Onboarding zařízení s Windows pomocí Zásad skupiny

  • Článek

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Poznámka

Pokud chcete k nasazení balíčku použít aktualizace Zásady skupiny (GP), musíte být v systému Windows Server 2008 R2 nebo novějším.

Pro Windows Server 2019 a Windows Server 2022 možná budete muset nahradit NT AUTHORITY\Well-Known-System-Account nt authority\SYSTEM souboru XML, který vytvoří předvolba Zásady skupiny.

Poznámka

Pokud používáte nové sjednocené řešení Microsoft Defender for Endpoint pro Windows Server 2012 R2 a 2016, ujistěte se, že v centrálním úložišti používáte nejnovější soubory ADMX, abyste získali přístup ke správným možnostem zásad Microsoft Defender for Endpoint. Přečtěte si téma Vytvoření a správa centrálního úložiště pro šablony pro správu Zásady skupiny ve Windows a stažení nejnovějších souborů pro použití s Windows 10.

V tématu Identifikace architektury defenderu pro koncový bod a metody nasazení najdete různé cesty k nasazení Defenderu for Endpoint.

  1. Otevřete soubor konfiguračního balíčku GP (WindowsDefenderATPOnboardingPackage.zip), který jste stáhli z průvodce onboardingem služby. Balíček můžete získat také z portálu Microsoft Defender:

    1. V navigačním podokně vyberte Nastavení>Koncové body>Onboardingsprávy> zařízení.

    2. Vyberte operační systém.

    3. V poli Metoda nasazení vyberte Zásady skupiny.

    4. Klikněte na Stáhnout balíček a uložte soubor .zip.

  2. Extrahujte obsah souboru .zip do sdíleného umístění jen pro čtení, ke kterému má zařízení přístup. Měli byste mít složku s názvem OptionalParamsPolicy a soubor WindowsDefenderATPOnboardingScript.cmd.

  3. Pokud chcete vytvořit nový objekt zásad skupiny, otevřete konzolu Zásady skupiny Management Console (GPMC), klikněte pravým tlačítkem na Zásady skupiny objekty, které chcete nakonfigurovat, a klikněte na Nový. Do zobrazeného dialogového okna zadejte název nového objektu zásad skupiny a klikněte na OK.

  4. Otevřete konzolu Zásady skupiny Management Console (GPMC), klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a klikněte na Upravit.

  5. V Editor správa Zásady skupiny přejděte na Konfigurace počítače, předvolby a nastavení Ovládacích panelů.

  6. Klikněte pravým tlačítkem na Naplánované úkoly, přejděte na Nový a potom klikněte na Okamžitý úkol (alespoň Windows 7)..

  7. V okně Úkol , které se otevře, přejděte na kartu Obecné . V části Možnosti zabezpečení klikněte na Změnit uživatele nebo skupinu , zadejte SYSTEM a potom klikněte na Kontrola názvů a pak na OK. NT AUTHORITY\SYSTEM se zobrazí jako uživatelský účet, jako který bude úloha spuštěna.

  8. Vyberte Spustit bez ohledu na to, jestli je uživatel přihlášený nebo ne , a zaškrtněte políčko Spustit s nejvyššími oprávněními .

  9. Do pole Název zadejte odpovídající název naplánované úlohy (například Defender for Endpoint Deployment).

  10. Přejděte na kartu Akce a vyberte Nový... Ujistěte se, že je v poli Akce vybraná možnost Spustit program. Zadejte cestu UNC sdíleného souboru WindowsDefenderATPOnboardingScript.cmd pomocí plně kvalifikovaného názvu domény (FQDN) souborového serveru.

  11. Vyberte OK a zavřete všechna otevřená okna Konzoly pro správu zásad skupiny.

  12. Pokud chcete objekt zásad sítě propojit s organizační jednotkou, klikněte pravým tlačítkem myši a vyberte Propojit existující objekt zásad_ V zobrazeném dialogovém okně vyberte Zásady skupiny Objekt, který chcete propojit. Klikněte na OK.

Tip

Po onboardingu zařízení můžete spustit test detekce, abyste ověřili, že je zařízení správně nasazené do služby. Další informace najdete v tématu Spuštění testu detekce na nově nasazených zařízeních Defender for Endpoint.

Další nastavení konfigurace Defenderu for Endpoint

U každého zařízení můžete určit, jestli je možné ze zařízení shromažďovat vzorky, když se prostřednictvím Microsoft Defender XDR odešle soubor k hloubkové analýze.

Pomocí Zásady skupiny (GP) můžete nakonfigurovat nastavení, například nastavení pro sdílení ukázek, které se používá ve funkci hloubkové analýzy.

Konfigurace nastavení ukázkové kolekce

  1. Na zařízení pro správu GP zkopírujte z konfiguračního balíčku následující soubory:

    • Zkopírujte soubor AtpConfiguration.admx do složky C:\Windows\PolicyDefinitions.

    • Zkopírujte Soubor AtpConfiguration.adml do složky C:\Windows\PolicyDefinitions\en-US

    Pokud používáte centrální úložiště pro Zásady skupiny šablon pro správu, zkopírujte z konfiguračního balíčku následující soubory:

    • Zkopírujte Soubor AtpConfiguration.admx do složky \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions.

    • Zkopírujte Soubor AtpConfiguration.adml do složky \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US

  2. Otevřete konzolu pro správu Zásady skupiny, klikněte pravým tlačítkem myši na objekt zásad sítě, který chcete nakonfigurovat, a klikněte na Upravit.

  3. V Editor správy Zásady skupiny přejděte na Konfigurace počítače.

  4. Klikněte na Zásady a pak na Šablony pro správu.

  5. Klikněte na součásti systému Windows a pak Windows Defender ATP.

  6. Zvolte, jestli chcete povolit nebo zakázat sdílení ukázek na vašich zařízeních.

Poznámka

Pokud hodnotu nenastavíte, výchozí hodnotou je povolení ukázkové kolekce.

Aktualizace konfigurace ochrany koncového bodu

Po konfiguraci skriptu pro onboarding pokračujte úpravou stejných zásad skupiny a přidejte konfigurace ochrany koncového bodu. Proveďte úpravy zásad skupiny ze systému se systémem Windows 10 nebo Server 2019, Windows 11 nebo Windows Server 2022, abyste měli jistotu, že máte všechny požadované možnosti Microsoft Defender Antivirové ochrany. Možná budete muset zavřít a znovu otevřít objekt zásad skupiny, abyste zaregistrovali nastavení konfigurace Ochrany ATP v programu Defender.

Všechny zásady se nacházejí v části Computer Configuration\Policies\Administrative Templates.

Umístění zásad: \Windows Components\Windows Defender ATP

Zásad Nastavení
Povolit/Zakázat ukázkovou kolekci Povoleno – zaškrtnuto políčko Povolit ukázkovou kolekci na počítačích

Umístění zásad: \Windows Components\Microsoft Defender Antivirus

Zásad Nastavení
Konfigurace detekce pro potenciálně nežádoucí aplikace Povoleno, blokovat

Umístění zásad: \Windows Components\Microsoft Defender Antivirus\MAPS

Zásad Nastavení
Připojte se k Microsoft MAPS Povoleno, Pokročilé mapy
Odeslání ukázek souborů v případě potřeby další analýzy Povoleno, odesílat bezpečné vzorky

Umístění zásad: \Windows Components\Microsoft Defender Antivirus\Real-time Protection

Zásad Nastavení
Vypnutí ochrany v reálném čase Zakázáno
Zapnutí monitorování chování Povoleno
Kontrola všech stažených souborů a příloh Povoleno
Monitorování aktivity souborů a programů na počítači Povoleno

Umístění zásad: \Windows Components\Microsoft Defender Antivirus\Scan

Tato nastavení konfigurují pravidelné kontroly koncového bodu. Doporučujeme provádět týdenní rychlou kontrolu s povolením výkonu.

Zásad Nastavení
Před spuštěním plánované kontroly zkontrolujte nejnovější informace o zabezpečení virů a spywaru. Povoleno

Umístění zásad: \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction

Aktuální seznam identifikátorů GUID pravidel omezení potenciální oblasti útoku najdete v tématu Nasazení pravidel omezení potenciální oblasti útoku Krok 3: Implementace pravidel ASR. Další podrobnosti o pravidlech najdete v tématu Referenční informace o pravidlech omezení potenciální oblasti útoku.

  1. Otevřete zásadu Konfigurace omezení potenciální oblasti útoku .

  2. Vyberte Povoleno.

  3. Vyberte tlačítko Zobrazit .

  4. Přidejte každý identifikátor GUID do pole Název hodnoty s hodnotou 2.

    Tím se nastaví každý pouze pro audit.

    Konfigurace omezení potenciální oblasti útoku

Zásad Umístění Nastavení
Konfigurace řízeného přístupu ke složkům \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Řízený přístup ke složkám Povoleno, režim auditování

Spuštění testu detekce pro ověření onboardingu

Po onboardingu zařízení můžete spustit test detekce a ověřit, jestli je zařízení správně nasazené do služby. Další informace najdete v tématu Spuštění testu detekce na nově nasazené Microsoft Defender for Endpoint zařízení.

Offboarding zařízení pomocí Zásady skupiny

Z bezpečnostních důvodů vyprší platnost balíčku použitého k offboardingu zařízení 30 dní po datu stažení. Prošlé balíčky pro offboarding odeslané do zařízení budou odmítnuty. Při stahování balíčku pro offboarding budete upozorněni na datum vypršení platnosti balíčků a bude také uvedeno v názvu balíčku.

Poznámka

Zásady onboardingu a offboardingu nesmí být nasazené na stejném zařízení současně, jinak by to způsobilo nepředvídatelné kolize.

  1. Získejte balíček pro offboarding z portálu Microsoft Defender:

    1. V navigačním podokně vyberte Nastavení>Koncové body>Správa> zařízeníOffboarding.

    2. Vyberte operační systém.

    3. V poli Metoda nasazení vyberte Zásady skupiny.

    4. Klikněte na Stáhnout balíček a uložte soubor .zip.

  2. Extrahujte obsah souboru .zip do sdíleného umístění jen pro čtení, ke kterému má zařízení přístup. Měli byste mít soubor s názvem WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Otevřete konzolu Zásady skupiny Management Console (GPMC), klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a klikněte na Upravit.

  4. V Editor správa Zásady skupinypřejděte na Konfigurace počítače,předvolby a nastavení Ovládacích panelů.

  5. Klikněte pravým tlačítkem na Naplánované úkoly, přejděte na Nový a potom klikněte na Okamžitý úkol.

  6. V okně Úloha , které se otevře, přejděte na kartu Obecné v části Možnosti zabezpečení a vyberte Změnit uživatele nebo skupinu, zadejte SYSTEM, pak vyberte Zkontrolovat jména a pak OK. NT AUTHORITY\SYSTEM se zobrazí jako uživatelský účet, pod kterým se bude úloha spouštět.

  7. Vyberte Spustit bez ohledu na to, jestli je uživatel přihlášený nebo ne , a zaškrtněte políčko Spustit s nejvyššími oprávněními .

  8. Do pole Název zadejte odpovídající název naplánované úlohy (například Defender for Endpoint Deployment).

  9. Přejděte na kartu Akce a vyberte Nový.... Ujistěte se, že je v poli Akce vybraná možnost Spustit program. Zadejte cestu UNC sdíleného souboru WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd pomocí plně kvalifikovaného názvu domény (FQDN) souborového serveru.

  10. Vyberte OK a zavřete všechna otevřená okna Konzoly pro správu zásad skupiny.

Důležité

Offboarding způsobí, že zařízení přestane odesílat data ze senzorů na portál, ale data ze zařízení, včetně odkazů na výstrahy, které má, se budou uchovávat po dobu až 6 měsíců.

Monitorování konfigurace zařízení

U Zásady skupiny není možné monitorovat nasazení zásad na zařízeních. Monitorování je možné provádět přímo na portálu nebo pomocí různých nástrojů pro nasazení.

Monitorování zařízení pomocí portálu

  1. Přejděte na portál Microsoft Defender.
  2. Klikněte na Inventář zařízení.
  3. Ověřte, že se zařízení zobrazují.

Poznámka

Může trvat několik dní, než se zařízení začnou zobrazovat v seznamu Zařízení. To zahrnuje dobu, po které se zásady distribuují do zařízení, čas, který trvá, než se uživatel přihlásí, a čas, který koncový bod potřebuje k zahájení vytváření sestav.

Nastavení zásad AV defenderu

Create novou Zásady skupiny nebo tato nastavení seskupte s ostatními zásadami. To závisí na prostředí zákazníka a na tom, jak chce službu zavést tím, že cílí na různé organizační jednotky.

  1. Jakmile vyberete hlavní název skupiny nebo vytvoříte nový, upravte ho.

  2. Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti> systému Windows Microsoft Defender Antivirová>ochrana v reálném čase.

    Ochrana v reálném čase

  3. Ve složce Karanténa nakonfigurujte odebrání položek ze složky Karanténa.

    Odebrání složky karantény položek

    karanténa pro odebrání konfigurace

  4. Ve složce Prohledat nakonfigurujte nastavení kontroly.

    Kontroly objektů zásad zásad zásad

Monitorování všech souborů v ochraně v reálném čase

Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti> systému Windows Microsoft Defender Antivirová>ochrana v reálném čase.

Konfigurace monitorování pro aktivitu příchozích odchozích souborů

Konfigurace Windows Defender nastavení filtru SmartScreen

  1. Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Windows Defender SmartScreen>Explorer.

    Konfigurace Průzkumníka inteligentní obrazovky v programu Windows Defender

  2. Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Windows Defender Filtr SmartScreen>Microsoft Edge.

    Konfigurace inteligentní obrazovky v programu Windows Defender v Microsoft Edgi

Konfigurace potenciálně nežádoucích aplikací

Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti>systému Windows Microsoft Defender Antivirová ochrana.

Konfigurace potenciálně nežádoucí aplikace

potenciál konfigurace

Konfigurace služby Cloud Deliver Protection a automatické odesílání ukázek

Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Microsoft Defender Antivirová ochrana>MAPS.

Mapy

Blok na první pohled

Připojit se k microsoft maps

Odeslání ukázky souboru v případě potřeby další analýzy

Poznámka

Možnost Odeslat všechny ukázky poskytuje většinu analýz binárních souborů, skriptů a dokumentů, což zvyšuje stav zabezpečení. Možnost Odeslat bezpečné ukázky omezuje typ analyzovaných binárních souborů, skriptů nebo dokumentů a snižuje stav zabezpečení.

Další informace najdete v tématech Zapnutí cloudové ochrany v Microsoft Defender Antivirus a Cloudová ochrana a odeslání ukázky v Microsoft Defender Antivirus.

Vyhledat aktualizaci podpisu

Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti> systému Windows Microsoft Defender Aktualizace Antivirová ochrana>Security Intelligence.

Aktualizace podpisu

Aktualizace definice podpisu

Konfigurace časového limitu cloudového doručení a úrovně ochrany

Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Microsoft Defender Antivirus>MpEngine. Když nakonfigurujete zásady na úrovni ochrany cloudu na výchozí Microsoft Defender zásady blokování antivirové ochrany, zásady se zakážou. To je to, co je potřeba k nastavení úrovně ochrany na výchozí windows.

konfigurace rozšířené kontroly cloudu

konfigurace úrovně cloudové ochrany

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.