設定 適用於端點的 Microsoft Defender 方案 1
適用於:
本文說明如何設定適用於端點的Defender方案1。 無論您有協助或自行執行,都可以使用本文作為整個部署的指南。
安裝和設定程序
適用於端點的 Defender 方案 1 的一般設定和設定程式如下:
| 數字 | 步驟 | 描述 |
|---|---|---|
| 1 | 檢視需求 | 清單 授權、瀏覽器、操作系統和數據中心需求 |
| 2 | 規劃您的部署 | 清單 數個要考慮的部署方法,並包含更多資源的連結,以協助您決定要使用的方法 |
| 3 | 設定您的租用戶環境 | 設定租用戶環境的 清單 工作 |
| 4 | 指派角色和權限 | 清單 要為安全性小組考慮的角色和許可權 提示:一旦指派角色和許可權,您的安全性小組就可以開始使用 Microsoft Defender 入口網站。 若要深入瞭解,請 參閱開始使用。 |
| 5 | 上線到適用於端點的 Defender | 清單 操作系統上架到適用於端點的Defender方案1的數種方法,並包含每個方法更詳細信息的連結 |
| 6 | 設定新一代保護技術 | 描述如何在 Microsoft Intune 中設定新一代保護設定 |
| 7 | 設定受攻擊面縮小功能 | 清單 您可以設定的受攻擊面縮小功能類型,並包含具有更多資源連結的程式 |
檢視需求
下表列出適用於端點的Defender方案1的基本需求:
| 需求 | 描述 |
|---|---|
| 授權需求 | 適用於端點的 Defender 方案 1 (獨立,或 Microsoft 365 E3、A3 或 G3) |
| 瀏覽器需求 | Microsoft Edge Internet Explorer 第 11 版 Google Chrome |
| 作業系統 (用戶端) | Windows 11 Windows 10 版本 1709 或更新版本 macOS iOS Android OS |
| 伺服器) (操作系統 | Windows Server 2022 Windows Server 2019 Windows Server 1803 版和更新版本 使用新式整合解決方案時,支援 Windows Server 2016 和 2012 R2 Linux 伺服器 |
| Datacenter | 下列其中一個資料中心位置: - 歐盟 - 英國 - 美國 |
注意事項
適用於端點的 Defender 方案 1 的獨立版本不包含伺服器授權。 若要讓伺服器上線,您需要額外的授權,例如:
- Microsoft Defender 伺服器方案 1 或方案 2 (作為適用於雲端的 Defender) 供應專案的一部分。
- 適用於端點的 Microsoft Defender 伺服器
- 適用於商業伺服器的 Microsoft Defender 中小型企業的 ()
若要深入瞭解,請參閱適用於端點的Defender上線 Windows Server
規劃您的部署
當您規劃部署時,您可以從數個不同的架構和部署方法中選擇。 每個組織都是唯一的,因此您有數個要考慮的選項,如下表所示:
| 方法 | 描述 |
|---|---|
| Intune | 使用 Intune 來管理雲端原生環境中的端點 |
| Intune和 Configuration Manager | 使用 Intune和 Configuration Manager 來管理跨內部部署和雲端環境的端點和工作負載 |
| Configuration Manager | 使用 Configuration Manager,以適用於端點的 Defender 雲端架構功能來保護內部部署端點 |
| 從 Microsoft Defender 入口網站下載的本機腳本 | 在端點上使用本機腳本來執行試驗,或只將一些裝置上線 |
若要深入瞭解您的部署選項,請參閱 規劃適用於端點的Defender部署。 此外,請下載下列海報:
提示
如需規劃部署的詳細資訊,請參閱規劃您的 適用於端點的 Microsoft Defender 部署。
設定您的租用戶環境
設定您的租使用者環境包含工作,例如:
- 驗證您的授權
- 設定您的租使用者
- 只有在必要時,才 (設定您的 Proxy 設定)
- 確定感測器正常運作,並將數據回報給適用於端點的 Defender
這些工作包含在適用於端點的Defender的安裝階段。 請參閱 設定適用於端點的Defender。
指派角色和權限
若要存取 Microsoft Defender 入口網站、設定適用於端點的 Defender 設定,或執行工作,例如對偵測到的威脅採取回應動作,必須指派適當的許可權。 適用於端點的Defender會在Microsoft Entra ID內使用內建角色。
Microsoft建議只指派用戶執行其工作所需的許可權等級。 您可以使用基本許可權管理,或使用 角色型訪問控制 (RBAC) 來指派許可權。
- 透過基本許可權管理,全域管理員和安全性系統管理員具有完整存取權,而安全性讀取者則具有唯讀存取權。
- 透過 RBAC,您可以透過更多角色來設定更細微的許可權。 例如,您可以有安全性讀取者、安全性操作員、安全性系統管理員、端點系統管理員等等。
下表描述組織中適用於端點的Defender應考慮的重要角色:
| 角色 | 描述 |
|---|---|
| 全域管理員 最佳做法是限制全域管理員的數目。 |
全域管理員可以執行各種工作。 根據預設,註冊貴公司Microsoft 365 或 適用於端點的 Microsoft Defender 方案 1 的人員是全域管理員。 全域管理員可以存取/變更所有Microsoft 365 入口網站的設定,例如: - Microsoft 365 系統管理中心(https://admin.microsoft.com) - Microsoft Defender 入口網站 (https://security.microsoft.com) - Intune 系統管理中心 (https://intune.microsoft.com) |
| 安全性系統管理員 | 安全性系統管理員可以執行安全性操作員工作加上下列工作: - 監視安全性相關原則 - 管理安全性威脅和警示 - 檢視報告 |
| 安全性操作員 | 安全性操作員可以執行安全性讀取器工作加上下列工作: - 檢視偵測到的威脅相關信息 - 調查並回應偵測到的威脅 |
| 安全性讀取者 | 安全性讀取者可以執行下列工作: - 檢視跨 Microsoft 365 服務的安全性相關原則 - 檢視安全性威脅和警示 - 檢視報告 |
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
若要深入瞭解 Microsoft Entra ID 中的角色,請參閱將系統管理員和非系統管理員角色指派給具有 Microsoft Entra ID 的使用者。 此外,如需適用於端點的Defender角色的詳細資訊,請參閱 角色型訪問控制。
上線到適用於端點的 Defender
當您準備好將組織的端點上線時,您可以從數種方法中選擇,如下表所示:
| 端點 | 部署工具 |
|---|---|
| Windows |
本機指令碼 (最多 10 部裝置) 群組原則 Microsoft Intune/行動裝置 裝置管理員 Microsoft Endpoint Configuration Manager VDI 指令碼 |
| macOS |
本機指令碼 Microsoft Intune JAMF Pro 行動裝置管理 |
| Android | Microsoft Intune |
| iOS |
Microsoft Intune 行動應用程式管理員 |
然後,繼續設定新一代的保護和受攻擊面縮小功能。
設定新一代保護技術
我們建議使用 Intune 來管理組織的裝置和安全性設定,如下圖所示:
若要在 Intune 中設定新一代保護,請遵循下列步驟:
移至 Intune 系統管理中心 (https://intune.microsoft.com) 並登入。
選取 [端點安全>性防病毒軟體],然後選取現有的原則。 (如果您沒有現有的原則,請建立新的原則。)
設定或變更防病毒軟體組態設定。 需要協助? 請參閱下列資源:
當您完成指定設定時,請選擇 [ 檢閱 + 儲存]。
設定受攻擊面縮小功能
受攻擊面縮小是關於減少貴組織開放攻擊的位置和方式。 適用於端點的 Defender 方案 1 包含數個功能,可協助您減少端點上的受攻擊面。 下表列出這些功能:
| 功能/功能 | 描述 |
|---|---|
| 受攻擊面縮小規則 | 設定受攻擊面縮小規則,以限制以軟體為基礎的風險行為,並協助保護貴組織的安全。 受攻擊面縮小規則以特定軟體行為為目標,例如 - 啟動嘗試下載或執行檔案的可執行檔和腳本 - 執行模糊化或可疑的腳本 - 執行應用程式通常不會在一般日常工作期間起始的行為 這類軟體行為有時會出現在合法的應用程式中。 不過,這些行為通常會被視為有風險,因為攻擊者通常會透過惡意代碼濫用這些行為。 |
| 勒索軟體防護功能 | 設定受控資料夾存取權來設定勒索軟體防護功能,以協助保護貴組織的寶貴數據免於遭受惡意應用程式和威脅,例如勒索軟體。 |
| 裝置控制 | 為您的組織設定裝置控制項設定,以允許或封鎖可行動裝置 (,例如 USB 磁碟驅動器) 。 |
| 網路保護 | 設定網路保護以防止組織中的人員使用可存取因特網上危險網域或惡意內容的應用程式。 |
| Web 保護 | 設定 Web 威脅防護,以保護貴組織的裝置免於網路釣魚網站、惡意探索網站,以及其他不受信任或低信譽的網站。 設定 Web 內容篩選,以根據網站的內容類別 (來追蹤及規範網站的存取,例如,語系、高頻寬、成人內容或法律責任) 。 |
| 網路防火牆 | 使用規則來設定網路防火牆,以判斷允許哪些網路流量進入或從組織的裝置傳出。 |
| 應用程式控制 | 如果您只想要允許信任的應用程式和程式在 Windows 裝置上執行,請設定應用程式控制規則。 |
受攻擊面縮小規則
在執行 Windows 的裝置上可以使用受攻擊面縮小規則。 我們建議使用 Intune,如下圖所示:
移至 Intune 系統管理中心並登入。
選擇 [端點安全>性攻擊表面縮小>+ 建立原則]。
針對 [平臺],選取 [Windows 10]、[Windows 11] 和 [Windows Server]。
針對 [配置檔],選取 [ 受攻擊面縮小規則],然後選擇 [ 建立]。
在 [ 基本] 索引標籤上 ,指定原則的名稱和描述,然後選擇 [ 下一步]。
在 [ 組態設定] 索引標籤上 ,展開 [ Defender] 底下的 [設定受攻擊面縮小規則],然後選擇 [ 下一步]。 如需受攻擊面縮小規則的詳細資訊,請 參閱受攻擊面縮小規則部署概觀。
我們建議您至少啟用下列三個標準保護規則:
在 [ 範圍卷標] 索引標籤上 ,如果您的組織使用範圍卷標,請選擇 [+ 選取範圍標籤],然後選取您要使用的標籤。 然後,選擇 [ 下一步]。
若要深入瞭解範圍標籤,請 參閱使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤。
在 [ 指派] 索引標籤 上,指定應套用您原則的使用者和群組,然後選擇 [ 下一步]。 (若要深入瞭解指派,請參閱在 Microsoft Intune.) 中指派使用者和裝置配置檔
在 [ 檢閱 + 建立] 索引標籤上,檢閱設定,然後選擇 [ 建立]。
勒索軟體防護功能
您可以透過 受控資料夾存取來降低勒索軟體風險,這僅允許受信任的應用程式存取端點上受保護的資料夾。
建議您使用 Intune 來設定受控資料夾存取權。
移至 Intune 系統管理中心並登入。
移至 [端點安全>性攻擊面縮小],然後選擇 [ + 建立原則]。
針對 [平臺],選取 [Windows 10]、[Windows 11] 和 [Windows Server],然後針對 [配置檔] 選取 [受攻擊面縮小規則]。 接著,選擇 [建立]。
在 [ 基本] 索引標籤上 ,為原則命名並新增描述。 選取 [下一步]。
在 [ 組態設定] 索引卷標的 [ Defender ] 區段下,向下捲動至底部。 在 [ 啟用受控資料夾存取權 ] 下拉式清單中,選取 [ 已啟用],然後選擇 [ 下一步]。
您可以選擇性指定下列其他設定:
- 在 [ 受控資料夾存取受保護的資料夾] 旁,將切換開關切換為 [已 設定],然後新增需要保護的資料夾。
- 在 [ 受控資料夾存取允許的應用程式] 旁,將切換開關切換為 [已 設定],然後新增應具有受保護資料夾存取權的應用程式。
在 [ 範圍卷標] 索引標籤上 ,如果您的組織使用範圍卷標,請選擇 [+ 選取範圍標籤],然後選取您要使用的標籤。 然後,選擇 [ 下一步]。 若要深入瞭解範圍標籤,請 參閱使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤。
在 [ 指派] 索引標籤 上,選取 [ 新增所有使用者 ] 和 [+ 新增所有裝置],然後選擇 [ 下一步]。 (您也可以指定特定的使用者或裝置群組。)
在 [ 檢閱 + 建立] 索引標籤上,檢閱您原則的設定,然後選擇 [ 建立]。 此原則會套用至任何即將上線至適用於端點的Defender的端點。
裝置控制
您可以設定適用於端點的 Defender 封鎖或允許卸載式裝置和卸載式裝置上的檔案。 建議您使用 Intune 來設定裝置控制項設定。
移至 Intune 系統管理中心並登入。
選 取 [裝置>設定>+ 建立原則>]。
針對 [平臺],選取配置檔,例如 Windows 10 和更新版本,然後針對 [配置檔類型] 選取 [範本]。
在 [範本名稱] 下,選取 [ 系統管理範本],然後選擇 [ 建立]。
在 [ 基本] 索引標籤上 ,為原則命名並新增描述。 選取 [下一步]。
在 [ 組態設定] 索引標籤上 ,選取 [ 所有設定]。 然後在搜尋方塊中輸入
Removable,以查看與卸載式裝置相關的所有設定。選取清單中的專案,例如 [所有卸除式存儲設備類別]、[拒絕所有存取] 來開啟其飛出視窗窗格。 每個設定的飛出視窗會說明啟用、停用或未設定時會發生什麼情況。 選取設定,然後選擇 [ 確定]。
針對您想要設定的每個設定重複步驟 6。 接著選擇 [下一步]。
在 [ 範圍卷標] 索引標籤上 ,如果您的組織使用範圍卷標,請選擇 [+ 選取範圍標籤],然後選取您要使用的標籤。 然後,選擇 [ 下一步]。
若要深入瞭解範圍標籤,請 參閱使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤。
在 [ 指派] 索引標籤 上,選取 [ 新增所有使用者 ] 和 [+ 新增所有裝置],然後選擇 [ 下一步]。 (您也可以指定特定的使用者或裝置群組。)
在 [ 檢閱 + 建立] 索引標籤上,檢閱您原則的設定,然後選擇 [ 建立]。 此原則會套用至任何即將上線至適用於端點的Defender的端點。
提示
網路保護
透過網路保護,您可以協助保護貴組織免於可能在因特網上裝載網路釣魚詐騙、惡意探索和其他惡意內容的危險的網域。 建議您使用 Intune 來開啟網路保護。
移至 Intune 系統管理中心並登入。
選 取 [裝置>設定>+ 建立原則>]。
針對 [平臺],選取配置檔,例如 Windows 10 和更新版本,然後針對 [配置檔類型] 選取 [範本]。
在 [範本名稱] 底下,選取 [ Endpoint Protection],然後選擇 [ 建立]。
在 [ 基本] 索引標籤上 ,為原則命名並新增描述。 選取 [下一步]。
在 [組態設定] 索引標籤上,展開 [Microsoft Defender 惡意探索防護],然後展開 [網络篩選]。
將 [網络保護] 設定為 [啟用]。 (您可以選擇 [ 稽 核] 來查看網路保護在您的環境中的運作方式。)
接著選擇 [下一步]。
在 [ 指派] 索引標籤 上,選取 [ 新增所有使用者 ] 和 [+ 新增所有裝置],然後選擇 [ 下一步]。 (您也可以指定特定的使用者或裝置群組。)
在 [ 適用性規則] 索引 標籤上,設定規則。 您要設定的設定檔只會套用至符合您指定之合併準則的裝置。
例如,您可以選擇將原則指派給只執行特定 OS 版本的端點。
接著選擇 [下一步]。
在 [ 檢閱 + 建立] 索引標籤上,檢閱您原則的設定,然後選擇 [ 建立]。 此原則會套用至任何即將上線至適用於端點的Defender的端點。
提示
您可以使用其他方法,例如 Windows PowerShell 或 群組原則,來啟用網路保護。 若要深入瞭解, 請參閱開啟網路保護。
Web 保護
透過 Web 保護,您可以保護組織的裝置免於遭受 Web 威脅和垃圾內容。 您的 Web 保護包括 Web 威脅防護 和 Web 內容篩選。 設定這兩組功能。 建議您使用 Intune 來設定 Web 保護設定。
設定 Web 威脅防護
移至 Intune 系統管理中心,然後登入。
選擇 [端點安全>性攻擊面縮小],然後選擇 [ + 建立原則]。
選取平臺,例如 Windows 10 和更新版本,選取 Web 保護配置檔,然後選擇 [建立]。
在 [ 基本] 索引標籤上 ,指定名稱和描述,然後選擇 [ 下一步]。
在 [ 組態設定] 索引標籤上 ,展開 [Web 保護],指定下表中的設定,然後選擇 [ 下一步]。
設定 建議 啟用網路保護 設定為 [已啟用]。 防止使用者造訪惡意網站或網域。
或者,您可以將網路保護設定為 稽核模式 ,以查看其在環境中的運作方式。 在稽核模式中,網路保護不會防止使用者造訪網站或網域,但會將偵測追蹤為事件。需要適用於 舊版 Microsoft Edge的 SmartScreen 設定為 [是]。 協助保護使用者免於潛在的網路釣魚詐騙和惡意軟體。 封鎖惡意網站存取 設定為 [是]。 防止使用者略過有關潛在惡意網站的警告。 封鎖未經驗證的檔案下載 設定為 [是]。 防止使用者略過警告並下載未經驗證的檔案。 在 [ 範圍卷標] 索引標籤上 ,如果您的組織使用範圍卷標,請選擇 [+ 選取範圍標籤],然後選取您要使用的標籤。 然後,選擇 [ 下一步]。
若要深入瞭解範圍標籤,請 參閱使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤。
在 [ 指派] 索引標籤 上,指定要接收 Web 保護原則的使用者和裝置,然後選擇 [ 下一步]。
在 [ 檢閱 + 建立] 索引標籤上,檢閱您的原則設定,然後選擇 [ 建立]。
提示
若要深入瞭解 Web 威脅防護,請參閱 保護您的組織免於遭受 Web 威脅。
設定 Web 內容篩選
移至 Microsoft Defender 入口網站並登入。
選擇 設定>端點。
在 [ 規則] 下,選擇 [Web 內容篩選],然後選擇 [ + 新增原則]。
在 [ 新增原則 ] 飛出視窗的 [一 般 ] 索引標籤上,指定您原則的名稱,然後選擇 [ 下一步]。
在 [ 封鎖的類別] 上,選取您要封鎖的一或多個類別,然後選擇 [ 下一步]。
在 [ 範圍] 索引 標籤上,選取您想要接收此原則的裝置群組,然後選擇 [ 下一步]。
在 [ 摘要] 索引 標籤上,檢閱您的原則設定,然後選擇 [ 儲存]。
提示
若要深入瞭解如何設定 Web 內容篩選,請參閱 Web 內容篩選。
網路防火牆
網路防火牆有助於降低網路安全性威脅的風險。 您的安全性小組可以設定規則,以決定允許哪些流量流向組織的裝置或流出您組織的裝置。 建議您使用 Intune 來設定網路防火牆。
::: alt-text=“Intune 入口網站中防火牆原則的螢幕快照。”:::
若要設定基本防火牆設定,請遵循下列步驟:
移至 Intune 系統管理中心,然後登入。
選擇 [端點安全>性防火牆],然後選擇 [ + 建立原則]。
選取平臺,例如 [Windows 10]、[Windows 11] 和 [Windows Server],選取 [Microsoft防火牆配置檔],然後選擇 [建立]。
在 [ 基本] 索引標籤上 ,指定名稱和描述,然後選擇 [ 下一步]。
展開 [防火牆],然後向下捲動至清單底部。
將下列每個設定設為 True:
- 啟用網域網路防火牆
- 啟用專用網防火牆
- 啟用公用網路防火牆
檢閱每個網域網路、專用網和公用網路下的設定清單。 您可以將其設定為 [未設定],或變更它們以符合貴組織的需求。
接著選擇 [下一步]。
在 [ 範圍卷標] 索引標籤上 ,如果您的組織使用範圍卷標,請選擇 [+ 選取範圍標籤],然後選取您要使用的標籤。 然後,選擇 [ 下一步]。
若要深入瞭解範圍標籤,請 參閱使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤。
在 [ 指派] 索引標籤 上,選取 [ 新增所有使用者 ] 和 [+ 新增所有裝置],然後選擇 [ 下一步]。 (您也可以指定特定的使用者或裝置群組。)
在 [ 檢閱 + 建立] 索引標籤上,檢閱您的原則設定,然後選擇 [ 建立]。
提示
防火牆設定很詳細,看起來可能很複雜。 請參閱 設定 Windows Defender 防火牆的最佳做法。
應用程式控制
Windows Defender 應用程控 (WDAC) 僅允許執行信任的應用程式和程式,協助保護您的 Windows 端點。 大部分的組織都使用 WDAC 的階段式部署。 也就是說,大部分組織一開始不會在所有 Windows 端點上推出 WDAC。 事實上,根據組織的 Windows 端點是完全受控、輕量管理還是「攜帶您自己的裝置」端點,您可能會在所有或部分端點上部署 WDAC。
若要協助規劃 WDAC 部署,請參閱下列資源:
後續步驟
現在您已完成設定和設定程式,下一個步驟是開始使用適用於端點的 Defender。
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。