Microsoft Defender dla Biznesu – konfiguracja krok po kroku

Czym jest Microsoft Defender dla Biznesu i co oferuje?

Microsoft Defender dla Biznesu (ang. Microsoft Defender for Business, w skrócie MDB) to platforma ochrony punktów końcowych klasy EDR (Endpoint Detection and Response), zaprojektowana specjalnie dla małych i średnich przedsiębiorstw zatrudniających do 300 pracowników. W odróżnieniu od wbudowanego Windows Defender – który oferuje jedynie podstawową ochronę antywirusową – MDB dostarcza narzędzi porównywalnych z rozwiązaniami stosowanymi w dużych korporacjach.

Co konkretnie wchodzi w skład MDB?

• Antywirus nowej generacji (NGAV) – ochrona w czasie rzeczywistym oparta na chmurze i uczeniu maszynowym.
• EDR (Endpoint Detection and Response) – wykrywanie zaawansowanych zagrożeń, które omijają tradycyjne antywirusy.
• Automatyczne badanie i reagowanie (AIR) – system sam analizuje podejrzane zdarzenia i proponuje lub wdraża działania naprawcze.
• Redukcja powierzchni ataku (ASR) – reguły blokujące typowe wektory ataków, np. złośliwe makra w pakiecie Office czy skrypty PowerShell.
• Zarządzanie podatnościami – ciągły wgląd w niezałatane luki w systemach i aplikacjach firmy.
• Filtrowanie treści webowych – blokowanie dostępu do niebezpiecznych lub nieproduktywnych kategorii stron.

Wszystkim zarządza się z jednego portalu: security.microsoft.com, bez potrzeby instalacji dodatkowego serwera czy lokalnej konsoli administracyjnej.

Licencje i wymagania – co potrzebujesz przed startem

Zanim przejdziesz do konfiguracji, upewnij się, że posiadasz odpowiednią licencję i spełniasz wymagania techniczne.

Dostępność licencyjna:

• Microsoft 365 Business Premium – MDB jest wbudowany w tę subskrypcję. Jeśli Twoja firma już z niej korzysta, nie ponosisz dodatkowych kosztów.
• MDB Standalone – samodzielna subskrypcja dostępna w cenie około 3 USD miesięcznie za użytkownika, idealna gdy nie potrzebujesz całego pakietu Business Premium.
• Microsoft 365 Business Basic / Apps for Business – te plany nie zawierają MDB; wymagana jest aktualizacja do Business Premium lub zakup licencji standalone.

Wymagania techniczne:

• System operacyjny: Windows 10 lub 11 w wersji Professional lub wyższej (wersja Home nie jest obsługiwana przez MDB).
• Urządzenia muszą być dołączone do Azure AD lub hybrydowo do lokalnego AD i Azure AD.
• Dostęp administratora globalnego lub administratora zabezpieczeń do centrum administracyjnego Microsoft 365.
• Dla komputerów Apple: macOS w wersji 11 (Big Sur) lub nowszej.

Wskazówka NovaSys: Przed wdrożeniem przeprowadź inwentaryzację urządzeń firmowych. Wiele firm odkrywa dopiero w tym momencie, że część sprzętu działa na Windows 10 Home – i wymaga aktualizacji licencji systemowej przed objęciem ochroną MDB.

Aktywacja portalu Defender – pierwsze logowanie i kreator konfiguracji

Gdy masz już odpowiednią licencję, możesz przystąpić do uruchomienia MDB. Proces jest prowadzony przez intuicyjny kreator konfiguracji.

1. Zaloguj się do portalu Microsoft Defender pod adresem security.microsoft.com jako administrator globalny lub administrator zabezpieczeń Microsoft 365.
2. Uruchom kreator konfiguracji – przy pierwszym wejściu system automatycznie zaproponuje kreatora (Setup wizard). Kliknij Get started, by kontynuować.
3. Skonfiguruj ustawienia powiadomień – wskaż adresy e-mail, na które mają trafiać alerty bezpieczeństwa. Zalecamy podanie adresu administratora IT oraz właściciela firmy lub osoby odpowiedzialnej za bezpieczeństwo.
4. Przypisz role administracyjne – nadaj rolę Security Administrator osobom zarządzającym bezpieczeństwem i Security Reader tym, którzy mają mieć jedynie podgląd raportów i alertów.
5. Ustaw strefę czasową – wybierz Europe/Warsaw. Poprawna strefa czasowa jest kluczowa dla prawidłowego znacznikowania czasu incydentów i korelacji zdarzeń.
6. Zastosuj uproszczoną konfigurację – MDB oferuje tryb Simplified configuration, który wdraża ustawienia rekomendowane przez Microsoft dla MŚP. Dla większości firm to doskonały punkt startowy, który możesz doprecyzować później.

Po zakończeniu kreatora portal Defender jest gotowy do przyjmowania urządzeń pracowników.

Onboarding urządzeń – jak dodać komputery pracowników do ochrony

Sercem MDB jest zarządzanie urządzeniami końcowymi. Onboarding, czyli dołączenie komputerów do ochrony, można przeprowadzić na kilka sposobów – wybierz ten, który najlepiej pasuje do infrastruktury Twojej firmy.

Metoda 1: Przez Microsoft Intune (zalecana)

Jeśli korzystasz z Microsoft 365 Business Premium, Intune jest już aktywny w Twojej subskrypcji. Wystarczy:

1. W portalu Defender przejdź do Settings → Endpoints → Device management → Onboarding.
2. Wybierz Mobile Device Management / Microsoft Intune i kliknij Onboard.
3. Urządzenia dołączone do Azure AD zostaną automatycznie zarejestrowane w MDB w ciągu kilku godzin bez żadnej interwencji na komputerach pracowników.

Metoda 2: Lokalny skrypt (szybki onboarding dla małych firm)

1. W portalu przejdź do Settings → Endpoints → Onboarding.
2. Wybierz Local Script i pobierz plik .cmd.
3. Uruchom skrypt z uprawnieniami administratora na każdym komputerze – możesz użyć logon script lub GPO, by zautomatyzować ten krok.

Metoda 3: Przez zasady grupy (GPO)

Odpowiednia dla firm z lokalnym Active Directory. Pobierz pakiet onboardingowy z portalu Defender i wdróż go przez GPO – urządzenia zarejestrują się automatycznie przy kolejnym starcie systemu lub logowaniu użytkownika.

Po dołączeniu urządzenia pojawią się w sekcji Assets → Devices w portalu, zazwyczaj w ciągu 5–30 minut od onboardingu.

Kluczowe polityki bezpieczeństwa – co skonfigurować w pierwszej kolejności

Sam onboarding urządzeń to dopiero początek. Kluczem do skutecznej ochrony jest właściwa konfiguracja polityk bezpieczeństwa. Oto najważniejsze ustawienia, które powinieneś przejrzeć i dostosować do potrzeb swojej firmy.

1. Polityki antywirusa nowej generacji

Przejdź do Endpoints → Configuration management → Endpoint security policies → Antivirus. Upewnij się, że włączona jest ochrona w chmurze (Cloud Protection Level) oraz automatyczne przesyłanie próbek podejrzanych plików. Ustaw poziom ochrony na High.

2. Reguły redukcji powierzchni ataku (ASR Rules)

Reguły ASR blokują typowe wektory ataku zanim złośliwy kod zdąży uruchomić się w pamięci. Dla MŚP zalecamy włączenie co najmniej:

• Blokowanie wykonywania skryptów z pobranych plików pakietu Office.
• Blokowanie tworzenia procesów potomnych przez Adobe Reader i inne aplikacje biurowe.
• Ochrona procesu LSASS przed kradzieżą danych uwierzytelniających (ochrona przed narzędziami typu mimikatz).

Ważne: Zacznij od trybu Audit (monitorowanie bez blokowania) i obserwuj przez 2 tygodnie, co byłoby blokowane – a dopiero potem przełącz reguły w tryb Block. Pominięcie tego kroku grozi zablokowaniem legalnych procesów biznesowych.

3. Filtrowanie treści webowych

W sekcji Settings → Endpoints → Web content filtering zdefiniuj kategorie stron do blokowania – hazard, anonimizatory proxy czy złośliwe oprogramowanie. Funkcja działa bez dodatkowego agenta, przez Microsoft Defender SmartScreen wbudowany w Edge i inne przeglądarki.

4. Centralnie zarządzany Windows Firewall

Skonfiguruj polityki zapory sieciowej z poziomu portalu Defender (Endpoint security → Firewall). Dzięki temu masz pewność, że żaden pracownik nie wyłączy ochrony na swoim komputerze bez wiedzy administratora.

Monitorowanie alertów i zarządzanie podatnościami na co dzień

Po wdrożeniu polityk portal Defender staje się Twoim centrum bezpieczeństwa. Oto na co zwracać uwagę regularnie, by ochrona działała skutecznie.

Dashboard i alerty

Główny pulpit (Home) pokazuje aktywne incydenty, stan urządzeń i wynik bezpieczeństwa (Secure Score). Codziennie sprawdzaj sekcję Incidents & alerts – system grupuje powiązane zdarzenia w incydenty, co znacznie ułatwia priorytetyzację i zrozumienie zakresu potencjalnego ataku.

Vulnerability Management – zarządzanie podatnościami

W sekcji Vulnerability management → Dashboard znajdziesz listę podatności wykrytych na urządzeniach firmowych, posortowanych według rzeczywistego ryzyka dla Twojej organizacji. MDB automatycznie wskazuje, które aktualizacje i poprawki należy zainstalować w pierwszej kolejności, a integracja z Windows Update for Business pozwala priorytetyzować łatki bezpośrednio z portalu.

Action Center – automatyczne reagowanie na incydenty

W sekcji Action center przeglądaj działania podjęte automatycznie przez system (np. izolacja zainfekowanego urządzenia, usunięcie złośliwego pliku) oraz te oczekujące na Twoją akceptację. Pamiętaj: zatwierdzaj lub odrzucaj oczekujące działania co najmniej raz dziennie – niezatwierdzone akcje mogą opóźniać neutralizację zagrożenia.

Microsoft Secure Score – wskaźnik dojrzałości bezpieczeństwa

Secure Score to liczbowy wskaźnik ogólnego poziomu bezpieczeństwa Twojej organizacji. Portal wskazuje konkretne rekomendacje poprawy – traktuj je jako listę zadań dla administratora IT. Docelowo warto dążyć do wyniku powyżej 70%.

Pamiętaj: MDB to narzędzie, które działa najlepiej, gdy ktoś regularnie sprawdza alerty i reaguje na incydenty. Jeśli Twoja firma nie ma dedykowanego administratora IT – rozważ outsourcing monitorowania do wyspecjalizowanego dostawcy usług bezpieczeństwa.