Onboard Windows enheder ved hjælp af Gruppepolitik

Vigtigt

Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykkelige eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Gælder for:

Vil du opleve Defender til Slutpunkt? Tilmeld dig for at få en gratis prøveversion.

Bemærk

For at Gruppepolitik (GP)-opdateringer til at installere pakken skal du være på Windows Server 2008 R2 eller nyere.

For Windows Server 2019 og Windows Server 2022 skal du muligvis erstatte NT AUTHORITY\Well-Known-System-Account med NT AUTHORITY\SYSTEM i den XML-fil, som Gruppepolitik-indstillingen opretter.

Bemærk

Hvis du bruger den nye, samlede Microsoft Defender for Endpoint-løsning til Windows Server 2012 R2 og 2016, skal du sørge for, at du bruger de nyeste ADMX-filer i din central butik for at få adgang til de korrekte Microsoft Defender for Endpoint-politikindstillinger. Se Sådan opretter og administrerer du Central Store til Gruppepolitik administrative skabeloner i Windows og download de seneste filer til brug med Windows 10.

Se PDF-filen eller Visio for at se de forskellige stier i udrulning af Defender til Slutpunkt.

  1. Åbn GP-konfigurationspakkefilen (WindowsDefenderATPOnboardingPackage.zip), du hentede fra guiden til onboarding af tjenesten. Du kan også hente pakken fra Microsoft 365 Defender portalen:

    1. I navigationsruden skal du vælge Indstillinger > EndpointsDevice > managementOnboarding > .

    2. Vælg operativsystemet.

    3. Vælg Gruppepolitik i feltet Installationsmetode.

    4. Klik på Download pakke, og gem .zip fil.

  2. Udtræk indholdet af .zip til en delt, skrivebeskyttet placering, der kan åbnes af enheden. Du skal have en mappe med navnet OptionalParamsPolicy og filen WindowsDefenderATPOnboardingScript.cmd.

  3. Hvis du vil oprette et nyt gruppepolitikobjekt, skal du åbne Gruppepolitik Management Console (GPMC), højreklikke på Gruppepolitik objekter, du vil konfigurere, og klikke på Ny. Skriv navnet på det nye gruppepolitikobjekt i dialogboksen, der vises, og klik på OK.

  4. Åbn Gruppepolitik (GPMC), højreklik på det Gruppepolitik objekt (GPO), du vil konfigurere, og klik på Rediger.

  5. I administrationseditoren Gruppepolitik skal du gå til Computerkonfiguration og derefter Indstillinger og derefter indstillinger for Kontrolpanel.

  6. Højreklik på Planlagte opgaver, peg på Ny, og klik derefter på Øjeblikkelig opgave (mindst Windows 7).

  7. I vinduet Opgave , der åbnes, skal du gå til fanen Generelt. Klik på Skift bruger eller gruppe under Sikkerhedsindstillinger, og skriv SYSTEM, og klik derefter på Kontrollér navne og OK. NT AUTHORITY\SYSTEM vises som den brugerkonto, opgaven kører som.

  8. Vælg Kør, om brugeren er logget på eller ej, og markér afkrydsningsfeltet Kør med højeste rettigheder.

  9. Skriv et velegnet navn til den planlagte opgave i feltet Navn (f.eks. Defender til slutpunktsinstallation).

  10. Gå til fanen Handlinger , og vælg Ny... Sørg for , at Start et program er markeret i feltet Handling. Angiv UNC-stien ved hjælp af filserverens fulde domænenavn (FQDN) for den delte WindowsDefenderATPOnboardingScript.cmd-fil .

  11. Vælg OK, og luk alle åbne GPMC-vinduer.

  12. Hvis du vil knytte gruppepolitikobjektet til en organisationsenhed, skal du højreklikke og vælge Sammenkæd et eksisterende gruppepolitikobjekt. I dialogboksen, der vises, skal du vælge det Gruppepolitik objekt, du vil sammenkæde. Klik på OK.

Tip

Efter onboarding af enheden kan du vælge at køre en registreringstest for at bekræfte, at enheden er korrekt onboardet til tjenesten. Få mere at vide under Kør en registreringstest på en nyligt onboardet Defender til slutpunktsenhed.

Ekstra konfigurationsindstillinger for Defender til Slutpunkt

For hver enhed kan du angive, om der kan indsamles stikprøver fra enheden, når der foretages en anmodning via Microsoft 365 Defender at sende en fil til dybdegående analyse.

Du kan bruge Gruppepolitik (GP) til at konfigurere indstillinger, f.eks. indstillinger for eksempeldeling, der bruges i funktionen til dybdegående analyse.

Konfigurere indstillinger for eksempelsamling

  1. På GP-administrationsenheden skal du kopiere følgende filer fra konfigurationspakken:

    • Kopiér AtpConfiguration.admx til C:\Windows\ PolicyDefinitions

    • Kopiér AtpConfiguration.adml til C:\Windows\ PolicyDefinitionsen-US\

    Hvis du bruger en Central Store til Gruppepolitik administrative skabeloner, skal du kopiere følgende filer fra konfigurationspakken:

    • Kopiér AtpConfiguration.admx til \<forest.root>\\SysVolPoliciesPolicyDefinitions\<forest.root>\\

    • Kopiér AtpConfiguration.adml til \<forest.root>\\SysVolPoliciesPolicyDefinitionsen-US\<forest.root>\\\

  2. Åbn administrationskonsollen Gruppepolitik, højreklik på det gruppepolitikobjekt, du vil konfigurere, og klik på Rediger.

  3. I administrationseditoren Gruppepolitik skal du gå til Computerkonfiguration.

  4. Klik på Politikker og derefter på Administrative skabeloner.

  5. Klik Windows komponenter, og klik derefter Windows Defender ATP.

  6. Vælg at aktivere eller deaktivere eksempeldeling fra dine enheder.

Bemærk

Hvis du ikke angiver en værdi, er standardværdien at aktivere indsamling af eksempler.

Opdater konfiguration for slutpunktsbeskyttelse

Efter konfiguration af onboardingscriptet skal du fortsætte med at redigere den samme gruppepolitik for at tilføje slutpunktsbeskyttelseskonfigurationer. Udfør redigeringer af gruppepolitik fra et system, der kører Windows 10 eller Server 2019, Windows 11 eller Windows Server 2022, for at sikre, at du har alle de Microsoft Defender Antivirus funktioner. Du skal muligvis lukke og genåbne gruppepolitikobjektet for at registrere konfigurationsindstillingerne for Defender ATP.

Alle politikker er placeret under Computer Configuration\Policies\Administrative Templates.

Politikplacering: \Windows Components\Windows Defender ATP

Politik Indstilling
Aktivér\Deaktiver eksempelsamling Aktiveret – "Aktivér eksempelsamling på maskiner" markeret

Politikplacering: \Windows Components\Microsoft Defender Antivirus

Politik Indstilling
Konfigurere registrering af potentielt uønskede programmer Aktiveret, Bloker

Politikplacering: \Windows Components\Microsoft Defender Antivirus\MAPS

Politik Indstilling
Deltag i Microsoft MAPS Aktiveret, Avancerede KORT
Send fileksempler, når yderligere analyse er påkrævet Aktiveret, Send sikre eksempler

Politikplacering: \Windows Components\Microsoft Defender Antivirus\Real-time Protection

Politik Indstilling
Slå beskyttelse i realtid fra Deaktiveret
Aktiver overvågning af funktionsmåder Aktiveret
Scan alle downloadede filer og vedhæftede filer Aktiveret
Overvåg fil- og programaktivitet på din computer Aktiveret

Politikplacering: \Windows Components\Microsoft Defender Antivirus\Scan

Disse indstillinger konfigurerer periodiske scanninger af slutpunktet. Vi anbefaler, at du udfører en ugentlig hurtig scanning, hvor ydeevnen er tilladt.

Politik Indstilling
Kontrollér, om der er de nyeste sikkerhedsoplysninger om virus og spyware, før du kører en planlagt scanning Aktiveret

Politikplacering: \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction

Få den aktuelle liste over reduktionsregler for angrebsoverfladen GUID'er fra implementering af reduktionsregler for angrebsoverfladen Trin 3: Implementer ASR-regler. Du kan finde flere oplysninger om de forskellige regler under Reference til begrænsningsregler for angrebsoverfladen

  1. Åbn politikken Konfigurer reduktion af angrebsoverfladen .

  2. Vælg Aktiveret.

  3. Vælg knappen Vis.

  4. Tilføj hvert GUID i feltet Værdinavn med en værdi på 2.

    Dette konfigurerer hver enkelt kun til overvågning.

    Konfiguration af reduktion af angrebsoverfladen

Politik Placering Indstilling
Konfigurere styret mappeadgang \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Controlled Folder Access Aktiveret, overvågningstilstand

Kør en registreringstest for at bekræfte onboarding

Når du har onboardet enheden, kan du vælge at køre en registreringstest for at bekræfte, at enheden er korrekt onboardet til tjenesten. Få mere at vide under Kør en registreringstest på en nyligt onboardet Microsoft Defender for Endpoint enhed.

Offboard-enheder, der bruger Gruppepolitik

Af sikkerhedsmæssige årsager udløber den pakke, der blev brugt til Offboard-enheder, 30 dage efter den dato, den blev downloadet. Udløbne offboarding-pakker, der sendes til en enhed, afvises. Når du henter en offboarding-pakke, får du besked om udløbsdatoen for pakkerne, og den vil også være inkluderet i pakkenavnet.

Bemærk

Onboarding- og offboarding-politikker må ikke installeres på den samme enhed på samme tid, da dette ellers vil medføre uforudsete fejl.

  1. Hent offboarding-pakken fra Microsoft 365 Defender portalen:

    1. I navigationsruden skal du vælge Indstillinger > EndpointsDevice > managementOffboarding > .

    2. Vælg operativsystemet.

    3. Vælg Gruppepolitik i feltet Installationsmetode.

    4. Klik på Download pakke, og gem .zip fil.

  2. Udtræk indholdet af .zip til en delt, skrivebeskyttet placering, der kan åbnes af enheden. Du skal have en fil med WindowsDefenderATPOffboardingScript_valid_until_YYYY-DD.cmd-mm.

  3. Åbn Gruppepolitik (GPMC), højreklik på det Gruppepolitik objekt (GPO), du vil konfigurere, og klik på Rediger.

  4. I Gruppepolitik administrationseditor skal du gå til Computerkonfiguration og derefter Indstillinger og derefter indstillinger for Kontrolpanel.

  5. Højreklik på Planlagte opgaver, peg på Ny , og klik derefter på Øjeblikkelig opgave.

  6. I vinduet Opgave , der åbnes, skal du gå til fanen Generelt. Vælg den lokale SYSTEM-brugerkonto (BUILTIN\SYSTEM) under Sikkerhedsindstillinger.

  7. Vælg Kør, om brugeren er logget på eller ej, og markér afkrydsningsfeltet Kør med højeste rettigheder.

  8. Skriv et velegnet navn til den planlagte opgave i feltet Navn (f.eks. Defender til slutpunktsinstallation).

  9. Gå til fanen Handlinger , og vælg Ny.... Sørg for , at Start et program er markeret i feltet Handling. Angiv UNC-stien ved hjælp af filserverens fulde domænenavn (FQDN) for den delte WindowsDefenderATPOffboardingScript_valid_until_YYYY-mm-DD.cmd-fil .

  10. Vælg OK, og luk alle åbne GPMC-vinduer.

Vigtigt

Offboarding får enheden til at holde op med at sende sensordata til portalen, men data fra enheden, herunder reference til eventuelle beskeder, enheden har haft, bevares i op til seks måneder.

Overvåg enhedskonfiguration

Med Gruppepolitik er det ikke muligt at overvåge implementering af politikker på enhederne. Overvågning kan udføres direkte på portalen eller ved hjælp af de forskellige installationsværktøjer.

Overvåg enheder ved hjælp af portalen

  1. Gå til Microsoft 365 Defender portal.
  2. Klik på Lager enheder.
  3. Kontrollér, at enheder vises.

Bemærk

Det kan tage flere dage, før enhederne begynder at blive vist på listen Enheder. Dette omfatter den tid, det tager for politikkerne at blive distribueret til enheden, den tid, det tager for brugeren at logge på, og den tid, det tager slutpunktet at starte rapporteringen.

Politikker for konfiguration af Defender AV

Opret en ny Gruppepolitik eller gruppere disse indstillinger i med de andre politikker. Dette er afhængigt af kundemiljøet, og hvordan de vil udrulle tjenesten ved at målrette forskellige organisationsenheder.

  1. Når du har valgt GP eller oprettet en ny, skal du redigere GP'en.

  2. Gå til Computer ConfigurationPoliciesAdministrative > > Templates > Windows Components > Microsoft Defender Antivirus > Real-time Protection.

    Beskyttelse i realtid

  3. I mappen Karantæne skal du konfigurere fjernelse af elementer fra mappen Karantæne.

    Fjerne elementer i karantænemappe

    konfigurations-fjernelseskarantæne

  4. Konfigurer scanningsindstillingerne i mappen Scanning.

    gpo-scanninger

Overvåg alle filer i beskyttelse i realtid

Gå til Politikker for computerkonfiguration > > > administrative skabeloner Windows komponenter > Microsoft Defender Antivirus > beskyttelse i realtid.

Konfigurere overvågning af aktivitet for indgående udgående fil

Konfigurere Windows Defender smartscreen-indstillinger

  1. Gå til Politikker for computerkonfiguration > > Administrative skabeloner > Windows komponenter > Windows Defender SmartScreen > Explorer.

    Konfigurer Windows Defender Smart Screen Explorer

  2. Gå til Computer configurationPoliciesAdministrative > > Templates > Windows Components > Windows Defender SmartScreen > Microsoft Edge.

    Konfigurer Windows Defender Smart Screen Edge

Konfigurere potentielt uønskede programmer

Gå til Politikker for computerkonfiguration > > , Windows > dokumentkomponenter > Microsoft Defender Antivirus.

Konfiguration af potentielt uønsket app

konfigurer potentielt

Konfigurere skyleveringsbeskyttelse og sende eksempler automatisk

Gå til Politikker for computerkonfiguration > > , Windows > dokumentkomponenter > Microsoft Defender Antivirus > MAPS.

kort

Bloker ved første synsvidens

Deltag i Microsoft Kort

Send fileksempel, når yderligere analyse er påkrævet

Bemærk

Indstillingen Send alle eksempler giver den mest analyse af binære/scripts/dokumenter, hvilket øger sikkerheden. Indstillingen Send sikre eksempler begrænser typen af binære/scripts/dokumenter, der analyseres, og mindsker sikkerheden.

Få mere at vide under Aktiver skybeskyttelse i Microsoft Defender Antivirus og Skybeskyttelse og eksempelindsendelse Microsoft Defender Antivirus.

Søg efter signaturopdatering

Gå til Politikker for computerkonfiguration > > Administrative skabeloner > Windows komponenter Microsoft Defender Antivirus > > Security Intelligence-opdateringer.

Signaturopdatering

Opdatering af signaturdefinition

Konfigurere timeout for skyleverance og beskyttelsesniveau

Gå til Politikker for computerkonfiguration > > Administrative skabeloner > Windows komponenter > Microsoft Defender Antivirus > MpEngine. Når du konfigurerer politik på skybeskyttelsesniveau til Microsoft Defender Antivirus politik for blokering af skyen, vil dette deaktivere politikken. Dette er, hvad der kræves for at angive beskyttelsesniveauet til Windows-standarden.

Konfiguration af udvidet skykontrol

Konfigurer skybeskyttelsesniveau