將 Windows 伺服器上線至 適用於端點的 Microsoft Defender 服務
適用於:
- 伺服器的 適用於端點的 Microsoft Defender
- 伺服器方案 1 或方案 2 的 Microsoft Defender
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
適用於端點的 Defender 會擴充支援,以同時包含 Windows Server作系統。 這項支援透過 Microsoft Defender 入口網站順暢地提供進階攻擊偵測和調查功能。 支援 Windows Server 提供伺服器活動的更深入解析、核心和記憶體攻擊偵測的涵蓋範圍,以及啟用回應動作。
本文說明如何將特定 Windows 伺服器上線至適用於端點的 Defender。
如需如何下載和使用 Windows 伺服器 Windows 安全性 基準的指引,請參閱 Windows 安全性 基準。
提示
如需本文的附屬內容,請參閱我們的 安全性分析器設定指南 ,以檢閱最佳做法,並瞭解如何加強防禦、改善合規性,並放心瀏覽網路安全性環境。 如需以您的環境為基礎的自定義體驗,您可以存取 Microsoft 365 系統管理中心 中的安全性分析器自動化設定指南。
Windows Server 上線概觀
下圖顯示成功將伺服器上線所需的一般步驟。
注意事項
不支援 Windows Hyper-V 伺服器版本。
與伺服器 Microsoft Defender整合
適用於端點的Defender與適用於伺服器的 Microsoft Defender和適用於雲端的 Microsoft Defender緊密整合。 您可以自動將伺服器上線、讓適用於雲端的 Defender 監視的伺服器出現在適用於端點的 Defender 中,並以適用於雲端的 Defender 客戶身分進行詳細調查。 如需詳細資訊,請參閱 使用適用於端點的Defender與適用於雲端的Defender整合來保護您的端點
在執行 Windows Server 2016 或 Windows Server 2012 R2 的裝置上,您可以手動安裝/升級新式整合解決方案,或使用與適用於伺服器的 Defender 整合,自動部署或升級個別適用於伺服器的 Defender 方案所涵蓋的伺服器。 如需詳細資訊,請參閱 使用適用於端點的Defender與適用於雲端的Defender整合來保護您的端點。
當您使用適用於雲端的 Defender 來監視伺服器時,系統會自動在美國為美國使用者建立 (適用於端點的 Defender 租使用者,針對歐洲使用者在美國,以及針對英國用戶自動建立) 。 適用於端點的 Defender 所收集的數據會儲存在租使用者的地理位置,如布建期間所識別。
如果您在使用適用於雲端的Defender之前開始使用適用於端點的Defender,您的數據會儲存在您建立租使用者時指定的位置,即使您稍後與適用於雲端的Defender整合也一樣。 設定之後,您就無法變更資料的儲存位置。 如果您需要將數據移至另一個位置,您必須連絡 Microsoft 支援服務 以重設租使用者。
使用適用於伺服器的 Defender 與適用於端點的 Defender 之間的整合進行伺服器端點監視,不適用於 Office 365 GCC 客戶。
先前,OMS/ Log Analytics 閘道允許在 Windows Server 2016、Windows Server 2012 R2 和舊版 Windows Server 上使用 Microsoft Monitoring Agent (MMA) ,以提供與 Defender 雲端服務的連線能力。 新的解決方案,例如 Windows Server 2019 和更新版本上的適用於端點的 Defender,以及 Windows 10 或更新版本,不支援此閘道。
透過適用於雲端的 Defender 上線的 Linux 伺服器已將其初始組態設定為在被動模式中執行 Microsoft Defender 防病毒軟體。
Windows Server 2016 和 Windows Server 2012 R2
- 下載安裝和上線套件
- 套用安裝套件
- 請遵循對應工具的上線步驟
Windows Server Semi-Annual Enterprise Channel 和 Windows Server 2019 或更新版本
- 下載上線套件
- 請遵循對應工具的上線步驟
新式統一解決方案中的功能
先前的實作 (在 2022 年 4 月之前) 上線 Windows Server 2016 和 Windows Server 2012 R2 需要使用 Microsoft Monitoring Agent (MMA) 。
新的統一方案套件可移除相依性與安裝步驟,更輕鬆地讓伺服器上線。 它也提供擴充程度更大的功能集。 如需詳細資訊,請參閱 Windows Server 2012 R2 和 2016。
根據您要上線的伺服器,整合解決方案會安裝適用於端點的 Defender 和/或 EDR 感測器。 下表指出已安裝的元件,以及預設內建的內容。
| 伺服器版本 | AV | EDR |
|---|---|---|
| Windows Server 2012 R2 |
|
|
| Windows Server 2016 | 內建 |
|
| Windows Server 2019 和更新版本 | 內建 | 內建 |
如果您先前已使用 MMA 將伺服器上線,請遵循 伺服器移 轉中提供的指引移轉至新的解決方案。
重要事項
繼續上線之前,請參閱適用於 Windows Server 2012 R2 和 Windows Server 2016 的新整合解決方案套件中的已知問題和限制一節。
必要條件
Windows Server 2016和 Windows Server 2012 R2 的必要條件
- 建議您在伺服器上安裝最新的可用服務堆疊更新 (SSU) 和最低累計更新 (LCU) 。
- 必須安裝 2021 年 9 月 14 日或更新版本的 SSU。
- 必須安裝 2018 年 9 月 20 日或更新版本的 LCU。
- 啟用 Microsoft Defender 防病毒軟體功能,並確定其為最新狀態。 如需在 Windows Server 上啟用 Defender 防毒軟體 的詳細資訊,請參閱在 Windows Server 上重新啟用 Defender 防毒軟體 如果已停用,請參閱在 Windows Server 上重新啟用 Defender 防毒軟體。已卸載。
- 使用 Windows Update 下載並安裝最新的平臺版本。 或者,從 Microsoft 更新類別目錄 或 從 MMPC 手動下載更新套件。
使用非Microsoft安全性解決方案執行適用於端點的Defender的必要條件
如果您想要使用非Microsoft反惡意代碼解決方案,您必須以被動模式執行 Microsoft Defender 防病毒軟體。 您必須記得在安裝和上線程式期間設定為被動模式。
注意事項
如果您要在具有 McAfee 端點安全性 (ENS) 或 VirusScan Enterprise (VSE) 的伺服器上安裝適用於端點的 Defender,則可能需要更新 McAfee 平臺的版本,以確保不會移除或停用 Microsoft Defender 防病毒軟體。 如需詳細資訊,包括所需的特定版本號碼,請參閱 McAfee知識中心一文。
更新 Windows Server 2016 或 Windows Server 2012 R2 的套件
若要接收適用於端點的 Defender 元件的定期產品改進和修正,請確定 Windows Update KB5005292套用或核准。 此外,若要讓保護元件保持更新,請參閱管理 Microsoft Defender 防病毒軟體更新並套用基準。
如果您使用 Windows Server Update Services (WSUS) 和/或Microsoft端點 Configuration Manager,則類別下提供這個新的「EDR 感測器 適用於端點的 Microsoft Defender 更新」適用於端點的 Microsoft Defender」。
上線步驟摘要
步驟 1:下載安裝和上線套件
您必須從入口網站下載 安裝 和 上線 套件。
注意事項
安裝套件會每月更新一次。 請務必在使用前下載最新的套件。 若要在安裝之後更新,您不需要再次執行安裝程式套件。 如果您這樣做,安裝程式會要求您先脫機,因為這是卸載的需求。 請參閱 Windows Server 2012 R2 和 2016 上適用於端點的 Defender 更新套件。
注意事項
在 Windows Server 2016 上,Microsoft Defender 防病毒軟體必須安裝為功能 (請參閱先切換至適用於端點的 Defender) ,然後再繼續安裝。
如果您執行的是非Microsoft反惡意代碼解決方案,請務必在安裝之前,從 [Defender 行程] 索引標籤標的 [Microsoft Defender 行程] 清單中新增 Microsoft Defender 防病毒軟體 (排除專案,) 至非Microsoft解決方案。 也建議您將非Microsoft安全性解決方案新增至 Defender 防毒軟體 排除清單。
安裝套件包含 MSI 檔案,可安裝適用於端點的 Defender 代理程式。
上線套件包含 WindowsDefenderATPOnboardingScript.cmd,其中包含上線腳本。
請遵循下列步驟來下載套件:
在 Microsoft Defender 入口網站中,移至 [設定>端點>上線]。
選 Windows Server 2016 並 Windows Server 2012 R2。
選 取 [下載安裝套件 ] 並儲存 .msi 檔。
選 取 [下載上線套件 ],然後儲存 .zip 檔案。
使用安裝 Microsoft Defender 防病毒軟體的任何選項來安裝安裝套件。 安裝需要系統管理許可權。
重要事項
本機上線腳本適用於概念證明,但不應用於生產環境部署。 針對生產環境部署,建議您使用 群組原則 或Microsoft端點 Configuration Manager。
步驟 2:套用安裝和上線套件
在此步驟中,您將安裝將裝置上線至適用於端點的 Defender 雲端環境之前所需的預防和偵測元件,以準備電腦上線。 請確定已符合所有 必要條件 。
注意事項
Microsoft Defender 安裝防病毒軟體,除非您將它設定為被動模式,否則它將會是主動的。
安裝適用於端點的Defender套件的選項
在上一節中,您已下載安裝套件。 安裝套件包含適用於端點的所有 Defender 元件的安裝程式。
您可以使用下列任何選項來安裝代理程式:
使用命令行安裝適用於端點的Defender
使用上一個步驟中的安裝套件來安裝適用於端點的Defender。
執行下列命令以安裝適用於端點的 Defender:
Msiexec /i md4ws.msi /quiet
若要卸載,請確定計算機已先使用適當的離線腳本脫機。 然後,使用 控制台 > 程式>和功能來執行卸載。
或者,執行下列卸載命令以卸載適用於端點的 Defender:
Msiexec /x md4ws.msi /quiet
您必須使用用於安裝的相同套件,上述命令才能成功。
參數 /quiet 會隱藏所有通知。
注意事項
Microsoft Defender 防病毒軟體不會自動進入被動模式。 如果您執行非Microsoft防病毒軟體/反惡意代碼解決方案,您可以選擇設定 Microsoft Defender 防病毒軟體以被動模式執行。 針對命令行安裝,選擇性 FORCEPASSIVEMODE=1 會立即將 Microsoft Defender 防病毒軟體元件設定為被動模式,以避免干擾。 然後,若要確保 Defender 防毒軟體 在上線之後保持被動模式,以支援 EDR 區塊等功能,請設定 “ForceDefenderPassiveMode” 登錄機碼。
支援 Windows Server 可讓您深入瞭解伺服器活動、核心和記憶體攻擊偵測的涵蓋範圍,以及啟用回應動作。
使用腳本安裝適用於端點的Defender
您可以使用 安裝程式協助程式腳本來 協助自動化安裝、卸載和上線。
注意事項
安裝腳本已簽署。 對腳本的任何修改會使簽章失效。 當您從 GitHub 下載腳本時,避免意外修改的建議方法是將來源檔案下載為 zip 封存,然後將其解壓縮以取得主要 [程式代碼] 頁面上 (的 install.ps1 檔案,選取 [程序代碼] 下拉功能表,然後選取 [下載 ZIP] ) 。
此腳本可用於各種案例,包括先前 MMA 型適用於端點的 Defender 解決方案的伺服器移轉案例中所述的案例,以及使用 群組原則 進行部署,如下所述。
使用 群組原則 套用安裝和上線套件
如果您使用 群組原則,請使用安裝程式腳本套用適用於端點的 Defender 安裝和上線套件。
依照下列步驟建立組策略:
以滑鼠右鍵按兩下 [群組原則 您要設定的物件],然後選取 [新增]。
指定新 群組原則 物件的名稱 (GPO) ,然後選取 [確定]。
在 群組原則 管理主控台中,以滑鼠右鍵按下您要設定) 群組原則 物件 (GPO,然後選取 [編輯]。
在群組原則管理編輯器中,依序前往 [電腦組態]、[喜好設定]、[控制台設定]。
以滑鼠右鍵按兩下 [ 排程的任務],指向 [ 新增],然後選 取 [立即工作 (至少 Windows 7) ]。
在開啟的 [ 工作 ] 視窗中,移至 [ 一般] 索引 卷標。在 [安全性選項] 下,選取 [變更使用者或群組 ] 並輸入 SYSTEM,然後選取 [ 檢查名稱 ],然後選取 [ 確定]。
NT AUTHORITY\SYSTEM會顯示為工作執行身分的用戶帳戶。選取 [不論使用者登入與否均執行],然後勾選 [以最高權限執行] 核取方塊。
在 [名稱] 欄位中,輸入排程工作的適當名稱 (例如適用於 端點部署的Defender) 。
移至 [動作] 索引標籤,然後選取 [新增...]。確定已在 [動作] 欄位中選取 [啟動程式]。 安裝程式腳本會處理安裝,並在安裝完成後立即執行上線步驟。 選 取C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 然後提供自變數:
-ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd注意事項
建議的執行原則設定為
Allsigned。 如果腳本在端點上以 SYSTEM 身分執行,則需要將腳本的簽署憑證匯入本機電腦信任的發行者存放區。\\servername-or-dfs-space\share-name使用共用install.ps1檔案的檔案伺服器完整功能變數名稱 (FQDN) 取代為 UNC 路徑。 安裝程式套件 md4ws.msi 必須放在相同的目錄中。 請確定 UNC 路徑的許可權允許寫入存取正在安裝套件的電腦帳戶,以支援建立記錄檔。 如果您想要停用記錄檔的建立 (不建議) ,您可以使用-noETL -noMSILog參數。針對您想要 Microsoft Defender 防病毒軟體與非Microsoft反惡意代碼解決方案共存的案例,請新增 $Passive 參數,以在安裝期間設定被動模式。
選取 [確定] 並關閉任何開啟 群組原則 管理主控台視窗。
若要將 GPO 連結至組織單位 (OU) ,請以滑鼠右鍵按兩下並選取 [鏈接現有的 GPO]。 在顯示的對話框中,選取您要連結的 群組原則 物件。 選取 [確定]。
如需更多組態設定,請參閱設定範例集合設定和其他建議的組態設定。
步驟 3:完成上線步驟
只有在您使用非Microsoft反惡意代碼解決方案時,才適用下列步驟。 您必須套用下列 Microsoft Defender 防病毒軟體被動模式設定。 確認已正確設定:
設定下列登入專案:
- 路徑:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection - 名稱:
ForceDefenderPassiveMode - 類型:
REG_DWORD - 值:
1
- 路徑:
新式統一解決方案中的已知問題和限制
下列幾點適用於 Windows Server 2016 和 Windows Server 2012 R2:
在執行新的安裝之前,請務必先從 Microsoft Defender 入口網站下載最新的安裝程式套件 (https://security.microsoft.com) ,並確保符合必要條件。 安裝之後,請務必使用 Windows Server 2012 R2 和 2016 上適用於端點的 Defender 更新套件一節中所述的元件更新定期更新。
由於服務安裝逾時,作系統更新可能會在磁碟速度較慢的計算機上造成安裝問題。 安裝失敗,並顯示「找不到 c:\program files\windows defender\mpasdesc.dll, - 310 WinDefend」訊息。 如有需要,請使用最新的安裝套件和最新的 install.ps1 腳本來協助清除失敗的安裝。
Windows Server 2016 和 Windows Server 2012 R2 上的使用者介面只允許基本作業。 若要在本機裝置上執行作業,請參閱 使用PowerShell、WMI和 MPCmdRun.exe管理適用於端點的Defender 。 因此,特別依賴用戶互動的功能,例如提示用戶進行決策或執行特定工作的功能,可能無法如預期般運作。 建議您停用或不啟用使用者介面,也不需要在任何受管理的伺服器上進行使用者互動,因為這可能會影響保護功能。
並非所有的「降低攻擊面」規則都適用於所有作系統。 請參閱 受攻擊面縮小規則。
不支援作系統升級。 在升級之前,請先下架再卸載。 安裝程式套件只能用來升級尚未使用新的反惡意代碼平臺或 EDR 感測器更新套件更新的安裝。
若要自動部署並上架新的解決方案,請使用Microsoft端點 Configuration Manager (MECM) 您必須是 2207 版或更新版本。 您仍然可以使用 2107 版搭配 Hotfix 匯總來設定和部署,但這需要額外的部署步驟。 如需詳細資訊,請參閱Microsoft端點 Configuration Manager 移轉案例。
Windows Server Semi-Annual Enterprise Channel (SAC) 、Windows Server 2019 和 Windows Server 2022 和 Windows Server 2025
下載套件
在 Microsoft Defender 入口網站中,移至 [設定>端點>裝置管理>上線]。
選 Windows Server 1803、2019 和 2022。
選取 [下載套件]。 將它儲存為
WindowsDefenderATPOnboardingPackage.zip。請遵循 完成上線步驟 一節中提供的步驟。
確認上線和安裝
確認 Microsoft Defender 防病毒軟體和適用於端點的Defender正在執行。
執行偵測測試以確認上線
將裝置上線之後,您可以選擇執行偵測測試,以驗證裝置已正確上線到服務。 如需詳細資訊,請 參閱在新上線的適用於端點的 Defender 裝置上執行偵測測試。
注意事項
執行 Microsoft Defender 防病毒軟體並非必要,但建議您這麼做。 如果另一個防病毒軟體廠商產品是主要的端點保護解決方案,您可以在被動模式中執行 Defender 防毒軟體。 您只能在確認適用於端點的 Defender 感測器 (SENSE) 正在執行之後,確認被動模式已開啟。
執行下列命令以確認已安裝 Microsoft Defender 防病毒軟體:
注意事項
只有當您使用 Microsoft Defender 防病毒軟體作為作用中的反惡意代碼解決方案時,才需要此驗證步驟。
sc.exe query Windefend如果結果是「指定的服務不存在於已安裝的服務中」,則您必須安裝 Microsoft Defender 防病毒軟體。
如需如何使用 群組原則 在 Windows 伺服器上設定和管理 Microsoft Defender 防病毒軟體的詳細資訊,請參閱使用 群組原則 設定來設定和管理 Microsoft Defender 防病毒軟體。
執行下列命令以確認適用於端點的 Defender 正在執行:
sc.exe query sense結果應該會顯示其正在執行中。 如果您在上線時遇到問題,請參閱 針對上線進行疑難解答。
執行偵測測試
請依照在新上 線裝置上執行偵測測試 中的步驟,確認伺服器向適用於端點的 Defender 服務回報。
後續步驟
成功將裝置上線至服務之後,您必須設定適用於端點的 Defender 的個別元件。 請遵循 設定功能 ,以引導您啟用各種元件。
將 Windows 伺服器離線
您可以 Windows Server 2012 R2、Windows Server 2016、Windows Server (SAC) 、Windows Server 2019、Windows Server 2019 Core 版本、Windows Server 2022 和Windows Server 2025 使用適用於 Windows 10 用戶端裝置的相同方法。
下架之後,您可以繼續在 Windows Server 2016 上卸載統一的解決方案套件,並 Windows Server 2012 R2。
對於其他 Windows 伺服器版本,您有兩個選項可從服務卸除 Windows 伺服器:
- 卸載 MMA 代理程式
- 拿掉適用於端點的Defender工作區設定
注意事項
如果您執行適用於 Windows Server 2016 的舊版適用於端點的 Defender,並 Windows Server 2012 需要 MMA 的 R2,則其他 Windows Server 版本的這些下架指示也適用。 移轉至新整合解決方案的指示位於 適用於端點的Defender的伺服器移轉案例。
相關文章
- 使用 Configuration Manager 將 Windows 裝置上線
- 將上一版 Windows 上線
- 將 Windows 10 裝置上線
- 將非 Windows 裝置上線
- 設定 Proxy 和網際網路連接設定
- 在新上線的適用於端點的Defender裝置上執行偵測測試
- 針對適用於端點的Defender上線問題進行疑難解答
- Microsoft Entra 無縫單一登錄
- 針對適用於端點的Defender的安全性管理相關上線問題進行疑難解答
提示
想要深入了解? 在我們的技術社群中 Engage Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。