Del via

Onboarde VDI-enheder (virtual desktop infrastructure) i Microsoft Defender XDR

  • Artikel

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

VDI (Virtual Desktop Infrastructure) er et koncept for it-infrastruktur, der gør det muligt for slutbrugere at få adgang til virtuelle virksomhedsskriveborde fra næsten alle enheder (f.eks. din personlige computer, smartphone eller tablet), hvilket fjerner behovet for, at organisationen giver brugerne fysiske maskiner. Brug af VDI-enheder reducerer omkostningerne, da it-afdelinger ikke længere er ansvarlige for at administrere, reparere og erstatte fysiske slutpunkter. Godkendte brugere kan få adgang til de samme virksomhedsservere, filer, apps og tjenester fra alle godkendte enheder via en sikker skrivebordsklient eller -browser.

Som ethvert andet system i et it-miljø skal VDI-enheder have en EDR-løsning (endpoint detection and response) og en antivirusløsning for at beskytte mod avancerede trusler og angreb.

Bemærk!

Faste VDI'er – Onboarding af en vedvarende VDI-maskine i Microsoft Defender for Endpoint håndteres på samme måde, som du ville onboarde en fysisk maskine, f.eks. en stationær eller bærbar computer. Gruppepolitik, Microsoft Configuration Manager og andre metoder kan bruges til at onboarde en vedvarende maskine. På Microsoft Defender-portalen (https://security.microsoft.com) under onboarding skal du vælge din foretrukne onboardingmetode og følge vejledningen for den pågældende type. Du kan få flere oplysninger under Onboarding Windows-klient.

Onboarding af VDI-enheder (Virtual Desktop Infrastructure), der ikke er vedvarende

Defender for Endpoint understøtter onboarding af en VDI-session, der ikke er vedvarende. Der kan være tilknyttede udfordringer, når du onboarder VDI-instanser. Følgende er typiske udfordringer i dette scenarie:

  • Øjeblikkelig tidlig onboarding af en kortlevet session, som skal onboardes til Defender for Endpoint før den faktiske klargøring.

  • Enhedsnavnet genbruges typisk til nye sessioner.

  • I et VDI-miljø kan VDI-forekomster have korte levetider. VDI-enheder kan vises på Microsoft Defender portalen som enten enkelte poster for hver VDI-forekomst eller flere poster for hver enhed.

    • Enkelt post for hver VDI-forekomst. Hvis VDI-forekomsten allerede er onboardet til Microsoft Defender for Endpoint og på et tidspunkt slettet og derefter gendannet med det samme værtsnavn, oprettes der IKKE et nyt objekt, der repræsenterer denne VDI-forekomst, på portalen. I dette tilfælde skal det samme enhedsnavn konfigureres, når sessionen oprettes, f.eks. ved hjælp af en automatisk svarfil.

    • Flere poster for hver enhed – én for hver VDI-forekomst.

Vigtigt!

Hvis du udruller ikke-vedvarende VM'er via kloningsteknologi, skal du sørge for, at dine interne skabelon-VM'er ikke er onboardet til Defender for Endpoint. Denne anbefaling er at undgå, at klonede VM'er onboardes med den samme senseGuid som dine skabelon-VM'er, hvilket kan forhindre VM'er i at blive vist som nye poster på listen Enheder.

Følgende trin fører dig gennem onboarding af VDI-enheder og fremhæver trin for enkelte og flere poster.

Advarsel

I miljøer, hvor der er konfigurationer med få ressourcer, kan VDI-startproceduren gøre onboarding af Defender for Endpoint-sensoren langsommere.

Onboardingtrin

Bemærk!

Windows Server 2016 og Windows Server 2012 R2 skal forberedes ved først at anvende installationspakken ved hjælp af vejledningen i Onboard Windows-servere, for at denne funktion fungerer.

  1. Åbn den VDI-konfigurationspakkefil (WindowsDefenderATPOnboardingPackage.zip), du har downloadet fra guiden til onboarding af tjenesten. Du kan også hente pakken fra Microsoft Defender-portalen.

    1. I navigationsruden skal du vælge Indstillinger>Endpoints>Onboarding til enhedshåndtering>.

    2. Vælg operativsystemet.

    3. I feltet Installationsmetode skal du vælge VDI-onboardingscripts for ikke-faste slutpunkter.

    4. Vælg Download pakke , og gem filen.

  2. Kopiér filerne fra den mappe, WindowsDefenderATPOnboardingPackage der er udpakket fra den zippede mappe, til det gyldne/primære billede under stien C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    • Hvis du implementerer flere poster for hver enhed – én for hver session, skal du kopiere WindowsDefenderATPOnboardingScript.cmd.

    • Hvis du implementerer en enkelt post for hver enhed, skal du kopiere både Onboard-NonPersistentMachine.ps1 og WindowsDefenderATPOnboardingScript.cmd.

    Bemærk!

    Hvis du ikke kan se mappen C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , kan den være skjult. Du skal vælge indstillingen Vis skjulte filer og mapper fra Stifinder.

  3. Åbn vinduet Lokal Gruppepolitik Editor, og naviger til Computerkonfiguration>Windows-indstillinger Scripts>>Start.

    Bemærk!

    Domæne Gruppepolitik kan også bruges til onboarding af ikke-faste VDI-enheder.

  4. Afhængigt af den metode, du vil implementere, skal du følge de relevante trin:

    Metode Trin
    Enkelt post for hver enhed 1. Vælg fanen PowerShell-scripts , og vælg derefter Tilføj (Windows Stifinder åbnes direkte i den sti, hvor du kopierede onboardingscriptet tidligere).
    2. Naviger til onboarding af PowerShell-script .Onboard-NonPersistentMachine.ps1 Det er ikke nødvendigt at angive den anden fil, da den udløses automatisk.
    Flere poster for hver enhed 1. Vælg fanen Scripts , og vælg derefter Tilføj (Windows Stifinder åbnes direkte i den sti, hvor du kopierede onboardingscriptet tidligere).
    2. Naviger til onboarding-bash-scriptet WindowsDefenderATPOnboardingScript.cmd.

  5. Test din løsning ved at følge disse trin:

    1. Opret en pulje med én enhed.

    2. Log på enheden.

    3. Log af på enheden.

    4. Log på enheden ved hjælp af en anden konto.

    5. Afhængigt af den metode, du vil implementere, skal du følge de relevante trin:

  6. Vælg Listen Enheder i navigationsruden.

  7. Brug søgefunktionen ved at angive enhedsnavnet, og vælg Enhed som søgetype.

For SKU'er på et lavere niveau (Windows Server 2008 R2)

Bemærk!

Disse instruktioner til andre Windows-serverversioner gælder også, hvis du kører den tidligere Microsoft Defender for Endpoint til Windows Server 2016 og Windows Server 2012 R2, der kræver MMA. Instruktioner til migrering til den nye samlede løsning finder du i Server migrationsscenarier i Microsoft Defender for Endpoint.

Følgende registreringsdatabase er kun relevant, når målet er at opnå en enkelt post for hver enhed.

  1. Angiv registreringsdatabaseværdien på følgende måde:

    
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
 "VDI"="NonPersistent"

    Eller du kan bruge kommandolinjen på følgende måde:

    
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Følg processen til onboarding af serveren.

Opdaterer VDI-billeder (virtuel skrivebordsinfrastruktur) (vedvarende eller ikke-vedvarende)

Med muligheden for nemt at udrulle opdateringer til VM'er, der kører i VM'er, har vi forkortet denne vejledning for at fokusere på, hvordan du hurtigt og nemt kan få opdateringer på dine maskiner. Du behøver ikke længere at oprette og forsegle gyldne billeder regelmæssigt, da opdateringer udvides til deres komponentbits på værtsserveren og derefter downloades direkte til vm'en, når den er slået til.

Hvis du har onboardet det primære billede af dit VDI-miljø (SENSE-tjenesten kører), skal du offboard og rydde nogle data, før du sætter billedet i produktion igen.

  1. På maskinen.

  2. Kontrollér, at sensoren stoppes ved at køre følgende kommando i et CMD-vindue:

    
sc query sense

  3. Kør følgende kommandoer i et CMD-vindue::

    
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Bruger du en tredjepart til VM'er?

Hvis du udruller ikke-vedvarende VM'er via øjeblikkelig kloning af VMware eller lignende teknologier, skal du sørge for, at dine interne skabelon-VM'er og replika-VM'er ikke er onboardet til Defender for Endpoint. Hvis du onboarder enheder ved hjælp af metoden med en enkelt post, kan øjeblikkelige kloner, der klargøres fra onboardede VM'er, have samme senseGuid, og det kan forhindre, at en ny post vises i visningen Enhedslager (på portalen Microsoft Defender skal du vælge Aktiver>enheder).

Hvis enten det primære billede, den virtuelle skabelon eller replikaen VM er onboardet til Defender for Endpoint ved hjælp af metoden med en enkelt indtastning, stopper den Defender for Endpoint fra at oprette poster til nye ikke-faste VM'er på Microsoft Defender portalen.

Kontakt tredjepartsleverandørerne for at få yderligere hjælp.

Når du har onboardet enheder til tjenesten, er det vigtigt at drage fordel af de inkluderede trusselsbeskyttelsesfunktioner ved at aktivere dem med følgende anbefalede konfigurationsindstillinger.

Næste generation af konfiguration af beskyttelse

Konfigurationsindstillingerne i dette link anbefales: Konfigurer Microsoft Defender Antivirus på et fjernskrivebord eller et virtuelt skrivebordsinfrastrukturmiljø.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.