使用群組原則將 Windows 裝置上線

必要條件

• 若要使用群組原則 (GP) 更新來部署套件，您必須使用 Windows Server 2008 R2 或更新版本。

• 對於 Windows Server 2019 及更新版本，您可能需要將 XML 檔案替換NT AUTHORITY\Well-Known-System-Account為 NT AUTHORITY\SYSTEM 群組原則偏好設定所建立的 XML 檔案。

• 如果你正在使用 R2 和 Windows Server 2016 Windows Server 2012 的統一 適用於端點的 Microsoft Defender 解決方案，請務必在中央儲存庫中使用最新的 ADMX 檔案，才能存取正確的 適用於端點的 Microsoft Defender政策選項。 請參閱如何在 Windows 中建立和管理群組原則管理範本的中央儲存庫，並下載最新檔案以支援 Windows 10。

請參考 《識別端點版 Defender 架構與部署方法 》，了解部署端點版的各種路徑。

1. 打開你從服務入門嚮導下載的 GP 設定套件檔案 () WindowsDefenderATPOnboardingPackage.zip 。 你也可以從 Microsoft Defender 入口網站取得該套件：

   1. 在導覽窗格中，選擇 系統>設定>端點>裝置管理>啟動。

   2. 選擇作業系統。

   3. 在 [部署方法] 欄位中，選取 [群組原則]。

   4. 選擇 下載套件 並儲存 .zip 檔案。

2. 將 .zip 檔案的內容解壓縮到裝置可存取的共用唯讀位置。 你應該有一個叫 做 OptionalParamsPolicy 的資料夾，檔案 WindowsDefenderATPOnboardingScript.cmd。

3. 要建立新的 GPO，請開啟 GPMC) (群組原則管理主控台，右鍵點擊你想設定的群組原則物件，然後點擊「新建」。 在顯示的對話框中輸入新 GPO 名稱並點擊 確定。

4. 開啟群組原則管理主控台 (GPMC)，以滑鼠右鍵按一下您要設定的群組原則物件 (GPO)，然後按一下 [編輯]。

5. 在群組原則管理編輯器中，依序前往 [電腦組態]、[喜好設定]、[控制台設定]。

6. 以滑鼠右鍵按一下 [排程工作]，指向 [新增]，然後按一下 [立即工作 (至少 Windows 7)]。

7. 在 [工作] 視窗中，移至 [一般] 索引標籤。在 [安全性選項] 底下按一下 [變更使用者或群組] 並且輸入 SYSTEM，然後依序按一下 [檢查名稱]、[確定]。 NT AUTHORITY\SYSTEM 會顯示為執行工作的使用者帳戶身分。

8. 選取 [不論使用者登入與否均執行]，然後勾選 [以最高權限執行] 核取方塊。

9. 在名稱欄位中，輸入排程任務的適當名稱，例如 (Defender for Endpoint Deployment) 。

10. 到動作標籤，選擇「新...請確保在動作欄位中選擇「啟動程式」。 輸入共享 WindowsDefenderATPOnboardingScript.cmd 檔案的 UNC 路徑，並使用檔案伺服器的完整限定網域名稱 (FQDN) 。

11. 選擇 確定 並關閉所有開啟的 GPMC 視窗。

12. 若要將 GPO 連結到 OU) (組織單位，請右鍵點擊並選擇 「連結現有 GPO」。 在顯示的對話框中，選擇你想要連結的群組原則物件。 按一下確定。

額外的 Defender for Endpoint 設定

對於每個裝置，你可以說明當透過 Microsoft Defender 全面偵測回應提交檔案進行深度分析時，是否能從該裝置收集樣本。

你可以使用 群組原則 (GP) 來設定，例如深度分析功能中使用的樣本分享設定。

設定範例集合設定

1. 在您的 GP 管理裝置上，從設定套件複製以下檔案：

   • 複製 AtpConfiguration.admx 到 C:\Windows\PolicyDefinitions。

   • 複製 AtpConfiguration.adml 到 C:\Windows\PolicyDefinitions\en-US。

   如果你使用的是中央儲存庫的群組原則管理範本，請從設定套件複製以下檔案：

   • 複製 AtpConfiguration.admx 到 \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions。

   • 複製 AtpConfiguration.adml 到 \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US。

2. 打開群組原則管理主控台，右鍵點擊你想設定的 GPO，然後點選編輯。

3. 在群組原則管理編輯器中，前往電腦設定。

4. 點選 政策，然後 選管理範本。

5. 點選 Windows 元件 ，然後點選 Windows Defender ATP。

6. 選擇啟用或關閉裝置中的樣本分享。

其他建議的組態設定

更新端點保護設定

設定完入職腳本後，繼續編輯相同的群組政策以新增端點防護設定。 請從運行 Windows 10、Windows 11 或 Windows Server 2019 及更新版本的系統執行群組政策編輯，以確保你擁有所有必要的 Microsoft Defender 防毒功能。 您可能需要關閉並重新開啟群組政策物件，以註冊 Defender ATP 設定。

所有保單均位於 Computer Configuration\Policies\Administrative Templates。

政策位置：\Windows Components\Windows Defender ATP

政策位置：\Windows Components\Microsoft Defender Antivirus

政策位置：\Windows Components\Microsoft Defender Antivirus\MAPS

政策位置：\Windows Components\Microsoft Defender Antivirus\Real-time Protection

政策位置：\Windows Components\Microsoft Defender Antivirus\Scan

這些設定會定期掃描端點。 我們建議每週快速掃描一次，視表現允許而定。

政策位置：\Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction

從攻擊 面減少規則部署步驟 3：實作 ASR 規則，取得目前攻擊面減少規則 GUID 清單。 如需更多規則細節，請參閱 攻擊面縮減規則參考

1. 開啟 「配置攻擊面減少 政策」。

2. 選取 已啟用。

3. 選擇 「顯示 」按鈕。

4. 在 值名稱 欄位中，將每個 GUID 加總值為 2。 這樣每一項都只適合審核。

   

執行偵測測試以驗證入職情況

將裝置上線之後，您可以選擇執行偵測測試，以驗證裝置已正確上線到服務。 如需詳細資訊，請參閱 在新上線的適用於端點的 Microsoft Defender 裝置上執行偵測測試

使用群組原則將裝置下架

出於安全考量，用於離線裝置的套件會在下載日期後7天內到期。 傳送到裝置的已過期下架套件將會遭到拒絕。 下載離職套件時，你會收到該套件的有效期限通知，且包裹名稱中也會包含該日期。

1. 從 Microsoft Defender 入口網站取得離職套件：

   1. 在導覽面板中，選擇 系統>設定>端點>裝置管理>離職。

   2. 選擇作業系統。

   3. 在 [部署方法] 欄位中，選取 [群組原則]。

   4. 按一下 [下載套件]，然後儲存 .zip 檔案。

2. 將 .zip 檔案的內容解壓縮到裝置可存取的共用唯讀位置。 你應該有一個名為 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd 的檔案。

3. 開啟群組原則管理主控台 (GPMC)，以滑鼠右鍵按一下您要設定的群組原則物件 (GPO)，然後按一下 [編輯]。

4. 在群組原則管理編輯器中，依序前往 [電腦組態]、[喜好設定]、[控制台設定]。

5. 以滑鼠右鍵按一下 [排程工作]，指向 [新增]，然後按一下 [立即工作]。

6. 在開啟的任務視窗中，進入安全選項下的「一般」標籤，選擇「變更使用者」或「群組」，輸入 SYSTEM，然後選擇「檢查名稱」，最後選擇確定。 NT AUTHORITY\SYSTEM 會顯示為該任務執行的使用者帳號。

7. 選取 [不論使用者登入與否均執行]，然後勾選 [以最高權限執行] 核取方塊。

8. 在名稱欄位中，輸入排程任務的適當名稱，例如 (Defender for Endpoint Deployment) 。

9. 到動作標籤，選擇「新......」。請確保在動作欄位中選擇「啟動程式」。 輸入共享檔案的 UNC 路徑，並使用檔案伺服器的完整限定網域名稱 (FQDN) WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd 。

10. 選擇 確定 並關閉所有開啟的 GPMC 視窗。

監視裝置設定

在群組原則中，沒有監控裝置政策部署的選項。 監視可以直接在入口網站上完成，或使用不同的部署工具。

使用入口網站監視裝置

1. 請前往 Microsoft Defender 入口網站。

2. 選擇 裝置庫存。

3. 確認裝置已顯示。

設定 Defender 防毒政策

建立新的群組原則，或將這些設定與其他政策合併。 這取決於客戶的環境，以及他們希望如何透過針對不同組織單位 (組織單位) 來推廣服務。

1. 選擇GP或建立新GP後，再編輯GP。

2. 瀏覽至電腦設定>政策>、管理範本、>Windows 元件、>Microsoft Defender 防毒>軟體、即時防護。

   

3. 在 隔離 資料夾中，設定從隔離資料夾移除物品。

   

   

4. 在 掃描 資料夾裡，設定掃描設定。

   

即時監控所有檔案

瀏覽至電腦設定>政策>、管理範本、>Windows 元件、>Microsoft Defender 防毒>軟體、即時防護。

設定 Windows Defender 智慧螢幕設定

1. 瀏覽至 電腦設定>政策>、管理範本、>Windows 元件、>Windows Defender SmartScreen>Explorer。

   

2. 瀏覽至 電腦設定>政策>管理範本>Windows 元件>Windows Defender SmartScreen>Microsoft Edge。

   

配置潛在不受歡迎的應用程式

瀏覽至電腦設定>政策>、管理範本、>Windows 元件、>Microsoft Defender 防毒軟體。

設定雲端交付保護並自動傳送樣本

瀏覽至電腦設定>政策>、管理範本、>Windows 元件、>Microsoft Defender 防毒>軟體、MAPS。

欲了解更多資訊，請參閱「在 Microsoft Defender 防毒軟體中開啟雲端保護」及「Microsoft Defender 防毒軟體中的雲端保護與範例提交」。

檢查簽名更新

瀏覽至電腦設定>政策>、管理範本、>Windows 元件>、Microsoft Defender 防毒>軟體、安全智慧匯報。

設定雲端傳送逾時與保護等級

瀏覽至電腦設定>政策>管理範本>Windows 元件>Microsoft Defender 防毒>軟體MP Engine。

當你將雲端保護層級政策設定為預設的 Microsoft Defender 防毒封鎖政策時，該政策就會被停用。 這是設定保護等級為 Windows 預設值所需的步驟。

相關文章

• 使用 Microsoft Endpoint Configuration Manager 將 Windows 裝置上線
• 使用行動裝置管理工具將 Windows 裝置上線
• 使用本機指令碼將 Windows 裝置上線
• 上線非持續 Virtual Desktop Infrastructure (VDI) 裝置
• 在新上線的適用於端點的 Microsoft Defender 裝置上執行偵測測試
• 故障排除適用於端點的 Microsoft Defender 入門問題