Microsoft Defender virustentorjunnan määrittäminen etätyöpöydän tai näennäistyöpöydän infrastruktuuriympäristössä

Koskee seuraavia:

• Microsoft Defenderin virustentorjunta
• Defender for Endpoint -palvelupaketti 1
• Defender for Endpoint Plan 2

Käyttöympäristöt

• Windows

Tämä artikkeli on suunniteltu asiakkaille, jotka käyttävät vain Microsoft Defender virustentorjuntaominaisuuksia. Jos sinulla on Microsoft Defender for Endpoint (joka sisältää Microsoft Defender virustentorjunnan muiden laitesuojausominaisuuksien ohella), katso Microsoft Defender XDR perehdytysnäyttöön laite, joka ei ole pysyvä näennäistyöpöydän infrastruktuuri (VDI).

Voit käyttää Microsoft Defender virustentorjuntaa etätyöpöydän (RDS) tai ei-pysyvän näennäistyöpöydän infrastruktuurin (VDI) ympäristössä. Tämän artikkelin ohjeiden avulla voit määrittää päivitykset, jotka ladataan suoraan RDS- tai VDI-ympäristöihin aina, kun käyttäjä kirjautuu sisään.

Tässä oppaassa kerrotaan, miten voit määrittää näennäiskoneiden Microsoft Defender virustentorjunnan optimaalisen suojauksen ja suorituskyvyn, mukaan lukien seuraavat:

• Erityisen VDI-tiedostoresurssin määrittäminen suojaustietojen päivityksiä varten
• Lataa ja pura uusimmat päivitykset
• Microsoft Defender virustentorjunta-asetusten määrittäminen
• Suorita Windows Defenderin välimuistin ylläpidon ajoitettu tehtävä

Tärkeää

Vaikka näennäiskonetta voidaan isännöidä Windows Server 2012 tai Windows Server 2016, näennäiskoneissa tulisi olla käytössä vähintään Windows 10 versio 1607. Tämä johtuu suojaustekniikoiden lisääntymisestä ja ominaisuuksista, jotka eivät ole käytettävissä Windowsin aiemmissa versioissa.

Erityisen VDI-tiedostoresurssin määrittäminen suojaustietoja varten

Windows 10 versiossa 1903 Microsoft esitteli jaetun suojaustieto-ominaisuuden, joka purkaa ladattujen suojaustietojen päivitysten purkamisen isäntäkoneeseen. Tämä menetelmä vähentää suoritin-, levy- ja muistiresurssien käyttöä yksittäisissä tietokoneissa. Jaetut suojaustiedot toimivat nyt Windows 10 versiossa 1703 ja sitä uudemmissa versioissa. Voit määrittää tämän ominaisuuden käyttämällä ryhmäkäytäntö tai PowerShelliä.

Ryhmäkäytäntö

1. Avaa ryhmäkäytäntö hallintatietokoneessa ryhmäkäytäntö hallintakonsoli, napsauta hiiren kakkospainikkeella ryhmäkäytäntö Objekti, jonka haluat määrittää, ja valitse sitten Muokkaa.

2. Siirry ryhmäkäytäntö Management -Kirjoitusavustaja kohtaan Tietokoneen määritykset.

3. Valitse Hallintamallit. Laajenna puu Windowsin osiin>Microsoft Defender virustentorjunnan>suojaustiedot Päivitykset.

4. Kaksoisnapsauta Määritä suojaustietojen sijainti VDI-asiakkaille ja määritä sitten asetukseksi Käytössä. Kenttä tulee näkyviin automaattisesti.

5. Kirjoita kenttään \\<File Server shared location\>\wdav-update. (Lisätietoja tästä arvosta on kohdassa Lataa ja pura pakkaus.)

6. Valitse OK ja ota sitten ryhmäkäytäntö Objekti käyttöön virtuaalikoneissa, jotka haluat testata.

PowerShell

1. Ota ominaisuus käyttöön kussakin RDS- tai VDI-laitteessa seuraavalla cmdlet-komennolla:

   Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

2. Työnnä päivitys tavalliseen tapaan työntämään PowerShell-pohjaiset määrityskäytännöt näennäiskoneisiin. (Katso tämän artikkelin Lataa ja pura pakkaus - osio. Etsi jaetun sijainnin merkintä.)

Lataa ja pura uusimmat päivitykset

Nyt voit aloittaa uusien päivitysten lataamisen ja asentamisen. Tässä osassa on PowerShell-mallikomentosarja, jota voit käyttää. Tämä komentosarja on helpoin tapa ladata uusia päivityksiä ja valmistella ne näennäiskoneita varten. Määritä sitten komentosarja suoritettavaksi tiettynä ajankohtana hallintakoneessa ajoitetun tehtävän avulla. Jos olet tutustunut PowerShell-komentosarjojen käyttöön Azuressa, Intune tai Configuration Manager, voit käyttää kyseisiä komentosarjoja.

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Voit määrittää ajoitetun tehtävän suoritettavaksi kerran päivässä, jolloin näennäiskoneet saavat uuden päivityksen aina, kun paketti ladataan ja puretaan. Suosittelemme aloittamaan kerran päivässä, mutta kokeile suurentamista tai pienentämistä vaikutuksen ymmärtämiseksi.

Suojaustietopaketit julkaistaan yleensä kerran 3–4 tunnissa. Yli neljä tuntia lyhyemmän tiheyden määrittäminen ei ole suositeltavaa, koska se kasvattaa verkon kuormituskustannuksia hallintakoneessasi.

Voit myös määrittää yksittäisen palvelimen tai tietokoneen noutamaan päivitykset näennäiskoneiden puolesta tietyin väliajoin ja sijoittamaan ne jaettuun tiedostoresurssiin käytettäväksi. Tämä määritys on mahdollinen, kun laitteilla on jaetun jakamisen ja lukuoikeuden (NTFS-oikeudet) jaettuun resurssiin, jotta ne voivat tarttua päivityksiin. Voit määrittää tämän määrityksen seuraavasti:

1. Luo jaettu SMB/CIFS-tiedostoresurssi.

2. Seuraavan esimerkin avulla voit luoda jaetun tiedostoresurssin, jolla on seuraavat jakamisoikeudet.

   
   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   
   

   Huomautus

   NTFS-käyttöoikeus lisätään todennetuille käyttäjille:Lue:.

   Tässä esimerkissä jaettu tiedostoresurssi on \\FileServer.fqdn\mdatp$\wdav-update.

Määritä ajoitettu tehtävä PowerShell-komentosarjan suorittamiseksi

1. Avaa hallintakoneessa Käynnistä-valikko ja kirjoita Task Scheduler. Valitse tuloksista Tehtävien ajoitus ja valitse sitten sivupaneelista Luo tehtävä...

2. Määritä nimi muodossa Security intelligence unpacker.

3. Valitse Käynnistin-välilehdessä Uusi...>Päivittäin ja valitse OK.

4. Valitse Toiminnot-välilehdessäUusi....

5. Määritä PowerShellOhjelma/Komentosarja-kentässä .

6. Kirjoita Lisää argumentteja -kenttään -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1ja valitse sitten OK.

7. Määritä muut asetukset tarpeen mukaan.

8. Tallenna ajoitettu tehtävä valitsemalla OK .

Aloita päivitys manuaalisesti napsauttamalla tehtävää hiiren kakkospainikkeella ja valitsemalla Suorita.

Lataa ja pura pakkaus manuaalisesti

Jos haluat tehdä kaiken manuaalisesti, voit replikoida komentosarjan toiminnan seuraavasti:

1. Luo uusi kansio järjestelmän pääkansioon nimeltä wdav_update tiedustelupäivitysten tallentamista varten. Voit esimerkiksi luoda kansion c:\wdav_update.

2. Luo alikansio wdav_update , jonka GUID-nimi on esimerkiksi {00000000-0000-0000-0000-000000000000}

   Tässä on esimerkki: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   Huomautus

   Määritämme komentosarjan siten, että GUID-tunnuksen viimeiset 12 numeroa ovat vuosi, kuukausi, päivä ja aika, jolloin tiedosto ladattiin, jotta uusi kansio luodaan joka kerta. Voit muuttaa tätä niin, että tiedosto ladataan aina samaan kansioon.

3. Lataa suojaustietopaketti KOHTEESTA https://www.microsoft.com/wdsi/definitions GUID-kansioon. Tiedoston nimeksi tulee tulla mpam-fe.exe.

4. Avaa komentokehoteikkuna ja siirry luomaasi GUID-kansioon. Pura /X tiedostot käyttämällä poimintakomentoa. Esimerkiksi mpam-fe.exe /X.

   Huomautus

   Näennäiskoneet poimivat päivitetyn paketin aina, kun uusi GUID-kansio luodaan puretulla päivityspaketilla tai aina, kun aiemmin luotu kansio päivitetään uudella puretulla paketilla.

Microsoft Defender virustentorjunnan määritysasetukset

On tärkeää hyödyntää sisällytettyjä uhkien suojausominaisuuksia ottamalla ne käyttöön seuraavien suositeltujen määritysasetusten avulla.  Se on optimoitu VDI-ympäristöjä varten.

Vihje

Uusimmat Windows-ryhmäkäytännön hallintamallit ovat käytettävissä Luo ja hallitse Keskitetty säilö -kohdassa.

Juuri

• Määritä tunnistaminen mahdollisesti ei-toivotuille sovelluksille: Enabled - Block

• Määritä luetteloiden paikallisen järjestelmänvalvojan yhdistämistoiminnot: Disabled

• Määritä, näkyvätkö poikkeukset paikallisille järjestelmänvalvojille: Enabled

• Poista rutiinikorjaus käytöstä: Disabled

• Satunnaista ajoitetut tarkistukset: Enabled

Asiakasliittymä

• Ota käyttöön päätön käyttöliittymätila: Enabled

  Huomautus

  Tämä käytäntö piilottaa koko Microsoft Defender virustentorjunnan käyttöliittymän organisaatiosi loppukäyttäjiltä.

• Piilota kaikki ilmoitukset: Enabled

Huomautus

Joskus Microsoft Defender virustentorjuntailmoituksia lähetetään useille istunnoille tai ne pysyvät useissa istunnoissa. Voit sekaannuksen välttämiseksi lukita Microsoft Defender virustentorjunnan käyttöliittymän. Ilmoitusten estäminen estää Microsoft Defender virustentorjuntaohjelman ilmoitusten näyttämisen, kun tarkistukset on tehty tai korjaustoimintoja suoritetaan. Suojaustoimintaryhmäsi näkee kuitenkin tarkistuksen tulokset, jos hyökkäys havaitaan ja pysäytetään. Ilmoitukset, kuten ensimmäinen käyttöoikeusilmoitus, luodaan, ja ne näkyvät Microsoft Defender-portaalissa.

KARTAT

• Liity Microsoft MAPSIIN (ota pilvipalvelusuojaus käyttöön): Enabled - Advanced MAPS

• Lähetä tiedostonäytteet, kun lisäanalyyseja tarvitaan: Send all samples (more secure) tai Send safe sample (less secure)

MpEngine

• Määritä laajennettu pilvipalvelutarkistus: 20

• Valitse pilvipalvelujen suojaustaso: Enabled - High

• Ota käyttöön tiedoston hajautustoiminto: Enabled

Huomautus

"Ota tiedoston hajautustoiminto käyttöön" -toimintoa tarvitaan vain, jos käytössä on Ilmaisimet – Tiedoston hajautusarvo.  Se voi aiheuttaa suuremman määrän suorittimen käyttöä, koska sen on jäsennettävä jokainen levyn binaaritiedosto, jotta tiedoston hajautusarvo saadaan.

Reaaliaikainen suojaus

• Määritä saapuvan ja lähtevän tiedoston ja ohjelman toiminnan valvonta: Enabled – bi-directional (full on-access)

• Valvo tietokoneen tiedosto- ja ohjelmatoimintoja: Enabled

• Tarkista kaikki ladatut tiedostot ja liitteet: Enabled

• Ota käyttöön toiminnan valvonta: Enabled

• Ota prosessiskannaus käyttöön aina, kun reaaliaikainen suojaus on käytössä: Enabled

• Ota käyttöön raakalevyn kirjoitusilmoitukset: Enabled

Skannaa

• Tarkista uusimmat virusten ja vakoiluohjelmien suojaustiedot ennen ajoitetun tarkistuksen suorittamista: Enabled

• Skannaa arkistotiedostot: Enabled

• Tarkista verkkotiedostot: Not configured

• Skannaa pakatut suoritettavat tiedot: Enabled

• Tarkista siirrettävät asemat: Enabled

• Ota koko tarkistus käyttöön (Poista koko tarkistus käytöstä): Not configured

• Ota käyttöön pikatarkistus (Poista pikatarkistus käytöstä): Not configured

  Huomautus

  Jos haluat kovettua, voit muuttaa Ota kiinni-pikatarkistus käyttöön -asetuksen käyttöön, mikä auttaa, kun näennäiskoneet ovat olleet offline-tilassa ja jättäneet pois vähintään kaksi peräkkäistä ajoitettua tarkistusta.  Koska se suorittaa ajoitettua tarkistusta, se käyttää lisäsuoritinta.

• Ota sähköpostin tarkistus käyttöön: Enabled

• Ota heuristiikko käyttöön: Enabled

• Ota uudelleen jäsennyspisteskannaus käyttöön: Enabled

Yleiset ajoitetut tarkistuksen asetukset

• Pienen suoritinprioriteetin määrittäminen ajoitetussa tarkistuksessa (käytä ajoitetussa tarkistuksessa matalaa suoritinprioriteettia): Not configured

• Määritä suorittimen käytön suurin prosenttiosuus tarkistuksen aikana (suorittimen käyttöraja skannausta kohden): 50

• Käynnistä ajoitettu tarkistus vain, kun tietokone on käytössä, mutta ei käytössä (ScanOnlyIfIdle): Not configured

• Seuraavan cmdlet-komennon avulla voit pysäyttää nopean tai ajoitetun tarkistuksen aina, kun laite on käyttämättömänä, jos se on passiivitilassa.

  
  Set-MpPreference -ScanOnlyIfIdleEnabled $false
  
  

Vihje

Asetus "Aloita ajoitettu tarkistus vain, kun tietokone on käytössä mutta ei käytössä" estää merkittävän suoritinriidan suuren tiheyden ympäristöissä.

Päivittäinen pikatarkistus

• Määritä päivittäisten pikatarkistusten suoritusväli: Not configured

• Määritä päivittäisen pikatarkistusajankohta (suorita päivittäinen pikatarkistus osoitteessa): 12 PM

Suorita viikoittainen ajoitettu tarkistus (nopea tai täysi)

• Määritä ajoitetussa tarkistuksessa käytettävä tarkistustyyppi (tarkistustyyppi): Not configured

• Määritä ajoitetun tarkistuksen suorittamiseen kuluva kellonaika (ajoitetun tarkistuksen suorittamiseen kuluva viikonpäivä): Not configured

• Määritä viikonpäivä ajoitetun tarkistuksen suorittamiseen (ajoitetun tarkistuksen suorittamiseen kuluva kellonaika): Not configured

Suojaustietojen Päivitykset

• Ota tarkistus käyttöön tietoturvatietojen päivityksen jälkeen (Poista tarkistukset käytöstä päivityksen jälkeen): Disabled

  Huomautus

  Tarkistuksen poistaminen käytöstä tietoturvatietojen päivityksen jälkeen estää tarkistuksen asentamisen päivityksen vastaanottamisen jälkeen. Voit ottaa tämän asetuksen käyttöön peruskuvaa luotaessa, jos olet myös suorittanut nopean tarkistuksen. Näin voit estää äskettäin päivitettyä näennäiskonetta suorittamasta tarkistusta uudelleen (koska olet jo tarkistanut sen peruskuvaa luodessasi).

  Tärkeää

  Tarkistusten suorittaminen päivityksen jälkeen auttaa varmistamaan, että näennäiskoneet on suojattu uusimmilla tietoturvatietopäivityksillä. Tämän asetuksen poistaminen käytöstä pienentää näennäiskoneiden suojaustasoa, ja sitä tulee käyttää vain peruskuvan luomisessa tai käyttöönotossa.

• Määritä suojaustietojen päivitysten tarkistusväli (Kirjoita suojaustietojen päivitysten tarkistusväli): Enabled - 8

• Jätä muut asetukset oletustilaan

Uhkia

• Määritä uhkailmoitustasot, joilla oletustoimintoa ei tule tehdä, kun se havaitaan: Enabled

• Määritä Severe (5)-, High (4)-, Medium (2)- ja Low (1) kaikki -arvoksi Quarantine (2), kuten seuraavassa taulukossa esitetään:

  Arvon nimi	Arvo
  1 (Pieni)	2
  2 (Keskikoko)	2
  4 (Suuri)	2
  5 (Vakava)	2

Hyökkäyspinta-alan rajoittamissäännöt

Määritä kaikkien käytettävissä olevien sääntöjen määritykseksi Audit.

Ota verkon suojaus käyttöön

Estä käyttäjiä ja sovelluksia käyttämästä vaarallisia sivustoja (Ota käyttöön verkkosuojaus): Enabled - Audit mode.

SmartScreen for Microsoft Edge

• Edellytä SmartScreen for Microsoft Edgeä: Yes

• Estä haitallisten sivustojen käyttö: Yes

• Estä vahvistamaton tiedoston lataaminen: Yes

Suorita Windows Defenderin välimuistin ylläpidon ajoitettu tehtävä

Optimoi "Windows Defenderin välimuistin ylläpito" -ajoitettu tehtävä ei-pysyville ja/tai pysyville VDI-ympäristöille. Suorita tämä tehtävä pääkuvassa ennen sulkemista.

1. Avaa tehtävän ajoitustoiminnon mmc (taskschd.msc).

2. Laajenna Tehtävien ajoituskirjasto>Microsoft>Windows>Windows Defender ja napsauta hiiren kakkospainikkeella Windows Defenderin välimuistin ylläpitoa.

3. Valitse Suorita ja anna ajoitetun tehtävän päättyä.

   Varoitus

   Jos et tee näin, se voi johtaa suurempaan suorittimen käyttöön, kun välimuistin ylläpitotehtävää suoritetaan jokaisessa näennäiskoneessa.

Ota käyttöön peukaloinnin suojaus

Ota peukalointisuojaus käyttöön, jos haluat estää Microsoft Defender virustentorjunnan poistamisen käytöstä Microsoft Defender portaalissa.

Poisjätöt

Jos luulet, että sinun on lisättävä poissulkemisia, katso Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunnan poissulkemisten hallinta.

Seuraavat vaiheet

Jos otat myös käyttöön päätepisteen tunnistuksen ja vastauksen (EDR) Windows-pohjaisissa VDI-näennäiskoneissa, katso Microsoft Defender XDR on Perehdytys ei-pysyvä virtuaalityöpöytäinfrastruktuuri (VDI) -laitteisiin.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Tech Community -blogi: Microsoft Defender virustentorjunnan määrittäminen ei-pysyville VDI-koneille
• TechNet-keskustelupalstat etätyöpöytäpalveluissa ja VDI:ssä
• SignatureDownloadCustomTask PowerShell-komentosarja

Jos etsit tietoja Defender for Endpointista muissa kuin Windows-ympäristöissä, tutustu seuraaviin resursseihin:

• Microsoft Defender for Endpoint Macissa
• Microsoft Defender for Endpoint Linuxissa
• Defender for Endpointin ominaisuuksien määrittäminen Androidissa
• Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.