本文說明如何設定與設定 Defender for Endpoint Plan 1。 無論你是有協助還是自己動手,這篇文章都可以作為整個部署過程中的指引。
安裝和設定程序
Defender for Endpoint Plan 1 的一般設定與設定流程如下:
| 數字 | 步驟 | 描述 |
|---|---|---|
| 1 | 檢視需求 | 列出授權、瀏覽器、作業系統及資料中心需求 |
| 2 | 規劃您的部署 | 列出多種部署方法,並提供更多資源連結,幫助你決定使用哪種方法 |
| 3 | 建立你的租戶環境 | 列出建立租戶環境的任務 |
| 4 | 指派角色和權限 | 列出您的資安團隊需要考慮的角色與權限 提示:一旦分配好角色和權限,您的資安團隊即可透過 Microsoft Defender 入口網站開始行動。 欲了解更多,請參閱 「入門」。 |
| 5 | 上線到適用於端點的 Defender | 依作業系統列出多種可導入 Defender for Endpoint Plan 1 的方法,並附有各方法的更詳細資訊連結 |
| 6 | 設定新一代保護技術 | 說明如何在 Microsoft Intune 中設定次世代保護設定 |
| 7 | 配置你的攻擊面減少能力 | 列出可設定的攻擊面減少能力類型,並包含包含連結至更多資源的程序 |
檢視需求
下表列出Defender for Endpoint Plan 1的基本需求:
| 需求 | 描述 |
|---|---|
| 授權需求 | Defender for Endpoint Plan 1 (獨立使用,或作為 Microsoft 365 E3、A3 或 G3) 的一部分 |
| 瀏覽器需求 | Microsoft Edge Internet Explorer 版本 11 Google Chrome |
| 作業系統 (用戶端) | Windows 11 Windows 10,版本 1709 或更新版本 macOS iOS Android OS |
| 作業系統 (伺服器) | Windows Server 2025 Windows Server 2022 Windows Server 2019 Windows Server 版本 1803 及以後版本 使用現代統一解決方案時,支援 Windows Server 2016 與 2012 R2 Azure Stack HCI OS,版本 23H2 及以後版本 Linux |
| Datacenter | 下列其中一個資料中心位置: - 歐盟 - 英國 - 美國 |
注意事項
Defender for Endpoint Plan 1 的獨立版本不包含伺服器授權。 要安裝伺服器,你需要額外的授權,例如:
- Microsoft Defender for Servers Plan 1 或 Plan 2 (,作為 Defender for Cloud) 產品的一部分。
- 適用於端點的 Microsoft Defender 伺服器
- 適用於商業伺服器的 Microsoft Defender (中小企業)
欲了解更多,請參閱 Defender for Endpoint 入門 Windows Server
規劃您的部署
當你規劃部署時,可以從多種不同的架構和部署方式中選擇。 每個組織都獨一無二,因此你有多種選項需要考慮,如下表所示:
| 方法 | 描述 |
|---|---|
| Intune | 使用 Intune 管理雲端原生環境中的端點 |
| Intune 與 Configuration Manager | 使用 Intune 和 Configuration Manager 來管理跨越本地與雲端環境的端點與工作負載 |
| Configuration Manager | 使用 Configuration Manager 利用 Defender for Endpoint 的雲端功能保護本地端點 |
| 本地腳本從 Microsoft Defender 入口網站下載。 | 在端點上用本地腳本執行試點或只在少數裝置上接載 |
想了解更多部署選項,請參閱 「規劃你的端點 Defender 部署」。 還有,下載以下海報:
提示
欲了解更多部署規劃的詳細資訊,請參閱「規劃您的 適用於端點的 Microsoft Defender 部署」。
建立你的租戶環境
建立您的租戶環境包含以下工作:
- 驗證您的執照
- 設定您的租戶
- 只有在必要時才 (設定代理)
- 確保感測器正常運作並向 Defender for Endpoint 回報資料
這些任務包含在 Defender for Endpoint 的設定階段。 請參見 Set Up Defender for Endpoint。
指派角色和權限
若要存取 Microsoft Defender 入口網站、設定 Defender for Endpoint 的設定,或執行任務,例如對偵測到的威脅採取回應行動,必須分配適當的權限。 Defender for Endpoint 在 Microsoft Entra ID 內建角色。
Microsoft 建議只分配使用者執行任務所需的權限等級。 你可以透過基本權限管理來分配權限,或使用 基於角色的存取控制 (RBAC) 。
- 透過基本權限管理,全域管理員與安全管理員擁有完整存取權,而安全閱讀器則擁有唯讀權限。
- 有了 RBAC,你可以透過更多角色設定更細緻的權限。 例如,你可以有安全讀取器、安全操作員、安全管理員、端點管理員等等。
重要事項
自 2025 年 2 月 16 日起,新適用於端點的 Microsoft Defender客戶將只能使用 Unified Role-Based 存取控制 (URBAC) 。 現有客戶保留現有角色與權限。 欲了解更多資訊,請參閱URBAC統一 Role-Based 存取控制 (URBAC) 適用於端點的 Microsoft Defender
下表說明了貴組織中 Defender for Endpoint 應考慮的關鍵角色:
| 角色 | 描述 |
|---|---|
| 全域管理員 作為最佳實務,限制全球管理員的數量。 |
全域管理員可以執行各種任務。 為您的公司註冊 Microsoft 365 或 適用於端點的 Microsoft Defender Plan 1 的人,預設是全域管理員。 全域管理員可存取或更改所有 Microsoft 365 入口網站的設定,例如: - Microsoft 365 系統管理中心(https://admin.microsoft.com) - Microsoft Defender (https://security.microsoft.com) - Intune 行政中心 (https://intune.microsoft.com) |
| 資安管理員 | 安全管理員可執行安全操作員任務及以下任務: - 監控與安全相關的政策 - 管理安全威脅與警示 - 檢視報告 |
| 安全性操作員 | 安全操作員可執行安全讀取器任務及以下任務: - 查看偵測到威脅的資訊 - 調查並回應偵測到的威脅 |
| 安全性讀取者 | 安全讀取器可執行以下任務: - 查看跨 Microsoft 365 服務的安全相關政策 - 檢視安全性威脅和警示 - 檢視報告 |
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
欲了解更多關於 Microsoft Entra ID 角色的資訊,請參閱「將管理員與非管理員角色分配給擁有 Microsoft Entra ID 的使用者」。 關於端點 Defender 角色的更多資訊,請參見 基於角色的存取控制。
上線到適用於端點的 Defender
當您準備好為組織端點上線時,您可以從以下表格中列出多種方法中選擇:
| 端點 | 部署工具 |
|---|---|
| Windows |
本機指令碼 (最多 10 部裝置) 群組原則 Microsoft Intune/移動裝置管理員 Microsoft Endpoint Configuration Manager VDI 指令碼 |
| macOS |
本機指令碼 Microsoft Intune JAMF Pro 行動裝置管理 |
| Android | Microsoft Intune |
| iOS |
Microsoft Intune 行動應用程式管理員 |
接著,開始配置您的次世代防護與攻擊面減少能力。
設定新一代保護技術
我們建議使用 Intune 來管理組織的裝置與安全設定,如下圖所示:
要在 Intune 中設定您的下一代保護,請依照以下步驟操作:
到Intune管理中心 (https://intune.microsoft.com) 並登入。
選擇端 點安全>防毒軟體,然後選擇現有的政策。 (如果你沒有現有的保單,請建立新的保單 )
設定或更改你的防毒軟體設定。 需要協助? 請參考以下資源:
設定完成後,選擇 檢視 + 儲存。
配置你的攻擊面減少能力
攻擊面減少的重點是減少組織容易遭受攻擊的場所和方式。 Defender for Endpoint Plan 1 包含多項功能與能力,幫助您降低各端點的攻擊面。 這些功能與能力列於下表:
| 功能/能力 | 描述 |
|---|---|
| 受攻擊面縮小規則 | 配置攻擊面減少規則,以限制軟體風險行為,幫助維護組織安全。 攻擊面減少規則針對特定軟體行為,例如 - 啟動嘗試下載或執行檔案的可執行檔與腳本 - 執行混淆或其他可疑腳本 - 執行應用程式在日常工作中通常不會主動觸發的行為 這類軟體行為有時會出現在合法的應用程式中。 然而,這些行為常被視為風險較高,因為攻擊者常透過惡意軟體濫用。 |
| 勒索軟體防治 | 透過設定受控資料夾存取來建立勒索軟體防範,有助於保護組織的珍貴資料免受惡意應用程式與威脅(如勒索軟體)侵害。 |
| 裝置控制 | 為組織設定裝置控制設定,允許或阻擋可移除裝置 (如 USB 隨身碟) 。 |
| 網路保護 | 設置網路保護,防止組織內人員使用存取危險網域或惡意內容的應用程式。 |
| Web 保護 | 設置網路威脅防護,保護組織裝置免受釣魚網站、漏洞利用網站及其他不信任或低聲譽網站的侵害。 設置網頁內容過濾功能,根據內容類別 (休閒、高頻寬、成人內容或法律責任) 來追蹤和規範網站的存取權限。 |
| 網路防火牆 | 請設定你的網路防火牆,設定規則,決定哪些網路流量可以進出你組織的裝置。 |
| 應用程式控制 | 如果你想只允許受信任的應用程式和程序在 Windows 裝置上執行,請設定應用程式控制規則。 |
受攻擊面縮小規則
攻擊面減少規則可在運行 Windows 的裝置上使用。 我們建議使用 Intune,如下圖所示:
請前往 Intune 管理中心並登入。
選擇 端點安全>攻擊面減少>+建立政策。
平台選項中,選擇 Windows 10、Windows 11 和 Windows Server。
在 設定檔中,選擇 攻擊面減少規則,然後選擇 建立。
在 「基礎 」標籤中,指定政策名稱和描述,然後選擇 「下一步」。
在 設定 設定標籤中,展開 Defender 的 攻擊面減少規則,然後選擇 「下一步」。 欲了解更多攻擊面減少規則,請參閱 攻擊面減少規則部署總覽。
至少,我們建議啟用以下三項標準保護規則:
在 範圍標籤 標籤中,如果你的組織正在使用範圍標籤,請選擇 + 選擇範圍標籤,然後選擇你想使用的標籤。 然後,選擇 「下一步」。
欲了解更多範圍標籤,請參閱「使用基於角色的存取控制 (RBAC) 與分散式 IT 範圍標籤。
在 「指派 」標籤中,指定你的政策應該套用的使用者和群組,然後選擇 「下一步」。 (欲了解更多關於指派的資訊,請參閱 Microsoft Intune.) 中的「指派使用者與裝置設定檔」
在 「Review + 建立 」分頁,檢視設定,然後選擇 「建立」。
勒索軟體防治
你可以透過 受控資料夾存取來達到勒索軟體的防範,這只允許受信任的應用程式存取你端點上的受保護資料夾。
我們建議使用 Intune 來設定受控資料夾存取。
請前往 Intune 管理中心並登入。
請前往「端 點安全>攻擊面縮減」,然後選擇 + 建立政策。
在平台選項中,選擇 Windows 10、Windows 11 及 Windows Server;對於設定檔,選擇攻擊面減少規則。 接著,選擇 [建立]。
在 「基本」 標籤中,為保單命名並加入描述。 選取 [下一步]。
在 設定設定 標籤下,在 Defender 區塊,往下滑到最底。 在 「啟用受控資料夾存取 」下拉選單中,選擇 「啟用」,然後選擇 「下一頁」。
你可以選擇性地指定以下這些其他設定:
- 在 「受控資料夾存取受保護資料夾」旁邊,切換到「 已設定」,然後新增需要保護的資料夾。
- 在「 受控資料夾存取允許應用程式」旁邊,切換到 「已設定」,然後新增應該能存取受保護資料夾的應用程式。
在 範圍標籤 標籤中,如果你的組織正在使用範圍標籤,請選擇 + 選擇範圍標籤,然後選擇你想使用的標籤。 然後,選擇 「下一步」。 欲了解更多範圍標籤,請參閱「使用基於角色的存取控制 (RBAC) 與分散式 IT 範圍標籤。
在 「指派 」標籤中,選擇 「新增所有使用者 」和 「+新增所有裝置」,然後選擇 「下一台」。 (你可以選擇指定特定的使用者群組或裝置 )
在 「檢視 + 建立 」分頁,檢視你的保單設定,然後選擇 建立。 此政策適用於近期已導入 Defender for Endpoint 的任何端點。
裝置控制
你可以設定 Defender for Endpoint 在可移除裝置上封鎖或允許移除裝置和檔案。 我們建議使用 Intune 來設定裝置控制設定。
請前往 Intune 管理中心並登入。
選擇 裝置>設定>+建立>建立政策。
在平台設定中,選擇設定檔,例如 Windows 10 及以後版本;對於設定檔類型,選擇範本。
在 範本名稱中,選擇 管理範本,然後選擇 建立。
在 「基本」 標籤中,為保單命名並加入描述。 選取 [下一步]。
在 設定標籤 中,選擇 「全部設定」。 然後在搜尋框
Removable輸入,查看所有與可移除裝置相關的設定。選擇清單中的項目,例如 「所有可移除儲存類別、拒絕所有存取」,以開啟其飛出窗格。 每個設定的飛出視窗會說明啟用、停用或未設定時會發生什麼。 選擇一個設定,然後選擇 確定。
對每個你想設定的設定重複步驟 6。 接著選擇 [下一步]。
在 範圍標籤 標籤中,如果你的組織正在使用範圍標籤,請選擇 + 選擇範圍標籤,然後選擇你想使用的標籤。 然後,選擇 「下一步」。
欲了解更多範圍標籤,請參閱「使用基於角色的存取控制 (RBAC) 與分散式 IT 範圍標籤。
在 「指派 」標籤中,選擇 「新增所有使用者 」和 「+新增所有裝置」,然後選擇 「下一台」。 (你可以選擇指定特定的使用者群組或裝置 )
在 「檢視 + 建立 」分頁,檢視你的保單設定,然後選擇 建立。 此政策適用於近期已導入 Defender for Endpoint 的任何端點。
提示
欲了解更多資訊,請參閱如何使用 適用於端點的 Microsoft Defender 控制 USB 裝置及其他可移除媒體。
網路保護
透過網路保護,您可以協助組織防範可能寄存釣魚詐騙、漏洞利用及其他惡意內容的危險網域。 我們建議使用 Intune 開啟網路保護。
請前往 Intune 管理中心並登入。
選擇 裝置>設定>+建立>建立政策。
在平台設定中,選擇設定檔,例如 Windows 10 及以後版本;對於設定檔類型,選擇範本。
在 範本名稱中,選擇 端點保護,然後選擇 建立。
在 「基本」 標籤中,為保單命名並加入描述。 選取 [下一步]。
在設定標籤中,展開 Microsoft Defender Exploit Guard,然後展開網路過濾。
a. 將 網路保護 設為 啟用。 (您也可以選擇 審計 ,一開始查看網路保護在您環境中的運作方式。)
a. 接著選擇 [下一步]。
在 「指派 」標籤中,選擇 「新增所有使用者 」和 「+新增所有裝置」,然後選擇 「下一台」。 (你可以選擇指定特定的使用者群組或裝置 )
在 適用性規則 標籤中,設定一條規則。 你設定的設定檔只會套用在符合你指定綜合條件的裝置上。
a. 例如,你可以選擇將政策指派給只執行特定作業系統版本的端點。
a. 接著選擇 [下一步]。
在 「檢視 + 建立 」分頁,檢視你的保單設定,然後選擇 建立。 此政策適用於近期已導入 Defender for Endpoint 的任何端點。
提示
你可以使用其他方法,例如 Windows PowerShell 或群組原則來啟用網路保護。 欲了解更多,請參閱 「開啟網路保護」。
Web 保護
透過網路保護,您可以保護組織的裝置免受網路威脅和不受歡迎的內容。 您的網路防護包括 網路威脅防護 與 內容過濾。 同時設定兩組功能。 我們建議使用 Intune 來設定你的網路保護設定。
設定網路威脅防護
請前往 Intune 管理中心並登入。
選擇端 點安全>攻擊面縮減,然後選擇 + 建立政策。
選擇一個平台,例如 Windows 10 及以後版本,選擇網頁防護設定檔,然後選擇建立。
在 基礎 標籤中,指定名稱和描述,然後選擇 「下一步」。
在 設定 標籤中,展開 「網路保護」,在下表指定設定,然後選擇 「下一步」。
設定 建議 啟用網路保護 設定為 啟用。 防止使用者造訪惡意網站或網域。
或者,你也可以將網路保護設為 稽核模式 ,看看它在你的環境中如何運作。 在稽核模式下,網路保護不會阻止使用者造訪網站或網域,但會將偵測結果作為事件追蹤。舊版 Microsoft Edge 必須使用 SmartScreen 設定 為「是」。 幫助保護用戶免受潛在的釣魚詐騙和惡意軟體侵害。 封鎖惡意網站存取 設定 為「是」。 防止使用者繞過潛在惡意網站的警告。 封鎖未經驗證的檔案下載 設定 為「是」。 防止使用者繞過警告並下載未經驗證的檔案。 在 範圍標籤 標籤中,如果你的組織正在使用範圍標籤,請選擇 + 選擇範圍標籤,然後選擇你想使用的標籤。 然後,選擇 「下一步」。
欲了解更多範圍標籤,請參閱「使用基於角色的存取控制 (RBAC) 與分散式 IT 範圍標籤。
在 「指派」 標籤中,指定接收網路保護政策的使用者和裝置,然後選擇 「下一步」。
在 「檢視+建立 」標籤中,檢視你的政策設定,然後選擇 建立。
提示
欲了解更多關於網路威脅防護的資訊,請參閱 「保護您的組織免受網路威脅」。
設定網頁內容過濾
請前往 Microsoft Defender 入口網站並登入。
選擇 設定>端點。
在 規則中,選擇 網頁內容過濾,然後選擇 + 新增政策。
在 「新增政策 」飛出視窗中,在 「通用 」標籤中,指定你的保單名稱,然後選擇 「下一個」。
在 「封鎖」分類中,選擇一個或多個你想要封鎖的分類,然後選擇 「下一組」。
在 範圍 標籤中,選擇你想接收此政策的裝置群組,然後選擇 下一步。
在 摘要 標籤中,檢視你的政策設定,然後選擇 儲存。
提示
想了解更多關於設定網頁內容過濾的資訊,請參見 網頁內容過濾。
網路防火牆
網路防火牆有助於降低網路安全威脅的風險。 您的資安團隊可以制定規則,決定哪些流量可以流出您組織的裝置。 我們建議使用 Intune 來設定您的網路防火牆。
::: alt-text=“防火牆政策截圖在 Intune 入口網站。”:::
要設定基本防火牆設定,請依照以下步驟操作:
請前往 Intune 管理中心並登入。
選擇 端點安全>防火牆,然後選擇 + 建立政策。
選擇平台,例如 Windows 10、Windows 11 和 Windows Server,選擇 Microsoft 防火牆設定檔,然後選擇建立。
在 基礎 標籤中,指定名稱和描述,然後選擇 「下一步」。
展開 防火牆,然後往下滑到清單底部。
請將以下設定全部設 為 True:
- 啟用網域網路防火牆
- 啟用專用網路防火牆
- 啟用公共網路防火牆
檢視網域網路、私人網路和公共網路下的設定清單。 你可以將它們設為 「未設定」,或是根據組織的需求調整。
接著選擇 [下一步]。
在 範圍標籤 標籤中,如果你的組織正在使用範圍標籤,請選擇 + 選擇範圍標籤,然後選擇你想使用的標籤。 然後,選擇 「下一步」。
欲了解更多範圍標籤,請參閱「使用基於角色的存取控制 (RBAC) 與分散式 IT 範圍標籤。
在 「指派 」標籤中,選擇 「新增所有使用者 」和 「+新增所有裝置」,然後選擇 「下一台」。 (你可以選擇指定特定的使用者群組或裝置 )
在 「檢視+建立 」標籤中,檢視你的政策設定,然後選擇 建立。
提示
防火牆設定細節豐富,看起來相當複雜。 請參閱 設定 Windows Defender 防火牆的最佳實務。
應用程式控制
Windows Defender 應用程式控制 (WDAC) 透過只允許受信任的應用程式和程序執行,來保護您的 Windows 端點。 大多數組織採用分階段部署 WDAC。 也就是說,大多數組織一開始並不會在所有 Windows 端點上部署 WDAC。 事實上,根據你組織的 Windows 端點是完全託管、輕度管理,還是「自帶裝置」端點,你可能會在全部或部分端點部署 WDAC。
為了協助規劃您的 WDAC 部署,請參閱以下資源:
後續步驟
現在你完成了設定和設定流程,下一步就是開始使用 Defender for Endpoint。
提示
想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群。