Freigeben über

Konfigurieren Microsoft Defender Antivirus auf einer Remotedesktop- oder virtuellen Desktopinfrastrukturumgebung

  • Artikel

Gilt für:

Plattformen

  • Windows

Dieser Artikel richtet sich nur an Kunden, die Microsoft Defender Antivirus-Funktionen verwenden. Wenn Sie über Microsoft Defender for Endpoint verfügen (einschließlich Microsoft Defender Antivirus neben anderen Geräteschutzfunktionen), finden Sie weitere Informationen unter Integrieren von nicht persistenten VDI-Geräten (Virtual Desktop Infrastructure) in Microsoft Defender XDR.

Sie können Microsoft Defender Antivirus in einer Remotedesktopumgebung (RDS) oder einer nicht persistenten VDI-Umgebung (Virtual Desktop Infrastructure) verwenden. Mithilfe der Anleitung in diesem Artikel können Sie Updates so konfigurieren, dass sie direkt in Ihre RDS- oder VDI-Umgebungen heruntergeladen werden, wenn sich ein Benutzer anmeldet.

In diesem Leitfaden wird beschrieben, wie Sie Microsoft Defender Antivirus auf Ihren VMs konfigurieren, um optimalen Schutz und eine optimale Leistung zu erzielen, einschließlich der folgenden Vorgehensweise:

Wichtig

Obwohl eine VDI auf Windows Server 2012 oder Windows Server 2016 gehostet werden kann, sollte auf virtuellen Computern (VMs) mindestens Windows 10 Version 1607 ausgeführt werden, da die Schutztechnologien und Features in früheren Versionen von Windows nicht verfügbar sind.

Einrichten einer dedizierten VDI-Dateifreigabe für Security Intelligence

In Windows 10 Version 1903 hat Microsoft das Shared Security Intelligence-Feature eingeführt, das das Entpacken heruntergeladener Security Intelligence-Updates auf einen Hostcomputer auslädt. Diese Methode reduziert die Auslastung von CPU-, Datenträger- und Arbeitsspeicherressourcen auf einzelnen Computern. Freigegebene Sicherheitsintelligenz funktioniert jetzt unter Windows 10 Version 1703 und höher. Sie können diese Funktion mithilfe von Gruppenrichtlinie oder PowerShell einrichten.

Gruppenrichtlinien

  1. Öffnen Sie auf Ihrem Gruppenrichtlinie Verwaltungscomputer die Gruppenrichtlinie Management Console, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.

  2. Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration.

  3. Wählen Sie Administrative Vorlagen aus. Erweitern Sie die Struktur zu Windows-Komponenten>Microsoft Defender Antivirus>Security Intelligence Updates.

  4. Doppelklicken Sie auf Sicherheitsintelligenzspeicherort für VDI-Clients definieren, und legen Sie dann die Option auf Aktiviert fest. Ein Feld wird automatisch angezeigt.

  5. Geben Sie in das Feld ein \\<File Server shared location\>\wdav-update. (Hilfe zu diesem Wert finden Sie unter Herunterladen und Entpacken.)

  6. Wählen Sie OK aus, und stellen Sie dann das Gruppenrichtlinie-Objekt auf den VMs bereit, die Sie testen möchten.

PowerShell

  1. Verwenden Sie auf jedem RDS- oder VDI-Gerät das folgende Cmdlet, um das Feature zu aktivieren:

    Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

  2. Pushen Sie das Update, da Sie normalerweise PowerShell-basierte Konfigurationsrichtlinien auf Ihre VMs pushen würden. (Weitere Informationen finden Sie im Abschnitt Herunterladen und Entpacken in diesem Artikel. Suchen Sie nach dem Eintrag für den freigegebenen Speicherort .)

Herunterladen und Entpacken der neuesten Updates

Jetzt können Sie mit dem Herunterladen und Installieren neuer Updates beginnen. Dieser Abschnitt enthält ein PowerShell-Beispielskript, das Sie verwenden können. Dieses Skript ist die einfachste Möglichkeit, neue Updates herunterzuladen und für Ihre VMs vorzubereiten. Sie sollten dann festlegen, dass das Skript zu einem bestimmten Zeitpunkt auf dem Verwaltungscomputer ausgeführt wird, indem Sie eine geplante Aufgabe verwenden. Wenn Sie mit der Verwendung von PowerShell-Skripts in Azure, Intune oder Configuration Manager vertraut sind, können Sie stattdessen diese Skripts verwenden.


$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Sie können festlegen, dass eine geplante Aufgabe einmal täglich ausgeführt wird, sodass die VMs beim Herunterladen und Entpacken des Pakets das neue Update erhalten. Es wird empfohlen, mit einmal täglich zu beginnen, aber Sie sollten mit dem Erhöhen oder Verringern der Häufigkeit experimentieren, um die Auswirkungen zu verstehen.

Security Intelligence-Pakete werden in der Regel alle drei bis vier Stunden veröffentlicht. Das Festlegen einer Häufigkeit, die kürzer als vier Stunden ist, ist nicht ratsam, da dies den Netzwerkaufwand auf Ihrem Verwaltungscomputer erhöht, ohne dass dies von Vorteil ist.

Sie können auch Ihren Einzelserver oder Computer so einrichten, dass die Updates im Auftrag der VMs in einem Intervall abgerufen und zur Nutzung in der Dateifreigabe abgelegt werden. Diese Konfiguration ist möglich, wenn die Geräte über Freigabe- und Lesezugriff (NTFS-Berechtigungen) für die Freigabe verfügen, damit sie die Updates abrufen können. Führen Sie die folgenden Schritte aus, um diese Konfiguration einzurichten:

  1. Erstellen Sie eine SMB/CIFS-Dateifreigabe.

  2. Verwenden Sie das folgende Beispiel, um eine Dateifreigabe mit den folgenden Freigabeberechtigungen zu erstellen.

    
PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Hinweis

    Für authentifizierte Benutzer:Read:wird eine NTFS-Berechtigung hinzugefügt.

    In diesem Beispiel ist \\FileServer.fqdn\mdatp$\wdav-updatedie Dateifreigabe .

Festlegen einer geplanten Aufgabe zum Ausführen des PowerShell-Skripts

  1. Öffnen Sie auf dem Verwaltungscomputer das Startmenü, und geben Sie ein Task Scheduler. Wählen Sie in den Ergebnissen aufgabenplaner und dann Aufgabe erstellen... im Seitenbereich aus.

  2. Geben Sie den Namen als an Security intelligence unpacker.

  3. Wählen Sie auf der Registerkarte Trigger die Option Neu... aus.>Täglich, und wählen Sie OK aus.

  4. Wählen Sie auf der Registerkarte Aktionendie Option Neu... aus.

  5. Geben Sie im Feld Programm/Skript anPowerShell.

  6. Geben Sie im Feld Argumente hinzufügen ein -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1, und wählen Sie dann OK aus.

  7. Konfigurieren Sie alle anderen Einstellungen entsprechend.

  8. Wählen Sie OK aus, um den geplanten Vorgang zu speichern.

Um das Update manuell zu initiieren, klicken Sie mit der rechten Maustaste auf den Task, und wählen Sie dann Ausführen aus.

Manuelles Herunterladen und Entpacken

Wenn Sie es vorziehen, alles manuell durchzuführen, gehen Sie wie folgt vor, um das Verhalten des Skripts zu replizieren:

  1. Erstellen Sie einen neuen Ordner im Systemstamm mit dem Namen wdav_update zum Speichern von Intelligence-Updates. Erstellen Sie beispielsweise den Ordner c:\wdav_update.

  2. Erstellen Sie unter einen Unterordner wdav_update mit einem GUID-Namen, z. B. {00000000-0000-0000-0000-000000000000}

    Hier sehen Sie ein Beispiel: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Hinweis

    Wir legen das Skript so fest, dass die letzten 12 Ziffern der GUID das Jahr, den Monat, den Tag und die Uhrzeit des Downloads der Datei sind, sodass jedes Mal ein neuer Ordner erstellt wird. Sie können dies ändern, sodass die Datei jedes Mal in denselben Ordner heruntergeladen wird.

  3. Laden Sie ein Security Intelligence-Paket aus in den GUID-Ordner herunter https://www.microsoft.com/wdsi/definitions . Die Datei sollte den Namen haben mpam-fe.exe.

  4. Öffnen Sie ein Eingabeaufforderungsfenster, und navigieren Sie zum erstellten GUID-Ordner. Verwenden Sie den Extraktionsbefehl /X , um die Dateien zu extrahieren. Beispiel: mpam-fe.exe /X.

    Hinweis

    Die VMs nehmen das aktualisierte Paket immer dann auf, wenn ein neuer GUID-Ordner mit einem extrahierten Updatepaket erstellt wird oder wenn ein vorhandener Ordner mit einem neuen extrahierten Paket aktualisiert wird.

Microsoft Defender Antivirus-Konfigurationseinstellungen

Es ist wichtig, die enthaltenen Bedrohungsschutzfunktionen zu nutzen, indem Sie sie mit den folgenden empfohlenen Konfigurationseinstellungen aktivieren.  Es ist für VDI-Umgebungen optimiert.

Tipp

Die neuesten administrativen Vorlagen für Windows-Gruppenrichtlinien finden Sie unter Erstellen und Verwalten des zentralen Speichers.

Stamm

  • Konfigurieren der Erkennung für potenziell unerwünschte Anwendungen: Enabled - Block

  • Konfigurieren des Zusammenführungsverhaltens eines lokalen Administrators für Listen: Disabled

  • Steuern Sie, ob Ausschlüsse für lokale Administratoren sichtbar sind: Enabled

  • Deaktivieren Sie die Routinewartung: Disabled

  • Zufällige geplante Überprüfungen: Enabled

Clientschnittstelle

  • Aktivieren des Kopflosen UI-Modus: Enabled

    Hinweis

    Diese Richtlinie blendet die gesamte Microsoft Defender Antivirus-Benutzeroberfläche für Endbenutzer in Ihrem organization aus.

  • Unterdrücken aller Benachrichtigungen: Enabled

Hinweis

Manchmal werden Microsoft Defender Antivirusbenachrichtigungen an mehrere Sitzungen gesendet oder beibehalten. Um Benutzerverwechslungen zu vermeiden, können Sie die Microsoft Defender Antivirus-Benutzeroberfläche sperren. Das Unterdrücken von Benachrichtigungen verhindert, dass Benachrichtigungen von Microsoft Defender Antivirus angezeigt werden, wenn Überprüfungen durchgeführt oder Korrekturmaßnahmen ausgeführt werden. Ihr Sicherheitsteam sieht jedoch die Ergebnisse einer Überprüfung, wenn ein Angriff erkannt und beendet wird. Warnungen, z. B. eine Warnung für den ersten Zugriff, werden generiert und im Microsoft Defender-Portal angezeigt.

LANDKARTEN

  • Microsoft MAPS beitreten (In der Cloud bereitgestellten Schutz aktivieren): Enabled - Advanced MAPS

  • Senden von Dateibeispielen, wenn eine weitere Analyse erforderlich ist: Send all samples (more secure) oder Send safe sample (less secure)

MPEngine

  • Konfigurieren der erweiterten Cloudüberprüfung: 20

  • Wählen Sie die Cloudschutzebene aus: Enabled - High

  • Aktivieren sie das Feature für die Dateihashberechnung: Enabled

Hinweis

"Aktivieren der Dateihashberechnungsfunktion" ist nur erforderlich, wenn Indikatoren – Dateihash verwendet werden.  Dies kann zu einer höheren CPU-Auslastung führen, da jede Binärdatei auf dem Datenträger analysiert werden muss, um den Dateihash abzurufen.

Echtzeitschutz

  • Konfigurieren Sie die Überwachung für eingehende und ausgehende Datei- und Programmaktivitäten: Enabled – bi-directional (full on-access)

  • Überwachen Der Datei- und Programmaktivität auf Ihrem Computer: Enabled

  • Überprüfen Sie alle heruntergeladenen Dateien und Anlagen: Enabled

  • Aktivieren Sie die Verhaltensüberwachung: Enabled

  • Aktivieren Sie die Prozessüberprüfung, wenn der Echtzeitschutz aktiviert ist: Enabled

  • Aktivieren Sie Schreibbenachrichtigungen für unformatierte Volumes: Enabled

Scans

  • Suchen Sie nach den neuesten Informationen zur Viren- und Spyware-Sicherheit, bevor Sie eine geplante Überprüfung ausführen: Enabled

  • Archivdateien überprüfen: Enabled

  • Netzwerkdateien überprüfen: Not configured

  • Scannen gepackter ausführbarer Dateien: Enabled

  • Wechseldatenträger überprüfen: Enabled

  • Aktivieren Sie den vollständigen Nachholscan (Vollständige Nachholüberprüfung deaktivieren): Not configured

  • Aktivieren Sie die Nachholschnellüberprüfung (Aufholschnellüberprüfung deaktivieren): Not configured

    Hinweis

    Wenn Sie ein Härten durchführen möchten, können Sie "Nachholschnellüberprüfung aktivieren" in "Aktivieren" ändern. Dies hilft, wenn VMs offline waren und zwei oder mehr aufeinander folgende geplante Überprüfungen verpasst haben.  Da jedoch eine geplante Überprüfung ausgeführt wird, wird zusätzliche CPU verwendet.

  • Aktivieren sie die E-Mail-Überprüfung: Enabled

  • Heuristik aktivieren: Enabled

  • Aktivieren Sie die Analysepunktüberprüfung: Enabled

Allgemeine Einstellungen für geplante Überprüfungen

  • Konfigurieren Sie eine niedrige CPU-Priorität für geplante Überprüfungen (Verwenden Sie eine niedrige CPU-Priorität für geplante Überprüfungen): Not configured

  • Geben Sie den maximalen Prozentsatz der CPU-Auslastung während einer Überprüfung an (CPU-Auslastungslimit pro Scan): 50

  • Starten Sie die geplante Überprüfung nur, wenn der Computer aktiviert, aber nicht verwendet wird (ScanOnlyIfIdle): Not configured

  • Verwenden Sie das folgende Cmdlet, um eine schnelle oder geplante Überprüfung zu beenden, wenn sich das Gerät im passiven Modus im Leerlauf befindet.

    
Set-MpPreference -ScanOnlyIfIdleEnabled $false

Tipp

Die Einstellung "Geplante Überprüfung nur starten, wenn der Computer eingeschaltet ist, aber nicht verwendet wird" verhindert erhebliche CPU-Konflikte in Umgebungen mit hoher Dichte.

Tägliche Schnellüberprüfung

  • Geben Sie das Intervall für die Ausführung von Schnellscans pro Tag an: Not configured

  • Geben Sie die Zeit für eine tägliche Schnellüberprüfung an (Tägliche Schnellüberprüfung ausführen unter): 12 PM

Ausführen einer wöchentlichen geplanten Überprüfung (schnell oder vollständig)

  • Geben Sie den Scantyp an, der für eine geplante Überprüfung verwendet werden soll (Scantyp): Not configured

  • Geben Sie die Tageszeit für die Ausführung einer geplanten Überprüfung an (Wochentag zum Ausführen der geplanten Überprüfung): Not configured

  • Geben Sie den Wochentag an, an dem eine geplante Überprüfung ausgeführt werden soll (Tageszeit für die Ausführung einer geplanten Überprüfung): Not configured

Security Intelligence-Updates

  • Aktivieren der Überprüfung nach dem Security Intelligence-Update (Überprüfungen nach einem Update deaktivieren): Disabled

    Hinweis

    Das Deaktivieren einer Überprüfung nach einem Security Intelligence-Update verhindert, dass eine Überprüfung nach dem Empfang eines Updates erfolgt. Sie können diese Einstellung beim Erstellen des Basisimages anwenden, wenn Sie auch eine Schnellüberprüfung ausgeführt haben. Auf diese Weise können Sie verhindern, dass der neu aktualisierte virtuelle Computer erneut eine Überprüfung durchführt (da Sie ihn bereits beim Erstellen des Basisimages überprüft haben).

    Wichtig

    Das Ausführen von Überprüfungen nach einem Update trägt dazu bei, dass Ihre virtuellen Computer mit den neuesten Security Intelligence-Updates geschützt sind. Wenn Sie diese Option deaktivieren, wird die Schutzebene Ihrer virtuellen Computer reduziert und sollte nur beim ersten Erstellen oder Bereitstellen des Basisimages verwendet werden.

  • Geben Sie das Intervall an, in dem nach Security Intelligence-Updates gesucht werden soll (Geben Sie an, wie oft nach Security Intelligence-Updates gesucht werden soll): Enabled - 8

  • Behalten Sie andere Einstellungen im Standardzustand bei.

Risiken

  • Geben Sie Bedrohungswarnungsstufen an, bei denen bei Erkennung keine Standardaktion ausgeführt werden soll: Enabled

  • Legen Sie Severe (5), High (4), Medium (2)und Low (1) alle auf fest Quarantine (2), wie in der folgenden Tabelle gezeigt:

    Wertname Wert
    1 (Niedrig) 2
    2 (Mittel) 2
    4 (Hoch) 2
    5 (Schwerwiegend) 2

Regeln zur Verringerung der Angriffsfläche

Konfigurieren Sie alle verfügbaren Regeln für Audit.

Aktivieren des Netzwerkschutzes

Verhindern, dass Benutzer und Apps auf gefährliche Websites zugreifen (Netzwerkschutz aktivieren): Enabled - Audit mode.

SmartScreen für Microsoft Edge

  • SmartScreen für Microsoft Edge erforderlich: Yes

  • Böswilligen Websitezugriff blockieren: Yes

  • Download nicht überprüfter Dateien blockieren: Yes

Ausführen des geplanten Tasks "Windows Defender Cache Maintenance"

Optimieren Sie den geplanten Task "Windows Defender Cache-Wartung" für nicht persistente und/oder persistente VDI-Umgebungen. Führen Sie diese Aufgabe auf dem Standard Image aus, bevor Sie versiegeln.

  1. Öffnen Sie den Taskplaner mmc (taskschd.msc).

  2. Erweitern Sie Aufgabenplanungsbibliothek>Microsoft>Windows>Windows Defender, und klicken Sie dann mit der rechten Maustaste auf Windows Defender Cache-Wartung.

  3. Wählen Sie Ausführen aus, und lassen Sie den geplanten Task beenden.

    Warnung

    Wenn Sie dies nicht tun, kann dies zu einer höheren CPU-Auslastung führen, während der Cachewartungstask auf jedem der virtuellen Computer ausgeführt wird.

Aktivieren des Manipulationsschutzes

Aktivieren Sie den Manipulationsschutz, um zu verhindern, dass Microsoft Defender Antivirus im Microsoft Defender-Portal deaktiviert wird.

Ausschlüsse

Wenn Sie der Meinung sind, dass Sie Ausschlüsse hinzufügen müssen, lesen Sie Verwalten von Ausschlüssen für Microsoft Defender for Endpoint und Microsoft Defender Antivirus.

Nächster Schritt

Wenn Sie auch Endpunkterkennung und -reaktion (EDR) für Ihre Windows-basierten VDI-VMs bereitstellen, finden Sie weitere Informationen unter Onboarding nicht persistenter VDI-Geräte (Virtual Desktop Infrastructure) in Microsoft Defender XDR.

Siehe auch

Informationen zu Defender für Endpunkt auf Nicht-Windows-Plattformen finden Sie in den folgenden Ressourcen:

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.