Udostępnij za pośrednictwem

Konfigurowanie programu antywirusowego Microsoft Defender na komputerze zdalnym lub w środowisku infrastruktury pulpitu wirtualnego

  • Artykuł

Dotyczy:

Platformy

  • System Windows

Ten artykuł jest przeznaczony dla klientów korzystających tylko z funkcji programu antywirusowego Microsoft Defender. Jeśli masz Ochrona punktu końcowego w usłudze Microsoft Defender (w tym program antywirusowy Microsoft Defender wraz z innymi funkcjami ochrony urządzeń), zobacz Dołączanie nietrwałych urządzeń infrastruktury pulpitu wirtualnego (VDI) w programie Microsoft Defender XDR.

Program antywirusowy Microsoft Defender można używać w środowisku pulpitu zdalnego (RDS) lub nietrwałej infrastruktury pulpitu wirtualnego (VDI). Korzystając ze wskazówek przedstawionych w tym artykule, można skonfigurować aktualizacje do pobierania bezpośrednio do środowisk usług pulpitu zdalnego lub VDI za każdym razem, gdy użytkownik się zaloguje.

W tym przewodniku opisano sposób konfigurowania programu antywirusowego Microsoft Defender na maszynach wirtualnych pod kątem optymalnej ochrony i wydajności, w tym sposobu:

Ważna

Mimo że interfejs VDI może być hostowany na Windows Server 2012 lub Windows Server 2016, maszyny wirtualne powinny działać Windows 10 w wersji 1607 co najmniej ze względu na zwiększone technologie ochrony i funkcje, które są niedostępne we wcześniejszych wersjach systemu Windows.

Konfigurowanie dedykowanego udziału plików VDI na potrzeby analizy zabezpieczeń

W Windows 10, wersja 1903, firma Microsoft wprowadziła udostępnioną funkcję analizy zabezpieczeń, która odciąża rozpakowywanie pobranych aktualizacji analizy zabezpieczeń na maszynie hosta. Ta metoda zmniejsza użycie zasobów procesora CPU, dysku i pamięci na poszczególnych maszynach. Udostępniona analiza zabezpieczeń działa teraz w Windows 10 w wersji 1703 lub nowszej. Tę funkcję można skonfigurować przy użyciu programu zasady grupy lub programu PowerShell.

Zasady grupy

  1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.

  2. W Redaktor zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera.

  3. Wybierz pozycję Szablony administracyjne. Rozwiń drzewo do składników> systemu Windows Microsoft Defender Aktualizacje analizy zabezpieczeń antywirusowych>.

  4. Kliknij dwukrotnie pozycję Zdefiniuj lokalizację analizy zabezpieczeń dla klientów VDI, a następnie ustaw opcję Włączone. Automatycznie zostanie wyświetlone pole.

  5. W polu wpisz \\<File Server shared location\>\wdav-update. (Aby uzyskać pomoc dotyczącą tej wartości, zobacz Pobieranie i rozpakowywanie).

  6. Wybierz przycisk OK, a następnie wdróż obiekt zasady grupy na maszynach wirtualnych, które chcesz przetestować.

PowerShell

  1. Na każdym urządzeniu RDS lub VDI użyj następującego polecenia cmdlet, aby włączyć tę funkcję:

    Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

  2. Wypchnij aktualizację tak, jak zwykle, wypychasz zasady konfiguracji oparte na programie PowerShell na maszyny wirtualne. (Zobacz sekcję Pobieranie i rozpakowywanie w tym artykule. Poszukaj wpisu lokalizacji udostępnionej ).

Pobieranie i rozpakowywanie najnowszych aktualizacji

Teraz możesz rozpocząć pobieranie i instalowanie nowych aktualizacji. Ta sekcja zawiera przykładowy skrypt programu PowerShell, którego można użyć. Ten skrypt jest najprostszym sposobem pobierania nowych aktualizacji i przygotowania ich do użycia maszyn wirtualnych. Następnie należy ustawić skrypt do uruchomienia w określonym czasie na maszynie zarządzania przy użyciu zaplanowanego zadania. Jeśli znasz też skrypty programu PowerShell na platformie Azure, Intune lub Configuration Manager, możesz użyć tych skryptów.


$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Zaplanowane zadanie można ustawić tak, aby było uruchamiane raz dziennie, aby zawsze, gdy pakiet jest pobierany i rozpakowywany, maszyny wirtualne otrzymują nową aktualizację. Zalecamy rozpoczęcie od raz dziennie, ale należy eksperymentować z zwiększaniem lub zmniejszaniem częstotliwości, aby zrozumieć wpływ.

Pakiety analizy zabezpieczeń są zwykle publikowane raz na trzy do czterech godzin. Ustawienie częstotliwości krótszej niż cztery godziny nie jest zalecane, ponieważ bez korzyści zwiększa obciążenie sieci na komputerze zarządzania.

Możesz również skonfigurować pojedynczy serwer lub maszynę, aby pobierać aktualizacje w imieniu maszyn wirtualnych w odstępach czasu i umieszczać je w udziale plików do użycia. Ta konfiguracja jest możliwa, gdy urządzenia mają dostęp do udziału i odczytu (ntfs) do udziału, dzięki czemu mogą pobrać aktualizacje. Aby skonfigurować tę konfigurację, wykonaj następujące kroki:

  1. Utwórz udział plików SMB/CIFS.

  2. Użyj poniższego przykładu, aby utworzyć udział plików z następującymi uprawnieniami udziału.

    
PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Uwaga

    Dodano uprawnienie NTFS dla użytkowników uwierzytelnionych:Odczyt:.

    W tym przykładzie udział plików to \\FileServer.fqdn\mdatp$\wdav-update.

Ustawianie zaplanowanego zadania w celu uruchomienia skryptu programu PowerShell

  1. Na maszynie zarządzania otwórz menu Start i wpisz Task Scheduler. Z wyników wybierz pozycję Harmonogram zadań, a następnie wybierz pozycję Utwórz zadanie... w panelu bocznym.

  2. Określ nazwę jako Security intelligence unpacker.

  3. Na karcie Wyzwalacz wybierz pozycję Nowy...>Codziennie i wybierz przycisk OK.

  4. Na karcie Akcje wybierz pozycję Nowy....

  5. Określ PowerShell wartość w polu Program/Skrypt .

  6. W polu Dodaj argumenty wpisz -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1, a następnie wybierz przycisk OK.

  7. Skonfiguruj wszelkie inne ustawienia zgodnie z potrzebami.

  8. Wybierz przycisk OK , aby zapisać zaplanowane zadanie.

Aby zainicjować aktualizację ręcznie, kliknij prawym przyciskiem myszy zadanie, a następnie wybierz pozycję Uruchom.

Ręczne pobieranie i rozpakowywanie

Jeśli wolisz zrobić wszystko ręcznie, oto, co należy zrobić, aby replikować zachowanie skryptu:

  1. Utwórz nowy folder w katalogu głównym systemu nazywanym wdav_update do przechowywania aktualizacji analizy. Na przykład utwórz folder c:\wdav_update.

  2. Utwórz podfolder w obszarze wdav_update z nazwą GUID, taką jak {00000000-0000-0000-0000-000000000000}

    Oto przykład: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Uwaga

    Ustawiamy skrypt tak, aby ostatnie 12 cyfr identyfikatora GUID było rokiem, miesiącem, dniem i godziną pobrania pliku, tak aby za każdym razem był tworzony nowy folder. Można to zmienić, aby plik był pobierany do tego samego folderu za każdym razem.

  3. Pobierz pakiet analizy zabezpieczeń z pliku https://www.microsoft.com/wdsi/definitions do folderu GUID. Plik powinien mieć nazwę mpam-fe.exe.

  4. Otwórz okno wiersza polecenia i przejdź do utworzonego folderu GUID. /X Użyj polecenia wyodrębniania, aby wyodrębnić pliki. Na przykład mpam-fe.exe /X.

    Uwaga

    Maszyny wirtualne będą pobierać zaktualizowany pakiet za każdym razem, gdy zostanie utworzony nowy folder GUID z wyodrębnionym pakietem aktualizacji lub gdy istniejący folder zostanie zaktualizowany przy użyciu nowego wyodrębnionego pakietu.

ustawienia konfiguracji programu antywirusowego Microsoft Defender

Ważne jest, aby skorzystać z dostępnych możliwości ochrony przed zagrożeniami, włączając je przy użyciu następujących zalecanych ustawień konfiguracji.  Jest ona zoptymalizowana pod kątem środowisk VDI.

Porada

Najnowsze szablony administracyjne zasad grupy systemu Windows są dostępne w artykule Tworzenie sklepu centralnego i zarządzanie nimi.

Korzeń

  • Skonfiguruj wykrywanie potencjalnie niechcianych aplikacji: Enabled - Block

  • Skonfiguruj zachowanie scalania administratora lokalnego dla list: Disabled

  • Określ, czy wykluczenia są widoczne dla administratorów lokalnych: Enabled

  • Wyłącz rutynowe korygowanie: Disabled

  • Losowe zaplanowane skanowanie: Enabled

Interfejs klienta

  • Włącz tryb interfejsu użytkownika bez użycia głowy: Enabled

    Uwaga

    Te zasady ukrywają cały interfejs użytkownika programu antywirusowego Microsoft Defender przed użytkownikami końcowymi w organizacji.

  • Pomiń wszystkie powiadomienia: Enabled

Uwaga

Czasami Microsoft Defender powiadomienia antywirusowe są wysyłane do wielu sesji lub utrwalane w wielu sesjach. Aby uniknąć nieporozumień użytkowników, możesz zablokować interfejs użytkownika programu antywirusowego Microsoft Defender. Pomijanie powiadomień uniemożliwia wyświetlanie powiadomień z programu antywirusowego Microsoft Defender po zakończeniu skanowania lub wykonaniu akcji korygowania. Jednak zespół ds. operacji zabezpieczeń widzi wyniki skanowania w przypadku wykrycia i zatrzymania ataku. Alerty, takie jak alert dostępu początkowego, są generowane i wyświetlane w portalu Microsoft Defender.

MAPY

  • Dołącz do usługi Microsoft MAPS (włącz ochronę dostarczaną przez chmurę): Enabled - Advanced MAPS

  • Wysyłaj przykłady plików, gdy wymagana jest dalsza analiza: Send all samples (more secure) lub Send safe sample (less secure)

MPEngine

  • Konfigurowanie rozszerzonego sprawdzania chmury: 20

  • Wybierz poziom ochrony w chmurze: Enabled - High

  • Włącz funkcję obliczania skrótów plików: Enabled

Uwaga

"Włącz funkcję obliczania skrótów plików" jest wymagana tylko wtedy, gdy używasz wskaźników — skrótu pliku.  Może to spowodować większe wykorzystanie procesora CPU, ponieważ musi przeanalizować przez każdy plik binarny na dysku, aby uzyskać skrót pliku.

Ochrona w czasie rzeczywistym

  • Konfigurowanie monitorowania dla działań przychodzących i wychodzących plików i programów: Enabled – bi-directional (full on-access)

  • Monitorowanie aktywności plików i programów na komputerze: Enabled

  • Przeskanuj wszystkie pobrane pliki i załączniki: Enabled

  • Włącz monitorowanie zachowania: Enabled

  • Włącz skanowanie procesów za każdym razem, gdy włączono ochronę w czasie rzeczywistym: Enabled

  • Włącz powiadomienia pierwotnego zapisu woluminu: Enabled

Skanuje

  • Przed uruchomieniem zaplanowanego skanowania sprawdź najnowsze informacje o zabezpieczeniach wirusów i programów szpiegujących: Enabled

  • Skanuj pliki archiwum: Enabled

  • Skanuj pliki sieciowe: Not configured

  • Skanuj spakowane wykonywalne: Enabled

  • Skanuj dyski wymienne: Enabled

  • Włącz pełne skanowanie catch-up (Wyłącz pełne skanowanie catch-up): Not configured

  • Włącz szybkie skanowanie catch-up (Wyłącz szybkie skanowanie catchup): Not configured

    Uwaga

    Jeśli chcesz wzmocnić zabezpieczenia, możesz zmienić opcję "Włącz szybkie skanowanie nadrabianie zaległości" na włączoną, co pomoże, gdy maszyny wirtualne są w trybie offline i nie wykonano co najmniej dwóch kolejnych zaplanowanych skanów.  Ponieważ jednak jest uruchomione zaplanowane skanowanie, będzie ono używać dodatkowego procesora CPU.

  • Włącz skanowanie poczty e-mail: Enabled

  • Włącz heurystyczne: Enabled

  • Włącz skanowanie punktów ponownej analizy: Enabled

Ogólne ustawienia zaplanowanego skanowania

  • Skonfiguruj niski priorytet procesora CPU dla zaplanowanych skanów (użyj niskiego priorytetu procesora CPU dla zaplanowanych skanów): Not configured

  • Określ maksymalny procent wykorzystania procesora CPU podczas skanowania (limit użycia procesora CPU na skanowanie): 50

  • Rozpocznij zaplanowane skanowanie tylko wtedy, gdy komputer jest włączony, ale nie jest używany (ScanOnlyIfIdle): Not configured

  • Użyj następującego polecenia cmdlet, aby zatrzymać szybkie lub zaplanowane skanowanie za każdym razem, gdy urządzenie będzie bezczynne, jeśli jest w trybie pasywnym.

    
Set-MpPreference -ScanOnlyIfIdleEnabled $false

Porada

Ustawienie "Rozpocznij zaplanowane skanowanie tylko wtedy, gdy komputer jest włączony, ale nie jest używany" zapobiega znacznej rywalizacji o procesor CPU w środowiskach o wysokiej gęstości.

Codzienne szybkie skanowanie

  • Określ interwał uruchamiania szybkich skanów dziennie: Not configured

  • Określ czas codziennego szybkiego skanowania (uruchom codzienne szybkie skanowanie pod adresem): 12 PM

Uruchamianie cotygodniowego zaplanowanego skanowania (szybkie lub pełne)

  • Określ typ skanowania do użycia w przypadku zaplanowanego skanowania (typ skanowania): Not configured

  • Określ godzinę uruchomienia zaplanowanego skanowania (dzień tygodnia w celu uruchomienia zaplanowanego skanowania): Not configured

  • Określ dzień tygodnia, w którym ma zostać uruchomione zaplanowane skanowanie (o porze dnia na uruchomienie zaplanowanego skanowania): Not configured

Aktualizacje analizy zabezpieczeń

  • Włącz skanowanie po aktualizacji analizy zabezpieczeń (wyłącz skanowanie po aktualizacji): Disabled

    Uwaga

    Wyłączenie skanowania po aktualizacji analizy zabezpieczeń uniemożliwia skanowanie po otrzymaniu aktualizacji. To ustawienie można zastosować podczas tworzenia obrazu podstawowego, jeśli uruchomiono również szybkie skanowanie. W ten sposób można uniemożliwić nowo zaktualizowanej maszynie wirtualnej ponowne przeprowadzenie skanowania (ponieważ został on już przeskanowany podczas tworzenia obrazu podstawowego).

    Ważna

    Uruchamianie skanowania po aktualizacji pomaga upewnić się, że maszyny wirtualne są chronione przy użyciu najnowszych aktualizacji analizy zabezpieczeń. Wyłączenie tej opcji zmniejsza poziom ochrony maszyn wirtualnych i powinno być używane tylko podczas pierwszego tworzenia lub wdrażania obrazu podstawowego.

  • Określ interwał sprawdzania dostępności aktualizacji analizy zabezpieczeń (wprowadź częstotliwość sprawdzania dostępności aktualizacji analizy zabezpieczeń): Enabled - 8

  • Pozostaw inne ustawienia w stanie domyślnym

Zagrożeń

  • Określ poziomy alertów o zagrożeniach, na których nie należy wykonywać akcji domyślnej po wykryciu: Enabled

  • Ustaw Severe (5)wartość , High (4), Medium (2)i Low (1) wszystkie na Quarantine (2), jak pokazano w poniższej tabeli:

    Nazwa wartości Value
    1 (Niski) 2
    2 (Średni) 2
    4 (Wysoki) 2
    5 (Poważne) 2

Reguły zmniejszania obszaru podatnego na ataki

Skonfiguruj wszystkie dostępne reguły na wartość Audit.

Włączanie ochrony sieci

Uniemożliwiaj użytkownikom i aplikacjom dostęp do niebezpiecznych witryn internetowych (Włącz ochronę sieci): Enabled - Audit mode.

Filtr SmartScreen dla przeglądarki Microsoft Edge

  • Wymagaj filtru SmartScreen dla przeglądarki Microsoft Edge: Yes

  • Blokuj dostęp do złośliwej witryny: Yes

  • Blokuj pobieranie niezweryfikowanych plików: Yes

Uruchamianie zaplanowanego zadania konserwacji pamięci podręcznej usługi Windows Defender

Zoptymalizuj zaplanowane zadanie "Konserwacja pamięci podręcznej usługi Windows Defender" pod kątem nietrwałych i/lub trwałych środowisk VDI. Uruchom to zadanie na obrazie głównym przed uszczelnieniem.

  1. Otwórz mmc harmonogramu zadań (taskschd.msc).

  2. Rozwiń węzełBiblioteka> harmonogramu zadańMicrosoft>Windows> Defender, a następnie kliknij prawym przyciskiem myszy pozycję Konserwacja pamięci podręcznej usługi Windows Defender.

  3. Wybierz pozycję Uruchom i pozwól na zakończenie zaplanowanego zadania.

    Ostrzeżenie

    Jeśli tego nie zrobisz, może to spowodować większe wykorzystanie procesora CPU, gdy zadanie konserwacji pamięci podręcznej jest uruchomione na każdej maszynie wirtualnej.

Włączanie ochrony przed naruszeniami

Włącz ochronę przed naruszeniami, aby zapobiec wyłączeniu programu antywirusowego Microsoft Defender w portalu Microsoft Defender.

Wykluczenia

Jeśli uważasz, że musisz dodać wykluczenia, zobacz Manage exclusions for Ochrona punktu końcowego w usłudze Microsoft Defender and Microsoft Defender Antivirus (Zarządzanie wykluczeniami dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i programu antywirusowego Microsoft Defender).

Następny krok

Jeśli wdrażasz również wykrywanie punktów końcowych i reagowanie (EDR) na maszynach wirtualnych VDI opartych na systemie Windows, zobacz Dołączanie nietrwałych urządzeń infrastruktury pulpitu wirtualnego (VDI) w Microsoft Defender XDR.

Zobacz też

Jeśli szukasz informacji o usłudze Defender for Endpoint na platformach innych niż Windows, zobacz następujące zasoby:

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.