Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
- Microsoft Defender для конечной точки для серверов
- Microsoft Defender для серверов плана 1 или плана 2
Обзор
Defender для конечной точки помогает защитить серверы вашей организации с помощью функций, включая управление состоянием, защиту от угроз, обнаружение и реагирование конечных точек. Defender для конечной точки предоставляет вашей команде безопасности более глубокое представление о действиях сервера, охвате для обнаружения атак на ядро и память, а также возможность принимать ответные действия при необходимости. Defender для конечной точки также интегрируется с Microsoft Defender для облака, предоставляя вашей организации комплексное решение для защиты серверов.
В зависимости от конкретной среды можно выбрать один из нескольких вариантов подключения серверов к Defender для конечной точки. В этой статье описываются доступные варианты для Windows Server и Linux, важные моменты, которые следует учитывать, как запустить тест обнаружения после подключения и как отключить серверы.
Совет
В качестве компаньона к этой статье ознакомьтесь с руководством по настройке анализатора безопасности , чтобы ознакомиться с рекомендациями и научиться укреплять защиту, повышать соответствие требованиям и уверенно перемещаться по ландшафту кибербезопасности. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке анализатора безопасности в Центр администрирования Microsoft 365.
Серверные планы
Для подключения серверов к Defender для конечной точки требуются серверные лицензии . Вы можете выбрать один из следующих вариантов:
- Microsoft Defender для серверов плана 1 или плана 2 (в рамках предложения Defender для облака)
- Microsoft Defender для конечной точки для серверов
- Microsoft Defender для бизнеса - серверы (только для малого и среднего бизнеса)
Интеграция с Microsoft Defender для серверов
Defender для конечной точки легко интегрируется с Defender для серверов (в Defender для облака). Если ваша подписка включает Defender для серверов плана 1 или плана 2, вы можете:
- Автоматическое подключение серверов
- Наличие серверов, отслеживаемых с помощью Defender для облака, на портале Microsoft Defender в инвентаризации устройств
- Проведение подробных исследований в качестве клиента Defender для облака
Вот несколько вещей, которые следует иметь в виду:
- При использовании Defender для облака для мониторинга серверов клиент Defender для конечной точки создается автоматически. Данные, собираемые Defender для конечной точки, хранятся в географическом расположении клиента, определяемом во время подготовки. (Например, в США для клиентов в США; в ЕС для европейских клиентов и в Великобритании для клиентов в Соединенном Королевстве.)
- Если вы используете Defender для конечной точки перед использованием Defender для облака, ваши данные хранятся в расположении, указанном при создании клиента, даже если вы интегрируете с Defender для облака позже.
- После настройки вы не сможете изменить расположение, где хранятся данные. Чтобы переместить данные в другое расположение, обратитесь в службу поддержки , чтобы сбросить клиент.
- Мониторинг конечной точки сервера с использованием этой интеграции в настоящее время недоступен для Office 365 клиентов GCC.
- Серверы Linux, подключенные через Defender для облака, имеют начальную конфигурацию для запуска Microsoft Defender антивирусной программы в пассивном режиме. Сведения о развертывании Defender для конечной точки на сервере Linux см. в разделе Предварительные требования для Microsoft Defender для конечной точки в Linux.
Дополнительные сведения см. в статье Защита конечных точек с помощью интеграции Defender для конечной точки с Defender для облака.
Важная информация о антивирусных и антивредоносных решениях сторонних разработчиков
Если вы планируете использовать решение для защиты от вредоносных программ сторонних разработчиков, необходимо запустить Microsoft Defender антивирусную программу в пассивном режиме. Обязательно установите пассивный режим во время установки и подключения. Дополнительные сведения см. в разделе Windows Server и пассивном режиме.
Важно!
Если вы устанавливаете Defender для конечной точки на серверах под управлением McAfee Endpoint Security или VirusScan Enterprise, возможно, потребуется обновить версию платформы McAfee, чтобы убедиться, что антивирусная программа Microsoft Defender не была удалена или отключена. Дополнительные сведения о необходимых номерах версий см. в статье Центра знаний McAfee.
Параметры подключения сервера
Вы можете выбрать один из нескольких методов и средств развертывания для подключения серверов, как описано в следующей таблице:
| Операционная система | Метод развертывания |
|---|---|
| Windows Server 2025 г. Windows Server 2022 Windows Server 2019 Windows Server, версия 1803 Windows Server 2016 Windows Server 2012 R2 |
Локальный скрипт (использует пакет подключения) Defender для серверов Microsoft Configuration Manager Групповая политика Скрипты VDI Подключение к Defender для облака Современное унифицированное решение для Windows Server 2016 и 2012 R2 |
| Linux |
Развертывание на основе скрипта установщика Развертывание на основе сценариев Ansible Развертывание на основе скрипта Chef Развертывание на основе скрипта Puppet Развертывание на основе скрипта Saltstack Развертывание вручную (использует локальный скрипт) Прямое подключение с помощью Defender для облака Подключение компьютеров, отличных от Azure, к Microsoft Defender для облака с помощью Defender для конечной точки Руководство по устройствам Linux под управлением ARM64 (предварительная версия) Руководство по развертыванию Defender для конечной точки в Linux для SAP |
Подключение Windows Server версии 1803, Windows Server 2019 и Windows Server 2025
Обязательно ознакомьтесь с минимальными требованиями для Defender для конечной точки.
На портале Microsoft Defender перейдите в раздел Параметры>Конечные точки, а затем в разделе Управление устройствами выберите Подключение.
В списке Выберите операционную систему для запуска процесса подключения выберите Windows Server 2019, 2022 и 2025.
В разделе Тип подключения выберите Упрощенный или Standard. (См. предварительные требования для упрощения подключения.)
В разделе Метод развертывания выберите параметр и скачайте пакет подключения.
Следуйте инструкциям в одной из следующих статей о методе развертывания:
Подключение Windows Server 2016 и Windows Server 2012 R2
Обязательно ознакомьтесь с минимальными требованиями к Defender для конечной точки и предварительными требованиями для Windows Server 2016 и 2012 R2.
На портале Microsoft Defender перейдите в раздел Параметры>Конечные точки, а затем в разделе Управление устройствами выберите Подключение.
В списке Выберите операционную систему для запуска процесса подключения выберите Windows Server 2016 и Windows Server 2012 R2.
В разделе Тип подключения выберите Упрощенный или Standard. (См. предварительные требования для упрощения подключения.)
В разделе Метод развертывания выберите параметр, а затем скачайте пакет установки и пакет подключения.
Примечание.
Пакет установки обновляется ежемесячно. Перед использованием обязательно скачайте последнюю версию пакета. Чтобы выполнить обновление после установки, вам не нужно снова запускать пакет установщика. В этом случае установщик сначала попросит вас отключить подключение, так как это является требованием для удаления. См. статью Обновление пакетов для Defender для конечной точки в Windows Server 2012 R2 и 2016.
Следуйте инструкциям в одной из следующих статей о методе развертывания:
- Локальный сценарий
- Групповая политика
- Диспетчер конфигураций
- Сценарии подключения VDI для непостояных устройств
- Перенос серверов из Microsoft Monitoring Agent в современное унифицированное решение
- Подключение компьютеров, отличных от Azure, к Microsoft Defender для облака с помощью Defender для конечной точки
Предварительные требования для Windows Server 2016 и 2012 R2
- Рекомендуется установить на сервере последнее доступное обновление стека обслуживания (SSU) и последнее накопительное обновление (LCU).
- Необходимо установить SSU с 14 сентября 2021 г. или более поздней версии.
- Необходимо установить LCU с 20 сентября 2018 г. или более поздней версии.
- Включите функцию антивирусной программы Microsoft Defender и убедитесь, что она обновлена. Дополнительные сведения о включении антивирусная программа Defender на Windows Server см. в статье Повторное включение антивирусная программа Defender на Windows Server, если она была отключена, и Повторное включение. антивирусная программа Defender Windows Server, если он был удален.
- Скачайте и установите последнюю версию платформы с помощью клиентский компонент Центра обновления Windows. Кроме того, можно скачать пакет обновления вручную из каталога Центра обновления Майкрософт или из MMPC.
- На Windows Server 2016 антивирусная программа Microsoft Defender должна быть установлена как компонент и полностью обновлена перед установкой.
Обновление пакетов для Windows Server 2016 или Windows Server 2012 R2
Чтобы регулярно получать улучшения продукта и исправления для компонента Defender для конечной точки, убедитесь, что клиентский компонент Центра обновления Windows KB5005292 применены или утверждены. Кроме того, сведения о обновлении компонентов защиты см. в статье Управление обновлениями антивирусной программы Microsoft Defender и применение базовых показателей.
Если вы используете Windows Server Update Services (WSUS) и (или) Microsoft Configuration Manager, это новое "обновление Microsoft Defender для конечной точки для датчика EDR" доступно в категории " Microsoft Defender для конечной точки".
Функциональные возможности современного унифицированного решения для Windows Server 2016 и Windows Server 2012 R2
Предыдущая реализация (до апреля 2022 г.) подключения Windows Server 2016 и Windows Server 2012 R2 требовала использования Microsoft Monitoring Agent (MMA). Современный унифицированный пакет решения упрощает подключение серверов за счет удаления зависимостей и этапов установки. Он также предоставляет расширенный набор функций. Дополнительные сведения см. в следующих источниках:
- Сценарии миграции сервера из предыдущего решения Microsoft Defender для конечной точки на основе MMA
- Блог технического сообщества: Защита Windows Server 2012 R2 и 2016
В зависимости от сервера, который вы подключаете, единое решение устанавливает Defender для конечной точки и (или) датчик EDR на сервере. В следующей таблице показано, какой компонент установлен и что встроено по умолчанию.
| Версия сервера | Антивирусная программа в Microsoft Defender | Датчик EDR |
|---|---|---|
| Windows Server 2012 R2 |
|
|
| Windows Server 2016 | Встроенные |
|
| Windows Server 2019 г. и более поздних версий | Встроенные | Встроенные |
Известные проблемы и ограничения в современном унифицированном решении
К Windows Server 2016 и Windows Server 2012 R2 относятся следующие моменты:
Всегда скачиваете последнюю версию пакета установщика с портала Microsoft Defender (https://security.microsoft.com) перед выполнением новой установки и убедитесь, что выполнены необходимые условия. После установки убедитесь в регулярном обновлении с помощью обновлений компонентов, описанных в разделе Обновление пакетов для Defender для конечной точки на Windows Server 2012 R2 и 2016.
Обновление операционной системы может привести к проблеме установки на компьютерах с более медленными дисками из-за истечения времени ожидания при установке службы. Сбой установки с сообщением
Couldn't find c:\program files\windows defender\mpasdesc.dll, - 310 WinDefend. Используйте последний пакет установки и последнюю версию скриптаinstall.ps1 , чтобы при необходимости удалить неудачную установку.Пользовательский интерфейс на Windows Server 2016 и Windows Server 2012 R2 позволяет выполнять только базовые операции. Сведения о локальном выполнении операций на устройстве см. в статье Управление Defender для конечной точки с помощью PowerShell, WMI и MPCmdRun.exe. В результате функции, которые специально зависят от взаимодействия с пользователем, например когда пользователю предлагается принять решение или выполнить определенную задачу, могут работать неправильно. Рекомендуется отключить или не включать пользовательский интерфейс и не требовать взаимодействия с пользователем на любом управляемом сервере, так как это может повлиять на возможности защиты.
Не все правила сокращения направлений атаки применимы ко всем операционным системам. См . раздел Правила сокращения направлений атак.
Обновления операционной системы не поддерживаются. Отключите подключение, а затем удалите перед обновлением. Пакет установщика можно использовать только для обновления установок, которые еще не были обновлены с помощью новой платформы защиты от вредоносных программ или пакетов обновления датчиков EDR.
Для автоматического развертывания и подключения нового решения с помощью microsoft Endpoint Configuration Manager (MECM) необходимо использовать версию 2207 или более позднюю. Вы по-прежнему можете настроить и развернуть с помощью версии 2107 с накопительным пакетом исправлений, но для этого требуются дополнительные действия по развертыванию. Дополнительные сведения см. в статье Microsoft Endpoint Configuration Manager сценарии миграции.
Подключение серверов Linux
Чтобы подключить серверы под управлением Linux, выполните следующие действия.
Обязательно ознакомьтесь с предварительными условиями для Microsoft Defender для конечной точки в Linux.
Выберите метод развертывания. В зависимости от конкретной среды можно выбрать один из нескольких вариантов:
- Развертывание на основе скрипта установщика
- Развертывание на основе Ansible
- Развертывание на основе Chef
- Развертывание на основе Puppet
- Развертывание на основе Saltstack
- Развертывание вручную (использует локальный скрипт)
- Прямое подключение с помощью Defender для облака
- Подключение компьютеров, отличных от Azure, к Microsoft Defender для облака с помощью Defender для конечной точки
- Руководство по серверам Linux под управлением ARM64 (предварительная версия)
- Руководство по развертыванию Defender для конечной точки в Linux для SAP
Настройте свои возможности. См. раздел Настройка параметров безопасности в Microsoft Defender для конечной точки в Linux.
Запуск теста обнаружения для проверки подключения
После подключения устройства можно выполнить тест обнаружения, чтобы убедиться, что устройство правильно подключено к службе. Дополнительные сведения см. в статье Запуск теста обнаружения на недавно подключенном устройстве Defender для конечной точки.
Примечание.
Запуск антивирусной программы Microsoft Defender не требуется, но рекомендуется. Если другой продукт антивирусной программы является основным решением для защиты конечных точек, можно запустить антивирусная программа Defender в пассивном режиме. Убедиться, что пассивный режим включен, можно только после проверки работы датчика Defender для конечной точки (SENSE).
На Windows Server устройствах, на которых должна быть установлена Microsoft Defender антивирусная программа в активном режиме, выполните следующую команду:
sc.exe query WindefendЕсли результатом будет "Указанная служба не существует в качестве установленной службы", необходимо установить Microsoft Defender антивирусную программу.
Выполните следующую команду, чтобы убедиться, что Defender для конечной точки запущен:
sc.exe query senseРезультат должен показать, что он работает. Если у вас возникли проблемы с подключением, см. статью Устранение неполадок при подключении.
Отключение серверов Windows
Вы можете отключить серверы Windows, используя те же методы, которые доступны для клиентских устройств Windows:
- Отключение устройств с помощью Configuration Manager
- Отключение устройств с помощью средств мобильной Управление устройствами
- Отключение устройств с помощью групповая политика
- Отключение устройств с помощью локального скрипта
После отключения можно приступить к удалению пакета унифицированного решения на Windows Server 2016 и Windows Server 2012 R2. В предыдущих версиях Windows Server можно отключить серверы Windows из службы двумя способами:
- Удаление агента MMA
- Удаление конфигурации рабочей области Defender для конечной точки
Примечание.
Эти инструкции по отключению для других версий Windows Server также применяются, если вы используете предыдущий Defender для конечной точки для Windows Server 2016 и Windows Server 2012 R2, для которых требуется MMA. Инструкции по переходу на новое унифицированное решение см . в статье Сценарии миграции сервера в Defender для конечной точки.
Дальнейшие действия
См. также
- Подключение клиентских устройств Windows и Mac к Microsoft Defender для конечной точки
- Настройка параметров прокси-сервера и соединения с Интернетом
- Запуск теста обнаружения на недавно подключенном устройстве Defender для конечной точки
- Устранение неполадок с подключением Defender для конечной точки
- Устранение неполадок с подключением, связанных с управлением безопасностью для Defender для конечной точки
- Microsoft Defender для конечной точки — Mobile Threat Defense (для устройств iOS и Android)