将 Windows 服务器载入到Microsoft Defender for Endpoint服务

  • 项目

适用于:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server Semi-Annual企业频道
  • Windows Server 2019 及更高版本
  • Windows Server 2019 core Edition
  • Windows Server 2022
  • Microsoft Defender for Endpoint

希望体验 Defender for Endpoint? 注册免费试用版

Defender for Endpoint 支持范围也包括 Windows Server 操作系统。 此支持通过Microsoft 365 Defender控制台无缝提供高级攻击检测和调查功能。 对 Windows Server 的支持可以更深入地了解服务器活动、内核和内存攻击检测的覆盖范围,并启用响应操作。

本主题介绍如何载入特定的 Windows 服务器以Microsoft Defender for Endpoint。

有关如何下载和使用 Windows 服务器Windows 安全中心基线的指南,请参阅Windows 安全中心基线

Windows Server 载入概述

需要完成以下常规步骤才能成功载入服务器。

Windows Server 和Windows 10设备的载入流图示

与 Microsoft Defender for Servers 集成

Microsoft Defender for Endpoint与 Microsoft Defender for Servers 无缝集成。 可以自动载入服务器,将 Microsoft Defender for Cloud 监视的服务器显示在 Defender for Endpoint 中,并以 Microsoft Defender for Cloud 客户的身份进行详细调查。

有关详细信息,请参阅 与 Microsoft Defender for Cloud 的集成

备注

对于运行新式统一解决方案的 Windows Server 2012 R2 和 2016,可以在这些计算机上手动安装/升级新解决方案,或者使用集成自动部署或升级各自 Microsoft Defender for Server 计划涵盖的服务器。 有关使用 Defender for Cloud 集成的 EDR 解决方案在保护终结点时进行切换的详细信息:Microsoft Defender for Endpoint。

  • 使用 Microsoft Defender for Cloud 监视服务器时,会在美国为美国用户自动创建 Defender for Endpoint 租户 (,在欧盟为欧洲用户创建,在英国为英国用户) 。 Defender for Endpoint 收集的数据存储在预配过程中标识的租户的地理位置中。
  • 如果在使用 Microsoft Defender for Cloud 之前使用 Defender for Endpoint,即使稍后与 Microsoft Defender for Cloud 集成,数据也会存储在创建租户时指定的位置。
  • 配置后,无法更改数据的存储位置。 如果需要将数据移动到另一个位置,则需要联系Microsoft 支持部门重置租户。
  • Microsoft Defender for server 和 Microsoft Defender for Endpoint 之间的集成已扩展,以支持 Windows Server 2022、Windows Server 2019 和 Windows 虚拟桌面 (WVD)
  • 已为Office 365 GCC 客户禁用了利用此集成的服务器终结点监视。

Windows Server 2012 R2 和 Windows Server 2016

  • 下载安装和载入包
  • 应用安装包
  • 按照相应工具的载入步骤操作

Windows Server Semi-Annual企业通道和 Windows Server 2019

  • 下载载入包
  • 按照相应工具的载入步骤操作

重要

若要有资格购买Microsoft Defender for Endpoint服务器 SKU,必须已购买以下任意一项(Windows E5/A5、Microsoft 365 E5/A5 或Microsoft 365 E5 安全性订阅许可证)的总和。 有关许可的详细信息,请参阅 产品条款

新式统一解决方案中的新Windows Server 2012 R2 和 2016 功能

以前实施载入Windows Server 2012 R2 和Windows Server 2016需要使用 Microsoft Monitoring Agent (MMA) 。

新的统一解决方案包通过删除依赖项和安装步骤,可以更轻松地载入服务器。 此外,此统一解决方案包还附带了以下主要改进:

统一解决方案将安装 Microsoft Defender 防病毒和/或 EDR 传感器,具体取决于要载入的服务器。 下表指示默认安装的组件和内置的组件。

服务器版本 AV EDR
Windows Server 2012 R2 SP1 能。 能。
Windows Server 2016 内置 能。
Windows Server 2019 或更高版本 内置 内置

如果以前已使用 MMA 载入服务器,请按照 服务器迁移 中提供的指导迁移到新解决方案。

Windows Server 2012 R2 和 2016 的新统一解决方案包中的已知问题和限制

以下细节适用于适用于 Windows Server 2012 R2 和 2016 的新统一解决方案包:

  • 确保满足在启用对代理服务器中Microsoft Defender for Endpoint服务 URL 的访问权限中指定的连接要求。 它们等效于 Windows Server 2019。

  • 我们发现 ,使用静 态 TelemetryProxyServer 时,Windows Server 2012 R2 连接到云时出现问题,并且无法从 SYSTEM 帐户上下文访问 CRL) URL (证书吊销列表。 当务之急是使用替代代理选项 (提供此类连接的“系统范围”) ,或者通过 SYSTEM 帐户上下文上的 WinInet 设置配置同一代理。 或者,使用解决方法中提供的说明来解决 已断开连接的计算机上的 TelemetryProxyServer 的已知问题 ,以安装证书作为解决方法。

  • 以前,使用 Microsoft Monitoring Agent (MMA) Windows Server 2016及更低版本允许 OMS/Log Analytics 网关提供与 Defender 云服务的连接。 新解决方案(如 Windows Server 2019、Windows Server 2022 和 Windows 10 上的Microsoft Defender for Endpoint)不支持此网关。

  • Windows Server 2016时,请验证是否已安装 Microsoft Defender 防病毒,是否处于活动状态和最新状态。 可以使用Windows 更新下载并安装最新的平台版本。 或者,从 Microsoft 更新目录MMPC 手动下载更新包。

  • 在 Windows Server 2012 R2 上,没有 Microsoft Defender 防病毒的用户界面。 此外,Windows Server 2016上的用户界面仅允许基本操作。 若要在本地设备上执行操作,请参阅使用 PowerShell、WMI 和 MPCmdRun.exe管理Microsoft Defender for Endpoint。 因此,专门依赖于用户交互的功能(例如提示用户做出决策或执行特定任务)可能无法按预期工作。 建议禁用或不启用用户界面,也不需要在任何托管服务器上进行用户交互,因为它可能会影响保护功能。

  • 并非所有攻击面减少规则都可用于所有操作系统。 请参阅 攻击面减少 (ASR) 规则

  • 若要启用 网络保护,需要其他配置:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

    此外,在网络流量量很大的计算机上,强烈建议在广泛启用此功能之前在环境中进行性能测试。 可能需要考虑其他资源消耗。

  • 在 Windows Server 2012 R2 上,网络事件可能不会在时间线中填充。 此问题需要在 2021 年 10 月 12 日每月汇总 (KB5006714) 中发布的Windows 更新。

  • 不支持操作系统升级。 在升级前卸载。然后卸载。

  • Windows Server 2012 R2 不支持 服务器角色 的自动排除;但是,操作系统文件的内置排除项是。 有关添加排除项的详细信息,请参阅 运行当前受支持的 Windows 版本的企业计算机的病毒扫描建议

  • 在已从以前的基于 MMA 的解决方案和 EDR 传感器升级的计算机上, (预览) 版本早于 10.8047.22439.1056,卸载和还原到基于 MMA 的解决方案可能会导致崩溃。 如果使用的是此类预览版,请使用 KB5005292 进行更新。

  • 若要使用 Microsoft Endpoint Manager 部署和加入新解决方案,当前需要创建包。 有关如何在Configuration Manager中部署程序和脚本的详细信息,请参阅Configuration Manager中的包和程序。 需要使用修补程序汇总或更高版本的 MECM 2107 来支持使用 Endpoint Protection 节点的策略配置管理。

解决断开连接计算机上的 TelemetryProxyServer 的已知问题的解决方法

问题说明:使用 TelemetryProxyServer 设置指定要由 Microsoft Defender for Endpoint 的 EDR 组件使用的代理时,在没有其他方法访问证书吊销列表 (CRL) URL 的计算机上,缺少中间证书将导致 EDR 传感器无法成功连接到云服务。

受影响的方案:-Microsoft Defender for Endpoint Sense 版本号为 10.8048.22439.1065 或更早的预览版,在 Windows Server 2012 R2 上运行 - 使用 TelemetryProxyServer 代理配置;其他方法不受影响

解决 方案:

  1. 确保计算机运行 Sense 版本 10.8048.22439.1065 或更高版本:使用载入页中提供的最新包进行安装,或应用 KB5005292。
  2. 从中下载和解压缩证书 https://github.com/microsoft/mdefordownlevelserver/blob/main/InterCA.zip
  3. 将证书导入本地计算机受信任的“中间证书颁发机构”存储。 可以使用 PowerShell 命令:Import-Certificate -FilePath .\InterCA.cer -CertStoreLocation Cert:\LocalMachine\Ca

与 Microsoft Defender for Cloud 集成

Microsoft Defender for Endpoint与 Microsoft Defender for Cloud 无缝集成。 可以自动载入服务器,将 Microsoft Defender for Cloud 监视的服务器显示在 Defender for Endpoint 中,并以 Microsoft Defender for Cloud 客户的身份进行详细调查。

有关详细信息,请参阅 与 Microsoft Defender for Cloud 的集成。 通过 Microsoft Defender for Cloud 载入的 Linux 服务器的初始配置将设置为在 被动模式下运行 Defender 防病毒。

备注

  • Microsoft Defender for server 和 Microsoft Defender for Endpoint 之间的集成已扩展,以支持 Windows Server 2022、Windows Server 2019 和 Windows 虚拟桌面 (WVD)
  • 已为Office 365 GCC 客户禁用了利用此集成的服务器终结点监视。

Windows Server 2012 R2 和 Windows Server 2016

先决条件

Windows Server 2012 R2 的先决条件

如果已使用最新的 每月汇总 包完全更新计算机, 则没有 其他先决条件。

安装程序包将检查是否已通过更新安装以下组件:

Windows Server 2016的先决条件

  • 必须安装 2021 年 9 月 14 日或更高版本的 SSU (服务堆栈更新) 。
  • 必须安装 2018 年 9 月 20 日或更高版本 (LCU) 的最新累积更新。 建议在服务器上安装最新的可用 SSU 和 LCU。 - 必须启用/安装 Microsoft Defender 防病毒功能并保持最新状态。 可以使用Windows 更新下载并安装最新的平台版本。 或者,从 Microsoft 更新目录MMPC 手动下载更新包。

使用第三方安全解决方案运行的先决条件

如果打算使用第三方反恶意软件解决方案,则需要在被动模式下运行 Microsoft Defender 防病毒。 在安装和载入过程中,必须记住设置为被动模式。

备注

如果使用 McAfee Endpoint Security (ENS) 或 VirusScan Enterprise (VSE) 在服务器上安装Microsoft Defender for Endpoint,则可能需要更新 McAfee 平台的版本,以确保不会删除或禁用 Microsoft Defender 防病毒。 有关详细信息,包括所需的特定版本号,请参阅 McAfee 知识中心文章

Windows Server 2012 R2 和 2016 上Microsoft Defender for Endpoint更新包

若要接收 EDR 传感器组件的常规产品改进和修复,请确保应用或批准 Windows 更新 KB5005292。 此外,若要保持保护组件的更新,请参阅 “管理 Microsoft Defender 防病毒更新”并应用基线

如果使用 Windows Server Update Services (WSUS) 和/或 Microsoft Endpoint Configuration Manager,则此新的“EDR 传感器Microsoft Defender for Endpoint更新”在类别下可用”Microsoft Defender for Endpoint”。

载入步骤摘要

步骤 1:下载安装和载入包

需要从门户下载 安装载入 包。

备注

安装包每月更新一次。 在使用之前,请务必下载最新包。

载入仪表板的图像

备注

在 Windows Server 2012R2 上,安装包将安装 Microsoft Defender 防病毒,除非将其设置为被动模式,否则它将处于活动状态。 Windows Server 2016,必须将 Microsoft Defender 防病毒作为功能安装 (请先查看切换到 MDE) 并完全更新,然后再继续安装。

如果运行的是非 Microsoft 反恶意软件解决方案,请确保在安装前将 Microsoft Defender 防病毒 (从“Defender 进程”选项卡上的 Microsoft Defender 进程列表 中添加排除项,) 到非 Microsoft 解决方案。 还建议将非 Microsoft 安全解决方案添加到 Defender 防病毒排除列表。

安装包 包含安装Microsoft Defender for Endpoint代理的 MSI 文件。

入包 包含以下文件:

  • OptionalParamsPolicy - 包含启用示例集合的设置
  • WindowsDefenderATPOnboardingScript.cmd - 包含载入脚本

使用以下步骤下载包:

  1. 在Microsoft 365 Defender中,转到 “设置”> 设备管理 >载入

  2. 选择 Windows Server 2012 R2 和 2016

  3. 选择 “下载安装包 ”并保存.msi文件。

  4. 选择 “下载载入”包 并保存.zip文件。

  5. 使用任何选项安装安装 Microsoft Defender 防病毒软件。 安装需要管理权限。

步骤 2:应用安装和载入包

在此步骤中,你将安装在将设备载入Microsoft Defender for Endpoint云环境之前所需的防护和检测组件,以便为计算机准备载入。 确保满足所有 先决条件

备注

Microsoft Defender 防病毒将安装并处于活动状态,除非将其设置为被动模式。

用于安装Microsoft Defender for Endpoint包的选项

在上一部分中,你下载了安装包。 安装包包含所有Microsoft Defender for Endpoint组件的安装程序。

可以使用以下任一选项来安装代理:

使用命令行安装 Microsoft Defender For Endpoint

使用上一步骤中的安装包安装Microsoft Defender for Endpoint。

运行以下命令安装Microsoft Defender for Endpoint:

Msiexec /i md4ws.msi /quiet

若要卸载,请确保先使用相应的离载脚本将计算机卸载。 然后,使用控制面板>程序>程序和功能执行卸载。

或者,运行以下卸载命令卸载Microsoft Defender for Endpoint:

Msiexec /x md4ws.msi /quiet

必须使用用于安装的同一包,上述命令才能成功。

/quiet 开关将禁止所有通知。

备注

Microsoft Defender 防病毒不会自动进入被动模式。 如果运行的是非 Microsoft 防病毒/反恶意软件解决方案,可以选择将 Microsoft Defender 防病毒设置为在被动模式下运行。 对于命令行安装,可选项 FORCEPASSIVEMODE=1 会立即将 Microsoft Defender 防病毒组件设置为被动模式,以避免干扰。 然后,为了确保 Defender 防病毒在载入后保持被动模式,以支持 EDR 块等功能,请设置“ForceDefenderPassiveMode”注册表项。

对 Windows Server 的支持可以更深入地了解服务器活动、内核和内存攻击检测的覆盖范围,并启用响应操作。

使用脚本安装Microsoft Defender for Endpoint

可以使用 安装程序脚本 来帮助自动安装、卸载和载入。 有关详细信息,请参阅以下部分中的说明,将脚本与组策略配合使用。

使用组策略应用Microsoft Defender for Endpoint安装和载入包

  1. 创建组策略:
    打开 组策略管理控制台 (GPMC) ,右键单击 要配置的组策略对象,然后单击 “新建”。 在显示的对话框中输入新 GPO 的名称,然后单击 “确定”。

  2. 打开 GPMC) (组策略管理控制台,右键单击要配置的 组策略 对象 (GPO) ,然后单击 “编辑”。

  3. 组策略管理编辑器 中,转到 “计算机配置”,然后转到 “首选项”,然后 转到“控制面板”设置

  4. 右键单击 “计划”任务,指向 “新建”,然后单击 “即时任务” (至少 Windows 7)

  5. 在打开 的任务 窗口中,转到“ 常规 ”选项卡。在 “安全选项 ”下,单击 “更改用户或组 ”并键入“系统”,然后单击 “检查名称 ”,然后 “确定”。 NT AUTHORITY\SYSTEM 显示为任务将作为运行方式运行的用户帐户。

  6. 选择 “运行是否登录用户 ”,然后选中“ 使用最高权限运行 ”复选框。

  7. 在“名称”字段中,键入计划任务 (的相应名称,例如 Defender for Endpoint Deployment) 。

  8. 转到 “操作” 选项卡,然后选择 “新建... 确保在 “操作”字段中选择了 “启动程序”。 安装程序脚本处理安装,安装完成后立即执行载入步骤。 选择 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 然后提供参数:

     -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd

    备注

    建议的执行策略设置为 Allsigned。 如果脚本在终结点上以 SYSTEM 身份运行,则需要将脚本的签名证书导入本地计算机受信任发布服务器存储。

    使用共享install.ps1文件的文件服务器的完全限定域名 (FQDN) ,将 servername-or-dfs-space\share-name 替换\ UNC 路径。 安装程序包md4ws.msi必须放置在同一目录中。 确保 UNC 路径的权限允许对正在安装包的计算机帐户进行写入访问,以支持创建日志文件。 如果希望禁用日志文件的创建 (不建议) ,则可以使用 -noETL -noETW 参数。

    对于希望 Microsoft Defender 防病毒与非 Microsoft 反恶意软件解决方案共存的情况,请添加$Passive参数以在安装期间设置被动模式。

  9. 选择 “确定” 并关闭任何打开的 GPMC 窗口。

  10. 若要将 GPO 链接到组织单位 (OU) ,请右键单击并选择 “链接现有 GPO”。 在显示的对话框中,选择要链接的组策略对象。 单击“确定”。

有关其他配置设置,请参阅配置示例集合设置和其他建议的配置设置

步骤 3:完成载入步骤

仅当使用第三方反恶意软件解决方案时,以下步骤才适用。 需要应用以下 Microsoft Defender 防病毒被动模式设置。 验证是否已正确配置:

  1. 设置以下注册表项:

    • 路径: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • 名称:ForceDefenderPassiveMode
    • 类型: REG_DWORD
    • 值:1

    被动模式验证结果

重要

  • Windows Server 2012 R2、2016、2019 和 2022 通过 Microsoft Endpoint Manager 的载入包目前作为脚本提供。 有关如何在Configuration Manager中部署程序和脚本的详细信息,请参阅Configuration Manager中的包和程序
  • 本地脚本适用于概念证明,但不应用于生产部署。 对于生产部署,建议使用组策略或 Microsoft Endpoint Configuration Manager。

Windows Server Semi-Annual企业通道 (SAC) 、Windows Server 2019 和 Windows Server 2022

下载包

  1. 在Microsoft 365 Defender中,转到 “设置”> 设备管理 >载入

  2. 选择 Windows Server 1803 和 2019

  3. 选择 “下载”包。 将其另存为WindowsDefenderATPOnboardingPackage.zip。

  4. 按照“ 完成载入步骤 ”部分中提供的步骤操作。

验证载入和安装

验证 Microsoft Defender 防病毒和Microsoft Defender for Endpoint是否正在运行。

运行检测测试以验证载入

载入设备后,可以选择运行检测测试来验证设备是否已正确加入服务。 有关详细信息,请参阅在新加入的Microsoft Defender for Endpoint设备上运行检测测试

备注

运行 Microsoft Defender 防病毒不是必需的,但建议运行。 如果另一个防病毒供应商产品是主要的终结点保护解决方案,则可以在被动模式下运行 Defender 防病毒。 只有在验证Microsoft Defender for Endpoint传感器 (SENSE) 是否正在运行后,才能确认被动模式是否处于打开状态。

  1. 运行以下命令以验证是否安装了 Microsoft Defender 防病毒:

    备注

    仅当使用 Microsoft Defender 防病毒作为活动反恶意软件解决方案时,才需要此验证步骤。

    sc.exe query Windefend

    如果结果为“指定的服务不存在作为已安装的服务”,则需要安装 Microsoft Defender 防病毒。

    有关如何使用组策略在 Windows 服务器上配置和管理 Microsoft Defender 防病毒的信息,请参阅使用组策略设置来配置和管理 Microsoft Defender 防病毒。

  2. 运行以下命令以验证Microsoft Defender for Endpoint是否正在运行:

    sc.exe query sense

    结果应显示它正在运行。 如果在载入方面遇到问题,请参阅 载入疑难解答

运行检测测试

按照 在新载入的设备上运行检测测试 中的步骤,验证服务器是否向 Defender for Endpoint 服务报告。

后续步骤

将设备成功载入服务后,需要配置Microsoft Defender for Endpoint的各个组件。 按照 采用顺序 指导启用各种组件。

载入 Windows 服务器

可以使用适用于Windows 10客户端设备的同一方法Windows Server 2012 R2、Windows Server 2016、Windows Server (SAC) 、Windows Server 2019 和 Windows Server 2019 Core 版本。

卸载后,可以在 Windows Server 2012 R2 和 Windows Server 2016 上继续卸载统一解决方案包。

对于其他 Windows Server 版本,可以使用两个选项从服务中卸载 Windows 服务器:

  • 卸载 MMA 代理
  • 删除 Defender for Endpoint 工作区配置

备注

如果为需要 MMA 的 Windows Server 2016 和 Windows Server 2012 R2 运行以前的Microsoft Defender for Endpoint,则这些适用于其他 Windows 服务器版本的离载说明也适用。 Microsoft Defender for Endpoint中的服务器迁移方案中介绍了迁移到新的统一解决方案的说明。