Onboardare i dispositivi Windows 10 usando Criteri di gruppo

Si applica a:

Vuoi provare Defender per Endpoint? iscriversi a una versione di valutazione gratuita.

Nota

Per utilizzare gli aggiornamenti di Criteri di gruppo per distribuire il pacchetto, è necessario essere in Windows Server 2008 R2 o versione successiva.

Per Windows Server 2019, potrebbe essere necessario sostituire NT AUTHORITY\Well-Known-System-Account con NT AUTHORITY\SYSTEM del file XML creato dalla preferenza di Criteri di gruppo.

Aggiungere dispositivi con Criteri di gruppo

Vedi il PDF o il Visio per vedere i vari percorsi nella distribuzione di Defender per Endpoint.

  1. Aprire il file del pacchetto .zip criteri di gruppo (WindowsDefenderATPOnboardingPackage.zip) scaricato dall'onboarding guidato del servizio. Puoi anche ottenere il pacchetto da Microsoft 365 Defender portale:

    1. Nel riquadro di spostamento seleziona Impostazioni > > > Onboarding gestione dispositivi degli endpoint.
    2. Seleziona Windows 10 come sistema operativo.
    3. Nel campo Metodo di distribuzione selezionare Criteri di gruppo.
    4. Fai clic su Scarica pacchetto e salva il file .zip file.
  2. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dal dispositivo. Dovresti avere una cartella denominata OptionalParamsPolicy e il file WindowsDefenderATPOnboardingScript.cmd.

  3. Per creare un nuovo oggetto Criteri di gruppo, aprire Console Gestione Criteri di gruppo, fare clic con il pulsante destro del mouse su Oggetti Criteri di gruppo che si desidera configurare e scegliere Nuovo. Immettere il nome del nuovo oggetto Criteri di gruppo nella finestra di dialogo visualizzata e fare clic su OK.

  4. Aprire console Gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera configurare e scegliere Modifica.

  5. Nell'Editor Gestione Criteri di gruppo vai a Configurazione computer, quindi Preferenze e quindi impostazioni del Pannello di controllo.

  6. Fare clic con il pulsante destro del mouse su Attività pianificate, scegliere Nuovo e quindi Attività immediata (almeno Windows 7).

  7. Nella finestra Attività visualizzata passare alla scheda Generale. In Opzioni di sicurezza fare clic su Cambia utente o gruppo e digitare SISTEMA e quindi fare clic su Controlla nomi e quindi su OK. NT AUTHORITY\SYSTEM viene visualizzato come account utente con cui verrà eseguita l'attività.

  8. Selezionare Esegui se l'utente è connesso o meno e selezionare la casella di controllo Esegui con privilegi più elevati.

  9. Nel campo Nome digitare un nome appropriato per l'attività pianificata, ad esempio Defender for Endpoint Deployment.

  10. Vai alla scheda Azioni e seleziona Nuovo... Verificare che l'opzione Avvia un programma sia selezionata nel campo Azione. Immettere il percorso UNC, utilizzando il nome di dominio completo (FQDN) del file WindowsDefenderATPOnboardingScript.cmd condiviso.

  11. Selezionare OK e chiudere tutte le finestre della Console Gestione Criteri di gruppo aperte.

  12. Per collegare l'oggetto Criteri di gruppo a un'unità organizzativa, fare clic con il pulsante destro del mouse e scegliere Collega un oggetto Criteri di gruppo esistente. Nella finestra di dialogo visualizzata selezionare l'oggetto Criteri di gruppo che si desidera collegare. Fare clic su OK.

Suggerimento

Dopo l'onboarding del dispositivo, puoi scegliere di eseguire un test di rilevamento per verificare che il dispositivo sia stato correttamente onboarding nel servizio. Per altre informazioni, vedi Eseguire un test di rilevamento in un dispositivo Defender per endpoint appena onboarded.

Ulteriori impostazioni di configurazione di Defender per endpoint

Per ogni dispositivo, puoi indicare se i campioni possono essere raccolti dal dispositivo quando viene effettuata una richiesta tramite Microsoft 365 Defender per inviare un file per l'analisi approfondita.

È possibile utilizzare Criteri di gruppo per configurare le impostazioni, ad esempio le impostazioni per la condivisione di esempio utilizzata nella funzionalità di analisi approfondita.

Configurare le impostazioni della raccolta di esempio

  1. Nel dispositivo di gestione Criteri di gruppo copiare i file seguenti dal pacchetto di configurazione:

    • Copiare AtpConfiguration.admx in C: \ Windows \ PolicyDefinitions

    • CopiaRe atpConfiguration.adml in C: \ Windows \ PolicyDefinitions \ en-US

    Se si usa un archivio centrale per imodelli amministrativi di Criteri di gruppo, copiare i file seguenti dal pacchetto di configurazione:

    • Copiare AtpConfiguration.admx in \ \ <forest.root> \ SysVol \ <forest.root> \ Policies \ PolicyDefinitions

    • Copiare AtpConfiguration.adml in \ \ <forest.root> \ SysVol \ <forest.root> \ Policies \ PolicyDefinitions \ en-US

  2. Aprire la Console Gestione Criteri di gruppo,fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera configurare e scegliere Modifica.

  3. Nell'Editor Gestione Criteri di gruppo passare a Configurazione computer.

  4. Fare clic su Criteri e quindi su Modelli amministrativi.

  5. Fare clic Windows componenti e quindi Windows Defender ATP.

  6. Scegli se abilitare o disabilitare la condivisione dei campioni dai dispositivi.

Nota

Se non si imposta un valore, il valore predefinito è abilitare la raccolta di esempi.

Aggiornare la configurazione di endpoint protection

Dopo aver configurato lo script di onboarding, continuare a modificare gli stessi criteri di gruppo per aggiungere configurazioni di endpoint protection. Eseguire modifiche ai Criteri di gruppo da un sistema che esegue Windows 10 o Server 2019 per assicurarsi di disporre di tutte le funzionalità Antivirus Microsoft Defender necessarie. Potrebbe essere necessario chiudere e riaprire l'oggetto Criteri di gruppo per registrare le impostazioni di configurazione di Defender ATP.

Tutti i criteri si trovano in Computer Configuration\Policies\Administrative Templates .

Percorso criteri: \Windows Components\Windows Defender ATP

Criteri Impostazione
Enable\Disable Sample collection Enabled - "Enable sample collection on machines" checked

Percorso dei criteri: \Windows Components\Antivirus Microsoft Defender

Criteri Impostazione
Configurare il rilevamento per applicazioni potenzialmente indesiderate Enabled, Block

Percorso dei criteri: \Windows Components\Antivirus Microsoft Defender\MAPS

Criteri Impostazione
Partecipare a Microsoft MAPS Enabled, Advanced MAPS
Inviare esempi di file quando è necessaria un'ulteriore analisi Enabled, Send safe samples

Percorso dei criteri: \Windows Components\Antivirus Microsoft Defender\Real-time Protection

Criteri Impostazione
Disattivare la protezione in tempo reale Disattivato
Attivare il monitoraggio del comportamento Abilitato
Analizzare tutti i file e gli allegati scaricati Abilitato
Monitorare le attività di file e programmi nel computer Abilitato

Percorso dei criteri: \Windows Components\Antivirus Microsoft Defender\Scan

Queste impostazioni configurano analisi periodiche dell'endpoint. È consigliabile eseguire un'analisi rapida settimanale, permettendo le prestazioni.

Criteri Impostazione
Prima di eseguire un'analisi pianificata, verificare la disponibilità dell'ultima intelligence per la sicurezza di virus e spyware Abilitato

Posizione dei criteri: \Windows Components\Antivirus Microsoft Defender\Microsoft Defender Exploit Guard\Attack Surface Reduction

Ottenere l'elenco corrente dei GUID di riduzione della superficie di attacco da Personalizzare le regole di riduzione della superficie di attacco

  1. Apri il criterio Configura riduzione superficie di attacco.

  2. Selezionare Abilitato.

  3. Selezionare il pulsante Mostra.

  4. Aggiungere ogni GUID nel campo Nome valore con un valore pari a 2.

    Questa impostazione verrà impostata solo per il controllo.

    Immagine della configurazione di riduzione della superficie di attacco.

Criteri Impostazione
Configurare l'accesso controllato alle cartelle Abilitato, modalità di controllo

Eseguire un test di rilevamento per verificare l'onboarding

Dopo l'onboarding del dispositivo, puoi scegliere di eseguire un test di rilevamento per verificare che un dispositivo sia stato correttamente onboarding nel servizio. Per altre informazioni, vedi Eseguire un test di rilevamento su un dispositivo Microsoft Defender for Endpoint appena onboarded.

Dispositivi offboard con Criteri di gruppo

Per motivi di sicurezza, il pacchetto usato per i dispositivi offboard scadrà 30 giorni dopo la data di download. I pacchetti di offboarding scaduti inviati a un dispositivo verranno rifiutati. Durante il download di un pacchetto di offboarding, ti verrà notificata la data di scadenza dei pacchetti e verrà incluso anche nel nome del pacchetto.

Nota

I criteri di onboarding e offboarding non devono essere distribuiti nello stesso dispositivo contemporaneamente, altrimenti ciò causerà collisioni imprevedibili.

  1. Ottenere il pacchetto di offboarding da Microsoft 365 Defender portale:

    1. Nel riquadro di spostamento, selezionare Impostazioni > > > Offboarding gestione dispositivi endpoint .
    2. Seleziona Windows 10 come sistema operativo.
    3. Nel campo Metodo di distribuzione selezionare Criteri di gruppo.
    4. Fai clic su Scarica pacchetto e salva il file .zip file.
  2. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dal dispositivo. Dovresti avere un file denominato WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Aprire console Gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera configurare e scegliere Modifica.

  4. Nell'Editor Gestione Criteri di gruppo vai a Configurazione computer, Quindi Preferenze e quindi Impostazioni pannello di controllo.

  5. Fare clic con il pulsante destro del mouse su Attività pianificate, scegliere Nuovo e quindi Fare clic su Attività immediata.

  6. Nella finestra Attività visualizzata passare alla scheda Generale. Scegliere l'account utente SYSTEM locale (BUILTIN\SYSTEM) in Opzioni di sicurezza.

  7. Selezionare Esegui se l'utente è connesso o meno e selezionare la casella di controllo Esegui con privilegi più elevati.

  8. Nel campo Nome digitare un nome appropriato per l'attività pianificata, ad esempio Defender for Endpoint Deployment.

  9. Vai alla scheda Azioni e seleziona Nuovo.... Verificare che l'opzione Avvia un programma sia selezionata nel campo Azione. Immettere il percorso UNC, utilizzando il nome di dominio completo (FQDN) del file WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd condiviso.

  10. Selezionare OK e chiudere tutte le finestre della Console Gestione Criteri di gruppo aperte.

Importante

L'offboarding fa sì che il dispositivo interrompi l'invio dei dati del sensore al portale, ma i dati del dispositivo, incluso il riferimento a eventuali avvisi che ha avuto, verranno conservati per un massimo di 6 mesi.

Monitorare la configurazione del dispositivo

Con Criteri di gruppo non è disponibile un'opzione per monitorare la distribuzione dei criteri nei dispositivi. Il monitoraggio può essere eseguito direttamente nel portale o utilizzando i diversi strumenti di distribuzione.

Monitorare i dispositivi tramite il portale

  1. Passare a Microsoft 365 Defender portale.
  2. Fare clic su Inventario dispositivi.
  3. Verificare che i dispositivi siano visualizzati.

Nota

L'inizio della visualizzazione dei dispositivi nell'elenco Dispositivi può richiedere diversi giorni. Ciò include il tempo necessario per la distribuzione dei criteri al dispositivo, il tempo necessario prima che l'utente e il tempo necessario per l'avvio dei report da parte dell'endpoint.

Configurare i criteri di Defender AV

Creare un nuovo Criterio di gruppo o raggruppare queste impostazioni con gli altri criteri. Ciò dipende dall'ambiente dei clienti e dal modo in cui desiderano implementare il servizio in base a unità organizzative (unità organizzative) diverse.

  1. Dopo aver scelto i Criteri di gruppo o aver creato un nuovo criterio, modificare i Criteri di gruppo.

  2. Passare a Criteri di configurazione computer > > Modelli amministrativi Windows > componenti > Antivirus Microsoft Defender Protezione in tempo > reale. protezione in tempo reale.

  3. Nella cartella Quarantena configurare la rimozione degli elementi dalla cartella quarantena.

    cartella di quarantena degli elementi di rimozione.

    quarantena di rimozione della configurazione.

  4. Nella cartella Analisi configurare le impostazioni di analisi.

    analisi gpo.

Monitorare tutti i file nella protezione in tempo reale

Passare a Criteri di configurazione computer > > Modelli amministrativi Windows componenti > > Antivirus Microsoft Defender Protezione in > tempo reale.

configurare il monitoraggio per l'attività dei file in uscita in ingresso.

Configurare Windows Defender smart screen

  1. Passare a Criteri di configurazione computer > > Modelli amministrativi Windows > componenti > Windows Defender SmartScreen > Explorer.

    config windows defender smart screen explorer.

  2. Passare a Criteri di configurazione computer > > Modelli amministrativi Windows > componenti > Windows Defender SmartScreen > Microsoft Edge.

    config windows defender smart screen Edge.

Configurare applicazioni potenzialmente indesiderate

Passare a Criteri di configurazione > computer > Modelli > amministrativi Windows componenti > Antivirus Microsoft Defender.

configurazione di app potenzialmente indesiderate.

potenziale di configurazione.

Configurare Cloud Deliver Protection e inviare automaticamente gli esempi

Passare a Criteri di configurazione > computer > Modelli > amministrativi Windows componenti > Antivirus Microsoft Defender > MAPS.

mappe.

blocco al primo avvistamento.

partecipare a Microsoft Maps.

inviare un esempio di file quando è necessaria un'ulteriore analisi.

Verificare la disponibilità di aggiornamenti delle firme

Passare a Criteri di configurazione computer Modelli amministrativi > > Windows componenti > > Antivirus Microsoft Defender aggiornamenti > delle firme

aggiornamento della firma.

aggiornamento della definizione della firma.

Configurare il timeout di recapito cloud e il livello di protezione

Passare a Criteri di configurazione computer > > Modelli amministrativi Windows > componenti > Antivirus Microsoft Defender > MpEngine. Quando si configura il criterio del livello di protezione cloud su Predefinito Antivirus Microsoft Defender di blocco, il criterio verrà disabilitato. Questo è ciò che è necessario per impostare il livello di protezione sul valore predefinito di Windows.

controllo del cloud esteso della configurazione.

livello di protezione del cloud di configurazione.