Sdílet prostřednictvím

Onboarding zařízení infrastruktury virtuálních klientských počítačů (VDI) v Microsoft Defender XDR

  • Článek

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Infrastruktura virtuálních klientských počítačů (VDI) je koncept infrastruktury IT, který umožňuje koncovým uživatelům přistupovat k instancím podnikových virtuálních desktopů téměř z libovolného zařízení (například z osobního počítače, smartphonu nebo tabletu), takže organizace nemusí uživatelům poskytovat fyzické počítače. Používání zařízení VDI snižuje náklady, protože IT oddělení už nejsou zodpovědná za správu, opravy a nahrazování fyzických koncových bodů. Autorizovaní uživatelé mají přístup ke stejným firemním serverům, souborům, aplikacím a službám z libovolného schváleného zařízení prostřednictvím zabezpečeného desktopového klienta nebo prohlížeče.

Stejně jako jakýkoli jiný systém v IT prostředí by zařízení VDI měla mít řešení detekce a reakce koncových bodů (EDR) a antivirové řešení pro ochranu před pokročilými hrozbami a útoky.

Poznámka

Trvalé VDI : Onboarding trvalého počítače VDI do Microsoft Defender for Endpoint se zpracovává stejným způsobem jako onboarding fyzického počítače, jako je stolní počítač nebo přenosný počítač. Zásady skupiny, Microsoft Configuration Manager a další metody je možné použít k onboardingu trvalého počítače. Na portálu Microsoft Defender (https://security.microsoft.com) v části onboarding vyberte upřednostňovanou metodu onboardingu a postupujte podle pokynů pro tento typ. Další informace najdete v tématu Onboarding klienta Windows.

Onboarding zařízení v infrastruktuře virtuálních klientských počítačů (VDI)

Defender for Endpoint podporuje trvalou onboardingovou relaci VDI. S onboardingem instancí VDI můžou být spojené problémy. Pro tento scénář jsou typické výzvy:

  • Okamžité včasné onboardingu krátkodobé relace, která se musí před vlastním zřízením onboardovat do Defenderu for Endpoint.

  • Název zařízení se obvykle opakovaně používá pro nové relace.

  • V prostředí VDI můžou mít instance VDI krátkou životnost. Zařízení VDI se můžou na portálu Microsoft Defender zobrazovat buď jako jedna položka pro každou instanci VDI, nebo jako více položek pro každé zařízení.

    • Jedna položka pro každou instanci VDI. Pokud už byla instance VDI nasazená do Microsoft Defender for Endpoint, v určitém okamžiku byla odstraněna a pak znovu vytvořena se stejným názvem hostitele, nový objekt představující tuto instanci VDI se na portálu nevytvoří. V tomto případě musí být stejný název zařízení nakonfigurovaný při vytváření relace, například pomocí bezobslužného souboru odpovědí.

    • Více položek pro každé zařízení – jedna pro každou instanci VDI

Důležité

Pokud nasazujete trvalé VDI prostřednictvím technologie klonování, ujistěte se, že virtuální počítače s interní šablonou nejsou onboardované do Defenderu for Endpoint. Toto doporučení je zabránit tomu, aby se klonované virtuální počítače onboardovaly se stejným senseGuid jako virtuální počítače šablony, což by mohlo bránit tomu, aby se virtuální počítače zobrazovaly jako nové položky v seznamu Zařízení.

Následující kroky vás provedou onboardingem zařízení VDI a zvýrazní kroky pro jednotlivé a více položek.

Upozornění

V prostředích s nízkou konfigurací prostředků může postup spuštění VDI zpomalit onboarding senzoru Defenderu for Endpoint.

Postup připojování

Poznámka

Windows Server 2016 a Windows Server 2012 R2 musí být připraveny tak, že nejprve použijete instalační balíček podle pokynů v tématu Onboarding serverů Windows, aby tato funkce fungovala.

  1. Otevřete soubor konfiguračního balíčku VDI (WindowsDefenderATPOnboardingPackage.zip), který jste stáhli z průvodce onboardingem služby. Balíček můžete získat také z portálu Microsoft Defender.

    1. V navigačním podokně vyberte Nastavení>Koncové body>Onboardingsprávy> zařízení.

    2. Vyberte operační systém.

    3. V poli Metoda nasazení vyberte skripty onboardingu VDI pro trvalé koncové body.

    4. Vyberte Stáhnout balíček a soubor uložte.

  2. Zkopírujte soubory ze WindowsDefenderATPOnboardingPackage složky extrahované z komprimované složky do zlatého nebo primárního obrázku pod cestou C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    • Pokud implementujete více položek pro každé zařízení – jednu pro každou relaci, zkopírujte WindowsDefenderATPOnboardingScript.cmd.

    • Pokud implementujete jednu položku pro každé zařízení, zkopírujte obě položky a Onboard-NonPersistentMachine.ps1WindowsDefenderATPOnboardingScript.cmd.

    Poznámka

    Pokud složku nevidíte C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , může být skrytá. V Průzkumník souborů budete muset zvolit možnost Zobrazit skryté soubory a složky.

  3. Otevřete okno Místní Zásady skupiny Editor a přejděte na Konfigurace> počítačeNastavení> WindowsSkripty>Po spuštění.

    Poznámka

    Doménové Zásady skupiny se dají použít také k onboardingu zařízení VDI, která nejsou trvalá.

  4. V závislosti na metodě, kterou chcete implementovat, postupujte podle příslušných kroků:

    Metoda Kroky
    Jedna položka pro každé zařízení 1. Vyberte kartu Skripty PowerShellu a pak vyberte Přidat (Průzkumník Windows se otevře přímo v cestě, kam jste dříve zkopírovali skript pro připojování).
    2. Přejděte na onboarding skriptu Onboard-NonPersistentMachine.ps1PowerShellu . Druhý soubor není potřeba zadávat, protože se aktivuje automaticky.
    Více položek pro každé zařízení 1. Vyberte kartu Skripty a pak vyberte Přidat (Průzkumník Windows se otevře přímo v cestě, kam jste dříve zkopírovali skript pro připojování).
    2. Přejděte na onboardingový skript WindowsDefenderATPOnboardingScript.cmdBash .

  5. Otestujte řešení pomocí těchto kroků:

    1. Vytvořte fond s jedním zařízením.

    2. Přihlaste se k zařízení.

    3. Odhlaste se na zařízení.

    4. Přihlaste se k zařízení pomocí jiného účtu.

    5. V závislosti na metodě, kterou chcete implementovat, postupujte podle příslušných kroků:

  6. V navigačním podokně vyberte Seznam zařízení.

  7. Pomocí vyhledávací funkce zadejte název zařízení a jako typ hledání vyberte Zařízení .

Pro skladové položky nižší úrovně (Windows Server 2008 R2)

Poznámka

Tyto pokyny platí i pro jiné verze Windows Serveru, pokud používáte předchozí Microsoft Defender for Endpoint pro Windows Server 2016 a Windows Server 2012 R2, které vyžadují MMA. Pokyny k migraci na nové sjednocené řešení najdete v tématu Scénáře migrace serverů v Microsoft Defender for Endpoint.

Následující registr je relevantní pouze v případě, že cílem je dosáhnout jedné položky pro každé zařízení.

  1. Nastavte hodnotu registru následujícím způsobem:

    
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
 "VDI"="NonPersistent"

    Nebo můžete použít příkazový řádek následujícím způsobem:

    
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Postupujte podle procesu onboardingu serveru.

Aktualizace imagí infrastruktury virtuálních klientských počítačů (VDI) (trvalé nebo trvalé)

Díky možnosti snadného nasazování aktualizací do virtuálních počítačů spuštěných ve VDI jsme tuto příručku zkrátili, abychom se zaměřili na to, jak můžete rychle a snadno získávat aktualizace na svých počítačích. Už nemusíte pravidelně vytvářet a zalepovat zlaté image, protože aktualizace se na hostitelském serveru rozbalí do jejich součástí a po zapnutí se stahují přímo do virtuálního počítače.

Pokud jste nasadili primární image prostředí VDI (služba SENSE je spuštěná), musíte před tím, než image znovu vložíte do produkčního prostředí, offboarding a vymazat některá data.

  1. Offboarding zařízení.

  2. Spuštěním následujícího příkazu v okně CMD se ujistěte, že je senzor zastavený:

    
sc query sense

  3. V okně CMD spusťte následující příkazy:

    
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Používáte pro VDI třetí stranu?

Pokud nasazujete trvalá virtuální rozhraní VDI prostřednictvím okamžitého klonování VMware nebo podobných technologií, ujistěte se, že virtuální počítače interní šablony a virtuální počítače repliky nejsou nasazené do služby Defender for Endpoint. Pokud zařízení onboardujete pomocí metody s jednou položkou, můžou mít okamžité klony zřízené z onboardovaných virtuálních počítačů stejný identifikátor senseGuid, který může zabránit tomu, aby se nová položka zobrazovala v zobrazení Inventář zařízení (na portálu Microsoft Defender zvolte Zařízení).>

Pokud se primární image, virtuální počítač šablony nebo virtuální počítač repliky onboardují do Defenderu for Endpoint pomocí metody s jednou položkou, zabrání defenderu for Endpoint ve vytváření položek pro nové trvalé virtuální identifikátory VDI na portálu Microsoft Defender.

Pokud potřebujete další pomoc, obraťte se na dodavatele třetích stran.

Po onboardingu zařízení do služby je důležité využít zahrnuté možnosti ochrany před hrozbami tím, že je povolíte pomocí následujících doporučených nastavení konfigurace.

Konfigurace ochrany nové generace

Doporučuje se nastavení konfigurace na tomto odkazu: Konfigurace Microsoft Defender Antivirové ochrany v prostředí infrastruktury vzdálené plochy nebo virtuálních klientských počítačů.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.