Introduktion med hjälp av Microsoft Endpoint Configuration Manager

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln är en del av distributionsguiden och fungerar som ett exempel på onboarding-metod.

I ämnet Planering finns det flera metoder för att introducera enheter till tjänsten. Det här avsnittet behandlar arkitekturen för samtidig hantering.

Bild av molnbaserad arkitektur. Diagram över miljöarkitekturer

Defender för Endpoint har stöd för registrering av olika slutpunkter och verktyg, men den här artikeln täcker inte in dem. Mer information om allmän onboarding med andra distributionsverktyg och metoder som stöds finns i Översikt över onboarding.

Det här avsnittet leder användarna i:

  • Steg 1: Windows till tjänsten
  • Steg 2: Konfigurera Defender för slutpunktsfunktioner

Den här introduktionsvägledningen går igenom följande grundläggande steg som du måste vidta när du använder Microsoft Endpoint Configuration Manager:

  • Skapa en samling i Microsoft Endpoint Configuration Manager
  • Konfigurera Microsoft Defender för slutpunktsfunktioner med Microsoft Endpoint Configuration Manager

Anteckning

Endast Windows enheter omfattas av den här exempeldistributionen.

Steg 1: Introducera Windows-enheter med Microsoft Endpoint Configuration Manager

Skapa samling

Om du Windows registrera Microsoft Endpoint Configuration Manager-enheter med hjälp av Microsoft Endpoint Configuration Manager kan distributionen ha en befintlig samling som mål, eller så kan en ny samling skapas för testning.

Registrering med verktyg som grupprincip eller manuell metod installerar inte någon agent i systemet.

I Microsoft Endpoint Configuration Manager konsolen konfigureras onboarding-processen som en del av inställningarna för efterlevnad i konsolen.

Alla system som får den här nödvändiga konfigurationen behåller den konfigurationen så länge Konfigurationshanteraren-klienten fortsätter att ta emot den här principen från hanteringspunkten.

Följ stegen nedan för att registrera slutpunkter med hjälp Microsoft Endpoint Configuration Manager.

  1. I Microsoft Endpoint Configuration Manager går du till Enhetssamlingar för tillgångar och > > efterlevnadsöversikt.

    Bild av Microsoft Endpoint Configuration Manager 1.

  2. Högerklicka på Enhetssamling och välj Skapa enhetssamling.

    Bild på Microsoft Endpoint Configuration Manager 2.

  3. Ange ett namn och en begränsad samling och välj sedan Nästa.

    Bild på Microsoft Endpoint Configuration Manager 3.

  4. Välj Lägg till regel och välj Frågeregel.

    Bild av Microsoft Endpoint Configuration Manager guiden4.

  5. Klicka Nästa i guiden Direktmedlemskap och klicka på Redigera frågeutdrag.

    Bild på Microsoft Endpoint Configuration Manager 5.

  6. Välj Villkor och välj sedan stjärnikonen.

    Bild av Microsoft Endpoint Configuration Manager guide6.

  7. Se till att villkorstypen är ett enkelt värde , välj var som operativsystem versionsnummer , operator som är större än eller lika med och värde 14393 och klicka på OK.

    Bild av Microsoft Endpoint Configuration Manager guide7.

  8. Välj Nästa och Stäng.

    Bild av Microsoft Endpoint Configuration Manager guide8.

  9. Välj Nästa.

    Bild av Microsoft Endpoint Configuration Manager guiden9.

När du har slutfört den här uppgiften har du en enhetssamling med Windows alla slutpunkter i miljön.

Steg 2: Konfigurera Microsoft Defender för slutpunktsfunktioner

I det här avsnittet får du hjälp med att konfigurera följande funktioner Microsoft Endpoint Configuration Manager på Windows enheter:

Identifiering och svar av slutpunkt

Windows 10 och Windows 11

Från Microsoft 365 Defender-portalen kan du ladda ned den princip som kan användas för att skapa principen i System Center Configuration Manager och distribuera den principen på Windows 10 och .onboarding Windows 11 enheter.

  1. I en Microsoft 365 Defender portalväljer du Inställningar och sedan Onboarding.

  2. Under Distributionsmetod väljer du den version av Microsoft Endpoint Configuration Manager .

    Bild av Microsoft Defender för introduktionsguiden för slutpunkt10.

  3. Välj Ladda ned paket.

    Bild av Microsoft Defender för introduktionsguiden för slutpunkt11.

  4. Spara paketet på en tillgänglig plats.

  5. I Microsoft Endpoint Configuration Manager du till: Tillgångar och efterlevnad > översikt > Endpoint Protection > Microsoft Defender ATP-principer.

  6. Högerklicka på Microsoft Defender ATP-principer och välj Skapa Microsoft Defender ATP-princip.

    Bild av Microsoft Endpoint Configuration Manager 12.

  7. Ange namn och beskrivning, kontrollera att Onboarding är markerat och välj sedan Nästa.

    Bild av Microsoft Endpoint Configuration Manager 13.

  8. Klicka på Bläddra.

  9. Navigera till platsen för den nedladdade filen från steg 4 ovan.

  10. Klicka Nästa.

  11. Konfigurera agenten med lämpliga exempel (Ingen eller Alla filtyper).

    Bild av konfigurationsinställningar1.

  12. Välj lämplig telemetri (Normal eller Expedited) och klicka sedan på Nästa.

    Bild av konfigurationsinställningar2.

  13. Verifiera konfigurationen och klicka sedan på Nästa.

    Bild på konfigurationsinställningar3.

  14. Klicka Stäng när guiden är klar.

  15. Högerklicka Microsoft Endpoint Configuration Manager Defender för slutpunktsprincip du just skapade i konsolen och välj Distribuera.

    Bild av konfigurationsinställningar4.

  16. På den högra panelen markerar du den tidigare skapade samlingen och klickar på OK.

    Bild av konfigurationsinställningar5.

Tidigare versioner av Windows (version Windows 7 och Windows 8.1)

Följ stegen nedan för att identifiera defender för slutpunktsarbetsyta och arbetsytenyckel, som krävs för registrering av tidigare versioner av Windows.

  1. Välj Onboarding Inställningar slutpunkter > > (under Enhetshantering) i en Microsoft 365 Defender-portal.

  2. Under Operativsystem väljer du Windows 7 SP1 och 8.1.

  3. Kopiera arbetsyte-ID och arbetsytenyckel och spara dem. De kommer att användas senare i processen.

    Bild på onboarding.

  4. Installera Microsoft Monitoring Agent (MMA).

    MMA stöds för närvarande (från och med januari 2019) på följande Windows operativsystem:

    • Server-SKU:er: Windows Server 2008 SP1 eller nyare
    • Klient-SKU:er: Windows 7 SP1 och senare

    MMA-agenten måste installeras på Windows enheter. För att kunna installera agenten måste vissa system ladda ned uppdatering för kundupplevelse och diagnostisk telemetri för att kunna samla in data med MMA. Dessa systemversioner omfattar men kan inte begränsas till:

    • Windows 8.1
    • Windows 7
    • Windows Server 2016
    • Windows Server 2012 R2
    • Windows Server 2008 R2

    Mer specifikt Windows 7 SP1 måste följande korrigeringar installeras:

  5. Om du använder en proxyserver för att ansluta till Internet kan du gå till avsnittet Konfigurera proxyinställningar.

När den är klar bör du se onboarded endpoints i portalen inom en timme.

Nästa generations skydd

Microsoft Defender Antivirus är en inbyggd antimalwarelösning som ger nästa generations skydd för stationära datorer, bärbara datorer och servrar.

  1. I Microsoft Endpoint Configuration Manager navigerar du till Översikt över tillgångar och > efterlevnad Endpoint Protection > > antimalware-policyer och väljer Skapa program mot skadlig programvara.

    Bild av program mot skadlig programvara.

  2. Välj Schemalagda genomsökningar , Sökinställningar , Standardåtgärder , Realtidsskydd , Undantagsinställningar, Avancerat, Åsidosättningar av hot, Molnskyddstjänst och Säkerhetsintelligensuppdateringar och välj OK.

    Bild av nästa generations skyddsfönster1.

    I vissa branscher eller vissa utvalda företagskunder kan ha specifika behov av hur Antivirus är konfigurerat.

    Snabbsökning kontra fullständig sökning och anpassad sökning

    Mer information finns i Windows-säkerhet konfigurationsramverket.

    Bild av nästa generations skyddsfönster2.

    Bild av nästa generations skyddsfönster3.

    Bild av nästa generations skyddsfönster4.

    Bild av nästa generations skyddsfönster5.

    Bild av nästa generations skyddsfönster6.

    Bild av nästa generations skyddsfönster7.

    Bild av nästa generations skyddsfönster8.

    Bild av nästa generations skyddsfönster9.

  3. Högerklicka på den nyligen skapade programprincipen för program mot skadlig programvara och välj Distribuera.

    Bild av nästa generations skyddsfönster10.

  4. Rikta den nya program mot skadlig programvara till din Windows och klicka på OK.

    Bild av nästa generations skyddsfönster11.

När du har slutfört den här uppgiften har du nu konfigurerat Windows Defender Antivirus.

Minska attackytan

Minskning av attackytan hos Defender för Endpoint inkluderar funktionsuppsättningen som är tillgänglig under Exploit Guard. ASR-regler (Attack Surface Reduction), Kontrollerad mappåtkomst, Nätverksskydd och Sårbarhetsskydd.

Alla dessa funktioner ger ett granskningsläge och ett blockläge. I granskningsläge påverkar det inte slutanvändaren. Allt som samlas in är ytterligare telemetri och gör den tillgänglig i Microsoft 365 Defender portalen. Syftet med en distribution är att stegvis flytta säkerhetskontroller till blockläge.

Så här anger du ASR-regler i granskningsläge:

  1. På Microsoft Endpoint Configuration Manager navigerar du till Översikt över tillgångar och > efterlevnad Endpoint Protection Windows Defender > > Sårbarhetsskydd och väljer Skapa sårbarhetsskyddspolicy.

    Bild på Microsoft Endpoint Configuration Manager console0.

  2. Välj Minska attackytan.

  3. Ange att regler ska granskas och klicka på Nästa.

    Bild på Microsoft Endpoint Configuration Manager konsol1.

  4. Bekräfta den nya Exploit Guard-policyn genom att klicka på Nästa.

    Bild på Microsoft Endpoint Configuration Manager konsol2.

  5. När principen har skapats klickar du på Stäng.

    Bild på Microsoft Endpoint Configuration Manager console3.

  6. Högerklicka på den nya principen och välj Distribuera.

    Bild på Microsoft Endpoint Configuration Manager console4.

  7. Rikta principen mot den nya Windows och klicka på OK.

    Bild på Microsoft Endpoint Configuration Manager konsol5.

När du har slutfört den här uppgiften har du nu konfigurerat ASR-regler i granskningsläge.

Nedan följer ytterligare steg för att verifiera om ASR-regler tillämpas korrekt på slutpunkter. (Det kan ta några minuter)

  1. Från en webbläsare går du till Microsoft 365 Defender.

  2. Välj Konfigurationshantering på menyn till vänster.

  3. Klicka på Gå till hantering av attackytor i hanteringspanelen för attackytor.

    Bild på hantering av attackytor.

  4. Klicka på fliken Konfiguration i rapporterna för minskning av attackytan. Den visar en översikt över asr-regler och status för ASR-regler på varje enhet.

    En skärmbild av reglerna för minskning av attackytan1.

  5. Klicka på varje enhet visar konfigurationsinformation för ASR-regler.

    En skärmbild av minskningsregler för attackytan2.

Mer information finns i Optimera ASR-regeldistribution och identifieringar.

Ange nätverksskyddsregler i granskningsläge

  1. På Microsoft Endpoint Configuration Manager navigerar du till Översikt över tillgångar och > efterlevnad Endpoint Protection Windows Defender > > Sårbarhetsskydd och väljer Skapa sårbarhetspolicy.

    En skärmbild System Center Konfigurationshanteraren1.

  2. Välj Nätverksskydd.

  3. Ange inställningen Granskning och klicka på Nästa.

    En skärmbild System Center Konfigurationshanteraren2.

  4. Bekräfta den nya Exploit Guard-policyn genom att klicka på Nästa.

    En skärmbild av sårbarhetsskyddets policy1.

  5. Klicka på Stäng när principen har skapats.

    En skärmbild av sårbarhetsskyddets policy2.

  6. Högerklicka på den nya principen och välj Distribuera.

    En skärmbild av Microsoft Endpoint Configuration Manager1.

  7. Välj principen för den nya Windows och välj OK.

    En skärmbild av Microsoft Endpoint Configuration Manager2.

När du har slutfört den här uppgiften har du nu konfigurerat nätverksskyddet i granskningsläge.

Så här anger du regler för kontrollerad mappåtkomst i granskningsläge

  1. På Microsoft Endpoint Configuration Manager navigerar du till Översikt över tillgångar och efterlevnad Endpoint Protection Windows Defender Exploit Guard och > > > väljer sedan Skapa sårbarhetspolicy.

    En skärmbild av Microsoft Endpoint Configuration Manager3.

  2. Välj Reglerad mappåtkomst.

  3. Ange att konfigurationen ska granskas och klicka på Nästa.

    En skärmbild av Microsoft Endpoint Configuration Manager4.

  4. Bekräfta den nya Exploit Guard-policyn genom att klicka på Nästa.

    En skärmbild av Microsoft Endpoint Configuration Manager5.

  5. Klicka på Stäng när principen har skapats.

    En skärmbild av Microsoft Endpoint Configuration Manager6.

  6. Högerklicka på den nya principen och välj Distribuera.

    En skärmbild av Microsoft Endpoint Configuration Manager7.

  7. Rikta principen mot den nya Windows och klicka på OK.

    En skärmbild av Microsoft Endpoint Configuration Manager8.

Nu har du konfigurerat reglerad mappåtkomst i granskningsläge.