Partager via

Intégrer des serveurs Windows au service Microsoft Defender pour point de terminaison

  • Article

S’applique à :

  • Microsoft Defender pour point de terminaison pour les serveurs
  • Microsoft Defender pour serveurs Plan 1 ou Plan 2

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Defender pour point de terminaison étend la prise en charge pour inclure également le système d’exploitation Windows Server. Cette prise en charge fournit des fonctionnalités avancées de détection et d’investigation des attaques en toute transparence via le portail Microsoft Defender. La prise en charge de Windows Server fournit des insights plus approfondis sur les activités du serveur, la couverture de la détection des attaques de noyau et de mémoire, et permet des actions de réponse.

Cet article explique comment intégrer des serveurs Windows spécifiques à Defender pour point de terminaison.

Pour obtenir des conseils sur le téléchargement et l’utilisation des bases de référence Sécurité Windows pour les serveurs Windows, consultez Sécurité Windows Bases de référence.

Conseil

En complément de cet article, consultez notre guide de configuration de l’analyseur de sécurité pour passer en revue les meilleures pratiques et apprendre à fortifier les défenses, à améliorer la conformité et à naviguer dans le paysage de la cybersécurité en toute confiance. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée de Security Analyzer dans le Centre d’administration Microsoft 365.

Vue d’ensemble de l’intégration Windows Server

Le diagramme suivant montre les étapes générales requises pour intégrer correctement les serveurs.

Illustration du flux d’intégration pour les serveurs Windows et les appareils Windows 10.

Remarque

Les éditions de Windows Hyper-V Server ne sont pas prises en charge.

Intégration à Microsoft Defender pour serveurs

Defender pour point de terminaison s’intègre en toute transparence à Microsoft Defender pour serveurs et Microsoft Defender pour le cloud. Vous pouvez intégrer automatiquement des serveurs, faire apparaître les serveurs surveillés par Defender pour le cloud dans Defender pour point de terminaison et mener des investigations détaillées en tant que client Defender pour le cloud. Pour plus d’informations, consultez Protéger vos points de terminaison avec l’intégration de Defender pour point de terminaison à Defender pour le cloud.

Sur les appareils exécutant Windows Server 2016 ou Windows Server 2012 R2, vous pouvez installer/mettre à niveau manuellement la solution unifiée moderne, ou utiliser l’intégration à Defender pour les serveurs pour déployer ou mettre à niveau automatiquement les serveurs couverts par votre plan Defender pour serveur respectif. Pour plus d’informations, consultez Protéger vos points de terminaison avec l’intégration de Defender pour point de terminaison à Defender pour le cloud.

Lorsque vous utilisez Defender pour le cloud pour surveiller les serveurs, un locataire Defender pour point de terminaison est automatiquement créé (aux États-Unis pour les utilisateurs américains, dans l’UE pour les utilisateurs européens et au Royaume-Uni pour les utilisateurs du Royaume-Uni). Les données collectées par Defender pour point de terminaison sont stockées dans l’emplacement géographique du locataire identifié lors de l’approvisionnement.

Si vous commencez à utiliser Defender pour point de terminaison avant d’utiliser Defender pour le cloud, vos données sont stockées à l’emplacement que vous avez spécifié lors de la création de votre locataire, même si vous intégrez à Defender pour le cloud ultérieurement. Une fois configuré, vous ne pouvez pas modifier l’emplacement où vos données sont stockées. Si vous devez déplacer vos données vers un autre emplacement, vous devez contacter Support Microsoft pour réinitialiser le locataire.

La surveillance des points de terminaison de serveur utilisant l’intégration entre Defender pour les serveurs et Defender pour point de terminaison n’est pas disponible pour Office 365 clients GCC.

Auparavant, l’utilisation de Microsoft Monitoring Agent (MMA) sur Windows Server 2016, Windows Server 2012 R2 et les versions antérieures de Windows Server permis à la passerelle OMS/Log Analytics de fournir une connectivité aux services cloud Defender. La nouvelle solution, comme Defender pour point de terminaison sur Windows Server 2019 et versions ultérieures, et Windows 10 ou version ultérieure, ne prend pas en charge cette passerelle.

Les serveurs Linux intégrés via Defender pour le cloud ont leur configuration initiale définie pour s’exécuter Microsoft Defender Antivirus en mode passif.

Windows Server 2016 et Windows Server 2012 R2

  • Télécharger les packages d’installation et d’intégration
  • Appliquer le package d’installation
  • Suivez les étapes d’intégration de l’outil correspondant.

Windows Server Semi-Annual Enterprise Channel et Windows Server 2019 ou version ultérieure

  • Télécharger le package d’intégration
  • Suivez les étapes d’intégration de l’outil correspondant.

Fonctionnalités de la solution unifiée moderne

L’implémentation précédente (avant avril 2022) de l’intégration Windows Server 2016 et Windows Server 2012 R2 nécessitait l’utilisation de Microsoft Monitoring Agent (MMA).

Le nouveau package de solution unifiée facilite l’intégration des serveurs en supprimant les dépendances et les étapes d’installation. Il fournit également un ensemble de fonctionnalités beaucoup plus étendu. Pour plus d’informations, consultez Defending Windows Server 2012 R2 et 2016.

Selon le serveur que vous intégrez, la solution unifiée installe Defender pour point de terminaison et/ou le capteur EDR. Le tableau suivant indique quel composant est installé et ce qui est intégré par défaut.

Version du serveur AV EDR
Windows Server 2012 R2 Oui Oui
Windows Server 2016 Intégré Oui
Windows Server 2019 et versions ultérieures Intégré Intégré

Si vous avez déjà intégré vos serveurs à l’aide de MMA, suivez les instructions fournies dans Migration de serveur pour migrer vers la nouvelle solution.

Importante

Avant de poursuivre l’intégration, consultez la section Problèmes connus et limitations dans le nouveau package de solution unifié pour Windows Server 2012 R2 et Windows Server 2016.

Configuration requise

Prérequis pour Windows Server 2016 et Windows Server 2012 R2

Conditions préalables à l’exécution de Defender pour point de terminaison avec des solutions de sécurité non-Microsoft

Si vous envisagez d’utiliser une solution anti-programme malveillant non-Microsoft, vous devez exécuter Microsoft Defender Antivirus en mode passif. Vous devez vous rappeler de définir le mode passif pendant le processus d’installation et d’intégration.

Remarque

Si vous installez Defender pour point de terminaison sur des serveurs avec McAfee Endpoint Security (ENS) ou VirusScan Enterprise (VSE), la version de la plateforme McAfee devra peut-être être mise à jour pour garantir Microsoft Defender’antivirus n’est pas supprimé ou désactivé. Pour plus d’informations, notamment sur les numéros de version spécifiques requis, consultez l’article Centre de connaissances McAfee.

Mettre à jour des packages pour Windows Server 2016 ou Windows Server 2012 R2

Pour recevoir régulièrement des améliorations et des correctifs de produit pour le composant Defender pour point de terminaison, vérifiez Windows Update KB5005292 est appliqué ou approuvé. En outre, pour maintenir les composants de protection à jour, consultez Gérer les mises à jour de l’antivirus Microsoft Defender et appliquer des bases de référence.

Si vous utilisez Windows Server Update Services (WSUS) et/ou Microsoft Endpoint Configuration Manager, cette nouvelle « mise à jour Microsoft Defender pour point de terminaison pour le capteur EDR » est disponible sous la catégorie « Microsoft Defender pour point de terminaison."

Résumé des étapes d’intégration

ÉTAPE 1 : Télécharger les packages d’installation et d’intégration

Vous devez télécharger les packages d’installation et d’intégration à partir du portail.

Remarque

Le package d’installation est mis à jour mensuellement. Veillez à télécharger le dernier package avant l’utilisation. Pour effectuer une mise à jour après l’installation, vous n’avez pas besoin d’exécuter à nouveau le package d’installation. Si c’est le cas, le programme d’installation vous demande de d’abord désactiver l’intégration, car il s’agit d’une condition requise pour la désinstallation. Consultez Mettre à jour les packages pour Defender pour point de terminaison sur Windows Server 2012 R2 et 2016.

Image du tableau de bord d’intégration

Remarque

Sur Windows Server 2016, Microsoft Defender antivirus doit être installé en tant que fonctionnalité (voir Basculer vers Defender pour point de terminaison) avant de poursuivre l’installation.

Si vous exécutez une solution anti-programme malveillant non-Microsoft, veillez à ajouter des exclusions pour Microsoft Defender Antivirus (à partir de cette liste de processus Microsoft Defender sous l’onglet Processus Defender) à la solution non-Microsoft avant l’installation. Il est également recommandé d’ajouter des solutions de sécurité non-Microsoft à la liste d’exclusion Defender Antivirus.

Le package d’installation contient un fichier MSI qui installe l’agent Defender pour point de terminaison.

Le package d’intégration contient WindowsDefenderATPOnboardingScript.cmd, qui contient le script d’intégration.

Pour télécharger les packages, procédez comme suit :

  1. Dans le portail Microsoft Defender, accédez à Paramètres Intégration > du point de terminaison>.

  2. Sélectionnez Windows Server 2016 et Windows Server 2012 R2.

  3. Sélectionnez Télécharger le package d’installation et enregistrez le fichier .msi.

  4. Sélectionnez Télécharger le package d’intégration et enregistrez le fichier .zip.

  5. Installez le package d’installation à l’aide de l’une des options permettant d’installer Microsoft Defender Antivirus. L’installation nécessite des autorisations d’administration.

Importante

Un script d’intégration local convient pour une preuve de concept, mais ne doit pas être utilisé pour le déploiement de production. Pour un déploiement de production, nous vous recommandons d’utiliser stratégie de groupe ou Microsoft Endpoint Configuration Manager.

ÉTAPE 2 : Appliquer le package d’installation et d’intégration

Dans cette étape, vous allez installer les composants de prévention et de détection nécessaires avant l’intégration de votre appareil à l’environnement cloud Defender pour point de terminaison, afin de préparer l’ordinateur à l’intégration. Vérifiez que toutes les conditions préalables ont été remplies .

Remarque

Microsoft Defender antivirus est installé et actif, sauf si vous le définissez en mode passif.

Options d’installation des packages Defender pour point de terminaison

Dans la section précédente, vous avez téléchargé un package d’installation. Le package d’installation contient le programme d’installation de tous les composants Defender pour point de terminaison.

Vous pouvez utiliser l’une des options suivantes pour installer l’agent :

Installer Defender pour point de terminaison à l’aide de la ligne de commande

Utilisez le package d’installation de l’étape précédente pour installer Defender pour point de terminaison.

Exécutez la commande suivante pour installer Defender pour point de terminaison :

Msiexec /i md4ws.msi /quiet

Pour désinstaller, vérifiez d’abord que la machine est désactivée à l’aide du script de désintégrage approprié. Ensuite, utilisez Panneau de configuration > Programmes > et fonctionnalités pour effectuer la désinstallation.

Vous pouvez également exécuter la commande de désinstallation suivante pour désinstaller Defender pour point de terminaison :

Msiexec /x md4ws.msi /quiet

Vous devez utiliser le même package que celui utilisé pour l’installation pour que la commande ci-dessus réussisse.

Le /quiet commutateur supprime toutes les notifications.

Remarque

Microsoft Defender Antivirus ne passe pas automatiquement en mode passif. Vous pouvez choisir de définir Microsoft Defender Antivirus pour qu’il s’exécute en mode passif si vous exécutez une solution antivirus/anti-programme malveillant non-Microsoft. Pour les installations en ligne de commande, le facultatif FORCEPASSIVEMODE=1 définit immédiatement le composant antivirus Microsoft Defender en mode passif pour éviter toute interférence. Ensuite, pour vous assurer que Defender Antivirus reste en mode passif après l’intégration pour prendre en charge des fonctionnalités telles que EDR Block, définissez la clé de Registre « ForceDefenderPassiveMode ».

La prise en charge de Windows Server fournit des insights plus approfondis sur les activités du serveur, la couverture de la détection des attaques de noyau et de mémoire, et permet des actions de réponse.

Installer Defender pour point de terminaison à l’aide d’un script

Vous pouvez utiliser le script d’assistance du programme d’installation pour automatiser l’installation, la désinstallation et l’intégration.

Remarque

Le script d’installation est signé. Toute modification apportée au script invalide la signature. Lorsque vous téléchargez le script à partir de GitHub, l’approche recommandée pour éviter toute modification par inadvertance consiste à télécharger les fichiers sources sous forme d’archive zip, puis à l’extraire pour obtenir le fichier install.ps1 (dans la page Code main, sélectionnez le menu déroulant Code et sélectionnez « Télécharger zip »).

Ce script peut être utilisé dans différents scénarios, notamment ceux décrits dans Scénarios de migration de serveurs de la solution précédente de Defender pour point de terminaison basée sur MMA et pour le déploiement à l’aide de stratégie de groupe comme décrit ci-dessous.

Appliquer des packages d’installation et d’intégration à l’aide de stratégie de groupe

Si vous utilisez stratégie de groupe, appliquez les packages d’installation et d’intégration de Defender pour point de terminaison avec un script d’installation.

  1. Créez une stratégie de groupe en procédant comme suit :

    1. Ouvrez la Console de gestion des stratégies de groupe.

    2. Cliquez avec le bouton droit sur stratégie de groupe Objets que vous souhaitez configurer, puis sélectionnez Nouveau.

    3. Spécifiez le nom du nouvel objet stratégie de groupe (GPO), puis sélectionnez OK.

  2. Dans votre console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis sélectionnez Modifier.

  3. Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis Paramètres du Panneau de configuration.

  4. Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis sélectionnez Tâche immédiate (Au moins Windows 7).

  5. Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Sous Options de sécurité , sélectionnez Modifier l’utilisateur ou le groupe , tapez SYSTÈME, puis sélectionnez Vérifier les noms , puis OK. NT AUTHORITY\SYSTEM apparaît en tant que compte d’utilisateur sous lequel la tâche s’exécute.

  6. Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.

  7. Dans le champ Nom, tapez un nom approprié pour la tâche planifiée (par exemple, Déploiement de Defender pour point de terminaison).

  8. Accédez à l’onglet Actions et sélectionnez Nouveau... Vérifiez que Démarrer un programme est sélectionné dans le champ Action . Le script d’installation gère l’installation et effectue immédiatement l’étape d’intégration une fois l’installation terminée. Sélectionnez C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe puis fournissez les arguments :

    -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd

    Remarque

    Le paramètre de stratégie d’exécution recommandé est Allsigned. Cela nécessite l’importation du certificat de signature du script dans le magasin Serveurs de publication approuvés de l’ordinateur local si le script s’exécute en tant que SYSTEM sur le point de terminaison.

    Remplacez par \\servername-or-dfs-space\share-name le chemin d’accès UNC, en utilisant le nom de domaine complet (FQDN) du serveur de fichiers, du fichier partagé install.ps1 . Le package d’installation md4ws.msi doit être placé dans le même répertoire. Vérifiez que les autorisations du chemin UNC autorisent l’accès en écriture au compte d’ordinateur qui installe le package pour prendre en charge la création de fichiers journaux. Si vous souhaitez désactiver la création de fichiers journaux (non recommandé), vous pouvez utiliser les -noETL -noMSILog paramètres .

    Pour les scénarios où vous souhaitez que Microsoft Defender Antivirus coexiste avec des solutions anti-programme malveillant non-Microsoft, ajoutez le paramètre $Passive pour définir le mode passif lors de l’installation.

  9. Sélectionnez OK et fermez toutes les fenêtres stratégie de groupe console de gestion ouvertes.

  10. Pour lier l’objet de stratégie de groupe à une unité d’organisation (UO), cliquez avec le bouton droit et sélectionnez Lier un objet de stratégie de groupe existant. Dans la boîte de dialogue qui s’affiche, sélectionnez l’objet stratégie de groupe que vous souhaitez lier. Sélectionnez OK.

Pour plus de paramètres de configuration, consultez Configurer des exemples de paramètres de collecte et Autres paramètres de configuration recommandés.

ÉTAPE 3 : Effectuer les étapes d’intégration

Les étapes suivantes s’appliquent uniquement si vous utilisez une solution anti-programme malveillant non-Microsoft. Vous devez appliquer le paramètre de mode passif antivirus Microsoft Defender suivant. Vérifiez qu’il a été configuré correctement :

  1. Définissez l’entrée de Registre suivante :

    • Chemin: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • Nom : ForceDefenderPassiveMode
    • Type: REG_DWORD
    • Valeur : 1

    Capture d’écran du résultat de la vérification en mode passif.

Problèmes connus et limitations de la solution unifiée moderne

Les points suivants s’appliquent à Windows Server 2016 et Windows Server 2012 R2 :

  • Téléchargez toujours le dernier package d’installation à partir du portail Microsoft Defender (https://security.microsoft.com) avant d’effectuer une nouvelle installation et vérifiez que les conditions préalables sont remplies. Après l’installation, veillez à mettre à jour régulièrement à l’aide des mises à jour des composants décrites dans la section Mettre à jour les packages pour Defender pour point de terminaison sur Windows Server 2012 R2 et 2016.

  • Une mise à jour du système d’exploitation peut introduire un problème d’installation sur les ordinateurs avec des disques plus lents en raison d’un délai d’attente avec l’installation du service. L’installation échoue avec le message « Impossible de trouver c :\program files\windows defender\mpasdesc.dll, - 310 WinDefend ». Utilisez le dernier package d’installation et le dernier script install.ps1 pour effacer l’installation ayant échoué si nécessaire.

  • L’interface utilisateur sur Windows Server 2016 et Windows Server 2012 R2 autorise uniquement les opérations de base. Pour effectuer des opérations sur un appareil localement, consultez Gérer Defender pour point de terminaison avec PowerShell, WMI et MPCmdRun.exe. Par conséquent, les fonctionnalités qui s’appuient spécifiquement sur l’interaction de l’utilisateur, telles que l’endroit où l’utilisateur est invité à prendre une décision ou à effectuer une tâche spécifique, peuvent ne pas fonctionner comme prévu. Il est recommandé de désactiver ou de ne pas activer l’interface utilisateur, ni d’exiger une interaction utilisateur sur n’importe quel serveur managé, car cela peut avoir un impact sur la capacité de protection.

  • Toutes les règles de réduction de la surface d’attaque ne s’appliquent pas à tous les systèmes d’exploitation. Consultez Règles de réduction de la surface d’attaque.

  • Les mises à niveau du système d’exploitation ne sont pas prises en charge. Désintégner, puis désinstaller avant la mise à niveau. Le package d’installation peut uniquement être utilisé pour mettre à niveau des installations qui n’ont pas encore été mises à jour avec de nouveaux packages de mise à jour de plateforme anti-programme malveillant ou de capteur EDR.

  • Pour déployer et intégrer automatiquement la nouvelle solution à l’aide de Microsoft Endpoint Configuration Manager (MECM), vous devez utiliser la version 2207 ou ultérieure. Vous pouvez toujours configurer et déployer à l’aide de la version 2107 avec le correctif cumulatif, mais cela nécessite des étapes de déploiement supplémentaires. Pour plus d’informations, consultez Microsoft Endpoint Configuration Manager les scénarios de migration.

Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019 et Windows Server 2022 et Windows Server 2025

Télécharger le package

  1. Dans le portail Microsoft Defender, accédez à Paramètres>Points de terminaison>Gestion des appareils>Inboarding.

  2. Sélectionnez Windows Server 1803, 2019 et 2022.

  3. Sélectionnez Télécharger le package. Enregistrez-le sous WindowsDefenderATPOnboardingPackage.zip.

  4. Suivez les étapes fournies dans la section Effectuer les étapes d’intégration .

Vérifier l’intégration et l’installation

Vérifiez que Microsoft Defender Antivirus et Defender pour point de terminaison sont en cours d’exécution.

Exécuter un test de détection pour vérifier l’intégration

Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier qu’un appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Defender pour point de terminaison nouvellement intégré.

Remarque

L’exécution de Microsoft Defender Antivirus n’est pas obligatoire, mais elle est recommandée. Si un autre produit de fournisseur d’antivirus est la solution de protection de point de terminaison principale, vous pouvez exécuter Defender Antivirus en mode passif. Vous pouvez uniquement vérifier que le mode passif est activé après avoir vérifié que le capteur Defender pour point de terminaison (SENSE) est en cours d’exécution.

  1. Exécutez la commande suivante pour vérifier que Microsoft Defender’antivirus est installé :

    Remarque

    Cette étape de vérification n’est nécessaire que si vous utilisez Microsoft Defender Antivirus comme solution anti-programme malveillant active.

    sc.exe query Windefend

    Si le résultat est « Le service spécifié n’existe pas en tant que service installé », vous devez installer Microsoft Defender Antivirus.

    Pour plus d’informations sur l’utilisation de stratégie de groupe pour configurer et gérer Microsoft Defender Antivirus sur vos serveurs Windows, consultez Utiliser les paramètres stratégie de groupe pour configurer et gérer Microsoft Defender Antivirus.

  2. Exécutez la commande suivante pour vérifier que Defender pour point de terminaison est en cours d’exécution :

    sc.exe query sense

    Le résultat doit indiquer qu’il est en cours d’exécution. Si vous rencontrez des problèmes d’intégration, consultez Résoudre les problèmes d’intégration.

Exécuter un test de détection

Suivez les étapes décrites dans Exécuter un test de détection sur un appareil nouvellement intégré pour vérifier que le serveur signale à Defender pour le service point de terminaison.

Étapes suivantes

Une fois que vous avez correctement intégré les appareils au service, vous devez configurer les composants individuels de Defender pour point de terminaison. Suivez Configurer les fonctionnalités pour être guidé sur l’activation des différents composants.

Désintégrer les serveurs Windows

Vous pouvez retirer Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019, Windows Server 2019 Core Edition, Windows Server 2022 et Windows Server 2025 à l’aide de la même méthode disponible pour Windows 10 appareils clients.

Après la désactivation, vous pouvez procéder à la désinstallation du package de solution unifiée sur Windows Server 2016 et Windows Server 2012 R2.

Pour les autres versions de serveur Windows, vous avez deux options pour retirer les serveurs Windows du service :

  • Désinstaller l’agent MMA
  • Supprimer la configuration de l’espace de travail Defender pour point de terminaison

Remarque

Ces instructions de désintéglage pour d’autres versions Windows Server s’appliquent également si vous exécutez l’ancien Defender pour point de terminaison pour Windows Server 2016 et Windows Server 2012 R2 qui nécessite MMA. Les instructions pour migrer vers la nouvelle solution unifiée se trouvent dans Scénarios de migration de serveur dans Defender pour point de terminaison.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.