Integrando os Windows 10 usando o Configuration Manager

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Sistemas operacionais cliente com suporte

Com base na versão do Configuration Manager que você está executando, os seguintes sistemas operacionais cliente podem ser integrados:

  • Configuration Manager versão 1910 e anterior:

    • Clientes que executam computadores Windows 10
  • Configuration Manager versão 2002 e posterior:

    A partir do Configuration Manager versão 2002, você pode integrar os seguintes sistemas operacionais:

    • Windows 8.1
    • Windows 10
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2016, versão 1803 ou posterior
    • Windows Server 2019

Observação

Para obter mais informações sobre como Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019, consulte Onboard Windows servers.

Dispositivos de integração usando System Center Configuration Manager

Confira o PDF ou Visio para ver os vários caminhos na implantação do Microsoft Defender para Ponto de Extremidade.

  1. Abra o arquivo de pacote de configuração do Configuration Manager .zip (WindowsDefenderATPOnboardingPackage.zip) que você baixou do assistente de integração do serviço. Você também pode obter o pacote do Microsoft 365 Defender portal:

    1. No painel de navegação, selecione Configurações > Endpoints Gerenciamento de > > dispositivos Integrando.
    2. Selecione Windows 10 como o sistema operacional.
    3. No campo método Deployment, selecione System Center Configuration Manager 2012/2012 R2/1511/1602.
    4. Selecione Baixar pacote e salve o arquivo .zip.
  2. Extraia o conteúdo do arquivo .zip para um local compartilhado somente leitura que pode ser acessado pelos administradores de rede que implantarão o pacote. Você deve ter um arquivo chamado WindowsDefenderATPOnboardingScript.cmd.

  3. Implante o pacote seguindo as etapas no artigo Pacotes e Programas no System Center 2012 R2 Configuration Manager.

    Escolha uma coleção de dispositivos predefinida para a qual implantar o pacote.

Observação

O Defender for Endpoint não dá suporte à integração durante a fase OOBE (Experiência De Saída). Certifique-se de que os usuários concluam o OOBE após Windows instalação ou atualização.

Observe que é possível criar uma regra de detecção em um aplicativo do Configuration Manager para verificar continuamente se um dispositivo foi internado. Um aplicativo é um tipo diferente de objeto do que um pacote e um programa. Se um dispositivo ainda não estiver conectado (devido à conclusão pendente do OOBE ou qualquer outro motivo), o Configuration Manager repetirá a integração do dispositivo até que a regra detecte a alteração de status.

Esse comportamento pode ser realizado criando uma verificação de regra de detecção se o valor do Registro "OnboardingState" (do tipo REG_DWORD) = 1. Esse valor do Registro está localizado em "HKLM\SOFTWARE\Microsoft\Windows Proteção Avançada contra Ameaças\Status". Para obter mais informações, consulte Configure Detection Methods in System Center 2012 R2 Configuration Manager.

Configurar configurações de coleção de exemplos

Para cada dispositivo, você pode definir um valor de configuração para determinar se amostras podem ser coletadas do dispositivo quando uma solicitação é feita por meio Microsoft 365 Defender enviar um arquivo para análise profunda.

Observação

Essas configurações geralmente são feitas por meio do Configuration Manager.

Você pode definir uma regra de conformidade para o item de configuração no Configuration Manager para alterar a configuração de compartilhamento de exemplo em um dispositivo.

Essa regra deve ser um item de configuração de regra de conformidade de correção que define o valor de uma chave do Registro em dispositivos direcionados para garantir que eles sejam reclamações.

A configuração é definida por meio da seguinte entrada de chave do Registro:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Onde Tipo de chave é um D-WORD. Os valores possíveis são:

  • 0: Não permite o compartilhamento de exemplo deste dispositivo
  • 1: Permite o compartilhamento de todos os tipos de arquivo deste dispositivo

O valor padrão caso a chave do Registro não exista é 1.

Para obter mais informações sobre System Center Configuration Manager Conformidade, consulte Introdução às configurações de conformidade no System Center 2012 R2 Configuration Manager.

Após a integração de dispositivos ao serviço, é importante aproveitar os recursos de proteção contra ameaças incluídos, habilitando-os com as seguintes configurações recomendadas.

Configuração do conjunto de dispositivos

Se você estiver usando o Endpoint Configuration Manager, versão 2002 ou posterior, poderá optar por ampliar a implantação para incluir servidores ou clientes de nível inferior.

Configuração de proteção de próxima geração

As seguintes configurações são recomendadas:

Examinar

  • Examinar dispositivos de armazenamento removíveis, como unidades USB: Sim

Proteção em tempo real

  • Habilitar o Monitoramento Comportamental: Sim
  • Habilitar a proteção contra aplicativos potencialmente indesejados no download e antes da instalação: Sim

Serviço de Proteção na Nuvem

  • Tipo de associação do Serviço de Proteção na Nuvem: Associação avançada

Redução de superfície de ataque

Configure todas as regras disponíveis para Auditoria.

Observação

O bloqueio dessas atividades pode interromper processos comerciais legítimos. A melhor abordagem é definir tudo para auditoria, identificar quais são seguros para ativar e, em seguida, ativar essas configurações em pontos de extremidade que não têm detecções de falsos positivos.

Proteção de rede

Antes de ativar a proteção de rede no modo de auditoria ou bloqueio, verifique se você instalou a atualização da plataforma antimalware, que pode ser obtida na página de suporte.

Acesso controlado a pastas

Habilita o recurso no modo de auditoria por pelo menos 30 dias. Após esse período, revise as detecções e crie uma lista de aplicativos que têm permissão para gravar em diretórios protegidos.

Para obter mais informações, consulte Evaluate controlled folder access.

Executar um teste de detecção para verificar a integração

Após a integração do dispositivo, você pode optar por executar um teste de detecção para verificar se um dispositivo está corretamente conectado ao serviço. Para obter mais informações, consulte Execute a detection test on a newly onboarded Microsoft Defender for Endpoint device.

Dispositivos offboard usando o Configuration Manager

Por motivos de segurança, o pacote usado para dispositivos offboard expirará 30 dias após a data em que foi baixado. Os pacotes de offboard expirados enviados para um dispositivo serão rejeitados. Ao baixar um pacote de offboard, você será notificado sobre a data de expiração dos pacotes e ele também será incluído no nome do pacote.

Observação

As políticas de integração e de offboard não devem ser implantadas no mesmo dispositivo ao mesmo tempo, caso contrário, isso causará colisões imprevisíveis.

Dispositivos de offboard usando Microsoft Endpoint Manager ramificação atual

Se você usar Microsoft Endpoint Manager ramificação atual, consulte Create an offboarding configuration file.

Dispositivos de offboard usando System Center 2012 R2 Configuration Manager

  1. Obter o pacote de offboard do Microsoft 365 Defender portal:

    1. No painel de navegação, selecione Configurações > Endpoints > Gerenciamento de > dispositivos Offboarding.
    2. Selecione Windows 10 como o sistema operacional.
    3. No campo método Deployment, selecione System Center Configuration Manager 2012/2012 R2/1511/1602.
    4. Selecione Baixar pacote e salve o arquivo .zip.
  2. Extraia o conteúdo do arquivo .zip para um local compartilhado somente leitura que pode ser acessado pelos administradores de rede que implantarão o pacote. Você deve ter um arquivo chamado WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Implante o pacote seguindo as etapas no artigo Pacotes e Programas no System Center 2012 R2 Configuration Manager.

    Escolha uma coleção de dispositivos predefinida para a qual implantar o pacote.

Importante

O offboard faz com que o dispositivo pare de enviar dados do sensor para o portal, mas os dados do dispositivo, incluindo a referência a todos os alertas que ele teve, serão mantidos por até 6 meses.

Monitorar a configuração do dispositivo

Se você estiver usando Microsoft Endpoint Manager filial atual, use o painel do Defender para Ponto de Extremidade integrado no console do Configuration Manager. Para obter mais informações, consulte Defender for Endpoint - Monitor.

Se você estiver usando o System Center 2012 R2 Configuration Manager, o monitoramento consiste em duas partes:

  1. Confirmar se o pacote de configuração foi implantado corretamente e está sendo executado (ou executado com êxito) nos dispositivos em sua rede.

  2. Verificar se os dispositivos estão em conformidade com o serviço Defender para Ponto de Extremidade (isso garante que o dispositivo possa concluir o processo de integração e pode continuar a relatar dados ao serviço).

Confirme se o pacote de configuração foi implantado corretamente

  1. No console do Configuration Manager, clique em Monitoramento na parte inferior do painel de navegação.

  2. Selecione Visão geral e implantações.

  3. Selecione na implantação com o nome do pacote.

  4. Revise os indicadores de status em Estatísticas de Conclusão e Status de Conteúdo.

    Se houver implantações com falha (dispositivos com status Error, Requirements Not Met, ou Failed), talvez seja necessário solucionar problemas dos dispositivos. Para obter mais informações, consulte Solução de problemas de integração do Microsoft Defender para o Ponto de Extremidade.

    Gerenciador de Configurações mostrando implantação bem-sucedida sem erros.

Verifique se os dispositivos estão em conformidade com o serviço do Microsoft Defender para Ponto de Extremidade

Você pode definir uma regra de conformidade para o item de configuração no System Center 2012 R2 Configuration Manager para monitorar sua implantação.

Essa regra deve ser um item de configuração de regra de conformidade não corretivo que monitora o valor de uma chave do Registro em dispositivos direcionados.

Monitore a seguinte entrada da chave do Registro:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Para obter mais informações, consulte Introdução às configurações de conformidade no System Center 2012 R2 Configuration Manager.