Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Defender voor Eindpunt breidt de ondersteuning uit met besturingssystemen op lager niveau en biedt geavanceerde mogelijkheden voor detectie en onderzoek van aanvallen in ondersteunde Windows-versies.
Als u downlevel Windows-clienteindpunten wilt onboarden naar Defender voor Eindpunt, kunt u het volgende doen:
Het Defender-implementatiehulpprogramma gebruiken om Defender-eindpuntbeveiliging te implementeren
of
Microsoft Monitoring Agent (MMA) installeren en configureren en System Center Endpoint Protection-clients (SCEP) configureren en bijwerken
Tip
Nadat u het apparaat hebt onboarden, kunt u ervoor kiezen om een detectietest uit te voeren om te controleren of het goed is onboardd voor de service. Zie Een detectietest uitvoeren op een nieuw onboarded Defender for Endpoint-eindpunt voor meer informatie.
Ondersteunde besturingssystemen
Defender-oplossing voor eindpuntbeveiliging
- Windows 7 SP1 Pro
- Windows 7 SP1 Enterprise
- Windows Server 2008 R2 SP1
MMA/SCEP
- Windows 7 SP1 Pro
- Windows 7 SP1 Enterprise
- Windows 8.1 Pro
- Windows 8.1
- Windows Server 2008 R2 SP1
Het Defender-implementatiehulpprogramma gebruiken om Defender-eindpuntbeveiliging te implementeren
Er is een Microsoft Defender voor eindpuntbeveiligingsoplossing (preview) beschikbaar voor verouderde Windows 7 SP1- en Windows Server 2008 R2 SP1-apparaten. De oplossing biedt geavanceerde beveiligingsmogelijkheden en verbeterde functionaliteit voor deze apparaten in vergelijking met andere oplossingen. In de volgende tabel ziet u een overzicht van de momenteel ondersteunde functionaliteit van de oplossing.
| Functie | Functionaliteit |
|---|---|
| Geavanceerde opsporing | Gebeurtenissen opsporen met Kusto-querytaal |
| Antivirus in passieve modus | Maakt co-existentie met niet-Microsoft-antimalwareoplossingen mogelijk. |
| Aangepaste bestandsindicatoren | Bestanden toestaan, blokkeren, in quarantaine plaatsen op basis van hash- of certificaatgegevens |
| Mogelijkheden voor apparaat- en bestandsrespons | Apparaat isoleren, bestanden blokkeren en ophalen, onderzoekspakketten verzamelen, antivirusscan uitvoeren Opmerking: andere antwoordmogelijkheden worden niet ondersteund |
| Beveiliging van de volgende generatie | Defender Antivirus met realtime gedragscontrole, cloudbezorgd en op definitie gebaseerde malware die malware blokkeert en herstelt. Geplande en handmatig geactiveerde scans. Opmerking: Netwerkbeveiliging, regels voor het verminderen van kwetsbaarheid voor aanvallen, gecontroleerde maptoegang en gerelateerde functionaliteit, waaronder IP- en URL-indicatoren, worden niet ondersteund. |
| Evaluaties van beveiligingsproblemen in besturingssystemen en software | Defender Vulnerability Management biedt inzicht in beveiligingsproblemen voor Windows en geïnstalleerde software. Opmerking: de volgende functionaliteit is niet beschikbaar voor Windows 7 SP1 en Windows Server 2008 R2: - Evaluatie van beveiligingsconfiguratie - 'Opnieuw opstarten in behandeling' ervaring - Premium-mogelijkheden: evaluatie van beveiligingsbasislijn, browserextensies, certificaat en toepassingsblokkering |
| Beheer van beveiligingsinstellingen | Beleidshandhaving voor Defender Antivirus mogelijkheden. Houd er rekening mee dat alleen de instellingen voor beschikbare functies van kracht worden. |
| Sensor voor detectie van zintuigen | Uitgebreide detectie-gebeurtenissen voor gebruik in de tijdlijn van apparaten, opsporing en om waarschuwingen te genereren op basis van indicatoren van inbreuk en aanval. |
| Aanvalsonderbreking: apparaat/IP bevatten | Geautomatiseerde onderbreking van aanvallen om aanvallen af te sluiten met laterale beweging. |
| (Automatische) updates | Regelmatige updates voor antimalware- en detectieonderdelen. |
De oplossing kan worden gedownload en geïnstalleerd met behulp van het Defender-implementatieprogramma, een lichtgewicht, zelf-bijwerkende toepassing die onboarding stroomlijnt voor alle Windows-versies die worden ondersteund door Defender voor Eindpunt. Het implementatieprogramma zorgt voor vereisten, automatiseert migraties van oudere oplossingen en maakt complexe onboardingscripts, afzonderlijke downloads en handmatige installaties niet meer nodig. Zie Deploy Microsoft Defender endpoint security to Windows devices using the Defender deployment tool (preview) voor meer informatie over het hulpprogramma en hoe u dit kunt gebruiken.
Microsoft Monitoring Agent (MMA) installeren en configureren
Voordat u begint
Bekijk de volgende details om de minimale systeemvereisten te controleren:
Installeer het maandelijkse updatepakket van februari 2018 - Directe downloadkoppeling van de Windows Update catalogus is hier beschikbaar
Installeer de onderhoudsstackupdate van 12 maart 2019 (of hoger) - Directe downloadkoppeling van de Windows Update-catalogus is hier beschikbaar
De ondersteuningsupdate voor SHA-2-codeondertekening installeren - Directe downloadkoppeling van de Windows Update-catalogus is hier beschikbaar
Opmerking
Alleen van toepassing op Windows Server 2008 R2, Windows 7 SP1 Enterprise en Windows 7 SP1 Pro.
De update voor klantervaring en diagnostische telemetrie installeren
Microsoft .NET Framework 4.5.2 of hoger installeren
Opmerking
Voor de installatie van .NET 4.5 moet u uw computer mogelijk opnieuw opstarten na de installatie.
Voldoen aan de minimale systeemvereisten van Azure Log Analytics-agent. Zie Gegevens verzamelen van computers in uw omgeving met Log Analytics voor meer informatie
Installatiestappen
Download het installatiebestand van de agent: Windows 64-bits agent of Windows 32-bits agent.
Opmerking
Vanwege de afschaffing van SHA-1-ondersteuning door de MMA-agent, moet de MMA-agent versie 10.20.18029 of hoger zijn.
Haal de werkruimte-id op:
- Selecteer in het navigatiedeelvenster van Defender voor Eindpunt de optie Instellingen > Apparaatbeheer > Onboarding.
- Selecteer het besturingssysteem.
- Kopieer de werkruimte-id en werkruimtesleutel.
Kies met de werkruimte-id en werkruimtesleutel een van de volgende installatiemethoden om de agent te installeren:
Installeer de agent handmatig met behulp van setup.
Selecteer op de pagina Configuratieopties voor agent de optie De agent verbinden met Azure Log Analytics (OMS)
Opmerking
Als u een klant van de Amerikaanse overheid bent, moet u onder 'Azure Cloud' 'Azure amerikaanse overheid' kiezen als u de installatiewizard gebruikt, of als u een opdrachtregel of een script gebruikt. Stel de parameter 'OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE' in op 1.
Als u een proxy gebruikt om verbinding te maken met internet, raadpleegt u de sectie Proxy- en internetverbindingsinstellingen configureren.
Als u klaar bent, ziet u binnen een uur onboarding-eindpunten in de portal.
System Center Endpoint Protection-clients configureren en bijwerken
Defender voor Eindpunt kan worden geïntegreerd met System Center Endpoint Protection om malwaredetecties zichtbaar te maken en de verspreiding van een aanval in uw organisatie te stoppen door mogelijk schadelijke bestanden of verdachte malware te verbieden.
De volgende stappen zijn vereist om deze integratie in te schakelen:
- Installeer de update van het antimalwareplatform van januari 2017 voor Endpoint Protection-clients
- Het cloudbeveiligingsservicelidmaatschap van de SCEP-client configureren naar de instelling Geavanceerd
- Configureer uw netwerk om verbindingen met de Microsoft Defender Antivirus-cloud toe te staan. Zie Netwerkverbindingen voor Microsoft Defender Antivirus configureren en valideren voor meer informatie
Proxy- en internetconnectiviteitsinstellingen configureren
Als uw servers een proxy moeten gebruiken om te communiceren met Defender voor Eindpunt, gebruikt u een van de volgende methoden om de MMA te configureren voor het gebruik van de proxyserver:
Als een proxy of firewall in gebruik is, moet u ervoor zorgen dat servers rechtstreeks en zonder SSL-onderschepping toegang hebben tot alle Microsoft Defender voor Eindpunt service-URL's. Zie Toegang tot Microsoft Defender voor Eindpunt service-URL's inschakelen voor meer informatie. Het gebruik van SSL-interceptie voorkomt dat het systeem communiceert met de Defender for Endpoint-service.
Als u klaar bent, ziet u binnen een uur onboarded Windows-servers in de portal.
Windows-servers onboarden via Microsoft Defender for Cloud
Selecteer in het navigatiedeelvenster Microsoft Defender XDR Instellingen>Eindpunten>Onboarding van apparaatbeheer>.
Selecteer Windows Server 2008 R2 SP1 als besturingssysteem.
Selecteer Servers onboarden in Microsoft Defender voor Cloud.
Volg de onboarding-instructies in Microsoft Defender voor Eindpunt met Microsoft Defender voor Cloud en als u Azure ARC gebruikt, volgt u de onboarding-instructies in De Microsoft Defender voor Eindpunt inschakelen integratie.
Nadat u de onboarding-stappen hebt voltooid, moet u System Center Endpoint Protection clients configureren en bijwerken.
Opmerking
- Als u wilt dat onboarding via Microsoft Defender voor servers werkt zoals verwacht, moet de server een juiste werkruimte en sleutel hebben geconfigureerd binnen de MMA-instellingen (Microsoft Monitoring Agent).
- Zodra de configuratie is uitgevoerd, wordt het juiste cloudmanagement pack op de computer geïmplementeerd en wordt het sensorproces (MsSenseS.exe) geïmplementeerd en gestart.
- Dit is ook vereist als de server is geconfigureerd voor het gebruik van een OMS-gatewayserver als proxy.
Onboarding controleren
Controleer of Microsoft Defender Antivirus en Microsoft Defender voor Eindpunt worden uitgevoerd.
Opmerking
Het uitvoeren van Microsoft Defender Antivirus is niet vereist, maar het wordt aanbevolen. Als een ander antivirusproduct de primaire oplossing voor eindpuntbeveiliging is, kunt u Defender Antivirus uitvoeren in passieve modus. U kunt alleen controleren of de passieve modus is ingeschakeld nadat u hebt gecontroleerd of Microsoft Defender voor Eindpunt sensor (SENSE) actief is.
Opmerking
Omdat Microsoft Defender Antivirus alleen wordt ondersteund voor Windows 10 en Windows 11, is stap 1 niet van toepassing bij het uitvoeren van Windows Server 2008 R2 SP1.
Voer de volgende opdracht uit om te controleren of Microsoft Defender Antivirus is geïnstalleerd:
sc.exe query WindefendAls het resultaat 'De opgegeven service bestaat niet als een geïnstalleerde service' is, moet u Microsoft Defender Antivirus installeren. Zie Microsoft Defender Antivirus in Windows 10 voor meer informatie.
Zie Groepsbeleid-instellingen gebruiken om Microsoft Defender Antivirus te configureren en te beheren voor informatie over het gebruik van groepsbeleid voor het configureren en beheren van Microsoft Defender Antivirus op uw Windows-servers.
Als u problemen ondervindt met onboarding, raadpleegt u Problemen met onboarding oplossen.
Een detectietest uitvoeren
Volg de stappen in Een detectietest uitvoeren op een nieuw onboarded apparaat om te controleren of de server rapporteert aan Defender voor de Eindpuntservice.
Onboarding van eindpunten zonder beheeroplossing
Groepsbeleid gebruiken
Stap 1: Download de bijbehorende update voor uw eindpunt.
Navigeer naar c:\windows\sysvol\domain\scripts (wijzigingsbeheer kan nodig zijn op een van de domeincontrollers.)
Maak een map met de naam MMA.
Download het volgende en plaats deze in de MMA-map:
- Update voor klantervaring en diagnostische telemetrie:
Voor Windows Server 2008 R2 SP1 zijn ook de volgende updates vereist:
Maandelijks updatepakket van februari 2018 - KB4074598 (Windows Server 2008 R2)
Updates downloaden voor Windows Server 2008 R2 x64
.NET Framework 3.5.1 (KB315418)
Opmerking
In dit artikel wordt ervan uitgegaan dat u x64-servers gebruikt (MMA Agent .exe x64 Nieuwe SHA-2-compatibele versie).
Stap 2: maak een bestand met de naam DeployMMA.cmd (met behulp van Kladblok) Voeg de volgende regels toe aan het cmd-bestand. Houd er rekening mee dat u uw WERKRUIMTE-id en -SLEUTEL nodig hebt.
De volgende opdracht is een voorbeeld. Vervang de volgende waarden:
- KB: gebruik de toepasselijke KB die relevant is voor het eindpunt dat u onboardt
- Werkruimte-id en SLEUTEL: uw id en sleutel gebruiken
@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (
wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1
)
groepsbeleid-configuratie
Maak een nieuw groepsbeleid specifiek voor het onboarden van apparaten, zoals 'Microsoft Defender voor Eindpunt Onboarding'.
Maak een groepsbeleid map met de naam c:\windows\MMA
Hiermee wordt een nieuwe map toegevoegd op elke server waarop het GPO wordt toegepast, genaamd MMA, en wordt opgeslagen in c:\windows. Deze bevat de installatiebestanden voor het MMA-, vereisten- en installatiescript.
Maak een groepsbeleid Bestanden-voorkeur voor elk van de bestanden die zijn opgeslagen in Net-aanmelding.
De bestanden worden gekopieerd van DOMAIN\NETLOGON\MMA\bestandsnaam naar C:\windows\MMA\bestandsnaam, zodat de installatiebestanden lokaal op de server zijn:
Herhaal het proces, maar maak een doel op itemniveau op het tabblad COMMON, zodat het bestand alleen wordt gekopieerd naar de juiste platform-/besturingssysteemversie binnen het bereik:
Voor Windows Server 2008 R2 hebt u het volgende nodig (en wordt alleen naar beneden gekopieerd):
- Windows6.1-KB3080149-x64.msu
- Windows6.1-KB3154518-x64.msu
- Windows6.1-KB4075598-x64.msu
Zodra dit is gebeurd, moet u een beleid voor opstartscripts maken:
De naam van het bestand dat u hier wilt uitvoeren, is c:\windows\MMA\DeployMMA.cmd. Zodra de server opnieuw is opgestart als onderdeel van het opstartproces, wordt de KB Update voor klantervaring en diagnostische telemetrie geïnstalleerd en wordt vervolgens de MMA-agent geïnstalleerd, terwijl de werkruimte-id en -sleutel worden ingesteld, waarna de server wordt onboarded.
U kunt ook een onmiddellijke taak gebruiken om de deployMMA.cmd uit te voeren als u niet alle servers opnieuw wilt opstarten.
Dit kan in twee fasen. Maak eerst de bestanden en de map in GPO: geef het systeem de tijd om ervoor te zorgen dat het groepsbeleidsobject is toegepast en dat alle servers de installatiebestanden hebben. Voeg vervolgens de onmiddellijke taak toe. Hiermee wordt hetzelfde resultaat bereikt zonder dat u opnieuw hoeft op te starten.
Omdat het script een afsluitmethode heeft en niet opnieuw wordt uitgevoerd als de MMA is geïnstalleerd, kunt u ook een dagelijkse geplande taak gebruiken om hetzelfde resultaat te bereiken. Net als bij een Configuration Manager nalevingsbeleid wordt er dagelijks gecontroleerd of de MMA aanwezig is.
Zoals vermeld in de documentatie voor onboarding voor Server specifiek rond Server 2008 R2, raadpleegt u hieronder: Voor Windows Server 2008 R2 SP1 moet u voldoen aan de volgende vereisten:
- Het maandelijkse updatepakket van februari 2018 installeren
- Installeer .NET Framework 4.5 (of hoger) of KB3154518
Controleer of de KB's aanwezig zijn voordat u Windows Server 2008 R2 onboardt. Met dit proces kunt u alle servers onboarden als u geen Configuration Manager servers beheert.
Offboard-eindpunten
U hebt twee opties voor het offboarden van Windows-eindpunten van de service:
- De MMA-agent verwijderen
- De configuratie van de Defender for Endpoint-werkruimte verwijderen
Opmerking
Offboarding zorgt ervoor dat het Windows-eindpunt stopt met het verzenden van sensorgegevens naar de portal, maar gegevens van het eindpunt, inclusief verwijzingen naar waarschuwingen die het heeft gehad, worden maximaal zes maanden bewaard.
De MMA-agent verwijderen
Als u het Windows-eindpunt wilt offboarden, kunt u de MMA-agent verwijderen of deze loskoppelen van de rapportage naar uw Defender voor Eindpunt-werkruimte. Na het offboarden van de agent verzendt het eindpunt geen sensorgegevens meer naar Defender for Endpoint. Zie Een agent uitschakelen voor meer informatie.
De configuratie van de Defender for Endpoint-werkruimte verwijderen
U kunt een van de volgende methoden gebruiken:
- De configuratie van de Defender for Endpoint-werkruimte verwijderen uit de MMA-agent
- Een PowerShell-opdracht uitvoeren om de configuratie te verwijderen
De configuratie van de Defender for Endpoint-werkruimte verwijderen uit de MMA-agent
Selecteer op de eigenschappen van Microsoft Monitoring Agent het tabblad Azure Log Analytics (OMS).
Selecteer de werkruimte Defender voor Eindpunt en selecteer Verwijderen.
Een PowerShell-opdracht uitvoeren om de configuratie te verwijderen
Uw werkruimte-id ophalen:
- Selecteer in het navigatiedeelvenster Instellingen>Onboarding.
- Selecteer het relevante besturingssysteem en haal uw werkruimte-id op.
Open een PowerShell met verhoogde bevoegdheid en voer de volgende opdracht uit. Gebruik de werkruimte-id die u hebt verkregen en vervang
WorkspaceID:$AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg # Remove OMS Workspace $AgentCfg.RemoveCloudWorkspace("WorkspaceID") # Reload the configuration and apply changes $AgentCfg.ReloadConfiguration()