通过

使用本地脚本载入 Windows 设备

  • 适用于: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

还可以手动将单个设备加入 Defender for Endpoint。 在承诺加入网络中的所有设备之前,你可能希望在测试服务时加入某些设备。

重要

建议使用本文中所述的脚本手动将设备载入 Defender for Endpoint。 它只能在有限数量的设备上使用。 如果要部署到生产环境,请参阅其他部署选项,例如Intune、组策略或Configuration Manager。

请参阅 标识 Defender for Endpoint 体系结构和部署方法 ,了解部署 Defender for Endpoint 时的各种路径。

注意

Defender 部署工具 (现在以公共预览版) 可用于在 Windows 和 Linux 设备上部署 Defender 终结点安全性。 该工具是一个轻型的自我更新应用程序,可简化部署过程。 有关详细信息,请参阅使用 Defender 部署工具将Microsoft Defender终结点安全性部署到 Windows 设备 (预览版) 使用 Defender 部署工具将Microsoft Defender终结点安全性部署到 Linux 设备 (预览版)

载入设备

  1. 打开配置包 .zip 文件 (从服务载入向导下载 WindowsDefenderATPOnboardingPackage.zip) 。 还可以从Microsoft Defender门户获取包:

注意

如果“终结点”部分不可见,请尝试访问其他 Defender 功能 (,例如事件或搜寻) ,或等待几分钟环境初始化。 此外,请确保具有所需的角色 (,例如安全管理员) 和适当的许可。

  1. 在导航窗格中,展开 “安全性 ”部分,然后选择 “设置>终结点>设备管理>载入”。

  2. 选择“Windows 10”或“Windows 11”作为作系统。

  3. “部署方法 ”字段中,选择“ 本地脚本”。

  4. 选择“ 下载包 ”并保存 .zip 文件。

  5. 将配置包的内容提取到要载入的设备上的某个位置 (例如桌面) 。 应有一个名为 WindowsDefenderATPLocalOnboardingScript.cmd 的文件。

  6. 在设备上打开提升的命令行提示符并运行脚本:

    1. 转到“开始”并键入“cmd”。

    2. 右键单击“命令提示符”,然后选择“以管理员身份运行”。

    指向“以管理员身份运行”的“窗口开始”菜单

  7. 键入脚本文件的位置。 如果将文件复制到桌面,请键入: %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd

  8. Enter 键或选择 “确定”。

  9. 键入“Y”并在出现提示时输入 。

  10. 脚本完成后,将显示“按任意键继续...”。 按任意键完成设备上的步骤。

有关如何手动验证设备是否合规并正确报告传感器数据的信息,请参阅排查Microsoft Defender for Endpoint载入问题

提示

载入设备后,可以选择运行检测测试,以验证设备是否已正确载入服务。 有关详细信息,请参阅在新加入的 Microsoft Defender for Endpoint 终结点上运行检测测试

配置示例集合设置

对于每个设备,可以设置一个配置值来说明当通过 Microsoft Defender XDR 提交文件以进行深入分析的请求时,是否可以从设备收集样本。

可以使用 regedit 或创建并运行 .reg 文件,在设备上手动配置示例共享设置。

通过以下注册表项设置配置:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

其中名称类型为 D-WORD。 可能的值是:

  • 0 - 不允许从此设备共享示例
  • 1 - 允许从此设备共享所有文件类型

注册表项不存在的默认值为 1。

运行检测测试以验证载入

载入设备后,可以选择运行检测测试,以验证设备是否已正确载入服务。 有关详细信息,请参阅在新加入的 Microsoft Defender for Endpoint 设备上运行检测测试

使用本地脚本的卸载设备

出于安全原因,用于卸载设备的程序包在下载之日起七天后过期。 发送到设备的过期卸载包将被拒绝。 下载卸载包时,系统会通知包的到期日期,并且包文件名中包含该日期。

注意

载入和卸载策略不得同时部署在同一设备上。 否则,可能会出现不可预知的冲突。

  1. Microsoft Defender 门户获取卸载包:

    1. 在导航窗格中,展开 “安全性 ”部分,然后选择 “设置>终结点>设备管理>卸载”。

    2. 选择“Windows 10”或“Windows 11”作为作系统。

    3. “部署方法 ”字段中,选择“ 本地脚本”。

    4. 选择“ 下载包 ”并保存 .zip 文件。

  2. 将 .zip 文件的内容提取到设备可以访问的共享只读位置。 应有一个名为 的文件 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd

  3. 在设备上打开提升的命令行提示符并运行脚本:

    1. 转到“开始”并键入“cmd”。

    2. 右键单击“命令提示符”,然后选择“以管理员身份运行”。

      指向“以管理员身份运行”选项的 Windows“开始”菜单

  4. 键入脚本文件的位置。 如果将文件复制到桌面,请键入: %userprofile%\Desktop\WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd

  5. Enter 键或选择 “确定”。

重要

卸载会导致设备停止向门户发送传感器数据,但从设备发送数据,包括对已保留最多 6 个月的警报的引用。

监视设备配置

可以按照 排查载入问题 中的不同验证步骤作,验证脚本是否已成功完成且代理正在运行。

还可以直接在门户上或通过使用不同的部署工具进行监视。

使用门户监视设备

  1. 转到Microsoft Defender门户

  2. 选择 “设备清单”。

  3. 验证设备是否显示。

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender for Endpoint 技术社区

  • Last updated on