Подключение серверов Windows к службе Microsoft Defender для конечной точки

  • Статья

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Defender для конечной точки расширяет поддержку, включив также операционную систему Windows Server. Эта поддержка обеспечивает расширенные возможности обнаружения и исследования атак с помощью консоли Microsoft Defender XDR. Поддержка Windows Server предоставляет более глубокое представление о действиях сервера, обеспечивает охват для обнаружения атак на ядро и память, а также позволяет выполнять действия по реагированию.

В этой статье описывается, как подключить определенные серверы Windows к Microsoft Defender для конечной точки.

Инструкции по скачиванию и использованию Безопасность Windows базовых показателей для серверов Windows см. в статье Базовые показатели Безопасность Windows.

Общие сведения о подключении Windows Server

Чтобы успешно подключить серверы, вам потребуется выполнить следующие общие действия.

Иллюстрация потока подключения для Windows Server и устройств Windows 10

Примечание.

Выпуски Windows Hyper-V Server не поддерживаются.

Интеграция с Microsoft Defender для серверов:

Microsoft Defender для конечной точки легко интегрируется с Microsoft Defender для серверов. Вы можете подключать серверы автоматически, отслеживать серверы с помощью Microsoft Defender для облака в Defender для конечной точки и проводить подробные исследования в качестве Microsoft Defender клиента для облака. Дополнительные сведения см. в статье Защита конечных точек с помощью интегрированного решения EDR в Defender для облака: Microsoft Defender для конечной точки

Примечание.

Для Windows Server 2012 R2 и 2016 можно вручную установить или обновить современное унифицированное решение на этих компьютерах или использовать интеграцию для автоматического развертывания или обновления серверов, на которые распространяется соответствующий план Microsoft Defender для сервера. Дополнительные сведения о настройке коммутатора см. в статье Защита конечных точек с помощью интегрированного решения EDR в Defender для облака: Microsoft Defender для конечной точки.

  • При использовании Microsoft Defender для облака для мониторинга серверов клиент Defender для конечной точки автоматически создается (в США для пользователей из США, в ЕС для европейских пользователей и в Великобритании для пользователей Великобритании). Данные, собираемые Defender для конечной точки, хранятся в географическом расположении клиента, как определено во время подготовки.
  • Если вы используете Defender для конечной точки перед использованием Microsoft Defender для облака, данные будут храниться в расположении, указанном при создании клиента, даже если позже вы интегрируете с Microsoft Defender для облака.
  • После настройки вы не сможете изменить расположение, в котором хранятся данные. Если вам нужно переместить данные в другое расположение, обратитесь к служба поддержки Майкрософт, чтобы сбросить клиент.
  • Мониторинг конечных точек сервера с использованием этой интеграции отключен для Office 365 клиентов GCC.
  • Ранее использование microsoft Monitoring Agent (MMA) в Windows Server 2016 и предыдущих версиях Windows Server позволяло шлюзу OMS и Log Analytics обеспечить подключение к облачным службам Defender. Новое решение, например Microsoft Defender для конечной точки в Windows Server 2019, Windows Server 2022 и Windows 10, не поддерживает этот шлюз.
  • Серверы Linux, подключенные через Microsoft Defender для облака, будут иметь начальную конфигурацию для запуска антивирусной программы Defender в пассивном режиме.

Windows Server 2012 R2 и Windows Server 2016:

  • Скачивание пакетов установки и подключения
  • Применение пакета установки
  • Следуйте инструкциям по подключению для соответствующего средства.

Windows Server Semi-Annual Enterprise Channel и Windows Server 2019:

  • Скачивание пакета подключения
  • Следуйте инструкциям по подключению для соответствующего средства.

Windows Server 2012 R2 и Windows Server 2016

Новые функции Windows Server 2012 R2 и 2016 в современном унифицированном решении

Предыдущая реализация (до апреля 2022 г.) подключения Windows Server 2012 R2 и Windows Server 2016 требовала использования Microsoft Monitoring Agent (MMA).

Новый пакет унифицированного решения упрощает подключение серверов за счет удаления зависимостей и шагов установки. Он также предоставляет расширенный набор функций. Дополнительные сведения см. в статье Защита Windows Server 2012 R2 и 2016.

В зависимости от сервера, который вы подключаете, единое решение устанавливает Microsoft Defender антивирусную программу и (или) датчик EDR. В следующей таблице показано, какой компонент установлен и что встроено по умолчанию.

Версия сервера AV EDR
Windows Server 2012 R2 Да. Да.
Windows Server 2016 Встроенные Да.
Windows Server 2019 или более поздней версии Встроенные Встроенные

Если вы ранее подключали серверы с помощью MMA, следуйте указаниям, приведенным в разделе Миграция сервера , чтобы перейти на новое решение.

Важно!

Прежде чем продолжить подключение, ознакомьтесь с разделом Известные проблемы и ограничения в новом унифицированном пакете решения для Windows Server 2012 R2 и 2016.

Предварительные условия

Предварительные требования для Windows Server 2012 R2

Если вы полностью обновили компьютеры с помощью последнего ежемесячного накопительного пакета, другие предварительные требования отсутствуют , и приведенные ниже требования уже будут выполнены.

Пакет установщика будет проверка, если следующие компоненты уже установлены с помощью обновления, чтобы оценить, выполнены ли минимальные требования для успешной установки:

Предварительные требования для Windows Server 2016

Рекомендуется установить на сервере последнюю доступную версию SSU и LCU.

Предварительные требования для работы со сторонними решениями безопасности

Если вы планируете использовать стороннее решение для защиты от вредоносных программ, необходимо запустить Microsoft Defender антивирусную программу в пассивном режиме. Не забудьте установить пассивный режим во время установки и подключения.

Примечание.

Если вы устанавливаете Microsoft Defender для конечной точки на серверах с McAfee Endpoint Security (ENS) или VirusScan Enterprise (VSE), может потребоваться обновить версию платформы McAfee, чтобы убедиться, что антивирусная программа Microsoft Defender не удалена или отключена. Дополнительные сведения, включая необходимые номера конкретных версий, см. в статье Центра знаний McAfee.

Обновление пакетов для Microsoft Defender для конечной точки в Windows Server 2012 R2 и 2016

Чтобы регулярно получать улучшения продукта и исправления для компонента датчика EDR, убедитесь, что клиентский компонент Центра обновления Windows KB5005292 применены или утверждены. Кроме того, сведения о обновлении компонентов защиты см. в статье Управление обновлениями антивирусной программы Microsoft Defender и применение базовых показателей.

Если вы используете Windows Server Update Services (WSUS) и (или) конечную точку Майкрософт Configuration Manager, это новое "обновление Microsoft Defender для конечной точки для датчика EDR" доступно в категории " Microsoft Defender для конечной точки".

Сводка по шагам подключения

ШАГ 1. Скачивание пакетов установки и подключения

Вам потребуется скачать пакеты установки и подключения с портала.

Примечание.

Пакет установки обновляется ежемесячно. Перед использованием обязательно скачайте последнюю версию пакета. Чтобы обновить после установки, не нужно снова запускать пакет установщика. В этом случае установщик сначала попросит вас отключить подключение, так как это является требованием для удаления. См. статью Обновление пакетов для Microsoft Defender для конечной точки в Windows Server 2012 R2 и 2016.

Изображение панели мониторинга подключения

Примечание.

В Windows Server 2012R2 антивирусная программа Microsoft Defender будет установлена пакетом установки и будет активной, если не установить пассивный режим. На Windows Server 2016 Microsoft Defender антивирусная программа должна быть установлена как компонент (см. раздел Переключение на MDE) и полностью обновлена перед продолжением установки.

Если вы используете решение для защиты от вредоносных программ сторонних разработчиков, перед установкой добавьте исключения для Microsoft Defender антивирусной программы (из этого списка процессов Microsoft Defender на вкладке Процессы в Защитнике). Также рекомендуется добавить решения безопасности сторонних разработчиков в список исключений антивирусной программы Defender.

Пакет установки содержит MSI-файл, который устанавливает агент Microsoft Defender для конечной точки.

Пакет подключения содержит следующий файл:

  • WindowsDefenderATPOnboardingScript.cmd — содержит скрипт подключения.

Чтобы скачать пакеты, выполните следующие действия.

  1. В Microsoft Defender XDR перейдите в раздел Подключение конечной точки > параметров>.

  2. Выберите Windows Server 2012 R2 и 2016.

  3. Выберите Скачать пакет установки и сохраните файл .msi.

  4. Выберите Скачать пакет подключения и сохраните файл .zip.

  5. Установите пакет установки, используя любой из вариантов установки Microsoft Defender антивирусной программы. Для установки требуются административные разрешения.

Важно!

Сценарий локального подключения подходит для подтверждения концепции, но не должен использоваться для развертывания в рабочей среде. Для развертывания в рабочей среде рекомендуется использовать групповая политика или Microsoft Endpoint Configuration Manager.

ШАГ 2. Применение пакета установки и подключения

На этом шаге вы установите компоненты предотвращения и обнаружения, необходимые перед подключением устройства к Microsoft Defender для конечной точки облачной среде, чтобы подготовить компьютер к подключению. Убедитесь, что выполнены все предварительные требования .

Примечание.

Microsoft Defender антивирусная программа будет установлена и будет активной, если не установить пассивный режим.

Параметры установки пакетов Microsoft Defender для конечной точки

В предыдущем разделе вы скачали пакет установки. Пакет установки содержит установщик для всех компонентов Microsoft Defender для конечной точки.

Для установки агента можно использовать любой из следующих параметров:

Установка Microsoft Defender для конечной точки с помощью командной строки

Используйте пакет установки из предыдущего шага, чтобы установить Microsoft Defender для конечной точки.

Выполните следующую команду, чтобы установить Microsoft Defender для конечной точки:

Msiexec /i md4ws.msi /quiet

Чтобы удалить компьютер, сначала отключите компьютер с помощью соответствующего сценария отключения. Затем выполните удаление с помощью программ и компонентов панель управления >>.

Кроме того, выполните следующую команду удаления, чтобы удалить Microsoft Defender для конечной точки:

Msiexec /x md4ws.msi /quiet

Чтобы выполнить приведенную выше команду, необходимо использовать тот же пакет, который использовался для установки.

Параметр /quiet отключает все уведомления.

Примечание.

Microsoft Defender антивирусная программа не переходит в пассивный режим автоматически. Вы можете настроить Microsoft Defender антивирусную программу для запуска в пассивном режиме, если вы используете антивирусную программу или антивредоносное ПО сторонних разработчиков. При установке из командной строки необязательный FORCEPASSIVEMODE=1 компонент немедленно устанавливает компонент антивирусной программы Microsoft Defender в пассивный режим, чтобы избежать помех. Затем, чтобы антивирусная программа Defender оставалась в пассивном режиме после подключения для поддержки таких возможностей, как блокировка EDR, задайте раздел реестра ForceDefenderPassiveMode.

Поддержка Windows Server предоставляет более глубокое представление о действиях сервера, обеспечивает охват для обнаружения атак на ядро и память, а также позволяет выполнять действия по реагированию.

Установка Microsoft Defender для конечной точки с помощью скрипта

Вспомогательный скрипт установщика можно использовать для автоматизации установки, удаления и подключения.

Примечание.

Сценарий установки подписан. Любые изменения в скрипте делают подпись недействительной. При скачивании скрипта из GitHub рекомендуемым подходом, чтобы избежать случайного изменения, является скачивание исходных файлов в виде ZIP-архива, а затем извлечение их для получения install.ps1 файла (на странице код main щелкните раскрывающееся меню Код и выберите "Скачать ZIP").

Этот скрипт можно использовать в различных сценариях, включая сценарии, описанные в разделе Сценарии миграции сервера из предыдущего решения Microsoft Defender для конечной точки на основе MMA, а также для развертывания с помощью групповая политика, как описано ниже.

Применение Microsoft Defender для конечной точки установки и подключения пакетов с помощью групповой политики при выполнении установки с помощью сценария установщика

  1. Create групповой политики:
    Откройте консоль управления групповая политика (GPMC), щелкните правой кнопкой мыши групповая политика объекты, которые требуется настроить, и выберите Создать. Введите имя нового объекта групповой политики в появившемся диалоговом окне и нажмите кнопку ОК.

  2. Откройте консоль управления групповая политика (GPMC), щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите изменить.

  3. В Редактор управления групповая политика выберите Конфигурация компьютера, Параметры и Параметры панели управления.

  4. Щелкните правой кнопкой мыши запланированные задачи, наведите указатель мыши на пункт Создать, а затем выберите пункт Немедленная задача (по крайней мере Windows 7).

  5. В открывавшемся окне Задача перейдите на вкладку Общие . В разделе Параметры безопасности выберите Изменить пользователя или Группу и введите SYSTEM, а затем выберите Проверить имена , а затем ОК. NT AUTHORITY\SYSTEM отображается как учетная запись пользователя, от имени задачи будет выполняться.

  6. Выберите Выполнить независимо от того, вошел ли пользователь в систему или нет, и проверка поле Запуск с самыми высокими привилегиями проверка.

  7. В поле Имя введите соответствующее имя запланированной задачи (например, Развертывание Defender для конечной точки).

  8. Перейдите на вкладку Действия и выберите Создать... Убедитесь, что в поле Действие выбран пункт Запустить программу. Скрипт установщика обрабатывает установку и немедленно выполняет шаг подключения после завершения установки. Выберите C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe укажите аргументы:

     -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd

    Примечание.

    Рекомендуемый параметр политики выполнения — Allsigned. Для этого требуется импортировать сертификат подписи скрипта в хранилище доверенных издателей локального компьютера, если скрипт выполняется от имени SYSTEM в конечной точке.

    Замените \\servername-or-dfs-space\share-name UNC-путем, используя полное доменное имя файлового сервера (FQDN) общего install.ps1 файла. Пакет установщика md4ws.msi должен быть размещен в том же каталоге. Убедитесь, что разрешения пути UNC разрешают доступ на запись к учетной записи компьютера, устанавливающей пакет, для поддержки создания файлов журнала. Если вы хотите отключить создание файлов журнала (не рекомендуется), можно использовать параметры -noETL -noMSILog.

    В сценариях, в которых требуется, чтобы антивирусная программа Microsoft Defender существовала с решениями для защиты от вредоносных программ сторонних разработчиков, добавьте параметр $Passive, чтобы задать пассивный режим во время установки.

  9. Нажмите кнопку ОК и закройте все открытые окна GPMC.

  10. Чтобы связать объект групповой политики с подразделением, щелкните правой кнопкой мыши и выберите Связать существующий объект групповой политики. В появившемся диалоговом окне выберите объект групповая политика, который необходимо связать. Нажмите OK.

Дополнительные параметры конфигурации см. в разделах Настройка примеров параметров коллекции и Другие рекомендуемые параметры конфигурации.

ШАГ 3. Выполните действия по подключению

Следующие действия применимы только в том случае, если вы используете стороннее решение для защиты от вредоносных программ. Вам потребуется применить следующий Microsoft Defender параметр пассивного режима антивирусной программы. Убедитесь, что он настроен правильно:

  1. Задайте следующую запись реестра:

    • Путь: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • Имя: ForceDefenderPassiveMode
    • Тип: REG_DWORD
    • Значение: 1

    Результат проверки пассивного режима

Известные проблемы и ограничения в новом пакете унифицированных решений для Windows Server 2012 R2 и 2016

Важно!

Всегда скачивает последнюю версию пакета установщика с портала Microsoft Defender (https://security.microsoft.com) перед выполнением новой установки и убедитесь, что выполнены необходимые условия. После установки убедитесь в регулярном обновлении с помощью обновлений компонентов, описанных в разделе Пакеты обновления для Microsoft Defender для конечной точки на Windows Server 2012 R2 и 2016.

  • Обновление операционной системы может привести к проблеме установки на компьютерах с более медленными дисками из-за истечения времени ожидания при установке службы. Сбой установки с сообщением "Не удалось найти c:\program files\windows defender\mpasdesc.dll, - 310 WinDefend". Используйте последний пакет установки и последнюю версию скриптаinstall.ps1 , чтобы при необходимости удалить неудачную установку.
  • Мы обнаружили проблему с подключением Windows Server 2012 R2 к облаку, если используется статический TelemetryProxyServer и URL-адреса списка отзыва сертификатов (CRL) недоступны из контекста учетной записи SYSTEM. Чтобы устранить проблему, убедитесь, что датчик EDR обновлен до версии 10.8210.* или более поздней (с помощью KB5005292). Кроме того, можно использовать другой параметр прокси-сервера ("на уровне системы"), который обеспечивает такое подключение, или настроить тот же прокси-сервер с помощью параметра WinInet в контексте учетной записи SYSTEM.
  • На Windows Server 2012 R2 отсутствует пользовательский интерфейс для антивирусной программы Microsoft Defender. Кроме того, пользовательский интерфейс на Windows Server 2016 позволяет выполнять только базовые операции. Сведения о локальном выполнении операций с устройством см. в статье Управление Microsoft Defender для конечной точки с помощью PowerShell, WMI и MPCmdRun.exe. В результате функции, которые специально зависят от взаимодействия с пользователем, например когда пользователю предлагается принять решение или выполнить определенную задачу, могут работать неправильно. Рекомендуется отключить или не включать пользовательский интерфейс и не требовать взаимодействия с пользователем на любом управляемом сервере, так как это может повлиять на возможности защиты.
  • Не все правила сокращения направлений атаки применимы ко всем операционным системам. См . раздел Правила сокращения направлений атак.
  • Обновления операционной системы не поддерживаются. Отключите подключение, а затем удалите перед обновлением. Пакет установщика можно использовать только для обновления установок, которые еще не были обновлены с помощью новой платформы защиты от вредоносных программ или пакетов обновления датчиков EDR.
  • Автоматические исключения для ролей сервера не поддерживаются в Windows Server 2012 R2, однако для файлов операционной системы существуют встроенные исключения. Дополнительные сведения о добавлении исключений см. в статье Настройка исключений антивирусной программы Microsoft Defender в Windows Server.
  • Для автоматического развертывания и подключения нового решения с помощью microsoft Endpoint Configuration Manager (MECM) необходимо использовать версию 2207 или более позднюю. Вы по-прежнему можете настроить и развернуть с помощью версии 2107 с накопительным пакетом исправлений, но для этого требуются дополнительные действия по развертыванию. Дополнительные сведения см. в статье Microsoft Endpoint Configuration Manager сценарии миграции.

Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019 и Windows Server 2022

Скачать пакет

  1. В Microsoft Defender XDR выберите Параметры > Конечные > точки Управление устройствами > подключение.

  2. Выберите Windows Server 1803 и 2019.

  3. Выберите Скачать пакет. Сохраните его как WindowsDefenderATPOnboardingPackage.zip.

  4. Выполните действия, описанные в разделе Действия по подключению .

Проверка подключения и установки

Убедитесь, что Microsoft Defender антивирусная программа и Microsoft Defender для конечной точки запущены.

Запуск теста обнаружения для проверки подключения

После подключения устройства можно выполнить тест обнаружения, чтобы убедиться, что устройство правильно подключено к службе. Дополнительные сведения см. в статье Запуск теста обнаружения на недавно подключенном Microsoft Defender для конечной точки устройстве.

Примечание.

Запуск антивирусной программы Microsoft Defender не требуется, но рекомендуется. Если другой антивирусный продукт является основным решением для защиты конечных точек, вы можете запустить антивирусную программу Defender в пассивном режиме. Вы можете подтвердить, что пассивный режим включен только после проверки работы датчика Microsoft Defender для конечной точки (SENSE).

  1. Выполните следующую команду, чтобы убедиться, что антивирусная программа Microsoft Defender установлена:

    Примечание.

    Этот шаг проверки требуется только в том случае, если вы используете антивирусную программу Microsoft Defender в качестве активного решения для защиты от вредоносных программ.

    sc.exe query Windefend

    Если результатом будет "Указанная служба не существует в качестве установленной службы", вам потребуется установить Microsoft Defender антивирусную программу.

    Сведения об использовании групповая политика для настройки и управления антивирусной программой Microsoft Defender на серверах Windows см. в статье Использование параметров групповая политика для настройки и управления Microsoft Defender антивирусной программы.

  2. Выполните следующую команду, чтобы убедиться, что Microsoft Defender для конечной точки работает:

    sc.exe query sense

    Результат должен показать, что он работает. Если у вас возникли проблемы с подключением, см. статью Устранение неполадок при подключении.

Запустить проверку обнаружения

Выполните действия, описанные в разделе Запуск теста обнаружения на недавно подключенном устройстве , чтобы убедиться, что сервер отчитывается в Defender для службы конечной точки.

Дальнейшие действия

После успешного подключения устройств к службе необходимо настроить отдельные компоненты Microsoft Defender для конечной точки. Следуйте указаниям по настройке возможностей , чтобы получить рекомендации по включению различных компонентов.

Отключение серверов Windows

Вы можете отключить Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019 и Windows Server 2019 Core edition в том же методе, который доступен для Windows 10 клиентских устройств.

После отключения можно приступить к удалению пакета единого решения на Windows Server 2012 R2 и Windows Server 2016.

Для других версий Windows Server можно отключить серверы Windows из службы двумя способами:

  • Удаление агента MMA
  • Удаление конфигурации рабочей области Defender для конечной точки

Примечание.

Эти инструкции по отключению для других версий Windows Server также применяются, если вы используете предыдущую Microsoft Defender для конечной точки для Windows Server 2016 и Windows Server 2012 R2, для которых требуется MMA. Инструкции по переходу на новое унифицированное решение см. в статье Сценарии миграции сервера в Microsoft Defender для конечной точки.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.