Jaa

Käyttöönotossa olevat ei-pysyvät näennäistyöpöytäinfrastruktuurin (VDI) laitteet Microsoft Defender XDR

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Näennäistyöpöydän infrastruktuuri (VDI) on IT-infrastruktuurikonsepti, jonka avulla käyttäjät voivat käyttää yrityksen virtuaalityöpöydän esiintymiä lähes mistä tahansa laitteesta (kuten henkilökohtaisesta tietokoneesta, älypuhelimesta tai taulutietokoneesta), jolloin organisaation ei tarvitse tarjota käyttäjille fyysisiä koneita. VDI-laitteiden käyttö pienentää kustannuksia, sillä IT-osastot eivät ole enää vastuussa fyysisten päätepisteiden hallinnasta, korjaamisesta ja korvaamisesta. Valtuutetut käyttäjät voivat käyttää samoja yrityksen palvelimia, tiedostoja, sovelluksia ja palveluita mistä tahansa hyväksytystä laitteesta suojatun työpöytäsovelluksen tai selaimen kautta.

Kuten muissakin IT-ympäristön laitteissa, VDI-laitteissa on oltava päätepisteen tunnistaminen ja vastaus (EDR) ja virustentorjuntaratkaisu, jotta ne voivat suojautua kehittyneiltä uhilta ja hyökkäyksiltä.

Huomautus

Pysyvät VDI:t – Pysyvän VDI-koneen perehdyttäminen Microsoft Defender for Endpoint käsitellään samalla tavalla kuin fyysisessä koneessa, kuten pöytäkoneessa tai kannettavassa tietokoneessa. Ryhmäkäytäntöä, Microsoft Configuration Manager ja muita menetelmiä voidaan käyttää pysyvän koneen käyttöönotossa. Valitse Microsoft Defender-portaalissa (https://security.microsoft.com) perehdytys-kohdasta haluamasi perehdytysmenetelmä ja noudata kyseisen tyypin ohjeita. Lisätietoja on kohdassa Windows-asiakasohjelman käyttöönotto.

Ei-pysyvän näennäistyöpöydän infrastruktuurin (VDI) laitteiden käyttöönotto

Defender for Endpoint tukee ei-pysyvää VDI-istunnon perehdytystä. VDI-esiintymien käyttöönotossa voi olla haasteita. Seuraavassa on tyypillisiä haasteita tälle skenaariolle:

  • Lyhytikäisen istunnon välitön varhainen perehdytys, joka on siirrettävä Defender for Endpointiin ennen varsinaista valmistelua.

  • Laitteen nimeä käytetään yleensä uudelleen uusia istuntoja varten.

  • VDI-ympäristössä VDI-esiintymillä voi olla lyhyt elinkaari. VDI-laitteet voivat näkyä Microsoft Defender portaalissa joko yksittäisinä merkinnöinä kullekin VDI-esiintymälle tai usealla merkinnällä kullekin laitteelle.

    • Yksittäinen merkintä kullekin VDI-esiintymälle. Jos VDI-esiintymä oli jo otettu käyttöön Microsoft Defender for Endpoint ja jossain vaiheessa poistettu ja luotu uudelleen samalla isäntänimellä, uutta tätä VDI-esiintymää edustavaa objektia ei luoda portaalissa. Tässä tapauksessa sama laitteen nimi on määritettävä istunnon luonnin yhteydessä esimerkiksi valvomattoman vastaustiedoston avulla.

    • Kullekin laitteelle on useita merkintöjä – yksi kullekin VDI-esiintymälle.

Tärkeää

Jos otat käyttöön ei-pysyviä näennäiskoneita kloonaustekniikan avulla, varmista, että sisäisiä malli-näennäiskoneita ei ole otettu käyttöön Defender for Endpointissa. Tämä suositus on välttää kloonattuja näennäiskoneita perehdyttämästä samalla tavalla kuin malli-näennäiskoneita, mikä saattaa estää näennäiskoneita näyttämästä uusina merkinnöinä Laitteet-luettelossa.

Seuraavat vaiheet opastavat VDI-laitteiden käyttöönotossa ja yksittäisten ja useiden merkintöjen korostamisessa.

Varoitus

Ympäristöissä, joissa resurssien kokoonpanot ovat vähissä, VDI-käynnistystoimintosarja saattaa hidastaa Defender for Endpoint -tunnistimen perehdytystä.

Perehdytysvaiheet

Huomautus

Windows Server 2016 ja Windows Server 2012 R2 on valmisteltava käyttämällä asennuspakettia ensin Onboard Windows -palvelimien ohjeiden mukaisesti, jotta tämä ominaisuus toimisi.

  1. Avaa VDI-määrityspakettitiedosto (WindowsDefenderATPOnboardingPackage.zip), jonka latasit ohjatusta palvelun käyttöönottotoiminnosta. Voit hankkia paketin myös Microsoft Defender-portaalista.

    1. Valitse siirtymisruudussa Asetukset>Päätepisteet>Laitteiden hallinnan>perehdytys.

    2. Valitse käyttöjärjestelmä.

    3. Valitse Käyttöönottomenetelmä-kentässä VDI-perehdytyskomentosarjat ei-pysyville päätepisteille.

    4. Valitse Lataa paketti ja tallenna tiedosto.

  2. Kopioi tiedostot zip-kansiosta puretusta WindowsDefenderATPOnboardingPackage kansiosta polun C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupalla olevaan kultaiseen/ensisijaiseen kuvaan.

    • Jos toteutat useita merkintöjä kullekin laitteelle – yksi jokaiselle istunnolle, kopioi WindowsDefenderATPOnboardingScript.cmd.

    • Jos otat käyttöön yksittäisen merkinnän kullekin laitteelle, kopioi sekä Onboard-NonPersistentMachine.ps1 että WindowsDefenderATPOnboardingScript.cmd.

    Huomautus

    Jos et näe kansiota C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , se on ehkä piilotettu. Valitse Resurssienhallinta Näytä piilotetut tiedostot ja kansiot -vaihtoehto.

  3. Avaa Paikallinen ryhmäkäytäntö Kirjoitusavustaja -ikkuna ja siirry kohtaan Tietokoneasetukset>Windowsin asetukset>Komentosarjojen käynnistys>.

    Huomautus

    Toimialueen ryhmäkäytäntö voidaan käyttää myös ei-pysyvien VDI-laitteiden käyttöönottoon.

  4. Noudata asianmukaisia vaiheita sen mukaan, millaisen menetelmän haluat ottaa käyttöön:

    Menetelmä Ohjeet
    Yksittäinen merkintä kullekin laitteelle 1. Valitse PowerShell-komentosarjat -välilehti ja valitse sitten Lisää (Resurssienhallinta avautuu suoraan polkuun, johon kopioit käyttöönottokomentosarjan aiemmin).
    2. Siirry PowerShell-komentosarjan käyttöönottoon Onboard-NonPersistentMachine.ps1. Toista tiedostoa ei tarvitse määrittää, koska se käynnistetään automaattisesti.
    Useita merkintöjä kullekin laitteelle 1. Valitse Komentosarjat-välilehti ja valitse sitten Lisää (Resurssienhallinta avautuu suoraan polkuun, johon kopioit käyttöönottokomentosarjan aiemmin).
    2. Siirry käyttöönoton bash-komentosarjaan WindowsDefenderATPOnboardingScript.cmd.

  5. Testaa ratkaisusi seuraavasti:

    1. Luo varanto yhdellä laitteella.

    2. Kirjaudu laitteeseen.

    3. Kirjaudu ulos laitteessa.

    4. Kirjaudu laitteeseen toisella tilillä.

    5. Noudata asianmukaisia vaiheita sen mukaan, millaisen menetelmän haluat ottaa käyttöön:

  6. Valitse siirtymisruudussa Laitteet-luettelo.

  7. Käytä hakufunktiota antamalla laitteen nimi ja valitsemalla Hakutyypiksi Laite .

Alatason varastointiyksiköille (Windows Server 2008 R2)

Huomautus

Nämä ohjeet koskevat myös muita Windows-palvelinversioita, jos käytössäsi on aiempi Microsoft Defender for Endpoint Windows Server 2016:lle ja Windows Server 2012 R2:lle, joka edellyttää MMA:ta. Ohjeet uuteen yhtenäiseen ratkaisuun siirtymiseen ovat palvelimen siirtymistilanteissa Microsoft Defender for Endpoint.

Seuraava rekisteri on merkityksellinen vain, kun tavoitteena on saavuttaa yksittäinen merkintä kullekin laitteelle.

  1. Määritä rekisteriarvo seuraavasti:

    
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
 "VDI"="NonPersistent"

    Voit myös käyttää komentoriviä seuraavasti:

    
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Noudata palvelimen käyttöönottoprosessia.

Näennäistyöpöydän infrastruktuurin (VDI) kuvien päivittäminen (pysyvä tai ei-pysyvä)

Koska voimme helposti ottaa päivityksiä käyttöön näennäiskoneissa suoritettavissa näennäiskoneissa, olemme lyhentäneet tätä opasta keskittyäksemme siihen, miten voit saada päivityksiä koneisiisi nopeasti ja helposti. Sinun ei enää tarvitse luoda ja sulkea kultaisia kuvia säännöllisin väliajoin, koska päivitykset laajennetaan niiden osabiteiksi isäntäpalvelimessa ja ladataan sitten suoraan näennäiskoneeseen, kun se on käytössä.

Jos olet liittänyt VDI-ympäristösi ensisijaisen kuvan (SENSE-palvelu on käynnissä), sinun on poistettava joitakin tietoja ja tyhjennettävä ne ennen kuvan tuomista takaisin tuotantoon.

  1. Pois koneesta.

  2. Varmista, että tunnistin on pysäytetty suorittamalla seuraava komento CMD-ikkunassa:

    
sc query sense

  3. Suorita seuraavat komennot CMD-ikkunassa:

    
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Käytätkö kolmatta osapuolia VD:lle?

Jos otat käyttöön ei-pysyviä näennäiskoneita näennäiskoneohjelmiston välittömän kloonauksen tai vastaavien tekniikoiden kautta, varmista, että sisäisiä malli-näennäiskoneita ja replika-näennäiskoneita ei ole otettu Defender for Endpointiin. Jos otat laitteet käyttöön yhdellä kirjausmenetelmällä, perehdytetyistä näennäiskoneista valmisteltujen välitönten kloonien tunnuksilla voi olla sama senseGuid ja ne voivat estää uuden merkinnän näkymisen Laitevarasto-näkymässä (valitse Microsoft Defender-portaalissaResurssit Laitteet>).

Jos joko ensisijainen kuva, malli-näennäiskone tai replika-näennäiskone on otettu käyttöön Defender for Endpointissa yhdellä merkintämenetelmällä, se estää Defender for Endpointia luomasta merkintöjä uusille ei-pysyville näennäiskoneille Microsoft Defender portaalissa.

Ota yhteyttä kolmannen osapuolen toimittajiin saadaksesi lisätietoja.

Kun laitteet on otettu käyttöön palveluun, on tärkeää hyödyntää sisällytettyjä uhkien suojausominaisuuksia ottamalla ne käyttöön seuraavilla suositelluilla määritysasetuksilla.

Seuraavan sukupolven suojausmääritys

Tämän linkin määritysasetuksia suositellaan: määritä Microsoft Defender virustentorjunta etätyöpöydän tai näennäistyöpöydän infrastruktuuriympäristössä.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.