Registrera tidigare versioner av Windows

Gäller för:

Plattformar

  • Windows 7 SP1 Enterprise
  • Windows 7 SP1-Pro
  • Windows 8.1 Pro
  • Windows 8.1 Enterprise
  • Windows Server 2008 R2 SP1

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Defender för Endpoint utökar stödet till att inkludera operativsystem på undernivå, vilket ger avancerade funktioner för identifiering och undersökning av attack Windows versioner.

Om du vill introducera Windows-slutpunkter i Defender för Endpoint måste du:

För Windows Server 2008 R2 SP1 kan du registrera dig via Microsoft Defender för molnet.

Anteckning

Defender för fristående Slutpunkt-serverlicens krävs per nod för att kunna introducera en Windows-server via Microsoft Monitoring Agent (alternativ 1). Alternativt krävs en Microsoft Defender för servrar-licens per nod för att kunna introducera en Windows-server via Microsoft Defender för molnet (alternativ 2) i Funktioner som stöds i Microsoft Defender för molnet.

Tips

När du har introducerat enheten kan du välja att köra ett identifieringstest för att verifiera att den är korrekt onboarded till tjänsten. Mer information finns i Köra ett identifieringstest på en nyligen onboarded Defender för Slutpunktsslutpunkt.

Konfigurera och uppdatera System Center Endpoint Protection klienter

Viktigt

Det här steget krävs bara om din organisation använder System Center Endpoint Protection (S UPP)..

Defender för Endpoint integreras med System Center Endpoint Protection för att göra det möjligt att identifiera skadlig programvara och stoppa spridning av en attack i organisationen genom att förbjuda potentiellt skadliga filer eller misstänkt skadlig programvara.

Följande steg krävs för att aktivera den här integreringen:

Installera och konfigurera Microsoft Monitoring Agent (MMA)

Innan du börjar

Granska följande information för att verifiera lägsta systemkrav:

Installationssteg

  1. Ladda ned installationsfilen för agenten: Windows 64-bitars agent eller Windows 32-bitars agent.

  2. Hämta arbetsyte-ID:

    • I navigeringsfönstret i Defender för slutpunkt väljer du Inställningar > Enhetshantering > Onboarding
    • Välj operativsystemet
    • Kopiera arbetsyte-ID:t och arbetsytenyckeln
  3. Använd nyckeln Arbetsyte-ID och Arbetsyta genom att välja någon av följande installationsmetoder för att installera agenten:

    Anteckning

    Om du är en myndighetskund i USA måste du under "Azure Cloud" välja "Azure US Government" om du använder installationsguiden, eller om du använder en kommandorad eller ett skript – ange parametern "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" till 1.

  4. Om du använder en proxyserver för att ansluta till Internet kan du gå till avsnittet Konfigurera proxy- och Internetanslutningsinställningar.

När den är klar bör du se onboarded endpoints i portalen inom en timme.

Konfigurera inställningar för proxy- och Internetanslutning

Om dina servrar behöver använda en proxy för att kommunicera med Defender för Endpoint använder du någon av följande metoder för att konfigurera MMA att använda proxyservern:

Om en proxy eller brandvägg används bör du kontrollera att servrarna kan komma åt alla URL-adresser för Microsoft Defender för Slutpunkt-tjänsten direkt och utan SSL-avlyssning. Mer information finns i aktivera åtkomst till Defender för slutpunktstjänst-URL:er. Användning av SSL-avlyssning förhindrar att systemet kommunicerar med Defender för Endpoint-tjänsten.

När den är klar bör du se Windows-servrar i portalen inom en timme.

Onboard Windows servers through Microsoft Defender for Cloud

  1. Välj Microsoft 365 Defender i navigeringsfönstret Inställningar > Registrering av > enhetshantering.

  2. Välj Windows Server 2008 R2 SP1 som operativsystem.

  3. Klicka på Onboard Servers i Microsoft Defender för Cloud.

  4. Följ introduktionsanvisningarna i Microsoft Defender för Slutpunkt med Microsoft Defender för molnet och Om du använder Azure ARC följer du introduktionsanvisningarna i Aktivera Microsoft Defender för slutpunktsintegrering.

När du har slutfört introduktionsstegen måste du Konfigurera och uppdatera System Center Endpoint Protection klienter.

Anteckning

  • För att onboarding via Microsoft Defender för servrar ska fungera som förväntat måste servern ha en lämplig arbetsyta och nyckel konfigurerad i inställningarna för Microsoft Monitoring Agent (MMA).
  • När det har konfigurerats distribueras rätt molnhanteringspaket på datorn och sensorprocessen (MsSenseS.exe) distribueras och startas.
  • Det här krävs också om servern är konfigurerad att använda en OMS Gateway-server som proxy.

Verifiera registrering

Kontrollera att Microsoft Defender AV och Microsoft Defender för Slutpunkt körs.

Anteckning

Du behöver inte köra Microsoft Defender AV, men vi rekommenderar det. Om en annan antivirusleverantör är den primära lösning för slutpunktsskydd kan du köra Defender Antivirus i passivt läge. Du kan bara bekräfta att passivt läge är på när du har verifierat att Microsoft Defender för Endpoint sensor (SENSE) körs.

  1. Kör följande kommando för att verifiera att Microsoft Defender AV är installerat:

    sc.exe query Windefend

    Om resultatet är "Den angivna tjänsten finns inte som en installerad tjänst" måste du installera Microsoft Defender AV. Mer information finns i Microsoft Defender Antivirus i Windows 10.

    Mer information om hur du använder grupprinciper för att konfigurera och hantera Microsoft Defender Antivirus på Windows-servrar finns i Använda grupprincipinställningar för att konfigurera och hantera Microsoft Defender Antivirus.

  2. Kör följande kommando för att verifiera att Microsoft Defender för Slutpunkt körs:

    sc.exe query sense

    Resultatet bör visa att det är igång. Om du stöter på problem med introduktion, se Felsöka registrering.

Köra ett identifieringstest

Följ stegen i Köra ett identifieringstest på en ny onboarded enhet för att verifiera att servern rapporterar till Defender för Slutpunktstjänsten.

Onboarding-slutpunkter utan hanteringslösning

Använda grupprinciper

Steg 1: Ladda ned motsvarande udpate för slutpunkten.

  1. Gå till c:\windows\sysvol\domain\scripts (du kan behöva ändra kontrollen på en av domänkontrollanterna.)

  2. Skapa en mapp med namnet MMA.

  3. Ladda ned följande och placera dem i MMA-mappen:

    För Windows Server 2008 R2 SP1 krävs också följande uppdateringar:

    Februari 2018 Månads sammanslagning – KB4074598 (Windows Server 2008 R2)

    Microsoft Update-katalog
    Ladda ned uppdateringar för Windows Server 2008 R2 x64

    .NET Framework 3.5.1 (KB315418)
    För Windows Server 2008 R2 x64

    Anteckning

    Den här artikeln förutsätter att du använder x64-baserade servrar (MMA Agent .exe x64 Ny SHA-2-kompatibel version).

Steg 2: Skapa ett filnamn DeployMMA.cmd (med anteckningar) Lägg till följande rader i cmd-filen. Observera att du behöver ditt ARBETSYTE-ID och en NYCKEL.

Följande kommando är ett exempel. Ersätt följande värden:

  • KB – Använd tillämplig KB som är relevant för slutpunkten du börjar
  • Arbetsyte-ID och -NYCKEL – använd ditt ID och din nyckel
@echo off 
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" ( 
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t: "C:\Windows\MMA"c:\windows\MMA\ setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1
OPINSIGHTS_WORKSPACE_ID="<your workspace ID>"
OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1
)

)

Grupprincipkonfiguration

Skapa en ny grupprincip specifikt för onboarding-enheter, till exempel "Microsoft Defender för slutpunkts onboarding".

  • Skapa en grupprincipmapp med namnet "c:\windows\MMA"

    mappar

    Då sparas en ny mapp på varje server där GPO:t tillämpas, en så kallad MMA-mapp, som lagras i c:\windows. Det här innehåller installationsfilerna för MMA, förutsättningarna och installationsskriptet.

  • Skapa en inställning för grupprincipfiler för var och en av de filer som lagras i Net-inloggningen.

    grupprincipbild1

Filerna kopieras från DOMÄN\NETLOGON\MMA\filnamn till C:\windows\MMA\filnamn – så installationsfilerna är lokala för servern:

distribuera mma cmd

Upprepa processen men skapa objektnivåanpassning på fliken COMMON så att filen endast kopieras till rätt plattform/operativsystemsversion i omfattning:

målredigeraren

För Windows Server 2008 R2 behöver du (och den kopieras bara nedåt) följande:

  • Windows6.1-KB3080149-x64.msu
  • Windows6.1-KB3154518-x64.msu
  • Windows6.1-KB4075598-x64.msu

När det är klart måste du skapa en princip för startskript:

startegenskaper

Namnet på filen du vill köra här är c:\windows\MMA\DeployMMA.cmd. När servern startas om som en del av startprocessen installeras uppdateringen för kundupplevelse och diagnostisk telemetri KB, och mma-agenten installeras samtidigt som arbetsyte-ID och nyckel konfigureras för servern.

Du kan också använda en omedelbar uppgift för att köra distribueraMMA.cmd om du inte vill starta om alla servrar.

Det kan du göra i två faser. Skapa först filerna och mappen i GPO – Se till att GPO:t tillämpas och alla servrar har installationsfilerna. Lägg sedan till den direkta uppgiften. Det här uppnår samma resultat utan att behöva starta om datorn.

Eftersom skriptet har en utgångsmetod och inte körs på nytt om MMA är installerat, kan du också använda en daglig schemalagd aktivitet för att uppnå samma resultat. Liknar en konfigurationshanterarens efterlevnadsprincip som den kontrollerar dagligen för att säkerställa att MMA finns.

schemalägg aktivitet

nya aktivitetsegenskaper

distribuera mma nedladdnings-props

schemaläggaren

Som nämns i dokumentationen för onboarding för Server specifikt kring Server 2008 R2 se nedan: För Windows Server 2008 R2 SP1, se till att du uppfyller följande krav:

Kontrollera vilka KB som finns innan du börjar Windows Server 2008 R2. Med den här processen kan du hantera alla servrar om du inte har Configuration Manager som hanterar servrar.

Offboard-slutpunkter

Du kan välja mellan två Windows slutpunkter från tjänsten:

  • Avinstallera MMA-agenten
  • Ta bort Defender för slutpunktsarbetsytans konfiguration

Anteckning

Offboarding gör att Windows-slutpunkten slutar skicka sensordata till portalen, men data från slutpunkten, inklusive referens till aviseringar som den hade kommer att behållas i upp till 6 månader.

Avinstallera MMA-agenten

Om du vill ta Windows ut den första slutpunkten kan du avinstallera MMA-agenten eller koppla från den från rapporteringen till Defender för slutpunkt-arbetsytan. När agenten har offboarding skickar slutpunkten inte längre sensordata till Defender för Slutpunkt. Mer information finns i Inaktivera en agent.

Ta bort Defender för slutpunktsarbetsytans konfiguration

Du kan använda någon av följande metoder:

  • Ta bort konfiguration av Defender för slutpunktsarbetsyta från MMA-agenten
  • Köra ett PowerShell-kommando för att ta bort konfigurationen

Ta bort konfiguration av Defender för slutpunktsarbetsyta från MMA-agenten

  1. På fliken Microsoft Monitoring Agent Properties väljer du fliken Azure Log Analytics (OMS).

  2. Välj Defender för slutpunktsarbetsytan och klicka på Ta bort.

    Bild på egenskaper för Microsoft Monitoring Agent

Köra ett PowerShell-kommando för att ta bort konfigurationen

  1. Skaffa ditt arbetsyte-ID:

    1. I navigeringsfönstret väljer du Inställningar > Onboarding.

    2. Välj relevant operativsystem och skaffa ditt Arbetsyte-ID.

  2. Öppna en PowerShell med förhöjd behörighet och kör följande kommando. Använd det arbetsyte-ID du skaffade och WorkspaceID ersätter:

    $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
    # Remove OMS Workspace
    $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
    # Reload the configuration and apply changes
    $AgentCfg.ReloadConfiguration()