使用 Defender 部署工具 (预览版) 将Microsoft Defender终结点安全性部署到 Windows 设备

Defender 部署工具是一个轻型的自我更新应用程序，旨在简化 Defender 终结点安全解决方案支持的所有 Windows 版本的载入。 该工具会处理先决条件，自动从旧解决方案迁移，无需复杂的载入脚本、单独下载和手动安装。

使用该工具的用户界面，管理员可以双击该工具并遵循交互式安装和载入顺序。 对于大型部署，该工具提供了具有高级命令行参数的自动化选项，以便你可以与业务流程平台或自定义部署工具（如组策略）集成，同时保留通过其他Microsoft解决方案集成（如 Intune 和 Defender for Cloud）提供的体验。

该工具支持的功能包括：

• 先决条件处理：该工具检查所需的更新并修正阻止问题，确保设备已准备好加入 Defender。

• 日志记录：所有作都在本地详细日志中记录。

• 避免冗余安装：如果 Defender 已存在，该工具将跳过冗余安装。

• UI 反馈：该工具提供带有错误说明的 UI 反馈，而不是退出代码。

• 被动模式支持：在服务器作系统和 Windows 7 上，Defender 防病毒可以设置为被动模式。 从非Microsoft反恶意软件解决方案迁移时，这非常有用。

• 自动化：该工具支持各种命令行选项。

• 设备处理：虚拟桌面基础结构 (VDI) 设备支持可确保在同一主机名下删除和重新创建的设备可以在 Defender 门户中显示为单个设备。

• 帮助：内置帮助函数显示所有可用的命令行选项。

• 配置文件：可以生成可重用的配置文件，使批量部署更加高效且不易出错。

• 在没有连接的情况下工作：当连接暂时不可用时，可以脱机载入和卸载。

使用 交互式双击体验时，该工具会自动利用同一目录中的 WindowsDefenderATP.onboarding 文件。 它将处理大多数先决条件更新和最新 Defender 组件的安装，并将设备连接到 Defender 服务。 如果需要，该工具会要求你在再次登录后重启设备以完成安装。

对于更高 级的大规模部署，该工具提供通过命令行参数或配置文件执行其他和协调步骤的功能。

若要在 下载该工具后查看完整的命令引用，请运行： DefenderDT.exe -?。

支持的操作系统

Defender 部署工具支持以下作系统：Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2012 R2、2016、2019、2022、2025、Windows 10 (版本 1809 及更新) ，以及所有版本的 Windows 11。

先决条件

有一些先决条件涉及所有受支持的 Windows 和Windows Server设备，以及特定于 Windows 7 SP1 和 Windows Server 2008 R2 SP1 设备的先决条件。

一般先决条件

• 大多数作都需要管理权限。

• 必须在租户上启用预览功能。

• 对域 definitionupdates.microsoft.com 的访问权限。 该工具将从此域下载并更新。 由于它下载的文件托管在内容分发平台上，因此不会有关联的静态或可预测的 IP 范围，这与其他 Defender 云服务不同。

• 虽然该工具将在继续之前检查与特定租户的连接，但其他连接要求（例如访问合并的 *.endpoint.security.microsoft.com/*）适用于你可能想要与产品一起使用的其他 () 功能。 请参阅 配置网络环境以确保与 Defender for Endpoint 服务的连接。

Windows 7 SP1 和 Windows Server 2008 R2 SP1 的其他先决条件

• 设备必须运行 x64 版本的 Windows 7 SP1 或 Windows Server 2008 R2 SP1。 建议安装最新更新以避免重新启动并显著缩短所需的安装时间。

• 若要在 Windows 7 SP1 或 Windows Server 2008 R2 SP1 上运行 Defender 部署工具，必须至少安装用于 SHA2 代码签名的更新KB4474419。

  • 服务堆栈更新 (SSU) (KB4490628) 。 如果使用Windows 更新，将自动为你提供所需的 SSU。

  • sha-2 update (KB4474419) 2019 年 9 月 10 日发布。 如果使用Windows 更新，系统会自动为你提供所需的 SHA-2 更新。

• 在 Server 2008 R2 SP1 设备上，还必须安装 .NET 3.5 或更高版本的 .NET Framework。

至少必须安装用于 SHA2 代码签名的更新 R2 SP1：

服务堆栈更新 (SSU) (KB4490628) 。 如果使用Windows 更新，将自动为你提供所需的 SSU。

SHA-2 更新 (KB4474419) 于 2019 年 9 月 10 日发布。 如果使用Windows 更新，系统会自动为你提供所需的 SHA-2 更新。

下载工具

1. 在Microsoft Defender门户 (security.microsoft.com) ，转到“系统>设置>终结点>载入”。

2. 在“步骤 1”下拉菜单中，选择“ Windows (预览”) 。

3. 在 “通过下载并应用包或文件进行部署”下，选择“ 下载包 ”按钮。 这会下载 Defender 可执行文件和加入文件包。

   

   注意

   对于卸载，请在“设备管理”部分选择“卸载”，在“步骤 1”下拉菜单中选择“Windows 10”和“11”，然后选择“下载包”按钮。 这仅下载卸载文件包 - 它不会下载 Defender 部署工具可执行文件，因为加入和卸载都是相同的。

在设备上部署 Defender 终结点安全性

Defender 部署工具可以交互方式使用，也可以以非交互方式使用。

交互式使用

该工具支持两种适合部署到一个或有限数量的设备的交互式体验 - 一种无需对默认行为进行任何更改的“双击”快速单机载入体验，以及提供更高灵活性的手动命令行体验。

若要使用快速“双击”默认安装，请执行以下命令：

1. 双击可执行文件以启动它。

2. 在出现的对话框中，选择“ 继续”。

   

   该工具将在运行该工具的目录中查找 WindowsDefenderATP.onboarding 文件，并执行默认安装和载入作。

非交互式使用

还可以通过命令行界面手动执行所有安装和载入作。 此外，命令行接口还支持各种其他作，例如运行先决条件检查：

若要查看完整的命令引用，请运行： DefenderDT.exe -?。

高级和大规模部署

可以将 Defender 部署工具作为管理工具（例如组策略、Microsoft Configuration Manager或组织用于软件部署的其他工具）运行的协调序列的一部分，以非交互方式使用。

为此，该工具提供了可选的命令行参数，可用于自定义载入作以支持各种方案。

对于环境中的重复部署方案，可以使用配置文件而不是命令行来传递参数。 若要生成配置文件，请使用 参数运行该工具 -makeconfig 。 创建文件后，在文本编辑器中将其打开，以配置适合部署方案的选项。 请参阅 用法示例。

用法示例

以下示例演示了如何使用该工具。

• 运行 Defender 部署工具，无需更改设置，也无需与其交互：

  DefenderDT.exe -Quiet
  

• 使用工具所在的同一目录中的 WindowsDefenderATP.onboarding 文件运行默认加入序列、通过代理进行连接，如果需要重新启动，无需询问即可启动它。 不显示控制台窗口。

  DefenderDT.exe -Proxy:192.168.0.255:8080 -AllowReboot -Quiet
  

• 使用存储在网络位置中的 .onboarding 文件来执行载入序列。 不显示控制台窗口。

  DefenderDT.exe -File:\\server\share\Defender.onboarding -Quiet
  

• 执行卸载作。 不要请求批准。 不显示控制台窗口。

  DefenderDT.exe -Offboard -File:c:"\Defender deployment tooltest\WindowsDefenderATPOffboardingScript_valid_until_2025-04-02.offboarding" -YES -Quiet
  

• 执行先决条件检查并显示详细输出，而不显示对话框。

  DefenderDT.exe -PreCheck -Verbose -Quiet
  

• 将用于暂存的更新和安装文件下载到当前目录。

  DefenderDT.exe -Stage
  

• 创建配置文件，对其进行编辑，然后使用它向工具传递多个参数，以便使用分阶段安装文件执行安装。

  • 步骤 1：生成配置文件

    DefenderDT.exe -makeconfig
    

  • 步骤 2：使用记事本等文本编辑器打开目录中创建的 MdeConfig.txt 文件，并指定要使用的参数。 样本：

    # Only absolute paths can be used for the parameters accepting paths
    
    # Configures the tool to perform offboarding.
    
    # Add the parameter "YES" to proceed with offboarding without user approval. 
    # Offboard: False 
    
    # Used with "Offboard" and "Uninstall" parameters. 
    # Yes: False 
    
    # Downloads the installation files for all Windows versions supported by the tool to a specific location for staging purposes. 
    # Stage: 
    
    # Specifies the path to the folder containing the installation files. To stage installation files, use the "Stage" parameter. 
    # Source: 
    
    # Specifies the full path to the .onboarding or .offboarding file if it is not placed in the current folder. 
    # File: 
    
    # Proxy to use during and after installation. Empty string by default. 
    Proxy: 
    
    # Prevents any dialogs from displaying. False by default. 
    Quiet: False 
    
    # Allows device reboots if needed. False by default 
    AllowReboot: False 
    
    # Prevents the tool from resuming activities after a reboot. False by default. 
    NoResumeAfterReboot: False 
    
    # Windows Server only. Sets Defender antivirus to run in passive mode. 
    Passive: False 
    
    # Installs updates but does not perform onboarding, even if an onboarding file is present. False by default. 
    UpdateOnly: False 
    
    # Displays detailed information. False by default. 
    Verbose: False 
    
    # Checks for prerequisites and logs results but does not proceed with installation or onboarding. False by default. 
    Precheck: False 
    
    # Offboards the device and uninstalls any components that were added during onboarding. 
    # Will use the .offboarding file in the current folder if no path was specified. 
    # Add the parameter "YES" to proceed without user approval. 
    Uninstall: False 
    
    # Optionally removes the specified workspace connection used by Microsoft Monitoring Agent (MMA). Empty string by default. 
    RemoveMMA: 
    
    # Allows offboarding to proceed even if there is no connectivity. False by default. 
    Offline: False 
    

  • 步骤 3：使用配置文件运行该工具。

    DefenderDT.exe -File:\\server\DDT\Defenderconfig.txt
    

    如果 MdeConfig.txt 文件与该工具存储在同一目录中，则无需指定路径。

使用组策略进行部署

以下步骤演示如何创建计划任务以使用 组策略 运行该工具：

1. 将文件 DefenderDT.exe 和 WindowsDefenderATP.onboarding 放在设备可以访问的共享位置上。 如果以前已创建 MDEConfig.txt 配置文件，请将其放在同一位置。

2. 若要创建新的组策略对象 (GPO) ，请打开组策略管理控制台 (GPMC) ，右键单击要配置的组策略对象，然后选择“新建”。 在显示的对话框中输入新 GPO 的名称，然后选择“ 确定”。

3. 打开组策略管理控制台，右键单击要配置的组策略对象 (GPO) ，然后选择“编辑”。

4. 在组策略管理编辑器中，转到“计算机配置>首选项>”“控制面板设置”。

5. 右键单击“ 计划的任务”，指向“ 新建”，然后选择“ 立即任务” (“至少) Windows 7 ”。

6. 在打开 的“任务” 窗口中，转到“ 常规 ”选项卡。

7. 在 “安全选项” 下，选择“ 更改用户或组”，键入 “SYSTEM”，然后选择“ 检查名称 ”，然后选择“ 确定”。 NT AUTHORITY\SYSTEM 显示为任务运行方式的用户帐户。

8. 选择“无论用户是否登录，都运行”，并检查“以最高特权检查运行”框。

9. 在“ 名称” 字段中，键入计划任务的相应名称。

10. 转到“ 作” 选项卡，然后选择“ 新建”。 确保在“作”字段中选择了 “启动程序 ”。 使用共享DefenderDDT.exe应用程序的 FQDN) (文件服务器的完全限定域名输入完整的 UNC 路径 。

11. 在 “添加参数 (可选) ”字段中，输入要使用的 参数 。 例如，若要使用不在工具的工作目录中的载入文件，请使用加入文件的完整 UNC 路径指定 -file： 参数，例如 -file: \\server\share\WindowsDefenderATP.onboarding。

12. 选择“ 确定” 并关闭任何打开的 GPMC 窗口。

13. 若要将 GPO 链接到组织单位 (OU) ，请右键单击并选择“ 链接现有 GPO”。 在显示的对话框中，选择要链接的组策略对象，然后选择“确定”。

注意事项和限制

下面概述了特定于 Windows 7 SP1 和 Windows Server 2008 R2 SP1 设备的一般注意事项和限制以及其他注意事项和限制。

一般注意事项和限制

• 如果使用交互式体验，并且需要重新启动才能完成序列，则必须在重新启动后重新登录才能继续。 否则，设备不会完全载入。

• 使用 -proxy 参数时，它仅适用于 Defender 部署工具作。 尽管命令行帮助参考中的参数说明，但它不会在注册表中设置代理配置，以便在安装后使用 Defender 终结点安全性。 请注意，无论在系统范围内 (Windows) 级别上配置的任何代理，该工具和 Defender 都将使用已配置的任何代理。 如果要专门配置一个代理，以便在 (静态代理) 而不是系统范围内在计算机上使用 Defender 终结点安全服务，请参阅配置设备以使用代理连接到 Defender for Endpoint 服务。

• 在 Windows Server 2016 及更高版本中，卸载或删除Defender 防病毒功能时，在“启用功能”Windows-Defender“步骤中可能会遇到错误。 这可以在用户界面、本地日志的“ 序列完成 ”和退出代码 710 和错误说明 EnableFeatureFailed 下观察到。 在本地日志中，还可以找到错误 14081，其中说明 0x3701找不到引用的程序集。 此错误并不表示Defender 防病毒功能或源文件存在问题，因为这些问题通常由载入工具解决。 如果遇到此问题，请为 Windows Server 创建支持案例。

Windows 7 SP1 和 Windows Server 2008 R2 SP1 的已知问题和限制

• 你可能会收到有关 mpcmdrun.exe或 mssense.exe 加载 mpclient.dll、 mpcommu.dll、mpsvc.dll、msmplics.dll和sense1ds.dll的警报。 这些问题应随着时间的推移而解决。

• 在安装了桌面体验包的 Windows 7 SP1 和 Windows Server 2008 R2 SP1 上，你可能会看到作中心 Windows 在此计算机上找不到防病毒软件的通知。 这并不表示存在问题。

• 预览版 (“beta”) 版客户端分析器工具可用于收集日志，并在 Windows 7 SP1 和 Windows Server 2008 R2 SP1 上执行连接故障排除。 它需要安装 PowerShell 5.1 或更高版本。

• 没有用于防病毒的本地用户界面。 若要使用 PowerShell 在本地管理防病毒设置，则需要版本 5.1 或更高版本。

• 使用域控制器上具有更新的组策略模板的中央存储，支持通过 组策略 进行配置。 对于本地组策略配置，如果要使用本地组策略编辑器应用设置 (，则需要手动将 WindowsDefender.admx/windowsDefender.adml) 模板更新为较新版本 (Windows 11) 。

• Defender 终结点安全解决方案将安装到 C:\Program Files\Microsoft Defender for Endpoint

• 在通过应用KB5005292更新到最新的 Sense 版本之前，Windows 7 设备可能会在门户中显示为 “服务器 ”。

• 可以通过将 -passive 参数传递给 Defender 部署工具，在 Windows 7 上将Defender 防病毒置于被动模式。 但是，目前无法在之后使用 ForceDefenderPassiveMode 注册表项切换到活动模式，就像在 Windows 服务器上一样。 若要切换到主动模式，需要卸载和卸载，然后再次运行 Defender 部署工具，而不使用被动模式参数。

疑难解答

可以参考 Defender 部署工具日志，了解安装和载入期间是否存在任何问题。 部署工具日志位于：

C:\ProgramData\Microsoft\DefenderDeploymentTool\DefenderDeploymentTool-<COMPUTERNAME>.log

事件还将写入以下 Windows 事件日志：

• 载入：Windows 日志 > 应用程序 > 源：WDATPOnboarding

• 卸载：Windows 日志 > 应用程序 > 源：WDATP 卸载

若要测试安装是否成功，请执行以下检查：

1. 检查服务是否正在运行

   Sc.exe query sense
Sc.exe query windefend

   对于这两个服务，应会看到如下所示的内容：

   

2. 有关Defender 防病毒的详细日志收集（包括设置和其他信息），可以运行以下命令：

   C:\Program Files\Microsoft Defender for Endpoint\MpCmdRun.exe” -GetFiles -SupportLogLocation <FOLDEROFCHOICE>

   客户端分析器工具的最新预览版还可用于收集日志，并在 Windows 7 SP1 和 Windows Server 2008 R2 SP1 上执行连接故障排除。 它需要安装 PowerShell 5.1 或更高版本。

相关内容

• 为 Windows 7 SP1 和 Windows Server 2008 R2 SP1 设备部署 Defender 终结点安全解决方案