Växla till Microsoft Defender för slutpunkt – fas 2: Installation

Gäller för:

Fas 1: Förbereda.
Fas 1: Förbereda
Fas 2: Konfigurera.
Fas 2: Konfigurera
Fas 3: Onboard3.
Fas 3: Introduktion
Du är här!

Välkommen till konfigurationsfasen av bytet till Defender för Slutpunkt. Den här fasen omfattar följande steg:

  1. Installera om/Microsoft Defender Antivirus på slutpunkterna.
  2. Konfigurera Defender för Slutpunkt.
  3. Lägg till Defender för slutpunkt i undantagslistan för din befintliga lösning.
  4. Lägg till din befintliga lösning i undantagslistan för Microsoft Defender Antivirus.
  5. Konfigurera enhetsgrupper, enhetssamlingar och organisationsenheter.

Installera om/Microsoft Defender Antivirus på slutpunkterna

På vissa versioner av Windows har Microsoft Defender Antivirus troligen avinstallerats eller inaktiverats när lösningen som inte är en Microsoft antivirus/antimalware-lösning har installerats. När slutpunkter som körs Windows hos Defender för Endpoint kan Microsoft Defender Antivirus köras i passiv form tillsammans med en antiviruslösning som inte är från Microsoft. Mer information finns i Antivirusskydd med Defender för Slutpunkt.

När du byter till Defender för Endpoint kan du behöva vidta vissa åtgärder för att installera om eller aktivera Microsoft Defender Antivirus. I följande tabell beskrivs vad du ska göra på Windows och servrar.

Slutpunktstyp Lämplig åtgärd
Windows klienter (till exempel slutpunkter som kör Windows 10 och Windows 11) I allmänhet behöver du inte vidta någon åtgärd för Windows (om inte Microsoft Defender Antivirus har avinstallerats). Så här gör du:

Microsoft Defender Antivirus vara installerat, men är troligen inaktiverat vid det här läget av migreringen.

När en lösning som inte är en Microsoft-antivirus-/antimalware-lösning har installerats och klienterna ännu inte finns i Defender för slutpunkt Microsoft Defender Antivirus av automatiskt.

När klientslutpunkterna senare introduceras till Defender för Endpoint och dessa slutpunkter kör en antiviruslösning som inte är en Microsoft-antiviruslösning Microsoft Defender Antivirus in i det passiva läget.

Om antiviruslösningen som inte är en Microsoft-lösning avinstalleras Microsoft Defender Antivirus i aktivt läge automatiskt.
Windows servrar På Windows server måste du installera om Microsoft Defender Antivirus och ställa in det på passivt läge manuellt. På Windows-servrar går det inte att köra Microsoft Defender Antivirus antiviruslösningen som inte är en Microsoft-antiviruslösning när du har installerat ett annat program än Microsoft-antivirusprogrammet. I så fall Microsoft Defender Antivirus eller avinstalleras manuellt.

Om du vill installera Microsoft Defender Antivirus på Windows server gör du följande:
- Ställ in DisableAntiSpyware på False på Windows Server (endast om det behövs)
- Installera Microsoft Defender Antivirus på Windows Server 2016
- Installera Microsoft Defender Antivirus på Windows Server, version 1803 eller senare
- Ställ Microsoft Defender Antivirus till passivt läge på Windows Server

Om du får problem med att installera om eller återaktivera Microsoft Defender Antivirus på Windows Server, se Felsökning: Microsoft Defender Antivirus avinstalleras på Windows Server.

Tips

Mer information om hur Microsoft Defender Antivirus med ett icke-Microsoft antivirusskydd finns Microsoft Defender Antivirus kompatibilitet.

Ställ in DisableAntiSpyware på False på Windows Server

Registernyckeln DisableAntiSpyware användes tidigare för att inaktivera Microsoft Defender Antivirus och distribuera ett annat antivirusprogram, till exempel McAfee, Symantec eller andra. I allmänhet bör du inte ha den här registernyckeln på dina Windows-enheter och slutpunkter – men om du har konfigurerat gör du så här för att ange värdet som DisableAntiSpyware falskt:

  1. Öppna Registereditorn på Windows Server-enhet.

  2. Gå till HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender .

  3. Leta där efter en DWORD-post med namnet DisableAntiSpyware.

    • Om du inte ser den posten är allt klart.
    • Om du ser DisableAntiSpyware går du vidare till steg 4.
  4. Högerklicka på DisableAntiSpyware DWORD och välj sedan Ändra.

  5. Ställ in värdet på 0 . (Den här åtgärden anger värdet för registernyckeln till falskt.)

Tips

Mer information om den här registernyckeln finns i DisableAntiSpyware.

Återaktivera Microsoft Defender Antivirus på Windows Server 2016

Du kan använda verktyget Malware Protection Command-Line för att återaktivera Microsoft Defender Antivirus på Windows Server 2016.

  1. Öppna Kommandotolken som lokal administratör på servern.

  2. Kör följande kommando: MpCmdRun.exe -wdenable

  3. Starta om enheten.

Återaktivera Microsoft Defender Antivirus på Windows, version 1803 eller senare

Viktigt

Följande procedur gäller endast för slutpunkter eller enheter som kör följande versioner av Windows:

  • Windows Server 2019
  • Windows Server 2022
  • Windows Server, version 1803 (endast kärnläge)
  1. Som lokal administratör på servern öppnar du Windows PowerShell.

  2. Kör följande PowerShell-cmdlets:

    # For Windows Server 2016
    Dism /online /Enable-Feature /FeatureName:Windows-Defender-Features
    Dism /online /Enable-Feature /FeatureName:Windows-Defender
    Dism /online /Enable-Feature /FeatureName:Windows-Defender-Gui
    # For Windows Server 2019 and Windows Server 2022
    Dism /online /Enable-Feature /FeatureName:Windows-Defender
    

    När du använder kommandot DISM i en aktivitetssekvens som kör PowerShell krävs följande sökväg cmd.exe aktivitetsserie. Exempel:

    c:\windows\sysnative\cmd.exe /c Dism /online /Enable-Feature /FeatureName:Windows-Defender-Features
    c:\windows\sysnative\cmd.exe /c Dism /online /Enable-Feature /FeatureName:Windows-Defender
    
  3. Starta om enheten.

Ställ Microsoft Defender Antivirus till passivt läge på Windows Server

Tips

Nu kan du Microsoft Defender Antivirus i passivt läge på Windows Server 2012 R2 och 2016. Mer information finns i Alternativ för att installera Microsoft Defender för Slutpunkt.

  1. Öppna Registereditorn och gå till

    Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    
  2. Redigera (eller skapa) en DWORD-post som heter ForceDefenderPassiveMode och ange följande inställningar:

    • Ställ in DWORD-värdet på 1.
    • Under Bas väljer du Hexadecimal.

Anteckning

Efter registrering till Defender för Slutpunkt kan du behöva ställa Microsoft Defender Antivirus till passivt läge på Windows Server. Om du vill verifiera att passivt läge ställts in som förväntat söker du efter händelse 5007 i Microsoft-Windows-Windows Defender Operational log (finns i ) och bekräftar att C:\Windows\System32\winevt\Logs antingen ForceDefenderPassiveMode- eller PassiveMode-registernycklarna har angetts av 0x1.

Använder du R2 Windows Server 2012 eller Windows Server 2016?

Du kan nu köra Microsoft Defender Antivirus i passivt läge på Windows Server 2012 R2 och 2016 med metoden ovan. Mer information finns i Alternativ för att installera Microsoft Defender för Slutpunkt.

Konfigurera Defender för slutpunkt

Det här steget i migreringsprocessen omfattar att konfigurera Microsoft Defender Antivirus för slutpunkterna. Vi rekommenderar att du använder Intune. du kan däremot välja någon av de metoder som listas i följande tabell:

Metod Lämplig åtgärd
Intune

OBS! Intune är nu en del av Microsoft Endpoint Manager.
1. Gå till Microsoft Endpoint Manager och logga in.

2. Välj > Konfigurationsprofiler för enheter och välj sedan den profiltyp du vill konfigurera. Om du ännu inte har skapat en profiltyp för enhetsbegränsningar, eller om du vill skapa en ny, går du till Konfigurera inställningar för enhetsbegränsning i Microsoft Intune.

3. Välj Egenskaper och välj sedan Konfigurationsinställningar: Redigera

4. Utöka Microsoft Defender Antivirus.

5. Aktivera moln levererat skydd.

6. I listrutan Fråga användarna innan exempel skickas väljer du Skicka alla exempel automatiskt.

7. I listrutan Identifiera potentiellt oönskade program väljer du Aktivera eller Granska.

8. Välj Granska + spara och välj sedan Spara.

TIPS: Mer information om Intune-enhetsprofiler, bland annat hur du skapar och konfigurerar deras inställningar finns i Vad är Microsoft Intune enhetsprofiler?.
Microsoft Endpoint Configuration Manager Se Skapa och distribuera program mot skadlig programvara för Endpoint Protection i Configuration Manager.

När du skapar och konfigurerar principer för program mot skadlig programvara bör du granska skyddsinställningarna i realtid och aktivera blockering vid första synen.
Kontrollpanelen i Windows Följ instruktionerna här: Aktivera Microsoft Defender Antivirus. (I vissa Windows Defender Antivirus kanske det Microsoft Defender Antivirus visas i Windows.)
Avancerad grupprinciphantering

eller

Konsolen grupprinciphantering
1. Gå till Administrativa mallar > för datorkonfiguration Windows > komponenter > Microsoft Defender Antivirus.

2. Leta efter en princip med namnet Inaktivera Microsoft Defender Antivirus.

3. Välj Redigera principinställning och kontrollera att principen är inaktiverad. Med den här åtgärden Microsoft Defender Antivirus.
(I vissa Windows Defender Antivirus kanske det Microsoft Defender Antivirus visas i Windows.)

Tips

Du kan distribuera principerna innan organisationens enheter introduceras.

Lägga till Microsoft Defender för slutpunkt i undantagslistan för din befintliga lösning

Det här steget i konfigurationsprocessen omfattar att lägga till Defender för Endpoint i undantagslistan för din befintliga lösning för slutpunktsskydd och andra säkerhetsprodukter som din organisation använder.

Tips

Hjälp med att konfigurera undantag finns i lösningsleverantörens dokumentation.

Specifika undantag att konfigurera beror på vilken version av Windows dina slutpunkter eller enheter körs och visas i följande tabell.

OS Undantag
Windows 11

Windows 10 version 1803 eller senare (se Windows 10 versionsinformation)

Windows 10, version 1703 eller 1709 med KB4493441 installerat

Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server, version 1803
C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe

På Windows Server 2012 R2 och 2016 med den moderna, enhetliga lösningen krävs dessutom följande undantag när du har uppdaterat Sense Identifiering och åtgärd på slutpunkt-komponenten med KB5005292:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe
Windows 8.1

Windows 7

Windows Server 2008 R2 SP1
C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe

Obs! Tillfälliga filer 6\45 som övervakas av värden kan vara olika numrerade undermappar.

C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Lägg till din befintliga lösning i undantagslistan för Microsoft Defender Antivirus

I det här steget i installationsprocessen lägger du till en befintlig lösning i Microsoft Defender Antivirus för uteslutning. Du kan välja mellan flera metoder för att lägga till Microsoft Defender Antivirus undantag, som anges i följande tabell:

Metod Lämplig åtgärd
Intune

OBS! Intune är nu en del av Microsoft Endpoint Manager.
1. Gå till Microsoft Endpoint Manager och logga in.

2. Välj > Konfigurationsprofiler för enheter och välj sedan den profil som du vill konfigurera.

3. Under Hantera väljer du Egenskaper.

4. Välj Konfigurationsinställningar: Redigera.

5. Expandera Microsoft Defender Antivirus och expandera Microsoft Defender Antivirus Undantag.

6. Ange de filer och mappar, tillägg och processer som ska undantas från Microsoft Defender Antivirus genomsökningar. Information finns i Microsoft Defender Antivirus undantag.

7. Välj Granska + Spara och välj sedan Spara.
Microsoft Endpoint Configuration Manager 1. Med hjälp av konfigurationshanterarenskonsol går du till Tillgångar och efterlevnad Endpoint Protection Principer för program mot skadlig programvara och väljer sedan den princip som du vill > > ändra.

2. Ange undantagsinställningar för filer och mappar, tillägg och processer som ska undantas från Microsoft Defender Antivirus genomsökningar.
Grupp policy objekt 1. Öppna konsolen Grupprinciphantering på datorn för grupprinciphantering, högerklicka på det grupprincipobjekt som du vill konfigurera och välj sedan Redigera.

2. I redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer Administrativa mallar.

3. Expandera trädet för Windows komponenter > Microsoft Defender Antivirus > Undantag. (I vissa Windows Defender Antivirus kanske det Microsoft Defender Antivirus visas i Windows.)

4. Dubbelklicka på inställningen Undantag för sökväg och lägg till undantagen.

5. Ställ in alternativet som Aktiverad.

6. Under avsnittet Alternativ väljer du Visa....

7. Ange varje mapp på en egen rad under kolumnen Värdenamn. Om du anger en fil ska du se till att ange en fullständigt kvalificerad sökväg till filen, inklusive enhetsbokstaven, mappsökvägen, filnamn och filnamnstillägg. Ange 0 i kolumnen Värde.

8. Välj OK.

9. Dubbelklicka på inställningen undantag för filnamnstillägg och lägg till undantagen.

10. Ställ in alternativet som Aktiverad.

11. Under avsnittet Alternativ väljer du Visa....

12. Ange varje filnamnstillägg på en egen rad under kolumnen Värdenamn. Ange 0 i kolumnen Värde.

13. Välj OK.
Lokalt grupprincipobjekt 1. Öppna redigeraren för lokala grupprinciper på slutpunkten eller enheten.

2. Gå till Administrativa mallar > för > datorkonfiguration Windows komponenter > Microsoft Defender Antivirus > Undantag. (I vissa Windows Defender Antivirus kanske det Microsoft Defender Antivirus visas i Windows.)

3. Ange undantag för sökväg och process.
Registernyckel 1. Exportera följande registernyckel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions .

2. Importera registernyckeln. Här är två exempel:
- Lokal sökväg: regedit.exe /s c:\temp\ MDAV_Exclusion.reg
- Nätverksresurs: regedit.exe /s \\FileServer\ShareName\MDAV_Exclusion.reg

Tänk på följande om undantag

När du lägger till undantag Microsoft Defender Antivirus genomsökningarbör du lägga till undantag för sökvägar och processer.

Tänk på följande:

  • Undantag från sökvägar exkluderar specifika filer och all åtkomst till dessa filer.
  • Processkludering exkluderar det som händer i en process, men exkluderar inte själva processen.
  • Lista undantag från processen med hjälp av deras fullständiga sökväg och inte efter namn. (Metoden med endast namn är mindre säker.)
  • Om du listar varje körbar (.exe) som både ett sökvägs- och process uteslutning, utesluts processen och det som det rör.

Konfigurera enhetsgrupper, enhetssamlingar och organisationsenheter

Enhetsgrupper, enhetssamlingar och organisationsenheter gör det möjligt för säkerhetsteamet att hantera och tilldela säkerhetsprinciper effektivt och effektivt. I följande tabell beskrivs var och en av dessa grupper och hur du konfigurerar dem. Din organisation kanske inte använder alla tre samlingstyperna.

Samlingstyp Lämplig åtgärd
Enhetsgrupper (kallades tidigare datorgrupper) gör det möjligt för teamet med säkerhetsåtgärder att konfigurera säkerhetsfunktioner, till exempel automatisk undersökning och åtgärd.

Enhetsgrupper är också användbara för att tilldela åtkomst till dessa enheter så att ditt säkerhetsteam kan vidta åtgärder om det behövs.

Enhetsgrupper skapas i Microsoft 365 Defender portalen.
1. Gå till Microsoft 365 Defender portalen ( https://security.microsoft.com ).

2. I navigeringsfönstret till vänster väljer du Inställningar > Behörigheter > > Enhetsgrupper.

3. Välj + Lägg till enhetsgrupp.

4. Ange ett namn och en beskrivning för enhetsgruppen.

5. Välj ett alternativ i listan Automatiseringsnivå. (Vi rekommenderar Fullständigt – åtgärda hot automatiskt.) Mer information om de olika automationsnivåerna finns i Hur hot åtgärdas.

6. Ange villkor för en matchande regel för att avgöra vilka enheter som tillhör enhetsgruppen. Du kan till exempel välja en domän, OS-versioner eller använda enhetstaggar.

7. På fliken Användaråtkomst anger du roller som ska ha åtkomst till de enheter som ingår i enhetsgruppen.

8. Välj Klar.
Med enhetssamlingar kan ditt säkerhetsteam hantera program, distribuera efterlevnadsinställningar eller installera programvaruuppdateringar på enheterna i organisationen.

Enhetssamlingar skapas med konfigurationshanteraren.
Följ stegen i Skapa en samling.
Med organisationsenheter kan du logiskt gruppera objekt som användarkonton, tjänstkonton eller datorkonton.

Du kan sedan tilldela administratörer till specifika organisationsenheter och tillämpa grupprinciper för att tillämpa riktade konfigurationsinställningar.

Organisationsenheter definieras i Azure Active Directory Domain Services.
Följ stegen i Skapa en organisationsenhet i en domän som hanteras Azure Active Directory Domain Services.

Nästa steg

Grattis! Du har slutfört konfigurationsfasen av att växla till Defender för slutpunkt!