概觀
Defender for Endpoint 能協助保護組織的伺服器,具備態勢管理、威脅防護及端點偵測與回應等功能。 Defender for Endpoint 讓你的安全團隊更深入了解伺服器活動、核心與記憶體攻擊偵測的覆蓋範圍,以及必要時採取回應行動的能力。 Defender for Endpoint 也整合 Microsoft Defender for Cloud,為您的組織提供全面的伺服器保護解決方案。
根據你的具體環境,你可以從多種選項中選擇,從從主機板伺服器到Defender for Endpoint。 本文說明了 Windows Server 和 Linux 的可用選項、需要考慮的重要事項、如何在入職後執行偵測測試,以及如何將伺服器移出。
注意事項
Defender 部署工具現已進入公開預覽 () 可用於在 Windows 和 Linux 裝置上部署 Defender 端點安全。 此工具是一款輕量級、自我更新的應用程式,簡化了部署流程。 欲了解更多資訊,請參閱使用 Defender 部署工具將Microsoft Defender端點安全部署至 Windows 裝置 (預覽) 及使用 Defender 部署工具Microsoft Defender (預覽) 將端點安全部署至 Linux 裝置。
提示
作為本文的配套,請參閱我們的 安全分析器設置指南 ,檢視最佳實務並學習加強防禦、提升合規性,並自信地駕馭資安環境。 若想根據您的環境打造客製化體驗,您可以在 Microsoft 365 系統管理中心取得 Security Analyzer 自動設定指南。
伺服器計畫
要將伺服器導入 Defender for Endpoint,則需要 伺服器授權 。 您可以從以下選項中選擇:
- Microsoft Defender Server Plan 1 或 Plan 2 (,作為 Defender for Cloud) 服務的一部分
- 適用於端點的 Microsoft Defender for server
- 適用於商業伺服器的 Microsoft Defender (僅適用於中小企業)
與 Microsoft Defender for Servers 的整合
Defender for Endpoint 與 Defender for Servers 無縫整合, (在 Defender for Cloud) 中整合。 如果您的訂閱包含 Defender for Server Plan 1 或 Plan 2,您可以:
- 機載伺服器自動
- 讓 Defender for Cloud 監控的伺服器出現在 Microsoft Defender 入口網站的裝置庫存中
- 作為 Defender for Cloud 客戶,進行詳細調查
以下是幾點需要注意:
- 當你使用 Defender for Cloud 來監控伺服器時,Defender for Endpoint 租戶會自動建立。 Defender for Endpoint 收集的資料會儲存在租戶的地理位置,該位置是在配置過程中識別的。 (例如,在美國,針對美國的客戶;在歐盟為歐洲客戶提供;以及在英國為英國客戶提供 )
- 如果你在使用 Defender for Cloud 之前使用 Defender for Endpoint,你的資料會儲存在你建立租戶時指定的地點,即使你後來有整合 Defender for Cloud。
- 設定好後,你就無法更改資料儲存的位置。 若要將資料移至其他地點,請 聯絡客服 重置租戶。
- 目前尚未提供利用此整合的伺服器端點監控功能,Office 365 GCC 客戶尚未提供。
- 透過 Defender for Cloud 上載的 Linux 伺服器初始設定為以被動模式運行 Microsoft Defender 防毒軟體。 關於如何在 Linux 伺服器上部署 Defender for Endpoint 的資訊,請先從 Linux 上適用於端點的 Microsoft Defender 的前置條件開始。
欲了解更多資訊,請參閱 「利用 Defender for Endpoint 與 Defender for Cloud 整合保護您的端點」。
非 Microsoft 防毒/反惡意軟體解決方案的重要資訊
如果你打算使用非 Microsoft 的防惡意軟體解決方案,你需要以被動模式執行 Microsoft Defender 防毒軟體。 安裝和入門過程中,務必設定被動模式。 欲了解更多資訊,請參閱 Windows Server 與被動模式。
重要事項
如果你是在運行 McAfee Endpoint Security 或 VirusScan Enterprise 的伺服器上安裝 Defender for Endpoint,可能需要更新 McAfee 平台版本,以確保 Microsoft Defender 防毒不會被移除或停用。 如需更多關於特定版本號的資訊,請參閱 McAfee 知識中心的文章。
伺服器上線選項
你可以從多種部署方法與工具中選擇,詳見下表:
| 作業系統 | 部署方法 |
|---|---|
| Windows Server 2012 R2 及以後版本 Windows Server,版本 1803 Azure Stack HCI OS,版本 23H2 及以後版本 |
本地腳本 (使用入門套件) 伺服器用 Defender Microsoft Configuration Manager 群組原則 VDI 指令碼 使用 Defender for Cloud 的導入 Windows Server 2016 與 2012 R2 的現代統一解決方案 |
| Linux |
基於安裝程式腳本的部署 基於 Ansible 腳本的部署 基於 Chef 腳本的部署 基於傀儡腳本的部署 基於 Saltstack 腳本的部署 手動部署 (使用本地腳本) 使用 Defender for Cloud 的直接導入 用 Defender for Endpoint 將非 Azure 機器連接到 Microsoft Defender for Cloud Linux for SAP 上 Defender for Endpoint 的部署指引 |
搭載於 Windows Server 1803 版本、Windows Server 2019 及 Windows Server 2025、Azure Stack HCI 作業系統、23H2 及以上版本。
在 Microsoft Defender 入口網站,點到設定>端點,然後在裝置管理中選擇「入門」。
在「選擇作業系統開始新手流程」清單中,選擇 Windows Server 2019、2022 和 2025。
在連接類型中,選擇簡化或Standard。 (請參閱 簡化連接的前提條件 )
在 部署方法中,選擇一個選項,然後下載入職套件。
請依照以下文章中的指示進行部署:
搭載於 Windows Server 2016 與 Windows Server 2012 R2
務必檢視 Defender for Endpoint 的最低需求,以及 Windows Server 2016 和 2012 R2 的前置條件。
在 Microsoft Defender 入口網站,點到設定>端點,然後在裝置管理中選擇「入門」。
在「選擇作業系統開始新手程序」清單中,選擇 Windows Server 2016 與 Windows Server 2012 R2。
在連接類型中,選擇簡化或Standard。 (請參閱 簡化連接的前提條件 )
在 部署方法中,選擇一個選項,然後下載安裝套件和入門套件。
注意事項
安裝套件每月更新一次。 使用前務必下載最新套件。 安裝後要更新,你不需要重新執行安裝程式套件。 如果有,安裝商會要求你先卸載,因為這是卸載的必要條件。 請參閱 Defender for Endpoint 在 Windows Server 2012 R2 與 2016 上的更新套件。
請依照以下文章中的指示進行部署:
Windows Server 2016 與 2012 R2 的先決條件
- 建議在伺服器上安裝最新的服務堆疊更新 (SSU) 和 LCU) (最新累積更新。
- 必須安裝2021年9月14日或之後的SSU。
- 必須於2018年9月20日或之後安裝LCU。
- 啟用 Microsoft Defender 防毒功能,並確保它是最新的。 欲了解更多關於在 Windows Server 啟用 Defender 防毒軟體的資訊,請參閱「如果 Windows Server 上已停用,請參見重新啟用 Defender 防毒軟體」以及「如果 Windows Server 重新啟用 Defender 防毒軟體」它被卸載了。
- 請使用 Windows Update 下載並安裝最新平台版本。 或者,您也可以從 Microsoft Update 目錄 或 MMPC 手動下載更新套件。
- 在 Windows Server 2016 上,安裝前必須安裝 Microsoft Defender 防毒軟體並完成完整更新。
Windows Server 2016 或 Windows Server 2012 R2 的更新套件
要定期獲得Defender for Endpoint元件的產品改進與修正,請確保Windows Update KB5005292被套用或批准。 此外,為了保持防護元件的更新,請參閱管理 Microsoft Defender 防毒軟體更新並套用基準。
如果你正在使用 Windows Server Update Services (WSUS) 和/或 Microsoft Configuration Manager,這個新的「EDR 感測器適用於端點的 Microsoft Defender更新」在「適用於端點的 Microsoft Defender。」
現代統一解決方案中針對 Windows Server 2016 與 Windows Server 2012 R2 的功能
2022 年 4 月之前 (導入Windows Server 2016 Windows Server 2012 R2) 前的實施,要求使用 Microsoft 監控代理 (MMA) 。 現代化且統一的解決方案套件,透過移除相依與安裝步驟,讓伺服器的上線更為簡便。 它也提供了大幅擴充的功能集。 如需詳細資訊,請參閱下列資源:
根據你要啟用的伺服器,統一解決方案會在伺服器上安裝 Defender for Endpoint 和/或 EDR 感測器。 下表顯示預設安裝的元件與內建元件。
| 伺服器版本 | Microsoft Defender 防毒軟體 | EDR 感測器 |
|---|---|---|
| Windows Server 2012 R2 |
|
|
| Windows Server 2016 | 內建 |
|
| Windows Server 2019 及以後版本 | 內建 | 內建 |
現代統一解決方案中的已知問題與限制
以下幾點適用於 Windows Server 2016 與 Windows Server 2012 R2:
在進行新安裝前,務必從Microsoft Defender入口網站下載最新的安裝套件 () https://security.microsoft.com ,並確保符合前置條件。 安裝後,務必定期使用「Defender for Endpoint 在 Windows Server 2012 R2 與 2016 的更新套件」章節中描述的元件更新。
作業系統更新可能會在硬碟較慢的機器上因服務安裝逾時而產生安裝問題。 安裝失敗時出現訊息
Couldn't find c:\program files\windows defender\mpasdesc.dll, - 310 WinDefend。 如果需要,請使用最新的安裝套件和最新的 install.ps1 腳本來協助清除失敗的安裝。Windows Server 2016 與 Windows Server 2012 R2 的使用者介面僅允許基本操作。 若要在本地對裝置執行操作,請參考 Manage Defender for Endpoint with PowerShell、WMI 及 MPCmdRun.exe。 因此,特別依賴使用者互動的功能,例如提示使用者做出決策或執行特定任務的功能,可能無法如預期般運作。 建議在任何受管理伺服器上停用或不啟用使用者介面,也不要求使用者互動,因為這可能會影響保護能力。
並非所有攻擊面減少規則都適用於所有作業系統。 請參閱 攻擊面縮小規則。
作業系統升級支援於 Windows 10 和 11,以及 Windows Server 2019 或更新版本。 這些版本包含必要的 Defender for Endpoint 元件。 對於 Windows Server 2016 及更早版本,升級作業系統前必須先從 Defender for Endpoint 離線並卸載 Defender for Endpoint。
要使用 Microsoft Endpoint Configuration Manager (MECM) 自動部署並導入新解決方案,必須是版本 2207 或更新版本。 你仍然可以用 2107 版搭配熱修正整合來配置和部署,但這需要額外的部署步驟。 欲了解更多資訊,請參閱 Microsoft Endpoint Configuration Manager 遷移情境。
主機板 Linux 伺服器
要安裝運行 Linux 的伺服器,請遵循以下步驟:
選擇一種部署方式。 根據你的具體環境,你可以從多種選項中選擇:
設定你的能力。 請參閱在 Linux 上適用於端點的 Microsoft Defender 配置安全設定。
執行偵測測試以驗證入職情況
將裝置上線之後,您可以選擇執行偵測測試,以驗證裝置已正確上線到服務。 欲了解更多資訊,請參閱 「對新上線的Defender for Endpoint裝置執行偵測測試」。
注意事項
雖然不強制執行 Microsoft Defender 防毒軟體,但建議使用。 如果其他防毒廠商的產品是主要的端點防護解決方案,你可以以被動模式運行 Defender 防毒軟體。 你只有在確認Defender for Endpoint感測器 (SENSE) 是否在運行後,才能確認被動模式是否開啟。
在應以主動模式安裝 Microsoft Defender 防毒軟體的 Windows Server 裝置上,請執行以下指令:
sc.exe query Windefend如果結果是「指定服務不存在於已安裝的服務中」,那你需要安裝 Microsoft Defender 防毒軟體。
執行以下指令以確認 Defender for Endpoint 是否正在執行:
sc.exe query sense結果應該會顯示它正在運行。 如果你在入職過程中遇到問題,請參考「 入職故障排除」。
離線 Windows 伺服器
你可以透過與 Windows 用戶端裝置相同的方法,離線 Windows 伺服器:
卸載後,你可以繼續在 Windows Server 2016 和 Windows Server 2012 R2 上卸載統一解決方案套件。 對於先前版本的 Windows Server,你有兩種選擇可以將 Windows 伺服器從服務中移除:
- 卸載 MMA 代理程式
- 移除 Defender for Endpoint 工作空間的設定
注意事項
如果你使用的是之前需要 MMA 的 Windows Server 2016 Defender for Endpoint for Windows Server 2016 和 Windows Server 2012 R2,這些 offboard 說明同樣適用。 遷移到新統一解決方案的說明可在 Defender for Endpoint 的伺服器遷移情境中說明。
後續步驟
另請參閱
- 安裝 Windows 與 Mac 用戶端裝置至 適用於端點的 Microsoft Defender
- 設定 Proxy 和網際網路連接設定
- 對新上線的 Defender for Endpoint 裝置執行偵測測試
- 排除 Defender for Endpoint 入門問題
- 排除與 Defender for Endpoint 安全管理相關的入職問題
- 適用於端點的 Microsoft Defender - iOS 與 Android 裝置的行動威脅防禦 ()