Introducera Windows-servrar till Microsoft Defender för slutpunktstjänsten
Gäller för:
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server Semi-Annual Enterprise-kanalen
- Windows Server 2019 och senare
- Windows Server 2019 Core Edition
- Windows Server 2022
- Microsoft Defender för Endpoint Abonnemang 2
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Defender för Endpoint utökar stödet till att även omfatta Windows Server-operativsystemet. Det här stödet ger avancerade funktioner för identifiering och undersökning av attackerna via Microsoft 365 Defender konsolen. Stöd för Windows Server ger djupare kunskaper om serveraktiviteter, täckning för kernel- och minnesangreppsidentifiering och möjliggör svarsåtgärder.
I det här avsnittet beskrivs hur du onboardar specifika Windows-servrar till Microsoft Defender för Slutpunkt.
Anvisningar om hur du laddar ned och använder Windows-säkerhet baslinjer för Windows servrar finns i Windows-säkerhet baslinjer.
Windows över serverbaserad registrering
Du måste följa de här allmänna anvisningarna för att kunna introducera servrar.

Windows Server 2012 R2 och Windows Server 2016 (förhandsversion)
- Ladda ned installation- och onboarding-paket
- Använda installationspaketet
- Följ introduktionsstegen för motsvarande verktyg
Windows Server Semi-Annual Enterprise Channel och Windows Server 2019
- Ladda ned onboarding-paketet
- Följ introduktionsstegen för motsvarande verktyg
Viktigt
För att kunna köpa Microsoft Defender för Endpoint Server SKU måste du ha köpt minst en av följande kombinerade licenser, Windows E5/A5, Microsoft 365 E5/A5 eller Microsoft 365 E5 Security-prenumerationslicenser. Mer information om licensiering finns i Produktvillkor.
Nya Windows Server 2012 R2- och 2016-funktioner i den moderna enhetliga lösningen (förhandsversion)
Tidigare implementering av onboarding Windows Server 2012 R2 och Windows Server 2016 kräver att Microsoft Monitoring Agent (MMA) används.
Det nya enhetliga lösningspaketet gör det enklare att onboarda servrar genom att ta bort beroenden och installationssteg. Dessutom innehåller detta enhetliga lösningspaket följande stora förbättringar:
- Microsoft Defender Antivirus med nästa generations skydd för Windows Server 2012 R2
- ASR-regler (Attack Surface Reduction)
- Nätverksskydd
- Reglerad mappåtkomst
- PuA-blockering , potentiellt oönskad program
- Förbättrade funktioner för identifiering
- Utökade svarsfunktioner på enheter och filer
- Identifiering och åtgärd på slutpunkt i blockläge
- Live Response
- Automatisk undersökning och svar (AIR)
- Skydd mot manipulering
Om du tidigare har onboarded your servers using MMA, follow the guidance provided in Server migration to migrate to the new solution.
Anteckning
Den här metoden för onboarding Windows Server 2012 R2 och Windows Server 2016 är i förhandsversion kan du välja att fortsätta att använda den tidigare onboarding-metoden med Microsoft Monitoring Agent (MMA). Mer information finns i Installera och konfigurera slutpunkter med MMA.
Kända problem och begränsningar för det nya enhetliga lösningspaketet för Windows Server 2012 R2 och 2016
Följande information gäller för det nya enhetliga lösningspaketet för Windows Server 2012 R2 och 2016:
Se till att anslutningskraven som anges i Aktivera åtkomst till Microsoft Defender för slutpunktstjänstens URL:er i proxyservern uppfylls. De motsvarar de för Windows Server 2019.
Tidigare tillåten användning av MMA (Microsoft Monitoring Agent) på Windows Server 2016 och nedan för OMS/Log Analytics gateway för att tillhandahålla anslutning till Defender-molntjänster. Den nya lösningen, som Microsoft Defender för Endpoint på Windows Server 2019, Windows Server 2022 Windows 10, stöder inte den här gatewayen.
På Windows Server 2016 kontrollerar du Microsoft Defender Antivirus är installerad, är aktiv och uppdaterad. Du kan ladda ned och installera den senaste plattformsversionen med hjälp Windows Uppdatering. Du kan också ladda ned uppdateringspaketet manuellt från Microsoft Update Catalog eller från MMPC.
På Windows Server 2012 R2 finns inget användargränssnitt för Microsoft Defender Antivirus. Dessutom tillåter användargränssnittet i Windows Server 2016 endast för grundläggande åtgärder. Information om hur du utför åtgärder på en enhet lokalt finns i Hantera Microsoft Defender för Slutpunkt med PowerShell, WMI och MPCmdRun.exe. Därför fungerar kanske inte funktioner som specifikt förlitar sig på användarinteraktion, till exempel där användaren uppmanas att fatta ett beslut eller utföra en specifik aktivitet, som förväntat. Vi rekommenderar att du inaktiverar eller inte aktiverar användargränssnittet och inte heller att användarna interagerar på någon hanterad server eftersom det kan påverka skyddsfunktioner.
Alla minskningsregler för attackytan är inte tillgängliga på alla operativsystem. Läs mer i ASR-regler (Attack Surface Reduction).
Ytterligare konfiguration krävs för att aktivera nätverksskydd:
Set-MpPreference -EnableNetworkProtection EnabledSet-MpPreference -AllowNetworkProtectionOnWinServer 1Set-MpPreference -AllowNetworkProtectionDownLevel 1Set-MpPreference -AllowDatagramProcessingOnWinServer 1
På datorer med en stor volym nätverkstrafik rekommenderar vi dessutom prestandatestning i din miljö innan du aktiverar den här funktionen i stort. Du kan behöva redovisa ytterligare resursanvändning.
På Windows Server 2012 R2 kanske nätverkshändelser inte fylls i på tidslinjen. Det här problemet kräver en Windows uppdatering som släppts som en del av den månatliga Windows 12 oktober 2021 (KB5006714).
Uppgraderingar av operativsystemet stöds inte. Ta sedan av avinstallationen innan du uppgraderar.
Automatiska undantag för serverroller stöds däremot inte på Windows Server 2012 R2, men det finns inbyggda undantag för operativsystemfiler. Mer information om hur du lägger till undantag finns i Rekommendationer om virusskanning för enterprise-datorer som kör versioner av Windows.
Om du för närvarande väljer att offboard och avinstallerar den moderna, enhetliga lösningen och ominstallera den tidigare MMA-baserade Identifiering och åtgärd på slutpunkt sensoren kan
MsSenseS.exedu stöta på upprepade krascher.
Som en lösning kan du ta bort följande registernycklar om de finns:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Security\fdedb2b8-61e4-4a7e-8b15-abf214a08fccHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Security\c60418cc-7e07-400f-ae3b-d521c5dbd96f
Du kan använda följande kommandon:
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Security /v fdedb2b8-61e4-4a7e-8b15-abf214a08fcc /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Security /v c60418cc-7e07-400f-ae3b-d521c5dbd96f /f
Ingen omstart krävs.
Integrering med Microsoft Defender för molnet
Microsoft Defender för Endpoint integreras smidigt med Microsoft Defender för molnet. Du kan hantera servrar automatiskt, få servrar som övervakas av Azure Defender att visas i Defender för Slutpunkt och utföra detaljerade undersökningar som Microsoft Defender för molnkund.
Mer information finns i Artikeln om integrering med Microsoft Defender för molnet.
Anteckning
För Windows Server 2012 R2 och 2016 som kör förhandsversionen av den moderna unified solution är integrering med Microsoft Defender för moln/Microsoft Defender för servrar för avisering och automatisk distribution ännu inte tillgänglig. Du kan installera den nya lösningen manuellt på dessa datorer, men inga aviseringar visas i Microsoft Defender för molnet.
Anteckning
- Integreringen mellan Microsoft Defender för servrar och Microsoft Defender för slutpunkt har utökats med stöd för Windows Server 2022, Windows Server 2019 och Windows Virtual Desktop (WVD).
- Serverslutpunktsövervakning som använder den här integreringen har inaktiverats för Office 365 GCC kunder.
Windows Server 2012 R2 och Windows Server 2016
Anteckning
Den här metoden för onboarding Windows Server 2012 R2 och Windows Server 2016 är i förhandsversion kan du välja att fortsätta att använda den tidigare onboarding-metoden med Microsoft Monitoring Agent (MMA). Mer information finns i Installera och konfigurera slutpunkter med MMA.
Förutsättningar
Krav för Windows Server 2012 R2
Om du har helt uppdaterat dina datorer med det senaste månatliga samlade paketet finns det inga ytterligare krav.
Installationspaketet kontrollerar om följande komponenter redan har installerats via en uppdatering:
- Uppdatering för kundupplevelse och diagnostisk telemetri
- Uppdatering för Universal C Runtime i Windows
Krav för Windows Server 2016
Förutom att helt uppdatera datorn med den senaste kumulativa uppdateringen (LCU) kan du kontrollera att Microsoft Defender Antivirus är installerat, är aktivt och uppdaterat. Du kan ladda ned och installera den senaste plattformsversionen med hjälp Windows Uppdatering. Du kan också ladda ned uppdateringspaketet manuellt från Microsoft Update Catalog eller från MMPC.
Anteckning
För att den inbyggda versionen av Windows Defender, som har ett versionsnummer som börjar med 4.10, ska uppdateras till den senaste tillgängliga plattformen måste en servicestackuppdatering ha tillämpats samt den senaste kumulativa uppdateringen (LCU) som är lika med eller senare än den 20 september 2018 – KB4457127 (OS-version 14393.2515).
Nytt uppdateringspaket för Microsoft Defender för Endpoint på Windows Server 2012 R2 och 2016
Om du vill få regelbundna produktförbättringar och korrigeringar Identifiering och åtgärd på slutpunkt sensorkomponenten ska du Windows uppdateringen KB5005292 har tillämpats eller godkänts. Om du vill hålla skyddkomponenterna uppdaterade kan du dessutom gå till Hantera Microsoft Defender Antivirus uppdateringar och använda baslinjer.
Sammanfattning av introduktionssteg
- STEG 1: Ladda ned installationspaketen och onboarding-paketen
- STEG 2: Använd installations- och onboarding-paketet
- STEG 3: Slutför introduktionsstegen
STEG 1: Ladda ned installation- och onboarding-paket
Du måste ladda ned både installations- och onboarding-paketen från portalen.

Anteckning
I Windows Server 2012R2 installeras Microsoft Defender Antivirus av installationspaketet och aktiveras såvida du inte ställer in det på passivt läge. På Windows Server 2016 måste Microsoft Defender Antivirus installeras som en funktion (se Växla till MDE) först och helt uppdaterad innan du fortsätter med installationen.
Om du kör en lösning som inte är en Microsoft-programlösning för program mot skadlig programvara ska du se till att du lägger till undantag för Microsoft Defender Antivirus (från den här listan med Microsoft Defender-processer på fliken Defender-processer) för lösningen som inte kommer från Microsoft före installationen. Vi rekommenderar också att du lägger till säkerhetslösningar som inte är microsoft i undantagslistan för Defender Antivirus.
Installationspaketet innehåller en MSI-fil som installerar Microsoft Defender för slutpunktsagenten.
Onboarding-paketet innehåller följande filer:
OptionalParamsPolicy– innehåller inställningen som aktiverar exempelsamlingWindowsDefenderATPOnboardingScript.cmd- innehåller onboarding-skriptet
Använd följande steg för att ladda ned paketen:
I Microsoft 365 Defender du till Inställningar > på Enhetshantering > Onboarding.
Välj Windows Server 2012 R2 och 2016.
Välj Ladda ned installationspaketet och spara .msi filen.
Välj Hämta introduktionspaket och spara den .zip filen.
Installera installationspaketet med något av alternativen för att installera Microsoft Defender Antivirus. Installationen kräver administratörsbehörighet.
STEG 2: Använd installations- och onboarding-paketet
I det här steget installerar du de komponenter för skydd och identifiering som krävs innan du onboarding your device to the Microsoft Defender for Endpoint cloud environment, to prepare the machine for onboarding. Kontrollera att alla krav har uppfyllts.
Anteckning
Microsoft Defender Antivirus installeras och är aktivt om du inte ställer in det på passivt läge.
Alternativ för att installera Microsoft Defender för Slutpunkt-paket
I föregående avsnitt laddade du ned ett installationspaket. Installationspaketet innehåller installationsprogrammet för alla Microsoft Defender för Endpoint-komponenter.
Du kan använda något av följande alternativ för att installera agenten:
- Installera med kommandoraden
- Installera med hjälp av ett skript
- Använda installation- och onboarding-paketen med grupprincip
Installera Microsoft Defender för Slutpunkt med kommandoraden
Använd installationspaketet från föregående steg för att installera Microsoft Defender för Slutpunkt.
Kör följande kommando för att installera Microsoft Defender för Slutpunkt:
Msiexec /i md4ws.msi /quiet
Om du vill avinstallera ser du till att datorn är offboarded först med rätt offboarding-skript. Använd sedan Program och funktioner > på Kontrollpanelen > för att göra avinstallationen.
Du kan också köra följande avinstallationskommando för att avinstallera Microsoft Defender för Endpoint:
Msiexec /x md4ws.msi /quiet
Du måste använda samma paket som du använde för installationen för att kommandot ovan ska lyckas.
Omkopplaren /quiet förhindrar alla meddelanden.
Anteckning
Microsoft Defender Antivirus går inte automatiskt in i passiv form. Du kan välja att Microsoft Defender Antivirus att köras i passivt läge om du kör en lösning som inte är en Microsoft-antivirus-/antimalwarelösning. För kommandoradsinstallationer ställer den valfria FORCEPASSIVEMODE=1 komponenten direkt Microsoft Defender Antivirus passivt läge för att undvika störningar. Om du sedan vill se till att Defender Antivirus förblir i passivt läge efter onboarding för att stödja funktioner som Identifiering och åtgärd på slutpunkt-block anger du registernyckeln ForceDefenderPassiveMode.
Stöd för Windows Server ger djupare kunskaper om serveraktiviteter, täckning för kernel- och minnesangreppsidentifiering och möjliggör svarsåtgärder.
Installera Microsoft Defender för Slutpunkt med ett skript
Du kan använda installationsskriptet för att automatisera installation, avinstallation och registrering. Mer information finns i anvisningarna i följande avsnitt om hur du använder skriptet med Grupprincip.
Använda Microsoft Defender för slutpunktsinstallations- och onboarding-paket med grupprincip
Skapa en grupprincip:
Öppna gpmc-konsolen (Group Policy Management Console ), högerklicka på Grupprincipobjekt som du vill konfigurera och klicka på Nytt. Ange namnet på det nya GPO:t i dialogrutan som visas och klicka på OK.Öppna gpmc-konsolen (Group Policy Management Console ), högerklicka på det grupprincipobjekt (GPO) du vill konfigurera och klicka på Redigera.
I redigeraren för grupprinciphantering går du till Datorkonfiguration**, sedan** Inställningar och Inställningar för Kontrollpanelen.
Högerklicka på Schemalagda aktiviteter, peka på Nytt och klicka sedan på Direktaktivitet (minst Windows 7).
I uppgiftsfönstret som öppnas går du till fliken Allmänt. Under Säkerhetsalternativ klickar du på Ändra användare eller grupp , skriver SYSTEM och klickar sedan på Kontrollera namn och sedan på OK. NT AUTHORITY\SYSTEM visas som det användarkonto som aktiviteten körs som.
Välj Kör om användaren är inloggad eller inte och markera kryssrutan Kör med högst behörighet.
I fältet Namn skriver du ett lämpligt namn för den schemalagda aktiviteten (till exempel Defender för slutpunktsdistribution).
Gå till fliken Åtgärder och välj Ny... Kontrollera att Starta ett program är markerat i fältet Åtgärd. Installationsskriptet hanterar installationen och utför genast introduktionssteget när installationen har slutförts. Välj C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ange argumenten:
-ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmdAnteckning
Den rekommenderade inställningen för körningsprincipen är
Allsigned. Det här kräver att skriptets signeringscertifikat importeras till det betrodda utgivarearkivet för lokal dator om skriptet körs som SYSTEM på slutpunkten.Ersätt \servername-or-faq-space\share-name med UNC-sökvägen med filserverns fullständigt kvalificerade domännamn (FQDN) för den delade install.ps1 filen. Installationspaketet md4ws.msi placeras i samma katalog. Kontrollera även att behörigheterna för UNC-sökvägen ger läsbehörighet till det datorkonto som installerar plattformen.
För scenarier där du Microsoft Defender Antivirus att finnas tillsammans med andra lösningar än Microsoft-program mot skadlig programvara lägger du till $Passive-parametern för att ställa in passivt läge under installationen.
Välj OK och stäng alla öppna GPMC-fönster.
Om du vill länka GPO:t till en organisationsenhet (OU) högerklickar du och väljer Länka en befintlig GPO. I dialogrutan som visas väljer du det grupprincipobjekt som du vill länka. Klicka på OK.
Fler konfigurationsinställningar finns i Konfigurera exempelinställningar för samling och Andra rekommenderade konfigurationsinställningar.
STEG 3: Slutför introduktionsstegen
Följande steg gäller endast om du använder en tredjepartslösning mot skadlig programvara. Du måste använda följande inställning Microsoft Defender Antivirus passivt läge. Kontrollera att den har konfigurerats korrekt:
Ange följande registerpost:
- Sökväg:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection - Namn:
ForceDefenderPassiveMode - Typ:
REG_DWORD - Värde:
1
- Sökväg:
Kör följande PowerShell-kommando för att verifiera att det passiva läget har konfigurerats:
Get-WinEvent -FilterHashtable @{ProviderName="Microsoft-Windows-Sense" ;ID=84}Bekräfta att en nyligen genomförd händelse som innehåller händelsen passiv form hittas:

Viktigt
- När du använder Microsoft Defender för moln för att övervaka servrar skapas automatiskt en Defender för slutpunktsklientorganisation (i USA för användare i USA, i EU för europeiska användare och i Storbritannien för brittiska användare). Data som samlas in av Defender för Endpoint lagras på klientorganisationens geoplats som identifieras under etableringen.
- Om du använder Defender för Slutpunkt innan du använder Microsoft Defender för molnet lagras dina data på den plats som du angav när du skapade klientorganisationen, även om du vid ett senare tillfälle integrerar med Microsoft Defender för molnet.
- När den har konfigurerats kan du inte ändra platsen där dina data lagras. Om du behöver flytta dina data till en annan plats måste du kontakta Microsoft Support för att återställa klientorganisationen.
- Onboarding-paketet för Windows Server 2019 och Windows Server 2022 till Microsoft Endpoint Manager för närvarande ett skript. Mer information om hur du distribuerar skript i Konfigurationshanteraren finns i Paket och program i Configuration Manager.
- Ett lokalt skript är lämpligt för ett konceptbevis, men bör inte användas för produktionsdistribution. För produktionsdistribution rekommenderar vi att du använder grupprinciper eller Microsoft Endpoint Configuration Manager.
Windows Server Semi-Annual Enterprise Channel och Windows Server 2019 Windows Server 2022
Onboarding-paketet för Windows Server 2019 och Windows Server 2022 till Microsoft Endpoint Manager för närvarande ett skript. Mer information om hur du distribuerar skript i Konfigurationshanteraren finns i Paket och program i Configuration Manager.
Ladda ned paket
I Microsoft 365 Defender du till Inställningar > på Enhetshantering > Onboarding.
Välj Windows Server 1803 och 2019.
Välj Ladda ned paket. Spara den som WindowsDefenderATPOnboardingPackage.zip.
Följ anvisningarna i avsnittet Slutför introduktionsstegen .
Kontrollera onboarding och installation
Kontrollera att Microsoft Defender Antivirus och Microsoft Defender för Slutpunkt körs.
Köra ett identifieringstest för att verifiera registrering
När du har introducerat enheten kan du välja att köra ett identifieringstest för att verifiera att en enhet är korrekt onboarded till tjänsten. Mer information finns i Köra ett identifieringstest på en nyligen onboarded Microsoft Defender för Endpoint-enhet.
Anteckning
Körning Microsoft Defender Antivirus krävs inte men vi rekommenderar det. Om en annan antivirusleverantör är den primära lösning för slutpunktsskydd kan du köra Defender Antivirus i passivt läge. Du kan bara bekräfta att passivt läge är på när du har verifierat att Microsoft Defender för Endpoint sensor (SENSE) körs.
Kör följande kommando för att verifiera att Microsoft Defender Antivirus är installerat:
Anteckning
Det här vecationsteget krävs bara om du använder Microsoft Defender Antivirus som din aktiva antimalware-lösning.
sc.exe query WindefendOm resultatet är "Den angivna tjänsten finns inte som en installerad tjänst" måste du installera den Microsoft Defender Antivirus.
Mer information om hur du använder grupprinciper för att konfigurera och hantera Microsoft Defender Antivirus på Windows-servrar finns i Använda grupprincipinställningar för att konfigurera och hantera Microsoft Defender Antivirus.
Kör följande kommando för att verifiera att Microsoft Defender för Slutpunkt körs:
sc.exe query senseResultatet bör visa att det är igång. Om du stöter på problem med introduktion, se Felsöka registrering.
Köra ett identifieringstest
Följ stegen i Köra ett identifieringstest på en ny onboarded enhet för att verifiera att servern rapporterar till Defender för Slutpunktstjänsten.
Nästa steg
När du har introducerat enheter till tjänsten måste du konfigurera de enskilda komponenterna i Microsoft Defender för Slutpunkt. Följ instruktionerna för införande om du vill få vägledning om hur du aktiverar de olika komponenterna.
Offboard Windows servrar
Du kan offboard Windows Server 2012 R2, Windows Server 2016, Windows Server (SACK), Windows Server 2019, Windows Server 2019 Core-versionen med samma metod som finns för Windows 10-klientenheter.
- Offboard-enheter med grupprincip
- Offboard-enheter med Konfigurationshanteraren
- Offboard och övervaka enheter med hjälp av verktyg för hantering av mobila enheter
- Offboard-enheter med ett lokalt skript
För andra Windows-serverversioner har du två alternativ för att ta Windows andra servrar från tjänsten:
- Avinstallera MMA-agenten
- Ta bort Defender för slutpunktsarbetsytans konfiguration
Anteckning
*De här offboardinganvisningarna för andra Windows-serverversioner gäller även om du kör den tidigare Versionen av Microsoft Defender för slutpunkt för Windows Server 2016 och Windows Server 2012 R2 som kräver MMA. Instruktioner för hur du migrerar till den nya lösningen som inte har installerats finns under Servermigreringsscenarier i Microsoft Defender för Slutpunkt.
Relaterade ämnen
- Registrera tidigare versioner av Windows
- Registrera Windows 10-enheter
- Introducera icke-Windows-enheter
- Konfigurera inställningar för proxy- och Internetanslutning
- Köra ett identifieringstest på en nyligen onboarded Defender för Endpoint-enhet
- Felsökning av problem med introduktion till Microsoft Defender för slutpunkt