Konfigurere Microsoft Defender Antivirus på et eksternt skrivebord eller et virtuelt skrivebordsinfrastrukturmiljø

Gjelder for:

• Microsoft Defender Antivirus
• Defender for endepunktplan 1
• Defender for endepunktplan 2

Plattformer

• Windows

Denne artikkelen er utformet for kunder som bare bruker Microsoft Defender antivirusfunksjoner. Hvis du har Microsoft Defender for endepunkt (som inkluderer Microsoft Defender Antivirus sammen med andre funksjoner for enhetsbeskyttelse), kan du se innebygde VDI-enheter (Virtual Desktop Infrastructure) i Microsoft Defender XDR.

Du kan bruke Microsoft Defender Antivirus i et eksternt skrivebord (RDS) eller et ikke-vedvarende VDI-miljø (virtual desktop infrastructure). Ved hjelp av veiledningen i denne artikkelen kan du konfigurere oppdateringer for å laste ned direkte til RDS- eller VDI-miljøer når en bruker logger på.

Denne veiledningen beskriver hvordan du konfigurerer Microsoft Defender Antivirus på virtuelle maskiner for optimal beskyttelse og ytelse, inkludert hvordan du gjør følgende:

• Konfigurere en dedikert VDI-filressurs for sikkerhetsanalyseoppdateringer
• Last ned og pakk ut de nyeste oppdateringene
• Konfigurer antivirusinnstillinger for Microsoft Defender
• Kjør den planlagte oppgaven Vedlikehold av Hurtigbuffer for Windows Defender

Viktig

Selv om en VDI kan driftes på Windows Server 2012 eller Windows Server 2016, bør virtuelle maskiner (VM-er) kjøre Windows 10, versjon 1607 som et minimum, på grunn av økt beskyttelsesteknologi og funksjoner som ikke er tilgjengelige i tidligere versjoner av Windows.

Konfigurere en dedikert VDI-filressurs for sikkerhetsintelligens

I Windows 10, versjon 1903, introduserte Microsoft den delte sikkerhetsintelligensfunksjonen, som avlaster utpakkingen av nedlastede sikkerhetsanalyseoppdateringer på en vertsmaskin. Denne metoden reduserer bruken av prosessor-, disk- og minneressurser på individuelle maskiner. Delt sikkerhetsintelligens fungerer nå på Windows 10, versjon 1703 og nyere. Du kan konfigurere denne funksjonen ved hjelp av gruppepolicy eller PowerShell.

Gruppepolicy

1. Åpne gruppepolicy Administrasjonskonsoll på gruppepolicy-administrasjonsdatamaskinen, høyreklikk på gruppepolicy objektet du vil konfigurere, og velg deretter Rediger.

2. Gå til Datamaskinkonfigurasjon i gruppepolicy Management Redaktør.

3. Velg Administrative maler. Utvid treet til Windows-komponenter>Microsoft Defender Antivirus>Security Intelligence Oppdateringer.

4. Dobbeltklikk Definer plassering av sikkerhetsintelligens for VDI-klienter, og angi deretter alternativet aktivert. Et felt vises automatisk.

5. Skriv inn \\<File Server shared location\>\wdav-updatei feltet . (Hvis du trenger hjelp med denne verdien, kan du se Last ned og pakk ut.)

6. Velg OK, og distribuer deretter det gruppepolicy objektet til de virtuelle maskinene du vil teste.

PowerShell

1. Bruk følgende cmdlet på hver RDS- eller VDI-enhet for å aktivere funksjonen:

   Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

2. Send oppdateringen på vanlig måte for å overføre PowerShell-baserte konfigurasjonspolicyer til virtuelle maskiner. (Se delen Last ned og pakk ut i denne artikkelen. Se etter oppføringen for delt plassering .)

Last ned og pakk ut de nyeste oppdateringene

Nå kan du komme i gang med å laste ned og installere nye oppdateringer. Denne delen inneholder et Eksempel på PowerShell-skript som du kan bruke. Dette skriptet er den enkleste måten å laste ned nye oppdateringer på, og gjøre dem klare for virtuelle maskiner. Du bør deretter angi at skriptet skal kjøre på et bestemt tidspunkt på administrasjonsmaskinen ved hjelp av en planlagt oppgave. Eller hvis du er kjent med å bruke PowerShell-skript i Azure, Intune eller Configuration Manager, kan du bruke disse skriptene i stedet.

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Du kan angi at en planlagt oppgave skal kjøre én gang om dagen, slik at når pakken lastes ned og pakkes ut, mottar vm-ene den nye oppdateringen. Vi foreslår at du starter med én gang om dagen, men du bør eksperimentere med å øke eller redusere frekvensen for å forstå virkningen.

Sikkerhetsetterretningspakker publiseres vanligvis én gang hver tredje til fjerde time. Det anbefales ikke å angi en frekvens som er kortere enn fire timer, fordi det øker nettverksbelastningen på administrasjonsmaskinen uten at det er til nytte.

Du kan også konfigurere én enkelt server eller maskin til å hente oppdateringene på vegne av vm-ene med et intervall og plassere dem i den delte filressursen for bruk. Denne konfigurasjonen er mulig når enhetene har delings- og lesetilgang (NTFS-tillatelser) til delingen, slik at de kan hente oppdateringene. Følg disse trinnene for å konfigurere denne konfigurasjonen:

1. Opprett en delt SMB/CIFS-filressurs.

2. Bruk følgende eksempel til å opprette en delt filressurs med følgende delingstillatelser.

   
   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   
   

   Obs!

   Det legges til en NTFS-tillatelse for Godkjente brukere:Lese:.

   I dette eksemplet er \\FileServer.fqdn\mdatp$\wdav-updateden delte filressursen .

Angi en planlagt oppgave for å kjøre PowerShell-skriptet

1. Åpne Start-menyen på administrasjonsmaskinen, og skriv inn Task Scheduler. Velg Oppgaveplanlegging fra resultatene, og velg deretter Opprett oppgave... i sidepanelet.

2. Angi navnet som Security intelligence unpacker.

3. Velg Ny på Utløser-fanen...>Daglig, og velg OK.

4. Velg Ny...på Handlinger-fanen.

5. Angi PowerShell i Program/skript-feltet .

6. Skriv inn -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1i legg til argumenter-feltet, og velg deretter OK.

7. Konfigurer eventuelle andre innstillinger etter behov.

8. Velg OK for å lagre den planlagte aktiviteten.

Hvis du vil starte oppdateringen manuelt, høyreklikker du aktiviteten og velger Kjør.

Last ned og pakk ut manuelt

Hvis du foretrekker å gjøre alt manuelt, kan du gjøre følgende for å replikere skriptets virkemåte:

1. Opprett en ny mappe på systemroten som kalles wdav_update for lagring av etterretningsoppdateringer. Du kan for eksempel opprette mappen c:\wdav_update.

2. Opprette en undermappe under wdav_update med et GUID-navn, for eksempel {00000000-0000-0000-0000-000000000000}

   Her er et eksempel: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   Obs!

   Vi angir skriptet slik at de siste 12 sifrene i GUID-en er året, måneden, dagen og klokkeslettet da filen ble lastet ned, slik at en ny mappe opprettes hver gang. Du kan endre dette slik at filen lastes ned til samme mappe hver gang.

3. Last ned en sikkerhetsintelligenspakke fra https://www.microsoft.com/wdsi/definitions GUID-mappen. Filen skal ha navnet mpam-fe.exe.

4. Åpne et ledetekstvindu, og gå til GUID-mappen du opprettet. Bruk uttrekkingskommandoen /X til å trekke ut filene. For eksempel mpam-fe.exe /X.

   Obs!

   Vm-ene henter den oppdaterte pakken når en ny GUID-mappe opprettes med en utpakket oppdateringspakke, eller når en eksisterende mappe oppdateres med en ny pakket pakke.

konfigurasjonsinnstillinger for Microsoft Defender Antivirus

Det er viktig å dra nytte av de inkluderte funksjonene for trusselbeskyttelse ved å aktivere dem med følgende anbefalte konfigurasjonsinnstillinger.  Det er optimalisert for VDI-miljøer.

Tips

De nyeste administrative malene for Windows-gruppepolicyer er tilgjengelige i Opprett og administrer Central Store.

Rot

• Konfigurer gjenkjenning for potensielt uønskede programmer: Enabled - Block

• Konfigurer virkemåten for lokal administratorfletting for lister: Disabled

• Kontroller om utelatelser skal være synlige for lokale administratorer: Enabled

• Deaktiver rutinemessig utbedring: Disabled

• Tilfeldige planlagte skanninger: Enabled

Klientgrensesnitt

• Aktiver hodeløs brukergrensesnittmodus: Enabled

  Obs!

  Denne policyen skjuler hele Microsoft Defender Antivirus-brukergrensesnittet for sluttbrukere i organisasjonen.

• Undertrykk alle varsler: Enabled

Obs!

Noen ganger sendes Microsoft Defender antivirusvarsler til eller vedvarer på tvers av flere økter. Hvis du vil unngå brukerforvirring, kan du låse Microsoft Defender Antivirus-brukergrensesnittet. Undertrykking av varsler hindrer at varsler fra Microsoft Defender Antivirus vises når skanninger utføres eller utbedringshandlinger utføres. Sikkerhetsoperasjonsteamet ser imidlertid resultatene av en skanning hvis et angrep oppdages og stoppes. Varsler, for eksempel et innledende tilgangsvarsel, genereres og vises i Microsoft Defender-portalen.

KART

• Bli med i Microsoft MAPS (Aktiver skybasert beskyttelse): Enabled - Advanced MAPS

• Send fileksempler når ytterligere analyse er nødvendig: Send all samples (more secure) eller Send safe sample (less secure)

MPEngine

• Konfigurer utvidet skykontroll: 20

• Velg skybeskyttelsesnivå: Enabled - High

• Aktiver funksjon for hash-kode for fil: Enabled

Obs!

"Aktiver funksjon for hash-kode for fil" er bare nødvendig hvis du bruker Indikatorer – hash-kode for fil.  Det kan føre til høyere prosessorutnyttelse, siden det må analysere gjennom hver binær på disken for å få fil-hash-koden.

Sanntidsbeskyttelse

• Konfigurer overvåking for innkommende og utgående fil- og programaktivitet: Enabled – bi-directional (full on-access)

• Overvåk fil- og programaktivitet på datamaskinen: Enabled

• Skann alle nedlastede filer og vedlegg: Enabled

• Aktiver overvåking av virkemåte: Enabled

• Aktiver prosessskanning når sanntidsbeskyttelse er aktivert: Enabled

• Slå på varsler om rå volumskriving: Enabled

Skanner

• Se etter den nyeste sikkerhetsintelligensen for virus og spionprogrammer før du kjører en planlagt skanning: Enabled

• Skanne arkivfiler: Enabled

• Skann nettverksfiler: Not configured

• Skann pakkede kjørbare filer: Enabled

• Skann flyttbare stasjoner: Enabled

• Slå på fullstendig oppslagsskanning (Deaktiver oppslagsfull skanning): Not configured

• Slå på hurtigskanning for å fange opp (Deaktiver hurtigskanning for oppslag): Not configured

  Obs!

  Hvis du vil herde, kan du endre «Aktiver hurtigskanning for å fange opp» til aktivert, noe som vil hjelpe når virtuelle maskiner har vært frakoblet, og har gått glipp av to eller flere påfølgende planlagte skanninger.  Men siden den kjører en planlagt skanning, vil den bruke ekstra CPU.

• Aktiver skanning av e-post: Enabled

• Slå på heuristikk: Enabled

• Aktiver skanning av reanalyseringspunkt: Enabled

Generelle innstillinger for planlagt skanning

• Konfigurer lav CPU-prioritet for planlagte skanninger (bruk lav CPU-prioritet for planlagte skanninger): Not configured

• Angi maksimal prosentandel prosessorutnyttelse under en skanning (prosessorbruksgrense per skanning): 50

• Start den planlagte skanningen bare når datamaskinen er på, men ikke er i bruk (ScanOnlyIfIdle): Not configured

• Bruk følgende cmdlet til å stoppe en rask eller planlagt skanning når enheten blir inaktiv hvis den er i passiv modus.

  
  Set-MpPreference -ScanOnlyIfIdleEnabled $false
  
  

Tips

Innstillingen «Start den planlagte skanningen bare når datamaskinen er på, men ikke i bruk», forhindrer betydelig CPU-strid i miljøer med høy tetthet.

Daglig hurtigskanning

• Angi intervallet for å kjøre hurtigskanninger per dag: Not configured

• Angi tidspunktet for en daglig hurtigskanning (Kjør daglig hurtigskanning på): 12 PM

Kjør en ukentlig planlagt skanning (rask eller full)

• Angi skannetypen som skal brukes for en planlagt skanning (skannetype): Not configured

• Angi tidspunktet for dagen for å kjøre en planlagt skanning (ukedag for å kjøre planlagt skanning): Not configured

• Angi ukedagen for å kjøre en planlagt skanning (tidspunktet på dagen for å kjøre en planlagt skanning): Not configured

Sikkerhetsetterretning Oppdateringer

• Slå på skanning etter oppdatering av sikkerhetsintelligens (deaktiver skanninger etter en oppdatering): Disabled

  Obs!

  Deaktivering av en skanning etter en oppdatering av sikkerhetsintelligens forhindrer at en skanning oppstår etter å ha mottatt en oppdatering. Du kan bruke denne innstillingen når du oppretter basisbildet hvis du også har kjørt en hurtigskanning. På denne måten kan du hindre at den nylig oppdaterte virtuelle maskinen utfører en skanning på nytt (siden du allerede har skannet den da du opprettet basisbildet).

  Viktig

  Skanninger etter en oppdatering bidrar til å sikre at virtuelle maskiner er beskyttet med de nyeste oppdateringene for sikkerhetsintelligens. Deaktivering av dette alternativet reduserer beskyttelsesnivået for virtuelle maskiner og bør bare brukes når du oppretter eller distribuerer basisavbildningen.

• Angi intervallet for å se etter sikkerhetsanalyseoppdateringer (Angi hvor ofte du vil se etter sikkerhetsanalyseoppdateringer): Enabled - 8

• La andre innstillinger stå i standardtilstanden

Trusler

• Angi trusselvarslingsnivåer der standardhandlingen ikke skal utføres når det oppdages: Enabled

• Angi Severe (5), High (4), Medium (2)og Low (1) alt til Quarantine (2), som vist i tabellen nedenfor:

  Verdinavn	Verdi
  1 (Lav)	2
  2 (Middels)	2
  4 (Høy)	2
  5 (Alvorlig)	2

Regler for reduksjon av angrepsoverflaten

Konfigurer alle tilgjengelige regler til Audit.

Aktiver nettverksbeskyttelse

Hindre brukere og apper i å få tilgang til farlige nettsteder (Aktiver nettverksbeskyttelse): Enabled - Audit mode.

SmartScreen for Microsoft Edge

• Krev SmartScreen for Microsoft Edge: Yes

• Blokker tilgang til skadelig område: Yes

• Blokker ubekreftet filnedlasting: Yes

Kjør den planlagte oppgaven Vedlikehold av Hurtigbuffer for Windows Defender

Optimaliser den planlagte oppgaven «Vedlikehold av Windows Defender Cache» for ikke-vedvarende og/eller vedvarende VDI-miljøer. Kjør denne oppgaven på hovedbildet før du forsegler.

1. Åpne oppgaveplanlegging mmc (taskschd.msc).

2. Utvid oppgaveplanleggingsbiblioteket>Microsoft>Windows Windows>Defender, og høyreklikk deretter Windows Defender Cache Maintenance.

3. Velg Kjør, og la den planlagte aktiviteten avsluttes.

   Advarsel

   Hvis du ikke gjør dette, kan det føre til høyere prosessorutnyttelse mens vedlikeholdsoppgaven for hurtigbufferen kjører på hver av de virtuelle maskinene.

Aktiver beskyttelse av manipulering

Aktiver manipuleringsbeskyttelse for å hindre at Microsoft Defender Antivirus deaktiveres i Microsoft Defender-portalen.

Utelatelser

Hvis du tror du må legge til utelatelser, kan du se Administrere utelatelser for Microsoft Defender for endepunkt og Microsoft Defender Antivirus.

Neste trinn:

Hvis du også distribuerer gjenkjenning og respons for endepunkt (EDR) til de Windows-baserte VIRTUELLE-ene, kan du se innebygde VDI-enheter (Virtual Desktop Infrastructure) i Microsoft Defender XDR.

Se også

• Tech Community Blog: Konfigurere Microsoft Defender Antivirus for ikke-vedvarende VDI-maskiner
• TechNet-fora på Remote Desktop Services og VDI
• SignatureDownloadCustomTask PowerShell-skript

Hvis du leter etter informasjon om Defender for endepunkt på ikke-Windows-plattformer, kan du se følgende ressurser:

• Microsoft Defender for endepunkt på Mac
• Microsoft Defender for endepunkt på Linux
• Konfigurer Defender for endepunkt på Android-funksjoner
• Konfigurer Microsoft Defender for endepunkt for iOS-funksjoner

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.