Integrar servidores Windows ao serviço Microsoft Defender para Ponto de Extremidade

  • Artigo

Aplica-se a:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server Semi-Annual Enterprise Channel
  • Windows Server 2019 e posterior
  • Edição principal do Windows Server 2019
  • Windows Server 2022
  • Microsoft Defender para Ponto de Extremidade

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

O Defender para Ponto de Extremidade estende o suporte para incluir também o sistema operacional Windows Server. Esse suporte fornece recursos avançados de detecção e investigação de ataque perfeitamente por meio do console Microsoft Defender XDR. O suporte ao Windows Server fornece informações mais profundas sobre as atividades do servidor, a cobertura para detecção de ataque de kernel e memória e permite ações de resposta.

Este artigo descreve como integrar servidores Windows específicos para Microsoft Defender para Ponto de Extremidade.

Para obter diretrizes sobre como baixar e usar linhas de base Segurança do Windows para servidores Windows, consulte Linhas de Base Segurança do Windows.

Visão geral de integração do Windows Server

Você precisará concluir as etapas gerais a seguir para integrar servidores com êxito.

Uma ilustração do fluxo de integração para dispositivos Windows Servers e Windows 10

Observação

Não há suporte para edições do Windows Hyper-V Server.

Integração com Microsoft Defender para servidores:

Microsoft Defender para Ponto de Extremidade se integra perfeitamente ao Microsoft Defender para Servidores. Você pode integrar servidores automaticamente, ter servidores monitorados por Microsoft Defender para Nuvem aparecer no Defender para Ponto de Extremidade e realizar investigações detalhadas como um Microsoft Defender para o cliente de Nuvem. Para obter mais informações, acesse Proteger seus pontos de extremidade com a solução EDR integrada do Defender para Nuvem: Microsoft Defender para Ponto de Extremidade

Observação

Para Windows Server 2012 R2 e 2016, você pode instalar/atualizar manualmente a solução moderna e unificada nesses computadores ou usar a integração para implantar ou atualizar automaticamente servidores cobertos pelos respectivos Microsoft Defender para o plano server. Mais informações sobre como fazer a opção em Proteger seus pontos de extremidade com a solução EDR integrada do Defender para Nuvem: Microsoft Defender para Ponto de Extremidade.

  • Quando você usa Microsoft Defender para Nuvem para monitorar servidores, um locatário do Defender para Ponto de Extremidade é criado automaticamente (nos EUA para usuários dos EUA, na UE para usuários europeus e no Reino Unido para usuários do Reino Unido). Os dados coletados pelo Defender para Ponto de Extremidade são armazenados na localização geográfica do locatário, conforme identificado durante o provisionamento.
  • Se você usar o Defender para Ponto de Extremidade antes de usar Microsoft Defender para Nuvem, seus dados serão armazenados no local especificado quando você criou seu locatário, mesmo que se integre ao Microsoft Defender para Nuvem posteriormente.
  • Depois de configurado, você não pode alterar o local em que os dados são armazenados. Se precisar mover seus dados para outro local, entre em contato com Suporte da Microsoft para redefinir o locatário.
  • O monitoramento do ponto de extremidade do servidor que utiliza essa integração foi desabilitado para Office 365 clientes do GCC.
  • Anteriormente, o uso do MMA (Agente de Monitoramento da Microsoft) em Windows Server 2016 e versões anteriores do Windows Server permitiu que o gateway OMS/Log Analytics fornecesse conectividade aos serviços de nuvem do Defender. A nova solução, como Microsoft Defender para Ponto de Extremidade no Windows Server 2019, Windows Server 2022 e Windows 10, não dá suporte a esse gateway.
  • Os servidores Linux integrados por meio do Microsoft Defender para Nuvem terão sua configuração inicial definida para executar o Defender Antivírus no modo passivo.

Windows Server 2012 R2 e Windows Server 2016:

  • Baixar pacotes de instalação e integração
  • Aplicar o pacote de instalação
  • Siga as etapas de integração da ferramenta correspondente

Windows Server Semi-Annual Enterprise Channel e Windows Server 2019:

  • Baixar o pacote de integração
  • Siga as etapas de integração da ferramenta correspondente

Windows Server 2012 R2 e Windows Server 2016

Nova funcionalidade Windows Server 2012 R2 e 2016 na solução unificada moderna

A implementação anterior (antes de abril de 2022) de integração Windows Server 2012 R2 e Windows Server 2016 exigiu o uso do Microsoft Monitoring Agent (MMA).

O novo pacote de solução unificada facilita a integração de servidores removendo as dependências e as etapas de instalação. Ele também fornece um conjunto de recursos muito expandido. Para obter mais informações, consulte Defender Windows Server 2012 R2 e 2016.

Dependendo do servidor que você está integrando, a solução unificada instala Microsoft Defender Antivírus e/ou o sensor EDR. A tabela a seguir indica qual componente está instalado e o que é integrado por padrão.

Versão do servidor AV EDR
Windows Server 2012 R2 Sim. Sim.
Windows Server 2016 Interno Sim.
Windows Server 2019 ou posterior Interno Interno

Se você já integrou seus servidores usando o MMA, siga as diretrizes fornecidas na migração do servidor para migrar para a nova solução.

Importante

Antes de prosseguir com a integração, consulte a seção Problemas e limitações conhecidos no novo pacote de solução unificada para Windows Server 2012 R2 e 2016.

Pré-requisitos

Pré-requisitos para Windows Server 2012 R2

Se você tiver atualizado totalmente seus computadores com o pacote de roll-up mensal mais recente, não haverá outros pré-requisitos e os requisitos abaixo já serão preenchidos.

O pacote do instalador marcar se os seguintes componentes já tiverem sido instalados por meio de uma atualização para avaliar se os requisitos mínimos foram atendidos para uma instalação bem-sucedida:

Pré-requisitos para Windows Server 2016

É recomendável instalar a SSU e a LCU disponíveis mais recentes no servidor.

Pré-requisitos para execução com soluções de segurança de terceiros

Se você pretende usar uma solução anti-malware de terceiros, precisará executar Microsoft Defender Antivírus no modo passivo. Lembre-se de definir como modo passivo durante o processo de instalação e integração.

Observação

Se você estiver instalando Microsoft Defender para Ponto de Extremidade em Servidores com a ENS (Segurança do Ponto de Extremidade da McAfee) ou o VirusScan Enterprise (VSE), a versão da plataforma McAfee poderá precisar ser atualizada para garantir que Microsoft Defender Antivírus não seja removido ou desabilitado. Para obter mais informações, incluindo os números de versão específicos necessários, consulte, artigo do Centro de Conhecimento da McAfee.

Atualizar pacotes para Microsoft Defender para Ponto de Extremidade em Windows Server 2012 R2 e 2016

Para receber melhorias e correções regulares do produto para o componente do Sensor EDR, certifique-se de que Windows Update KB5005292 seja aplicada ou aprovada. Além disso, para manter os componentes de proteção atualizados, consulte Gerenciar Microsoft Defender atualizações antivírus e aplicar linhas de base.

Se você estiver usando Windows Server Update Services (WSUS) e/ou Microsoft Endpoint Configuration Manager, esta nova "atualização Microsoft Defender para Ponto de Extremidade para Sensor EDR" estará disponível na categoria " Microsoft Defender para Ponto de Extremidade".

Resumo das etapas de integração

ETAPA 1: Baixar pacotes de instalação e integração

Você precisará baixar os pacotes de instalação e integração do portal.

Observação

O pacote de instalação é atualizado mensalmente. Baixe o pacote mais recente antes do uso. Para atualizar após a instalação, você não precisa executar o pacote do instalador novamente. Se você fizer isso, o instalador pedirá que você se desmarque primeiro, pois isso é um requisito para a desinstalação. Consulte Atualizar pacotes para Microsoft Defender para Ponto de Extremidade em Windows Server 2012 R2 e 2016.

Imagem do dashboard de integração

Observação

No Windows Server 2012R2, Microsoft Defender Antivírus será instalado pelo pacote de instalação e estará ativo, a menos que você o defina como modo passivo. No Windows Server 2016, Microsoft Defender Antivírus deve ser instalado como um recurso (consulte Alternar para MDPE) primeiro e totalmente atualizado antes de prosseguir com a instalação.

Se você estiver executando uma solução antimalwarel da Microsoft, adicione exclusões para Microsoft Defender Antivírus (desta lista de processos de Microsoft Defender na guia Processos do Defender) à solução que não é da Microsoft antes da instalação. Também é recomendável adicionar soluções de segurança não Microsoft à lista de exclusão do Defender Antivírus.

O pacote de instalação contém um arquivo MSI que instala o agente Microsoft Defender para Ponto de Extremidade.

O pacote de integração contém o seguinte arquivo:

  • WindowsDefenderATPOnboardingScript.cmd - contém o script de integração

Siga estas etapas para baixar os pacotes:

  1. Em Microsoft Defender XDR, acesse Configurações > Endpoint > Onboarding.

  2. Selecione Windows Server 2012 R2 e 2016.

  3. Selecione Baixar pacote de instalação e salve o arquivo .msi.

  4. Selecione Baixar pacote de integração e salve o arquivo .zip.

  5. Instale o pacote de instalação usando qualquer uma das opções para instalar Microsoft Defender Antivírus. A instalação requer permissões administrativas.

Importante

Um script de integração local é adequado para uma prova de conceito, mas não deve ser usado para implantação de produção. Para uma implantação de produção, recomendamos usar Política de Grupo ou Configuration Manager do Microsoft Endpoint.

ETAPA 2: Aplicar o pacote de instalação e integração

Nesta etapa, você instalará os componentes de prevenção e detecção necessários antes de integrar seu dispositivo ao ambiente de nuvem Microsoft Defender para Ponto de Extremidade, para preparar o computador para integração. Verifique se todos os pré-requisitos foram atendidos .

Observação

Microsoft Defender Antivírus será instalado e estará ativo, a menos que você o defina como modo passivo.

Opções para instalar os pacotes de Microsoft Defender para Ponto de Extremidade

Na seção anterior, você baixou um pacote de instalação. O pacote de instalação contém o instalador para todos os componentes Microsoft Defender para Ponto de Extremidade.

Você pode usar qualquer uma das seguintes opções para instalar o agente:

Instalar Microsoft Defender Para Ponto de Extremidade usando a linha de comando

Use o pacote de instalação da etapa anterior para instalar Microsoft Defender para Ponto de Extremidade.

Execute o seguinte comando para instalar Microsoft Defender para Ponto de Extremidade:

Msiexec /i md4ws.msi /quiet

Para desinstalar, verifique se o computador está offboarded primeiro usando o script de offboard apropriado. Em seguida, use Painel de Controle > Programas e Recursos para executar a desinstalação>.

Como alternativa, execute o seguinte comando de desinstalação para desinstalar Microsoft Defender para Ponto de Extremidade:

Msiexec /x md4ws.msi /quiet

Você deve usar o mesmo pacote usado para instalação para que o comando acima tenha êxito.

O /quiet comutador suprime todas as notificações.

Observação

Microsoft Defender Antivírus não entra automaticamente no modo passivo. Você pode optar por definir Microsoft Defender Antivírus a ser executado no modo passivo se estiver executando uma solução antivírus/antimalware não Microsoft. Para instalações de linha de comando, o opcional FORCEPASSIVEMODE=1 define imediatamente o componente Microsoft Defender Antivírus como modo passivo para evitar interferências. Em seguida, para garantir que o Defender Antivírus permaneça no modo passivo após a integração para dar suporte a recursos como o Bloco EDR, defina a chave de registro "ForceDefenderPassiveMode".

O suporte ao Windows Server fornece informações mais profundas sobre as atividades do servidor, a cobertura para detecção de ataque de kernel e memória e permite ações de resposta.

Instalar Microsoft Defender para Ponto de Extremidade usando um script

Você pode usar o script auxiliar do instalador para ajudar a automatizar a instalação, a desinstalação e a integração.

Observação

O script de instalação está assinado. Qualquer modificação no script invalidará a assinatura. Quando você baixa o script do GitHub, a abordagem recomendada para evitar modificações inadvertidas é baixar os arquivos de origem como um arquivo zip e extraí-lo para obter o arquivo install.ps1 (na página código main, clique no menu suspenso Código e selecione "Baixar ZIP").

Esse script pode ser usado em vários cenários, incluindo os cenários descritos em cenários de migração de servidor da solução de Microsoft Defender para Ponto de Extremidade anterior baseada em MMA e para implantação usando Política de Grupo, conforme descrito abaixo.

Aplicar os pacotes de instalação e integração do Microsoft Defender para Ponto de Extremidade usando a política de grupo ao executar a instalação com um script do instalador

  1. Create uma política de grupo:
    Abra o GPMC (Console de Gerenciamento de Política de Grupo), clique com o botão direito do mouse em Política de Grupo Objetos que você deseja configurar e selecione Novo. Insira o nome do novo GPO na caixa de diálogo exibida e selecione OK.

  2. Abra o GPMC (Console de Gerenciamento Política de Grupo), clique com o botão direito do mouse no GPO (objeto Política de Grupo) que você deseja configurar e selecione Editar.

  3. No Editor gerenciamento de Política de Grupo, acesse Configuração do computador e, em seguida, Preferências e, em seguida, Controlar configurações do painel.

  4. Clique com o botão direito do mouse em Tarefas agendadas, aponte para Novo e clique em Tarefa Imediata (pelo menos Windows 7).

  5. Na janela Tarefa aberta, acesse a guia Geral . Em Opções de segurança , selecione Alterar Usuário ou Grupo e digite SYSTEM e selecione Verificar Nomes e OK. NT AUTHORITY\SYSTEM aparece como a conta de usuário que a tarefa executará como.

  6. Selecione Executar se o usuário está conectado ou não e marcar a caixa Executar com privilégios mais altos marcar.

  7. No campo Nome, digite um nome apropriado para a tarefa agendada (por exemplo, Implantação do Defender para Ponto de Extremidade).

  8. Acesse a guia Ações e selecione Novo... Verifique se Iniciar um programa está selecionado no campo Ação . O script do instalador manipula a instalação e executa imediatamente a etapa de integração após a conclusão da instalação. Selecione C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe forneça os argumentos:

     -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd

    Observação

    A configuração recomendada da política de execução é Allsigned. Isso requer a importação do certificado de assinatura do script para o repositório Editores Confiáveis de Computador Local se o script estiver em execução como SYSTEM no ponto de extremidade.

    Substitua \\servername-or-dfs-space\share-name pelo caminho UNC, usando o FQDN (nome de domínio totalmente qualificado) do servidor de arquivo do arquivo deinstall.ps1 compartilhado. O pacote do instalador md4ws.msi deve ser colocado no mesmo diretório. Verifique se as permissões do caminho UNC permitem o acesso de gravação à conta do computador que está instalando o pacote, para dar suporte à criação de arquivos de log. Se você quiser desabilitar a criação de arquivos de log (não recomendado), poderá usar os parâmetros -noETL -noMSILog.

    Para cenários em que você deseja que Microsoft Defender Antivírus coexista com soluções antimalware não Microsoft, adicione o parâmetro $Passive para definir o modo passivo durante a instalação.

  9. Selecione OK e feche todas as janelas abertas do GPMC.

  10. Para vincular o GPO a uma OU (Unidade de Organização), clique com o botão direito do mouse e selecione Vincular um GPO existente. Na caixa de diálogo exibida, selecione o objeto Política de Grupo que você deseja vincular. Clique em OK.

Para obter mais configurações, consulte Configurar configurações de coleção de exemplo e Outras configurações recomendadas.

ETAPA 3: concluir as etapas de integração

As etapas a seguir só serão aplicáveis se você estiver usando uma solução anti-malware de terceiros. Você precisará aplicar a seguinte configuração de modo passivo Microsoft Defender Antivírus. Verifique se ele foi configurado corretamente:

  1. Defina a seguinte entrada do registro:

    • Caminho: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • Nome: ForceDefenderPassiveMode
    • Tipo: REG_DWORD
    • Valor: 1

    O resultado da verificação do modo passivo

Problemas e limitações conhecidos no novo pacote de solução unificada para Windows Server 2012 R2 e 2016

Importante

Baixe sempre o pacote do instalador mais recente do portal do Microsoft Defender (https://security.microsoft.com) antes de executar uma nova instalação e verifique se os pré-requisitos foram atendidos. Após a instalação, certifique-se de atualizar regularmente usando atualizações de componente descritas na seção Atualizar pacotes para Microsoft Defender para Ponto de Extremidade em Windows Server 2012 R2 e 2016.

  • Uma atualização do sistema operacional pode introduzir um problema de instalação em computadores com discos mais lentos devido a um tempo limite com a instalação do serviço. A instalação falha com a mensagem "Não foi possível localizar c:\arquivos de programa\windows defender\mpasdesc.dll, - 310 WinDefend". Use o pacote de instalação mais recente e o script deinstall.ps1 mais recente para ajudar a limpar a instalação com falha, se necessário.
  • Identificamos um problema com Windows Server 2012 conectividade R2 com a nuvem quando TelemetryProxyServer estático é usado e as URLs de CRL (lista de revogação de certificado) não são acessíveis no contexto da conta SYSTEM. Verifique se o sensor EDR é atualizado para a versão 10.8210.* ou posterior (usando KB5005292) para resolve o problema. Como alternativa, use uma opção de proxy diferente ("em todo o sistema") que forneça essa conectividade ou configure o mesmo proxy por meio da configuração WinInet no contexto da conta SYSTEM.
  • No Windows Server 2012 R2, não há interface do usuário para Microsoft Defender Antivírus. Além disso, a interface do usuário no Windows Server 2016 só permite operações básicas. Para executar operações em um dispositivo localmente, consulte Gerenciar Microsoft Defender para Ponto de Extremidade com PowerShell, WMI e MPCmdRun.exe. Como resultado, recursos que dependem especificamente da interação do usuário, como onde o usuário é solicitado a tomar uma decisão ou executar uma tarefa específica, podem não funcionar conforme o esperado. É recomendável desabilitar ou não habilitar a interface do usuário nem exigir interação do usuário em qualquer servidor gerenciado, pois isso pode afetar a capacidade de proteção.
  • Nem todas as regras de Redução de Superfície de Ataque são aplicáveis a todos os sistemas operacionais. Consulte Regras de redução de superfície de ataque.
  • Não há suporte para atualizações do sistema operacional. Offboard, em seguida, desinstale antes de atualizar. O pacote do instalador só pode ser usado para atualizar instalações que ainda não foram atualizadas com novos pacotes de atualização de sensor antimalware ou EDR.
  • Exclusões automáticas para funções de servidor não têm suporte em Windows Server 2012 R2; no entanto, as exclusões internas para arquivos do sistema operacional são. Para obter mais informações sobre como adicionar exclusões, consulte Configurar exclusões Microsoft Defender Antivírus no Windows Server.
  • Para implantar e integrar automaticamente a nova solução usando o MECM (Microsoft Endpoint Configuration Manager) você precisa estar na versão 2207 ou posterior. Você ainda pode configurar e implantar usando a versão 2107 com a rollup de hotfix, mas isso requer etapas adicionais de implantação. Consulte Cenários de migração do Microsoft Endpoint Configuration Manager para obter mais informações.

Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019 e Windows Server 2022

Baixar pacote

  1. Em Microsoft Defender XDR, acesse Configurações > pontos > de extremidade Gerenciamento de Dispositivos > Integração.

  2. Selecione Windows Server 1803 e 2019.

  3. Selecione Baixar pacote. Salve-o como WindowsDefenderATPOnboardingPackage.zip.

  4. Siga as etapas fornecidas na seção Concluir as etapas de integração .

Verificar a integração e a instalação

Verifique se Microsoft Defender Antivírus e Microsoft Defender para Ponto de Extremidade estão em execução.

Executar um teste de detecção para verificar a integração

Depois de integrar o dispositivo, você pode optar por executar um teste de detecção para verificar se um dispositivo está integrado corretamente ao serviço. Para obter mais informações, consulte Executar um teste de detecção em um dispositivo Microsoft Defender para Ponto de Extremidade recém-integrado.

Observação

Não é necessário executar Microsoft Defender Antivírus, mas é recomendável. Se outro produto de fornecedor antivírus for a solução de proteção de ponto de extremidade principal, você poderá executar o Defender Antivírus no modo Passivo. Você só pode confirmar se o modo passivo está ativado depois de verificar se Microsoft Defender para Ponto de Extremidade sensor (SENSE) está em execução.

  1. Execute o seguinte comando para verificar se Microsoft Defender Antivírus está instalado:

    Observação

    Essa etapa de verificação só será necessária se você estiver usando Microsoft Defender Antivírus como sua solução antimalware ativa.

    sc.exe query Windefend

    Se o resultado for "O serviço especificado não existe como um serviço instalado", você precisará instalar Microsoft Defender Antivírus.

    Para obter informações sobre como usar Política de Grupo para configurar e gerenciar Microsoft Defender Antivírus em seus servidores Windows, consulte Usar Política de Grupo configurações para configurar e gerenciar Microsoft Defender Antivírus.

  2. Execute o seguinte comando para verificar se Microsoft Defender para Ponto de Extremidade está em execução:

    sc.exe query sense

    O resultado deve mostrar que está em execução. Se você encontrar problemas com a integração, consulte Solucionar problemas de integração.

Executar um teste de detecção

Siga as etapas em Executar um teste de detecção em um dispositivo recém-integrado para verificar se o servidor está relatando ao Defender para o serviço de Ponto de Extremidade.

Próximas etapas

Depois de integrar dispositivos com êxito ao serviço, você precisará configurar os componentes individuais do Microsoft Defender para Ponto de Extremidade. Siga Configurar recursos a serem guiados sobre como habilitar os vários componentes.

Desativar servidores Windows

Você pode offboard Windows Server 2012 edição R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019 e Windows Server 2019 Core no mesmo método disponível para Windows 10 dispositivos cliente.

Após o offboard, você pode continuar a desinstalar o pacote de solução unificada em Windows Server 2012 R2 e Windows Server 2016.

Para outras versões do servidor Windows, você tem duas opções para remover servidores Windows do serviço:

  • Desinstalar o agente MMA
  • Remover a configuração do workspace do Defender para Ponto de Extremidade

Observação

Essas instruções de offboarding para outras versões do servidor Windows também se aplicam se você estiver executando o Microsoft Defender para Ponto de Extremidade anterior para Windows Server 2016 e Windows Server 2012 R2 que exige o MMA. As instruções para migrar para a nova solução unificada estão em cenários de migração do servidor em Microsoft Defender para Ponto de Extremidade.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.