Versões anteriores integradas do Windows

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Plataformas

• Windows 7 SP1 Enterprise
• Windows 7 SP1 Pro
• Windows 8.1 Pro
• Windows 8.1 Enterprise
• Windows Server 2008 R2 SP1

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

O Defender para Ponto de Extremidade estende o suporte para incluir sistemas operacionais de nível inferior, fornecendo recursos avançados de detecção e investigação de ataque em versões com suporte do Windows.

Para integrar pontos de extremidade de cliente do Windows de nível inferior ao Defender para Ponto de Extremidade, você precisará:

• Configurar e atualizar clientes System Center Endpoint Protection
• Instalar e configurar o MMA (Microsoft Monitoring Agent) para relatar dados do sensor

Para o Windows Server 2008 R2 SP1, você tem a opção de integrar por meio do Microsoft Defender para Nuvem.

Observação

A licença de servidor autônomo do Defender para Ponto de Extremidade é necessária, por nó, para integrar um servidor Windows por meio do Microsoft Monitoring Agent (opção 1). Como alternativa, uma licença de Microsoft Defender para servidores é necessária, por nó, para integrar um servidor Windows por meio do Microsoft Defender for Cloud (Opção 2), consulte Recursos com suporte disponíveis no Microsoft Defender para Nuvem.

Dica

Depois de integrar o dispositivo, você pode optar por executar um teste de detecção para verificar se ele está integrado corretamente ao serviço. Para obter mais informações, consulte Executar um teste de detecção em um ponto de extremidade recém-integrado do Defender para Ponto de Extremidade.

Configurar e atualizar clientes System Center Endpoint Protection

O Defender para Ponto de Extremidade integra-se ao System Center Endpoint Protection para fornecer visibilidade às detecções de malware e parar a propagação de um ataque em sua organização, proibindo arquivos potencialmente mal-intencionados ou malware suspeito.

As seguintes etapas são necessárias para habilitar essa integração:

• Instalar a atualização da plataforma anti malware de janeiro de 2017 para clientes do Endpoint Protection
• Configurar a associação do Serviço de Proteção na Nuvem do cliente SCEP para a configuração Avançada
• Configure sua rede para permitir conexões com a nuvem antivírus Microsoft Defender. Para obter mais informações, consulte Configurar e validar Microsoft Defender conexões de rede Antivírus

Instalar e configurar o MMA (Microsoft Monitoring Agent)

Antes de começar

Examine os seguintes detalhes para verificar os requisitos mínimos do sistema:

• Instalar o rollup de atualização mensal de fevereiro de 2018 – O link de download direto do catálogo Windows Update está disponível aqui

• Instalar a atualização de pilha de manutenção de 12 de março de 2019 (ou posterior) – o link de download direto do catálogo Windows Update está disponível aqui

• Instalar a atualização de suporte à assinatura de código SHA-2 – o link de download direto do catálogo de Windows Update está disponível aqui

  Observação

  Aplicável somente para Windows Server 2008 R2, Windows 7 SP1 Enterprise e Windows 7 SP1 Pro.

• Instalar a telemetria atualizar para experiência e diagnóstico do cliente

• Instalar o Microsoft .Net Framework 4.5.2 ou posterior

  Observação

  A instalação do .NET 4.5 pode exigir que você reinicie seu computador após a instalação.

• Atenda aos requisitos mínimos do sistema do agente do Log Analytics do Azure. Para obter mais informações, confira Coletar dados de computadores em seu ambiente com o Log Analytics

Etapas de instalação

1. Baixe o arquivo de instalação do agente: agente do Windows de 64 bits ou agente do Windows 32 bits.

   Observação

   Devido à preterição do suporte do SHA-1 pelo agente de MMA, o agente de MMA precisa ser a versão 10.20.18029 ou mais recente.

2. Obtenha a ID do workspace:

   • No painel de navegação do Defender para Ponto de Extremidade, selecione Configurações > Gerenciamento > de dispositivo Integração
   • Selecione o sistema operacional
   • Copiar a ID do workspace e a chave do workspace

3. Usando a ID do Workspace e a chave do Workspace, escolha qualquer um dos seguintes métodos de instalação para instalar o agente:

   • Instale manualmente o agente usando a configuração.

     Na página Opções de Instalação do Agente , selecione Conectar o agente ao OMS (Azure Log Analytics)

   • Instale o agente usando a linha de comando.

   • Configure o agente usando um script.

   Observação

   Se você for um cliente do Governo dos EUA, em "Azure Cloud" você precisará escolher "Azure US Government" se estiver usando o assistente de instalação ou se estiver usando uma linha de comando ou um script - defina o parâmetro "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" como 1.

4. Se você estiver usando um proxy para se conectar à Internet, consulte a seção Configurar configurações de proxy e conectividade com a Internet.

Depois de concluído, você deverá ver pontos de extremidade integrados no portal dentro de uma hora.

Definir as configurações de proxy e conectividade com a Internet

Se seus servidores precisarem usar um proxy para se comunicar com o Defender para Ponto de Extremidade, use um dos seguintes métodos para configurar o MMA para usar o servidor proxy:

• Configurar o MMA para usar um servidor proxy

• Configurar o Windows para usar um servidor proxy para todas as conexões

Se um proxy ou firewall estiver em uso, verifique se os servidores podem acessar todas as URLs de serviço Microsoft Defender para Ponto de Extremidade diretamente e sem interceptação SSL. Para obter mais informações, confira habilitar o acesso a URLs de serviço Microsoft Defender para Ponto de Extremidade. O uso da interceptação SSL impedirá que o sistema se comunique com o serviço Defender para Ponto de Extremidade.

Depois de concluído, você deverá ver servidores Windows integrados no portal dentro de uma hora.

Integrar servidores Windows por meio de Microsoft Defender para Nuvem

1. No painel de navegação Microsoft Defender XDR, selecione Configurações>Endpoints>Gerenciamento> de dispositivoIntegração.

2. Selecione Windows Server 2008 R2 SP1 como o sistema operacional.

3. Clique em Integrar Servidores no Microsoft Defender for Cloud.

4. Siga as instruções de integração no Microsoft Defender para Ponto de Extremidade com Microsoft Defender para Nuvem e Se você estiver usando o Azure ARC, siga as instruções de integração em Habilitar o Microsoft Defender para Ponto de Extremidade integração.

Depois de concluir as etapas de integração, você precisará configurar e atualizar System Center Endpoint Protection clientes.

Observação

• Para integração por meio de Microsoft Defender para que os servidores funcionem conforme o esperado, o servidor deve ter um workspace e uma chave apropriados configurados nas configurações do MMA (Agente de Monitoramento da Microsoft).
• Depois de configurado, o pacote de gerenciamento de nuvem apropriado é implantado no computador e o processo de sensor (MsSenseS.exe) será implantado e iniciado.
• Isso também será necessário se o servidor estiver configurado para usar um servidor do Gateway do OMS como proxy.

Verificar integração

Verifique se Microsoft Defender Antivírus e Microsoft Defender para Ponto de Extremidade estão em execução.

Observação

Não é necessário executar Microsoft Defender Antivírus, mas é recomendável. Se outro produto de fornecedor antivírus for a solução de proteção de ponto de extremidade principal, você poderá executar o Defender Antivírus no modo Passivo. Você só pode confirmar se o modo passivo está ativado depois de verificar se Microsoft Defender para Ponto de Extremidade sensor (SENSE) está em execução.

Observação

Como Microsoft Defender Antivírus só tem suporte para Windows 10 e Windows 11, a etapa 1 não se aplica ao executar o Windows Server 2008 R2 SP1.

1. Execute o seguinte comando para verificar se Microsoft Defender Antivírus está instalado:

   sc.exe query Windefend
   

   Se o resultado for "O serviço especificado não existe como um serviço instalado", você precisará instalar Microsoft Defender Antivírus. Para obter mais informações, consulte Microsoft Defender Antivírus no Windows 10.

   Para obter informações sobre como usar Política de Grupo para configurar e gerenciar Microsoft Defender Antivírus em seus servidores Windows, consulte Usar Política de Grupo configurações para configurar e gerenciar Microsoft Defender Antivírus.

Se você encontrar problemas com a integração, consulte Solucionar problemas de integração.

Executar um teste de detecção

Siga as etapas em Executar um teste de detecção em um dispositivo recém-integrado para verificar se o servidor está relatando ao Defender para o serviço de Ponto de Extremidade.

Integrando pontos de extremidade sem solução de gerenciamento

Uso da Política de Grupo

Etapa 1: baixe a atualização correspondente para o ponto de extremidade.

1. Navegue até c:\windows\sysvol\domain\scripts (o controle de alteração pode ser necessário em um dos controladores de domínio.)

2. Create uma pasta chamada MMA.

3. Baixe o seguinte e coloque-os na pasta MMA:

   • Atualizar para a experiência do cliente e a telemetria de diagnóstico:
     • Para Windows Server 2008 R2 x64

   Para o Windows Server 2008 R2 SP1, as seguintes atualizações também são necessárias:

   Roll up mensal de fevereiro de 2018 – KB4074598 (Windows Server 2008 R2)

   Catálogo do Microsoft Update
   Baixar atualizações para Windows Server 2008 R2 x64

   .NET Framework 3.5.1 (KB315418)
   Para Windows Server 2008 R2 x64

   Observação

   Este artigo pressupõe que você esteja usando servidores baseados em x64 (agente do MMA .exe nova versão compatível com SHA-2 x64).

Etapa 2: Create um nome de arquivo DeployMMA.cmd (usando bloco de notas) Adicione as seguintes linhas ao arquivo cmd. Observe que você precisará da ID do WORKSPACE e da CHAVE.

O comando a seguir é um exemplo. Substitua os seguintes valores:

• KB - Use o KB aplicável relevante para o ponto de extremidade que você está integrando
• ID do workspace e KEY - Use sua ID e chave

@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

Configuração Política de Grupo

Create uma nova política de grupo especificamente para integrar dispositivos como "Microsoft Defender para Ponto de Extremidade Integração".

• Create uma pasta de Política de Grupo chamada "c:\windows\MMA"

  

  Isso adicionará uma nova pasta em cada servidor que obtém o GPO aplicado, chamado MMA, e será armazenado em c:\windows. Isso conterá os arquivos de instalação do MMA, os pré-requisitos e o script de instalação.

• Create uma preferência de Arquivos Política de Grupo para cada um dos arquivos armazenados no logon net.

  

Ele copia os arquivos de DOMAIN\NETLOGON\MMA\filename para C:\windows\MMA\filename – portanto, os arquivos de instalação são locais para o servidor:

Repita o processo, mas crie o destino de nível de item na guia COMMON, para que o arquivo seja copiado apenas para a versão apropriada da plataforma/sistema operacional no escopo:

Para o Windows Server 2008 R2, você precisará (e ele só copiará para baixo) o seguinte:

• Windows6.1-KB3080149-x64.msu
• Windows6.1-KB3154518-x64.msu
• Windows6.1-KB4075598-x64.msu

Depois que isso for feito, você precisará criar uma política de script inicial:

O nome do arquivo a ser executado aqui é c:\windows\MMA\DeployMMA.cmd. Depois que o servidor for reiniciado como parte do processo de inicialização, ele instalará a Atualização para a experiência do cliente e a telemetria de diagnóstico KB e instalará o Agente MMA, ao mesmo tempo em que definirá a ID do Workspace e a Chave e o servidor será integrado.

Você também pode usar uma tarefa imediata para executar o deployMMA.cmd se não quiser reiniciar todos os servidores.

Isso pode ser feito em duas fases. Primeiro crie os arquivos e a pasta no GPO – dê tempo ao sistema para garantir que o GPO tenha sido aplicado e todos os servidores tenham os arquivos de instalação. Em seguida, adicione a tarefa imediata. Isso alcançará o mesmo resultado sem exigir uma reinicialização.

Como o Script tem um método de saída e não será executado novamente se o MMA estiver instalado, você também poderá usar uma tarefa agendada diária para obter o mesmo resultado. Semelhante a uma política de conformidade Configuration Manager, ela marcar diariamente para garantir que o MMA esteja presente.

Conforme mencionado na documentação de integração do Server especificamente em torno do Server 2008 R2, confira abaixo: Para Windows Server 2008 R2 SP1, verifique se você atende aos seguintes requisitos:

• Instalar a rollup de atualização mensal de fevereiro de 2018
• Instale o .NET framework 4.5 (ou posterior) ou KB3154518

Marcar os KBs estiverem presentes antes de integrar o Windows Server 2008 R2. Esse processo permite integrar todos os servidores se você não tiver Configuration Manager gerenciamento de servidores.

Pontos de extremidade offboard

Você tem duas opções para remover pontos de extremidade do Windows do serviço:

• Desinstalar o agente MMA
• Remover a configuração do workspace do Defender para Ponto de Extremidade

Observação

O offboarding faz com que o ponto de extremidade do Windows pare de enviar dados do sensor para o portal, mas os dados do ponto de extremidade, incluindo referência a todos os alertas que ele teve serão mantidos por até 6 meses.

Desinstalar o agente MMA

Para desinstalar o ponto de extremidade do Windows, você pode desinstalar o agente MMA ou desanexá-lo do relatório para o workspace do Defender para Ponto de Extremidade. Depois de desativar o agente, o ponto de extremidade não enviará mais dados do sensor para o Defender para Ponto de Extremidade. Para obter mais informações, consulte Para desabilitar um agente.

Remover a configuração do workspace do Defender para Ponto de Extremidade

Você pode usar um dos seguintes métodos:

• Remover a configuração do workspace do Defender para Ponto de Extremidade do agente MMA
• Executar um comando do PowerShell para remover a configuração

Remover a configuração do workspace do Defender para Ponto de Extremidade do agente MMA

1. Na guia Propriedades do Agente de Monitoramento da Microsoft, selecione a guia OMS (Azure Log Analytics ).

2. Selecione o workspace Defender para Ponto de Extremidade e clique em Remover.

   

Executar um comando do PowerShell para remover a configuração

1. Obtenha sua ID do Workspace:

   1. No painel de navegação, selecione Configurações>Integração.
   2. Selecione o sistema operacional relevante e obtenha sua ID do Workspace.

2. Abra um PowerShell elevado e execute o comando a seguir. Use a ID do Workspace obtida e substituindo WorkspaceID:

   $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
   
   # Remove OMS Workspace
   $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
   
   # Reload the configuration and apply changes
   $AgentCfg.ReloadConfiguration()
   

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.