Adote Windows dispositivos com Configuration Manager

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• API do Microsoft Defender para Endpoint 2
• Microsoft 365 Defender
• Microsoft Endpoint Configuration Manager ramo atual
• System Center 2012 R2 Configuration Manager

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Pode utilizar o Configuration Manager para os pontos finais de adoção para o serviço Microsoft Defender para Endpoint serviços.

Existem várias opções que pode utilizar para os dispositivos ativos utilizando Configuration Manager:

• Dispositivos móveis com System Center Configuration Manager
• Anexar inquilino

Para Windows Server 2012 R2 e Windows Server 2016 - após concluir os passos de ativação, terá de Configurar e atualizar os System Center Endpoint Protection clientes.

Nota

O Defender para Pontos Finais não suporta a adoção durante a fase de Experiência Fora da Caixa (OOBE ). Certifique-se de que os utilizadores concluem o OOBE após Windows instalação ou atualização.

Tenha em atenção que é possível criar uma regra de deteção numa aplicação Configuration Manager para verificar continuamente se foi ligado um dispositivo. Uma aplicação é um tipo de objeto diferente de um pacote e programa. Se um dispositivo ainda não estiver ativo (devido a uma conclusão OOBE pendente ou por qualquer outro motivo), o Configuration Manager irá tentar alocar o dispositivo de novo até que a regra detete a alteração de estado.

Este comportamento pode ser realizado através da criação de uma verificação de regra de deteção se o valor de registo "OnboardingState" (do tipo REG_DWORD) = 1. Este valor de registo encontra-se em "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". Para obter mais informações, consulte Configurar Métodos de Deteção no System Center 2012 R2 Configuration Manager.

Configurar definições de coleção de exemplo

Para cada dispositivo, pode definir um valor de configuração para determinar se os exemplos podem ser recolhidos do dispositivo quando um pedido é feito através do Microsoft 365 Defender para submeter um ficheiro para análise aprofundada.

Nota

Normalmente, estas definições de configuração são feitas através Configuration Manager.

Pode definir uma regra de conformidade para o item de configuração no Configuration Manager alterar a definição de partilha de exemplo num dispositivo.

Esta regra deve ser um item de configuração da regra de conformidade de remediação que define o valor de uma chave de registo nos dispositivos alvo para se certificar de que se tratam de uma reclamação.

A configuração é definida através da seguinte entrada de chave de registo:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Em que Tipo de chave é um D-WORD. Os valores possíveis são:

• 0: Não permite a partilha de exemplo a partir deste dispositivo
• 1: permite a partilha de todos os tipos de ficheiros a partir deste dispositivo

O valor predefinido para o caso de a chave de registo não existir for 1.

Para obter mais informações sobre System Center Configuration Manager Conformidade, consulte Introdução às definições de conformidade no System Center 2012 R2 Configuration Manager.

Outras definições de configuração recomendadas

Após a integração de dispositivos no serviço, é importante que tire partido das funcionalidades de proteção contra ameaças incluídas ao atuá-los com as seguintes definições de configuração recomendadas.

Configuração da coleção de dispositivos

Se estiver a utilizar o Endpoint Configuration Manager, versão 2002 ou posterior, pode optar por alargar a implementação para incluir servidores ou clientes de nível inferior.

Configuração de proteção de nova geração

Recomendamos as seguintes definições de configuração:

Digitalizar

• Analisar dispositivos de armazenamento amovíveis, como pens USB: Sim

Proteção em Tempo Real

• Ativar a Monitorização Comportamento: Sim
• Ativar proteção contra Aplicações Potencialmente Indesejadas ao transferir e antes da instalação: Sim

Serviço de Proteção da Nuvem

• Tipo de associação do Serviço Cloud Protection: Associação avançada

Redução da superfície de ataque

Configure todas as regras disponíveis para Auditoria.

Nota

Bloquear estas atividades pode interromper processos de negócio legítimos. A melhor abordagem é definir tudo para auditoria, identificar quais são os seguros ativar e, em seguida, ativar essas definições em pontos finais que não têm deteções falsas positivas.

Proteção da rede

Antes de ativar a proteção da rede no modo de auditoria ou bloqueio, certifique-se de que instalou a atualização da plataforma antimalware, que pode ser obtida a partir da página de suporte.

Acesso controlado a pastas

Ative a funcionalidade no modo de auditoria durante, pelo menos, 30 dias. Após este período, reveja deteções e crie uma lista de aplicações que podem escrever em diretórios protegidos.

Para obter mais informações, consulte Avaliar o acesso controlado a pastas.

Executar um teste de deteção para verificar a adição

Depois de acionar o dispositivo, pode optar por executar um teste de deteção para verificar se um dispositivo está corretamente ligado ao serviço. Para obter mais informações, consulte Executar um teste de deteção num dispositivo com Microsoft Defender para Endpoint inserida.

Dispositivos offboard com Configuration Manager

Por motivos de segurança, o pacote utilizado para dispositivos Offboard irá expirar 30 dias após a data de transferência. Os pacotes de offboarding expirados enviados para um dispositivo serão rejeitados. Ao transferir um pacote offboarding, será notificado da data de expiração dos pacotes e este também será incluído no nome do pacote.

Nota

As políticas de imigração e de offboarding não podem ser implementadas no mesmo dispositivo ao mesmo tempo, caso contrário isto irá causar colisões imprevisíveis.

Dispositivos offboard com Microsoft Endpoint Manager ramo atual

Se utilizar o Microsoft Endpoint Manager atual, consulte Criar um ficheiro de configuração offboarding.

Dispositivos offboard com System Center 2012 R2 Configuration Manager

1. Obter o pacote de offboarding a partir Microsoft 365 Defender portal:

   1. No painel de navegação, selecione Área Definições Pontos > Finais Gestão de dispositivos >>Offboarding.
   2. Selecione Windows 10 ou Windows 11 como sistema operativo.
   3. No campo Método de implementação, selecione System Center Configuration Manager 2012/2012 R2/1511/1602.
   4. Selecione Descarregar pacote e guarde o .zip ficheiro.

2. Extraia os conteúdos do ficheiro .zip para uma localização partilhada e só de leitura que pode ser acedida pelos administradores de rede que vão implementar o pacote. Deverá ter um ficheiro chamado WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

3. Implemente o pacote ao seguir os passos no artigo Pacotes e Programas System Center 2012 R2 Configuration Manager artigo.

   Selecionar uma coleção de dispositivos predefinida para implementar o pacote.

Importante

O offboarding faz com que o dispositivo deixe de enviar dados do sensor para o portal, mas os dados do dispositivo, incluindo a referência a alertas que tenha tido, serão mantidos durante até 6 meses.

Monitorizar a configuração do dispositivo

Se estiver a utilizar o Microsoft Endpoint Manager atual, utilize o dashboard do Defender incorporado para Ponto final na consola Configuration Manager Endpoint. Para obter mais informações, consulte Defender para Ponto Final - Monitor.

Se estiver a utilizar o System Center 2012 R2 Configuration Manager, a monitorização consiste em duas partes:

1. A confirmar se o pacote de configuração foi corretamente implementado e que está a ser executado (ou executado com êxito) nos dispositivos da sua rede.

2. Verificar se os dispositivos estão em compatibilidade com o serviço Defender para Pontos Finais (isto garante que o dispositivo pode concluir o processo de adoção e que pode continuar a comunicar dados ao serviço).

Confirme se o pacote de configuração foi implementado corretamente

1. Na consola Configuration Manager, clique em Monitorização na parte inferior do painel de navegação.

2. Selecione Visão Geral e , em seguida, Implementar.

3. Selecione na implementação com o nome do pacote.

4. Reveja os indicadores de estado em Estatística de Conclusão e Estado do Conteúdo.

   Se tiver falhado em implementar implementções (dispositivos com os estados Erro, Requisitos Não Cumpridos ou Falhados ), poderá ter de fazer a remoção dos problemas dos dispositivos. Para obter mais informações, consulte Remova problemas de Microsoft Defender para Endpoint de ida e utilização.

   

Verificar se os dispositivos estão em linha com o serviço Microsoft Defender para Endpoint dispositivos

Pode definir uma regra de conformidade para item de configuração no System Center 2012 R2 Configuration Manager monitorizar a sua implementação.

Esta regra deve ser um item de configuração da regra de conformidade não remediativa que monitoriza o valor de uma chave de registo em dispositivos directórios.

Monitorize a seguinte entrada de chave de registo:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Para obter mais informações, consulte Introdução às definições de conformidade no System Center 2012 R2 Configuration Manager.

Tópicos relacionados

• Integração de dispositivos Windows através da Política de Grupo
• Integração de dispositivos Windows através de ferramentas de Gestão de Dispositivos Móveis
• Integração de dispositivos Windows através de um script local
• Integração de dispositivos não persistentes de infraestrutura de ambiente de trabalho virtual (VDI)
• Executar um teste de deteção num dispositivo de Microsoft Defender para Endpoint ida e ressalta
• Remoção de Microsoft Defender para Endpoint problemas de adoção