Partager via


Intégrer des serveurs Windows au service Microsoft Defender pour point de terminaison

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Defender pour point de terminaison étend la prise en charge pour inclure également le système d’exploitation Windows Server. Cette prise en charge fournit des fonctionnalités avancées de détection et d’investigation des attaques en toute transparence via la console Microsoft Defender XDR. La prise en charge de Windows Server fournit des insights plus approfondis sur les activités du serveur, la couverture de la détection des attaques de noyau et de mémoire, et permet des actions de réponse.

Cet article explique comment intégrer des serveurs Windows spécifiques à Microsoft Defender pour point de terminaison.

Pour obtenir des conseils sur le téléchargement et l’utilisation des bases de référence Sécurité Windows pour les serveurs Windows, consultez Sécurité Windows Bases de référence.

Conseil

En complément de cet article, consultez notre guide de configuration de l’analyseur de sécurité pour passer en revue les meilleures pratiques et apprendre à fortifier les défenses, à améliorer la conformité et à naviguer dans le paysage de la cybersécurité en toute confiance. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée de Security Analyzer dans le Centre d’administration Microsoft 365.

Vue d’ensemble de l’intégration Windows Server

Vous devez effectuer les étapes générales suivantes pour intégrer correctement les serveurs.

Illustration du flux d’intégration pour les serveurs Windows et les appareils Windows 10.

Remarque

Les éditions de Windows Hyper-V Server ne sont pas prises en charge.

Intégration à Microsoft Defender pour serveurs :

Microsoft Defender pour point de terminaison s’intègre parfaitement à Microsoft Defender pour serveurs. Vous pouvez intégrer automatiquement des serveurs, faire apparaître les serveurs surveillés par Microsoft Defender pour le cloud dans Defender pour point de terminaison et mener des investigations détaillées en tant que Microsoft Defender pour le client cloud. Pour plus d’informations, consultez Protéger vos points de terminaison avec la solution EDR intégrée de Defender pour le cloud : Microsoft Defender pour point de terminaison

Remarque

Pour Windows Server 2016 et Windows Server 2012 R2, vous pouvez installer/mettre à niveau manuellement la solution unifiée et moderne sur ces ordinateurs, ou utiliser l’intégration pour déployer ou mettre à niveau automatiquement les serveurs couverts par votre plan Microsoft Defender pour serveur respectif. Pour plus d’informations sur le basculement, consultez Protéger vos points de terminaison avec la solution EDR intégrée de Defender pour le cloud : Microsoft Defender pour point de terminaison.

  • Lorsque vous utilisez Microsoft Defender pour le cloud pour surveiller les serveurs, un locataire Defender pour point de terminaison est automatiquement créé (aux États-Unis pour les utilisateurs américains, dans l’UE pour les utilisateurs européens et au Royaume-Uni pour les utilisateurs du Royaume-Uni). Les données collectées par Defender pour point de terminaison sont stockées dans l’emplacement géographique du locataire identifié lors de l’approvisionnement.

  • Si vous utilisez Defender pour point de terminaison avant d’utiliser Microsoft Defender pour le cloud, vos données sont stockées à l’emplacement que vous avez spécifié lors de la création de votre locataire, même si vous intégrez ultérieurement Microsoft Defender pour le cloud.

  • Une fois configuré, vous ne pouvez pas modifier l’emplacement où vos données sont stockées. Si vous devez déplacer vos données vers un autre emplacement, vous devez contacter Support Microsoft pour réinitialiser le locataire.

  • La surveillance des points de terminaison de serveur utilisant cette intégration a été désactivée pour les clients Office 365 GCC.

  • Auparavant, l’utilisation de Microsoft Monitoring Agent (MMA) sur Windows Server 2016 et Windows Server 2012 R2 et les versions antérieures de Windows Server permis à la passerelle OMS/Log Analytics de fournir une connectivité aux services cloud Defender. La nouvelle solution, comme Microsoft Defender pour point de terminaison sur Windows Server 2022, Windows Server 2019 et Windows 10 ou version ultérieure, ne prend pas en charge cette passerelle.

  • Les serveurs Linux intégrés via Microsoft Defender pour le cloud ont leur configuration initiale définie pour s’exécuter Defender Antivirus en mode passif.

Windows Server 2016 et Windows Server 2012 R2 :

  • Télécharger les packages d’installation et d’intégration
  • Appliquer le package d’installation
  • Suivez les étapes d’intégration de l’outil correspondant.

Windows Server Semi-Annual Enterprise Channel et Windows Server 2019 :

  • Télécharger le package d’intégration
  • Suivez les étapes d’intégration de l’outil correspondant.

Windows Server 2016 et Windows Server 2012 R2

Fonctionnalités de la solution unifiée moderne

L’implémentation précédente (avant avril 2022) de l’intégration Windows Server 2016 et Windows Server 2012 R2 nécessitait l’utilisation de Microsoft Monitoring Agent (MMA).

Le nouveau package de solution unifiée facilite l’intégration des serveurs en supprimant les dépendances et les étapes d’installation. Il fournit également un ensemble de fonctionnalités beaucoup plus étendu. Pour plus d’informations, consultez Défendre les Windows Server 2012 R2 et 2016.

Selon le serveur que vous intégrez, la solution unifiée installe Microsoft Defender Antivirus et/ou le capteur EDR. Le tableau suivant indique quel composant est installé et ce qui est intégré par défaut.

Version du serveur AV EDR
Windows Server 2012 R2 Oui. Oui.
Windows Server 2016 Intégré Oui.
Windows Server 2019 ou version ultérieure Intégré Intégré

Si vous avez déjà intégré vos serveurs à l’aide de MMA, suivez les instructions fournies dans Migration de serveur pour migrer vers la nouvelle solution.

Configuration requise

Prérequis pour Windows Server 2016 et Windows Server 2012 R2

Il est recommandé d’installer les derniers SSU et LCU disponibles sur le serveur.

Prérequis pour l’exécution avec des solutions de sécurité tierces

Si vous envisagez d’utiliser une solution anti-programme malveillant tierce, vous devez exécuter Microsoft Defender Antivirus en mode passif. Vous devez vous rappeler de définir le mode passif pendant le processus d’installation et d’intégration.

Remarque

Si vous installez Microsoft Defender pour point de terminaison sur des serveurs avec McAfee Endpoint Security (ENS) ou VirusScan Enterprise (VSE), il peut être nécessaire de mettre à jour la version de la plateforme McAfee pour garantir Microsoft Defender’antivirus n’est pas supprimé ou désactivé. Pour plus d’informations, notamment les numéros de version spécifiques requis, consultez l’article Centre de connaissances McAfee.

Mettre à jour des packages pour Microsoft Defender pour point de terminaison sur Windows Server 2016 et Windows Server 2012 R2

Pour recevoir régulièrement des améliorations de produit et des correctifs pour le composant EDR Sensor, vérifiez Windows Update KB5005292 est appliqué ou approuvé. En outre, pour maintenir les composants de protection à jour, consultez Gérer les mises à jour de l’antivirus Microsoft Defender et appliquer des bases de référence.

Si vous utilisez Windows Server Update Services (WSUS) et/ou Microsoft Endpoint Configuration Manager, cette nouvelle « mise à jour Microsoft Defender pour point de terminaison pour le capteur EDR » est disponible sous la catégorie « Microsoft Defender pour point de terminaison".

Résumé des étapes d’intégration

ÉTAPE 1 : Télécharger les packages d’installation et d’intégration

Vous devez télécharger les packages d’installation et d’intégration à partir du portail.

Remarque

Le package d’installation est mis à jour mensuellement. Veillez à télécharger le dernier package avant l’utilisation. Pour effectuer une mise à jour après l’installation, vous n’avez pas besoin d’exécuter à nouveau le package d’installation. Si c’est le cas, le programme d’installation vous demandera de commencer par désactiver l’intégration, car il s’agit d’une condition requise pour la désinstallation. Consultez Packages de mise à jour pour Microsoft Defender pour point de terminaison sur Windows Server 2012 R2 et 2016.

Image du tableau de bord d’intégration

Remarque

Sur Windows Server 2016 et Windows Server 2012 R2, Microsoft Defender Antivirus doit être installé en tant que fonctionnalité (voir Basculer vers MDE) avant de procéder à l’installation.

Si vous exécutez une solution anti-programme malveillant non-Microsoft, veillez à ajouter des exclusions pour Microsoft Defender Antivirus (à partir de cette liste de processus Microsoft Defender sous l’onglet Processus Defender) à la solution non-Microsoft avant l’installation. Il est également recommandé d’ajouter des solutions de sécurité non-Microsoft à la liste d’exclusions Defender Antivirus.

Le package d’installation contient un fichier MSI qui installe l’agent Microsoft Defender pour point de terminaison.

Le package d’intégration contient le fichier suivant :

  • WindowsDefenderATPOnboardingScript.cmd - contient le script d’intégration

Pour télécharger les packages, procédez comme suit :

  1. Dans Microsoft Defender XDR, accédez à Paramètres Intégration > du point de terminaison>.

  2. Sélectionnez Windows Server 2016 et Windows Server 2012 R2.

  3. Sélectionnez Télécharger le package d’installation et enregistrez le fichier .msi.

  4. Sélectionnez Télécharger le package d’intégration et enregistrez le fichier .zip.

  5. Installez le package d’installation à l’aide de l’une des options permettant d’installer Microsoft Defender Antivirus. L’installation nécessite des autorisations d’administration.

Importante

Un script d’intégration local convient pour une preuve de concept, mais ne doit pas être utilisé pour le déploiement de production. Pour un déploiement de production, nous vous recommandons d’utiliser stratégie de groupe ou Microsoft Endpoint Configuration Manager.

ÉTAPE 2 : Appliquer le package d’installation et d’intégration

Dans cette étape, vous allez installer les composants de prévention et de détection nécessaires avant l’intégration de votre appareil à l’environnement cloud Microsoft Defender pour point de terminaison, afin de préparer l’ordinateur à l’intégration. Vérifiez que toutes les conditions préalables ont été remplies .

Remarque

Microsoft Defender Antivirus sera installé et sera actif, sauf si vous le définissez en mode passif.

Options d’installation des packages Microsoft Defender pour point de terminaison

Dans la section précédente, vous avez téléchargé un package d’installation. Le package d’installation contient le programme d’installation de tous les composants Microsoft Defender pour point de terminaison.

Vous pouvez utiliser l’une des options suivantes pour installer l’agent :

Installer Microsoft Defender pour point de terminaison à l’aide de la ligne de commande

Utilisez le package d’installation de l’étape précédente pour installer Microsoft Defender pour point de terminaison.

Exécutez la commande suivante pour installer Microsoft Defender pour point de terminaison :

Msiexec /i md4ws.msi /quiet

Pour désinstaller, vérifiez d’abord que la machine est désactivée à l’aide du script de désintégrage approprié. Ensuite, utilisez Panneau de configuration > Programmes > et fonctionnalités pour effectuer la désinstallation.

Vous pouvez également exécuter la commande de désinstallation suivante pour désinstaller Microsoft Defender pour point de terminaison :

Msiexec /x md4ws.msi /quiet

Vous devez utiliser le même package que celui utilisé pour l’installation pour que la commande ci-dessus réussisse.

Le /quiet commutateur supprime toutes les notifications.

Remarque

Microsoft Defender Antivirus ne passe pas automatiquement en mode passif. Vous pouvez choisir de définir Microsoft Defender Antivirus pour qu’il s’exécute en mode passif si vous exécutez une solution antivirus/anti-programme malveillant non-Microsoft. Pour les installations en ligne de commande, le facultatif FORCEPASSIVEMODE=1 définit immédiatement le composant antivirus Microsoft Defender en mode passif pour éviter toute interférence. Ensuite, pour vous assurer que Defender Antivirus reste en mode passif après l’intégration pour prendre en charge des fonctionnalités telles que EDR Block, définissez la clé de Registre « ForceDefenderPassiveMode ».

La prise en charge de Windows Server fournit des insights plus approfondis sur les activités du serveur, la couverture de la détection des attaques de noyau et de mémoire, et permet des actions de réponse.

Installer Microsoft Defender pour point de terminaison à l’aide d’un script

Vous pouvez utiliser le script d’assistance du programme d’installation pour automatiser l’installation, la désinstallation et l’intégration.

Remarque

Le script d’installation est signé. Toute modification apportée au script invalidera la signature. Lorsque vous téléchargez le script à partir de GitHub, l’approche recommandée pour éviter toute modification accidentelle consiste à télécharger les fichiers sources sous forme d’archive zip, puis à l’extraire pour obtenir le fichier install.ps1 (dans la page Code main, cliquez sur le menu déroulant Code et sélectionnez « Télécharger le fichier ZIP »).

Ce script peut être utilisé dans différents scénarios, y compris ceux décrits dans Scénarios de migration de serveur de la solution de Microsoft Defender pour point de terminaison MMA précédente et pour le déploiement à l’aide de stratégie de groupe comme décrit ci-dessous.

Appliquer les packages d’installation et d’intégration Microsoft Defender pour point de terminaison à l’aide d’une stratégie de groupe lors de l’installation avec un script de programme d’installation

  1. Créez une stratégie de groupe :
    Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur stratégie de groupe Objets que vous souhaitez configurer, puis sélectionnez Nouveau. Entrez le nom du nouvel objet de stratégie de groupe dans la boîte de dialogue qui s’affiche, puis sélectionnez OK.

  2. Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis sélectionnez Modifier.

  3. Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur, puis Préférences, puis Paramètres du Panneau de configuration.

  4. Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis cliquez sur Tâche immédiate (Au moins Windows 7).

  5. Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Sous Options de sécurité , sélectionnez Modifier l’utilisateur ou le groupe , tapez SYSTÈME, puis sélectionnez Vérifier les noms , puis OK. NT AUTHORITY\SYSTEM apparaît comme le compte d’utilisateur sous lequel la tâche s’exécutera.

  6. Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.

  7. Dans le champ Nom, tapez un nom approprié pour la tâche planifiée (par exemple, Déploiement de Defender pour point de terminaison).

  8. Accédez à l’onglet Actions et sélectionnez Nouveau... Vérifiez que Démarrer un programme est sélectionné dans le champ Action . Le script d’installation gère l’installation et effectue immédiatement l’étape d’intégration une fois l’installation terminée. Sélectionnez C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe puis fournissez les arguments :

    -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd
    

    Remarque

    Le paramètre de stratégie d’exécution recommandé est Allsigned. Cela nécessite l’importation du certificat de signature du script dans le magasin Serveurs de publication approuvés de l’ordinateur local si le script s’exécute en tant que SYSTEM sur le point de terminaison.

    Remplacez \\servername-or-dfs-space\share-name par le chemin d’accès UNC, en utilisant le nom de domaine complet (FQDN) du serveur de fichiers du fichier install.ps1 partagé. Le package d’installation md4ws.msi doit être placé dans le même répertoire. Vérifiez que les autorisations du chemin UNC autorisent l’accès en écriture au compte d’ordinateur qui installe le package pour prendre en charge la création de fichiers journaux. Si vous souhaitez désactiver la création de fichiers journaux (non recommandé), vous pouvez utiliser les paramètres -noETL -noMSILog.

    Pour les scénarios où vous souhaitez que Microsoft Defender Antivirus coexiste avec des solutions anti-programme malveillant non-Microsoft, ajoutez le paramètre $Passive pour définir le mode passif lors de l’installation.

  9. Sélectionnez OK et fermez toutes les fenêtres de la console GPMC ouvertes.

  10. Pour lier l’objet de stratégie de groupe à une unité d’organisation (UO), cliquez avec le bouton droit et sélectionnez Lier un objet de stratégie de groupe existant. Dans la boîte de dialogue qui s’affiche, sélectionnez l’objet stratégie de groupe que vous souhaitez lier. Sélectionnez OK.

Pour plus de paramètres de configuration, consultez Configurer des exemples de paramètres de collecte et Autres paramètres de configuration recommandés.

ÉTAPE 3 : Effectuer les étapes d’intégration

Les étapes suivantes s’appliquent uniquement si vous utilisez une solution anti-programme malveillant tierce. Vous devez appliquer le paramètre de mode passif antivirus Microsoft Defender suivant. Vérifiez qu’il a été configuré correctement :

  1. Définissez l’entrée de Registre suivante :

    • Chemin: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • Nom : ForceDefenderPassiveMode
    • Type: REG_DWORD
    • Valeur : 1

    Capture d’écran du résultat de la vérification en mode passif.

Problèmes connus et limitations du nouveau package de solution unifié pour Windows Server 2016 et Windows Server 2012 R2

Importante

Téléchargez toujours le dernier package du programme d’installation à partir du portail Microsoft Defender (https://security.microsoft.com) avant d’effectuer une nouvelle installation et vérifiez que les conditions préalables sont remplies. Après l’installation, veillez à mettre à jour régulièrement à l’aide des mises à jour des composants décrites dans la section Packages de mise à jour pour Microsoft Defender pour point de terminaison sur Windows Server 2012 R2 et 2016.

  • Une mise à jour du système d’exploitation peut introduire un problème d’installation sur les ordinateurs avec des disques plus lents en raison d’un délai d’attente avec l’installation du service. L’installation échoue avec le message « Impossible de trouver c :\program files\windows defender\mpasdesc.dll, - 310 WinDefend ». Utilisez le dernier package d’installation et le dernier script install.ps1 pour effacer l’installation ayant échoué si nécessaire.

  • l’interface utilisateur sur Windows Server 2016 et Windows Server 2012 R2 autorise uniquement les opérations de base. Pour effectuer des opérations sur un appareil localement, reportez-vous à Gérer Microsoft Defender pour point de terminaison avec PowerShell, WMI et MPCmdRun.exe. Par conséquent, les fonctionnalités qui s’appuient spécifiquement sur l’interaction de l’utilisateur, telles que l’endroit où l’utilisateur est invité à prendre une décision ou à effectuer une tâche spécifique, peuvent ne pas fonctionner comme prévu. Il est recommandé de désactiver ou de ne pas activer l’interface utilisateur, ni d’exiger une interaction utilisateur sur n’importe quel serveur managé, car cela peut avoir un impact sur la capacité de protection.

  • Toutes les règles de réduction de la surface d’attaque ne s’appliquent pas à tous les systèmes d’exploitation. Consultez Règles de réduction de la surface d’attaque.

  • Les mises à niveau du système d’exploitation ne sont pas prises en charge. Désintégner, puis désinstaller avant la mise à niveau. Le package d’installation peut uniquement être utilisé pour mettre à niveau des installations qui n’ont pas encore été mises à jour avec de nouveaux packages de mise à jour de la plateforme anti-programme malveillant ou du capteur EDR.

  • Pour déployer et intégrer automatiquement la nouvelle solution à l’aide de Microsoft Endpoint Configuration Manager (MECM), vous devez utiliser la version 2207 ou ultérieure. Vous pouvez toujours configurer et déployer à l’aide de la version 2107 avec le correctif cumulatif, mais cela nécessite des étapes de déploiement supplémentaires. Pour plus d’informations, consultez Microsoft Endpoint Configuration Manager les scénarios de migration.

Windows Server Semi-Annual Enterprise Channel (SAC), Windows Server 2019 et Windows Server 2022

Télécharger le package

  1. Dans Microsoft Defender XDR, accédez à Paramètres Points > de terminaison > Gestion des appareils > Intégration.

  2. Sélectionnez Windows Server 1803 et 2019.

  3. Sélectionnez Télécharger le package. Enregistrez-le en tant que WindowsDefenderATPOnboardingPackage.zip.

  4. Suivez les étapes fournies dans la section Effectuer les étapes d’intégration .

Vérifier l’intégration et l’installation

Vérifiez que Microsoft Defender antivirus et Microsoft Defender pour point de terminaison sont en cours d’exécution.

Exécuter un test de détection pour vérifier l’intégration

Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier qu’un appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Microsoft Defender pour point de terminaison nouvellement intégré.

Remarque

L’exécution de Microsoft Defender Antivirus n’est pas obligatoire, mais elle est recommandée. Si un autre produit de fournisseur d’antivirus est la solution de protection de point de terminaison principale, vous pouvez exécuter Defender Antivirus en mode passif. Vous ne pouvez vérifier que le mode passif est activé qu’après avoir vérifié que Microsoft Defender pour point de terminaison capteur (SENSE) est en cours d’exécution.

  1. Exécutez la commande suivante pour vérifier que Microsoft Defender’antivirus est installé :

    Remarque

    Cette étape de vérification n’est nécessaire que si vous utilisez Microsoft Defender Antivirus comme solution anti-programme malveillant active.

    sc.exe query Windefend
    

    Si le résultat est « Le service spécifié n’existe pas en tant que service installé », vous devez installer Microsoft Defender Antivirus.

    Pour plus d’informations sur l’utilisation de stratégie de groupe pour configurer et gérer Microsoft Defender Antivirus sur vos serveurs Windows, consultez Utiliser les paramètres stratégie de groupe pour configurer et gérer Microsoft Defender Antivirus.

  2. Exécutez la commande suivante pour vérifier que Microsoft Defender pour point de terminaison est en cours d’exécution :

    sc.exe query sense
    

    Le résultat doit indiquer qu’il est en cours d’exécution. Si vous rencontrez des problèmes d’intégration, consultez Résoudre les problèmes d’intégration.

Exécuter un test de détection

Suivez les étapes décrites dans Exécuter un test de détection sur un appareil nouvellement intégré pour vérifier que le serveur signale à Defender pour le service point de terminaison.

Étapes suivantes

Après avoir correctement intégré les appareils au service, vous devez configurer les composants individuels de Microsoft Defender pour point de terminaison. Suivez Configurer les fonctionnalités pour être guidé sur l’activation des différents composants.

Désintégrer les serveurs Windows

Vous pouvez retirer Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019 et Windows Server édition Core 2019 selon la même méthode disponible pour Windows 10 appareils clients.

Après la désactivation, vous pouvez procéder à la désinstallation du package de solution unifiée sur Windows Server 2016 et Windows Server 2012 R2.

Pour les autres versions de serveur Windows, vous avez deux options pour retirer les serveurs Windows du service :

  • Désinstaller l’agent MMA
  • Supprimer la configuration de l’espace de travail Defender pour point de terminaison

Remarque

Ces instructions de désintégration pour les autres versions de Windows Server s’appliquent également si vous exécutez la Microsoft Defender pour point de terminaison précédente pour Windows Server 2016 et Windows Server 2012 R2 qui nécessite MMA. Les instructions pour migrer vers la nouvelle solution unifiée se trouvent dans Scénarios de migration de serveur dans Microsoft Defender pour point de terminaison.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.