安装Microsoft Defender for Identity传感器
本文介绍如何安装Microsoft Defender for Identity传感器,包括独立传感器。 默认建议使用 UI。 然而:
在 Windows Server Core 上安装传感器时,或者要通过软件部署系统部署传感器,请改为按照静默安装的步骤进行操作。
如果使用代理,建议通过 命令行安装传感器并一起配置代理。 如果需要稍后更新代理设置,请使用 PowerShell 或 Azure CLI。 有关详细信息,请参阅 配置终结点代理和 Internet 连接设置。
先决条件
在开始之前,请确保:
Defender for Identity 传感器安装包和访问密钥的下载副本。
Microsoft计算机上安装了 .NET Framework 4.7 或更高版本。 如果未安装 Microsoft .NET Framework 4.7 或更高版本,则 Defender for Identity 传感器安装包将安装它。 从安装包进行安装可能需要重启服务器。
相关的服务器规范和网络要求。 有关更多信息,请参阅:
计算机上受信任的根证书。 如果缺少受信任的根 CA 签名证书, 则可能会收到连接错误。
使用 UI 安装传感器
在域控制器、Active Directory 联合身份验证服务 (AD FS) 服务器或 Active Directory 证书服务 (AD CS) 服务器上执行以下步骤。
验证计算机是否已连接到相关的 Defender for Identity 云服务终结点。
从 .zip 文件中提取安装文件。 直接从 .zip 文件安装失败。
使用提升的权限运行 Azure ATP 传感器 setup.exe (以管理员身份) 运行 ,然后按照设置向导进行操作。
在 “欢迎 ”页上,选择你的语言,然后选择“ 下一步”。
安装向导会自动检查服务器是域控制器、AD FS 服务器、AD CS 服务器还是专用服务器。 服务器类型确定传感器类型:
- 如果服务器是域控制器、AD FS 服务器或 AD CS 服务器,则安装 Defender for Identity 传感器。
- 如果服务器专用,则安装 Defender for Identity 独立传感器。
例如,向导将显示以下页面,以指示域控制器上安装了 Defender for Identity 传感器。
选择 下一步。
如果域控制器、AD FS 服务器、AD CS 服务器或专用服务器不符合安装的最低硬件要求,则向导会发出警告。
警告不会阻止你选择“ 下一步 ”并继续安装,这可能仍然是正确的选项。 例如,安装小型实验室测试环境时,需要较少的数据存储空间。
对于生产环境,强烈建议使用 Defender for Identity 大小调整工具 ,以确保域控制器或专用服务器满足容量要求。
在 “配置传感器 ”页上,输入安装包的以下信息:
-
安装路径:安装 Defender for Identity 传感器的位置。 默认情况下,路径为
%programfiles%\Azure Advanced Threat Protection sensor。 保留默认值。 - 访问密钥:在上一步中从Microsoft Defender门户中检索。
-
安装路径:安装 Defender for Identity 传感器的位置。 默认情况下,路径为
选择“安装”。 在安装 Defender for Identity 传感器期间安装和配置以下组件:
Defender for Identity 传感器服务和Defender for Identity 传感器更新程序服务
Npcap OEM 版本 1.0
重要
如果没有其他 Npcap 版本,将自动安装 Npcap OEM 版本 1.0。 如果由于其他软件要求或任何其他原因而安装了 Npcap,请确保它的版本为 1.0 或更高版本,并且具有 Defender for Identity 所需的设置。
查看传感器版本
从传感器版本 2.176 开始,从新包安装传感器时, “添加/删除程序” 下的版本会显示完整编号,例如 2.176.x.y。以前,版本显示为静态 2.0.0.0。
即使 Defender for Identity 云服务运行自动更新,已安装的版本也会继续显示。
在“Microsoft Defender XDR传感器设置”页、可执行文件路径或文件版本中查看传感器的实际版本。
执行 Defender for Identity 无提示安装
传感器的 Defender for Identity 无提示安装配置为在必要时在安装结束时自动重启服务器。
仅在维护时段内计划无提示安装。 由于 Windows Installer bug,你无法可靠地使用该 norestart 标志来确保服务器不会重启。
若要跟踪部署进度,请在 中 %localappdata%\Temp监视 Defender for Identity 安装程序日志。
通过部署系统进行无提示安装
通过 System Center Configuration Manager 或其他软件部署系统静默部署 Defender for Identity 传感器时,建议创建两个部署包:
- .NET Framework 4.7 或更高版本,其中可能包括重启域控制器
- Defender for Identity 传感器
使 Defender for Identity 传感器包依赖于.NET Framework包部署的部署。 如有必要,请获取 .NET Framework 4.7 脱机部署包。
用于运行无提示安装的命令
使用以下命令执行 Defender for Identity 传感器的完全无提示安装,方法是使用 在上一步中复制的访问密钥。
cmd.exe 语法
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"
PowerShell 语法
.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"
注意
使用 PowerShell 语法时,省略 .\ 前言会导致阻止无提示安装的错误。
安装选项
| 名称 | 语法 | 对于无提示安装是必需的? | 说明 |
|---|---|---|---|
Quiet |
/quiet |
是 | 在不显示 UI 或提示的情况下运行安装程序。 |
Help |
/help |
否 | 提供帮助和快速参考。 显示安装程序命令的正确用法,包括所有选项和行为的列表。 |
NetFrameworkCommandLineArguments="/q" |
NetFrameworkCommandLineArguments="/q" |
是 | 指定.NET Framework安装的参数。 必须设置为强制.NET Framework的无提示安装。 |
安装参数
| 名称 | 语法 | 对于无提示安装是必需的? | 说明 |
|---|---|---|---|
InstallationPath |
InstallationPath="" |
否 | 设置 Defender for Identity 传感器二进制文件的安装路径。 默认路径: %programfiles%\Azure Advanced Threat Protection Sensor。 |
AccessKey |
AccessKey="\*\*" |
是 | 设置用于将 Defender for Identity 传感器注册到 Defender for Identity 工作区的访问密钥。 |
AccessKeyFile |
AccessKeyFile="" |
否 | 从提供的文本文件路径设置工作区访问密钥。 |
DelayedUpdate |
DelayedUpdate=true |
否 | 将传感器的更新机制设置为将更新从每个服务更新的正式发布延迟 72 小时。 有关详细信息,请参阅 延迟的传感器更新。 |
LogsPath |
LogsPath="" |
否 | 设置 Defender for Identity 传感器日志的路径。 默认路径: %programfiles%\Azure Advanced Threat Protection Sensor。 |
示例
使用以下命令以无提示方式安装 Defender for Identity 传感器:
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"
使用代理配置运行无提示安装的命令
使用以下命令将代理与无提示安装一起配置:
"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`
注意
如果以前使用旧选项(包括 WinINet 或注册表项更新)配置代理,则需要使用最初使用的相同方法进行任何更改。 有关详细信息,请参阅 使用旧方法更改代理配置。
安装参数
| 名称 | 语法 | 对于无提示安装是必需的? | 说明 |
|---|---|---|---|
ProxyUrl |
ProxyUrl="http://proxy.contoso.com:8080" |
否 | 指定 Defender for Identity 传感器的代理 URL 和端口号。 |
ProxyUserName |
ProxyUserName="Contoso\ProxyUser" |
否 | 如果代理服务需要身份验证,请以 格式 DOMAIN\user 定义用户名。 |
ProxyUserPassword |
ProxyUserPassword="P@ssw0rd" |
否 | 指定代理用户名的密码。 Defender for Identity 传感器加密凭据并将其存储在本地。 |
提示
如果需要稍后更新代理设置,请使用 PowerShell 或 Azure CLI。 有关详细信息,请参阅 配置终结点代理和 Internet 连接设置。 建议为代理服务器创建并使用自定义 DNS A 记录。 然后,可以在必要时使用该记录更改代理服务器的地址,并使用 hosts 文件进行测试。
相关内容
安装传感器后,可以执行其他步骤:
如果在 AD FS 或 AD CS 服务器上安装了传感器,请参阅 安装后步骤 (可选) 。
如果安装了独立传感器,请参阅: