使用本地脚本载入 Windows 设备

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

希望体验 Defender for Endpoint？ 注册免费试用版。

还可以手动将单个设备加入 Defender for Endpoint。 在承诺加入网络中的所有设备之前，你可能希望在测试服务时加入某些设备。

重要

建议使用本文中所述的脚本手动将设备载入 Defender for Endpoint。 它只能在有限数量的设备上使用。 如果要部署到生产环境，请参阅其他部署选项，例如Intune、组策略或Configuration Manager。

请参阅 标识 Defender for Endpoint 体系结构和部署方法 ，了解部署 Defender for Endpoint 时的各种路径。

载入设备

1. 打开配置包 .zip 文件 (从服务载入向导下载 WindowsDefenderATPOnboardingPackage.zip) 。 还可以从Microsoft Defender门户获取包：

   1. 在导航窗格中，选择“设置>终结点”“>设备管理>”“载入”。

   2. 选择“Windows 10”或“Windows 11”作为操作系统。

   3. 在 “部署方法 ”字段中，选择“ 本地脚本”。

   4. 选择“ 下载包 ”并保存 .zip 文件。

2. 将配置包的内容提取到要载入的设备上的某个位置 (例如桌面) 。 应有一个名为 WindowsDefenderATPLocalOnboardingScript.cmd 的文件。

3. 在设备上打开提升的命令行提示符并运行脚本：

   1. 转到“开始”并键入“cmd”。

   2. 右键单击“命令提示符”，然后选择“以管理员身份运行”。

   

4. 键入脚本文件的位置。 如果将文件复制到桌面，请键入： %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd

5. 按 Enter 键或选择 “确定”。

6. 键入“Y”并在出现提示时输入 。

7. 脚本完成后，将显示“按任意键继续...”。 按任意键完成设备上的步骤。

有关如何手动验证设备是否合规并正确报告传感器数据的信息，请参阅排查Microsoft Defender for Endpoint载入问题。

提示

载入设备后，可以选择运行检测测试，以验证设备是否已正确载入服务。 有关详细信息，请参阅在新加入的 Microsoft Defender for Endpoint 终结点上运行检测测试。

配置示例集合设置

对于每个设备，可以设置一个配置值来说明当通过 Microsoft Defender XDR 提交文件以进行深入分析的请求时，是否可以从设备收集样本。

可以使用 regedit 或创建并运行 .reg 文件，在设备上手动配置示例共享设置。

通过以下注册表项设置配置：

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

其中名称类型为 D-WORD。 可能的值是：

• 0 - 不允许从此设备共享示例
• 1 - 允许从此设备共享所有文件类型

注册表项不存在的默认值为 1。

运行检测测试以验证载入

载入设备后，可以选择运行检测测试，以验证设备是否已正确载入服务。 有关详细信息，请参阅在新加入的 Microsoft Defender for Endpoint 设备上运行检测测试。

使用本地脚本的卸载设备

出于安全原因，用于卸载设备的程序包在下载之日起三天后过期。 发送到设备的过期卸载包将被拒绝。 下载卸载包时，系统会通知包的到期日期，并且包文件名中包含该日期。

注意

载入和卸载策略不得同时部署在同一设备上。 否则，可能会出现不可预知的冲突。

1. 从 Microsoft Defender 门户获取卸载包：

   1. 在导航窗格中，选择 “设置>终结点>设备管理>卸载”。

   2. 选择“Windows 10”或“Windows 11”作为操作系统。

   3. 在 “部署方法 ”字段中，选择“ 本地脚本”。

   4. 选择“ 下载包 ”并保存 .zip 文件。

2. 将 .zip 文件的内容提取到设备可以访问的共享只读位置。 应有一个名为 的文件 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd。

3. 在设备上打开提升的命令行提示符并运行脚本：

   1. 转到“开始”并键入“cmd”。

   2. 右键单击“命令提示符”，然后选择“以管理员身份运行”。

      

4. 键入脚本文件的位置。 如果将文件复制到桌面，请键入： %userprofile%\Desktop\WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd

5. 按 Enter 键或选择 “确定”。

重要

卸载会导致设备停止向门户发送传感器数据，但从设备发送数据，包括对已保留最多 6 个月的警报的引用。

监视设备配置

可以按照 排查载入问题 中的不同验证步骤操作，验证脚本是否已成功完成且代理正在运行。

还可以直接在门户上或通过使用不同的部署工具进行监视。

使用门户监视设备

1. 转到Microsoft Defender门户。

2. 选择 “设备清单”。

3. 验证设备是否显示。

相关文章

• 使用组策略载入 Windows 设备
• 使用 Microsoft Endpoint Configuration Manager 载入 Windows 设备
• 使用移动设备管理工具载入 Windows 设备
• 载入非永久虚拟桌面基础结构 （VDI） 设备
• 在新加入的 Microsoft Defender for Endpoint 设备上运行检测测试
• 排查Microsoft Defender for Endpoint载入问题

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。