使用 Configuration Manager 將 Windows 裝置上線

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

必要條件

重要事項

需要 Endpoint Protection 點站台系統角色,才能將防病毒軟體和受攻擊面縮小原則正確部署至目標端點。 如果沒有這個角色,裝置集合中的端點將不會收到已設定的防病毒軟體和受攻擊面縮小原則。

您可以使用 Configuration Manager 將端點上線至 適用於端點的 Microsoft Defender 服務。

有數個選項可用來使用 Configuration Manager 將裝置上線:

針對 Windows Server 2012 R2 和 Windows Server 2016 - 完成上線步驟之後,您必須設定及更新 System Center Endpoint Protection 用戶端

注意事項

適用於端點的Defender不支援在 全新體驗 (OOBE) 階段上線。 確認使用者在執行 Windows 安裝或升級後,完成 OOBE。

請注意,您可以在 Configuration Manager 應用程式上建立偵測規則,以持續檢查裝置是否已上線。 應用程式是不同于套件與程式的物件類型。 如果裝置尚未上線 (由於等待 OOBE 完成或其他任何原因),Configuration Manager 會重試將裝置上線,直到規則偵測到狀態變更。

您可以建立偵測規則檢查 "OnboardingState" 登錄值 (類型為 REG_DWORD) = 1,以完成此行為。 此登錄值位於 "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status" 下。 如需詳細資訊,請參閱 System Center 2012 R2 Configuration Manager 中的設定偵測方法

設定範例集合設定

針對每個裝置,您可以設定組態值,以指出是否可以在透過 Microsoft Defender 全面偵測回應 提交檔案以進行深入分析的要求時,從裝置收集樣本。

注意事項

這些組態設定通常是透過 Configuration Manager 完成。

您可以在 Configuration Manager 中設定設定項目的合規性規則,以變更裝置上的範例共用設定。

此規則應該是 補救 合規性規則設定專案,以設定目標裝置上登錄機碼的值,以確保它們符合規範。

透過下列的登錄機碼項目進行設定:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

其中金鑰類型是 D-WORD。 可能的值為:

  • 0:不允許從此裝置共用範例
  • 1:允許從此裝置共用所有文件類型

如果登錄機碼不存在,預設值為1。

如需 System Center Configuration Manager 合規性詳細資訊,請參閱 System Center 2012 R2 Configuration Manager

使用 Microsoft Configuration Manager 將 Windows 裝置上線

集合建立

若要讓具有 Microsoft Configuration Manager 的 Windows 裝置上線,部署可以以現有的集合為目標,或建立新的集合以進行測試。

使用 群組原則 或手動方法等工具上線不會在系統上安裝任何代理程式。

在 Microsoft Configuration Manager 主控台內,上線程式會設定為控制台內合規性設定的一部分。

只要 Configuration Manager 客戶端繼續從管理點接收此原則,任何接收此必要設定的系統都會維護該設定。

請遵循下列步驟,使用 Microsoft Configuration Manager 將端點上線:

  1. 在 Microsoft Configuration Manager 控制台中,流覽至 [資產與合規性>概觀>裝置集合]

    Microsoft Configuration Manager 精靈 1 的螢幕快照。

  2. 選取並按住 (,或以滑鼠右鍵按兩下 [裝置集合]) ,然後選取 [Create 裝置集合]

    Microsoft Configuration Manager 精靈 2 的螢幕快照。

  3. 提供 [名稱 ] 和 [ 限制集合],然後選取 [ 下一步]

    Microsoft Configuration Manager 精靈 3 的螢幕快照。

  4. 取 [新增規則 ],然後選擇 [查詢規則]

    Microsoft Configuration Manager 精靈 4 的螢幕快照。

  5. [直接成員資格精靈] 上選取 [下一步],然後選取 [編輯查詢語句]

    Microsoft Configuration Manager 精靈 5 的螢幕快照。

  6. 選取 [準則],然後選擇 [star] 圖示。

    Microsoft Configuration Manager 精靈 6 的螢幕快照。

  7. 將準則類型保留為 簡單值,選擇 [ 操作系統 - 組建編號]、[運算子為 ] 大於或等於 和值 14393,然後選取 [ 確定]

    Microsoft Configuration Manager 精靈的螢幕快照 7。

  8. 取 [下一步 ] 和 [ 關閉]

    Microsoft Configuration Manager 精靈 8 的螢幕快照。

  9. 選取 [下一步]

    Microsoft Configuration Manager 精靈9 的螢幕快照。

完成這項工作之後,您會有一個裝置集合,其中包含環境中的所有 Windows 端點。

將裝置上線到服務之後,使用下列建議的組態設來以啟用裝置,以善用包含的威脅防護功能非常重要。

裝置集合設定

如果您使用 Configuration Manager 2002 版或更新版本,您可以選擇擴大部署範圍,以包含伺服器或下層用戶端。

新一代保護設定

建議使用下列組態設定:

掃描

  • 掃描卸除式儲存裝置 (例如 USB 磁碟機):是

即時保護

  • 啟用行為監視:是
  • 在下載時和安裝之前啟用對潛在垃圾應用程式的保護:是

雲端保護服務

  • 雲端保護服務成員資格類型:進階成員資格

受攻擊面縮小

設定所有可用的規則以稽核。

注意事項

封鎖這些活動可能會中斷合法的商業程序。 最佳做法是設定所有項目進行稽核、識別哪些項目可以安全開啟,然後在沒有誤判的端點上啟用這些設定。

若要透過 Microsoft Configuration Manager (SCCM) 部署 Microsoft Defender 防病毒軟體和受攻擊面縮小原則 Microsoft Configuration Manager (SCCM) 請遵循下列步驟:

  • 啟用 Endpoint Protection 並設定自訂客戶端設定。
  • 從命令提示字元安裝 Endpoint Protection 用戶端。
  • 確認 Endpoint Protection 用戶端安裝。
啟用 Endpoint Protection 並設定自訂客戶端設定

請遵循下列步驟來啟用端點保護和自訂客戶端設定的設定:

  1. 在 Configuration Manager 控制台中,按兩下 [系統管理]。

  2. 在 [ 系統管理] 工作區中,按兩下 [ 客戶端設定]。

  3. 在 [首頁]引標籤的 [Create] 群組中,按兩下 [Create 自訂客戶端裝置設定]。

  4. 在 [Create 自定義用戶端裝置設定] 對話框中,提供設定群組的名稱和描述,然後選取 [Endpoint Protection]。

  5. 設定您需要的 Endpoint Protection 用戶端設定。 如需您可以設定的 Endpoint Protection 用戶端設定完整清單,請參閱關於客戶端設定中的 Endpoint Protection 一節。

    重要事項

    在您設定 Endpoint Protection 的用戶端設定之前,請先安裝 Endpoint Protection 月台系統角色。

  6. 按兩下 [確定] 以關閉 [Create 自訂用戶端裝置設定] 對話框。 新的客戶端設定會顯示在 [系統管理] 工作區的 [用戶端設定] 節點中。

  7. 接下來,將自定義用戶端設定部署至集合。 選取您要部署的自訂客戶端設定。 在 [ 首頁] 索引標籤的 [ 客戶端設定] 群組中,按兩下 [ 部署]。

  8. 在 [ 選取集合] 對話框中,選擇您要部署用戶端設定的集合,然後按兩下 [ 確定 ]。新的部署會顯示在詳細資料窗格的 [ 部署 ] 索引卷標中。

用戶端會在下次下載客戶端原則時使用這些設定進行設定。 如需詳細資訊,請參閱起始 Configuration Manager 客戶端的原則擷取。

從命令提示字元安裝 Endpoint Protection 用戶端

請遵循步驟,從命令提示字元完成 Endpoint Protection 用戶端的安裝。

  1. scepinstall.exe從 Configuration Manager 安裝資料夾的 [客戶端] 資料夾複製到您要安裝 Endpoint Protection 用戶端軟體的電腦。

  2. 以系統管理員身分開啟命令提示字元。 使用安裝程式將目錄變更為資料夾。 然後執行 scepinstall.exe,新增您需要的任何額外命令行屬性:

    屬性 描述
    /s 以無訊息方式執行安裝程式
    /q 以無訊息方式擷取安裝程序檔案
    /i 正常執行安裝程式
    /policy 指定反惡意代碼原則檔案,以在安裝期間設定用戶端
    /sqmoptin 選擇加入 Microsoft 客戶經驗改進計畫 (CEIP)

  3. 請遵循畫面上的指示來完成用戶端安裝。

  4. 如果您已下載最新的更新定義套件,請將套件複製到用戶端計算機,然後按兩下定義套件來安裝它。

    注意事項

    Endpoint Protection 用戶端安裝完成之後,用戶端會自動執行定義更新檢查。 如果此更新檢查成功,您就不需要手動安裝最新的定義更新套件。

範例:使用反惡意代碼原則安裝用戶端

scepinstall.exe /policy <full path>\<policy file>

確認 Endpoint Protection 用戶端安裝

在參照計算機上安裝 Endpoint Protection 客戶端之後,請確認用戶端正常運作。

  1. 在參照計算機上,從 Windows 通知區域開啟 System Center Endpoint Protection
  2. 在 [System Center Endpoint Protection] 對話方塊的 [首頁] 索引標籤上,確認 [實時保護] 設定為 [開啟]。
  3. 確認病毒和間諜軟體定義已顯示最新狀態。
  4. 若要確定您的參照計算機已準備好進行映像處理,請在 [ 掃描選項 ] 下選取 [ 完整], 然後按兩下 [ 立即掃描]。

網路保護

在稽核或封鎖模式中啟用網路保護之前,請確定您已安裝反惡意軟體平臺更新,這可以從 [支援頁面] 取得。

受控資料夾存取權

在稽核模式中啟用該功能至少 30 天。 在此期間後,請檢閱偵測,並建立允許寫入受保護目錄的應用程式清單。

如需詳細資訊,請參閱 評估受控資料夾存取權

執行偵測測試以確認上線

將裝置上線之後,您可以選擇執行偵測測試,以驗證裝置已正確上線到服務。 如需詳細資訊,請參閱 在新上線的適用於端點的 Microsoft Defender 裝置上執行偵測測試

使用 Configuration Manager 下線裝置

為了安全起見,用來將裝置下架的套件將會在下載日期的 30 天之後到期。 傳送到裝置的已過期下架套件將會遭到拒絕。 下載下架套件時,您會收到套件到期日的通知,也會包含在套件名稱中。

注意事項

上線和下架原則不能同時部署在相同裝置上,否則會造成無法預期的衝突。

使用最新分支 Microsoft Configuration Manager 裝置離線

如果您使用最新分支 Microsoft Configuration Manager,請參閱 Create 下架組態檔

使用 System Center 2012 R2 Configuration Manager 下線裝置

  1. 從 Microsoft Defender 入口網站取得下架套件

    1. 在瀏覽窗格中,選取 [ 設定>端點>裝置管理>離線]
    2. 選 Windows 10 或 Windows 11 做為操作系統。
    3. 在 [部署方法] 字段中,選取 [System Center Configuration Manager 2012/2012 R2/1511/1602]
    4. 選取 [下載套件],然後儲存 .zip 檔案。

  2. 將 .zip 檔案的內容解壓縮到將部署該套件的網路系統管理員可存取的共用唯讀位置。 您應該會有名為 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd 的檔案。

  3. 遵循 System Center 2012 R2 Configuration Manager 的套件和程式 文章中的步驟部署套件。

    選擇要部署套件的預先定義裝置集合。

重要事項

下線會導致裝置停止將感應器資料傳送至入口網站,但來自裝置的資料 (包括任何警示的參考資料) 最多會保留 6 個月。

監視裝置設定

如果您使用最新分支 Microsoft Configuration Manager,請在 Configuration Manager 控制台中使用內建的適用於端點的Defender儀錶板。 如需詳細資訊,請參閱 適用於端點的Defender - 監視器

如果您使用 System Center 2012 R2 Configuration Manager,監視包含兩個部分:

  1. 確認已正確部署設定套件,並且正于您網路的裝置上執行 (或已成功執行)。

  2. 檢查裝置是否符合適用於端點的 Defender 服務 (這可確保裝置可以完成上線程式,並可繼續將數據回報給服務) 。

確認已正確部署設定套件

  1. 在 Configuration Manager 主控台中,按一下瀏覽窗格底部的 [監視]

  2. 選取 [概觀],然後選取 [部署]

  3. 選取具有套件名稱的部署。

  4. 檢視 [完成統計資料][內容狀態] 下的狀態指標。

    如果裝置 (部署 失敗,) 錯誤、 不符合需求或 失敗狀態 ,您可能需要針對裝置進行疑難解答。 如需詳細資訊,請參閱針對 適用於端點的 Microsoft Defender 上線問題進行疑難解答

    Configuration Manager 顯示部署成功但未發生錯誤

檢查裝置是否符合 適用於端點的 Microsoft Defender 服務的規範

您可以在 System Center 2012 R2 Configuration Manager 中設定設定項目的合規性規則,以監視您的部署。

此規則應該是一種 [非修正] 規則設定項目,該項目會監視目標裝置上之登錄機碼的值。

監視下列登錄機碼項目:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

如需詳細資訊,請參閱 System Center 2012 R2 Configuration Manager

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。