Konfigurera och konfigurera Microsoft Defender för Endpoint Plan 1

Gäller för:

I den här artikeln beskrivs hur du konfigurerar och konfigurerar Defender för Endpoint Plan 1. Oavsett om du har hjälp eller gör det själv kan du använda den här artikeln som en guide under hela distributionen.

Konfigurationsprocessen

Konfigurations- och distributionsflöde för Microsoft Defender för Endpoint Plan 1

Den allmänna konfigurationsprocessen för Defender för Endpoint Plan 1 är följande:

Tal Steg Beskrivning
1 Granska kraven Visar licenskrav, webbläsare, operativsystem och datacenterkrav
2 Planera distributionen Innehåller flera distributionsmetoder att överväga och innehåller länkar till fler resurser som hjälper dig att avgöra vilken metod du ska använda
3 Konfigurera klientorganisationsmiljön Visar uppgifter för att konfigurera klientmiljön
4 Tilldela roller och behörigheter Här listas de roller och behörigheter som du bör överväga för din säkerhetsgrupp

Tips! När roller och behörigheter har tilldelats kan säkerhetsteamet komma igång med att använda Microsoft 365 Defender portalen. Mer information finns i Komma igång.
5 Onboard to Defender för Endpoint Visar flera metoder för registrering av till Defender för slutpunktsplan 1 och innehåller länkar till mer detaljerad information för varje metod
6 Konfigurera nästa generations skydd Här beskrivs hur du konfigurerar nästa generations skyddsinställningar i Microsoft Endpoint Manager
7 Konfigurera funktioner för att minska attackytan Här listas de typer av funktioner för att minska attackytan som du kan konfigurera, samt procedurer med länkar till fler resurser

Granska kraven

I följande tabell finns grundläggande krav för Defender för Slutpunktsplan 1:

Krav Beskrivning
Licensieringskrav Defender för Endpoint Plan 1 (kallades tidigare för Microsoft Defender för Endpoint Lite)
Webbläsarkrav Microsoft Edge
Internet Explorer version 11
Google Chrome
Operativsystem Windows 10, version 1709 eller senare
macOS: 11.5 (Big Sur), 10.15.7 (Catalina) eller 10.14.6 (Mojave)
iOS
Android OS
Datacenter Någon av följande platser i datacentret:
- EUROPEISKA
- Storbritannien
- USA

Planera distributionen

När du planerar distributionen kan du välja mellan flera olika arkitekturer och distributionsmetoder. Varje organisation är unik, så du har flera alternativ att överväga, som anges i följande tabell:

Metod Beskrivning
Microsoft Intune (ingår i Microsoft Endpoint Manager) Använda Intune för att hantera slutpunkter i en inbyggd molnmiljö
Microsoft Intune och Konfigurationshanteraren (ingår i Microsoft Endpoint Manager) Använda Intune och Konfigurationshanteraren för att hantera slutpunkter och arbetsbelastningar som spänner över en lokal miljö och en molnmiljö
Configuration Manager Använda Konfigurationshanteraren för att skydda lokala slutpunkter med den molnbaserade kraften hos Defender för Slutpunkt
Lokalt skript som laddats ned från Microsoft 365 Defender portalen Använda lokala skript på slutpunkter för att köra en pilot eller bara registrera några få enheter

Mer information om distributionsalternativ finns i Planera distribution av Defender för slutpunkt. Ladda sedan ned följande affisch:

Miniatyrbild för distributionsstrategi

Hämta distributionsaffischen

Tips

Mer information om hur du planerar din distribution finns i Planera distribution av Microsoft Defender för slutpunkt.

Konfigurera klientorganisationsmiljön

Att konfigurera din klientorganisationsmiljö omfattar bland annat följande:

  • Verifiera dina licenser
  • Konfigurera klientorganisationen
  • Konfigurera dina proxyinställningar (endast om det behövs)
  • Kontrollera att sensorn fungerar korrekt och rapportera data till Defender för Endpoint

De här uppgifterna ingår i konfigurationsfasen för Defender för Endpoint. Se Konfigurera Defender för Slutpunkt.

Tilldela roller och behörigheter

För att kunna komma åt Microsoft 365 Defender-portalen, konfigurera inställningar för Defender för Endpoint eller utföra uppgifter, t.ex. vidta åtgärder för identifierade hot, måste rätt behörigheter tilldelas. Defender för Endpoint använder inbyggda roller i Azure Active Directory.

Microsoft rekommenderar att du tilldelar användarna den behörighetsnivå som de behöver för att utföra sina uppgifter. Du kan tilldela behörigheter med hjälp av grundläggande behörighetshantering eller med hjälp av rollbaserad åtkomstkontroll (RBAC).

  • Med grundläggande behörighetshantering har globala administratörer och säkerhetsadministratörer fullständig åtkomst, medan säkerhetsläsare är skrivskyddade.
  • Med RBAC kan du ange mer detaljerade behörigheter genom fler roller. Du kan till exempel ha säkerhetsläsare, säkerhetsoperatorer, säkerhetsadministratörer, slutpunktsadministratörer med mera.

I följande tabell beskrivs nyckelroller att överväga för Defender för Slutpunkt i din organisation:

Roll Beskrivning
Globala administratörer (kallas även globala administratörer)

Det är bäst att begränsa antalet globala administratörer.
Globala administratörer kan utföra alla typer av uppgifter. Den person som registrerade ditt företag för Microsoft 365 eller för Microsoft Defender för Endpoint Plan 1 är som standard global administratör.

Globala administratörer kan komma åt/ändra inställningar i Microsoft 365 portaler, till exempel:
- Administrationscenter för Microsoft 365 (https://admin.microsoft.com)
- Microsoft 365 Defender portal (https://security.microsoft.com)
- Microsoft Endpoint Manager administrationscenter (https://endpoint.microsoft.com)
Säkerhetsadministratörer (kallas även säkerhetsadministratörer) Säkerhetsadministratörer kan utföra uppgifter för säkerhetsoperatören plus följande uppgifter:
- Övervaka säkerhetsrelaterade principer
- Hantera säkerhetshot och varningar
- Visa rapporter
Säkerhetsoperatör Säkerhetsoperatorer kan utföra uppgifter för säkerhetsläsare och följande:
- Visa information om identifierade hot
- Undersöka och reagera på identifierade hot
Säkerhetsläsare Säkerhetsläsare kan utföra följande uppgifter:
– visa säkerhetsrelaterade principer i Microsoft 365 tjänster
– visa säkerhetshot och varningar
- Visa rapporter

Tips

Mer information om roller i Azure Active Directory finns i Tilldela administratörsroller och icke-administratörsroller till användare med Azure Active Directory. Mer information om roller för Defender för Endpoint finns i Rollbaserad åtkomstkontroll.

Onboard to Defender för Endpoint

När du är redo att introducera organisationens slutpunkter kan du välja mellan flera metoder, som anges i följande tabell:

Slutpunktsoperativsystemet Onboarding-metoder
Windows 10 Lokalt skript (upp till 10 enheter)
Grupprincip
Microsoft Endpoint Manager/Mobile Device Manager
Microsoft Endpoint Configuration Manager
VDI-skript
macOS Lokala skript
Microsoft Endpoint Manager
JAMF-Pro
Mobile Device Management
iOS Appbaserade
Android Microsoft Endpoint Manager

Fortsätt sedan med att konfigurera nästa generations funktion för att minska attackytan.

Konfigurera nästa generations skydd

Vi rekommenderar Microsoft Endpoint Manager du använder för att hantera organisationens enheter och säkerhetsinställningar, enligt följande bild:

Slutpunktssäkerhetsprinciper i MEM

Om du vill konfigurera nästa generations skydd i Microsoft Endpoint Manager du följande steg:

  1. Gå till Microsoft Endpoint Manager (https://endpoint.microsoft.com) och logga in.

  2. Välj Endpoint securityAntivirus > och välj sedan en befintlig princip. (Om du inte har en befintlig princip kan du skapa en ny princip.)

  3. Ange eller ändra inställningarna för antiviruskonfiguration. Behöver du hjälp? Se följande resurser:

  4. När du är klar med att ange dina inställningar väljer du Granska + Spara.

Konfigurera funktioner för att minska attackytan

Minskning av attackytan handlar om att minska platserna och hur organisationen är öppen för angrepp. Defender för slutpunktsplan 1 innehåller flera funktioner som hjälper dig att minska attackytorna över slutpunkterna. De här funktionerna listas i följande tabell:

Funktion/funktion Beskrivning
Regler för minskning av attackytan Konfigurera regler för att minska attackytan för att begränsa programvarubaserade riskbeteenden och skydda organisationen. Minskningsregler för attackytan riktar sig mot vissa programvarubeteenden, till exempel
- Starta körbara filer och skript som försöker ladda ned eller köra filer
- Köra obfuscated eller på annat sätt misstänkta skript
- Utföra beteenden som appar normalt inte initierar under normalt normalt arbete

Sådana programvarubeteenden kan ibland ses i legitima program. Dessa beteenden anses emellertid ofta vara riskfyllda eftersom de ofta används av attackerare via skadlig programvara.
Minskning av utpressningstrojaner Konfigurera åtgärder för utpressningstrojaner genom att konfigurera reglerad mappåtkomst som skyddar organisationens värdefulla data från skadliga program och hot, till exempel utpressningstrojaner.
Enhetskontroll Konfigurera enhetens kontrollinställningar för din organisation för att tillåta eller blockera flyttbara enheter (t.ex. USB-enheter).
Nätverksskydd Konfigurera nätverksskydd för att förhindra att personer i organisationen använder program som har åtkomst till skadliga domäner eller skadligt innehåll på Internet.
Webbskydd Konfigurera skydd mot webbhot för att skydda organisationens enheter från nätfiskewebbplatser, sårbarhetswebbplatser och andra webbplatser som inte är betrodda eller har gott rykte. Konfigurera webbinnehållsfiltrering för att spåra och reglera åtkomsten till webbplatser baserat på deras innehållskategorier (t.ex. Fritidsinnehåll, Hög bandbredd, Innehåll i vuxen och Juridiskt ansvar).
Nätverksbrandvägg Konfigurera nätverkets brandvägg med regler som avgör vilken nätverkstrafik som tillåts komma till eller gå ut från din organisations enheter.
Applikationskontroll Konfigurera programkontrollregler om du bara vill tillåta att betrodda program och processer körs på dina Windows enheter.

Regler för minskning av attackytan

Minskningsregler för attackytan är tillgängliga på enheter som kör Windows. Vi rekommenderar att Microsoft Endpoint Manager användning av en tabell, som visas på följande bild:

Minskningsregler för attackytan i Microsoft Endpoint Manager

  1. Gå till Microsoft Endpoint Manager (https://endpoint.microsoft.com) och logga in.

  2. Välj Endpoint securityAttack > surface reduction > + Create policy.

  3. För Plattform väljer du Windows 10 och senare.

  4. Under Profil väljer du Minskningsregler för attackytan och sedan Skapa.

  5. På fliken Grunder anger du ett namn och en beskrivning för principen och väljer sedan Nästa.

  6. På fliken Konfigurationsinställningar expanderar du Minska attackytans minskningsregler.

  7. Ange inställningar för varje regel och välj sedan Nästa. (Mer information om vad varje regel gör finns i Minskningsregler för attackytor.)

  8. Om organisationen använder omfattningstaggar på fliken Omfattningstaggar väljer du + Välj omfattningstaggar och väljer sedan de taggar du vill använda. Välj sedan Nästa.

    Mer information om omfattningstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfattningstaggar för distribuerad IT.

  9. På fliken Tilldelningar anger du de användare och grupper som principen ska tillämpas på och väljer sedan Nästa. (Mer information om uppgifter finns i Tilldela användar- och enhetsprofiler i Microsoft Intune.)

  10. Granska inställningarna på fliken Granska + skapa och välj sedan Skapa.

Minskning av utpressningstrojaner

Åtgärder för utpressningstrojaner åtgärdas genom kontrollerad mappåtkomst, vilket gör att endast betrodda program kan komma åt skyddade mappar på slutpunkterna.

Vi rekommenderar att du Microsoft Endpoint Manager att konfigurera reglerad mappåtkomst.

ASR-principer i Microsoft Endpoint Manager

  1. Gå till Microsoft Endpoint Manager (https://endpoint.microsoft.com) och logga in.

  2. Välj Slutpunktssäkerhet och sedan Attack Surface Reduction.

  3. Välj + Skapa princip.

  4. För Plattform väljer du alternativ Windows 10 senare, och för Profil väljer du Minskningsregler för attackytan. Välj sedan Skapa.

  5. På fliken Grunder ger du principen ett namn och lägger till en beskrivning. Välj Nästa.

  6. Rulla ned till slutet av avsnittet Attack Surface Reduction Rules på fliken Konfigurationsinställningar. I listrutan Aktivera mappskydd väljer du Aktivera. Om du vill kan du ange följande inställningar:

    • Bredvid Lista över ytterligare mappar som ska skyddas väljer du listrutan och lägger sedan till mappar som ska skyddas.
    • Bredvid Lista över program som har åtkomst till skyddade mappar väljer du listrutan och lägger sedan till program som ska ha åtkomst till skyddade mappar.
    • Bredvid Exkludera filer och sökvägar från minskningsregler för attackytan väljer du listrutan och lägger sedan till de filer och sökvägar som behöver undantas från minskningsregler för attackytan.

    Välj sedan Nästa.

  7. Om organisationen använder omfattningstaggar på fliken Omfattningstaggar väljer du + Välj omfattningstaggar och väljer sedan de taggar du vill använda. Välj sedan Nästa.

    Mer information om omfattningstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfattningstaggar för distribuerad IT.

  8. På fliken Uppgifter väljer du Lägg till alla användare och + Lägg till alla enheter och väljer sedan Nästa. (Du kan alternativt ange specifika grupper av användare eller enheter.)

  9. Granska inställningarna för principen på fliken Granska + skapa och välj sedan Skapa. Principen kommer att tillämpas på alla slutpunkter som inom kort skickades till Defender för Slutpunkt.

Enhetskontroll

Du kan konfigurera Defender för Slutpunkt om du vill blockera eller tillåta flyttbara enheter och filer på flyttbara enheter. Vi rekommenderar att du Microsoft Endpoint Manager att konfigurera inställningarna för enhetskontroll.

Microsoft Endpoint Manager administrativa mallar

  1. Gå till Microsoft Endpoint Manager (https://endpoint.microsoft.com) och logga in.

  2. Välj Enheter > Konfigurationsprofiler > Skapa profil.

  3. För Plattform väljer du Windows 10 och senare, och för Profiltyp väljer du Mallar.

    Under Mallnamn väljer du Administrativa mallar och sedan Skapa.

  4. På fliken Grunder ger du principen ett namn och lägger till en beskrivning. Välj Nästa.

  5. På fliken Konfigurationsinställningar väljer du Alla Inställningar. I sökrutan skriver du för att Removable visa alla inställningar som gäller för flyttbara enheter.

  6. Markera ett objekt i listan, till exempel Alla flyttbara Storage klasser: Neka all åtkomst för att öppna det utfällbara fönstret. I den utfällda utfällningen för varje inställning förklaras vad som händer när det är aktiverat, inaktiverat eller inte konfigurerat. Välj en inställning och välj sedan OK.

  7. Upprepa steg 6 för varje inställning som du vill konfigurera. Välj sedan Nästa.

  8. Om organisationen använder omfattningstaggar på fliken Omfattningstaggar väljer du + Välj omfattningstaggar och väljer sedan de taggar du vill använda. Välj sedan Nästa.

    Mer information om omfattningstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfattningstaggar för distribuerad IT.

  9. På fliken Uppgifter väljer du Lägg till alla användare och + Lägg till alla enheter och väljer sedan Nästa. (Du kan alternativt ange specifika grupper av användare eller enheter.)

  10. Granska inställningarna för principen på fliken Granska + skapa och välj sedan Skapa. Principen kommer att tillämpas på alla slutpunkter som inom kort skickades till Defender för Slutpunkt.

Nätverksskydd

Med nätverksskydd kan du skydda organisationen mot skadliga domäner som kan vara värdar för nätfiske, sårbarheter och annat skadligt innehåll på Internet. Vi rekommenderar Microsoft Endpoint Manager att aktivera nätverksskydd.

Profil för slutpunktsskydd i Microsoft Endpoint Manager

  1. Gå till Microsoft Endpoint Manager (https://endpoint.microsoft.com) och logga in.

  2. Välj Enheter > Konfigurationsprofiler > Skapa profil.

  3. För Plattform väljer du Windows 10 och senare, och för Profiltyp väljer du Mallar.

    Under Mallnamn väljer du Slutpunktsskydd och sedan Skapa.

  4. På fliken Grunder ger du principen ett namn och lägger till en beskrivning. Välj Nästa.

  5. På fliken Konfigurationsinställningar expanderar du Microsoft Defender Exploit Guard och expanderar sedan Nätverksfiltrering.

    Ställ in NätverksskyddAktivera. (Du kan alternativt välja Granska för att först se hur nätverksskyddet fungerar i din miljö.)

    Välj sedan Nästa.

  6. På fliken Uppgifter väljer du Lägg till alla användare och + Lägg till alla enheter och väljer sedan Nästa. (Du kan alternativt ange specifika grupper av användare eller enheter.)

  7. Konfigurera en regel på fliken Tillämplighetsregler. Den profil som du konfigurerar kommer endast att användas på enheter som uppfyller de kombinerade villkor som du anger.

    Du kan till exempel välja att tilldela principen till slutpunkter som kör endast en viss OS-version.

    Välj sedan Nästa.

  8. Granska inställningarna för principen på fliken Granska + skapa och välj sedan Skapa. Principen kommer att tillämpas på alla slutpunkter som inom kort skickades till Defender för Slutpunkt.

Tips

Du kan använda andra metoder, till exempel Windows PowerShell eller grupprincip, för att aktivera nätverksskydd. Mer information finns i Aktivera nätverksskydd.

Webbskydd

Med webbskydd kan du skydda organisationens enheter mot webbhot och oönskat innehåll. Ditt webbskydd omfattar skydd mot webbhot och webbinnehållsfiltrering. Konfigurera båda uppsättningarna med funktioner. Vi rekommenderar att Microsoft Endpoint Manager att konfigurera inställningarna för webbskydd.

Konfigurera skydd mot webbhot

  1. Gå till Microsoft Endpoint Manager (https://endpoint.microsoft.com) och logga in.

  2. Välj Endpoint securityAttack > surface reduction och sedan + Create policy.

  3. Välj en plattform, till Windows 10 eller senare, välj webbskyddsprofilen och välj sedan Skapa.

  4. På fliken Grunder anger du ett namn och en beskrivning och väljer sedan Nästa.

  5. På fliken Konfigurationsinställningar expanderar du Webbskydd, anger inställningarna i följande tabell och väljer sedan Nästa.

    Inställning Rekommendation
    Aktivera nätverksskydd Ange som Aktiverad. Förhindrar användare att besöka skadliga webbplatser eller domäner.

    Alternativt kan du ställa in nätverksskydd på Granskningsläge för att se hur det fungerar i din miljö. I granskningsläge hindrar inte nätverksskydd användare från att besöka webbplatser eller domäner, men identifieringar spåras som händelser.
    Kräv SmartScreen för Microsoft Edge (äldre version) Ange ja. Hjälper till att skydda användare från potentiella nätfiskebedrägerier och skadlig programvara.
    Blockera åtkomst till skadlig webbplats Ange ja. Förhindrar att användare kringgår varningar om potentiellt skadliga webbplatser.
    Blockera nedladdning av overifierade filer Ange ja. Förhindrar användare från att kringgå varningar och ladda ned overifierade filer.
  6. Om organisationen använder omfattningstaggar på fliken Omfattningstaggar väljer du + Välj omfattningstaggar och väljer sedan de taggar du vill använda. Välj sedan Nästa.

    Mer information om omfattningstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfattningstaggar för distribuerad IT.

  7. På fliken Uppgifter anger du vilka användare och enheter som ska få webbskyddsprincipen och väljer sedan Nästa.

  8. Granska dina principinställningar på fliken Granska + skapa och välj sedan Skapa.

Tips

Mer information om skydd mot webbhot finns i Skydda organisationen mot webbhot.

Konfigurera webbinnehållsfiltrering

  1. Gå till Microsoft 365 Defender (https://security.microsoft.com/) och logga in.

  2. Välj Inställningar > Endpoints.

  3. Under Regler väljer du Webbinnehållsfiltrering och sedan + Lägg till princip.

  4. Ange ett namn för principen på fliken Allmänt i den utfällna fliken Lägg till princip och välj sedan Nästa.

  5. I kategorierna Blockerade markerar du en eller flera kategorier som du vill blockera och väljer sedan Nästa.

  6. På fliken Omfattning väljer du de enhetsgrupper som du vill ska få den här principen och väljer sedan Nästa.

  7. Granska dina principinställningar på fliken Sammanfattning och välj sedan Spara.

Tips

Mer information om hur du konfigurerar webbinnehållsfiltrering finns i Webbinnehållsfiltrering.

Nätverksbrandvägg

Nätverksbrandväggen minskar risken för nätverkshot. Säkerhetsteamet kan ange regler som avgör vilken trafik som tillåts att gå till eller från organisationens enheter. Vi rekommenderar att du Microsoft Endpoint Manager att konfigurera nätverkets brandvägg.

Brandväggsprincip i Microsoft Endpoint Manager

Om du vill konfigurera grundläggande inställningar för brandväggen gör du så här:

  1. Gå till Microsoft Endpoint Manager (https://endpoint.microsoft.com) och logga in.

  2. Välj Endpoint securityFirewall > och välj sedan + Create Policy.

  3. Välj en plattform, till exempel Windows 10 eller senare, välj Microsoft Defender-brandväggsprofilen och välj sedan Skapa.

  4. På fliken Grunder anger du ett namn och en beskrivning och väljer sedan Nästa.

  5. Expandera Microsoft Defender-brandväggen och rulla ned till slutet av listan.

  6. Ange ja för var och en av följande inställningar:

    • Aktivera Microsoft Defender-brandväggen för domännätverk
    • Aktivera Microsoft Defender-brandväggen för privata nätverk
    • Aktivera Microsoft Defender-brandväggen för offentliga nätverk

    Granska listan med inställningar under varje domännätverk, privata nätverk och offentliga nätverk. Du kan låta dem vara inställda på Ej konfigurerade eller ändra dem så att de passar organisationens behov.

    Välj sedan Nästa.

  7. Om organisationen använder omfattningstaggar på fliken Omfattningstaggar väljer du + Välj omfattningstaggar och väljer sedan de taggar du vill använda. Välj sedan Nästa.

    Mer information om omfattningstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfattningstaggar för distribuerad IT.

  8. På fliken Uppgifter väljer du Lägg till alla användare och + Lägg till alla enheter och väljer sedan Nästa. (Du kan alternativt ange specifika grupper av användare eller enheter.)

  9. Granska dina principinställningar på fliken Granska + skapa och välj sedan Skapa.

Tips

Inställningarna för brandväggen är detaljerade och kan verka komplexa. Läs Rekommendationer för konfiguration av Windows Defender brandväggen.

Applikationskontroll

Windows Defender programkontroll (WDAC) skyddar dina Windows genom att bara tillåta att betrodda program och processer körs. De flesta organisationer använde en fasad distribution av WDAC. Det innebär att de flesta organisationer inte distribuerar WDAC över Windows slutpunkter först. Beroende på om din organisations slutpunkter för Windows är helt hanterade, lätt hanterade eller "Ta med din egen enhet" kan du distribuera WDAC på alla eller vissa slutpunkter.

Information om hur du planerar WDAC-distributionen finns i följande resurser:

Nästa steg

Nu när du har gått igenom konfigurationsprocessen är nästa steg att komma igång med Defender för Slutpunkt.