适用于:
- 服务器的Microsoft Defender for Endpoint
- 服务器计划 1 或计划 2 的Microsoft Defender
概述
Defender for Endpoint 可以通过包括态势管理、威胁防护以及终结点检测和响应等功能来帮助保护组织的服务器。 Defender for Endpoint 可让你的安全团队更深入地了解服务器活动、内核和内存攻击检测的覆盖范围,以及在必要时采取响应作的能力。 Defender for Endpoint 还与 Microsoft Defender for Cloud 集成,为组织提供全面的服务器保护解决方案。
根据特定环境,可以从多个选项中进行选择,将服务器载入 Defender for Endpoint。 本文介绍Windows Server和 Linux 的可用选项、要考虑的要点、载入后如何运行检测测试以及如何卸载服务器。
提示
作为本文的配套内容,请参阅 我们的安全分析器设置指南 ,以查看最佳做法,并了解如何加强防御、提高合规性,并自信地应对网络安全环境。 若要获得基于环境的自定义体验,可以访问Microsoft 365 管理中心中的安全分析器自动设置指南。
服务器计划
若要将服务器载入 Defender for Endpoint,需要 服务器许可证 。 可以从以下选项中进行选择:
- 服务器计划 1 或计划 2 (的 Microsoft Defender作为 Defender for Cloud) 产品/服务的一部分
- 服务器的Microsoft Defender for Endpoint
- 仅面向中小企业的Microsoft Defender 商业版服务器 ()
与适用于服务器的 Microsoft Defender 集成
Defender for Endpoint 与 Defender for Cloud) 中的 Defender for Servers (无缝集成。 如果订阅包含 Defender for Servers 计划 1 或计划 2,则可以:
- 自动载入服务器
- 将 Defender for Cloud 监视的服务器显示在Microsoft Defender门户中的设备清单中
- 以 Defender for Cloud 客户身份进行详细调查
以下是需要记住的一些事项:
- 使用 Defender for Cloud 监视服务器时,会自动创建 Defender for Endpoint 租户。 Defender for Endpoint 收集的数据存储在租户的地理位置,在预配期间标识。 (例如,对于美国客户的美国;欧洲客户在欧盟;和在英国的客户在英国。)
- 如果在使用 Defender for Cloud 之前使用 Defender for Endpoint,则数据将存储在创建租户时指定的位置,即使稍后与 Defender for Cloud 集成也是如此。
- 配置后,无法更改数据存储的位置。 若要将数据移动到其他位置, 请联系支持人员 以重置租户。
- 利用此集成的服务器终结点监视目前不适用于Office 365 GCC 客户。
- 通过 Defender for Cloud 载入的 Linux 服务器的初始配置设置为在被动模式下运行 Microsoft Defender 防病毒。 有关如何在 Linux 服务器上部署 Defender for Endpoint 的信息,请从 Linux 上Microsoft Defender for Endpoint先决条件开始。
有关详细信息,请参阅 使用 Defender for Endpoint 与 Defender for Cloud 集成保护终结点。
非Microsoft防病毒/反恶意软件解决方案的重要信息
如果打算使用非Microsoft反恶意软件解决方案,则需要在被动模式下运行 Microsoft Defender 防病毒。 请确保在安装和载入过程中设置被动模式。 有关详细信息,请参阅Windows Server和被动模式。
重要
如果要在运行 McAfee Endpoint Security 或 VirusScan Enterprise 的服务器上安装 Defender for Endpoint,则可能需要更新 McAfee 平台版本,以确保不会删除或禁用Microsoft Defender防病毒。 有关所需特定版本号的详细信息,请参阅 McAfee 知识中心一文。
服务器载入选项
可以从多种部署方法和工具中选择加入服务器,如下表所示:
| 操作系统 | 部署方法 |
|---|---|
| Windows Server 2025 Windows Server 2022 Windows Server 2019 Windows Server版本 1803 Windows Server 2016 Windows Server 2012 R2 |
本地脚本 (使用载入包) Defender for Servers Microsoft Configuration Manager 组策略 VDI 脚本 使用 Defender for Cloud 加入 适用于 Windows Server 2016 和 2012 R2 的新式统一解决方案 |
| Linux |
基于安装程序脚本的部署 基于 Ansible 脚本的部署 基于 Chef 脚本的部署 基于 Puppet 脚本的部署 基于 Saltstack 脚本的部署 手动部署 (使用本地脚本) 使用 Defender for Cloud 直接载入 使用 Defender for Endpoint 将非 Azure 计算机连接到 Microsoft Defender for Cloud 适用于适用于 SAP 的 Linux 上的 Defender for Endpoint 的部署指南 |
载入Windows Server版本 1803、Windows Server 2019 和 2025 Windows Server
请务必查看 Defender for Endpoint 的最低要求。
在Microsoft Defender门户中,转到“设置终结点”>,然后在“设备管理”下,选择“载入”。
在“选择作系统以启动载入进程”列表中,选择“Windows Server 2019、2022 和 2025”。
在“连接类型”下,选择“简化”或“Standard”。 (请参阅 简化连接的先决条件。)
在“ 部署方法”下,选择一个选项,然后下载载入包。
按照以下文章之一中的说明作,了解部署方法:
载入Windows Server 2016和Windows Server 2012 R2
请务必查看 Defender for Endpoint 的最低要求和 Windows Server 2016 和 2012 R2 的先决条件。
在Microsoft Defender门户中,转到“设置终结点”>,然后在“设备管理”下,选择“载入”。
在“选择作系统以启动载入进程”列表中,选择“Windows Server 2016”,Windows Server 2012 R2。
在“连接类型”下,选择“简化”或“Standard”。 (请参阅 简化连接的先决条件。)
在 “部署方法”下,选择一个选项,然后下载安装包和载入包。
注意
安装包每月更新一次。 在使用之前,请务必下载最新的包。 若要在安装后进行更新,无需再次运行安装程序包。 如果这样做,安装程序会要求你首先卸载,因为这是卸载的要求。 请参阅更新 Windows Server 2012 R2 和 2016 上的 Defender for Endpoint 包。
按照以下文章之一中的说明作,了解部署方法:
Windows Server 2016和 2012 R2 的先决条件
- 建议在服务器上安装最新的可用服务堆栈更新 (SSU) 和最新的累积更新 (LCU) 。
- 必须安装 2021 年 9 月 14 日或更高版本的 SSU。
- 必须安装 2018 年 9 月 20 日或更高版本的 LCU。
- 启用Microsoft Defender防病毒功能并确保它是最新的。 有关在Windows Server上启用Defender 防病毒的详细信息,请参阅在Windows Server上重新启用Defender 防病毒(如果已禁用)和在Windows Server上重新启用Defender 防病毒(如果已启用)已卸载。
- 使用 Windows 更新 下载并安装最新的平台版本。 或者,从Microsoft更新目录或 MMPC 手动下载更新包。
- 在Windows Server 2016,Microsoft Defender防病毒必须作为一项功能进行安装,并在安装前进行完全更新。
更新 Windows Server 2016 或 Windows Server 2012 R2 的包
若要接收 Defender for Endpoint 组件的常规产品改进和修补程序,请确保应用或批准Windows 更新KB5005292。 此外,若要使保护组件保持更新,请参阅管理Microsoft Defender防病毒更新和应用基线。
如果使用 Windows Server Update Services (WSUS) 和/或Microsoft Configuration Manager,则此新的“EDR 传感器Microsoft Defender for Endpoint更新”在类别下提供Microsoft Defender for Endpoint。
适用于Windows Server 2016和Windows Server 2012 R2 的新式统一解决方案中的功能
在 2022 年 4 月之前 () 加入Windows Server 2016和Windows Server 2012 R2 的实现需要使用 Microsoft Monitoring Agent (MMA) 。 新式统一解决方案包通过删除依赖项和安装步骤,可以更轻松地加入服务器。 它还提供了一个扩展的功能集。 有关详细信息,请参阅以下资源:
根据要加入的服务器,统一解决方案会在服务器上安装 Defender for Endpoint 和/或 EDR 传感器。 下表指示已安装的组件和默认内置组件。
| 服务器版本 | Microsoft Defender 防病毒 | EDR 传感器 |
|---|---|---|
| Windows Server 2012 R2 |
|
|
| Windows Server 2016 | 内置 |
|
| Windows Server 2019 及更高版本 | 内置 | 内置 |
新式统一解决方案中的已知问题和限制
以下几点适用于Windows Server 2016和Windows Server 2012 R2:
在执行新安装之前,请始终从 Microsoft Defender 门户下载最新的安装程序包, (https://security.microsoft.com) ,并确保满足先决条件。 安装后,请确保使用更新 Windows Server 2012 R2 和 2016 上的 Defender for Endpoint 包一节中所述的组件更新定期更新。
由于服务安装超时,作系统更新可能会引入磁盘速度较慢的计算机上的安装问题。 安装失败并显示消息
Couldn't find c:\program files\windows defender\mpasdesc.dll, - 310 WinDefend。 如有必要,请使用最新的安装包和最新的 install.ps1 脚本来帮助清除失败的安装。Windows Server 2016 和 Windows Server 2012 R2 上的用户界面仅允许基本作。 若要在本地设备上执行作,请参阅 使用 PowerShell、WMI 和 MPCmdRun.exe管理 Defender for Endpoint 。 因此,专门依赖于用户交互的功能(例如,提示用户做出决策或执行特定任务的位置)可能无法按预期工作。 建议禁用或不启用用户界面,也不要求在任何托管服务器上进行用户交互,因为这可能会影响保护功能。
并非所有攻击面减少规则都适用于所有作系统。 请参阅 攻击面减少规则。
不支持作系统升级。 卸载,然后在升级之前卸载。 安装程序包只能用于升级尚未使用新的反恶意软件平台或 EDR 传感器更新包进行更新的安装。
若要使用 Microsoft Endpoint Configuration Manager (MECM) 自动部署和载入新解决方案,需要使用版本 2207 或更高版本。 你仍然可以使用版本 2107 和修补程序汇总进行配置和部署,但这需要额外的部署步骤。 有关详细信息,请参阅Microsoft终结点Configuration Manager迁移方案。
载入 Linux 服务器
若要加入运行 Linux 的服务器,请执行以下步骤:
选择部署方法。 根据特定环境,可以从多个选项中进行选择:
配置功能。 请参阅在 Linux 上的 Microsoft Defender for Endpoint 中配置安全设置。
运行检测测试以验证载入
载入设备后,可以选择运行检测测试,以验证设备是否已正确载入服务。 有关详细信息,请参阅 在新加入的 Defender for Endpoint 设备上运行检测测试。
注意
不需要运行Microsoft Defender防病毒,但建议这样做。 如果其他防病毒供应商产品是主要终结点保护解决方案,则可以在被动模式下运行Defender 防病毒。 只有在验证 Defender for Endpoint 传感器 (SENSE) 正在运行后,才能确认被动模式处于打开状态。
在应在活动模式下安装Microsoft Defender防病毒Windows Server设备上,运行以下命令:
sc.exe query Windefend如果结果为“指定的服务不作为已安装的服务存在”,则需要安装Microsoft Defender防病毒。
运行以下命令,验证 Defender for Endpoint 是否正在运行:
sc.exe query sense结果应显示它正在运行。 如果遇到载入问题,请参阅 载入疑难解答。
卸载 Windows 服务器
可以使用适用于 Windows 客户端设备的相同方法卸载 Windows 服务器:
卸载后,可以继续卸载 Windows Server 2016 上的统一解决方案包,Windows Server 2012 R2。 对于以前版本的 Windows Server,可通过两个选项从服务中卸载 Windows 服务器:
- 卸载 MMA 代理
- 删除 Defender for Endpoint 工作区配置
注意
如果运行的是以前的 Defender for Endpoint for Windows Server 2016 和需要 MMA Windows Server 2012 R2,则其他Windows Server版本的卸载说明也适用于这些说明。 有关迁移到新的统一解决方案的说明,请参阅 Defender for Endpoint 中的服务器迁移方案。
后续步骤
另请参阅
- 将 Windows 和 Mac 客户端设备载入到Microsoft Defender for Endpoint
- 配置代理和 Internet 连接设置
- 在新加入的 Defender for Endpoint 设备上运行检测测试
- 排查 Defender for Endpoint 载入问题
- 排查与 Defender for Endpoint 安全管理相关的载入问题
- Microsoft Defender for Endpoint - 适用于 iOS 和 Android 设备的移动威胁防御 ()