Defender for Endpoint
Gan gynnwys sut i ddefnyddio Defender for Endpoint ar ddyfeisiau Windows, hysbysiadau a pholisïau.
- Rhan o
Mae Defender for Endpoint yn rhan o Windows 10 ac 11 ac yn cyfuno â gwasanaeth cwmwl cadarn Microsoft i brosesu arwyddion ymddygiadol o’r system weithredu gan adrodd yn ôl i’r enghraifft cwmwl o Defender for Endpoint.
Mae cynefino dyfeisiau a reolir gan Hwb â Defender for Endpoint Microsoft yn galluogi i awdurdodau lleol ac ysgolion ddefnyddio’r enghraifft cwmwl o Defender for Endpoint i reoli diogelwch cyffredinol y dyfeisiau.
Defnyddir rheoli mynediad ar sail rôl i roi mynediad dirprwyedig llawn i reoli diogelwch dyfeisiau trwy Intune a phorth Defender for Endpoint.
Trwy’r porth Defender for Endpoint, gellir rheoli gwendidau, diffygion, argymhellion ac adferiadau ar gyfer eich dyfeisiau, a’r cyfan ar y cyd â pholisïau diogelwch sydd wedi’u pennu yn Intune.
Defender for Endpoint ar ddyfeisiau Windows
Cynefino ar gyfer dyfeisiau Windows
Er mwyn cychwyn y broses o gynefino dyfeisiau, llywiwch i Defender for Endpoint i lawrlwytho’r smotyn cynefino:
- Llywiwch a mewngofnodwch i security.microsoft.com
- Ewch i Settings > Endpoints > Onboarding.
- Dewiswch y system weithredu i ddechrau’r broses gynefino:
- Dewiswch Windows 10 ac 11 o’r gwymplen.
- O dan y dull gweithredu, dewiswch 'Mobile Device Management/Microsoft Intune'.
- Cliciwch ar 'Download Onboarding Package' a’i gadw’n lleol.
Proffil cynefino Intune ar gyfer dyfeisiau Windows (gofynnol)
Yn Intune, crëwch y proffil ffurfweddu dyfais polisi adnabod ac ymateb Endpoint er mwyn cynefino dyfeisiau Windows.
Ewch i Intune > Endpoint Security > Endpoint detection and response > Create Policy:
- Platform: Dewiswch 'Windows 10, Windows 11 and Windows Server'.
- Profile: Dewiswch 'Endpoint detection and response'.
- Name: Rhowch enw addas a disgrifiad i’r polisi yn unol â’ch confensiwn enwi > cliciwch 'Next'.
- Dewiswch 'Onboard' o’r gwymplen ar gyfer y math o becyn.
- Gludwch y smotyn cynefino o’r sip a lawrlwythwyd yn flaenorol i’r maes testun 'Onboarding (Devices)'.
- Dewiswch eich opsiwn ar gyfer 'Sample Sharing a Telemetry Reporting Frequency'.
- Ewch ati i gwmpasu’r polisi i’ch sefydliad â thagiau cwmpas priodol.
- Neilltuwch y polisi i’ch dyfeisiau.
Tagio’ch dyfeisiau Windows yn barod ar gyfer Defender for Endpoint (gofynnol)
Er mwyn i’ch dyfeisiau ymddangos yn Defender for Endpoint, rhaid tagio’ch dyfeisiau yn gyntaf. Yn Intune, tagiwch ddyfais Windows 10 neu 11 gydag ID yr Ysgol neu’r Awdurdod Lleol (AL). Dim ond gydag un tag y gellir tagio dyfeisiau, dylid cymhwyso’r polisi hwn i ddyfeisiau yn unig.
- Crëwch broffil ffurfweddu dyfais personol.
- Llwyfan Windows 10 a diweddarach.
- Gosodwch y gosodiadau ffurfweddu fel a ganlyn:
- Name: Device Tagging.
- OMA-URI: ./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/DeviceTagging/Group.
- Data type: String
- Value: {school id} er enghraifft ‘6xxxxxx’ NEU {AL id} er enghraifft ‘6xx’.
Pwysig: Ar gyfer Value, defnyddiwch rif id llawn yr ysgol os dymunwch i staff TG yn yr ysgol reoli diogelwch y ddyfais, os bydd diogelwch y ddyfais yn cael ei reoli’n ganolog gan yr ALl yna gallwch ddefnyddio dynodwr yr ALl, er enghraifft ‘6xx’
- Neilltuwch i grŵp dyfeisiau.
Gweld eich dyfeisiau yn Defender for Endpoint
Yn ddiofyn bydd gan weinyddwyr Intune yr awdurdod lleol, unwaith y bydd dyfeisiau wedi’u cynefino, fynediad at Defender for Endpoint i weld y dyfeisiau sydd wedi’u cynefino.
Gall dyfeisiau wedi’u cynefino, ar ôl iddynt gael eu tagio’n gywir â’r cod ALl, gymryd hyd at 24 awr i ymddangos yng ngrŵp dyfeisiau yr awdurdod lleol. Rhaid i’r ddyfais fod yn actif ac wedi siarad yn ôl â’r gwasanaeth cwmwl Defender for Endpoint.
Rhaid anfon cais at cymorth@hwbcymru.net os dymuna awdurdodau lleol ddirprwyo’r mynediad hwn i weinyddwyr Intune yn yr ysgolion.
Ffurfweddu hysbysiadau ar gyfer rhybuddion (gofynnol)
Yn Defender, ewch ati i ffurfweddu rheol hysbysiadau rhybuddion Defender for Endpoint:
- Llywiwch a mewngofnodwch i security.microsoft.com
- Ewch i Settings > Endpoints > Email notifications.
- Dewiswch '+ Add notification rule'.
- Ffurfweddwch osodiadau hysbysiadau ar gyfer eich anghenion.
- Dewiswch y grŵp dyfeisiau “6XX – {AL enw} Defender Devices”.
- Ffurfweddwch ddifrifoldeb y rhybudd i gael gwybod amdano a chliciwch ar 'Next'.
- Rhowch y cyfeiriad e-bost sydd angen derbyn y rhybudd a chliciwch ar 'Next' i adolygu a chyflwyno.
Ffurfweddu hysbysiadau ar gyfer digwyddiadau (gofynnol)
Yn Defender, ffurfweddwch y rheol hysbysiadau digwyddiad Defender for Endpoint:
- Llywiwch a mewngofnodwch i security.microsoft.com
- Ewch i Settings > Microsoft Defender XDR > Email notifications.
- Dewiswch '+ Add incident notification rule'.
- Ffurfweddwch osodiadau hysbysiad ar gyfer eich anghenion.
- Dewiswch y grŵp dyfeisiau “6XX – {AL enw} Defender Devices”.
- Ffurfweddwch ddifrifoldeb y rhybudd i gael gwybod amdano a chliciwch ar 'Next'.
- Nodwch y cyfeiriad e-bost sydd angen derbyn yr hysbysiad a chliciwch ar Next i adolygu a chyflwyno.
Intune a Defender for Endpoint
Argymhellir bod gweinyddwyr diogelwch a rheoli dyfeisiau yn defnyddio polisïau diogelwch Endpoint Intune i reoli gosodiadau diogelwch ar ddyfeisiau. Mae pob polisi diogelwch Endpoint yn cefnogi un proffil neu fwy. Mae’r proffiliau hyn yn debyg yn eu cysyniad i dempled polisi ffurfweddu dyfais, grŵp rhesymegol o osodiadau cysylltiedig.
Am ragor o fanylion, ewch i safle Microsoft Learn am arweiniad ar reoli diogelwch Endpoint.
Ffurfweddu polisi gwrth-firws ar gyfer Windows a macOS (gofynnol)
Mae’r polisi gwrth-firws yn gydran allweddol o Defender for Endpoint ac mae’n ofynnol ar gyfer dyfeisiau a reolir.
I ffurfweddu, ewch i Intune > Endpoint Security > Anti-virus > Create Policy > Windows 10, Windows 11, and Windows Server > Microsoft Defender Anti-virus.
Mae’r polisi enghreifftiol hwn wedi’i seilio ar argymhellion gan Microsoft a gweithwyr proffesiynol Diogelwch.
Er ei fod yn cael ei argymell, rhaid ystyried yn ofalus sut y gallai pob gosodiad effeithio ar y system yn lleol, ewch ati i ffurfweddu ar sail eich anghenion a’ch gofynion lleol eich hun.
Lle bo’n bosibl, dylid profi ar ychydig o ddyfeisiau dethol a rhedeg y gosodiadau yn y modd archwilio cyn rhoi’r cyfan ar waith.
Defender Policy CSP: Windows Client Management | Microsoft Learn
Recommended anti-virus policy
Gosodiadau | Gwerth |
Allow Archive Scanning | Allowed. Scans the archive files. |
Allow Behavior Monitoring | Allowed. Turns on real-time behaviour monitoring. |
Allow Cloud Protection | Allowed. Turns on Cloud Protection. |
Allow Email Scanning | Allowed. Turns on email scanning. |
Allow Full Scan On Mapped Network Drives | Not configured |
Allow Full Scan Removable Drive Scanning | Allowed. Scans removable drives. |
[Deprecated] Allow Intrusion Prevention System | Allowed. |
Allow scanning of all downloaded files and attachments | Allowed. |
Allow Realtime Monitoring | Allowed. Turns on and runs the real-time monitoring service. |
Allow Scanning Network Files | Not configured |
Allow Script Scanning | Allowed. |
Allow User UI Access | Not configured |
Avg CPU Load Factor | Not configured – Default 50% |
Check For Signatures Before Running Scan | Enabled |
Cloud Block Level | High |
Cloud Extended Timeout | Configured – 50 seconds |
Days To Retain Cleaned Malware | Not configured |
Disable Catchup Full Scan | Not configured |
Disable Catchup Quick Scan | Not configured |
Enable Low CPU Priority | Not configured |
Enable Network Protection | Enabled (block mode) |
Excluded Extensions | Not configured |
Excluded Paths | Not configured |
Excluded Processes | Not configured |
PUA Protection | PUA Protection on. Detected items are blocked. They will show in history along with other threats. |
Real Time Scan Direction | Monitor all files (bi-directional). |
Scan Parameter | Quick scan |
Schedule Quick Scan Time | Configured |
Schedule Scan Day | Every day |
Schedule Scan Time | Not configured |
Signature Update Fallback Order | Configured |
Signature Update File Shares Sources | Not configured |
Signature Update Interval | Configured |
Submit Samples Consent | Send safe samples automatically. |
Disable Local Admin Merge | Not configured |
Allow On Access Protection | Allowed. |
Remediation action for Severe threats | Quarantine. Moves files to quarantine. |
Remediation action for Moderate severity threats | Quarantine. Moves files to quarantine. |
Remediation action for Low severity threats | Quarantine. Moves files to quarantine. |
Remediation action for High severity threats | Quarantine. Moves files to quarantine. |
Allow Network Protection Down Level | Not configured |
Allow Datagram Processing On Win Server | Not configured |
Disable Dns Over Tcp Parsing | Not configured |
Disable Http Parsing | Not configured |
Disable Ssh Parsing | Not configured |
Disable Tls Parsing | Not configured |
Enable Dns Sinkhole | Not configured |
Engine Updates Channel | Staged |
Metered Connection Updates | Not configured |
Platform Updates Channel | Not configured |
Security Intelligence Updates Channel | Not configured |
Attack surface reduction ar gyfer Windows yn unig (argymhellir)
I ffurfweddu, ewch i Intune > Endpoint Security > Attack surface reduction > Create Policy > Windows 10, Windows 11, and Windows Server > Attack surface reduction rules.
Yn Intune, ffurfweddwch Attack Surface Reduction (ASR) gan ystyried yr effaith a’r gofynion yn lleol:
- Gosodwch yr holl osodiadau ffurfweddu yn y modd archwilio ac adolygwch nhw yn Defender for Endpoint cyn eu galluogi. Mae’n bwysig eich bod chi’n deall rheolau ASR cyn rhoi hyn ar waith. Dilynwch arweiniad Microsoft ar sut i ddefnyddio rheolau ASR ar gyfer eich dyfeisiau.
Use attack surface reduction rules to prevent malware infection | Microsoft Learn
Cymorth ac arweiniad Microsoft
Edrychwch ar gymorth ac arweiniad Microsoft cyn gweithredu’r polisïau a argymhellir.