Freigeben über

Integrieren nicht persistenter VDI-Geräte (Virtual Desktop Infrastructure) in Microsoft Defender XDR

  • Artikel

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Virtual Desktop Infrastructure (VDI) ist ein IT-Infrastrukturkonzept, mit dem Endbenutzer von fast jedem Gerät (z. B. Ihrem PC, Smartphone oder Tablet) aus auf virtuelle Unternehmensdesktopinstanzen zugreifen können, sodass keine organization erforderlich sind, um Benutzern physische Computer zur Verfügung zu stellen. Die Verwendung von VDI-Geräten reduziert die Kosten, da IT-Abteilungen nicht mehr für die Verwaltung, Reparatur und den Austausch physischer Endpunkte verantwortlich sind. Autorisierte Benutzer können von jedem genehmigten Gerät über einen sicheren Desktopclient oder Browser auf dieselben Unternehmensserver, Dateien, Apps und Dienste zugreifen.

Wie jedes andere System in einer IT-Umgebung sollten VDI-Geräte über eine Endpunkterkennungs- und -reaktionslösung (Endpoint Detection and Response, EDR) und Antivirenlösung verfügen, um sich vor erweiterten Bedrohungen und Angriffen zu schützen.

Hinweis

Persistente VDI's: Das Onboarding eines persistenten VDI-Computers in Microsoft Defender for Endpoint erfolgt auf die gleiche Weise wie das Onboarding eines physischen Computers, z. B. eines Desktops oder Laptops. Gruppenrichtlinien, Microsoft Configuration Manager und andere Methoden können zum Onboarding eines persistenten Computers verwendet werden. Wählen Sie im Microsoft Defender-Portal (https://security.microsoft.com) unter Onboarding Ihre bevorzugte Onboardingmethode aus, und befolgen Sie die Anweisungen für diesen Typ. Weitere Informationen finden Sie unter Integrieren des Windows-Clients.

Onboarding nicht persistenter VDI-Geräte (Virtual Desktop Infrastructure)

Defender für Endpunkt unterstützt das Onboarding nicht persistenter VDI-Sitzungen. Beim Onboarding von VDI-Instanzen können probleme auftreten. Im Folgenden finden Sie typische Herausforderungen für dieses Szenario:

  • Sofortiges frühes Onboarding einer kurzlebigen Sitzung, die vor der tatsächlichen Bereitstellung in Defender für Endpunkt integriert werden muss.

  • Der Gerätename wird in der Regel für neue Sitzungen wiederverwendet.

  • In einer VDI-Umgebung können VDI-Instanzen eine kurze Lebensdauer aufweisen. VDI-Geräte können im Microsoft Defender-Portal entweder als einzelne Einträge für jedes VDI-instance oder als mehrere Einträge für jedes Gerät angezeigt werden.

    • Einzelner Eintrag für jede VDI-instance. Wenn die VDI-instance bereits in Microsoft Defender for Endpoint integriert, irgendwann gelöscht und dann mit demselben Hostnamen neu erstellt wurde, wird im Portal KEIN neues Objekt erstellt, das diese VDI-instance darstellt. In diesem Fall muss derselbe Gerätename konfiguriert werden, wenn die Sitzung erstellt wird, z. B. mithilfe einer unbeaufsichtigten Antwortdatei.

    • Mehrere Einträge für jedes Gerät – einer für jede VDI-instance.

Wichtig

Wenn Sie nicht persistente VDIs über Klontechnologie bereitstellen, stellen Sie sicher, dass Ihre internen Vorlagen-VMs nicht in Defender für Endpunkt integriert sind. Diese Empfehlung besteht darin, zu vermeiden, dass geklonte VMs mit demselben senseGuid wie Ihre Vorlagen-VMs integriert werden, was verhindern könnte, dass VMs als neue Einträge in der Geräteliste angezeigt werden.

Die folgenden Schritte führen Sie durch das Onboarding von VDI-Geräten und markieren die Schritte für einzelne und mehrere Einträge.

Warnung

In Umgebungen, in denen konfigurationen mit geringen Ressourcen vorhanden sind, kann das Onboarding des Defender für Endpunkt-Sensors durch das VDI-Startverfahren verlangsamt werden.

Onboardingschritte

Hinweis

Windows Server 2016 und Windows Server 2012 R2 müssen vorbereitet werden, indem sie zuerst das Installationspaket mithilfe der Anweisungen unter Onboarding von Windows-Servern anwenden, damit dieses Feature funktioniert.

  1. Öffnen Sie die VDI-Konfigurationspaketdatei (WindowsDefenderATPOnboardingPackage.zip), die Sie aus dem Dienst-Onboarding-Assistenten heruntergeladen haben. Sie können das Paket auch über das Microsoft Defender-Portal abrufen.

    1. Wählen Sie im Navigationsbereich Einstellungen>Endpunkte>Geräteverwaltung>Onboarding aus.

    2. Wählen Sie das Betriebssystem aus.

    3. Wählen Sie im Feld Bereitstellungsmethodedie Option VDI-Onboardingskripts für nicht persistente Endpunkte aus.

    4. Wählen Sie Paket herunterladen aus, und speichern Sie die Datei.

  2. Kopieren Sie die Dateien aus dem Ordner, der WindowsDefenderATPOnboardingPackage aus dem zippten Ordner extrahiert wurde, in das goldene/primäre Image unter dem Pfad C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    • Wenn Sie mehrere Einträge für jedes Gerät implementieren – einen für jede Sitzung, kopieren Sie WindowsDefenderATPOnboardingScript.cmd.

    • Wenn Sie einen einzelnen Eintrag für jedes Gerät implementieren, kopieren Sie sowohl als WindowsDefenderATPOnboardingScript.cmdauch Onboard-NonPersistentMachine.ps1 .

    Hinweis

    Wenn der C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup Ordner nicht angezeigt wird, ist er möglicherweise ausgeblendet. Sie müssen die Option Ausgeblendete Dateien und Ordner anzeigen aus Explorer auswählen.

  3. Öffnen Sie ein Lokales Gruppenrichtlinie Editor Fenster, und navigieren Sie zu Computerkonfiguration>Windows Einstellungen>Skripts>Start.

    Hinweis

    Domänen Gruppenrichtlinie können auch für das Onboarding nicht persistenter VDI-Geräte verwendet werden.

  4. Führen Sie abhängig von der Methode, die Sie implementieren möchten, die entsprechenden Schritte aus:

    Methode Schritte
    Einzelner Eintrag für jedes Gerät 1. Wählen Sie die Registerkarte PowerShell-Skripts und dann Hinzufügen aus (Windows Explorer wird direkt in dem Pfad geöffnet, in den Sie zuvor das Onboardingskript kopiert haben).
    2. Navigieren Sie zum Onboarding des PowerShell-Skripts Onboard-NonPersistentMachine.ps1. Es ist nicht erforderlich, die andere Datei anzugeben, da sie automatisch ausgelöst wird.
    Mehrere Einträge für jedes Gerät 1. Wählen Sie die Registerkarte Skripts und dann Hinzufügen aus (Windows Explorer wird direkt in dem Pfad geöffnet, in den Sie das Onboardingskript zuvor kopiert haben).
    2. Navigieren Sie zum Bash-Skript WindowsDefenderATPOnboardingScript.cmdfür das Onboarding.

  5. Testen Sie Ihre Lösung, indem Sie die folgenden Schritte ausführen:

    1. Erstellen Sie einen Pool mit einem Gerät.

    2. Melden Sie sich beim Gerät an.

    3. Melden Sie sich auf dem Gerät ab.

    4. Melden Sie sich mit einem anderen Konto beim Gerät an.

    5. Führen Sie abhängig von der Methode, die Sie implementieren möchten, die entsprechenden Schritte aus:

  6. Wählen Sie im Navigationsbereich Geräteliste aus.

  7. Verwenden Sie die Suchfunktion, indem Sie den Gerätenamen eingeben und Gerät als Suchtyp auswählen.

Für downlevel-SKUs (Windows Server 2008 R2)

Hinweis

Diese Anweisungen gelten auch für andere Windows Server-Versionen, wenn Sie die vorherige Microsoft Defender for Endpoint für Windows Server 2016 und Windows Server 2012 R2 ausführen, für die mmA erforderlich ist. Anweisungen zum Migrieren zur neuen einheitlichen Lösung finden Sie unter Servermigrationsszenarien in Microsoft Defender for Endpoint.

Die folgende Registrierung ist nur relevant, wenn es darum geht, einen einzigen Eintrag für jedes Gerät zu erreichen.

  1. Legen Sie den Registrierungswert wie folgt fest:

    
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
 "VDI"="NonPersistent"

    Alternativ können Sie die Befehlszeile wie folgt verwenden:

    
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Befolgen Sie den Onboardingprozess für den Server.

Aktualisieren von VDI-Images (virtual desktop infrastructure) (persistent oder nicht persistent)

Mit der Möglichkeit zum einfachen Bereitstellen von Updates auf VMs, die in VDIs ausgeführt werden, haben wir diesen Leitfaden gekürzt, um uns darauf zu konzentrieren, wie Sie Updates schnell und einfach auf Ihren Computern erhalten können. Sie müssen keine goldenen Images mehr in regelmäßigen Abständen erstellen und versiegeln, da Updates in ihre Komponentenbits auf dem Hostserver erweitert und dann direkt auf den virtuellen Computer heruntergeladen werden, wenn sie aktiviert ist.

Wenn Sie das primäre Image Ihrer VDI-Umgebung integriert haben (der SENSE-Dienst wird ausgeführt), müssen Sie einige Daten offboarden und löschen, bevor Sie das Image wieder in die Produktion bringen.

  1. Offboarden sie den Computer.

  2. Stellen Sie sicher, dass der Sensor beendet wird, indem Sie den folgenden Befehl in einem CMD-Fenster ausführen:

    
sc query sense

  3. Führen Sie die folgenden Befehle in einem CMD-Fenster aus:

    
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Verwenden Sie einen Drittanbieter für VDIs?

Wenn Sie nicht persistente VDIs über das sofortige Klonen von VMware oder ähnliche Technologien bereitstellen, stellen Sie sicher, dass Ihre internen Vorlagen-VMs und Replikat-VMs nicht in Defender für Endpunkt integriert sind. Wenn Sie Geräte mithilfe der Single Entry-Methode integrieren, weisen sofortige Klone, die von integrierten VMs bereitgestellt werden, möglicherweise dieselbe senseGuid auf, und dies kann verhindern, dass ein neuer Eintrag in der Ansicht Gerätebestand aufgeführt wird (wählen Sie im Microsoft Defender-PortalBestand>Geräte aus).

Wenn entweder das primäre Image, die Vorlagen-VM oder die Replikat-VM mithilfe der Einzeleingabemethode in Defender für Endpunkt integriert werden, wird verhindert, dass Defender für Endpunkt Einträge für neue nicht persistente VDIs im Microsoft Defender-Portal erstellt.

Wenden Sie sich an Ihre Drittanbieter, um weitere Unterstützung zu erhalten.

Nach dem Onboarding von Geräten in den Dienst ist es wichtig, die enthaltenen Bedrohungsschutzfunktionen zu nutzen, indem Sie sie mit den folgenden empfohlenen Konfigurationseinstellungen aktivieren.

Schutzkonfiguration der nächsten Generation

Die Konfigurationseinstellungen in diesem Link werden empfohlen: Konfigurieren Microsoft Defender Antivirus auf einer Remotedesktop- oder virtuellen Desktopinfrastrukturumgebung.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.