Del via

Innebygde VDI-enheter (virtual desktop infrastructure) i Microsoft Defender XDR

  • Artikkel

Gjelder for:

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Virtuell skrivebordsinfrastruktur (VDI) er et konsept for IT-infrastruktur som lar sluttbrukere få tilgang til virtuelle skrivebordsforekomster for virksomheter fra nesten alle enheter (for eksempel din personlige datamaskin, smarttelefon eller nettbrett), noe som eliminerer behovet for organisasjon for å gi brukere fysiske maskiner. Bruk av VDI-enheter reduserer kostnadene, ettersom IT-avdelinger ikke lenger er ansvarlige for å administrere, reparere og erstatte fysiske endepunkter. Autoriserte brukere kan få tilgang til de samme firmaserverne, filene, appene og tjenestene fra alle godkjente enheter gjennom en sikker skrivebordsklient eller nettleser.

Som alle andre systemer i et IT-miljø, bør VDI-enheter ha en endepunktregistrerings- og responsløsning (EDR) og antivirusløsning for å beskytte mot avanserte trusler og angrep.

Obs!

Faste VDI-er – Pålasting av en fast VDI-maskin i Microsoft Defender for endepunkt håndteres på samme måte som på en fysisk maskin, for eksempel en stasjonær eller bærbar datamaskin. Gruppepolicy, Microsoft Configuration Manager og andre metoder kan brukes på en fast maskin. Velg den foretrukne pålastingsmetoden under pålasting i Microsoft Defender-portalenhttps://security.microsoft.com, og følg instruksjonene for denne typen. Hvis du vil ha mer informasjon, kan du se Onboarding Windows-klienten.

Pålasting av ikke-vedvarende VDI-enheter (virtual desktop infrastructure)

Defender for Endpoint støtter ikke-vedvarende VDI-øktpålasting. Det kan være tilknyttede utfordringer ved pålasting av VDI-forekomster. Følgende er typiske utfordringer for dette scenarioet:

  • Øyeblikkelig tidlig pålasting av en kortvarig økt, som må være om bord i Defender for endepunkt før faktisk klargjøring.

  • Enhetsnavnet brukes vanligvis på nytt for nye økter.

  • I et VDI-miljø kan VDI-forekomster ha kort levetid. VDI-enheter kan vises i Microsoft Defender-portalen som enten enkeltoppføringer for hver VDI-forekomst eller flere oppføringer for hver enhet.

    • Enkel oppføring for hver VDI-forekomst. Hvis VDI-forekomsten allerede var innebygd i Microsoft Defender for endepunkt, og på et tidspunkt slettet, og deretter gjenopprettet med samme vertsnavn, opprettes ikke et nytt objekt som representerer denne VDI-forekomsten i portalen. I dette tilfellet må samme enhetsnavn konfigureres når økten opprettes, for eksempel ved hjelp av en uovervåket svarfil.

    • Flere oppføringer for hver enhet – én for hver VDI-forekomst.

Viktig

Hvis du distribuerer ikke-faste VM-er gjennom kloningsteknologi, må du kontrollere at de interne virtuelle malene ikke er koblet til Defender for endepunkt. Denne anbefalingen er å unngå at klonede vm-er blir pålastet med samme senseGuid som virtuelle maskiner for maler, noe som kan hindre virtuelle maskiner i å vises som nye oppføringer i enhetslisten.

Følgende trinn veileder deg gjennom pålasting av VDI-enheter og uthever trinnene for enkle og flere oppføringer.

Advarsel

For miljøer der det er lave ressurskonfigurasjoner, kan VDI-oppstartsprosedyren redusere hastigheten på pålastingen til Defender for Endpoint-sensoren.

Pålastingstrinn

Obs!

Windows Server 2016 og Windows Server 2012 R2 må klargjøres ved først å bruke installasjonspakken ved hjelp av instruksjonene i Windows-servere på bord for at denne funksjonen skal fungere.

  1. Åpne VDI-konfigurasjonspakkefilen (WindowsDefenderATPOnboardingPackage.zip) som du lastet ned fra veiviseren for tjenestepålasting. Du kan også få pakken fra Microsoft Defender-portalen.

    1. VelgOnboarding forenhetsbehandling>>for innstillinger> for endepunkter i navigasjonsruten.

    2. Velg operativsystemet.

    3. Velg VDI-pålastingsskript for ikke-faste endepunkter i distribusjonsmetodefeltet.

    4. Velg Last ned pakken , og lagre filen.

  2. Kopier filene fra WindowsDefenderATPOnboardingPackage mappen som er trukket ut fra den pakkede mappen, til det gylne/primære bildet under banen C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    • Hvis du implementerer flere oppføringer for hver enhet – én for hver økt, kopierer du WindowsDefenderATPOnboardingScript.cmd.

    • Hvis du implementerer én enkelt oppføring for hver enhet, kopierer du både Onboard-NonPersistentMachine.ps1 og WindowsDefenderATPOnboardingScript.cmd.

    Obs!

    Hvis du ikke ser mappen, kan den C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup være skjult. Du må velge alternativet Vis skjulte filer og mapper fra Filutforsker.

  3. Åpne et lokalt gruppepolicy Redaktør-vindu, og gå tilOppstart av innstillingerforWindows-innstillinger>> for datamaskinkonfigurasjon>.

    Obs!

    Domene gruppepolicy kan også brukes til pålasting av ikke-vedvarende VDI-enheter.

  4. Avhengig av hvilken metode du vil implementere, følger du de riktige trinnene:

    Metode Trinn
    Enkel oppføring for hver enhet 1. Velg PowerShell-skript-fanen , og velg deretter Legg til (Windows Utforsker åpnes direkte i banen der du kopierte pålastingsskriptet tidligere).
    2. Gå til PowerShell-skript Onboard-NonPersistentMachine.ps1for pålasting. Det er ikke nødvendig å angi den andre filen, da den utløses automatisk.
    Flere oppføringer for hver enhet 1. Velg Skript-fanen, og velg deretter Legg til (Windows Utforsker åpnes direkte i banen der du kopierte pålastingsskriptet tidligere).
    2. Naviger til pålastings-bash-skriptet WindowsDefenderATPOnboardingScript.cmd.

  5. Test løsningen ved å følge disse trinnene:

    1. Opprett et utvalg med én enhet.

    2. Logg deg på enheten.

    3. Logg av på enheten.

    4. Logg på enheten ved hjelp av en annen konto.

    5. Avhengig av hvilken metode du vil implementere, følger du de riktige trinnene:

  6. Velg Enhet-listen i navigasjonsruten.

  7. Bruk søkefunksjonen ved å skrive inn enhetsnavnet og velge Enhet som søketype.

For SKU-er med undernivå (Windows Server 2008 R2)

Obs!

Disse instruksjonene for andre Windows Server-versjoner gjelder også hvis du kjører forrige Microsoft Defender for endepunkt for Windows Server 2016 og Windows Server 2012 R2 som krever MMA. Instruksjoner for å overføre til den nye enhetlige løsningen er på serveroverføringsscenarioer i Microsoft Defender for endepunkt.

Følgende register er bare relevant når målet er å oppnå en enkelt oppføring for hver enhet.

  1. Angi registerverdien som følger:

    
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
 "VDI"="NonPersistent"

    Du kan også bruke kommandolinjen på følgende måte:

    
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Følg prosessen for serverpålasting.

Oppdatere VDI-bilder (virtuell skrivebordsinfrastruktur) (vedvarende eller ikke-vedvarende)

Med muligheten til enkelt å distribuere oppdateringer til virtuelle maskiner som kjører i VM-er, har vi forkortet denne veiledningen for å fokusere på hvordan du kan få oppdateringer på maskinene dine raskt og enkelt. Du trenger ikke lenger å opprette og forsegle gylne bilder med jevne mellomrom, ettersom oppdateringer utvides til komponentbitene på vertsserveren og deretter lastes ned direkte til den virtuelle maskinen når den er slått på.

Hvis du har lagt inn det primære bildet av VDI-miljøet (SENSE-tjenesten kjører), må du gå om bord og fjerne noen data før du setter bildet tilbake i produksjon.

  1. Om bord på maskinen.

  2. Kontroller at sensoren stoppes ved å kjøre følgende kommando i et CMD-vindu:

    
sc query sense

  3. Kjør følgende kommandoer i et CMD-vindu::

    
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Bruker du en tredjepart for VDIer?

Hvis du distribuerer ikke-vedvarende VM-er gjennom VMware øyeblikkelig kloning eller lignende teknologier, må du kontrollere at de interne virtuelle malene og virtuelle virtuelle maskiner for replikaer ikke er innebygd i Defender for Endpoint. Hvis du registrerer enheter ved hjelp av enkel oppføring-metoden, kan øyeblikkelige kloner som er klargjort fra innebygde virtuelle maskiner, ha samme senseGuid, og det kan hindre at en ny oppføring blir oppført ienhetslagervisningen (velg Aktivaenheter> i Microsoft Defender-portalen).

Hvis enten det primære bildet, mal-VM-en eller den virtuelle replikaen er innebygd i Defender for endepunkt ved hjelp av metoden for enkel oppføring, stopper det Defender for Endpoint fra å opprette oppføringer for nye ikke-faste VDIer i Microsoft Defender-portalen.

Ta kontakt med tredjepartsleverandørene for mer hjelp.

Etter pålasting av enheter til tjenesten, er det viktig å dra nytte av de inkluderte funksjonene for trusselbeskyttelse ved å aktivere dem med følgende anbefalte konfigurasjonsinnstillinger.

Neste generasjons beskyttelseskonfigurasjon

Konfigurasjonsinnstillingene i denne koblingen anbefales: Konfigurere Microsoft Defender Antivirus på et eksternt skrivebord eller et virtuelt skrivebordsinfrastrukturmiljø.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.