Konfigurer Microsoft Defender Antivirus på et fjernskrivebord eller et virtuelt skrivebordsinfrastrukturmiljø
Gælder for:
- Microsoft Defender Antivirus
- Defender for Endpoint Plan 1
- Defender for Endpoint Plan 2
Platforme
- Windows
Denne artikel er kun beregnet til kunder, der kun bruger Microsoft Defender Antivirus-funktioner. Hvis du har Microsoft Defender for Endpoint (hvilket omfatter Microsoft Defender Antivirus sammen med andre funktioner til enhedsbeskyttelse), skal du se Onboard-VDI-enheder (ikke-vedvarende virtuel skrivebordsinfrastruktur) i Microsoft Defender XDR.
Du kan bruge Microsoft Defender Antivirus i et RDS- (Remote Desktop) eller et VDI-miljø (ikke-persistent virtual desktop infrastructure). Ved hjælp af vejledningen i denne artikel kan du konfigurere opdateringer til at downloade direkte til dine RDS- eller VDI-miljøer, når en bruger logger på.
I denne vejledning beskrives det, hvordan du konfigurerer Microsoft Defender Antivirus på dine VM'er for at opnå optimal beskyttelse og ydeevne, herunder hvordan du:
- Konfigurer et dedikeret VDI-filshare til sikkerhedsintelligensopdateringer
- Download og pak de seneste opdateringer ud
- Konfigurer indstillingerne for Microsoft Defender Antivirus
- Kør den planlagte opgave til vedligeholdelse af Windows Defender-cache
Vigtigt!
Selvom en VDI kan hostes på Windows Server 2012 eller Windows Server 2016, skal virtuelle maskiner (VM'er) som minimum køre Windows 10 version 1607 på grund af øgede beskyttelsesteknologier og funktioner, der ikke er tilgængelige i tidligere versioner af Windows.
Konfigurer et dedikeret VDI-filshare til sikkerhedsintelligens
I Windows 10 version 1903 introducerede Microsoft funktionen til delt sikkerhedsintelligens, som fjerner udpakningen af downloadede sikkerhedsintelligensopdateringer på en værtscomputer. Denne metode reducerer brugen af CPU-, disk- og hukommelsesressourcer på individuelle maskiner. Delt sikkerhedsintelligens fungerer nu på Windows 10, version 1703 og nyere. Du kan konfigurere denne funktion ved hjælp af Gruppepolitik eller PowerShell.
Gruppepolitik
Åbn administrationskonsollen Gruppepolitik på din Gruppepolitik, højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg derefter Rediger.
I Gruppepolitik Management-Editor skal du gå til Computerkonfiguration.
Vælg Administrative skabeloner. Udvid træet til Windows-komponenter>Microsoft Defender Antivirus>Security Intelligence-Opdateringer.
Dobbeltklik på Definer placering af sikkerhedsintelligens for VDI-klienter, og angiv derefter indstillingen til Aktiveret. Der vises automatisk et felt.
I feltet skal du skrive
\\<File Server shared location\>\wdav-update
. (Se Download og pak ud for at få hjælp til denne værdi).Vælg OK, og udrul derefter det Gruppepolitik objekt til de VM'er, du vil teste.
PowerShell
På hver RDS- eller VDI-enhed skal du bruge følgende cmdlet til at aktivere funktionen:
Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update
Push opdateringen, som du normalt ville overføre PowerShell-baserede konfigurationspolitikker til dine VM'er. (Se afsnittet Download og udpakning i denne artikel. Søg efter posten for den delte placering .)
Download og pak de seneste opdateringer ud
Nu kan du komme i gang med at downloade og installere nye opdateringer. Dette afsnit indeholder et eksempel på et PowerShell-script, som du kan bruge. Dette script er den nemmeste måde at downloade nye opdateringer på og gøre dem klar til dine VM'er. Du skal derefter indstille scriptet til at køre på et bestemt tidspunkt på administrationscomputeren ved hjælp af en planlagt opgave. Eller hvis du kender PowerShell-scripts i Azure, Intune eller Configuration Manager, kan du bruge disse scripts i stedet.
$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'
New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage
Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"
Du kan angive, at en planlagt opgave skal køre én gang om dagen, så VM'erne modtager den nye opdatering, når pakken downloades og pakkes ud. Vi foreslår, at du starter med én gang om dagen, men du bør eksperimentere med at øge eller mindske hyppigheden for at forstå virkningen.
Sikkerhedsintelligenspakker udgives typisk hver tredje til fire timer. Det anbefales ikke at angive en frekvens, der er kortere end fire timer, da det ikke er nogen fordel for netværksbelastningen på din administrationsmaskine.
Du kan også konfigurere din enkeltserver eller computer til at hente opdateringerne på vegne af VM'erne med et interval og placere dem i filsharet til forbrug. Denne konfiguration er mulig, når enhederne har delings- og læseadgang (NTFS-tilladelser) til delingen, så de kan hente opdateringerne. Følg disse trin for at konfigurere denne konfiguration:
Opret et SMB/CIFS-filshare.
Brug følgende eksempel til at oprette et filshare med følgende delingstilladelser.
PS c:\> Get-SmbShareAccess -Name mdatp$ Name ScopeName AccountName AccessControlType AccessRight ---- --------- ----------- ----------------- ----------- mdatp$ * Everyone Allow Read
Bemærk!
Der tilføjes en NTFS-tilladelse for Godkendte brugere:Læs:.
I dette eksempel er
\\FileServer.fqdn\mdatp$\wdav-update
filsharet .
Angiv en planlagt opgave for at køre PowerShell-scriptet
Åbn menuen Start på administrationscomputeren, og skriv
Task Scheduler
. Vælg Opgavestyring i resultaterne, og vælg derefter Opret opgave... i sidepanelet.Angiv navnet som
Security intelligence unpacker
.På fanen Udløser skal du vælge Ny...>Dagligt, og vælg OK.
På fanen Handlinger skal du vælge Ny....
Angiv
PowerShell
i feltet Program/Script .I feltet Tilføj argumenter skal du skrive
-ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1
og derefter vælge OK.Konfigurer alle andre indstillinger efter behov.
Vælg OK for at gemme den planlagte opgave.
Hvis du vil starte opdateringen manuelt, skal du højreklikke på opgaven og derefter vælge Kør.
Download og pak ud manuelt
Hvis du foretrækker at gøre alt manuelt, skal du gøre følgende for at replikere scriptets funktionsmåde:
Opret en ny mappe på systemroden, der kaldes
wdav_update
til lagring af intelligensopdateringer. Opret f.eks. mappenc:\wdav_update
.Opret en undermappe under
wdav_update
med et GUID-navn, f.eks.{00000000-0000-0000-0000-000000000000}
Her er et eksempel:
c:\wdav_update\{00000000-0000-0000-0000-000000000000}
Bemærk!
Vi angiver scriptet, så de sidste 12 cifre i GUID'et er det år, den måned, den dag og det klokkeslæt, hvor filen blev downloadet, så der oprettes en ny mappe hver gang. Du kan ændre dette, så filen downloades til den samme mappe hver gang.
Download en security intelligence-pakke fra https://www.microsoft.com/wdsi/definitions til GUID-mappen. Filen skal navngives
mpam-fe.exe
.Åbn et kommandopromptvindue, og naviger til den GUID-mappe, du har oprettet. Brug kommandoen
/X
extraction til at pakke filerne ud. For eksempelmpam-fe.exe /X
.Bemærk!
VM'erne henter den opdaterede pakke, når der oprettes en ny GUID-mappe med en udpakket opdateringspakke, eller når en eksisterende mappe opdateres med en ny pakke, der er udpakket.
konfigurationsindstillinger for Microsoft Defender Antivirus
Det er vigtigt at drage fordel af de inkluderede funktioner til trusselsbeskyttelse ved at aktivere dem med følgende anbefalede konfigurationsindstillinger. Den er optimeret til VDI-miljøer.
Tip
De nyeste administrative skabeloner til Windows-gruppepolitikken er tilgængelige i Opret og administrer Central Store.
Rod
Konfigurer registrering for potentielt uønskede programmer:
Enabled - Block
Konfigurer funktionsmåden for fletning af lokale administratorer for lister:
Disabled
Kontrollér, om udeladelser skal være synlige for lokale administratorer:
Enabled
Deaktiver rutinemæssig afhjælpning:
Disabled
Randomiser planlagte scanninger:
Enabled
Klientgrænseflade
Aktivér hovedløs brugergrænsefladetilstand:
Enabled
Bemærk!
Denne politik skjuler hele brugergrænsefladen Microsoft Defender Antivirus fra slutbrugere i din organisation.
Skjul alle meddelelser:
Enabled
Bemærk!
Nogle gange sendes Microsoft Defender Antivirus-meddelelser til eller bevares på tværs af flere sessioner. Du kan undgå bruger forvirring ved at låse brugergrænsefladen Microsoft Defender Antivirus. Undertrykkelse af meddelelser forhindrer, at meddelelser fra Microsoft Defender Antivirus vises, når der udføres scanninger, eller der udføres afhjælpningshandlinger. Sikkerhedsteamet kan dog se resultaterne af en scanning, hvis et angreb registreres og stoppes. Beskeder, f.eks. en indledende adgangsbesked, genereres og vises på Microsoft Defender portalen.
KORT
Deltag i Microsoft MAPS (slå skybaseret beskyttelse til):
Enabled - Advanced MAPS
Send fileksempler, når der kræves yderligere analyse:
Send all samples (more secure)
ellerSend safe sample (less secure)
MPEngine
Konfigurer udvidet cloudkontrol:
20
Vælg skybeskyttelsesniveau:
Enabled - High
Aktivér funktionen til beregning af filhash:
Enabled
Bemærk!
"Aktivér funktionen til beregning af filhash" er kun nødvendig, hvis du bruger indikatorer – filhash. Det kan medføre en højere mængde CPU-udnyttelse, da det skal analyseres gennem hver binære fil på disken for at hente filhashen.
Beskyttelse i realtid
Konfigurer overvågning for indgående og udgående fil- og programaktivitet:
Enabled – bi-directional (full on-access)
Overvåg fil- og programaktivitet på computeren:
Enabled
Scan alle downloadede filer og vedhæftede filer:
Enabled
Slå overvågning af funktionsmåde til:
Enabled
Slå processcanning til, når beskyttelse i realtid er aktiveret:
Enabled
Slå rå meddelelser om skrivning af diskenhed til:
Enabled
Scanninger
Kontrollér, om der er den nyeste virus- og spyware-sikkerhedsintelligens, før du kører en planlagt scanning:
Enabled
Scan arkivfiler:
Enabled
Scan netværksfiler:
Not configured
Scan pakkede eksekverbare filer:
Enabled
Scan flytbare drev:
Enabled
Slå fuld søgning efter indhentede oplysninger til (deaktiver fuld indfangning):
Not configured
Slå hurtig søgning efter indhentede oplysninger til (deaktiver hurtig scanning efter opfangning):
Not configured
Bemærk!
Hvis du vil hærde, kan du ændre "Slå hurtig scanning til" til aktiveret, hvilket hjælper, når VM'er har været offline, og har overset to eller flere planlagte scanninger efter hinanden. Men da den kører en planlagt scanning, bruger den yderligere CPU.
Slå mailscanning til:
Enabled
Slå heuristik til:
Enabled
Slå genfortolkning af punktscanning til:
Enabled
Generelle indstillinger for planlagt scanning
Konfigurer lav CPU-prioritet for planlagte scanninger (Brug lav CPU-prioritet for planlagte scanninger):
Not configured
Angiv den maksimale procentdel af CPU-forbruget under en scanning (grænse for CPU-forbrug pr. scanning):
50
Start kun den planlagte scanning, når computeren er tændt, men ikke i brug (ScanOnlyIfIdle):
Not configured
Brug følgende cmdlet til at stoppe en hurtig eller planlagt scanning, når enheden går inaktiv, hvis den er i passiv tilstand.
Set-MpPreference -ScanOnlyIfIdleEnabled $false
Tip
Indstillingen "Start kun den planlagte scanning, når computeren er tændt, men ikke i brug", forhindrer betydelig CPU-strid i miljøer med høj tæthed.
Daglig hurtig scanning
Angiv intervallet for hurtig scanning pr. dag:
Not configured
Angiv tidspunktet for en daglig hurtigsøgning (kør daglig hurtigscanning på):
12 PM
Kør en ugentlig planlagt scanning (hurtig eller fuld)
Angiv den scanningstype, der skal bruges til en planlagt scanning (scanningstype):
Not configured
Angiv det tidspunkt på dagen, hvor en planlagt scanning skal køres (dag i ugen for at køre planlagt scanning):
Not configured
Angiv den ugedag, hvor en planlagt scanning skal køres (tidspunkt på dagen til kørsel af en planlagt scanning):
Not configured
Security Intelligence-Opdateringer
Slå scanning til efter sikkerhedsintelligensopdatering (deaktiver scanninger efter en opdatering):
Disabled
Bemærk!
Deaktivering af en scanning efter en sikkerhedsintelligensopdatering forhindrer, at der foretages en scanning efter modtagelse af en opdatering. Du kan anvende denne indstilling, når du opretter basisbilledet, hvis du også har kørt en hurtig scanning. På denne måde kan du forhindre den nyopdaterede VM i at udføre en scanning igen (som du allerede har scannet den, da du oprettede basisbilledet).
Vigtigt!
Kørsel af scanninger efter en opdatering hjælper med at sikre, at dine VM'er er beskyttet med de nyeste sikkerhedsintelligensopdateringer. Hvis du deaktiverer denne indstilling, reduceres beskyttelsesniveauet for dine VM'er, og den bør kun bruges, første gang du opretter eller installerer basisafbildningen.
Angiv det interval, der skal kontrolleres for sikkerhedsintelligensopdateringer (angiv, hvor ofte der skal søges efter sikkerhedsintelligensopdateringer):
Enabled - 8
Lad andre indstillinger være i standardtilstand
Trusler
Angiv niveauer for trusselsbeskeder, hvor standardhandlingen ikke skal udføres, når den registreres:
Enabled
Angiv
Severe (5)
,High (4)
,Medium (2)
ogLow (1)
alle tilQuarantine (2)
, som vist i følgende tabel:Værdinavn Værdi 1
(Lav)2
2
(Mellem)2
4
(Høj)2
5
(Svær)2
Regler for reduktion af angrebsoverflade
Konfigurer alle tilgængelige regler til Audit
.
Aktivér netværksbeskyttelse
Forhindre brugere og apps i at få adgang til farlige websteder (aktivér netværksbeskyttelse): Enabled - Audit mode
.
SmartScreen til Microsoft Edge
Kræv SmartScreen til Microsoft Edge:
Yes
Bloker adgang til skadeligt websted:
Yes
Bloker ikke-bekræftet fildownload:
Yes
Kør den planlagte opgave til vedligeholdelse af Windows Defender-cache
Optimer den planlagte opgave "Windows Defender Cache Maintenance" for ikke-faste og/eller faste VDI-miljøer. Kør denne opgave på hovedbilledet, før du forsegling.
Åbn Mmc for Opgavestyring (
taskschd.msc
).Udvid Opgavestyringsbibliotek>Microsoft>Windows>Defender, og højreklik derefter på Vedligeholdelse af Windows Defender-cache.
Vælg Kør, og lad den planlagte opgave slutte.
Advarsel
Hvis du ikke gør dette, kan det medføre højere CPU-udnyttelse, mens cachevedligeholdelsesopgaven kører på hver af VM'erne.
Aktivér beskyttelse mod ændring
Aktivér beskyttelse mod ændring for at forhindre, at Microsoft Defender Antivirus deaktiveres på Microsoft Defender-portalen.
Udeladelser
Hvis du mener, at du har brug for at tilføje udeladelser, skal du se Administrer udeladelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus.
Næste trin
Hvis du også udruller slutpunktsregistrering og -svar (EDR) til dine Windows-baserede VDI-VM'er, skal du se Onboard non-persistent virtual desktop infrastructure (VDI)-enheder i Microsoft Defender XDR.
Se også
- Tech Community-blog: Konfiguration af Microsoft Defender Antivirus til ikke-vedvarende VDI-maskiner
- TechNet-forummer om Fjernskrivebord-tjenester og VDI
- SignatureDownloadCustomTask PowerShell-script
Hvis du leder efter oplysninger om Defender for Endpoint på ikke-Windows-platforme, skal du se følgende ressourcer:
- Microsoft Defender for Endpoint på Mac
- Microsoft Defender for Endpoint på Linux
- Konfigurer Defender for Endpoint på Android-funktioner
- Konfigurer Microsoft Defender for Endpoint på iOS-funktioner
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.