Delen via

Niet-permanente VDI-apparaten (Virtual Desktop Infrastructure) onboarden in Microsoft Defender XDR

  • Artikel

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Virtual Desktop Infrastructure (VDI) is een it-infrastructuurconcept waarmee eindgebruikers vanaf vrijwel elk apparaat (zoals uw pc, smartphone of tablet) toegang hebben tot instanties van virtuele bedrijfscomputers, waardoor organisatie gebruikers geen fysieke machines meer hoeft te bieden. Het gebruik van VDI-apparaten verlaagt de kosten, omdat IT-afdelingen niet langer verantwoordelijk zijn voor het beheren, repareren en vervangen van fysieke eindpunten. Geautoriseerde gebruikers hebben toegang tot dezelfde bedrijfsservers, bestanden, apps en services vanaf elk goedgekeurd apparaat via een beveiligde desktopclient of browser.

Net als elk ander systeem in een IT-omgeving moeten VDI-apparaten beschikken over een eindpuntdetectie en -respons (EDR) en antivirusoplossing om bescherming te bieden tegen geavanceerde bedreigingen en aanvallen.

Opmerking

Permanente VDI's: het onboarden van een permanente VDI-machine in Microsoft Defender voor Eindpunt wordt op dezelfde manier verwerkt als het onboarden van een fysieke machine, zoals een desktop of laptop. Groepsbeleid, Microsoft Configuration Manager en andere methoden kunnen worden gebruikt om een permanente machine te onboarden. Selecteer in de Microsoft Defender-portal(https://security.microsoft.com) onder onboarding de gewenste onboardingmethode en volg de instructies voor dat type. Zie Windows-client onboarden voor meer informatie.

Onboarding van niet-permanente VDI-apparaten (Virtual Desktop Infrastructure)

Defender voor Eindpunt ondersteunt niet-permanente onboarding van VDI-sessies. Er kunnen problemen zijn bij het onboarden van VDI-exemplaren. Hier volgen typische uitdagingen voor dit scenario:

  • Onmiddellijke vroege onboarding van een sessie met een korte levensduur, die moet worden toegevoegd aan Defender voor Eindpunt voordat de inrichting daadwerkelijk wordt uitgevoerd.

  • De apparaatnaam wordt meestal opnieuw gebruikt voor nieuwe sessies.

  • In een VDI-omgeving kunnen VDI-exemplaren een korte levensduur hebben. VDI-apparaten kunnen in de Microsoft Defender portal worden weergegeven als afzonderlijke vermeldingen voor elk VDI-exemplaar of als meerdere vermeldingen voor elk apparaat.

    • Eén vermelding voor elk VDI-exemplaar. Als het VDI-exemplaar al is toegevoegd aan Microsoft Defender voor Eindpunt, op een bepaald moment is verwijderd en vervolgens opnieuw is gemaakt met dezelfde hostnaam, wordt er geen nieuw object gemaakt dat dit VDI-exemplaar vertegenwoordigt in de portal. In dit geval moet dezelfde apparaatnaam worden geconfigureerd wanneer de sessie wordt gemaakt, bijvoorbeeld met behulp van een antwoordbestand zonder toezicht.

    • Meerdere vermeldingen voor elk apparaat: één voor elk VDI-exemplaar.

Belangrijk

Als u niet-permanente VDI's implementeert via kloontechnologie, moet u ervoor zorgen dat uw interne sjabloon-VM's niet zijn onboarding naar Defender for Endpoint. Deze aanbeveling is om te voorkomen dat gekloonde VM's worden onboarden met dezelfde senseGuid als uw sjabloon-VM's, waardoor VM's mogelijk niet als nieuwe vermeldingen in de lijst Apparaten worden weergegeven.

In de volgende stappen wordt u begeleid bij het onboarden van VDI-apparaten en worden de stappen voor één en meerdere vermeldingen gemarkeerd.

Waarschuwing

Voor omgevingen met weinig resourceconfiguraties kan de VDI-opstartprocedure de onboarding van de Defender for Endpoint-sensor vertragen.

Onboardingstappen

Opmerking

Windows Server 2016 en Windows Server 2012 R2 moeten worden voorbereid door het installatiepakket eerst toe te passen met behulp van de instructies in Onboard Windows-servers om deze functie te laten werken.

  1. Open het VDI-configuratiepakketbestand (WindowsDefenderATPOnboardingPackage.zip) dat u hebt gedownload van de service-onboardingwizard. U kunt het pakket ook ophalen via de Microsoft Defender-portal.

    1. Selecteer in het navigatiedeelvenster Instellingen>Eindpunten>Onboarding van apparaatbeheer>.

    2. Selecteer het besturingssysteem.

    3. Selecteer in het veld Implementatiemethodede optie VDI-onboardingscripts voor niet-permanente eindpunten.

    4. Selecteer Pakket downloaden en sla het bestand op.

  2. Kopieer de bestanden uit de WindowsDefenderATPOnboardingPackage map die is geëxtraheerd uit de gezipte map naar de gouden/primaire afbeelding onder het pad C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    • Als u meerdere vermeldingen voor elk apparaat implementeert, één voor elke sessie, kopieert WindowsDefenderATPOnboardingScript.cmdu .

    • Als u één vermelding voor elk apparaat implementeert, kopieert u zowel WindowsDefenderATPOnboardingScript.cmdals Onboard-NonPersistentMachine.ps1 .

    Opmerking

    Als u de C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup map niet ziet, is deze mogelijk verborgen. U moet de optie Verborgen bestanden en mappen weergeven kiezen in Bestandenverkenner.

  3. Open een lokaal groepsbeleid Editor venster en navigeer naar Computerconfiguratie>Windows-instellingen>Scripts>opstarten.

    Opmerking

    Domein groepsbeleid kan ook worden gebruikt voor het onboarden van niet-permanente VDI-apparaten.

  4. Afhankelijk van de methode die u wilt implementeren, volgt u de juiste stappen:

    Methode Stappen
    Eén vermelding voor elk apparaat 1. Selecteer het tabblad PowerShell-scripts en selecteer vervolgens Toevoegen (Windows Verkenner wordt rechtstreeks geopend in het pad waar u het onboardingscript eerder hebt gekopieerd).
    2. Navigeer naar het onboarden van PowerShell-script Onboard-NonPersistentMachine.ps1. U hoeft het andere bestand niet op te geven, omdat dit automatisch wordt geactiveerd.
    Meerdere vermeldingen voor elk apparaat 1. Selecteer het tabblad Scripts en selecteer vervolgens Toevoegen (Windows Verkenner wordt rechtstreeks geopend in het pad waar u het onboardingscript eerder hebt gekopieerd).
    2. Navigeer naar het bash-script WindowsDefenderATPOnboardingScript.cmdvoor onboarding.

  5. Test uw oplossing door deze stappen te volgen:

    1. Maak een pool met één apparaat.

    2. Meld u aan bij het apparaat.

    3. Meld u af op het apparaat.

    4. Meld u met een ander account aan bij het apparaat.

    5. Afhankelijk van de methode die u wilt implementeren, volgt u de juiste stappen:

  6. Selecteer in het navigatiedeelvenster de lijst Apparaten.

  7. Gebruik de zoekfunctie door de apparaatnaam in te voeren en Apparaat als zoektype te selecteren.

Voor downlevel SKU's (Windows Server 2008 R2)

Opmerking

Deze instructies voor andere Windows-serverversies zijn ook van toepassing als u de vorige Microsoft Defender voor Eindpunt uitvoert voor Windows Server 2016 en Windows Server 2012 R2 waarvoor de MMA is vereist. Instructies voor het migreren naar de nieuwe geïntegreerde oplossing zijn te zien in Servermigratiescenario's in Microsoft Defender voor Eindpunt.

Het volgende register is alleen relevant als het doel is om één vermelding voor elk apparaat te bereiken.

  1. Stel de registerwaarde als volgt in:

    
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
 "VDI"="NonPersistent"

    U kunt ook de opdrachtregel als volgt gebruiken:

    
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Volg het onboardingproces van de server.

Installatiekopieën van virtuele bureaubladinfrastructuur (VDI) bijwerken (permanent of niet-permanent)

Met de mogelijkheid om eenvoudig updates te implementeren op VM's die worden uitgevoerd in VDs, hebben we deze handleiding ingekort om ons te richten op hoe u snel en eenvoudig updates op uw machines kunt krijgen. U hoeft niet langer periodiek gouden installatiekopieën te maken en te verzegelen, omdat updates worden uitgebreid naar hun onderdeelbits op de hostserver en vervolgens rechtstreeks naar de VM worden gedownload wanneer deze is ingeschakeld.

Als u de primaire installatiekopieën van uw VDI-omgeving (SENSE-service wordt uitgevoerd) hebt onboardd, moet u enkele gegevens offboarden en wissen voordat u de installatiekopieën weer in productie neemt.

  1. Offboard van de machine.

  2. Zorg ervoor dat de sensor is gestopt door de volgende opdracht uit te voeren in een CMD-venster:

    
sc query sense

  3. Voer de volgende opdrachten uit in een CMD-venster:

    
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Gebruikt u een derde partij voor VDss?

Als u niet-permanente VDI's implementeert via VMware-direct klonen of vergelijkbare technologieën, moet u ervoor zorgen dat uw interne sjabloon-VM's en replica-VM's niet zijn onboarding naar Defender for Endpoint. Als u apparaten onboardt met behulp van de methode voor eenmalige invoer, kunnen directe klonen die zijn ingericht vanaf onboarding-VM's dezelfde senseGuid hebben en die kunnen voorkomen dat een nieuwe vermelding wordt weergegeven in de weergave Apparaatinventaris (kies>activaapparaten in de Microsoft Defender-portal).

Als de primaire installatiekopieën, sjabloon-VM's of replica-VM's met behulp van de methode voor één vermelding zijn toegevoegd aan Defender voor Eindpunt, wordt voorkomen dat Defender voor Eindpunt vermeldingen maakt voor nieuwe niet-permanente VFI's in de Microsoft Defender-portal.

Neem contact op met uw externe leveranciers voor verdere hulp.

Na het onboarden van apparaten voor de service is het belangrijk om te profiteren van de meegeleverde mogelijkheden voor bedreigingsbeveiliging door ze in te schakelen met de volgende aanbevolen configuratie-instellingen.

Beveiligingsconfiguratie van de volgende generatie

De configuratie-instellingen in deze koppeling worden aanbevolen: Configureer Microsoft Defender Antivirus op een extern bureaublad of virtuele bureaubladinfrastructuuromgeving.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.