Konfigurowanie programu antywirusowego Microsoft Defender na komputerze zdalnym lub w środowisku infrastruktury pulpitu wirtualnego
Dotyczy:
- Program antywirusowy Microsoft Defender
- Ochrona punktu końcowego w usłudze Microsoft Defender — Plan 1
- Defender for Endpoint Plan 2
Platformy
- System Windows
Ten artykuł jest przeznaczony dla klientów korzystających tylko z funkcji programu antywirusowego Microsoft Defender. Jeśli masz Ochrona punktu końcowego w usłudze Microsoft Defender (w tym program antywirusowy Microsoft Defender wraz z innymi funkcjami ochrony urządzeń), zapoznaj się również z artykułem Dołączanie nietrwałych urządzeń infrastruktury pulpitu wirtualnego (VDI) w programie Microsoft Defender XDR.
Program antywirusowy Microsoft Defender można używać w środowisku pulpitu zdalnego (RDS) lub nietrwałej infrastruktury pulpitu wirtualnego (VDI). Zgodnie ze wskazówkami w tym artykule można skonfigurować aktualizacje do pobierania bezpośrednio do środowisk usług pulpitu zdalnego lub VDI, gdy użytkownik się zaloguje.
W tym przewodniku opisano sposób konfigurowania programu antywirusowego Microsoft Defender na maszynach wirtualnych pod kątem optymalnej ochrony i wydajności, w tym sposobu:
- Konfigurowanie dedykowanego udziału plików VDI na potrzeby aktualizacji analizy zabezpieczeń
- Losowe zaplanowanych skanów
- Używanie szybkich skanów
- Zapobieganie powiadomieniom
- Wyłączanie skanowania po każdej aktualizacji
- Skanuj nieaktualne maszyny lub maszyny, które przez pewien czas były w trybie offline
- Stosowanie wykluczeń
Ważna
Mimo że interfejs VDI może być hostowany na Windows Server 2012 lub Windows Server 2016, maszyny wirtualne powinny działać Windows 10 w wersji 1607 co najmniej ze względu na zwiększone technologie ochrony i funkcje, które są niedostępne we wcześniejszych wersjach systemu Windows.
Konfigurowanie dedykowanego udziału plików VDI na potrzeby analizy zabezpieczeń
W Windows 10, wersja 1903, firma Microsoft wprowadziła udostępnioną funkcję analizy zabezpieczeń, która odciąża rozpakowywanie pobranych aktualizacji analizy zabezpieczeń na maszynie hosta. Ta metoda zmniejsza użycie zasobów procesora CPU, dysku i pamięci na poszczególnych maszynach. Udostępniona analiza zabezpieczeń działa teraz w Windows 10 w wersji 1703 lub nowszej. Tę funkcję można skonfigurować przy użyciu programu zasady grupy lub programu PowerShell.
Zasady grupy
Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.
W Redaktor zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera.
Wybierz pozycję Szablony administracyjne. Rozwiń drzewo do składników> systemu Windows Microsoft Defender Aktualizacje analizy zabezpieczeń antywirusowych>.
Kliknij dwukrotnie pozycję Zdefiniuj lokalizację analizy zabezpieczeń dla klientów VDI, a następnie ustaw opcję Włączone.
Automatycznie zostanie wyświetlone pole.
Wprowadź
\\<Windows File Server shared location\>\wdav-update
(aby uzyskać pomoc dotyczącą tej wartości, zobacz Pobieranie i rozpakowywanie).Wybierz przycisk OK, a następnie wdróż obiekt zasady grupy na maszynach wirtualnych, które chcesz przetestować.
PowerShell
Na każdym urządzeniu RDS lub VDI użyj następującego polecenia cmdlet, aby włączyć tę funkcję:
Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update
Wypchnij aktualizację tak, jak zwykle, wypychasz zasady konfiguracji oparte na programie PowerShell na maszyny wirtualne. (Zobacz sekcję Pobieranie i rozpakowywanie w tym artykule. Poszukaj wpisu lokalizacji udostępnionej ).
Pobieranie i rozpakowywanie najnowszych aktualizacji
Teraz możesz rozpocząć pobieranie i instalowanie nowych aktualizacji. Poniżej utworzono przykładowy skrypt programu PowerShell. Ten skrypt jest najprostszym sposobem pobierania nowych aktualizacji i przygotowania ich do użycia maszyn wirtualnych. Następnie należy ustawić skrypt do uruchomienia w określonym czasie na maszynie zarządzania przy użyciu zaplanowanego zadania (lub, jeśli znasz używanie skryptów programu PowerShell na platformie Azure, Intune lub SCCM, możesz również użyć tych skryptów).
$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'
New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage
Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"
Zaplanowane zadanie można ustawić tak, aby było uruchamiane raz dziennie, aby zawsze, gdy pakiet jest pobierany i rozpakowywany, maszyny wirtualne otrzymują nową aktualizację. Zalecamy rozpoczęcie od raz dziennie, ale należy eksperymentować z zwiększaniem lub zmniejszaniem częstotliwości, aby zrozumieć wpływ.
Pakiety analizy zabezpieczeń są zwykle publikowane raz na trzy do czterech godzin. Ustawienie częstotliwości krótszej niż cztery godziny nie jest zalecane, ponieważ bez korzyści zwiększa obciążenie sieci na komputerze zarządzania.
Możesz również skonfigurować pojedynczy serwer lub maszynę, aby pobierać aktualizacje w imieniu maszyn wirtualnych w odstępach czasu i umieszczać je w udziale plików do użycia. Ta konfiguracja jest możliwa, gdy urządzenia mają dostęp do udziału i odczytu (ntfs) do udziału, dzięki czemu mogą pobrać aktualizacje. Aby skonfigurować tę konfigurację, wykonaj następujące kroki:
Utwórz udział plików SMB/CIFS.
Użyj poniższego przykładu, aby utworzyć udział plików z następującymi uprawnieniami udziału.
PS c:\> Get-SmbShareAccess -Name mdatp$ Name ScopeName AccountName AccessControlType AccessRight ---- --------- ----------- ----------------- ----------- mdatp$ * Everyone Allow Read
Uwaga
Dodano uprawnienie NTFS dla użytkowników uwierzytelnionych:Odczyt:.
W tym przykładzie udział plików to
\\WindowsFileServer.fqdn\mdatp$\wdav-update
.
Ustawianie zaplanowanego zadania w celu uruchomienia skryptu programu PowerShell
Na maszynie zarządzania otwórz menu Start i wpisz
Task Scheduler
. Z wyników wybierz pozycję Harmonogram zadań, a następnie wybierz pozycję Utwórz zadanie... w panelu bocznym.Określ nazwę jako
Security intelligence unpacker
.Na karcie Wyzwalacz wybierz pozycję Nowy...>Codziennie i wybierz przycisk OK.
Na karcie Akcje wybierz pozycję Nowy....
Określ
PowerShell
wartość w polu Program/Skrypt .W polu Dodaj argumenty wpisz
-ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1
, a następnie wybierz przycisk OK.Skonfiguruj wszelkie inne ustawienia zgodnie z potrzebami.
Wybierz przycisk OK , aby zapisać zaplanowane zadanie.
Aby zainicjować aktualizację ręcznie, kliknij prawym przyciskiem myszy zadanie, a następnie wybierz pozycję Uruchom.
Ręczne pobieranie i rozpakowywanie
Jeśli wolisz zrobić wszystko ręcznie, oto, co należy zrobić, aby replikować zachowanie skryptu:
Utwórz nowy folder w katalogu głównym systemu nazywanym
wdav_update
do przechowywania aktualizacji analizy. Na przykład utwórz folderc:\wdav_update
.Utwórz podfolder w obszarze
wdav_update
z nazwą GUID, taką jak{00000000-0000-0000-0000-000000000000}
Oto przykład:
c:\wdav_update\{00000000-0000-0000-0000-000000000000}
Uwaga
Ustawiamy skrypt tak, aby ostatnie 12 cyfr identyfikatora GUID było rokiem, miesiącem, dniem i godziną pobrania pliku, tak aby za każdym razem był tworzony nowy folder. Można to zmienić, aby plik był pobierany do tego samego folderu za każdym razem.
Pobierz pakiet analizy zabezpieczeń z pliku https://www.microsoft.com/wdsi/definitions do folderu GUID. Plik powinien mieć nazwę
mpam-fe.exe
.Otwórz okno wiersza polecenia i przejdź do utworzonego folderu GUID.
/X
Użyj polecenia wyodrębniania, aby wyodrębnić pliki. Na przykładmpam-fe.exe /X
.Uwaga
Maszyny wirtualne będą pobierać zaktualizowany pakiet za każdym razem, gdy zostanie utworzony nowy folder GUID z wyodrębnionym pakietem aktualizacji lub gdy istniejący folder zostanie zaktualizowany przy użyciu nowego wyodrębnionego pakietu.
Losowe zaplanowanych skanów
Zaplanowane skanowania są uruchamiane oprócz ochrony i skanowania w czasie rzeczywistym.
Czas rozpoczęcia skanowania jest nadal oparty na zasadach zaplanowanego skanowania (ScheduleDay, ScheduleTime i ScheduleQuickScanTime). Randomizacja powoduje, że program antywirusowy Microsoft Defender uruchamia skanowanie na każdej maszynie w ciągu czterech godzin od czasu ustawionego na zaplanowane skanowanie.
Zobacz Planowanie skanowania w celu wyszukania innych opcji konfiguracji dostępnych dla zaplanowanych skanów.
Używanie szybkich skanów
Możesz określić typ skanowania, który ma zostać wykonany podczas zaplanowanego skanowania. Szybkie skanowanie to preferowane podejście, ponieważ jest przeznaczone do wyszukiwania we wszystkich miejscach, w których złośliwe oprogramowanie musi znajdować się, aby być aktywnym. W poniższej procedurze opisano sposób konfigurowania szybkich skanów przy użyciu zasady grupy.
W zasady grupy Redaktor przejdź do obszaru Szablony> administracyjneSkładniki> systemu Windows Microsoft Defender Skanowanie antywirusowe>.
Wybierz pozycję Określ typ skanowania do użycia podczas zaplanowanego skanowania , a następnie zmodyfikuj ustawienie zasad.
Ustaw zasady na Włączone, a następnie w obszarze Opcje wybierz pozycję Szybkie skanowanie.
Wybierz przycisk OK.
Wdróż obiekt zasady grupy tak jak zwykle.
Zapobieganie powiadomieniom
Czasami Microsoft Defender powiadomienia antywirusowe są wysyłane do wielu sesji lub utrwalane w wielu sesjach. Aby uniknąć nieporozumień użytkowników, możesz zablokować interfejs użytkownika programu antywirusowego Microsoft Defender. W poniższej procedurze opisano sposób pomijania powiadomień przy użyciu zasady grupy.
W zasady grupy Redaktor przejdź do pozycji Składniki> systemu Windows Microsoft DefenderInterfejs klientaprogramu antywirusowego>.
Wybierz pozycję Pomiń wszystkie powiadomienia , a następnie edytuj ustawienia zasad.
Ustaw zasady na Włączone, a następnie wybierz przycisk OK.
Wdróż obiekt zasady grupy tak jak zwykle.
Pomijanie powiadomień uniemożliwia wyświetlanie powiadomień z programu antywirusowego Microsoft Defender po zakończeniu skanowania lub wykonaniu akcji korygowania. Jednak zespół ds. operacji zabezpieczeń widzi wyniki skanowania w przypadku wykrycia i zatrzymania ataku. Alerty, takie jak alert dostępu początkowego, są generowane i wyświetlane w portalu Microsoft Defender.
Wyłączanie skanowania po aktualizacji
Wyłączenie skanowania po aktualizacji uniemożliwia skanowanie po otrzymaniu aktualizacji. To ustawienie można zastosować podczas tworzenia obrazu podstawowego, jeśli uruchomiono również szybkie skanowanie. W ten sposób można uniemożliwić nowo zaktualizowanej maszynie wirtualnej ponowne przeprowadzenie skanowania (ponieważ został on już przeskanowany podczas tworzenia obrazu podstawowego).
Ważna
Uruchamianie skanowania po aktualizacji pomaga upewnić się, że maszyny wirtualne są chronione przy użyciu najnowszych aktualizacji analizy zabezpieczeń. Wyłączenie tej opcji zmniejsza poziom ochrony maszyn wirtualnych i powinno być używane tylko podczas pierwszego tworzenia lub wdrażania obrazu podstawowego.
W zasady grupy Redaktor przejdź do obszaru Składniki> systemu Windows Microsoft Defender Aktualizacje analizy zabezpieczeń programu antywirusowego>.
Wybierz pozycję Włącz skanowanie po aktualizacji analizy zabezpieczeń , a następnie edytuj ustawienie zasad.
Ustaw zasady na Wyłączone.
Wybierz przycisk OK.
Wdróż obiekt zasady grupy tak jak zwykle.
Te zasady uniemożliwiają uruchamianie skanowania natychmiast po aktualizacji.
Wyłącz opcję ScanOnlyIfIdle
Użyj następującego polecenia cmdlet, aby zatrzymać szybkie lub zaplanowane skanowanie za każdym razem, gdy urządzenie będzie bezczynne, jeśli jest w trybie pasywnym.
Set-MpPreference -ScanOnlyIfIdleEnabled $false
Możesz również wyłączyć opcję w programie ScanOnlyIfIdle
antywirusowym Microsoft Defender przez konfigurację za pośrednictwem zasad lokalnych lub zasad grupy domeny. To ustawienie zapobiega znacznej rywalizacji o procesor CPU w środowiskach o wysokiej gęstości.
Aby uzyskać więcej informacji, zobacz Uruchamianie zaplanowanego skanowania tylko wtedy, gdy komputer jest włączony, ale nie jest używany.
Skanowanie maszyn wirtualnych, które były w trybie offline
W zasady grupy Redaktor przejdź do pozycji Składniki> systemu Windows Microsoft Defender Skanowanie antywirusowe>.
Wybierz pozycję Włącz szybkie skanowanie w trybie catch-up , a następnie edytuj ustawienie zasad.
Ustaw zasady na Włączone.
Wybierz przycisk OK.
Wdróż obiekt zasady grupy tak jak zwykle.
Te zasady wymuszają skanowanie, jeśli maszyna wirtualna nie przechyliła co najmniej dwóch kolejnych zaplanowanych skanów.
Włączanie trybu bezgłowego interfejsu użytkownika
W zasady grupy Redaktor przejdź do pozycji Składniki> systemu Windows Microsoft DefenderInterfejs klientaprogramu antywirusowego>.
Wybierz pozycję Włącz tryb interfejsu użytkownika bez użycia głowy i edytuj zasady.
Ustaw zasady na Włączone.
Wybierz przycisk OK.
Wdróż obiekt zasady grupy tak jak zwykle.
Te zasady ukrywają cały interfejs użytkownika programu antywirusowego Microsoft Defender przed użytkownikami końcowymi w organizacji.
Uruchamianie zaplanowanego zadania "Konserwacja pamięci podręcznej usługi Windows Defender"
Zoptymalizuj zaplanowane zadanie "Konserwacja pamięci podręcznej usługi Windows Defender" pod kątem nietrwałych i/lub trwałych środowisk VDI. Uruchom to zadanie na obrazie głównym przed uszczelnieniem.
Otwórz mmc harmonogramu zadań (
taskschd.msc
).Rozwiń węzełBiblioteka> harmonogramu zadańMicrosoft>Windows> Defender, a następnie kliknij prawym przyciskiem myszy pozycję Konserwacja pamięci podręcznej usługi Windows Defender.
Wybierz pozycję Uruchom i pozwól na zakończenie zaplanowanego zadania.
Wykluczenia
Jeśli uważasz, że musisz dodać wykluczenia, zobacz Manage exclusions for Ochrona punktu końcowego w usłudze Microsoft Defender and Microsoft Defender Antivirus (Zarządzanie wykluczeniami dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i programu antywirusowego Microsoft Defender).
Zobacz też
- Blog społeczności technicznej: Konfigurowanie programu antywirusowego Microsoft Defender dla nietrwałych maszyn VDI
- Fora TechNet dotyczące usług pulpitu zdalnego i interfejsu VDI
- SignatureDownloadCustomTask— skrypt programu PowerShell
Jeśli szukasz informacji o usłudze Defender for Endpoint na platformach innych niż Windows, zobacz następujące zasoby:
- Ochrona punktu końcowego w usłudze Microsoft Defender na komputerze Mac
- Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie
- Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu Android
- Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu iOS
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.