Wdrażanie Microsoft Defender zabezpieczeń punktu końcowego na urządzeniach z systemem Windows przy użyciu narzędzia wdrażania usługi Defender (wersja zapoznawcza)

Narzędzie do wdrażania usługi Defender to lekka, samoaktualizująca się aplikacja, która ma usprawnić dołączanie do wszystkich wersji systemu Windows obsługiwanych przez rozwiązanie zabezpieczeń punktu końcowego usługi Defender. Narzędzie zajmuje się wymaganiami wstępnymi, automatyzuje migracje ze starszych rozwiązań i eliminuje potrzebę złożonych skryptów dołączania, oddzielnych plików do pobrania i instalacji ręcznych.

Za pomocą interfejsu użytkownika narzędzia administratorzy mogą dwukrotnie kliknąć narzędzie i wykonać interakcyjną instalację i sekwencję dołączania. W przypadku większych wdrożeń narzędzie udostępnia opcje automatyzacji z zaawansowanymi parametrami wiersza polecenia, dzięki czemu można zintegrować je z platformami aranżacji lub niestandardowymi narzędziami wdrażania, takimi jak zasady grupy, pozostawiając środowisko zapewniane za pośrednictwem innych integracji rozwiązań firmy Microsoft, takich jak Intune i Defender for Cloud.

Funkcje obsługiwane przez narzędzie obejmują:

• Obsługa wymagań wstępnych: narzędzie sprawdza wymagane aktualizacje i koryguje problemy z blokowaniem, upewniając się, że urządzenia są gotowe do dołączania do usługi Defender.

• Rejestrowanie: wszystkie operacje są rejestrowane lokalnie w szczegółowym dzienniku.

• Unikanie instalacji nadmiarowej: jeśli usługa Defender jest już obecna, narzędzie pomija instalacje nadmiarowe.

• Opinia interfejsu użytkownika: narzędzie udostępnia opinie interfejsu użytkownika z opisami błędów zamiast kodów zakończenia.

• Obsługa trybu pasywnego: w systemach operacyjnych serwera i systemie Windows 7 Program antywirusowy Defender można ustawić na tryb pasywny. Może to być przydatne podczas migracji z rozwiązań chroniących przed złośliwym kodem innych firm.

• Automatyzacja: narzędzie obsługuje szeroką gamę opcji wiersza polecenia.

• Obsługa urządzeń: obsługa urządzeń infrastruktury pulpitu wirtualnego (VDI) zapewnia, że urządzenia usunięte i utworzone ponownie pod tą samą nazwą hosta mogą być wyświetlane jako pojedyncze urządzenie w portalu usługi Defender.

• Pomoc: wbudowana funkcja pomocy wyświetla wszystkie dostępne opcje wiersza polecenia.

• Pliki konfiguracji: można generować pliki konfiguracji wielokrotnego użytku, które sprawiają, że wdrożenia zbiorcze są bardziej wydajne i mniej podatne na błędy.

• Praca bez łączności: jeśli łączność jest tymczasowo niedostępna, możliwe jest dołączanie i odłączanie w trybie offline.

Gdy jest używane interaktywne środowisko dwukrotnego kliknięcia, narzędzie automatycznie korzysta z pliku WindowsDefenderATP.onboarding w tym samym katalogu. Będzie obsługiwać instalację większości aktualizacji wymagań wstępnych i najnowszych składników usługi Defender oraz połączyć urządzenie z usługami Defender. W razie potrzeby narzędzie poprosi o ponowne uruchomienie urządzenia w celu zakończenia instalacji po ponownym zalogowaniu.

W przypadku bardziej zaawansowanych i dużych wdrożeń narzędzie oferuje funkcje do wykonywania dodatkowych i zaaranżowanych kroków za pośrednictwem parametrów wiersza polecenia lub pliku konfiguracji.

Aby wyświetlić kompletne odwołanie do poleceń po pobraniu narzędzia, uruchom polecenie . DefenderDT.exe -?

Obsługiwane systemy operacyjne

Narzędzie do wdrażania usługi Defender obsługuje następujące systemy operacyjne: Windows 7 z dodatkiem SP1, Windows Server 2008 R2 z dodatkiem SP1, Windows Server 2012 R2, 2016, 2019, 2022, 2025, Windows 10 (wersja 1809 i nowsze) oraz wszystkie wersje Windows 11.

Wymagania wstępne

Istnieją wymagania wstępne dotyczące wszystkich obsługiwanych urządzeń z systemem Windows i Windows Server, a także wymagania wstępne specyficzne dla urządzeń z systemem Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1.

Ogólne wymagania wstępne

• W przypadku większości operacji wymagane są uprawnienia administracyjne.

• Funkcje w wersji zapoznawczej muszą być włączone w dzierżawie.

• Dostęp do definitionupdates.microsoft.com domeny. Narzędzie jest pobierane i aktualizowane z tej domeny. Ponieważ pliki, które pobiera, są hostowane na platformie dystrybucji zawartości, nie będą z nią skojarzone statyczne ani przewidywalne zakresy adresów IP — w przeciwieństwie do innych usług w chmurze Defender.

• Narzędzie sprawdzi łączność z konkretną dzierżawą przed kontynuowaniem, ale inne wymagania dotyczące łączności, takie jak dostęp do skonsolidowanego pliku *.endpoint.security.microsoft.com/*, mają zastosowanie do (dodatkowych) funkcji, których możesz użyć z produktem. Zobacz Konfigurowanie środowiska sieciowego w celu zapewnienia łączności z usługą Defender for Endpoint.

Dodatkowe wymagania wstępne dotyczące systemu Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1

• Na urządzeniach musi działać wersja x64 systemu Windows 7 z dodatkiem SP1 lub Windows Server 2008 R2 z dodatkiem SP1. Zalecamy zainstalowanie najnowszych aktualizacji w celu uniknięcia ponownego uruchomienia i znacznego skrócenia wymaganego czasu instalacji.

• Aby narzędzie do wdrażania usługi Defender działało w systemie Windows 7 z dodatkiem SP1 lub Windows Server 2008 R2 z dodatkiem SP1, musi być zainstalowana co najmniej KB4474419 aktualizacji podpisywania kodu SHA2.

  • Aktualizacja stosu obsługi (SSU) (KB4490628). Jeśli używasz Windows Update, wymagana jednostka SSU będzie oferowana automatycznie.

  • Aktualizacja SHA-2 (KB4474419) wydana 10 września 2019 r. Jeśli używasz Windows Update, wymagana aktualizacja SHA-2 zostanie zaoferowana automatycznie.

• Na urządzeniach z dodatkiem SP1 z systemem Server 2008 R2 należy również zainstalować platformę .NET 3.5 lub nowszą.

R2 z dodatkiem SP1, co najmniej, aktualizacje podpisywania kodu SHA2 muszą być zainstalowane:

Aktualizacja stosu obsługi (SSU) (KB4490628). Jeśli używasz Windows Update, wymagana jednostka SSU będzie oferowana automatycznie.

Aktualizacja SHA-2 (KB4474419) wydana 10 września 2019 r. Jeśli używasz Windows Update, wymagana aktualizacja SHA-2 zostanie zaoferowana automatycznie.

Pobieranie narzędzia

1. W portalu Microsoft Defender (security.microsoft.com) przejdź do pozycjiDołączaniepunktów końcowych ustawień>>systemu>.

2. Z menu rozwijanego Krok 1 wybierz pozycję Windows (wersja zapoznawcza).

3. W obszarze Wdróż, pobierając i stosując pakiety lub pliki, wybierz przycisk Pobierz pakiet . Spowoduje to pobranie pliku wykonywalnego usługi Defender i pakietu plików dołączania.

   

   Uwaga

   W przypadku odłączania wybierz pozycję Odłączanie w sekcji Zarządzanie urządzeniami, wybierz pozycję Windows 10 i 11 z menu rozwijanego Krok 1, a następnie wybierz przycisk Pobierz pakiet. Spowoduje to pobranie tylko pakietu plików odłączania — nie pobiera pliku wykonywalnego narzędzia wdrażania usługi Defender, ponieważ jest to takie samo w przypadku dołączania i odłączania.

Wdrażanie zabezpieczeń punktu końcowego usługi Defender na urządzeniach

Narzędzie wdrażania usługi Defender może być używane interaktywnie lub nieinterakcyjnie.

Użycie interaktywne

Narzędzie obsługuje dwa interaktywne środowiska, które są odpowiednie do wdrożenia na jednym lub ograniczonej liczbie urządzeń — szybkie dołączanie "dwukrotnego kliknięcia" z jednym komputerem bez żadnych zmian w zachowaniu domyślnym oraz ręczne środowisko wiersza polecenia, które zapewnia większą elastyczność.

Aby użyć szybkiej instalacji domyślnej "kliknij dwukrotnie":

1. Kliknij dwukrotnie plik wykonywalny, aby go uruchomić.

2. W wyświetlonym oknie dialogowym wybierz pozycję Kontynuuj.

   

   Narzędzie poszuka pliku WindowsDefenderATP.onboarding w katalogu, z który jest uruchamiane narzędzie, oraz wykona domyślne operacje instalacji i dołączania.

Użycie nieinterakcyjne

Wszystkie operacje instalacji i dołączania można również wykonać ręcznie za pośrednictwem interfejsu wiersza polecenia. Ponadto interfejs wiersza polecenia obsługuje wiele innych operacji, takich jak uruchamianie testów wymagań wstępnych:

Aby wyświetlić kompletne odwołanie do poleceń, uruchom polecenie : DefenderDT.exe -?.

Wdrożenia zaawansowane i na dużą skalę

Narzędzie wdrażania usługi Defender może być używane nieinterakcyjnie w ramach zorganizowanej sekwencji uruchamianej przez narzędzie do zarządzania, takie jak zasady grupy, Microsoft Configuration Manager lub inne narzędzie używane przez organizację do wdrożeń oprogramowania.

W tym celu narzędzie udostępnia opcjonalne parametry wiersza polecenia, które umożliwiają dostosowywanie operacji dołączania w celu obsługi wielu różnych scenariuszy.

W przypadku powtarzających się scenariuszy wdrażania w środowisku można użyć pliku konfiguracji zamiast wiersza polecenia, aby przekazać parametry. Aby wygenerować plik konfiguracji, uruchom narzędzie z parametrem -makeconfig . Po utworzeniu pliku otwórz go w edytorze tekstów, aby skonfigurować opcje odpowiednie dla danego scenariusza wdrażania. Zobacz przykład użycia.

Przykłady użycia

W poniższych przykładach pokazano, jak używać tego narzędzia.

• Uruchom narzędzie do wdrażania usługi Defender bez zmiany ustawień i bez interakcji z nim:

  DefenderDT.exe -Quiet
  

• Użyj pliku dołączania WindowsDefenderATP.onboarding w tym samym katalogu co narzędzie, aby uruchomić domyślną sekwencję dołączania, nawiązać połączenie za pośrednictwem serwera proxy i, jeśli jest wymagane ponowne uruchomienie, zainicjować go bez pytania. Nie pokazuj okna konsoli.

  DefenderDT.exe -Proxy:192.168.0.255:8080 -AllowReboot -Quiet
  

• Użyj pliku dołączania przechowywanego w lokalizacji sieciowej, aby wykonać sekwencję dołączania. Nie pokazuj okna konsoli.

  DefenderDT.exe -File:\\server\share\Defender.onboarding -Quiet
  

• Wykonaj operację odłączania. Nie pytaj o zatwierdzenie. Nie pokazuj okna konsoli.

  DefenderDT.exe -Offboard -File:c:"\Defender deployment tooltest\WindowsDefenderATPOffboardingScript_valid_until_2025-04-02.offboarding" -YES -Quiet
  

• Wykonaj sprawdzanie wymagań wstępnych i wyświetl pełne dane wyjściowe bez wyświetlania okna dialogowego.

  DefenderDT.exe -PreCheck -Verbose -Quiet
  

• Pobierz aktualizacje i pliki instalacyjne do użycia na potrzeby przemieszczania do bieżącego katalogu.

  DefenderDT.exe -Stage
  

• Utwórz plik konfiguracji, edytuj go, a następnie użyj go do przekazania wielu parametrów do narzędzia w celu przeprowadzenia instalacji przy użyciu etapowych plików instalacyjnych.

  • Krok 1. Generowanie pliku konfiguracji

    DefenderDT.exe -makeconfig
    

  • Krok 2. Użyj edytora tekstów, takiego jak Notatnik, aby otworzyć plikMdeConfig.txt utworzony w katalogu i określić parametry, których chcesz użyć. Próbka:

    # Only absolute paths can be used for the parameters accepting paths
    
    # Configures the tool to perform offboarding.
    
    # Add the parameter "YES" to proceed with offboarding without user approval. 
    # Offboard: False 
    
    # Used with "Offboard" and "Uninstall" parameters. 
    # Yes: False 
    
    # Downloads the installation files for all Windows versions supported by the tool to a specific location for staging purposes. 
    # Stage: 
    
    # Specifies the path to the folder containing the installation files. To stage installation files, use the "Stage" parameter. 
    # Source: 
    
    # Specifies the full path to the .onboarding or .offboarding file if it is not placed in the current folder. 
    # File: 
    
    # Proxy to use during and after installation. Empty string by default. 
    Proxy: 
    
    # Prevents any dialogs from displaying. False by default. 
    Quiet: False 
    
    # Allows device reboots if needed. False by default 
    AllowReboot: False 
    
    # Prevents the tool from resuming activities after a reboot. False by default. 
    NoResumeAfterReboot: False 
    
    # Windows Server only. Sets Defender antivirus to run in passive mode. 
    Passive: False 
    
    # Installs updates but does not perform onboarding, even if an onboarding file is present. False by default. 
    UpdateOnly: False 
    
    # Displays detailed information. False by default. 
    Verbose: False 
    
    # Checks for prerequisites and logs results but does not proceed with installation or onboarding. False by default. 
    Precheck: False 
    
    # Offboards the device and uninstalls any components that were added during onboarding. 
    # Will use the .offboarding file in the current folder if no path was specified. 
    # Add the parameter "YES" to proceed without user approval. 
    Uninstall: False 
    
    # Optionally removes the specified workspace connection used by Microsoft Monitoring Agent (MMA). Empty string by default. 
    RemoveMMA: 
    
    # Allows offboarding to proceed even if there is no connectivity. False by default. 
    Offline: False 
    

  • Krok 3. Uruchamianie narzędzia z plikiem konfiguracji.

    DefenderDT.exe -File:\\server\DDT\Defenderconfig.txt
    

    Jeśli plik MdeConfig.txt jest przechowywany w tym samym katalogu co narzędzie, nie ma potrzeby określania ścieżki.

Używanie zasady grupy do wdrożenia

Poniższe kroki pokazują, jak utworzyć zaplanowane zadanie, aby uruchomić narzędzie przy użyciu zasady grupy:

1. Umieść pliki DefenderDT.exe i windowsDefenderATP.onboarding w lokalizacji udostępnionej, do których może uzyskać dostęp urządzenie. Jeśli wcześniej utworzono plik konfiguracji MDEConfig.txt , umieść go w tej samej lokalizacji.

2. Aby utworzyć nowy obiekt zasady grupy (GPO), otwórz konsolę zarządzania zasady grupy (GPMC), kliknij prawym przyciskiem myszy zasady grupy obiekty, które chcesz skonfigurować, i wybierz pozycję Nowe. Wprowadź nazwę nowego obiektu zasad grupy w wyświetlonym oknie dialogowym i wybierz przycisk OK.

3. Otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy , który chcesz skonfigurować, i wybierz pozycję Edytuj.

4. W edytorze zarządzania zasady grupy przejdź do pozycjiUstawienia panelu sterowaniapreferencji>konfiguracji> komputera.

5. Kliknij prawym przyciskiem myszy pozycję Zaplanowane zadania, wskaż pozycję Nowe, a następnie wybierz pozycję Zadanie natychmiastowe (co najmniej system Windows 7).

6. W wyświetlonym oknie Zadanie przejdź do karty Ogólne .

7. W obszarze Opcje zabezpieczeń wybierz pozycję Zmień użytkownika lub grupę, wpisz SYSTEM, a następnie wybierz pozycję Sprawdź nazwy i wybierz przycisk OK. NT AUTHORITY\SYSTEM jest wyświetlany jako konto użytkownika, które będzie uruchamiane jako zadanie.

8. Wybierz pozycję Uruchom, czy użytkownik jest zalogowany, czy nie , i zaznacz pole wyboru Uruchom z najwyższymi uprawnieniami .

9. W polu Nazwa wpisz odpowiednią nazwę dla zaplanowanego zadania.

10. Przejdź do karty Akcje i wybierz pozycję Nowy. Upewnij się, że w polu Akcja wybrano opcję Uruchom program . Wprowadź pełną ścieżkę UNC, używając w pełni kwalifikowanej nazwy domeny serwera plików (FQDN) udostępnionej aplikacji DefenderDDT.exe .

11. W polu Dodaj argumenty (opcjonalnie) wprowadź parametry , których chcesz użyć. Aby na przykład użyć pliku dołączania, który nie znajduje się w katalogu roboczym narzędzia, określ parametr -file: z pełną ścieżką UNC do pliku dołączania, na przykład -file: \\server\share\WindowsDefenderATP.onboarding.

12. Wybierz przycisk OK i zamknij wszystkie otwarte okna kontrolera GPMC.

13. Aby połączyć obiekt zasad grupy z jednostką organizacyjną (OU), kliknij prawym przyciskiem myszy i wybierz pozycję Połącz istniejący obiekt zasad grupy. W wyświetlonym oknie dialogowym wybierz obiekt zasady grupy, który chcesz połączyć, i wybierz przycisk OK.

Zagadnienia i ograniczenia

Poniżej przedstawiono ogólne zagadnienia i ograniczenia oraz dodatkowe zagadnienia i ograniczenia dotyczące urządzeń z systemem Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1.

Ogólne zagadnienia i ograniczenia

• Jeśli używasz środowiska interaktywnego, a do ukończenia sekwencji jest wymagany ponowny rozruch, musisz zalogować się ponownie po ponownym uruchomieniu, aby wznowić. W przeciwnym razie urządzenie nie zostanie w pełni dołączone.

• Gdy parametr -proxy jest używany, ma zastosowanie tylko do operacji narzędzia wdrażania usługi Defender. Pomimo opisu parametru w dokumentacji pomocy wiersza polecenia nie ustawia on konfiguracji serwera proxy w rejestrze dla zabezpieczeń punktu końcowego usługi Defender do użycia po instalacji. Należy pamiętać, że zarówno narzędzie, jak i usługa Defender będą używać dowolnego serwera proxy skonfigurowanego na poziomie całego systemu (Windows) niezależnie od tego. Jeśli chcesz skonfigurować serwer proxy do użycia dla usług zabezpieczeń punktu końcowego usługi Defender na maszynie (statyczny serwer proxy), a nie na całym systemie, zobacz Konfigurowanie urządzeń w celu nawiązywania połączenia z usługą Defender for Endpoint przy użyciu serwera proxy.

• W Windows Server 2016 i nowszych, gdy funkcja Program antywirusowy Defender została odinstalowana lub usunięta, może wystąpić błąd podczas kroku Włączanie funkcji "Windows-Defender". Można to zaobserwować w interfejsie użytkownika w dzienniku lokalnym w obszarze Uzupełnianie sekwencji z kodem zakończenia 710 i opisem błędu EnableFeatureFailed. W dzienniku lokalnym będzie można również znaleźć błąd 14081 z opisem 0x3701 Nie można odnaleźć zestawu, do którego odwołuje się odwołanie. Ten błąd nie wskazuje na problem z funkcją Program antywirusowy Defender lub plikami źródłowymi, ponieważ są one zwykle rozwiązywane przez narzędzie dołączania. Jeśli wystąpi ten problem, otwórz zgłoszenie do pomocy technicznej dla systemu Windows Server.

Znane problemy i ograniczenia dotyczące systemu Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1

• Alerty dotyczące mpclient.dll, mpcommu.dll, mpsvc.dll, msmplics.dlli sense1ds.dll mogą być ładowane przez mpcmdrun.exe lub mssense.exe. Powinny one być rozwiązywane w czasie.

• W systemie Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z zainstalowanym pakietem Środowisko pulpitu może zostać wyświetlone powiadomienie z centrum akcji Windows nie znalazło oprogramowania antywirusowego na tym komputerze. Nie wskazuje to na problem.

• Wersja zapoznawcza ("beta") narzędzia analizatora klienta może służyć do zbierania dzienników i rozwiązywania problemów z łącznością w systemach Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1. Wymaga ona zainstalowania programu PowerShell 5.1 lub nowszego.

• Nie ma lokalnego interfejsu użytkownika programu antywirusowego. Jeśli chcesz zarządzać ustawieniami programu antywirusowego lokalnie przy użyciu programu PowerShell, wymagana jest wersja 5.1 lub nowsza.

• Konfiguracja za pośrednictwem zasady grupy jest obsługiwana przy użyciu magazynu centralnego ze zaktualizowanymi szablonami zasad grupy na kontrolerze domeny. W przypadku konfiguracji lokalnych zasad grupy należy ręcznie zaktualizować szablony (WindowsDefender.admx/WindowsDefender.adml) do nowszej wersji (Windows 11), jeśli chcesz zastosować ustawienia za pomocą lokalnego edytora zasad grupy.

• Rozwiązanie zabezpieczeń punktu końcowego usługi Defender zostanie zainstalowane w C:\Program Files\Microsoft Defender for Endpoint

• Urządzenia z systemem Windows 7 mogą być wyświetlane jako serwer w portalu, dopóki nie zostanie zaktualizowana do najnowszej wersji sense, stosując KB5005292.

• Możesz umieścić Program antywirusowy Defender w trybie pasywnym w systemie Windows 7, przekazując parametr -passive do narzędzia wdrażania usługi Defender. Jednak obecnie nie można później przełączyć się do trybu aktywnego przy użyciu klucza rejestru ForceDefenderPassiveMode, takiego jak w systemie Windows Server. Aby przełączyć się do trybu aktywnego, konieczne jest odłączenie i odinstalowanie, a następnie ponowne uruchomienie narzędzia wdrażania usługi Defender bez parametru trybu pasywnego.

Rozwiązywanie problemów

Możesz odwołać się do dziennika narzędzia wdrażania usługi Defender, aby dowiedzieć się, czy podczas instalacji i dołączania wystąpiły jakiekolwiek problemy. Dziennik narzędzi wdrażania znajduje się pod adresem:

C:\ProgramData\Microsoft\DefenderDeploymentTool\DefenderDeploymentTool-<COMPUTERNAME>.log

Zdarzenia zostaną również zapisane w następujących dziennikach zdarzeń systemu Windows:

• Dołączanie: Źródło aplikacji > dzienników > systemu Windows: WDATPOnboarding

• Odłączanie: Źródło aplikacji > dzienników > systemu Windows: WDATPOffboarding

Aby sprawdzić, czy instalacja zakończyła się pomyślnie, wykonaj następujące testy:

1. Sprawdzanie, czy usługi są uruchomione

   Sc.exe query sense
Sc.exe query windefend

   W obu usługach powinno zostać wyświetlone coś podobnego do następującego:

   

2. Aby uzyskać szczegółowe informacje dotyczące zbierania dzienników dla Program antywirusowy Defender, w tym ustawień i innych informacji, można uruchomić następujące polecenie:

   C:\Program Files\Microsoft Defender for Endpoint\MpCmdRun.exe” -GetFiles -SupportLogLocation <FOLDEROFCHOICE>

   Najnowsza wersja zapoznawcza narzędzia analizatora klienta może być również używana do zbierania dzienników i rozwiązywania problemów z łącznością w systemach Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1. Wymaga ona zainstalowania programu PowerShell 5.1 lub nowszego.

Zawartość pokrewna

• Wdrażanie rozwiązania zabezpieczeń punktu końcowego usługi Defender dla urządzeń z systemem Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1