Niet-permanente VDI-apparaten (Virtual Desktop Infrastructure) onboarden in Microsoft Defender XDR
Virtual Desktop Infrastructure (VDI) is een it-infrastructuurconcept waarmee eindgebruikers vanaf vrijwel elk apparaat (zoals uw pc, smartphone of tablet) toegang hebben tot instanties van virtuele bedrijfscomputers, waardoor organisatie gebruikers geen fysieke machines meer hoeft te bieden. Het gebruik van VDI-apparaten verlaagt de kosten omdat IT-afdelingen niet langer verantwoordelijk zijn voor het beheren, repareren en vervangen van fysieke eindpunten. Geautoriseerde gebruikers hebben toegang tot dezelfde bedrijfsservers, bestanden, apps en services vanaf elk goedgekeurd apparaat via een beveiligde desktopclient of browser.
Net als elk ander systeem in een IT-omgeving moeten ook deze een EDR- en antivirusoplossing (Endpoint Detection and Response) hebben om bescherming te bieden tegen geavanceerde bedreigingen en aanvallen.
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
- VDI-apparaten (Virtual Desktop Infrastructure)
- Windows 10, Windows 11, Windows Server 2019, Windows Server 2022, Windows Server 2008R2/2012R2/2016
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Opmerking
Permanente VDI's: het onboarden van een permanente VDI-machine in Microsoft Defender voor Eindpunt wordt op dezelfde manier verwerkt als het onboarden van een fysieke machine, zoals een desktop of laptop. Groepsbeleid, Microsoft Configuration Manager en andere methoden kunnen worden gebruikt om een permanente machine te onboarden. Selecteer in de Microsoft Defender-portal(https://security.microsoft.com) onder onboarding de gewenste onboardingmethode en volg de instructies voor dat type. Zie Windows-client onboarden voor meer informatie.
Onboarding van niet-permanente VDI-apparaten (Virtual Desktop Infrastructure)
Defender voor Eindpunt ondersteunt niet-permanente onboarding van VDI-sessies.
Er kunnen problemen zijn bij het onboarden van VDI-exemplaren. Hier volgen typische uitdagingen voor dit scenario:
- Onmiddellijke vroege onboarding van een sessie met een korte levensduur, die moet worden toegevoegd aan Defender voor Eindpunt voordat de daadwerkelijke inrichting wordt uitgevoerd.
- De apparaatnaam wordt meestal opnieuw gebruikt voor nieuwe sessies.
In een VDI-omgeving kunnen VDI-exemplaren een korte levensduur hebben. VDI-apparaten kunnen in de Microsoft Defender portal worden weergegeven als afzonderlijke vermeldingen voor elk VDI-exemplaar of als meerdere vermeldingen voor elk apparaat.
Eén vermelding voor elk VDI-exemplaar. Als het VDI-exemplaar al is toegevoegd aan Microsoft Defender voor Eindpunt, op een bepaald moment is verwijderd en vervolgens opnieuw is gemaakt met dezelfde hostnaam, wordt er geen nieuw object gemaakt dat dit VDI-exemplaar vertegenwoordigt in de portal.
Opmerking
In dit geval moet dezelfde apparaatnaam worden geconfigureerd wanneer de sessie wordt gemaakt, bijvoorbeeld met behulp van een antwoordbestand zonder toezicht.
Meerdere vermeldingen voor elk apparaat: één voor elk VDI-exemplaar.
Belangrijk
Als u niet-permanente VDI's implementeert via kloontechnologie, moet u ervoor zorgen dat uw interne sjabloon-VM's niet zijn onboarding naar Defender for Endpoint. Deze aanbeveling is om te voorkomen dat gekloonde VM's worden onboarden met dezelfde senseGuid als uw sjabloon-VM's, waardoor VM's mogelijk niet als nieuwe vermeldingen in de lijst Apparaten worden weergegeven.
In de volgende stappen wordt u begeleid bij het onboarden van VDI-apparaten en worden de stappen voor één en meerdere vermeldingen gemarkeerd.
Waarschuwing
Voor omgevingen met weinig resourceconfiguraties kan de VDI-opstartprocedure de onboarding van de Defender for Endpoint-sensor vertragen.
Onboardingstappen
Opmerking
Windows Server 2016 en Windows Server 2012 R2 moeten worden voorbereid door het installatiepakket eerst toe te passen met behulp van de instructies in Onboard Windows-servers om deze functie te laten werken.
Open het VDI-configuratiepakket .zip bestand (WindowsDefenderATPOnboardingPackage.zip) dat u hebt gedownload via de wizard voor onboarding van de service. U kunt het pakket ook ophalen via de Microsoft Defender-portal:
Selecteer in het navigatiedeelvenster Instellingen>Eindpunten>Onboarding van apparaatbeheer>.
Selecteer het besturingssysteem.
Selecteer in het veld Implementatiemethodede optie VDI-onboardingscripts voor niet-permanente eindpunten.
Klik op Pakket downloaden en sla het .zip-bestand op.
Kopieer de bestanden uit de map WindowsDefenderATPOnboardingPackage die is geëxtraheerd uit het bestand .zip naar de gouden/primaire afbeelding onder het pad
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
.Als u meerdere vermeldingen voor elk apparaat implementeert, één voor elke sessie, kopieert u WindowsDefenderATPOnboardingScript.cmd.
Als u één vermelding voor elk apparaat implementeert, kopieert u zowel Onboard-NonPersistentMachine.ps1 als WindowsDefenderATPOnboardingScript.cmd.
Opmerking
Als u de
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
map niet ziet, is deze mogelijk verborgen. U moet de optie Verborgen bestanden en mappen weergeven kiezen in Bestandenverkenner.Open een lokaal groepsbeleid Editor venster en navigeer naar Computerconfiguratie>Windows-instellingen>Scripts>opstarten.
Opmerking
Domein groepsbeleid kan ook worden gebruikt voor het onboarden van niet-permanente VDI-apparaten.
Afhankelijk van de methode die u wilt implementeren, volgt u de juiste stappen:
Voor één vermelding voor elk apparaat:
Selecteer het tabblad PowerShell-scripts en selecteer vervolgens Toevoegen (Windows Verkenner wordt rechtstreeks geopend in het pad waar u het onboardingscript eerder hebt gekopieerd). Navigeer naar onboarding van PowerShell-script
Onboard-NonPersistentMachine.ps1
. Het is niet nodig om het andere bestand op te geven, omdat het automatisch wordt geactiveerd.Voor meerdere vermeldingen voor elk apparaat:
Selecteer het tabblad Scripts en klik vervolgens op Toevoegen (Windows Verkenner wordt rechtstreeks geopend in het pad waar u het onboardingscript eerder hebt gekopieerd). Navigeer naar het bash-script
WindowsDefenderATPOnboardingScript.cmd
voor onboarding.
Test uw oplossing:
Creatie een groep met één apparaat.
Meld u aan bij het apparaat.
Meld u af vanaf het apparaat.
Meld u aan bij het apparaat met een andere gebruiker.
Afhankelijk van de methode die u wilt implementeren, volgt u de juiste stappen:
- Voor één vermelding voor elk apparaat: controleer slechts één vermelding in Microsoft Defender portal.
- Voor meerdere vermeldingen voor elk apparaat: controleer meerdere vermeldingen in Microsoft Defender portal.
Klik op Lijst apparaten in het navigatiedeelvenster.
Gebruik de zoekfunctie door de apparaatnaam in te voeren en Apparaat als zoektype te selecteren.
Voor downlevel SKU's (Windows Server 2008 R2)
Opmerking
Deze instructies voor andere Windows-serverversies zijn ook van toepassing als u de vorige Microsoft Defender voor Eindpunt uitvoert voor Windows Server 2016 en Windows Server 2012 R2 waarvoor de MMA is vereist. Instructies voor het migreren naar de nieuwe geïntegreerde oplossing zijn te zien in Servermigratiescenario's in Microsoft Defender voor Eindpunt.
Het volgende register is alleen relevant als het doel is om één vermelding voor elk apparaat te bereiken.
Stel de registerwaarde in op:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging] "VDI"="NonPersistent"
of met behulp van de opdrachtregel:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
Volg het onboardingproces van de server.
Installatiekopieën van virtuele bureaubladinfrastructuur (VDI) bijwerken (permanent of niet-permanent)
Met de mogelijkheid om eenvoudig updates te implementeren op VM's die worden uitgevoerd in VDs, hebben we deze handleiding ingekort om ons te richten op hoe u snel en eenvoudig updates op uw machines kunt krijgen. U hoeft niet langer periodiek gouden installatiekopieën te maken en te verzegelen, omdat updates worden uitgebreid naar hun onderdeelbits op de hostserver en vervolgens rechtstreeks naar de VM worden gedownload wanneer deze is ingeschakeld.
Als u de primaire installatiekopieën van uw VDI-omgeving (SENSE-service wordt uitgevoerd) hebt onboardd, moet u enkele gegevens offboarden en wissen voordat u de installatiekopieën weer in productie neemt.
Zorg ervoor dat de sensor is gestopt door de volgende opdracht uit te voeren in een CMD-venster:
sc query sense
Voer de volgende opdrachten uit in een CMD-venster:
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f exit
Gebruikt u een derde partij voor VDss?
Als u niet-permanente VDI's implementeert via VMware Instant Clonening of vergelijkbare technologieën, moet u ervoor zorgen dat uw interne sjabloon-VM's en replica-VM's niet zijn onboarding naar Defender for Endpoint. Als u apparaten onboardt met behulp van de methode voor eenmalige invoer, kunnen directe klonen die zijn ingericht vanaf onboarding-VM's dezelfde senseGuid hebben en die kunnen voorkomen dat een nieuwe vermelding wordt weergegeven in de weergave Apparaatinventaris (kies>activaapparaten in de Microsoft Defender-portal).
Als de primaire installatiekopieën, sjabloon-VM's of replica-VM's met behulp van de methode voor één vermelding zijn toegevoegd aan Defender voor Eindpunt, wordt voorkomen dat Defender vermeldingen maakt voor nieuwe niet-permanente VFI's in de Microsoft Defender-portal.
Neem contact op met uw externe leveranciers voor verdere hulp.
Andere aanbevolen configuratie-instellingen
Na het onboarden van apparaten voor de service is het belangrijk om te profiteren van de meegeleverde mogelijkheden voor bedreigingsbeveiliging door ze in te schakelen met de volgende aanbevolen configuratie-instellingen.
Beveiligingsconfiguratie van de volgende generatie
De volgende configuratie-instellingen worden aanbevolen:
Cloud Protection Service
- Cloudbeveiliging inschakelen: Ja
- Beveiligingsniveau in de cloud: niet geconfigureerd
- Uitgebreide time-out van Defender Cloud in seconden: 20
Uitsluitingen
- Bekijk hier de aanbevelingen voor het uitsluiten van FXLogix-antivirusprogramma's: Vereisten voor FSLogix.
Realtime-beveiliging
- Alle instellingen inschakelen en instellen om alle bestanden te bewaken
Herstellen
- Aantal dagen om malware in quarantaine te houden: 30
- Toestemming voor voorbeelden verzenden: alle voorbeelden automatisch verzenden
- Actie voor het uitvoeren van mogelijk ongewenste apps: Inschakelen
- Acties voor gedetecteerde bedreigingen:
- Lage bedreiging: Schoon
- Gemiddelde bedreiging, hoge bedreiging, ernstige bedreiging: quarantaine
Scan
- Gearchiveerde bestanden scannen: Ja
- Lage CPU-prioriteit gebruiken voor geplande scans: niet geconfigureerd
- Volledige inhaalscan uitschakelen: niet geconfigureerd
- Snelle scan voor inhaalacties uitschakelen: niet geconfigureerd
- CPU-gebruikslimiet per scan: 50
- Toegewezen netwerkstations scannen tijdens volledige scan: niet geconfigureerd
- Dagelijkse snelle scan uitvoeren om: 12:00 uur
- Scantype: Niet geconfigureerd
- Dag van de week om geplande scan uit te voeren: niet geconfigureerd
- Tijdstip waarop een geplande scan moet worden uitgevoerd: niet geconfigureerd
- Controleren op handtekeningupdates voordat u een scan uitvoert: Ja
Updates
- Voer in hoe vaak u wilt controleren op updates voor beveiligingsinformatie: 8
- Andere instellingen op de standaardstatus laten staan
Gebruikerservaring
- Gebruikerstoegang tot Microsoft Defender-app toestaan: niet geconfigureerd
Manipulatiebeveiliging inschakelen
- Manipulatiebeveiliging inschakelen om te voorkomen dat Microsoft Defender wordt uitgeschakeld: Inschakelen
Kwetsbaarheid voor aanvallen verminderen
- Netwerkbeveiliging inschakelen: testmodus
- SmartScreen voor Microsoft Edge vereisen: Ja
- Toegang tot schadelijke sites blokkeren: Ja
- Het downloaden van niet-geverifieerde bestanden blokkeren: Ja
Regels voor het verminderen van kwetsbaarheid voor aanvallen
- Configureer alle beschikbare regels voor Controle.
Opmerking
Het blokkeren van deze activiteiten kan legitieme bedrijfsprocessen onderbreken. De beste aanpak is om alles in te stellen op controle, te bepalen welke veilig zijn om in te schakelen en vervolgens die instellingen in te schakelen op eindpunten die geen fout-positieve detecties hebben.
Verwante onderwerpen
- Windows-apparaten onboarden met behulp van groepsbeleid
- Windows-apparaten onboarden met Microsoft Configuration Manager
- Windows-apparaten onboarden met behulp van Mobile Device Management-hulpmiddelen
- Windows-apparaten onboarden met behulp van een lokaal script
- Problemen met Microsoft Defender voor Eindpunt onboarding oplossen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.