Sdílet prostřednictvím

Konfigurace Microsoft Defender Antivirové ochrany na vzdálené ploše nebo v prostředí infrastruktury virtuálních klientských počítačů

  • Článek

Platí pro:

Platformy

  • Windows

Tento článek je určený jenom pro zákazníky, kteří používají funkce Microsoft Defender Antivirus. Pokud máte Microsoft Defender for Endpoint (která zahrnuje Microsoft Defender Antivirus společně s dalšími funkcemi ochrany zařízení), přečtěte si téma Onboarding non-persistent virtual desktop infrastructure (VDI) zařízení v Microsoft Defender XDR.

Microsoft Defender Antivirus můžete použít ve vzdálené ploše (RDS) nebo v prostředí infrastruktury virtuálních klientských počítačů (VDI). Pomocí pokynů v tomto článku můžete nakonfigurovat aktualizace tak, aby se stahovaly přímo do prostředí Vzdálené plochy nebo VDI, kdykoli se uživatel přihlásí.

Tato příručka popisuje, jak na virtuálních počítačích nakonfigurovat Microsoft Defender Antivirus pro zajištění optimální ochrany a výkonu, včetně následujících:

Důležité

I když je VDI možné hostovat na Windows Server 2012 nebo Windows Server 2016, virtuální počítače by měly mít minimálně Windows 10 verze 1607 kvůli zvýšeným technologiím ochrany a funkcím, které nejsou dostupné v dřívějších verzích Windows.

Nastavení vyhrazené sdílené složky VDI pro analýzu zabezpečení

V Windows 10 verze 1903 společnost Microsoft zavedla funkci sdílených inteligentních informací zabezpečení, která přesměruje rozbalování stažených aktualizací bezpečnostních informací na hostitelský počítač. Tato metoda snižuje využití prostředků procesoru, disku a paměti na jednotlivých počítačích. Sdílené informace o zabezpečení teď fungují na Windows 10 verze 1703 a novějších. Tuto funkci můžete nastavit pomocí Zásady skupiny nebo PowerShellu.

Zásady skupiny

  1. Na počítači pro správu Zásady skupiny otevřete konzolu pro správu Zásady skupiny, klikněte pravým tlačítkem na Zásady skupiny Objekt, který chcete nakonfigurovat, a pak vyberte Upravit.

  2. V Editor správy Zásady skupiny přejděte na Konfigurace počítače.

  3. Vyberte Šablony pro správu. Rozbalte strom na Součásti> systému Windows Microsoft Defender Aktualizace Antivirová analýza>zabezpečení.

  4. Poklikejte na Definovat umístění analýzy zabezpečení pro klienty VDI a pak nastavte možnost na Povoleno. Automaticky se zobrazí pole.

  5. Do pole zadejte \\<File Server shared location\>\wdav-update. (Nápovědu k této hodnotě najdete v tématu Stažení a rozbalení.)

  6. Vyberte OK a pak nasaďte objekt Zásady skupiny na virtuální počítače, které chcete testovat.

PowerShell

  1. Na každém zařízení VpS nebo VDI tuto funkci povolte pomocí následující rutiny:

    Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

  2. Nasdílejte aktualizaci tak, jak byste normálně nasdíleli zásady konfigurace založené na PowerShellu na virtuální počítače. (Viz část Stáhnout a rozbalit v tomto článku. Vyhledejte položku sdíleného umístění .)

Stažení a rozbalení nejnovějších aktualizací

Teď můžete začít stahovat a instalovat nové aktualizace. Tato část obsahuje ukázkový skript PowerShellu, který můžete použít. Tento skript je nejjednodušší způsob, jak stáhnout nové aktualizace a připravit je pro virtuální počítače. Pak byste měli pomocí naplánované úlohy nastavit, aby se skript spouštěl v určitém čase na počítači pro správu. Nebo pokud jste obeznámeni s používáním skriptů PowerShellu v Azure, Intune nebo Configuration Manager, můžete místo nich použít tyto skripty.


$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Naplánovanou úlohu můžete nastavit tak, aby se spouštěla jednou denně, aby při každém stažení a rozbalení balíčku obdržely virtuální počítače novou aktualizaci. Doporučujeme začít s jednou denně, ale měli byste experimentovat se zvýšením nebo snížením četnosti, abyste porozuměli dopadu.

Balíčky bezpečnostních informací se obvykle publikují jednou za tři až čtyři hodiny. Nastavení frekvence kratší než čtyři hodiny se nedoporučuje, protože se tím bez výhod zvyšuje síťová režie na počítači pro správu.

Můžete také nastavit jeden server nebo počítač tak, aby aktualizace načítá jménem virtuálních počítačů v intervalu a umístil je do sdílené složky, aby je bylo možné používat. Tato konfigurace je možná v případě, že zařízení mají ke sdílené složce přístup ke sdílení a čtení (oprávnění NTFS), aby mohly aktualizace získat. Chcete-li nastavit tuto konfiguraci, postupujte takto:

  1. Vytvořte sdílenou složku SMB/CIFS.

  2. Pomocí následujícího příkladu vytvořte sdílenou složku s následujícími oprávněními ke sdílené složce.

    
PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Poznámka

    Přidá se oprávnění NTFS pro Authenticated Users:Read:.

    V tomto příkladu je \\FileServer.fqdn\mdatp$\wdav-updatesdílená složka .

Nastavení naplánované úlohy pro spuštění skriptu PowerShellu

  1. Na počítači pro správu otevřete nabídku Start a zadejte Task Scheduler. Ve výsledcích vyberte Plánovač úloh a pak na bočním panelu vyberte Vytvořit úlohu .

  2. Zadejte název jako Security intelligence unpacker.

  3. Na kartě Aktivační událost vyberte Nový...>Denně a vyberte OK.

  4. Na kartě Akce vyberte Nový....

  5. Zadejte PowerShell do pole Program/Skript .

  6. Do pole Přidat argumenty zadejte -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1a pak vyberte OK.

  7. Podle potřeby nakonfigurujte všechna další nastavení.

  8. Výběrem OK naplánovanou úlohu uložte.

Pokud chcete aktualizaci spustit ručně, klikněte pravým tlačítkem myši na úlohu a pak vyberte Spustit.

Ruční stažení a rozbalení

Pokud chcete, aby se všechno dělalo ručně, tady je postup replikace chování skriptu:

  1. V kořenovém adresáři systému vytvořte novou složku s názvem pro wdav_update ukládání aktualizací inteligentních funkcí. Vytvořte například složku c:\wdav_update.

  2. Vytvořte podsložku wdav_update s názvem GUID, například {00000000-0000-0000-0000-000000000000}

    Tady je příklad: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Poznámka

    Skript nastavíme tak, aby posledních 12 číslic GUID bylo rok, měsíc, den a čas stažení souboru, aby se pokaždé vytvořila nová složka. Můžete to změnit tak, aby se soubor pokaždé stáhl do stejné složky.

  3. Stáhněte si balíček bezpečnostních informací z https://www.microsoft.com/wdsi/definitions do složky GUID. Soubor by měl mít název mpam-fe.exe.

  4. Otevřete okno příkazového řádku a přejděte do složky GUID, kterou jste vytvořili. /X K extrahování souborů použijte příkaz extrakce. Například mpam-fe.exe /X.

    Poznámka

    Virtuální počítače aktualizovaný balíček převezmou vždy, když se vytvoří nová složka GUID s extrahovaným balíčkem aktualizace nebo když se stávající složka aktualizuje novým extrahovaným balíčkem.

nastavení konfigurace antivirové ochrany Microsoft Defender

Je důležité využít zahrnuté možnosti ochrany před internetovými útoky tím, že je povolíte pomocí následujících doporučených nastavení konfigurace.  Je optimalizovaný pro prostředí VDI.

Tip

Nejnovější šablony pro správu zásad skupiny pro Windows jsou k dispozici v tématu Vytvoření a správa centrálního úložiště.

Kořen

  • Konfigurace detekce potenciálně nežádoucích aplikací: Enabled - Block

  • Konfigurace chování při slučování místních správců pro seznamy: Disabled

  • Určete, jestli budou vyloučení viditelná pro místní správce: Enabled

  • Vypněte rutinní nápravu: Disabled

  • Náhodné plánované kontroly: Enabled

Klientské rozhraní

  • Povolte bezhlavý režim uživatelského rozhraní: Enabled

    Poznámka

    Tato zásada skryje celé uživatelské rozhraní Microsoft Defender Antivirové ochrany před koncovými uživateli ve vaší organizaci.

  • Potlačit všechna oznámení: Enabled

Poznámka

Někdy se Microsoft Defender antivirová oznámení odesílají do více relací nebo se v některých relacích uchovávají. Abyste se vyhnuli nejasnostem uživatelů, můžete uživatelské rozhraní antivirové ochrany Microsoft Defender uzamknout. Potlačování oznámení zabrání zobrazení oznámení z Microsoft Defender Antivirové ochrany při provádění kontrol nebo nápravných akcí. Pokud se ale zjistí a zastaví útok, uvidí váš tým pro operace zabezpečení výsledky kontroly. Upozornění, například upozornění na počáteční přístup, se vygenerují a zobrazí se na portálu Microsoft Defender.

MAPY

  • Připojte se k Microsoft MAPS (zapněte cloudovou ochranu): Enabled - Advanced MAPS

  • Pokud je potřeba provést další analýzu, odešlete ukázky souborů: Send all samples (more secure) nebo Send safe sample (less secure)

MPEngine

  • Konfigurace rozšířené kontroly cloudu: 20

  • Vyberte úroveň ochrany cloudu: Enabled - High

  • Povolit funkci výpočtu hodnoty hash souboru: Enabled

Poznámka

Povolení funkce výpočtu hodnoty hash souboru je potřeba jenom v případě, že používáte indikátory – hodnotu hash souboru.  Může to způsobit vyšší využití procesoru, protože aby se získala hodnota hash souboru, musí analyzovat každý binární soubor na disku.

Ochrana v reálném čase

  • Konfigurace monitorování příchozí a odchozí aktivity souborů a programů: Enabled – bi-directional (full on-access)

  • Monitorování aktivity souborů a programů v počítači: Enabled

  • Kontrola všech stažených souborů a příloh: Enabled

  • Zapněte monitorování chování: Enabled

  • Kdykoli je povolená ochrana v reálném čase, zapněte kontrolu procesů: Enabled

  • Zapněte nezpracovaná oznámení o zápisu svazku: Enabled

Skenuje

  • Před spuštěním naplánované kontroly zkontrolujte nejnovější informace o zabezpečení virů a spywaru: Enabled

  • Prohledat archivní soubory: Enabled

  • Kontrola síťových souborů: Not configured

  • Kontrola sbalených spustitelných souborů: Enabled

  • Kontrola vyměnitelných jednotek: Enabled

  • Zapněte úplnou kontrolu pro dochytávání (zakázat úplnou kontrolu pro dochytování): Not configured

  • Zapněte rychlou kontrolu pro dochytávání (zakázat rychlé prohledávání pro dochytávání): Not configured

    Poznámka

    Pokud chcete posílit zabezpečení, můžete změnit možnost Zapnout rychlou kontrolu pro dohánění na povolenou, což vám pomůže, když jsou virtuální počítače offline a zmeškáte dvě nebo více po sobě jdoucích plánovaných kontrol.  Ale vzhledem k tomu, že probíhá naplánovaná kontrola, bude využívat další procesor.

  • Zapněte kontrolu e-mailů: Enabled

  • Zapněte heuristika: Enabled

  • Zapněte prohledávání spojovacích bodů: Enabled

Obecná nastavení naplánované kontroly

  • Nakonfigurujte nízkou prioritu procesoru pro plánované kontroly (pro plánované kontroly použijte nízkou prioritu procesoru): Not configured

  • Zadejte maximální procento využití procesoru během kontroly (limit využití procesoru na kontrolu): 50

  • Naplánovanou kontrolu spusťte pouze v případech, kdy je počítač zapnutý, ale nepoužívá se (ScanOnlyIfIdle): Not configured

  • Pomocí následující rutiny můžete zastavit rychlou nebo naplánovanou kontrolu vždy, když je zařízení v pasivním režimu nečinné.

    
Set-MpPreference -ScanOnlyIfIdleEnabled $false

Tip

Nastavení "Spustit naplánovanou kontrolu pouze v případě, že je počítač zapnutý, ale nepoužívá se" zabraňuje významným kolizím procesoru v prostředích s vysokou hustotou.

Denní rychlá kontrola

  • Zadejte interval pro spouštění rychlých kontrol za den: Not configured

  • Zadejte čas pro denní rychlou kontrolu (spusťte denní rychlou kontrolu na adrese): 12 PM

Spuštění týdenní naplánované kontroly (rychlé nebo úplné)

  • Zadejte typ kontroly, který se má použít pro naplánovanou kontrolu (typ kontroly): Not configured

  • Zadejte denní dobu spuštění naplánované kontroly (den v týdnu pro spuštění naplánované kontroly): Not configured

  • Zadejte den v týdnu, kdy se má spustit naplánovaná kontrola (denní doba spuštění naplánované kontroly): Not configured

Aktualizace security intelligence

  • Zapnout kontrolu po aktualizaci bezpečnostních informací (zakázat kontroly po aktualizaci): Disabled

    Poznámka

    Zakázání kontroly po aktualizaci bezpečnostních informací zabrání provedení kontroly po přijetí aktualizace. Toto nastavení můžete použít při vytváření základní image, pokud jste také spustili rychlou kontrolu. Tímto způsobem můžete zabránit tomu, aby nově aktualizovaný virtuální počítač znovu provedl kontrolu (protože jste ho už naskenovali při vytváření základní image).

    Důležité

    Spouštění kontrol po aktualizaci pomáhá zajistit, aby virtuální počítače byly chráněné nejnovějšími aktualizacemi bezpečnostních informací. Zakázáním této možnosti se sníží úroveň ochrany virtuálních počítačů a měla by se použít jenom při prvním vytvoření nebo nasazení základní image.

  • Zadejte interval pro kontrolu aktualizací bezpečnostních funkcí (zadejte, jak často se mají aktualizace bezpečnostních funkcí kontrolovat): Enabled - 8

  • Ponechte ostatní nastavení ve výchozím stavu.

Hrozby

  • Zadejte úrovně upozornění na hrozby, na kterých by se při zjištění neměla provést výchozí akce: Enabled

  • Nastavte Severe (5), High (4), Medium (2)a Low (1) vše na Quarantine (2)hodnotu , jak je znázorněno v následující tabulce:

    Název hodnoty Hodnota
    1 (Nízká) 2
    2 (Střední) 2
    4 (Vysoká) 2
    5 (Závažná) 2

Pravidla pro omezení potenciální oblasti útoku

Nakonfigurujte všechna dostupná pravidla pro .Audit

Povolení ochrany sítě

Zabránění uživatelům a aplikacím v přístupu k nebezpečným webům (Povolení ochrany sítě): Enabled - Audit mode.

SmartScreen pro Microsoft Edge

  • Vyžadovat filtr SmartScreen pro Microsoft Edge: Yes

  • Blokovat škodlivý přístup k webu: Yes

  • Blokovat stahování neověřených souborů: Yes

Spuštění naplánované úlohy údržby mezipaměti v programu Windows Defender

Optimalizujte naplánovanou úlohu Údržba mezipaměti v programu Windows Defender pro trvalá nebo trvalá prostředí VDI. Před zapečetěním spusťte tuto úlohu na hlavní imagi.

  1. Otevřete konzolu MMC plánovače úloh (taskschd.msc).

  2. RozbalteKnihovna> plánovače úlohMicrosoft> Windows >Windows Defender a potom klikněte pravým tlačítkem na Údržba mezipaměti v programu Windows Defender.

  3. Vyberte Spustit a nechte naplánovanou úlohu dokončit.

    Upozornění

    Pokud to neuděláte, může to způsobit vyšší využití procesoru, když je úloha údržby mezipaměti spuštěná na jednotlivých virtuálních počítačích.

Povolení ochrany před falšováním

Pokud chcete zabránit zakázání Microsoft Defender Antivirové ochrany na portálu Microsoft Defender, povolte ochranu před falšováním.

Vyloučení

Pokud si myslíte, že potřebujete přidat vyloučení, přečtěte si téma Správa vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus.

Další krok

Pokud také nasazujete detekci a odezvu koncových bodů (EDR) na virtuální počítače VDI se systémem Windows, přečtěte si téma Onboarding non-persistent virtual desktop infrastructure (VDI) zařízení v Microsoft Defender XDR.

Viz také

Pokud hledáte informace o defenderu for Endpoint na platformách jiných než Windows, projděte si následující zdroje informací:

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.