使用群組原則將 Windows 裝置上線

發行項
03/16/2024

重要事項

本文中的部分資訊與發行前版本產品有關，在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊，不提供任何明確或隱含的瑕疵擔保。

適用於：

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

注意事項

若要使用群組原則 (GP) 更新來部署套件，您必須使用 Windows Server 2008 R2 或更新版本。

針對 Windows Server 2019 和 Windows Server 2022，您可能需要將 NT AUTHORITY\Well-Known-System-Account 取代為群組原則喜好設定所建立之 XML 檔案的 NT AUTHORITY\SYSTEM。

注意事項

如果您使用的是適用於 Windows Server 2012 R2 和 2016 的全新整合適用於端點的 Microsoft Defender 解決方案，請確保在中央存放區中最新使用的 ADMX 檔案，以存取正確的適用於端點的 Microsoft Defender 原則選項。請參閱如何在 Windows 中建立及管理群組原則系統管理範本的中央存放區 (部分機器翻譯) 並下載最新檔案以搭配 Windows 10 使用。

請參閱識別適用於端點的Defender架構和部署方法，以查看部署適用於端點的Defender中的各種路徑。

開啟您從服務上線精靈下載 (WindowsDefenderATPOnboardingPackage.zip) GP 元件檔案。您也可以從 Microsoft Defender 入口網站取得套件：
1. 在瀏覽窗格中，選取 [ 設定>端點>裝置管理>上線]。
2. 選取作業系統。
3. 在 [部署方法] 欄位中，選取 [群組原則]。
4. 按一下 [下載套件]，然後儲存 .zip 檔案。
將 .zip 檔案的內容解壓縮到裝置可存取的共用唯讀位置。您應該會有一個名為 OptionalParamsPolicy 的資料夾，且檔案 WindowsDefenderATPOnboardingScript.cmd。
若要建立新的 GPO，請開啟 #D45B67A3BB18B4BD18D1A2B45B01F8A89 Management Console (GPMC) ，以滑鼠右鍵按兩下 [群組原則 您要設定的物件]，然後按兩下 [新增]。在顯示的對話框中輸入新 GPO 的名稱，然後按兩下 [ 確定]。
開啟群組原則管理主控台 (GPMC)，以滑鼠右鍵按一下您要設定的群組原則物件 (GPO)，然後按一下 [編輯]。
在群組原則管理編輯器中，依序前往 [電腦組態]、[喜好設定]、[控制台設定]。
以滑鼠右鍵按一下 [排程工作]，指向 [新增]，然後按一下 [立即工作 (至少 Windows 7)]。
在 [工作] 視窗中，移至 [一般] 索引標籤。在 [安全性選項] 底下按一下 [變更使用者或群組] 並且輸入 SYSTEM，然後依序按一下 [檢查名稱]、[確定]。 NT AUTHORITY\SYSTEM 會顯示為執行工作的使用者帳戶身分。
選取 [不論使用者登入與否均執行]，然後勾選 [以最高權限執行] 核取方塊。
在 [名稱] 欄位中，輸入排程工作的適當名稱 (例如適用於端點部署的Defender) 。
移至 [動作] 索引標籤，然後選取 [新增...]。確定已在 [動作] 欄位中選取 [啟動程式]。使用共用 WindowsDefenderATPOnboardingScript.cmd檔案的檔案 伺服器完整域名 (FQDN) 輸入 UNC 路徑。
選取 [確定 ]，然後關閉任何開啟的 GPMC 視窗。
若要將 GPO 連結至組織單位 (OU) ，請以滑鼠右鍵按兩下並選取 [鏈接現有的 GPO]。在顯示的對話框中，選取您要連結的群組原則物件。按一下確定。

提示

將裝置上線之後，您可以選擇執行偵測測試，以確認裝置已正確上線至服務。如需詳細資訊，請參閱在新上線的適用於端點的 Defender 裝置上執行偵測測試。

其他適用於端點的Defender組態設定

針對每個裝置，您可以指出當透過 Microsoft Defender 全面偵測回應提交檔案以進行深入分析的要求時，是否可以從裝置收集範例。

您可以使用群組原則 (GP) 來設定設定，例如深入分析功能中所使用範例共用的設定。

設定範例集合設定

在 GP 管理裝置上，從組態套件複製下列檔案：
- 將 AtpConfiguration.admx 複製到 C：\Windows\PolicyDefinitions
- 將 AtpConfiguration.adml 複製到 C：\Windows\PolicyDefinitions\en-US
如果您使用中央存放區群組原則系統管理範本，請從組態套件複製下列檔案：
- 將 AtpConfiguration.admx 複製到 \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions
- 將 AtpConfiguration.adml 複製到 \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US
開啟群組原則管理主控台，以滑鼠右鍵按下您要設定的 GPO，然後按兩下 [編輯]。
在 [群組原則管理] 編輯器 中，移至 [計算機設定]。
依序按兩下 [ 原則] 和 [ 系統管理範本]。
按兩下 [Windows 元件]，然後 Windows Defender ATP] 。
選擇從您的裝置啟用或停用範例共用。

注意事項

如果您未設定值，預設值是啟用範例集合。

其他建議的組態設定

更新 Endpoint Protection 組態

設定上線腳本之後，請繼續編輯相同的組策略，以新增 Endpoint Protection 組態。從執行 Windows 10 或 Server 2019、Windows 11 或 Windows Server 2022 的系統執行組策略編輯，以確保您擁有所有必要的 Microsoft Defender 防病毒軟體功能。您可能需要關閉並重新開啟組策略物件，以註冊 Defender ATP 組態設定。

所有原則都位於之下 Computer Configuration\Policies\Administrative Templates。

原則位置：\Windows 元件\Windows Defender ATP

原則	設定
Enable\Disable Sample collection	已開啟 - 已核取 [在機器上啟用範例集合]

原則位置：\Windows 元件\Microsoft Defender 防病毒軟體

原則	設定
設定潛在垃圾應用程式的偵測	已啟用、封鎖

原則位置：\Windows 元件\Microsoft Defender 防病毒軟體\MAPS

原則	設定
加入 Microsoft MAPS	已啟用，進階MAPS
需要進一步分析時傳送檔案範例	已啟用，傳送安全範例

原則位置：\Windows 元件\Microsoft Defender 防病毒軟體\實時保護

原則	設定
關閉即時保護	已停用
開啟行為監視	Enabled
掃描所有下載的檔案和附件	Enabled
監視電腦上的檔案和程序活動	Enabled

原則位置：\Windows 元件\Microsoft Defender 防病毒軟體\掃描

這些設定會設定端點的定期掃描。建議您每周執行快速掃描，允許效能。

原則	設定
執行排程掃描之前，請先檢查最新的病毒和間諜軟體安全情報	Enabled

原則位置：\Windows 元件\Microsoft Defender 防病毒軟體\Microsoft Defender 惡意探索防護\受攻擊面縮小

從受攻擊面縮小規則部署步驟 3：實作 ASR 規則取得目前的受攻擊面縮小規則 GUID 清單。如需其他每個規則的詳細數據，請參閱受攻擊面縮小規則參考

開啟 [ 設定受攻擊面縮小 ] 原則。
選取 已啟用。
選取 [ 顯示] 按鈕。
在值為 2 的 [ 值名稱] 字 段中新增每個 GUID。

這隻會設定每個稽核。

原則	位置	設定
設定受控資料夾存取	\Windows 元件\Microsoft Defender 防病毒軟體\Microsoft Defender 惡意探索防護\受控資料夾存取	已啟用，稽核模式

執行偵測測試以確認上線

將裝置上線之後，您可以選擇執行偵測測試，以驗證裝置已正確上線到服務。如需詳細資訊，請參閱在新上線的適用於端點的 Microsoft Defender 裝置上執行偵測測試

使用群組原則將裝置下架

為了安全起見，用來將裝置下架的套件將會在下載日期的 30 天之後到期。傳送到裝置的已過期下架套件將會遭到拒絕。下載離線套件時，您會收到套件到期日的通知，而且也會包含在套件名稱中。

注意事項

上線和下架原則不能同時部署在相同裝置上，否則會造成無法預期的衝突。

從 Microsoft Defender 入口網站取得下架套件：
1. 在瀏覽窗格中，選取 [ 設定>端點>裝置管理>離線]。
2. 選取作業系統。
3. 在 [部署方法] 欄位中，選取 [群組原則]。
4. 按一下 [下載套件]，然後儲存 .zip 檔案。
將 .zip 檔案的內容解壓縮到裝置可存取的共用唯讀位置。您應該會有名為 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd 的檔案。
開啟群組原則管理主控台 (GPMC)，以滑鼠右鍵按一下您要設定的群組原則物件 (GPO)，然後按一下 [編輯]。
在群組原則管理編輯器中，依序前往 [電腦組態]、[喜好設定]、[控制台設定]。
以滑鼠右鍵按一下 [排程工作]，指向 [新增]，然後按一下 [立即工作]。
在開啟的 [工作] 視窗中，移至 [安全性選項] 下的 [一般] 索引卷標，然後選取 [變更使用者或群組]，輸入 SYSTEM，然後選取 [檢查名稱]，然後選取 [確定]。 NT AUTHORITY\SYSTEM 會顯示為工作將以身分執行的用戶帳戶。
選取 [不論使用者登入與否均執行]，然後勾選 [以最高權限執行] 核取方塊。
在 [名稱] 欄位中，輸入排程工作的適當名稱 (例如適用於端點部署的Defender) 。
移至 [動作] 索引標籤，然後選取 [新增...]。確定已在 [動作] 欄位中選取 [啟動程式]。使用共用 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd檔案的檔案 伺服器完整域名 (FQDN) 輸入 UNC 路徑。
選取 [確定 ]，然後關閉任何開啟的 GPMC 視窗。

重要事項

下線會導致裝置停止將感應器資料傳送至入口網站，但來自裝置的資料 (包括任何警示的參考資料) 最多會保留 6 個月。

監視裝置設定

使用群組原則沒有選項可監視裝置上的原則部署。監視可以直接在入口網站上完成，或使用不同的部署工具。

使用入口網站監視裝置

移至 Microsoft Defender 入口網站。
按兩下 [裝置清查]。
確認裝置已顯示。

注意事項

裝置可能需要數天的時間，才能開始顯示在 [裝置清單] 上。這包括將原則發佈至裝置所花的時間、使用者登入前所花的時間，以及端點開始報告所花的時間。

設定Defender防病毒軟體原則

建立新的群組原則，或將這些設定與其他原則分組在中。這取決於客戶的環境，以及他們想要如何透過將不同組織單位 (OU) 來推出服務。

選擇 GP 或建立新的 GP 之後，請編輯 GP。
流覽至 [計算機設定>原則>] [系統管理範>本] [Windows 元件>Microsoft Defender 防病毒軟體>實時保護]。
在 [隔離] 資料夾中，設定從 [隔離] 資料夾移除專案。
在 [掃描] 資料夾中，設定掃描設定。

即時監視所有檔案保護

流覽至 [計算機設定>原則>] [系統管理範>本] [Windows 元件>Microsoft Defender 防病毒軟體>實時保護]。

設定 Windows Defender SmartScreen 設定

流覽至電腦設定>原則>系統管理範>本Windows元件>Windows Defender SmartScreen>Explorer。
流覽至電腦設定>原則>系統管理範>本Windows 元件>Windows Defender SmartScreen>Microsoft Edge。

設定潛在的垃圾應用程式

瀏覽至 [計算機設定>原則>] [系統管理範>本] [Windows 元件>Microsoft Defender 防病毒軟體] 。

設定雲端傳遞保護並自動傳送範例

流覽至 [計算機設定>原則>] [系統管理範>本] [Windows 元件>Microsoft Defender 防病毒軟體>MAPS。

注意事項

[ 傳送所有範例 ] 選項會提供增加安全性狀態之二進位檔/腳本/檔的最多分析。 [ 傳送安全範例] 選項會限制要分析的二進位檔/腳本/檔案類型，並降低安全性狀態。

如需詳細資訊，請參閱在 Microsoft Defender 防病毒軟體中開啟雲端保護，以及 Microsoft Defender 防病毒軟體中的雲端保護和範例提交。

檢查簽章更新

流覽至 [計算機設定>原則>] [系統管理範>本] [Windows 元件>Microsoft Defender 防病毒軟體>安全情報匯報。

設定雲端傳遞逾時和保護層級

流覽至 [計算機設定>原則>] [系統管理範>本] [Windows 元件>Microsoft Defender 防病毒軟體>MpEngine。當您將雲端保護層級原則設定為預設 Microsoft Defender 防病毒軟體封鎖原則時，這會停用原則。這是將保護層級設定為 Windows 預設值所需的專案。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。

使用群組原則將 Windows 裝置上線