Compartir a través de

Incorporación de dispositivos de infraestructura de escritorio virtual (VDI) no persistente en Microsoft Defender XDR

  • Artículo

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

La infraestructura de escritorio virtual (VDI) es un concepto de infraestructura de TI que permite a los usuarios finales acceder a instancias de escritorios virtuales empresariales desde casi cualquier dispositivo (como su equipo personal, smartphone o tableta), lo que elimina la necesidad de que la organización proporcione a los usuarios máquinas físicas. El uso de dispositivos VDI reduce los costos, ya que los departamentos de TI ya no son responsables de administrar, reparar y reemplazar puntos de conexión físicos. Los usuarios autorizados pueden acceder a los mismos servidores, archivos, aplicaciones y servicios de la empresa desde cualquier dispositivo aprobado a través de un explorador o cliente de escritorio seguro.

Al igual que cualquier otro sistema de un entorno de TI, los dispositivos VDI deben tener una solución antivirus y de detección de puntos de conexión (EDR) para protegerse frente a amenazas y ataques avanzados.

Nota:

VDI persistentes: la incorporación de una máquina VDI persistente a Microsoft Defender para punto de conexión se controla de la misma manera que incorporaría una máquina física, como un equipo de escritorio o portátil. Se pueden usar directivas de grupo, Microsoft Configuration Manager y otros métodos para incorporar una máquina persistente. En el portal de Microsoft Defender, (https://security.microsoft.com) en incorporación, seleccione el método de incorporación que prefiera y siga las instrucciones de ese tipo. Para obtener más información, vea Incorporación del cliente Windows.

Incorporación de dispositivos de infraestructura de escritorio virtual (VDI) no persistentes

Defender for Endpoint admite la incorporación de sesión de VDI no persistente. Puede haber desafíos asociados al incorporar instancias de VDI. Los siguientes son los desafíos típicos de este escenario:

  • Incorporación temprana instantánea de una sesión de corta duración, que debe incorporarse a Defender para punto de conexión antes del aprovisionamiento real.

  • Normalmente, el nombre del dispositivo se reutiliza para las sesiones nuevas.

  • En un entorno de VDI, las instancias de VDI pueden tener una duración corta. Los dispositivos VDI pueden aparecer en el portal de Microsoft Defender como entradas únicas para cada instancia de VDI o varias entradas para cada dispositivo.

    • Entrada única para cada instancia de VDI. Si la instancia de VDI ya se ha incorporado a Microsoft Defender para punto de conexión y, en algún momento, se ha eliminado y, a continuación, se ha vuelto a crear con el mismo nombre de host, no se creará un nuevo objeto que represente esta instancia de VDI en el portal. En este caso, se debe configurar el mismo nombre de dispositivo cuando se crea la sesión, por ejemplo, mediante un archivo de respuesta desatendida.

    • Varias entradas para cada dispositivo: una para cada instancia de VDI.

Importante

Si va a implementar vdis no persistentes a través de la tecnología de clonación, asegúrese de que las máquinas virtuales de plantilla internas no están incorporadas a Defender para punto de conexión. Esta recomendación consiste en evitar que las máquinas virtuales clonadas se incorpore con el mismo sentido que las máquinas virtuales de plantilla, lo que podría impedir que las máquinas virtuales se muestren como entradas nuevas en la lista Dispositivos.

Los pasos siguientes le guían a través de la incorporación de dispositivos VDI y los pasos de resaltado para entradas únicas y múltiples.

Advertencia

En entornos en los que hay configuraciones de recursos bajas, el procedimiento de arranque de VDI podría ralentizar la incorporación del sensor de Defender para punto de conexión.

Pasos de incorporación

Nota:

Windows Server 2016 y Windows Server 2012 R2 deben prepararse aplicando primero el paquete de instalación mediante las instrucciones de Incorporación de servidores Windows para que esta característica funcione.

  1. Abra el archivo de paquete de configuración de VDI (WindowsDefenderATPOnboardingPackage.zip) que descargó del Asistente para incorporación de servicios. También puede obtener el paquete desde el portal de Microsoft Defender.

    1. En el panel de navegación, seleccione Configuración>Puntos de conexión>Incorporaciónde administración de> dispositivos.

    2. Seleccione el sistema operativo.

    3. En el campo Método de implementación , seleccione Scripts de incorporación de VDI para puntos de conexión no persistentes.

    4. Seleccione Descargar paquete y guarde el archivo.

  2. Copie los archivos de la WindowsDefenderATPOnboardingPackage carpeta extraída de la carpeta comprimida en la imagen dorada o principal en la ruta de acceso C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    • Si va a implementar varias entradas para cada dispositivo, una para cada sesión, copie WindowsDefenderATPOnboardingScript.cmd.

    • Si va a implementar una sola entrada para cada dispositivo, copie y Onboard-NonPersistentMachine.ps1WindowsDefenderATPOnboardingScript.cmd.

    Nota:

    Si no ve la C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup carpeta, es posible que esté oculta. Tendrá que elegir la opción Mostrar archivos y carpetas ocultos de Explorador de archivos.

  3. Abra una ventana de directiva de grupo Editor local y vaya a Configuración> del equipoScripts>de configuración de> WindowsInicio.

    Nota:

    Los directiva de grupo de dominio también se pueden usar para la incorporación de dispositivos VDI no persistentes.

  4. En función del método que quiera implementar, siga los pasos adecuados:

    Método Pasos
    Entrada única para cada dispositivo 1. Seleccione la pestaña Scripts de PowerShell y, a continuación, seleccione Agregar (el Explorador de Windows se abre directamente en la ruta de acceso donde copió el script de incorporación anteriormente).
    2. Vaya a incorporación del script Onboard-NonPersistentMachine.ps1de PowerShell. No es necesario especificar el otro archivo, ya que se desencadena automáticamente.
    Varias entradas para cada dispositivo 1. Seleccione la pestaña Scripts y, a continuación, seleccione Agregar (el Explorador de Windows se abre directamente en la ruta de acceso donde copió el script de incorporación anteriormente).
    2. Vaya al script WindowsDefenderATPOnboardingScript.cmdde Bash de incorporación.

  5. Para probar la solución, siga estos pasos:

    1. Cree un grupo con un dispositivo.

    2. Inicie sesión en el dispositivo.

    3. Cierre la sesión en el dispositivo.

    4. Inicie sesión en el dispositivo con otra cuenta.

    5. En función del método que quiera implementar, siga los pasos adecuados:

  6. En el panel de navegación, seleccione Lista de dispositivos.

  7. Para usar la función de búsqueda, escriba el nombre del dispositivo y seleccione Dispositivo como tipo de búsqueda.

Para SKU de nivel inferior (Windows Server 2008 R2)

Nota:

Estas instrucciones para otras versiones de Windows Server también se aplican si ejecuta la Microsoft Defender para punto de conexión anterior para Windows Server 2016 y Windows Server 2012 R2 que requiere el MMA. Las instrucciones para migrar a la nueva solución unificada se encuentran en escenarios de migración del servidor en Microsoft Defender para punto de conexión.

El registro siguiente solo es relevante cuando el objetivo es lograr una sola entrada para cada dispositivo.

  1. Establezca el valor del Registro como se indica a continuación:

    
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
 "VDI"="NonPersistent"

    O bien, puede usar la línea de comandos de la siguiente manera:

    
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Siga el proceso de incorporación del servidor.

Actualización de imágenes de infraestructura de escritorio virtual (VDI) (persistentes o no persistentes)

Con la capacidad de implementar fácilmente actualizaciones en máquinas virtuales que se ejecutan en VDIs, hemos acortado esta guía para centrarse en cómo puede obtener actualizaciones en las máquinas de forma rápida y sencilla. Ya no es necesario crear y sellar imágenes doradas periódicamente, ya que las actualizaciones se expanden en sus bits de componente en el servidor host y, a continuación, se descargan directamente en la máquina virtual cuando está activada.

Si ha incorporado la imagen principal del entorno de VDI (se está ejecutando el servicio SENSE), debe desconectar y borrar algunos datos antes de volver a poner la imagen en producción.

  1. Apague la máquina.

  2. Asegúrese de que el sensor se detiene ejecutando el siguiente comando en una ventana CMD:

    
sc query sense

  3. Ejecute los comandos siguientes en una ventana cmd::

    
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

¿Usa un tercero para vdis?

Si va a implementar vdis no persistentes mediante la clonación instantánea de VMware o tecnologías similares, asegúrese de que las máquinas virtuales de plantilla interna y las máquinas virtuales de réplica no se incorporen a Defender for Endpoint. Si incorpora dispositivos mediante el método de entrada única, los clones instantáneos que se aprovisionan desde máquinas virtuales incorporadas pueden tener el mismo senseGuid y que pueden impedir que una nueva entrada aparezca en la vista Inventario de dispositivos (en el portal de Microsoft Defender, elija Dispositivos activos>).

Si la imagen principal, la máquina virtual de plantilla o la máquina virtual de réplica se incorporan a Defender para punto de conexión mediante el método de entrada única, impide que Defender para punto de conexión cree entradas para nuevos V VDI no persistentes en el portal de Microsoft Defender.

Póngase en contacto con los proveedores de terceros para obtener más ayuda.

Después de incorporar dispositivos al servicio, es importante aprovechar las funcionalidades de protección contra amenazas incluidas al habilitarlos con las siguientes opciones de configuración recomendadas.

Configuración de protección de próxima generación

Se recomiendan los valores de configuración de este vínculo: Configure Microsoft Defender Antivirus en un entorno de infraestructura de escritorio remoto o de escritorio virtual.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.