Configurare Microsoft Defender Antivirus in un ambiente di infrastruttura desktop remoto o desktop virtuale

Si applica a:

• Antivirus Microsoft Defender
• Piano 1 Defender per endpoint
• Defender per endpoint - Piano 2

Piattaforme

• Windows

Questo articolo è progettato per i clienti che usano solo le funzionalità di antivirus Microsoft Defender. Se si dispone di Microsoft Defender per endpoint (che include Microsoft Defender Antivirus insieme ad altre funzionalità di protezione dei dispositivi), vedere Eseguire l'onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti in Microsoft Defender XDR.

È possibile usare Microsoft Defender Antivirus in un ambiente Desktop remoto (RDS) o in un ambiente VDI (Virtual Desktop Infrastructure) non persistente. Usando le linee guida in questo articolo, è possibile configurare gli aggiornamenti per il download direttamente negli ambienti RDS o VDI ogni volta che un utente accede.

Questa guida descrive come configurare Microsoft Defender Antivirus nelle macchine virtuali per una protezione e prestazioni ottimali, inclusa la procedura:

• Configurare una condivisione file VDI dedicata per gli aggiornamenti di Security Intelligence
• Scaricare e decomprimere gli aggiornamenti più recenti
• Configurare Microsoft Defender impostazioni antivirus
• Eseguire l'attività pianificata Manutenzione cache di Windows Defender

Importante

Anche se un'identità virtuale virtuale può essere ospitata in Windows Server 2012 o Windows Server 2016, le macchine virtuali devono essere in esecuzione almeno Windows 10 versione 1607, a causa dell'aumento delle tecnologie di protezione e delle funzionalità non disponibili nelle versioni precedenti di Windows.

Configurare una condivisione file VDI dedicata per l'intelligence sulla sicurezza

In Windows 10 versione 1903, Microsoft ha introdotto la funzionalità di intelligence per la sicurezza condivisa, che scarica il disimballaggio degli aggiornamenti dell'intelligence di sicurezza scaricati in un computer host. Questo metodo riduce l'utilizzo delle risorse di CPU, disco e memoria nei singoli computer. L'intelligence di sicurezza condivisa ora funziona su Windows 10 versione 1703 e successive. È possibile configurare questa funzionalità usando Criteri di gruppo o PowerShell.

Criteri di gruppo

1. Nel computer di gestione Criteri di gruppo aprire Criteri di gruppo Management Console, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e quindi scegliere Modifica.

2. Nella Editor gestione Criteri di gruppo passare a Configurazione computer.

3. Selezionare Modelli amministrativi. Espandere l'albero in Componenti >di WindowsMicrosoft Defender Aggiornamenti Antivirus>Security Intelligence.

4. Fare doppio clic su Definisci posizione di intelligence di sicurezza per i client VDI e quindi impostare l'opzione su Abilitato. Viene visualizzato automaticamente un campo.

5. Nel campo digitare \\<File Server shared location\>\wdav-update. Per informazioni su questo valore, vedere Scaricare e annullare il pacchetto.

6. Selezionare OK e quindi distribuire l'oggetto Criteri di gruppo nelle macchine virtuali da testare.

PowerShell

1. In ogni dispositivo RDS o VDI usare il cmdlet seguente per abilitare la funzionalità:

   Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

2. Eseguire il push dell'aggiornamento come si esegue normalmente il push dei criteri di configurazione basati su PowerShell nelle macchine virtuali. Vedere la sezione Download e unpackage in questo articolo. Cercare la voce di posizione condivisa .

Scaricare e decomprimere gli aggiornamenti più recenti

È ora possibile iniziare a scaricare e installare nuovi aggiornamenti. Questa sezione contiene uno script di PowerShell di esempio che è possibile usare. Questo script è il modo più semplice per scaricare nuovi aggiornamenti e prepararli per le macchine virtuali. È quindi necessario impostare lo script per l'esecuzione in un determinato momento nel computer di gestione usando un'attività pianificata. In alternativa, se si ha familiarità con l'uso di script di PowerShell in Azure, Intune o Configuration Manager, è possibile usare tali script.

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

È possibile impostare un'attività pianificata per l'esecuzione una volta al giorno in modo che ogni volta che il pacchetto viene scaricato e decompresso le macchine virtuali ricevano il nuovo aggiornamento. È consigliabile iniziare con una volta al giorno, ma è consigliabile sperimentare l'aumento o la riduzione della frequenza per comprendere l'impatto.

I pacchetti di intelligence per la sicurezza vengono in genere pubblicati una volta ogni tre o quattro ore. L'impostazione di una frequenza inferiore a quattro ore non è consigliabile perché aumenta il sovraccarico di rete nel computer di gestione senza alcun vantaggio.

È anche possibile configurare il server singolo o il computer per recuperare gli aggiornamenti per conto delle macchine virtuali a un intervallo e inserirli nella condivisione file per l'utilizzo. Questa configurazione è possibile quando i dispositivi hanno l'accesso in lettura e condivisione (autorizzazioni NTFS) alla condivisione in modo che possano acquisire gli aggiornamenti. Per configurare questa configurazione, seguire questa procedura:

1. Creare una condivisione file SMB/CIFS.

2. Usare l'esempio seguente per creare una condivisione file con le autorizzazioni di condivisione seguenti.

   
   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   
   

   Nota

   Viene aggiunta un'autorizzazione NTFS per Authenticated Users:Read:.

   Per questo esempio, la condivisione file è \\FileServer.fqdn\mdatp$\wdav-update.

Impostare un'attività pianificata per l'esecuzione dello script di PowerShell

1. Nel computer di gestione aprire il menu Start e digitare Task Scheduler. Dai risultati selezionare Utilità di pianificazione e quindi crea attività nel pannello laterale.

2. Specificare il nome come Security intelligence unpacker.

3. Nella scheda Trigger selezionare Nuovo...>Ogni giorno e selezionare OK.

4. Nella scheda Azioni selezionare Nuovo.....

5. Specificare PowerShell nel campo Programma/Script .

6. Nel campo Aggiungi argomenti digitare -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1e quindi selezionare OK.

7. Configurare eventuali altre impostazioni in base alle esigenze.

8. Selezionare OK per salvare l'attività pianificata.

Per avviare manualmente l'aggiornamento, fare clic con il pulsante destro del mouse sull'attività e quindi scegliere Esegui.

Scaricare e annullare manualmente il pacchetto

Se si preferisce eseguire tutte le operazioni manualmente, ecco cosa fare per replicare il comportamento dello script:

1. Creare una nuova cartella nella radice di sistema chiamata wdav_update per archiviare gli aggiornamenti di intelligence. Ad esempio, creare la cartella c:\wdav_update.

2. Creare una sottocartella in wdav_update con un nome GUID, ad esempio {00000000-0000-0000-0000-000000000000}

   Ecco un esempio: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   Nota

   Lo script viene impostato in modo che le ultime 12 cifre del GUID siano l'anno, il mese, il giorno e l'ora in cui il file è stato scaricato in modo che ogni volta venga creata una nuova cartella. È possibile modificare questa impostazione in modo che il file venga scaricato nella stessa cartella ogni volta.

3. Scaricare un pacchetto di security intelligence dalla https://www.microsoft.com/wdsi/definitions cartella GUID. Il file deve essere denominato mpam-fe.exe.

4. Aprire una finestra del prompt dei comandi e passare alla cartella GUID creata. Usare il /X comando di estrazione per estrarre i file. Ad esempio, mpam-fe.exe /X.

   Nota

   Le macchine virtuali prelevano il pacchetto aggiornato ogni volta che viene creata una nuova cartella GUID con un pacchetto di aggiornamento estratto o ogni volta che una cartella esistente viene aggiornata con un nuovo pacchetto estratto.

impostazioni di configurazione dell'antivirus Microsoft Defender

È importante sfruttare le funzionalità di protezione dalle minacce incluse abilitandole con le impostazioni di configurazione consigliate seguenti.  È ottimizzato per gli ambienti VDI.

Consiglio

I modelli amministrativi più recenti di Criteri di gruppo di Windows sono disponibili in Crea e gestisci Archivio centrale.

Radice

• Configurare il rilevamento per le applicazioni potenzialmente indesiderate: Enabled - Block

• Configurare il comportamento di unione dell'amministratore locale per gli elenchi: Disabled

• Controllare se le esclusioni sono visibili agli amministratori locali: Enabled

• Disattivare la correzione di routine: Disabled

• Casualizzare le analisi pianificate: Enabled

Interfaccia client

• Abilitare la modalità interfaccia utente headless: Enabled

  Nota

  Questo criterio nasconde l'intera interfaccia utente Microsoft Defender Antivirus agli utenti finali dell'organizzazione.

• Elimina tutte le notifiche: Enabled

Nota

In alcuni casi, Microsoft Defender notifiche antivirus vengono inviate o mantenute in più sessioni. Per evitare confusione dell'utente, è possibile bloccare l'interfaccia utente Microsoft Defender Antivirus. L'eliminazione delle notifiche impedisce che le notifiche Microsoft Defender Antivirus vengano visualizzate al termine delle analisi o vengano eseguite azioni di correzione. Tuttavia, il team delle operazioni di sicurezza visualizza i risultati di un'analisi se viene rilevato e arrestato un attacco. Gli avvisi, ad esempio un avviso di accesso iniziale, vengono generati e visualizzati nel portale di Microsoft Defender.

MAPPE

• Partecipare a Microsoft MAPS (Attivare la protezione fornita dal cloud): Enabled - Advanced MAPS

• Inviare esempi di file quando è necessaria un'ulteriore analisi: Send all samples (more secure) o Send safe sample (less secure)

MPEngine

• Configurare il controllo cloud esteso: 20

• Selezionare il livello di protezione cloud: Enabled - High

• Abilitare la funzionalità di calcolo dell'hash dei file: Enabled

Nota

"Abilita funzionalità di calcolo dell'hash dei file" è necessario solo se si usa Indicatori - Hash file.  Può causare una maggiore quantità di utilizzo della CPU, poiché deve analizzare ogni file binario su disco per ottenere l'hash del file.

Protezione in tempo reale

• Configurare il monitoraggio per l'attività di file e programmi in ingresso e in uscita: Enabled – bi-directional (full on-access)

• Monitorare l'attività di file e programmi nel computer: Enabled

• Analizzare tutti i file e gli allegati scaricati: Enabled

• Attivare il monitoraggio del comportamento: Enabled

• Attivare l'analisi dei processi ogni volta che è abilitata la protezione in tempo reale: Enabled

• Attivare le notifiche di scrittura del volume non elaborato: Enabled

Scansioni

• Prima di eseguire un'analisi pianificata, verificare la disponibilità di informazioni di sicurezza di virus e spyware più recenti: Enabled

• Analizzare i file di archivio: Enabled

• Analizzare i file di rete: Not configured

• Analizzare i file eseguibili compressi: Enabled

• Analizzare le unità rimovibili: Enabled

• Attivare l'analisi completa di recupero (disabilita l'analisi completa di recupero): Not configured

• Attivare l'analisi rapida di recupero (disabilita analisi rapida di recupero): Not configured

  Nota

  Se si vuole applicare la protezione avanzata, è possibile impostare l'opzione "Attiva analisi rapida di recupero" in abilitata, che aiuterà quando le macchine virtuali sono state offline e hanno perso due o più analisi pianificate consecutive.  Tuttavia, poiché esegue un'analisi pianificata, userà una CPU aggiuntiva.

• Attivare l'analisi della posta elettronica: Enabled

• Attivare l'euristica: Enabled

• Attivare l'analisi del reparse point: Enabled

Impostazioni generali dell'analisi pianificata

• Configurare una priorità bassa della CPU per le analisi pianificate (usare la priorità bassa della CPU per le analisi pianificate): Not configured

• Specificare la percentuale massima di utilizzo della CPU durante un'analisi (limite di utilizzo della CPU per analisi): 50

• Avviare l'analisi pianificata solo quando il computer è acceso ma non in uso (ScanOnlyIfIdle): Not configured

• Usare il cmdlet seguente per arrestare un'analisi rapida o pianificata ogni volta che il dispositivo diventa inattivo se è in modalità passiva.

  
  Set-MpPreference -ScanOnlyIfIdleEnabled $false
  
  

Consiglio

L'impostazione "Avvia l'analisi pianificata solo quando il computer è acceso ma non in uso" impedisce una contesa significativa della CPU in ambienti ad alta densità.

Analisi rapida giornaliera

• Specificare l'intervallo per eseguire analisi rapide al giorno: Not configured

• Specificare l'ora per un'analisi rapida giornaliera (Eseguire l'analisi rapida giornaliera all'indirizzo): 12 PM

Eseguire un'analisi pianificata settimanale (veloce o completa)

• Specificare il tipo di analisi da usare per un'analisi pianificata (tipo di analisi): Not configured

• Specificare l'ora del giorno per eseguire un'analisi pianificata (giorno della settimana per eseguire l'analisi pianificata): Not configured

• Specificare il giorno della settimana per eseguire un'analisi pianificata (ora del giorno per eseguire un'analisi pianificata): Not configured

Aggiornamenti di Intelligence per la sicurezza

• Attivare l'analisi dopo l'aggiornamento dell'intelligence per la sicurezza (disabilitare le analisi dopo un aggiornamento): Disabled

  Nota

  La disabilitazione di un'analisi dopo un aggiornamento dell'intelligence per la sicurezza impedisce che si verifichi un'analisi dopo aver ricevuto un aggiornamento. È possibile applicare questa impostazione durante la creazione dell'immagine di base se è stata eseguita anche un'analisi rapida. In questo modo, è possibile impedire che la macchina virtuale appena aggiornata esegua di nuovo un'analisi( come è già stata analizzata al momento della creazione dell'immagine di base).

  Importante

  L'esecuzione di analisi dopo un aggiornamento consente di garantire che le macchine virtuali siano protette con gli aggiornamenti di security intelligence più recenti. La disabilitazione di questa opzione riduce il livello di protezione delle macchine virtuali e deve essere usata solo durante la prima creazione o distribuzione dell'immagine di base.

• Specificare l'intervallo per verificare la disponibilità di aggiornamenti dell'intelligence per la sicurezza (immettere la frequenza con cui verificare la disponibilità di aggiornamenti delle funzionalità di intelligence per la sicurezza): Enabled - 8

• Lasciare le altre impostazioni nello stato predefinito

Minacce

• Specificare i livelli di avviso delle minacce a cui non è consigliabile eseguire un'azione predefinita quando viene rilevata: Enabled

• Impostare Severe (5), High (4), Medium (2)e Low (1) tutti su Quarantine (2), come illustrato nella tabella seguente:

  Nome valore	Valore
  1 (Basso)	2
  2 (Medio)	2
  4 (Alto)	2
  5 (Grave)	2

Regole di riduzione della superficie di attacco

Configurare tutte le regole disponibili in Audit.

Abilitare la protezione di rete

Impedire a utenti e app di accedere a siti Web pericolosi (Abilita protezione di rete): Enabled - Audit mode.

SmartScreen per Microsoft Edge

• Richiedi SmartScreen per Microsoft Edge: Yes

• Bloccare l'accesso a siti dannosi: Yes

• Blocca il download di file non verificato: Yes

Eseguire l'attività pianificata Manutenzione cache di Windows Defender

Ottimizzare l'attività pianificata "Windows Defender Cache Maintenance" per ambienti VDI non persistenti e/o persistenti. Eseguire questa attività nell'immagine principale prima del sealing.

1. Aprire il mmc utilità di pianificazione (taskschd.msc).

2. Espandere Libreria> utilità di pianificazioneMicrosoft>Windows>Defender e quindi fare clic con il pulsante destro del mouse su Manutenzione cache di Windows Defender.

3. Selezionare Esegui e consentire il completamento dell'attività pianificata.

   Avviso

   In caso contrario, può causare un utilizzo maggiore della CPU mentre l'attività di manutenzione della cache è in esecuzione in ognuna delle macchine virtuali.

Abilitare la protezione da manomissione

Abilitare la protezione da manomissioni per impedire che Microsoft Defender Antivirus venga disabilitato nel portale di Microsoft Defender.

Esclusioni

Se si ritiene necessario aggiungere esclusioni, vedere Gestire le esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus.

Passaggio successivo

Se si distribuisce anche il rilevamento degli endpoint e la risposta (EDR) alle macchine virtuali VDI basate su Windows, vedere Onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti in Microsoft Defender XDR.

Vedere anche

• Blog della community tecnica: Configurazione di Microsoft Defender Antivirus per computer VDI non persistenti
• Forum di TechNet su Servizi Desktop remoto e VDI
• Script di PowerShell SignatureDownloadCustomTask

Se si cercano informazioni su Defender per endpoint su piattaforme non Windows, vedere le risorse seguenti:

• Microsoft Defender per endpoint su Mac
• Microsoft Defender per Endpoint su Linux
• Funzionalità di configurazione di Microsoft Defender per endpoint su Android
• Funzionalità di configurazione di Microsoft Defender per endpoint su iOS

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.