Del via


Konfigurer Microsoft Defender Antivirus på et fjernskrivebord eller et virtuelt skrivebordsinfrastrukturmiljø

Gælder for:

Platforme

  • Windows

Denne artikel er kun beregnet til kunder, der kun bruger Microsoft Defender Antivirus-funktioner. Hvis du har Microsoft Defender for Endpoint (hvilket omfatter Microsoft Defender Antivirus sammen med andre funktioner til enhedsbeskyttelse), skal du se Onboard-VDI-enheder (ikke-vedvarende virtuel skrivebordsinfrastruktur) i Microsoft Defender XDR.

Du kan bruge Microsoft Defender Antivirus i et RDS- (Remote Desktop) eller et VDI-miljø (ikke-persistent virtual desktop infrastructure). Ved hjælp af vejledningen i denne artikel kan du konfigurere opdateringer til at downloade direkte til dine RDS- eller VDI-miljøer, når en bruger logger på.

I denne vejledning beskrives det, hvordan du konfigurerer Microsoft Defender Antivirus på dine VM'er for at opnå optimal beskyttelse og ydeevne, herunder hvordan du:

Vigtigt!

Selvom en VDI kan hostes på Windows Server 2012 eller Windows Server 2016, skal virtuelle maskiner (VM'er) som minimum køre Windows 10 version 1607 på grund af øgede beskyttelsesteknologier og funktioner, der ikke er tilgængelige i tidligere versioner af Windows.

Konfigurer et dedikeret VDI-filshare til sikkerhedsintelligens

I Windows 10 version 1903 introducerede Microsoft funktionen til delt sikkerhedsintelligens, som fjerner udpakningen af downloadede sikkerhedsintelligensopdateringer på en værtscomputer. Denne metode reducerer brugen af CPU-, disk- og hukommelsesressourcer på individuelle maskiner. Delt sikkerhedsintelligens fungerer nu på Windows 10, version 1703 og nyere. Du kan konfigurere denne funktion ved hjælp af Gruppepolitik eller PowerShell.

Gruppepolitik

  1. Åbn administrationskonsollen Gruppepolitik på din Gruppepolitik, højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg derefter Rediger.

  2. I Gruppepolitik Management-Editor skal du gå til Computerkonfiguration.

  3. Vælg Administrative skabeloner. Udvid træet til Windows-komponenter>Microsoft Defender Antivirus>Security Intelligence-Opdateringer.

  4. Dobbeltklik på Definer placering af sikkerhedsintelligens for VDI-klienter, og angiv derefter indstillingen til Aktiveret. Der vises automatisk et felt.

  5. I feltet skal du skrive \\<File Server shared location\>\wdav-update. (Se Download og pak ud for at få hjælp til denne værdi).

  6. Vælg OK, og udrul derefter det Gruppepolitik objekt til de VM'er, du vil teste.

PowerShell

  1. På hver RDS- eller VDI-enhed skal du bruge følgende cmdlet til at aktivere funktionen:

    Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

  2. Push opdateringen, som du normalt ville overføre PowerShell-baserede konfigurationspolitikker til dine VM'er. (Se afsnittet Download og udpakning i denne artikel. Søg efter posten for den delte placering .)

Download og pak de seneste opdateringer ud

Nu kan du komme i gang med at downloade og installere nye opdateringer. Dette afsnit indeholder et eksempel på et PowerShell-script, som du kan bruge. Dette script er den nemmeste måde at downloade nye opdateringer på og gøre dem klar til dine VM'er. Du skal derefter indstille scriptet til at køre på et bestemt tidspunkt på administrationscomputeren ved hjælp af en planlagt opgave. Eller hvis du kender PowerShell-scripts i Azure, Intune eller Configuration Manager, kan du bruge disse scripts i stedet.


$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Du kan angive, at en planlagt opgave skal køre én gang om dagen, så VM'erne modtager den nye opdatering, når pakken downloades og pakkes ud. Vi foreslår, at du starter med én gang om dagen, men du bør eksperimentere med at øge eller mindske hyppigheden for at forstå virkningen.

Sikkerhedsintelligenspakker udgives typisk hver tredje til fire timer. Det anbefales ikke at angive en frekvens, der er kortere end fire timer, da det ikke er nogen fordel for netværksbelastningen på din administrationsmaskine.

Du kan også konfigurere din enkeltserver eller computer til at hente opdateringerne på vegne af VM'erne med et interval og placere dem i filsharet til forbrug. Denne konfiguration er mulig, når enhederne har delings- og læseadgang (NTFS-tilladelser) til delingen, så de kan hente opdateringerne. Følg disse trin for at konfigurere denne konfiguration:

  1. Opret et SMB/CIFS-filshare.

  2. Brug følgende eksempel til at oprette et filshare med følgende delingstilladelser.

    
    PS c:\> Get-SmbShareAccess -Name mdatp$
    
    Name   ScopeName AccountName AccessControlType AccessRight
    ----   --------- ----------- ----------------- -----------
    mdatp$ *         Everyone    Allow             Read
    
    

    Bemærk!

    Der tilføjes en NTFS-tilladelse for Godkendte brugere:Læs:.

    I dette eksempel er \\FileServer.fqdn\mdatp$\wdav-updatefilsharet .

Angiv en planlagt opgave for at køre PowerShell-scriptet

  1. Åbn menuen Start på administrationscomputeren, og skriv Task Scheduler. Vælg Opgavestyring i resultaterne, og vælg derefter Opret opgave... i sidepanelet.

  2. Angiv navnet som Security intelligence unpacker.

  3. På fanen Udløser skal du vælge Ny...>Dagligt, og vælg OK.

  4. På fanen Handlinger skal du vælge Ny....

  5. Angiv PowerShell i feltet Program/Script .

  6. I feltet Tilføj argumenter skal du skrive -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1og derefter vælge OK.

  7. Konfigurer alle andre indstillinger efter behov.

  8. Vælg OK for at gemme den planlagte opgave.

Hvis du vil starte opdateringen manuelt, skal du højreklikke på opgaven og derefter vælge Kør.

Download og pak ud manuelt

Hvis du foretrækker at gøre alt manuelt, skal du gøre følgende for at replikere scriptets funktionsmåde:

  1. Opret en ny mappe på systemroden, der kaldes wdav_update til lagring af intelligensopdateringer. Opret f.eks. mappen c:\wdav_update.

  2. Opret en undermappe under wdav_update med et GUID-navn, f.eks. {00000000-0000-0000-0000-000000000000}

    Her er et eksempel: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Bemærk!

    Vi angiver scriptet, så de sidste 12 cifre i GUID'et er det år, den måned, den dag og det klokkeslæt, hvor filen blev downloadet, så der oprettes en ny mappe hver gang. Du kan ændre dette, så filen downloades til den samme mappe hver gang.

  3. Download en security intelligence-pakke fra https://www.microsoft.com/wdsi/definitions til GUID-mappen. Filen skal navngives mpam-fe.exe.

  4. Åbn et kommandopromptvindue, og naviger til den GUID-mappe, du har oprettet. Brug kommandoen /X extraction til at pakke filerne ud. For eksempel mpam-fe.exe /X.

    Bemærk!

    VM'erne henter den opdaterede pakke, når der oprettes en ny GUID-mappe med en udpakket opdateringspakke, eller når en eksisterende mappe opdateres med en ny pakke, der er udpakket.

konfigurationsindstillinger for Microsoft Defender Antivirus

Det er vigtigt at drage fordel af de inkluderede funktioner til trusselsbeskyttelse ved at aktivere dem med følgende anbefalede konfigurationsindstillinger.  Den er optimeret til VDI-miljøer.

Tip

De nyeste administrative skabeloner til Windows-gruppepolitikken er tilgængelige i Opret og administrer Central Store.

Rod

  • Konfigurer registrering for potentielt uønskede programmer: Enabled - Block

  • Konfigurer funktionsmåden for fletning af lokale administratorer for lister: Disabled

  • Kontrollér, om udeladelser skal være synlige for lokale administratorer: Enabled

  • Deaktiver rutinemæssig afhjælpning: Disabled

  • Randomiser planlagte scanninger: Enabled

Klientgrænseflade

  • Aktivér hovedløs brugergrænsefladetilstand: Enabled

    Bemærk!

    Denne politik skjuler hele brugergrænsefladen Microsoft Defender Antivirus fra slutbrugere i din organisation.

  • Skjul alle meddelelser: Enabled

Bemærk!

Nogle gange sendes Microsoft Defender Antivirus-meddelelser til eller bevares på tværs af flere sessioner. Du kan undgå bruger forvirring ved at låse brugergrænsefladen Microsoft Defender Antivirus. Undertrykkelse af meddelelser forhindrer, at meddelelser fra Microsoft Defender Antivirus vises, når der udføres scanninger, eller der udføres afhjælpningshandlinger. Sikkerhedsteamet kan dog se resultaterne af en scanning, hvis et angreb registreres og stoppes. Beskeder, f.eks. en indledende adgangsbesked, genereres og vises på Microsoft Defender portalen.

KORT

  • Deltag i Microsoft MAPS (slå skybaseret beskyttelse til): Enabled - Advanced MAPS

  • Send fileksempler, når der kræves yderligere analyse: Send all samples (more secure) eller Send safe sample (less secure)

MPEngine

  • Konfigurer udvidet cloudkontrol: 20

  • Vælg skybeskyttelsesniveau: Enabled - High

  • Aktivér funktionen til beregning af filhash: Enabled

Bemærk!

"Aktivér funktionen til beregning af filhash" er kun nødvendig, hvis du bruger indikatorer – filhash.  Det kan medføre en højere mængde CPU-udnyttelse, da det skal analyseres gennem hver binære fil på disken for at hente filhashen.

Beskyttelse i realtid

  • Konfigurer overvågning for indgående og udgående fil- og programaktivitet: Enabled – bi-directional (full on-access)

  • Overvåg fil- og programaktivitet på computeren: Enabled

  • Scan alle downloadede filer og vedhæftede filer: Enabled

  • Slå overvågning af funktionsmåde til: Enabled

  • Slå processcanning til, når beskyttelse i realtid er aktiveret: Enabled

  • Slå rå meddelelser om skrivning af diskenhed til: Enabled

Scanninger

  • Kontrollér, om der er den nyeste virus- og spyware-sikkerhedsintelligens, før du kører en planlagt scanning: Enabled

  • Scan arkivfiler: Enabled

  • Scan netværksfiler: Not configured

  • Scan pakkede eksekverbare filer: Enabled

  • Scan flytbare drev: Enabled

  • Slå fuld søgning efter indhentede oplysninger til (deaktiver fuld indfangning): Not configured

  • Slå hurtig søgning efter indhentede oplysninger til (deaktiver hurtig scanning efter opfangning): Not configured

    Bemærk!

    Hvis du vil hærde, kan du ændre "Slå hurtig scanning til" til aktiveret, hvilket hjælper, når VM'er har været offline, og har overset to eller flere planlagte scanninger efter hinanden.  Men da den kører en planlagt scanning, bruger den yderligere CPU.

  • Slå mailscanning til: Enabled

  • Slå heuristik til: Enabled

  • Slå genfortolkning af punktscanning til: Enabled

Generelle indstillinger for planlagt scanning

  • Konfigurer lav CPU-prioritet for planlagte scanninger (Brug lav CPU-prioritet for planlagte scanninger): Not configured

  • Angiv den maksimale procentdel af CPU-forbruget under en scanning (grænse for CPU-forbrug pr. scanning): 50

  • Start kun den planlagte scanning, når computeren er tændt, men ikke i brug (ScanOnlyIfIdle): Not configured

  • Brug følgende cmdlet til at stoppe en hurtig eller planlagt scanning, når enheden går inaktiv, hvis den er i passiv tilstand.

    
    Set-MpPreference -ScanOnlyIfIdleEnabled $false
    
    

Tip

Indstillingen "Start kun den planlagte scanning, når computeren er tændt, men ikke i brug", forhindrer betydelig CPU-strid i miljøer med høj tæthed.

Daglig hurtig scanning

  • Angiv intervallet for hurtig scanning pr. dag: Not configured

  • Angiv tidspunktet for en daglig hurtigsøgning (kør daglig hurtigscanning på): 12 PM

Kør en ugentlig planlagt scanning (hurtig eller fuld)

  • Angiv den scanningstype, der skal bruges til en planlagt scanning (scanningstype): Not configured

  • Angiv det tidspunkt på dagen, hvor en planlagt scanning skal køres (dag i ugen for at køre planlagt scanning): Not configured

  • Angiv den ugedag, hvor en planlagt scanning skal køres (tidspunkt på dagen til kørsel af en planlagt scanning): Not configured

Security Intelligence-Opdateringer

  • Slå scanning til efter sikkerhedsintelligensopdatering (deaktiver scanninger efter en opdatering): Disabled

    Bemærk!

    Deaktivering af en scanning efter en sikkerhedsintelligensopdatering forhindrer, at der foretages en scanning efter modtagelse af en opdatering. Du kan anvende denne indstilling, når du opretter basisbilledet, hvis du også har kørt en hurtig scanning. På denne måde kan du forhindre den nyopdaterede VM i at udføre en scanning igen (som du allerede har scannet den, da du oprettede basisbilledet).

    Vigtigt!

    Kørsel af scanninger efter en opdatering hjælper med at sikre, at dine VM'er er beskyttet med de nyeste sikkerhedsintelligensopdateringer. Hvis du deaktiverer denne indstilling, reduceres beskyttelsesniveauet for dine VM'er, og den bør kun bruges, første gang du opretter eller installerer basisafbildningen.

  • Angiv det interval, der skal kontrolleres for sikkerhedsintelligensopdateringer (angiv, hvor ofte der skal søges efter sikkerhedsintelligensopdateringer): Enabled - 8

  • Lad andre indstillinger være i standardtilstand

Trusler

  • Angiv niveauer for trusselsbeskeder, hvor standardhandlingen ikke skal udføres, når den registreres: Enabled

  • Angiv Severe (5), High (4), Medium (2)og Low (1) alle til Quarantine (2), som vist i følgende tabel:

    Værdinavn Værdi
    1 (Lav) 2
    2 (Mellem) 2
    4 (Høj) 2
    5 (Svær) 2

Regler for reduktion af angrebsoverflade

Konfigurer alle tilgængelige regler til Audit.

Aktivér netværksbeskyttelse

Forhindre brugere og apps i at få adgang til farlige websteder (aktivér netværksbeskyttelse): Enabled - Audit mode.

SmartScreen til Microsoft Edge

  • Kræv SmartScreen til Microsoft Edge: Yes

  • Bloker adgang til skadeligt websted: Yes

  • Bloker ikke-bekræftet fildownload: Yes

Kør den planlagte opgave til vedligeholdelse af Windows Defender-cache

Optimer den planlagte opgave "Windows Defender Cache Maintenance" for ikke-faste og/eller faste VDI-miljøer. Kør denne opgave på hovedbilledet, før du forsegling.

  1. Åbn Mmc for Opgavestyring (taskschd.msc).

  2. Udvid Opgavestyringsbibliotek>Microsoft>Windows>Defender, og højreklik derefter på Vedligeholdelse af Windows Defender-cache.

  3. Vælg Kør, og lad den planlagte opgave slutte.

    Advarsel

    Hvis du ikke gør dette, kan det medføre højere CPU-udnyttelse, mens cachevedligeholdelsesopgaven kører på hver af VM'erne.

Aktivér beskyttelse mod ændring

Aktivér beskyttelse mod ændring for at forhindre, at Microsoft Defender Antivirus deaktiveres på Microsoft Defender-portalen.

Udeladelser

Hvis du mener, at du har brug for at tilføje udeladelser, skal du se Administrer udeladelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus.

Næste trin

Hvis du også udruller slutpunktsregistrering og -svar (EDR) til dine Windows-baserede VDI-VM'er, skal du se Onboard non-persistent virtual desktop infrastructure (VDI)-enheder i Microsoft Defender XDR.

Se også

Hvis du leder efter oplysninger om Defender for Endpoint på ikke-Windows-platforme, skal du se følgende ressourcer:

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.