналитические сведения об уязвимостях Windows и установленного программного обеспечения.

Примечание. Следующие функции недоступны для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2:
— Оценка конфигурации безопасности
— "Ожидание перезагрузки"
— Возможности premium: оценка базовых показателей безопасности, расширения браузера, блокировка сертификатов и приложений
Управление параметрами безопасности Применение политики для антивирусная программа Defender возможностей. Обратите внимание, что вступают в силу только параметры доступных функций.
Датчик обнаружения датчика Многофункциональные события обнаружения для использования в временная шкала устройства, поиске и создании оповещений на основе индикаторов компрометации и атаки.
Нарушение атаки: содержать устройство или IP-адрес Автоматическое прерывание атаки для завершения атак с использованием бокового смещения.
(Автоматические) обновления Регулярные обновления для компонентов защиты от вредоносных программ и обнаружения.

Решение можно скачать и установить с помощью средства развертывания Defender— упрощенного самообновляющегося приложения, которое упрощает подключение для всех версий Windows, поддерживаемых Defender для конечной точки. Средство развертывания отвечает за предварительные требования, автоматизирует миграцию из более старых решений и устраняет необходимость в сложных сценариях подключения, отдельных скачиваниях и установках вручную. Сведения о средстве и его использовании см. в статье Развертывание Microsoft Defender безопасности конечных точек на устройствах Windows с помощью средства развертывания Defender.

Установка и настройка microsoft Monitoring Agent (только Windows 8.1)

Рекомендуется подключить клиенты Windows нижнего уровня через MMA и SCEP только в том случае, если клиент работает Windows 8.1 или 8.1 Pro. Для всех остальных операционных систем Windows используйте средство развертывания Defender.

Подготовка к работе

Ознакомьтесь со следующими сведениями, чтобы проверить минимальные требования к системе:

Этапы установки

  1. Скачайте файл установки агента: 64-разрядный агент Windows или 32-разрядный агент Windows.

    Примечание.

    Из-за прекращения поддержки SHA-1 агентом MMA агент MMA должен быть версии 10.20.18029 или более поздней.

  2. Получите идентификатор рабочей области:

    • В области навигации Defender для конечной точки выберите Параметры Подключение > управления устройствами>.
    • Выберите операционную систему.
    • Скопируйте идентификатор рабочей области и ключ рабочей области.
  3. С помощью идентификатора рабочей области и ключа рабочей области выберите один из следующих способов установки агента:

    Примечание.

    Если вы являетесь клиентом для государственных организаций США, в разделе "Azure облако" необходимо выбрать "Azure для государственных организаций США", если используется мастер настройки, или при использовании командной строки или скрипта задайте для параметра "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" значение 1.

  4. Если вы используете прокси-сервер для подключения к Интернету, см. раздел Настройка параметров прокси-сервера и подключения к Интернету.

После завершения вы должны увидеть подключенные конечные точки на портале в течение часа.

Настройка и обновление клиентов System Center Endpoint Protection

Defender для конечной точки интегрируется с System Center Endpoint Protection, чтобы обеспечить видимость обнаружения вредоносных программ и остановить распространение атаки в организации путем запрета потенциально вредоносных файлов или предполагаемых вредоносных программ.

Чтобы включить эту интеграцию, необходимо выполнить следующие действия.

Настройка параметров прокси-сервера и соединения с Интернетом

Если серверам необходимо использовать прокси-сервер для связи с Defender для конечной точки, используйте один из следующих методов, чтобы настроить MMA для использования прокси-сервера:

Если используется прокси-сервер или брандмауэр, убедитесь, что серверы могут получать доступ ко всем URL-адресам службы Microsoft Defender для конечной точки напрямую и без перехвата SSL. Дополнительные сведения см. в статье Включение доступа к URL-адресам службы Microsoft Defender для конечной точки. Использование перехвата SSL предотвращает взаимодействие системы со службой Defender для конечной точки.

После завершения вы должны увидеть подключенные серверы Windows на портале в течение часа.

Отключенные конечные точки

Вы можете отключить конечные точки Windows из службы двумя способами:

  • Удаление агента MMA
  • Удаление конфигурации рабочей области Defender для конечной точки

Примечание.

Отключение приводит к тому, что конечная точка Windows перестает отправлять данные датчиков на портал, но данные из конечной точки, включая ссылки на все оповещения, которые она имела, будут храниться до шести месяцев.

Вариант 1. Удаление агента MMA

Чтобы отключить конечную точку Windows, можно удалить агент MMA или отключить его от отчетов в рабочей области Defender для конечной точки. После отключения агента конечная точка больше не будет отправлять данные датчиков в Defender для конечной точки. Дополнительные сведения см. в разделе Отключение агента.

Вариант 2. Удаление конфигурации рабочей области Defender для конечной точки

Можно использовать один из следующих методов:

  • Удаление конфигурации рабочей области Defender для конечной точки из агента MMA
  • Выполните команду PowerShell, чтобы удалить конфигурацию.

Удаление конфигурации рабочей области Defender для конечной точки из агента MMA

  1. В свойствах агента мониторинга Майкрософт выберите вкладку Azure Log Analytics (OMS).

  2. Выберите рабочую область Defender для конечной точки и нажмите кнопку Удалить.

    Снимок экрана: панель

Выполните команду PowerShell, чтобы удалить конфигурацию.

  1. Получите идентификатор рабочей области:

    1. В области навигации выберите Параметры>Подключение.
    2. Выберите соответствующую операционную систему и получите идентификатор рабочей области.
  2. Откройте PowerShell с повышенными привилегиями и выполните следующую команду. Используйте полученный идентификатор рабочей области и замените WorkspaceID:

    $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
    
    # Remove OMS Workspace
    $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
    
    # Reload the configuration and apply changes
    $AgentCfg.ReloadConfiguration()