Delen via

Microsoft Defender Antivirus configureren in een omgeving met extern bureaublad of virtuele bureaubladinfrastructuur

  • Artikel

Van toepassing op:

Platforms

  • Windows

Dit artikel is alleen bedoeld voor klanten die gebruikmaken van Microsoft Defender Antivirus-mogelijkheden. Als u Microsoft Defender voor Eindpunt hebt (waaronder Microsoft Defender Antivirus naast andere mogelijkheden voor apparaatbeveiliging), raadpleegt u Niet-permanente VDI-apparaten (Virtual Desktop Infrastructure) onboarden in Microsoft Defender XDR.

U kunt Microsoft Defender Antivirus gebruiken in een extern bureaublad (RDS) of een niet-permanente VDI-omgeving (Virtual Desktop Infrastructure). Met behulp van de richtlijnen in dit artikel kunt u updates configureren om rechtstreeks naar uw RDS- of VDI-omgevingen te downloaden wanneer een gebruiker zich aanmeldt.

In deze handleiding wordt beschreven hoe u Microsoft Defender Antivirus op uw VM's configureert voor optimale beveiliging en prestaties, waaronder het volgende:

Belangrijk

Hoewel een VDI kan worden gehost op Windows Server 2012 of Windows Server 2016, moeten virtuele machines (VM's) minimaal Windows 10 versie 1607 uitvoeren vanwege verbeterde beveiligingstechnologieën en -functies die niet beschikbaar zijn in eerdere versies van Windows.

Een toegewezen VDI-bestandsshare instellen voor beveiligingsinformatie

In Windows 10, versie 1903, heeft Microsoft de functie voor gedeelde beveiligingsinformatie geïntroduceerd, waarmee het uitpakken van gedownloade updates voor beveiligingsinformatie op een hostcomputer wordt offload. Deze methode vermindert het gebruik van CPU-, schijf- en geheugenbronnen op afzonderlijke computers. Gedeelde beveiligingsinformatie werkt nu op Windows 10 versie 1703 en hoger. U kunt deze mogelijkheid instellen met behulp van groepsbeleid of PowerShell.

Groepsbeleid

  1. Open op uw groepsbeleid beheercomputer de groepsbeleid-beheerconsole, klik met de rechtermuisknop op het groepsbeleid-object dat u wilt configureren en selecteer bewerken.

  2. Ga in de Editor groepsbeleid Management naar Computerconfiguratie.

  3. Selecteer Beheersjablonen. Vouw de structuur uit naar Windows-onderdelen>Microsoft Defender Antivirus>Security Intelligence Updates.

  4. Dubbelklik op Locatie van beveiligingsinformatie definiëren voor VDI-clients en stel de optie in op Ingeschakeld. Er wordt automatisch een veld weergegeven.

  5. Typ \\<File Server shared location\>\wdav-updatein het veld . (Zie Downloaden en uitpakken voor hulp bij deze waarde.)

  6. Selecteer OK en implementeer vervolgens het groepsbeleid-object op de VM's die u wilt testen.

PowerShell

  1. Gebruik op elk RDS- of VDI-apparaat de volgende cmdlet om de functie in te schakelen:

    Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

  2. Push de update zoals u normaal gesproken op PowerShell gebaseerde configuratiebeleidsregels naar uw VM's pusht. (Zie de sectie Downloaden en uitpakken in dit artikel. Zoek naar de vermelding van de gedeelde locatie .)

De nieuwste updates downloaden en uitpakken

U kunt nu aan de slag met het downloaden en installeren van nieuwe updates. Deze sectie bevat een PowerShell-voorbeeldscript dat u kunt gebruiken. Dit script is de eenvoudigste manier om nieuwe updates te downloaden en voor te bereiden op uw VM's. Vervolgens moet u het script instellen om op een bepaald moment op de beheercomputer te worden uitgevoerd met behulp van een geplande taak. Als u bekend bent met het gebruik van PowerShell-scripts in Azure, Intune of Configuration Manager, kunt u deze scripts ook gebruiken.


$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

U kunt instellen dat een geplande taak eenmaal per dag wordt uitgevoerd, zodat wanneer het pakket wordt gedownload en uitgepakt, de VM's de nieuwe update ontvangen. We raden u aan om één keer per dag te beginnen, maar u moet experimenteren met het verhogen of verlagen van de frequentie om de impact te begrijpen.

Beveiligingsinformatiepakketten worden doorgaans elke drie tot vier uur gepubliceerd. Het is niet raadzaam een frequentie in te stellen die korter is dan vier uur, omdat dit de netwerkoverhead op uw beheercomputer zonder voordeel verhoogt.

U kunt ook uw enkele server of machine instellen om de updates op te halen namens de VM's met een interval en deze in de bestandsshare te plaatsen voor gebruik. Deze configuratie is mogelijk wanneer de apparaten share- en leestoegang (NTFS-machtigingen) tot de share hebben, zodat ze de updates kunnen downloaden. Voer de volgende stappen uit om deze configuratie in te stellen:

  1. Maak een SMB/CIFS-bestandsshare.

  2. Gebruik het volgende voorbeeld om een bestandsshare te maken met de volgende sharemachtigingen.

    
PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Opmerking

    Er is een NTFS-machtiging toegevoegd voor geverifieerde gebruikers:Lezen:.

    In dit voorbeeld is \\FileServer.fqdn\mdatp$\wdav-updatede bestandsshare .

Een geplande taak instellen om het PowerShell-script uit te voeren

  1. Open op de beheercomputer het menu Start en typ Task Scheduler. Selecteer taakplanner in de resultaten en selecteer vervolgens Taak maken... in het zijvenster.

  2. Geef de naam op als Security intelligence unpacker.

  3. Selecteer op het tabblad Triggerde optie Nieuw...>Dagelijks en selecteer OK.

  4. Selecteer op het tabblad Actiesde optie Nieuw....

  5. Geef op PowerShell in het veld Programma/script .

  6. Typ in het veld -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1Argumenten toevoegen en selecteer OK.

  7. Configureer eventueel andere instellingen.

  8. Selecteer OK om de geplande taak op te slaan.

Als u de update handmatig wilt initiëren, klikt u met de rechtermuisknop op de taak en selecteert u uitvoeren.

Handmatig downloaden en uitpakken

Als u alles liever handmatig wilt doen, kunt u het volgende doen om het gedrag van het script te repliceren:

  1. Maak een nieuwe map in de systeemhoofdmap met de naam wdav_update om intelligence-updates op te slaan. Maak bijvoorbeeld de map c:\wdav_update.

  2. Maak een submap onder wdav_update met een GUID-naam, zoals {00000000-0000-0000-0000-000000000000}

    Hier volgt een voorbeeld: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Opmerking

    We stellen het script zo in dat de laatste 12 cijfers van de GUID het jaar, de maand, de dag en het tijdstip zijn waarop het bestand is gedownload, zodat er elke keer een nieuwe map wordt gemaakt. U kunt dit wijzigen zodat het bestand elke keer naar dezelfde map wordt gedownload.

  3. Download een beveiligingsinformatiepakket van https://www.microsoft.com/wdsi/definitions in de GUID-map. Het bestand moet de naam mpam-fe.exehebben.

  4. Open een opdrachtpromptvenster en navigeer naar de GUID-map die u hebt gemaakt. Gebruik de /X extractieopdracht om de bestanden te extraheren. Bijvoorbeeld mpam-fe.exe /X.

    Opmerking

    De VM's halen het bijgewerkte pakket op wanneer er een nieuwe GUID-map wordt gemaakt met een geëxtraheerd updatepakket of wanneer een bestaande map wordt bijgewerkt met een nieuw uitgepakt pakket.

configuratie-instellingen voor Microsoft Defender Antivirus

Het is belangrijk om te profiteren van de meegeleverde mogelijkheden voor bedreigingsbeveiliging door deze in te schakelen met de volgende aanbevolen configuratie-instellingen.  Het is geoptimaliseerd voor VDI-omgevingen.

Tip

De meest recente beheersjablonen voor Windows-groepsbeleid zijn beschikbaar in Centraal archief maken en beheren.

Wortel

  • Detectie configureren voor mogelijk ongewenste toepassingen: Enabled - Block

  • Samenvoeggedrag van lokale beheerder configureren voor lijsten: Disabled

  • Bepalen of uitsluitingen zichtbaar zijn voor lokale beheerders: Enabled

  • Routineherstel uitschakelen: Disabled

  • Geplande scans willekeurig maken: Enabled

Clientinterface

  • Modus voor hoofdloze gebruikersinterface inschakelen: Enabled

    Opmerking

    Dit beleid verbergt de volledige Microsoft Defender Antivirus-gebruikersinterface voor eindgebruikers in uw organisatie.

  • Alle meldingen onderdrukken: Enabled

Opmerking

Soms worden Microsoft Defender Antivirusmeldingen verzonden naar of blijven bestaan in meerdere sessies. Om verwarring bij gebruikers te voorkomen, kunt u de gebruikersinterface van Microsoft Defender Antivirus vergrendelen. Het onderdrukken van meldingen voorkomt dat meldingen van Microsoft Defender Antivirus worden weergegeven wanneer er scans worden uitgevoerd of herstelacties worden uitgevoerd. Uw beveiligingsteam ziet echter de resultaten van een scan als er een aanval wordt gedetecteerd en gestopt. Waarschuwingen, zoals een waarschuwing voor eerste toegang, worden gegenereerd en weergegeven in de Microsoft Defender portal.

KAARTEN

  • Deelnemen aan Microsoft MAPS (cloudbeveiliging inschakelen): Enabled - Advanced MAPS

  • Bestandsvoorbeelden verzenden wanneer verdere analyse is vereist: Send all samples (more secure) of Send safe sample (less secure)

MPEngine

  • Uitgebreide cloudcontrole configureren: 20

  • Cloudbeveiligingsniveau selecteren: Enabled - High

  • Functie voor bestands-hashberekening inschakelen: Enabled

Opmerking

'Bestands-hashberekeningsfunctie inschakelen' is alleen nodig als u Indicators - File hash gebruikt.  Dit kan leiden tot een hoger CPU-gebruik, omdat het moet parseren via elk binair bestand op schijf om de bestands-hash op te halen.

Realtime-beveiliging

  • Bewaking configureren voor binnenkomende en uitgaande bestands- en programmaactiviteit: Enabled – bi-directional (full on-access)

  • Bestands- en programmaactiviteit op uw computer bewaken: Enabled

  • Alle gedownloade bestanden en bijlagen scannen: Enabled

  • Gedragscontrole inschakelen: Enabled

  • Schakel processcans in wanneer realtime-beveiliging is ingeschakeld: Enabled

  • Schrijfmeldingen voor onbewerkt volume inschakelen: Enabled

Scans

  • Controleer op de nieuwste beveiligingsinformatie over virussen en spyware voordat u een geplande scan uitvoert: Enabled

  • Archiefbestanden scannen: Enabled

  • Netwerkbestanden scannen: Not configured

  • Ingepakte uitvoerbare bestanden scannen: Enabled

  • Verwisselbare stations scannen: Enabled

  • Volledige inhaalscan inschakelen (volledige inhaalscan uitschakelen): Not configured

  • Snelle scan voor inhaalacties inschakelen (snelle inhaalscan uitschakelen): Not configured

    Opmerking

    Als u de beveiliging wilt beperken, kunt u 'Snelle inhaalscan inschakelen' wijzigen in ingeschakeld. Dit helpt wanneer VM's offline zijn geweest en twee of meer opeenvolgende geplande scans hebben gemist.  Maar omdat er een geplande scan wordt uitgevoerd, wordt er extra CPU gebruikt.

  • Scannen via e-mail inschakelen: Enabled

  • Heuristiek inschakelen: Enabled

  • Scannen op reparsepunten inschakelen: Enabled

Algemene geplande scaninstellingen

  • Lage CPU-prioriteit configureren voor geplande scans (gebruik een lage CPU-prioriteit voor geplande scans): Not configured

  • Geef het maximumpercentage van het CPU-gebruik tijdens een scan op (CPU-gebruikslimiet per scan): 50

  • Start de geplande scan alleen wanneer de computer is ingeschakeld, maar niet in gebruik is (ScanOnlyIfIdle): Not configured

  • Gebruik de volgende cmdlet om een snelle of geplande scan te stoppen wanneer het apparaat inactief is als het zich in de passieve modus bevindt.

    
Set-MpPreference -ScanOnlyIfIdleEnabled $false

Tip

De instelling 'Start the geplande scan only when computer is on but not in use' (De geplande scan alleen starten wanneer de computer is ingeschakeld, maar niet in gebruik is) voorkomt aanzienlijke CPU-conflicten in high-densityomgevingen.

Dagelijkse snelle scan

  • Geef het interval op om snelle scans per dag uit te voeren: Not configured

  • Geef de tijd op voor een dagelijkse snelle scan (dagelijkse snelle scan uitvoeren op): 12 PM

Een wekelijkse geplande scan uitvoeren (snel of volledig)

  • Geef het scantype op dat moet worden gebruikt voor een geplande scan (scantype): Not configured

  • Geef het tijdstip op waarop een geplande scan moet worden uitgevoerd (dag van de week om geplande scan uit te voeren): Not configured

  • Geef de dag van de week op waarop een geplande scan moet worden uitgevoerd (tijdstip waarop een geplande scan moet worden uitgevoerd): Not configured

Security Intelligence Updates

  • Scan inschakelen na het bijwerken van beveiligingsinformatie (scans uitschakelen na een update): Disabled

    Opmerking

    Als u een scan uitschakelt na een beveiligingsinformatie-update, voorkomt u dat er een scan plaatsvindt na het ontvangen van een update. U kunt deze instelling toepassen bij het maken van de basisinstallatiekopieën als u ook een snelle scan hebt uitgevoerd. Op deze manier kunt u voorkomen dat de zojuist bijgewerkte VM opnieuw een scan uitvoert (omdat u deze al hebt gescand bij het maken van de basisinstallatiekopieën).

    Belangrijk

    Door scans na een update uit te voeren, zorgt u ervoor dat uw VM's worden beveiligd met de nieuwste updates voor beveiligingsinformatie. Als u deze optie uitschakelt, vermindert u het beveiligingsniveau van uw VM's en moet deze alleen worden gebruikt bij het maken of implementeren van de basisinstallatiekopieën.

  • Geef het interval op om te controleren op updates van beveiligingsinformatie (geef aan hoe vaak er moet worden gecontroleerd op updates voor beveiligingsupdates): Enabled - 8

  • Andere instellingen in de standaardstatus laten staan

Bedreigingen

  • Geef waarschuwingsniveaus voor bedreigingen op waarbij standaardactie niet moet worden uitgevoerd wanneer deze worden gedetecteerd: Enabled

  • Stel Severe (5), High (4), Medium (2)en Low (1) alle in op Quarantine (2), zoals wordt weergegeven in de volgende tabel:

    Waardenaam Waarde
    1 (Laag) 2
    2 (Gemiddeld) 2
    4 (Hoog) 2
    5 (Ernstig) 2

Regels voor het verminderen van kwetsbaarheid voor aanvallen

Configureer alle beschikbare regels op Audit.

Netwerkbeveiliging inschakelen

Voorkomen dat gebruikers en apps toegang hebben tot gevaarlijke websites (netwerkbeveiliging inschakelen): Enabled - Audit mode.

SmartScreen voor Microsoft Edge

  • SmartScreen vereisen voor Microsoft Edge: Yes

  • Toegang tot schadelijke sites blokkeren: Yes

  • Het downloaden van niet-geverifieerde bestanden blokkeren: Yes

De geplande taak Windows Defender Cache-onderhoud uitvoeren

Optimaliseer de geplande taak Windows Defender Cache-onderhoud voor niet-permanente en/of permanente VDI-omgevingen. Voer deze taak uit op de hoofdafbeelding voordat u deze verzegelt.

  1. Open de mmc van taakplanner (taskschd.msc).

  2. Vouw Task Scheduler Library>Microsoft>Windows>Defender uit en klik vervolgens met de rechtermuisknop op Onderhoud van Windows Defender-cache.

  3. Selecteer Uitvoeren en laat de geplande taak eindigen.

    Waarschuwing

    Als u dit niet doet, kan dit leiden tot een hoger CPU-gebruik terwijl de cacheonderhoudstaak wordt uitgevoerd op elk van de VM's.

Manipulatiebeveiliging inschakelen

Schakel manipulatiebeveiliging in om te voorkomen dat Microsoft Defender Antivirus wordt uitgeschakeld in de Microsoft Defender-portal.

Uitsluitingen

Als u denkt dat u uitsluitingen moet toevoegen, raadpleegt u Uitsluitingen beheren voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus.

Volgende stap

Als u ook eindpuntdetectie en -respons (EDR) implementeert op uw Windows-VDI-VM's, raadpleegt u Niet-permanente VDI-apparaten (Virtual Desktop Infrastructure) onboarden in Microsoft Defender XDR.

Zie ook

Als u op zoek bent naar informatie over Defender voor Eindpunt op niet-Windows-platforms, raadpleegt u de volgende bronnen:

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.