Onboarding zařízení s Windows pomocí Configuration Manager

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR
• Microsoft Configuration Manager aktuální větev
• System Center 2012 R2 Configuration Manager

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Požadavky

• Role systému lokality bodu endpoint Protection

Důležité

Role systému lokality bodu služby Endpoint Protection se vyžaduje, aby se do cílových koncových bodů správně nasadily zásady antivirové ochrany a omezení potenciální oblasti útoku. Bez této role nebudou koncové body v kolekci zařízení přijímat nakonfigurované zásady omezení potenciální oblasti útoku a antivirové ochrany.

Configuration Manager můžete použít k onboardingu koncových bodů do služby Microsoft Defender for Endpoint.

K onboardingu zařízení pomocí Configuration Manager můžete použít několik možností:

• Onboarding zařízení pomocí nástroje System Center Configuration Manager
• Připojení tenanta

Pro Windows Server 2012 R2 a Windows Server 2016 – po dokončení kroků připojování budete muset nakonfigurovat a aktualizovat klienty System Center Endpoint Protection.

Poznámka

Defender for Endpoint nepodporuje onboarding během fáze počátečního nastavení počítače (OOBE). Ujistěte se, že uživatelé dokončili počáteční nastavení počítače po spuštění instalace nebo upgradu Windows.

Všimněte si, že pro aplikaci Configuration Manager je možné vytvořit pravidlo detekce, které bude průběžně kontrolovat, jestli bylo zařízení nasazené. Aplikace je jiný typ objektu než balíček a program. Pokud zařízení ještě není onboardované (z důvodu čekání na dokončení počátečního nastavení počítače nebo z jiného důvodu), Configuration Manager se pokusí zařízení znovu připojit, dokud pravidlo nezjistí změnu stavu.

Tohoto chování lze dosáhnout vytvořením pravidla detekce, které zkontroluje, jestli hodnota registru OnboardingState (typu REG_DWORD) = 1. Tato hodnota registru se nachází v části HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status. Další informace najdete v tématu Konfigurace metod detekce v nástroji System Center 2012 R2 Configuration Manager.

Konfigurace nastavení ukázkové kolekce

Pro každé zařízení můžete nastavit hodnotu konfigurace tak, aby bylo uvedeno, jestli je možné ze zařízení shromažďovat vzorky, když se prostřednictvím Microsoft Defender XDR odešle soubor k hloubkové analýze.

Poznámka

Tato nastavení konfigurace se obvykle provádějí prostřednictvím Configuration Manager.

V Configuration Manager můžete nastavit pravidlo dodržování předpisů pro položku konfigurace a změnit tak nastavení ukázkové sdílené složky na zařízení.

Toto pravidlo by mělo být nápravnou položkou konfigurace pravidla dodržování předpisů, která nastaví hodnotu klíče registru na cílových zařízeních, aby se zajistilo, že vyhovují předpisům.

Konfigurace se nastavuje prostřednictvím následující položky klíče registru:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Kde Typ klíče je D-WORD. Možné hodnoty jsou:

• 0: Nepovoluje sdílení ukázek z tohoto zařízení.
• 1: Umožňuje sdílení všech typů souborů z tohoto zařízení.

Výchozí hodnota v případě, že klíč registru neexistuje, je 1.

Další informace o službě System Center Configuration Manager Compliance najdete v tématu Úvod do nastavení dodržování předpisů v nástroji System Center 2012 R2 Configuration Manager.

Onboarding zařízení s Windows pomocí Microsoft Configuration Manager

Vytvoření kolekce

Pokud chcete připojit zařízení s Windows pomocí Microsoft Configuration Manager, nasazení může cílit na existující kolekci nebo vytvořit novou kolekci pro testování.

Onboarding pomocí nástrojů, jako je Zásady skupiny nebo ruční metoda, nenainstaluje do systému žádné agenty.

V konzole Microsoft Configuration Manager se proces onboardingu nakonfiguruje jako součást nastavení dodržování předpisů v konzole nástroje .

Každý systém, který obdrží tuto požadovanou konfiguraci, bude tuto konfiguraci udržovat tak dlouho, dokud klient Configuration Manager nadále obdrží tuto zásadu z bodu správy.

Pokud chcete připojit koncové body pomocí Microsoft Configuration Manager, postupujte následovně:

1. V konzole Microsoft Configuration Manager přejděte na Prostředky a přehled > dodržování předpisů > Kolekce zařízení.

   

2. Vyberte a podržte kolekci zařízení (nebo na ni klikněte pravým tlačítkem myši) a vyberte Create Kolekce zařízení.

   

3. Zadejte Název a Omezení kolekce a pak vyberte Další.

   

4. Vyberte Přidat pravidlo a zvolte Pravidlo dotazu.

   

5. V Průvodci přímým členstvím vyberte Další a pak vyberte Upravit příkaz dotazu.

   

6. Vyberte Kritéria a pak zvolte ikonu star.

   

7. Ponechte typ kritéria jako jednoduchou hodnotu, zvolte zatímco operační systém – číslo sestavení, operátor jako je větší než nebo roven a hodnotu 14393 a vyberte OK.

   

8. Vyberte Další a Zavřít.

   

9. Vyberte Další.

   

Po dokončení této úlohy máte kolekci zařízení se všemi koncovými body Windows v prostředí.

Další doporučená nastavení konfigurace

Po onboardingu zařízení do služby je důležité využít zahrnuté možnosti ochrany před hrozbami tím, že je povolíte pomocí následujících doporučených nastavení konfigurace.

Konfigurace kolekce zařízení

Pokud používáte Configuration Manager verze 2002 nebo novější, můžete nasazení rozšířit o servery nebo klienty nižší úrovně.

Konfigurace ochrany nové generace

Doporučujeme následující nastavení konfigurace:

Skenování

• Skenování vyměnitelných úložných zařízení, jako jsou jednotky USB: Ano

Ochrana v reálném čase

• Povolit monitorování chování: Ano
• Povolení ochrany před potenciálně nežádoucími aplikacemi při stažení a před instalací: Ano

Služba Cloud Protection

• Typ členství ve službě Cloud Protection Service: Rozšířené členství

Omezení prostoru pro útok

Nakonfigurujte všechna dostupná pravidla pro audit.

Poznámka

Blokování těchto aktivit může přerušit legitimní obchodní procesy. Nejlepší přístup je nastavit vše na audit, identifikovat, které z nich je bezpečné zapnout, a pak povolit tato nastavení na koncových bodech, které nemají falešně pozitivní detekci.

Pokud chcete nasadit antivirovou ochranu Microsoft Defender a zásady omezení potenciální oblasti útoku prostřednictvím Microsoft Configuration Manager (SCCM), postupujte takto:

• Povolte službu Endpoint Protection a nakonfigurujte vlastní nastavení klienta.
• Nainstalujte klienta služby Endpoint Protection z příkazového řádku.
• Ověřte instalaci klienta služby Endpoint Protection.

Povolení služby Endpoint Protection a konfigurace vlastního nastavení klienta

Podle pokynů povolte ochranu koncového bodu a konfiguraci vlastního nastavení klienta:

1. V konzole Configuration Manager klikněte na Správa.

2. V pracovním prostoru Správa klikněte na Nastavení klienta.

3. Na kartě Domů ve skupině Create klikněte na Create Vlastní nastavení klientského zařízení.

4. V dialogovém okně Create Vlastní nastavení klientského zařízení zadejte název a popis skupiny nastavení a pak vyberte Endpoint Protection.

5. Nakonfigurujte nastavení klienta služby Endpoint Protection, které požadujete. Úplný seznam nastavení klienta služby Endpoint Protection, která můžete konfigurovat, najdete v části Endpoint Protection v části Informace o nastavení klienta.

   Důležité

   Před konfigurací nastavení klienta pro službu Endpoint Protection nainstalujte roli systému lokality služby Endpoint Protection.

6. Kliknutím na OK zavřete dialogové okno Create Vlastní nastavení klientského zařízení. Nová nastavení klienta se zobrazí v uzlu Nastavení klienta pracovního prostoru Správa .

7. Dále nasaďte vlastní nastavení klienta do kolekce. Vyberte vlastní nastavení klienta, které chcete nasadit. Na kartě Domů ve skupině Nastavení klienta klikněte na Nasadit.

8. V dialogovém okně Vybrat kolekci zvolte kolekci, do které chcete nasadit nastavení klienta, a klikněte na OK. Nové nasazení se zobrazí na kartě Nasazení v podokně podrobností.

Klienti se s těmito nastaveními konfigurují při příštím stažení zásad klienta. Další informace najdete v tématu Zahájení načítání zásad pro klienta Configuration Manager.

Instalace klienta služby Endpoint Protection z příkazového řádku

Postupujte podle pokynů k dokončení instalace klienta služby Endpoint Protection z příkazového řádku.

1. Zkopírujte scepinstall.exe ze složky Klient instalační složky Configuration Manager do počítače, na který chcete nainstalovat klientský software služby Endpoint Protection.

2. Otevřete příkazový řádek jako správce. Změňte adresář na složku s instalačním programem. Pak spusťte příkaz scepinstall.exea přidejte další požadované vlastnosti příkazového řádku:

   Vlastnost	Popis
   /s	Bezobslužné spuštění instalačního programu
   /q	Bezobslužné extrahování instalačních souborů
   /i	Normální spuštění instalačního programu
   /policy	Zadání souboru antimalwarových zásad pro konfiguraci klienta během instalace
   /sqmoptin	Výslovný souhlas s programem Zlepšování softwaru a služeb na základě zkušeností uživatelů (CEIP) společnosti Microsoft

3. Postupujte podle pokynů na obrazovce a dokončete instalaci klienta.

4. Pokud jste stáhli nejnovější balíček definice aktualizace, zkopírujte balíček do klientského počítače a poklikáním na balíček definice ho nainstalujte.

   Poznámka

   Po dokončení instalace klienta služby Endpoint Protection klient automaticky provede kontrolu aktualizace definice. Pokud je kontrola aktualizace úspěšná, nemusíte ručně instalovat nejnovější balíček aktualizace definic.

Příklad: Instalace klienta s antimalwarovými zásadami

scepinstall.exe /policy <full path>\<policy file>

Ověření instalace klienta služby Endpoint Protection

Po instalaci klienta služby Endpoint Protection do referenčního počítače ověřte, že klient funguje správně.

1. V referenčním počítači otevřete System Center Endpoint Protection z oznamovací oblasti Windows.
2. Na kartě Domů v dialogovém okně System Center Endpoint Protection ověřte, že je ochrana v reálném časenastavená na Zapnuto.
3. Ověřte, že se u definic virů a spywaru zobrazuje aktuální.
4. Pokud chcete mít jistotu, že je váš referenční počítač připravený pro vytváření obrázků, vyberte v části Možnosti kontrolymožnost Úplné a potom klikněte na Zkontrolovat.

Ochrana sítě

Před povolením ochrany sítě v režimu auditu nebo blokování se ujistěte, že jste nainstalovali aktualizaci antimalwarové platformy, kterou můžete získat ze stránky podpory.

Řízený přístup ke složkám

Povolte funkci v režimu auditování po dobu nejméně 30 dnů. Po uplynutí této doby zkontrolujte detekce a vytvořte seznam aplikací, které můžou zapisovat do chráněných adresářů.

Další informace najdete v tématu Vyhodnocení řízeného přístupu ke složkům.

Spuštění testu detekce pro ověření onboardingu

Po onboardingu zařízení můžete spustit test detekce a ověřit, jestli je zařízení správně nasazené do služby. Další informace najdete v tématu Spuštění testu detekce na nově nasazené Microsoft Defender for Endpoint zařízení.

Offboarding zařízení pomocí Configuration Manager

Z bezpečnostních důvodů vyprší platnost balíčku použitého k offboardingu zařízení 30 dní po datu stažení. Prošlé balíčky pro offboarding odeslané do zařízení budou odmítnuty. Při stahování balíčku pro offboarding budete upozorněni na datum vypršení platnosti balíčků a bude také uvedeno v názvu balíčku.

Poznámka

Zásady onboardingu a offboardingu nesmí být nasazené na stejném zařízení současně, jinak by to způsobilo nepředvídatelné kolize.

Offboarding zařízení pomocí Microsoft Configuration Manager aktuální větve

Pokud používáte Microsoft Configuration Manager aktuální větev, přečtěte si téma Create konfiguračního souboru pro offboarding.

Offboarding zařízení pomocí nástroje System Center 2012 R2 Configuration Manager

1. Získejte balíček pro offboarding z portálu Microsoft Defender:

   1. V navigačním podokně vyberte Nastavení>Koncové body>Správa> zařízeníOffboarding.
   2. Jako operační systém vyberte Windows 10 nebo Windows 11.
   3. V poli Metoda nasazení vyberte System Center Configuration Manager 2012/2012 R2/1511/1602.
   4. Vyberte Stáhnout balíček a uložte soubor .zip.

2. Extrahujte obsah souboru .zip do sdíleného umístění jen pro čtení, ke kterému mají přístup správci sítě, kteří balíček nasadí. Měli byste mít soubor s názvem WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

3. Balíček nasaďte podle kroků v článku Balíčky a programy v nástroji System Center 2012 R2 Configuration Manager.

   Zvolte předdefinovanou kolekci zařízení, do které chcete balíček nasadit.

Důležité

Offboarding způsobí, že zařízení přestane odesílat data ze senzorů na portál, ale data ze zařízení, včetně odkazů na výstrahy, které má, se budou uchovávat po dobu až 6 měsíců.

Monitorování konfigurace zařízení

Pokud používáte Microsoft Configuration Manager aktuální větev, použijte integrovaný řídicí panel Defenderu for Endpoint v konzole Configuration Manager. Další informace najdete v tématu Defender for Endpoint – Monitorování.

Pokud používáte system Center 2012 R2 Configuration Manager, monitorování se skládá ze dvou částí:

1. Ověřte, že je konfigurační balíček správně nasazený a spuštěný (nebo úspěšně spuštěný) na zařízeních ve vaší síti.

2. Kontrola, že zařízení jsou kompatibilní se službou Defender for Endpoint (tím se zajistí, že zařízení může dokončit proces onboardingu a může dál hlásit data do služby).

Ověřte, že je konfigurační balíček správně nasazený.

1. V konzole Configuration Manager klikněte v dolní části navigačního podokna na Monitorování.

2. Vyberte Přehled a pak Nasazení.

3. Vyberte nasazení s názvem balíčku.

4. Zkontrolujte indikátory stavu v části Statistika dokončení a Stav obsahu.

   Pokud dojde k selhání nasazení (zařízení se stavemChyba, Nesplněny požadavky nebo Selhání), možná budete muset vyřešit potíže se zařízeními. Další informace najdete v tématu Řešení potíží s onboardingem Microsoft Defender for Endpoint.

   

Zkontrolujte, jestli zařízení vyhovují službě Microsoft Defender for Endpoint.

Můžete nastavit pravidlo dodržování předpisů pro položku konfigurace v nástroji System Center 2012 R2 Configuration Manager pro monitorování vašeho nasazení.

Toto pravidlo by mělo být neopravující položku konfigurace pravidla dodržování předpisů, která monitoruje hodnotu klíče registru na cílových zařízeních.

Monitorujte následující položku klíče registru:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Další informace najdete v tématu Úvod do nastavení dodržování předpisů v nástroji System Center 2012 R2 Configuration Manager.

Související témata

• Onboarding zařízení s Windows pomocí Zásad skupiny
• Onboarding zařízení s Windows pomocí nástrojů Správa mobilních zařízení
• Onboarding zařízení s Windows pomocí místního skriptu
• Onboarding zařízení s dočasnou infrastrukturou virtuálních počítačů (VDI)
• Spuštění testu detekce na nově nasazené Microsoft Defender for Endpoint zařízení
• Řešení potíží s onboardingem Microsoft Defender for Endpoint

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.