Registrera Windows-enheter med grupprincip

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Anteckning

Om du vill använda grupprincipuppdateringar (GP) för att distribuera paketet måste du använda Windows Server 2008 R2 eller senare.

För Windows Server 2019 och Windows Server 2022 kan du behöva ersätta NT AUTHORITY\Well-Known-System-Account med NT AUTHORITY\SYSTEM för XML-filen som grupprincipinställning skapar.

Anteckning

Om du använder den nya, enhetliga Microsoft Defender för slutpunktslösningen för Windows Server 2012 R2 och 2016 bör du kontrollera att du använder de senaste ADMX-filerna i den centrala lagringsbutiken för att få åtkomst till rätt alternativ för Microsoft Defender för slutpunktsprinciper. Läs mer i Skapa och hantera administrativa mallar för grupprinciper i Central Store i Windows och ladda ned de senaste filerna för användning Windows 10.

Läs PDF-filen eller Visio se de olika sökvägarna i distribuera Defender för Slutpunkt.

  1. Öppna GP-konfigurationspaketfilen (WindowsDefenderATPOnboardingPackage.zip) som du laddade ned från guiden för registrering av tjänster. Du kan också hämta paketet från Microsoft 365 Defender portalen:

    1. I navigeringsfönstret väljer du Inställningar > EndpointsDevice > managementOnboarding > .

    2. Välj operativsystem.

    3. Välj Grupprincip i fältet Distributionsmetod.

    4. Klicka på Ladda ned paket och spara .zip filen.

  2. Extrahera innehållet i filen .zip till en delad, skrivskyddad plats som kan nås av enheten. Du bör ha en mapp med namnet OptionalParamsPolicy och filen WindowsDefenderATPOnboardingScript.cmd.

  3. Om du vill skapa en ny GPO öppnar du GPMC ( Group Policy Management Console ), högerklickar på Grupprincipobjekt som du vill konfigurera och klickar på Nytt. Ange namnet på det nya GPO:t i dialogrutan som visas och klicka på OK.

  4. Öppna gpmc-konsolen (Group Policy Management Console ), högerklicka på det grupprincipobjekt (GPO) du vill konfigurera och klicka på Redigera.

  5. I redigeraren för grupprinciphantering går du till Datorkonfiguration**, sedan** Inställningar och Inställningar för Kontrollpanelen.

  6. Högerklicka på Schemalagda aktiviteter, peka på Nytt och klicka sedan på Direkt aktivitet (minst Windows 7).

  7. I uppgiftsfönstret som öppnas går du till fliken Allmänt. Under Säkerhetsalternativ klickar du på Ändra användare eller grupp , skriver SYSTEM och klickar sedan på Kontrollera namn och sedan på OK. NT AUTHORITY\SYSTEM visas som det användarkonto som aktiviteten körs som.

  8. Välj Kör om användaren är inloggad eller inte och markera kryssrutan Kör med högst behörighet.

  9. I fältet Namn skriver du ett lämpligt namn för den schemalagda aktiviteten (till exempel Defender för slutpunktsdistribution).

  10. Gå till fliken Åtgärder och välj Ny... Kontrollera att Starta ett program är markerat i fältet Åtgärd. Ange UNC-sökvägen, med hjälp av filserverns fullständigt kvalificerade domännamn (FQDN), för den delade WindowsDefenderATPOnboardingScript.cmd-filen .

  11. Välj OK och stäng alla öppna GPMC-fönster.

  12. Om du vill länka GPO:t till en organisationsenhet (OU) högerklickar du och väljer Länka en befintlig GPO. I dialogrutan som visas väljer du det grupprincipobjekt som du vill länka. Klicka på OK.

Tips

När du har introducerat enheten kan du välja att köra ett identifieringstest för att verifiera att enheten är korrekt onboarded till tjänsten. Mer information finns i Köra ett identifieringstest på en nyligen onboarded Defender för Endpoint-enhet.

Ytterligare Defender för konfigurationsinställningar för slutpunkt

För varje enhet kan du ange om exempel kan samlas in från enheten när en begäran görs via Microsoft 365 Defender att skicka in en fil för djupanalys.

Du kan använda Grupprincip (GP) för att konfigurera inställningar, till exempel inställningar för exempeldelningen som används i funktionen djupanalys.

Konfigurera exempelsamlingsinställningar

  1. Kopiera följande filer från konfigurationspaketet på GP-hanteringsenheten:

    • Kopiera AtpConfiguration.admx till C:\Windows\ PolicyDefinitions

    • Kopiera AtpConfiguration.adml till C:\Windows\ PolicyDefinitionsen-US\

    Om du använder ett centralt arkiv för administrativa mallar för grupprinciper kopierar du följande filer från konfigurationspaketet:

    • Kopiera AtpConfiguration.admx till \<forest.root>\\SysVolPoliciesPolicyDefinitions\<forest.root>\\

    • Kopiera AtpConfiguration.adml till\<forest.root>\\ SysVolPoliciesPolicyDefinitionsen-US\<forest.root>\\\

  2. Öppna konsolen grupprinciphantering, högerklicka på det GPO du vill konfigurera och klicka på Redigera.

  3. Gå till Datorkonfiguration i redigeraren för grupprinciphantering.

  4. Klicka på Principer och sedan på Administrativa mallar.

  5. Klicka Windows komponenter och tryck Windows Defender ATP.

  6. Välj för att aktivera eller inaktivera exempeldelning från dina enheter.

Anteckning

Om du inte anger något värde är standardvärdet att aktivera exempelsamling.

Uppdatera konfiguration av slutpunktsskydd

När du har konfigurerat onboarding-skriptet fortsätter du att redigera samma grupprincip för att lägga till slutpunktsskyddskonfigurationer. Utför grupprincipredigeringar från ett system med Windows 10 eller Server 2019, Windows 11 eller Windows Server 2022 för att säkerställa att du har alla nödvändiga Microsoft Defender Antivirus funktioner. Du kan behöva stänga och öppna grupprincipobjektet igen för att registrera Defender ATP-konfigurationsinställningarna.

Alla principer finns under Computer Configuration\Policies\Administrative Templates.

Principplats: \Windows Components\Windows Defender ATP

Princip Inställning
Aktivera\Inaktivera exempelsamling Aktiverad – "Aktivera exempelsamling på datorer" markerat

Principplats: \Windows Components\Microsoft Defender Antivirus

Princip Inställning
Konfigurera identifiering för potentiellt oönskade program Aktiverad, Blockera

Policyplats: \Windows Components\Microsoft Defender Antivirus\MAPS

Princip Inställning
Ansluta till Microsoft MAPS Aktiverade, avancerade KARTOR
Skicka exempel på filer när ytterligare analys krävs Aktiverad, Skicka säkra exempel

Policyplats: \Windows Components\Microsoft Defender Antivirus\Real-time Protection

Princip Inställning
Inaktivera realtidsskydd Inaktiverad
Aktivera beteendeövervakning Aktiverad
Genomsöka alla nedladdade filer och bifogade filer Aktiverad
Övervaka fil- och programaktivitet på datorn Aktiverad

Policyplats: \Windows Components\Microsoft Defender Antivirus\Scan

De här inställningarna konfigurerar periodiska genomsökningar av slutpunkten. Vi rekommenderar att du gör en snabbsökning varje vecka, om det är möjligt med prestanda.

Princip Inställning
Sök efter den senaste säkerhetsinformation om virus och spionprogram innan du kör en schemalagd sökning Aktiverad

Policyplats: \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction

Hämta den aktuella listan med regler för att minska attackytans GUID från distributionen av regler för att minska attackytan Steg 3: Implementera ASR-regler. Mer information per regel finns i Referens för minskning av attackytan

  1. Öppna principen Konfigurera minskning av attackytan .

  2. Välj Aktiverad.

  3. Välj knappen Visa.

  4. Lägg till varje GUID i fältet Värdenamn med värdet 2.

    Var och en konfigureras endast för granskning.

    Bild av konfiguration för att minska attackytan.

Princip Plats Inställning
Konfigurera reglerad mappåtkomst \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Controlled Folder Access Aktiverat, granskningsläge

Köra ett identifieringstest för att verifiera registrering

När du har introducerat enheten kan du välja att köra ett identifieringstest för att verifiera att en enhet är korrekt onboarded till tjänsten. Mer information finns i Köra ett identifieringstest på en nyligen onboarded Microsoft Defender för Endpoint-enhet.

Offboard-enheter med grupprincip

Av säkerhetsskäl upphör paketet som används till Offboard-enheter 30 dagar efter det datum då det laddades ned. Utgångna offboarding-paket som skickats till en enhet kommer att avvisas. När du laddar ned ett offboardingpaket meddelas du om paketens utgångsdatum och det inkluderas också i paketets namn.

Anteckning

Principer för onboarding och offboarding får inte distribueras på samma enhet samtidigt, annars kan det orsaka oförutsägbara tavlor.

  1. Hämta offboarding-paketet från Microsoft 365 Defender portalen:

    1. I navigeringsfönstret väljer du Inställningar > EndpointsDevice > managementOffboarding > .

    2. Välj operativsystem.

    3. Välj Grupprincip i fältet Distributionsmetod.

    4. Klicka på Ladda ned paket och spara .zip filen.

  2. Extrahera innehållet i filen .zip till en delad, skrivskyddad plats som kan nås av enheten. Du bör ha en fil med namnet WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Öppna gpmc-konsolen (Group Policy Management Console ), högerklicka på det grupprincipobjekt (GPO) du vill konfigurera och klicka på Redigera.

  4. I redigeraren för grupprinciphantering går du till Datorkonfiguration, sedan Inställningar och Inställningar för Kontrollpanelen.

  5. Högerklicka på Schemalagda aktiviteter, peka på Nytt och klicka sedan på Direktaktivitet.

  6. I uppgiftsfönstret som öppnas går du till fliken Allmänt. Välj det lokala systemanvändarkontot (INBYGGD\SYSTEM) under Säkerhetsalternativ.

  7. Markera Kör om användaren är inloggad eller inte och markera kryssrutan Kör med högst behörighet.

  8. I fältet Namn skriver du ett lämpligt namn för den schemalagda aktiviteten (till exempel Defender för slutpunktsdistribution).

  9. Gå till fliken Åtgärder och välj Ny.... Kontrollera att Starta ett program är markerat i fältet Åtgärd. Ange UNC-sökvägen med hjälp av filserverns fullständigt kvalificerade domännamn (FQDN) för den delade WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd-filen .

  10. Välj OK och stäng alla öppna GPMC-fönster.

Viktigt

Offboarding gör att enheten slutar skicka sensordata till portalen men data från enheten, inklusive referens till aviseringar som den haft kommer att behållas i upp till 6 månader.

Övervaka enhetskonfiguration

Med Grupprincip finns det inte något alternativ för att övervaka distribution av principer på enheter. Övervakning kan utföras direkt i portalen eller med hjälp av de olika distributionsverktygen.

Övervaka enheter med hjälp av portalen

  1. Gå till Microsoft 365 Defender portalen.
  2. Klicka på Enheter, inventering.
  3. Kontrollera att enheter visas.

Anteckning

Det kan ta flera dagar innan enheter börjar visas i listan Enheter. Det inkluderar den tid det tar för principerna att distribueras till enheten, den tid det tar innan användaren loggar in och den tid det tar för slutpunkten att starta rapporteringen.

Konfigurera AV-principer för Defender

Skapa en ny grupprincip eller gruppera de här inställningarna med andra principer. Det här beror på kundens miljö och hur de vill distribuera tjänsten genom att rikta in olika organisationsenheter (OUs).

  1. När du har valt GP eller skapat ett nytt redigerar du GP.

  2. Bläddra till DatorkonfigurationPoliciesAdministratörsmallar > > Windows > Komponenter > Microsoft Defender Antivirus > Real-time Protection.

    realtidsskydd.

  3. Konfigurera borttagning av objekt från mappen Karantän i mappen Karantän.

    karantänmapp för borttagning av objekt.

    konfigurationsborttagning av karantän.

  4. Konfigurera genomsökningsinställningarna i mappen Skanna.

    gpo-skanningar.

Övervaka alla filer i realtidsskydd

Bläddra till Principer för > datorkonfiguration > och > administrativa Windows komponenter > Microsoft Defender Antivirus > realtidsskydd.

Eftersom värdet för "Skanna inkommande och utgående filer" (standard) är 0 ändras grupprincipen för "Konfigurera övervakning för inkommande och utgående fil och programaktivitet" för "dubbelriktad (fullständig vid åtkomst)" till inaktiverad.

konfigurera övervakning för inkommande utgående filaktivitet.

Konfigurera Windows Defender SmartScreen-inställningar

  1. Bläddra till Principer för datorkonfiguration > > och administrativa > Windows komponenter > Windows Defender SmartScreen > Explorer.

    konfiguration för windows defender smart screen explorer.

  2. Bläddra till DatorkonfigurationPoliciesAdministratörsmallar > > Windows > Komponenter > Windows Defender SmartScreen > Microsoft Edge.

    konfiguration av Windows Defender Smart Screen Edge.

Konfigurera potentiellt oönskade program

Bläddra till Principer för datorkonfiguration > > och administrativa > Windows komponenter > Microsoft Defender Antivirus.

konfigurations potentiell oönskad app.

konfigurations potential.

Konfigurera Cloud Deliver Protection och skicka exempel automatiskt

Bläddra till Principer för datorkonfiguration > > och administrativa > Windows komponenter > Microsoft Defender Antivirus > KARTOR.

kartor.

blocket vid första synen.

gå med i microsoft maps.

skicka ett exempel på filen när ytterligare analys krävs.

Söka efter signaturuppdatering

Bläddra till administrativa mallar för > datorkonfigurationsprinciper > > Windows komponenter Microsoft Defender Antivirus > säkerhetsintelligensuppdateringar>.

signaturuppdatering.

signaturdefinitionsuppdatering.

Konfigurera timeout och skyddsnivå för molntjänster

Bläddra till Principer för datorkonfiguration > > administrativa mallar > Windows komponenter > Microsoft Defender Antivirus > MPEngine. När du konfigurerar en princip på molnskyddsnivå till Standard Microsoft Defender Antivirus blockerande princip inaktiveras principen. Detta krävs för att ställa in skyddsnivån till standardfönster.

konfiguration utökad molnkontroll.

konfigurationsnivå för molnskydd.