Integração de versões anteriores do Windows

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR

Plataformas

• Windows 7 SP1 Enterprise
• Windows 7 SP1 Pro
• Windows 8.1 Pro
• Windows 8.1 Enterprise
• Windows Server 2008 R2 SP1

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

O Defender para Endpoint expande o suporte para incluir sistemas operativos de nível inferior, fornecendo capacidades avançadas de investigação e deteção de ataques em versões suportadas do Windows.

Para integrar pontos finais de cliente Windows de nível inferior no Defender para Endpoint, terá de:

• Configurar e atualizar clientes System Center Endpoint Protection
• Instalar e configurar o Microsoft Monitoring Agent (MMA) para comunicar dados do sensor

Para o Windows Server 2008 R2 SP1, tem a opção de integrar através do Microsoft Defender para a Cloud.

Nota

A licença de servidor autónomo do Defender para Endpoint é necessária, por nó, para integrar um servidor Windows através do Microsoft Monitoring Agent (Opção 1). Em alternativa, é necessária uma licença de Microsoft Defender para servidores, por nó, para integrar um servidor Windows através do Microsoft Defender para a Cloud (Opção 2), veja Funcionalidades suportadas disponíveis no Microsoft Defender para a Cloud.

Sugestão

Depois de integrar o dispositivo, pode optar por executar um teste de deteção para verificar se está corretamente integrado no serviço. Para obter mais informações, veja Executar um teste de deteção num ponto final do Defender para Ponto Final recentemente integrado.

Configurar e atualizar clientes System Center Endpoint Protection

O Defender para Endpoint integra-se com System Center Endpoint Protection para fornecer visibilidade às deteções de software maligno e parar a propagação de um ataque na sua organização ao proibir ficheiros potencialmente maliciosos ou software maligno suspeito.

São necessários os seguintes passos para ativar esta integração:

• Instalar a atualização da plataforma antimalware de janeiro de 2017 para clientes do Endpoint Protection
• Configurar a associação do Serviço de Proteção da Cloud do cliente SCEP à definição Avançadas
• Configure a sua rede para permitir ligações à cloud antivírus Microsoft Defender. Para obter mais informações, veja Configurar e validar Microsoft Defender ligações de rede antivírus

Instalar e configurar o Microsoft Monitoring Agent (MMA)

Before you begin

Veja os seguintes detalhes para verificar os requisitos mínimos de sistema:

• Instale o update rollup mensal de fevereiro de 2018 - A ligação transferência direta a partir do catálogo de Windows Update está disponível aqui

• Instale a atualização da pilha de manutenção de 12 de março de 2019 (ou posterior) – a ligação Transferência direta a partir do catálogo Windows Update está disponível aqui

• Instalar a atualização de suporte de assinatura de código SHA-2 – A ligação transferência direta do catálogo de Windows Update está disponível aqui

  Nota

  Apenas aplicável para Windows Server 2008 R2, Windows 7 SP1 Enterprise e Windows 7 SP1 Pro.

• Instalar a Atualização para a experiência do cliente e a telemetria de diagnóstico

• Instalar o Microsoft .Net Framework 4.5.2 ou posterior

  Nota

  A instalação do .NET 4.5 poderá exigir que reinicie o computador após a instalação.

• Cumprir os requisitos mínimos de sistema do agente do Azure Log Analytics. Para obter mais informações, veja Recolher dados de computadores no seu ambiente com o Log Analytics

Passos de instalação

1. Transfira o ficheiro de configuração do agente: agente de 64 bits do Windows ou agente de 32 bits do Windows.

   Nota

   Devido à descontinuação do suporte SHA-1 pelo agente MMA, o agente MMA tem de ser a versão 10.20.18029 ou mais recente.

2. Obtenha o ID da área de trabalho:

   • No painel de navegação do Defender para Ponto Final, selecione Definições Gestão > de dispositivos > Integração
   • Selecionar o sistema operativo
   • Copiar o ID da área de trabalho e a chave da área de trabalho

3. Com o ID da Área de Trabalho e a Chave de Área de Trabalho, escolha qualquer um dos seguintes métodos de instalação para instalar o agente:

   • Instale manualmente o agente com a configuração.

     Na página Opções de Configuração do Agente , selecione Ligar o agente ao Azure Log Analytics (OMS)

   • Instale o agente com a linha de comandos.

   • Configure o agente com um script.

   Nota

   Se for um cliente do Us Government, em "Azure Cloud", terá de escolher "Azure US Government" se utilizar o assistente de configuração ou se estiver a utilizar uma linha de comandos ou um script , defina o parâmetro "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" como 1.

4. Se estiver a utilizar um proxy para ligar à Internet, veja a secção Configurar definições de proxy e conectividade à Internet.

Depois de concluído, deverá ver os pontos finais integrados no portal dentro de uma hora.

Configurar definições de proxy e de conectividade à Internet

Se os servidores precisarem de utilizar um proxy para comunicar com o Defender para Endpoint, utilize um dos seguintes métodos para configurar o MMA para utilizar o servidor proxy:

• Configurar o MMA para utilizar um servidor proxy

• Configurar o Windows para utilizar um servidor proxy para todas as ligações

Se um proxy ou firewall estiver a ser utilizado, certifique-se de que os servidores podem aceder a todos os URLs do serviço Microsoft Defender para Endpoint diretamente e sem intercepção SSL. Para obter mais informações, veja Ativar o acesso aos URLs do serviço Microsoft Defender para Endpoint. A utilização da intercepção SSL impedirá que o sistema comunique com o serviço Defender para Endpoint.

Depois de concluído, deverá ver os servidores Windows integrados no portal dentro de uma hora.

Integrar servidores Windows através do Microsoft Defender para a Cloud

1. No painel de navegação Microsoft Defender XDR, selecione Definições Pontos Finais>Gestão> dedispositivos>Integração.

2. Selecione Windows Server 2008 R2 SP1 como o sistema operativo.

3. Clique em Integrar Servidores no Microsoft Defender para a Cloud.

4. Siga as instruções de integração no Microsoft Defender para Endpoint com Microsoft Defender para a Cloud e, se estiver a utilizar o Azure ARC, siga as instruções de inclusão em Ativar a integração do Microsoft Defender para Endpoint.

Depois de concluir os passos de integração, terá de Configurar e atualizar System Center Endpoint Protection clientes.

Nota

• Para a integração através de Microsoft Defender para que os servidores funcionem conforme esperado, o servidor tem de ter uma área de trabalho e uma chave adequadas configuradas nas definições do Microsoft Monitoring Agent (MMA).
• Depois de configurado, o pacote de gestão da cloud adequado é implementado no computador e o processo do sensor (MsSenseS.exe) será implementado e iniciado.
• Isto também é necessário se o servidor estiver configurado para utilizar um servidor de Gateway do OMS como proxy.

Verificar a integração

Verifique se Microsoft Defender Antivírus e Microsoft Defender para Endpoint estão em execução.

Nota

Não é necessário executar Microsoft Defender Antivírus, mas é recomendado. Se outro produto de fornecedor de antivírus for a solução principal de proteção de pontos finais, pode executar o Antivírus do Defender no modo Passivo. Só pode confirmar que o modo passivo está ativado depois de verificar se Microsoft Defender para Endpoint sensor (SENSE) está em execução.

Nota

Uma vez que o Antivírus Microsoft Defender só é suportado para Windows 10 e Windows 11, o passo 1 não se aplica ao executar o Windows Server 2008 R2 SP1.

1. Execute o seguinte comando para verificar se Microsoft Defender Antivírus está instalado:

   sc.exe query Windefend
   

   Se o resultado for "O serviço especificado não existe como um serviço instalado", terá de instalar Microsoft Defender Antivírus. Para obter mais informações, veja Antivírus Microsoft Defender no Windows 10.

   Para obter informações sobre como utilizar Política de Grupo para configurar e gerir Microsoft Defender Antivírus nos seus servidores Windows, consulte Utilizar definições de Política de Grupo para configurar e gerir Microsoft Defender Antivírus.

Se tiver problemas com a integração, veja Resolução de problemas de integração.

Executar um teste de deteção

Siga os passos em Executar um teste de deteção num dispositivo recentemente integrado para verificar se o servidor está a reportar ao Defender para o serviço Endpoint.

Integrar pontos finais sem solução de gestão

Utilizar Política de Grupo

Passo 1: transfira a atualização correspondente para o ponto final.

1. Navegue para c:\windows\sysvol\domain\scripts (Pode ser necessário alterar o controlo num dos controladores de domínio.)

2. Create uma pasta chamada MMA.

3. Transfira o seguinte e coloque-os na pasta MMA:

   • Atualização para a experiência do cliente e telemetria de diagnóstico:
     • Para o Windows Server 2008 R2 x64

   Para o Windows Server 2008 R2 SP1, também são necessárias as seguintes atualizações:

   Roll up Mensal de fevereiro de 2018 - KB4074598 (Windows Server 2008 R2)

   Catálogo Microsoft Update
   Transferir atualizações para o Windows Server 2008 R2 x64

   .NET Framework 3.5.1 (KB315418)
   Para o Windows Server 2008 R2 x64

   Nota

   Este artigo pressupõe que está a utilizar servidores baseados em x64 (Agente MMA .exe nova versão compatível com SHA-2 x64).

Passo 2: Create um nome de ficheiro DeployMMA.cmd (utilizando o bloco de notas) Adicione as seguintes linhas ao ficheiro cmd. Tenha em atenção que irá precisar do ID e da CHAVE da ÁREA DE TRABALHO.

O seguinte comando é um exemplo. Substitua os seguintes valores:

• KB – Utilize a BDC aplicável relevante para o ponto final que está a integrar
• ID e CHAVE da Área de Trabalho – Utilizar o ID e a chave

@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

Configuração do Política de Grupo

Create uma nova política de grupo especificamente para integração de dispositivos, como "Microsoft Defender para Endpoint Inclusão".

• Create uma Pasta de Política de Grupo com o nome "c:\windows\MMA"

  

  Esta ação irá adicionar uma nova pasta em cada servidor que obtém o GPO aplicado, denominada MMA, e será armazenada em c:\windows. Isto irá conter os ficheiros de instalação do MMA, pré-requisitos e script de instalação.

• Create uma preferência Política de Grupo Ficheiros para cada um dos ficheiros armazenados no início de sessão net.

  

Copia os ficheiros de DOMAIN\NETLOGON\MMA\filename para C:\windows\MMA\filename - para que os ficheiros de instalação sejam locais para o servidor:

Repita o processo, mas crie a segmentação ao nível do item no separador COMMON, para que o ficheiro só seja copiado para a versão adequada do sistema operativo/plataforma no âmbito:

Para o Windows Server 2008 R2, irá precisar (e só será copiado para baixo) do seguinte modo:

• Windows6.1-KB3080149-x64.msu
• Windows6.1-KB3154518-x64.msu
• Windows6.1-KB4075598-x64.msu

Assim que isto estiver concluído, terá de criar uma política de script de arranque:

O nome do ficheiro a executar aqui é c:\windows\MMA\DeployMMA.cmd. Assim que o servidor for reiniciado como parte do processo de arranque, instalará a Atualização para a experiência do cliente e a KB de telemetria de diagnóstico e, em seguida, instalará o Agente MMA, enquanto define o ID e a Chave da Área de Trabalho e o servidor será integrado.

Também pode utilizar uma tarefa imediata para executar o deployMMA.cmd se não quiser reiniciar todos os servidores.

Isto pode ser feito em duas fases. Primeiro, crie os ficheiros e a pasta no GPO – dê tempo ao sistema para garantir que o GPO foi aplicado e que todos os servidores têm os ficheiros de instalação. Em seguida, adicione a tarefa imediata. Isto alcançará o mesmo resultado sem que seja necessário reiniciar.

Uma vez que o Script tem um método de saída e não será novamente executado se o MMA estiver instalado, também pode utilizar uma tarefa agendada diária para obter o mesmo resultado. Semelhante a uma política de conformidade Configuration Manager, irá verificar diariamente para garantir que o MMA está presente.

Conforme mencionado na documentação de integração do Server especificamente em torno do Server 2008 R2, veja abaixo: Para o Windows Server 2008 R2 SP1, certifique-se de que cumpre os seguintes requisitos:

• Instalar o update rollup mensal de fevereiro de 2018
• Instale o .NET Framework 4.5 (ou posterior) ou KB3154518

Verifique se os KBs estão presentes antes de integrar o Windows Server 2008 R2. Este processo permite-lhe integrar todos os servidores se não tiver Configuration Manager gerir Servidores.

Pontos finais offboard

Tem duas opções para eliminar pontos finais do Windows do serviço:

• Desinstalar o agente MMA
• Remover a configuração da área de trabalho do Defender para Endpoint

Nota

A exclusão faz com que o ponto final do Windows deixe de enviar dados do sensor para o portal, mas os dados do ponto final, incluindo a referência a quaisquer alertas que tenha tido, serão retidos até 6 meses.

Desinstalar o agente MMA

Para remover o ponto final do Windows, pode desinstalar o agente MMA ou desanexá-lo dos relatórios para a área de trabalho do Defender para Endpoint. Após a exclusão do agente, o ponto final deixará de enviar dados do sensor para o Defender para Endpoint. Para obter mais informações, veja Para desativar um agente.

Remover a configuração da área de trabalho do Defender para Endpoint

Pode utilizar qualquer um dos seguintes métodos:

• Remover a configuração da área de trabalho do Defender para Endpoint do agente MMA
• Executar um comando do PowerShell para remover a configuração

Remover a configuração da área de trabalho do Defender para Endpoint do agente MMA

1. Nas Propriedades do Agente de Monitorização da Microsoft, selecione o separador Azure Log Analytics (OMS ).

2. Selecione a área de trabalho Defender para Ponto Final e clique em Remover.

   

Executar um comando do PowerShell para remover a configuração

1. Obtenha o ID da Área de Trabalho:

   1. No painel de navegação, selecione Definições>Inclusão.
   2. Selecione o sistema operativo relevante e obtenha o ID da Área de Trabalho.

2. Abra um PowerShell elevado e execute o seguinte comando. Utilize o ID da Área de Trabalho que obteve e substitua WorkspaceID:

   $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
   
   # Remove OMS Workspace
   $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
   
   # Reload the configuration and apply changes
   $AgentCfg.ReloadConfiguration()
   

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.