Onboarding von Windows Servern in den Microsoft Defender für Endpunktdienst

Gilt für:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server Semi-Annual Enterprise Channel
  • Windows Server 2019 und höher
  • Windows Server 2019 Core Edition
  • Windows Server 2022

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Defender für Endpunkt erweitert die Unterstützung, um auch das Windows Server-Betriebssystem einzuschließen. Diese Unterstützung bietet erweiterte Angriffserkennungs- und Untersuchungsfunktionen nahtlos über die Microsoft 365 Defender Konsole. Die Unterstützung für Windows Server bietet einen tieferen Einblick in Serveraktivitäten, die Abdeckung der Kernel- und Speicherangriffserkennung und ermöglicht Reaktionsaktionen.

In diesem Thema wird beschrieben, wie Sie bestimmte Windows Server in Microsoft Defender für Endpunkt integrieren.

Eine praktische Anleitung dazu, was für Lizenzierung und Infrastruktur erforderlich ist, finden Sie unter "Schützen Windows Server mit Defender für Endpunkt".

Anleitungen zum Herunterladen und Verwenden von Windows-Sicherheit Baselines für Windows Server finden Sie unter Windows-Sicherheit Baselines.

Windows Übersicht über das Server-Onboarding

Sie müssen die folgenden allgemeinen Schritte ausführen, um Server erfolgreich zu integrieren.

Abbildung des Integrationsflusses für Windows Server und Windows 10 Geräte

Windows Server 2012 R2 und Windows Server 2016 (Vorschau)

  • Herunterladen der Installations- und Onboarding-Pakete
  • Installieren der Anwendung
  • Führen Sie die Integrationsschritte für das entsprechende Tool aus.

Windows Server Semi-Annual Enterprise Channel und Windows Server 2019

  • Herunterladen des Onboardingpakets
  • Führen Sie die Integrationsschritte für das entsprechende Tool aus.

Neue Funktionen in der modernen einheitlichen Lösung für Windows Server 2012 R2 und 2016 Preview

Bei der vorherigen Implementierung des Onboardings Windows Server 2012 R2 und Windows Server 2016 war die Verwendung von Microsoft Monitoring Agent (MMA) erforderlich.

Das neue einheitliche Lösungspaket erleichtert das Onboarding von Servern durch Entfernen von Abhängigkeiten und Installationsschritten. Darüber hinaus bietet dieses einheitliche Lösungspaket die folgenden wesentlichen Verbesserungen:

Wenn Sie Ihre Server zuvor mit MMA integriert haben, befolgen Sie die Anweisungen in der Servermigration, um zur neuen Lösung zu migrieren.

Hinweis

Während sich diese Methode zum Onboarding von Windows Server 2012 R2 und Windows Server 2016 in der Vorschau befindet, können Sie die vorherige Onboardingmethode weiterhin mit Microsoft Monitoring Agent (MMA) verwenden. Weitere Informationen finden Sie unter Installieren und Konfigurieren von Endpunkten mit MMA.

Bekannte Probleme und Einschränkungen

Die folgenden Einzelheiten gelten für das neue einheitliche Lösungspaket für Windows Server 2012 R2 und 2016:

  • Stellen Sie sicher, dass die Konnektivitätsanforderungen gemäß der Angabe unter "Aktivieren des Zugriffs auf Microsoft Defender für Endpunktdienst-URLs im Proxyserver" erfüllt sind. Sie entsprechen denen für Windows Server 2019.
  • Bisher war die Verwendung der Microsoft Monitoring Agent (MMA) auf Windows Server 2016 und darunter für das OMS-Gateway zulässig, um Konnektivität mit Defender-Clouddiensten bereitzustellen. Die neue Lösung wie Microsoft Defender für Endpunkt auf Windows Server 2019, Windows Server 2022 und Windows 10 unterstützt dieses Gateway nicht.
  • Überprüfen Sie auf Windows Server 2016, ob Microsoft Defender Antivirus installiert ist, aktiv und auf dem neuesten Stand ist. Sie können die neueste Plattformversion mit Windows Update herunterladen und installieren. Alternativ können Sie das Updatepaket manuell aus dem Microsoft Update-Katalog oder von MMPCherunterladen.
  • Auf Windows Server 2012 R2 gibt es keine Benutzeroberfläche für Microsoft Defender Antivirus. Darüber hinaus ermöglicht die Benutzeroberfläche auf Windows Server 2016 nur grundlegende Vorgänge. Informationen zum lokalen Ausführen von Vorgängen auf einem Gerät finden Sie unter Verwalten von Microsoft Defender für Endpunkt mit PowerShell, WMI und MPCmdRun.exe. Daher funktionieren Features, die speziell auf Benutzerinteraktionen basieren, z. B. wenn der Benutzer aufgefordert wird, eine Entscheidung zu treffen oder eine bestimmte Aufgabe auszuführen, möglicherweise nicht wie erwartet. Es wird empfohlen, die Benutzeroberfläche zu deaktivieren oder nicht zu aktivieren oder eine Benutzerinteraktion auf einem verwalteten Server zu erfordern, da sich dies auf die Schutzfunktion auswirken kann.
  • Nicht alle Attack Surface Reduction-Regeln sind auf allen Betriebssystemen verfügbar. Siehe Attack Surface Reduction (ASR)-Regeln.
  • Zum Aktivieren des Netzwerkschutzesist eine zusätzliche Konfiguration erforderlich:
    -- Set-MpPreference -EnableNetworkProtection Enabled
    -- Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    -- Set-MpPreference -AllowNetworkProtectionDownLevel 1
    -- Set-MpPreference -AllowDatagramProcessingOnWinServer 1
    Darüber hinaus wird auf Computern mit einem hohen Netzwerkdatenverkehr dringend empfohlen, Leistungstests in Ihrer Umgebung durchzuführen, bevor Sie diese Funktion allgemein aktivieren. Möglicherweise müssen Sie den zusätzlichen Ressourcenverbrauch berücksichtigen.
  • Bei Windows Server 2012 R2 werden Netzwerkereignisse möglicherweise nicht auf der Zeitachse aufgefüllt. Dieses Problem erfordert ein Windows Update KB4645768, das als Teil des Patch vom 12. Oktober 2021 veröffentlicht wurde.
  • Betriebssystemupgrades werden nicht unterstützt. Offboarden Sie dann vor dem Upgrade die Deinstallation.

Integration mit Azure Defender

Microsoft Defender für Endpunkt lässt sich nahtlos in Azure Defender integrieren. Sie können Server automatisch integrieren, von Azure Defender überwachte Server in Defender für Endpunkt anzeigen lassen und detaillierte Untersuchungen als Azure Defender-Kunde durchführen.

Weitere Informationen finden Sie unter Integration in Azure Defender.

Hinweis

Für Windows Server 2012 R2 und 2016, in dem die moderne einheitliche Lösungsvorschau ausgeführt wird, ist die Integration in Azure Security Center/Azure Defender für Server zur Warnung und automatisierten Bereitstellung noch nicht verfügbar. Wenn Sie die neue Lösung auf diesen Computern installieren können, werden im Azure Security Center keine Warnungen angezeigt.

Windows Server 2012 R2 und Windows Server 2016

Hinweis

Während sich diese Methode zum Onboarding von Windows Server 2012 R2 und Windows Server 2016 in der Vorschau befindet, können Sie die vorherige Onboardingmethode weiterhin mit Microsoft Monitoring Agent (MMA) verwenden. Weitere Informationen finden Sie unter Installieren und Konfigurieren von Endpunkten mit MMA.

Voraussetzungen

Voraussetzungen für Windows Server 2012 R2 Wenn Sie Ihre Computer mit dem neuesten monatlichen Rolluppaket vollständig aktualisiert haben, gibt es keine zusätzlichen Voraussetzungen.

Das Installationspaket überprüft, ob die folgenden Komponenten bereits über ein Update installiert wurden:

Voraussetzungen für Windows Server 2016

Stellen Sie sicher, dass Microsoft Defender Antivirus installiert ist, aktiv und auf dem neuesten Stand ist. Sie können die neueste Plattformversion mit Windows Update herunterladen und installieren. Alternativ können Sie das Updatepaket manuell aus dem Microsoft Update-Katalog oder von MMPCherunterladen.

Neues Updatepaket für Microsoft Defender für Endpunkt auf Windows Server 2012 R2 und 2016

Um regelmäßige Produktverbesserungen und Korrekturen für die EDR Sensorkomponente zu erhalten, stellen Sie sicher, dass Windows Update KB5005292 angewendet oder genehmigt wird. Informationen zum Aktualisieren von Schutzkomponenten finden Sie unter Verwalten Microsoft Defender Antivirus Updates und Anwenden von Basisplänen.

Herunterladen der Installations- und Onboarding-Pakete

  1. Gehen Sie im Microsoft Defender Security Center zu Einstellungen > Geräteverwaltung > Onboarding.

  2. Wählen Sie Windows Server 2012 R2 und 2016 aus.

  3. Wählen Sie "Installationspaket herunterladen" aus, und speichern Sie die .msi Datei. Sie können das MSI-Paket über den Installations-Assistenten ausführen oder die Befehlszeilenschritte unter Installieren von Microsoft Defender für Endpunkt über die Befehlszeileausführen.

    Hinweis

    Microsoft Defender Antivirus wird installiert und ist aktiv, es sei denn, Sie legen den passiven Modus fest. Weitere Informationen finden Sie unter "Müssen Sie Microsoft Defender Antivirus auf den passiven Modus festlegen?.

  4. Wählen Sie "Onboardingpaket herunterladen" aus, und speichern Sie die .zip Datei.

  5. Installieren Sie das Installationspaket mit einer der Optionen, um Microsoft Defender Antivirus zu installieren. (Siehe Microsoft Defender Antivirus auf Windows Server.)

  6. Führen Sie die Schritte aus, die im Abschnitt mit den Integrationsschritten angegeben sind.

Optionen zum Installieren von Microsoft Defender für Endpunkt

Im vorherigen Abschnitt haben Sie ein Installationspaket heruntergeladen. Das Installationspaket enthält das Installationsprogramm für alle Komponenten von Microsoft Defender für Endpunkt.

Installieren von Microsoft Defender für Endpunkt über die Befehlszeile

Verwenden Sie das Installationspaket aus dem vorherigen Schritt, um Microsoft Defender für Endpunkt zu installieren.

Führen Sie den folgenden Befehl aus, um Microsoft Defender für Endpunkt zu installieren:

Msiexec /i md4ws.msi /quiet

Stellen Sie zum Deinstallieren sicher, dass der Computer zuerst mithilfe des entsprechenden Offboardingskripts offboarded wird. Verwenden Sie dann > Systemsteuerungsprogramme > und -features, um die Deinstallation durchzuführen.

Alternativ können Sie den folgenden Deinstallationsbefehl ausführen, um Microsoft Defender für Endpunkt zu deinstallieren:

Msiexec /x md4ws.msi /quiet

Sie müssen dasselbe Paket verwenden, das Sie für die Installation verwendet haben, damit der obige Befehl erfolgreich ausgeführt werden kann.

Der /quiet Schalter unterdrückt alle Benachrichtigungen.

Hinweis

Microsoft Defender Antivirus wechselt nicht automatisch in den passiven Modus. Sie können festlegen, Microsoft Defender Antivirus im passiven Modus ausgeführt werden soll, wenn Sie eine Antiviren-/Antischadsoftware-Lösung ausführen, die nicht von Microsoft bereitgestellt wird. Bei Befehlszeileninstallationen wird die FORCEPASSIVEMODE=1 Microsoft Defender Antivirus Komponente optional sofort auf den passiven Modus festgelegt.

Weitere Informationen finden Sie unter "Müssen Sie Microsoft Defender Antivirus auf den passiven Modus festlegen?.

  • Das Onboarding-Paket für Windows Server 2019 und Windows Server 2022 bis Microsoft Endpoint Manager enthält derzeit ein Skript. Weitere Informationen zum Bereitstellen von Skripts in Configuration Manager finden Sie unter Pakete und Programme in Configuration Manager.
  • Ein lokales Skript eignet sich für einen Machbarkeitsstudie, sollte jedoch nicht für die Produktionsbereitstellung verwendet werden. Für eine Produktionsbereitstellung empfehlen wir die Verwendung von Gruppenrichtlinien oder Microsoft Endpoint Configuration Manager.

Die Unterstützung für Windows Server bietet einen tieferen Einblick in Serveraktivitäten, die Abdeckung der Kernel- und Speicherangriffserkennung und ermöglicht Reaktionsaktionen.

Installieren von Microsoft Defender für Endpunkt mithilfe eines Skripts

Sie können auch das Installationsskript verwenden, um die Installation, Deinstallation und das Onboarding zu automatisieren.

Windows Server Semi-Annual Enterprise Channel und Windows Server 2019 und Windows Server 2022

Das Onboardingpaket für Windows Server 2019 und Windows Server 2022 bis Microsoft Endpoint Manager wird derzeit ein Skript ausgeliefert. Weitere Informationen zum Bereitstellen von Skripts in Configuration Manager finden Sie unter Pakete und Programme in Configuration Manager.

Paket herunterladen

  1. Gehen Sie im Microsoft Defender Security Center zu Einstellungen > Geräteverwaltung > Onboarding.

  2. Wählen Sie Windows Server 1803 und 2019 aus.

  3. Wählen Sie "Paket herunterladen" aus. Speichern Sie es als WindowsDefenderATPOnboardingPackage.zip.

  4. Führen Sie die Schritte aus, die im Abschnitt mit den Integrationsschritten angegeben sind.

Onboarding-Schritte

  1. Nachdem Sie die erforderlichen Onboardingpakete heruntergeladen haben, verwenden Sie die Anleitungen in den Onboarding-Tools und -Methoden für Ihren Server.

  2. (Gilt nur, wenn Sie eine Antischadsoftware-Lösung eines Drittanbieters verwenden). Sie müssen die folgenden einstellungen für den passiven Modus Microsoft Defender Antivirus anwenden. Stellen Sie sicher, dass es ordnungsgemäß konfiguriert wurde:

    1. Legen Sie den folgenden Registrierungseintrag fest:

      • Pfad: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
      • Name: ForceDefenderPassiveMode
      • Typ: REG_DWORD
      • Value: 1
    2. Führen Sie den folgenden PowerShell-Befehl aus, um zu überprüfen, ob der passive Modus konfiguriert wurde:

    Get-WinEvent -FilterHashtable @{ProviderName="Microsoft-Windows-Sense" ;ID=84}
    

    Hinweis

    • Die Integration zwischen Azure Defender für Server und Microsoft Defender für Endpunkt wurde erweitert, um Windows Server 2022, Windows Server 2019 und Windows Virtual Desktop (WVD)zu unterstützen.
    • Die Serverendpunktüberwachung mit dieser Integration wurde für Office 365 GCC Kunden deaktiviert.
    1. Vergewissern Sie sich, dass ein kürzlich gefundenes Ereignis gefunden wurde, das das Passive Mode-Ereignis enthält:

    Abbildung des Ergebnisses der Überprüfung des passiven Modus

Wichtig

  • Wenn Sie Azure Defender zum Überwachen von Servern verwenden, wird automatisch ein Defender für Endpunkt-Mandant erstellt (in den USA für US-Benutzer, in der EU für europäische Benutzer und im Vereinigten Königreich für Benutzer im Vereinigten Königreich). Von Defender für Endpunkt gesammelte Daten werden am geografischen Standort des Mandanten gespeichert, wie bei der Bereitstellung identifiziert.
  • Wenn Sie Defender für Endpunkt vor der Verwendung von Azure Defender verwenden, werden Ihre Daten an dem Speicherort gespeichert, den Sie beim Erstellen Ihres Mandanten angegeben haben, auch wenn Sie zu einem späteren Zeitpunkt in Azure Defender integriert sind.
  • Nach der Konfiguration können Sie den Speicherort Ihrer Daten nicht mehr ändern. Wenn Sie Ihre Daten an einen anderen Speicherort verschieben müssen, müssen Sie sich an den Microsoft-Support wenden, um den Mandanten zurückzusetzen.

Überprüfen des Onboardings und der Installation

Stellen Sie sicher, dass Microsoft Defender Antivirus und Microsoft Defender für Endpunkt ausgeführt werden.

Ausführen eines Erkennungstests zum Überprüfen des Onboardings

Nach dem Onboarding des Geräts können Sie einen Erkennungstest ausführen, um zu überprüfen, ob ein Gerät ordnungsgemäß in den Dienst integriert ist. Weitere Informationen finden Sie unter Ausführen eines Erkennungstests auf einem neu integrierten Microsoft Defender für Endpunkt-Gerät.

Hinweis

Das Ausführen Microsoft Defender Antivirus ist nicht erforderlich, wird jedoch empfohlen. Wenn ein anderes Antivirenprogramm die primäre Endpunktschutzlösung ist, können Sie Defender Antivirus im passiven Modus ausführen. Sie können nur bestätigen, dass der passive Modus aktiviert ist, nachdem Sie überprüft haben, ob der Microsoft Defender für Endpunkt-Sensor (SENSE) ausgeführt wird.

  1. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Microsoft Defender Antivirus installiert ist:

    Hinweis

    Dieser Scheitelpunkt ist nur erforderlich, wenn Sie Microsoft Defender Antivirus als aktive Antischadsoftwarelösung verwenden.

    sc.exe query Windefend

    Wenn das Ergebnis "Der angegebene Dienst ist nicht als installierter Dienst vorhanden" lautet, müssen Sie Microsoft Defender Antivirus installieren. Weitere Informationen finden Sie unter Microsoft Defender Antivirus auf Windows Server.

    Informationen zur Verwendung von Gruppenrichtlinien zum Konfigurieren und Verwalten von Microsoft Defender Antivirus auf Ihren Windows Servern finden Sie unter Verwenden von Gruppenrichtlinieneinstellungen zum Konfigurieren und Verwalten Microsoft Defender Antivirus.

  2. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Microsoft Defender für Endpunkt ausgeführt wird:

    sc.exe query sense

    Das Ergebnis sollte anzeigen, dass es ausgeführt wird. Wenn Beim Onboarding Probleme auftreten, lesen Sie die Informationen zur Problembehandlung beim Onboarding.

Ausführen eines Erkennungstests

Führen Sie die Schritte unter "Ausführen eines Erkennungstests auf einem neu integrierten Gerät" aus, um zu überprüfen, ob der Server an Defender für den Endpunktdienst berichtet.

Nächste Schritte

Nach dem erfolgreichen Onboarding von Geräten in den Dienst müssen Sie die einzelnen Komponenten von Microsoft Defender für Endpunkt konfigurieren. Befolgen Sie die Einführungsreihenfolge, um sich bei der Aktivierung der verschiedenen Komponenten leiten zu lassen.

Offboarding Windows Server

Sie können Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019 Windows Server 2019 Core Edition in derselben Methode offboarden, die für Windows 10 Clientgeräte verfügbar ist.

Für andere Windows Serverversionen stehen Ihnen zwei Optionen zum Offboarding Windows Server aus dem Dienst zur Verfügung:

  • Deinstallieren des MMA-Agents
  • Entfernen der Defender für Endpunkt-Arbeitsbereichskonfiguration

Hinweis

*Diese Offboarding-Anweisungen für andere Windows Serverversionen gelten auch, wenn Sie den vorherigen Microsoft Defender für Endpunkt für Windows Server 2016 und Windows Server 2012 R2 ausführen, für den das MMA erforderlich ist. Anweisungen zum Migrieren zur neuen nicht verwalteten Lösung finden Sie unter Servermigrationsszenarien in Microsoft Defender für Endpunkt.