Configuración de Microsoft Defender Antivirus en un entorno de infraestructura de escritorio remoto o de escritorio virtual
Se aplica a:
- Antivirus de Microsoft Defender
- Plan 1 de Defender para punto de conexión
- Plan 2 de Defender para punto de conexión
Plataformas
- Windows
Este artículo está diseñado para clientes que usan solo funcionalidades de antivirus de Microsoft Defender. Si tiene Microsoft Defender para punto de conexión (que incluye Microsoft Defender Antivirus junto con otras funcionalidades de protección de dispositivos), vaya también a Incorporación de dispositivos de infraestructura de escritorio virtual (VDI) no persistente en Microsoft Defender XDR.
Puede usar Microsoft Defender Antivirus en un entorno de escritorio remoto (RDS) o de infraestructura de escritorio virtual (VDI) no persistente. Siguiendo las instrucciones de este artículo, puede configurar actualizaciones para descargarlas directamente en los entornos RDS o VDI cuando un usuario inicia sesión.
En esta guía se describe cómo configurar Microsoft Defender Antivirus en las máquinas virtuales para una protección y un rendimiento óptimos, incluido cómo:
- Configuración de un recurso compartido de archivos VDI dedicado para las actualizaciones de inteligencia de seguridad
- Aleatorizar exámenes programados
- Uso de exámenes rápidos
- Impedir notificaciones
- Deshabilitar que los exámenes se produzcan después de cada actualización
- Examen de máquinas obsoletas o máquinas sin conexión durante un tiempo
- Aplicar exclusiones
Importante
Aunque una VDI se puede hospedar en Windows Server 2012 o Windows Server 2016, las máquinas virtuales (VM) deben ejecutarse Windows 10, versión 1607 como mínimo, debido al aumento de las tecnologías y características de protección que no están disponibles en versiones anteriores de Windows.
Configuración de un recurso compartido de archivos VDI dedicado para la inteligencia de seguridad
En Windows 10, versión 1903, Microsoft introdujo la característica de inteligencia de seguridad compartida, que descarga el desempaquetado de las actualizaciones de inteligencia de seguridad descargadas en un equipo host. Este método reduce el uso de recursos de CPU, disco y memoria en máquinas individuales. La inteligencia de seguridad compartida funciona ahora en Windows 10, versión 1703 y posteriores. Puede configurar esta funcionalidad mediante directiva de grupo o PowerShell.
Directiva de grupo
En el equipo de administración de directiva de grupo, abra la consola de administración de directiva de grupo, haga clic con el botón derecho en el objeto de directiva de grupo que desea configurar y, a continuación, seleccione Editar.
En el Editor administración de directiva de grupo, vaya a Configuración del equipo.
Seleccione Plantillas administrativas. Expanda el árbol a Componentes> de Windows Microsoft Defender Antivirus>Security Intelligence Novedades.
Haga doble clic en Definir ubicación de inteligencia de seguridad para clientes VDI y, a continuación, establezca la opción en Habilitado.
Aparece automáticamente un campo.
Escriba
\\<Windows File Server shared location\>\wdav-update
(para obtener ayuda con este valor, consulte Descarga y despampaquete).Seleccione Aceptar e implemente el objeto directiva de grupo en las máquinas virtuales que desea probar.
PowerShell
En cada dispositivo RDS o VDI, use el siguiente cmdlet para habilitar la característica:
Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update
Inserte la actualización, ya que normalmente insertaría directivas de configuración basadas en PowerShell en las máquinas virtuales. (Consulte la sección Descarga y despampaquete de este artículo. Busque la entrada de ubicación compartida ).
Descarga y despaquetado de las actualizaciones más recientes
Ahora puede empezar a descargar e instalar nuevas actualizaciones. A continuación, hemos creado un script de PowerShell de ejemplo. Este script es la manera más sencilla de descargar nuevas actualizaciones y prepararlas para las máquinas virtuales. A continuación, debe establecer el script para que se ejecute en un momento determinado en la máquina de administración mediante una tarea programada (o bien, si está familiarizado con el uso de scripts de PowerShell en Azure, Intune o SCCM, también podría usar esos scripts).
$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'
New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage
Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"
Puede establecer que una tarea programada se ejecute una vez al día para que cada vez que se descargue y desempaquete el paquete, las máquinas virtuales reciban la nueva actualización. Se recomienda comenzar con una vez al día, pero debe experimentar con aumentar o disminuir la frecuencia para comprender el impacto.
Normalmente, los paquetes de inteligencia de seguridad se publican una vez cada tres o cuatro horas. No es aconsejable establecer una frecuencia inferior a cuatro horas porque aumenta la sobrecarga de red en la máquina de administración sin ninguna ventaja.
También puede configurar el único servidor o equipo para capturar las actualizaciones en nombre de las máquinas virtuales a intervalos y colocarlas en el recurso compartido de archivos para su consumo. Esta configuración es posible cuando los dispositivos tienen acceso compartido y de lectura (permisos NTFS) al recurso compartido para que puedan tomar las actualizaciones. Para configurar esta configuración, siga estos pasos:
Cree un recurso compartido de archivos SMB/CIFS.
Use el ejemplo siguiente para crear un recurso compartido de archivos con los siguientes permisos de recurso compartido.
PS c:\> Get-SmbShareAccess -Name mdatp$ Name ScopeName AccountName AccessControlType AccessRight ---- --------- ----------- ----------------- ----------- mdatp$ * Everyone Allow Read
Nota:
Se agrega un permiso NTFS para usuarios autenticados:Read:.
En este ejemplo, el recurso compartido de archivos es
\\WindowsFileServer.fqdn\mdatp$\wdav-update
.
Establecer una tarea programada para ejecutar el script de PowerShell
En la máquina de administración, abra el menú Inicio y escriba
Task Scheduler
. En los resultados, seleccione Programador de tareas y, a continuación, seleccione Crear tarea... en el panel lateral.Especifique el nombre como
Security intelligence unpacker
.En la pestaña Desencadenador , seleccione Nuevo...>Todos los días y seleccione Aceptar.
En la pestaña Acciones , seleccione Nuevo....
Especifique
PowerShell
en el campo Programa o script .En el campo Agregar argumentos , escriba
-ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1
y, a continuación, seleccione Aceptar.Configure cualquier otra configuración según corresponda.
Seleccione Aceptar para guardar la tarea programada.
Para iniciar la actualización manualmente, haga clic con el botón derecho en la tarea y, a continuación, seleccione Ejecutar.
Descargar y desempaquetar manualmente
Si prefiere hacer todo manualmente, esto es lo que debe hacer para replicar el comportamiento del script:
Cree una nueva carpeta en la raíz del sistema llamada
wdav_update
para almacenar las actualizaciones de inteligencia. Por ejemplo, cree la carpetac:\wdav_update
.Cree una subcarpeta en
wdav_update
con un nombre GUID, como{00000000-0000-0000-0000-000000000000}
Este es un ejemplo:
c:\wdav_update\{00000000-0000-0000-0000-000000000000}
Nota:
Establecemos el script para que los últimos 12 dígitos del GUID sean el año, el mes, el día y la hora en que se descargó el archivo para que se cree una nueva carpeta cada vez. Puede cambiar esto para que el archivo se descargue en la misma carpeta cada vez.
Descargue un paquete de inteligencia de seguridad desde https://www.microsoft.com/wdsi/definitions en la carpeta GUID. El archivo debe llamarse
mpam-fe.exe
.Abra una ventana del símbolo del sistema y vaya a la carpeta GUID que ha creado. Use el
/X
comando de extracción para extraer los archivos. Por ejemplo,mpam-fe.exe /X
.Nota:
Las máquinas virtuales recogerán el paquete actualizado cada vez que se cree una nueva carpeta GUID con un paquete de actualización extraído o siempre que se actualice una carpeta existente con un nuevo paquete extraído.
Aleatorizar exámenes programados
Los exámenes programados se ejecutan además de la protección y el examen en tiempo real.
La hora de inicio del examen en sí sigue basándose en la directiva de examen programada (ScheduleDay, ScheduleTime y ScheduleQuickScanTime). La aleatoriedad hace que Microsoft Defender Antivirus inicie un examen en cada equipo dentro de una ventana de cuatro horas a partir del tiempo establecido para el examen programado.
Consulte Programación de exámenes para ver otras opciones de configuración disponibles para los exámenes programados.
Uso de exámenes rápidos
Puede especificar el tipo de examen que se debe realizar durante un examen programado. Los exámenes rápidos son el enfoque preferido, ya que están diseñados para buscar en todos los lugares donde el malware necesita residir para estar activo. En el procedimiento siguiente se describe cómo configurar exámenes rápidos mediante directiva de grupo.
En la directiva de grupo Editor, vaya a Plantillas> administrativasComponentes> de Windows Microsoft Defender Examen antivirus>.
Seleccione Especificar el tipo de examen que se va a usar para un examen programado y, a continuación, edite la configuración de directiva.
Establezca la directiva en Habilitado y, a continuación, en Opciones, seleccione Examen rápido.
Seleccione Aceptar.
Implemente el objeto de directiva de grupo como lo haría normalmente.
Impedir notificaciones
A veces, Microsoft Defender notificaciones antivirus se envían a varias sesiones o se conservan en ellas. Para ayudar a evitar la confusión del usuario, puede bloquear la interfaz de usuario Microsoft Defender Antivirus. En el procedimiento siguiente se describe cómo suprimir las notificaciones mediante directiva de grupo.
En la directiva de grupo Editor, vaya a Componentes> de Windows Microsoft DefenderInterfaz de clienteantivirus>.
Seleccione Suprimir todas las notificaciones y, a continuación, edite la configuración de la directiva.
Establezca la directiva en Habilitado y, a continuación, seleccione Aceptar.
Implemente el objeto de directiva de grupo como lo haría normalmente.
La supresión de notificaciones impide que las notificaciones de Microsoft Defender Antivirus aparezcan cuando se realizan exámenes o se realizan acciones de corrección. Sin embargo, el equipo de operaciones de seguridad ve los resultados de un examen si se detecta y detiene un ataque. Se generan alertas, como una alerta de acceso inicial, que aparecen en el portal de Microsoft Defender.
Deshabilitar exámenes después de una actualización
Deshabilitar un examen después de una actualización impide que se produzca un examen después de recibir una actualización. Puede aplicar esta configuración al crear la imagen base si también ha ejecutado un examen rápido. De este modo, puede evitar que la máquina virtual recién actualizada vuelva a realizar un examen (como ya lo ha examinado al crear la imagen base).
Importante
La ejecución de exámenes después de una actualización ayuda a garantizar que las máquinas virtuales estén protegidas con las últimas actualizaciones de inteligencia de seguridad. Deshabilitar esta opción reduce el nivel de protección de las máquinas virtuales y solo se debe usar al crear o implementar la imagen base por primera vez.
En la directiva de grupo Editor, vaya a Componentes> de Windows Microsoft Defender Antivirus>Security Intelligence Novedades.
Seleccione Activar examen después de la actualización de inteligencia de seguridad y, a continuación, edite la configuración de directiva.
Establezca la directiva en Deshabilitada.
Seleccione Aceptar.
Implemente el objeto de directiva de grupo como lo haría normalmente.
Esta directiva impide que un examen se ejecute inmediatamente después de una actualización.
Deshabilitar la ScanOnlyIfIdle
opción
Use el siguiente cmdlet para detener un examen rápido o programado cada vez que el dispositivo esté inactivo si está en modo pasivo.
Set-MpPreference -ScanOnlyIfIdleEnabled $false
También puede deshabilitar la ScanOnlyIfIdle
opción en Microsoft Defender Antivirus mediante la configuración a través de la directiva de grupo local o de dominio. Esta configuración evita una contención significativa de LA CPU en entornos de alta densidad.
Para obtener más información, vea Iniciar el examen programado solo cuando el equipo está encendido, pero no en uso.
Examen de máquinas virtuales sin conexión
En la directiva de grupo Editor, vaya a Componentes> de Windows Microsoft Defender Examen antivirus>.
Seleccione Activar examen rápido de puesta al día y, a continuación, edite la configuración de directiva.
Establezca la directiva en Habilitado.
Seleccione Aceptar.
Implemente el objeto directiva de grupo como suele hacer.
Esta directiva fuerza un examen si la máquina virtual ha perdido dos o más exámenes programados consecutivos.
Habilitación del modo de interfaz de usuario sin cabeza
En la directiva de grupo Editor, vaya a Componentes> de Windows Microsoft DefenderInterfaz de clienteantivirus>.
Seleccione Habilitar modo de interfaz de usuario sin cabeza y edite la directiva.
Establezca la directiva en Habilitado.
Seleccione Aceptar.
Implemente el objeto directiva de grupo como suele hacer.
Esta directiva oculta toda la interfaz de usuario Microsoft Defender Antivirus a los usuarios finales de la organización.
Ejecutar la tarea programada "Mantenimiento de caché de Windows Defender"
Optimice la tarea programada "Mantenimiento de caché de Windows Defender" para entornos VDI no persistentes o persistentes. Ejecute esta tarea en la imagen principal antes de sellar.
Abra mmc del programador de tareas (
taskschd.msc
).Expanda Biblioteca> del programador de tareasMicrosoft>Windows>Defender y, a continuación, haga clic con el botón derecho en Mantenimiento de caché de Windows Defender.
Seleccione Ejecutar y deje que finalice la tarea programada.
Exclusiones
Si cree que necesita agregar exclusiones, consulte Administrar exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus.
Vea también
- Blog de tech community: Configuración de Microsoft Defender Antivirus para máquinas VDI no persistentes
- Foros de TechNet en Servicios de Escritorio remoto y VDI
- Script de PowerShell SignatureDownloadCustomTask
Si busca información sobre Defender para punto de conexión en plataformas que no son de Windows, consulte los siguientes recursos:
- Microsoft Defender para punto de conexión en Mac
- Microsoft Defender para punto de conexión en Linux
- Configurar Defender para punto de conexión en características de Android
- Configurar Microsoft Defender para punto de conexión en las características de iOS
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.