Compartilhar via

Integrar dispositivos de infraestrutura de ambiente de trabalho virtual (VDI) não persistentes no Microsoft Defender XDR

  • Artigo

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

A infraestrutura de ambiente de trabalho virtual (VDI) é um conceito de infraestrutura de TI que permite aos utilizadores finais aceder a instâncias de ambientes de trabalho virtuais empresariais a partir de praticamente qualquer dispositivo (como o seu computador pessoal, smartphone ou tablet), eliminando a necessidade de a organização fornecer aos utilizadores máquinas físicas. A utilização de dispositivos VDI reduz os custos, uma vez que os departamentos de TI já não são responsáveis pela gestão, reparação e substituição de pontos finais físicos. Os utilizadores autorizados podem aceder aos mesmos servidores, ficheiros, aplicações e serviços da empresa a partir de qualquer dispositivo aprovado através de um browser ou cliente de ambiente de trabalho seguro.

Tal como qualquer outro sistema num ambiente de TI, os dispositivos VDI devem ter uma solução de deteção e resposta de pontos finais (EDR) e antivírus para proteger contra ameaças e ataques avançados.

Observação

VDI persistente – a inclusão de uma máquina VDI persistente no Microsoft Defender para Ponto de Extremidade é processada da mesma forma que integraria uma máquina física, como um computador de secretária ou um portátil. A política de grupo, Microsoft Configuration Manager e outros métodos podem ser utilizados para integrar uma máquina persistente. No portal do Microsoft Defender, (https://security.microsoft.com) em inclusão, selecione o seu método de inclusão preferido e siga as instruções para esse tipo. Para obter mais informações, veja Inclusão do cliente Windows.

Integração de dispositivos de infraestrutura de ambiente de trabalho virtual (VDI) não persistentes

O Defender para Endpoint suporta a inclusão de sessões VDI não persistentes. Podem existir desafios associados ao integrar instâncias de VDI. Seguem-se desafios típicos para este cenário:

  • Integração antecipada instantânea de uma sessão de curta duração, que tem de ser integrada no Defender para Endpoint antes do aprovisionamento real.

  • Normalmente, o nome do dispositivo é reutilizado para novas sessões.

  • Num ambiente VDI, as instâncias de VDI podem ter uma vida útil curta. Os dispositivos VDI podem aparecer no portal Microsoft Defender como entradas individuais para cada instância VDI ou múltiplas entradas para cada dispositivo.

    • Entrada única para cada instância de VDI. Se a instância VDI já tiver sido integrada no Microsoft Defender para Ponto de Extremidade e, em algum momento, tiver sido eliminada e, em seguida, recriada com o mesmo nome de anfitrião, não será criado no portal um novo objeto que represente esta instância VDI. Neste caso, o mesmo nome do dispositivo tem de ser configurado quando a sessão é criada, por exemplo, utilizando um ficheiro de resposta automática.

    • Múltiplas entradas para cada dispositivo - uma para cada instância de VDI.

Importante

Se estiver a implementar VDIs não persistentes através da tecnologia de clonagem, certifique-se de que as VMs de modelo interno não estão integradas no Defender para Endpoint. Esta recomendação é evitar que as VMs clonadas sejam integradas com o mesmo senseGuid que as VMs de modelo, o que pode impedir que as VMs apareçam como novas entradas na lista Dispositivos.

Os passos seguintes orientam-no ao longo da integração de dispositivos VDI e realçam os passos para entradas individuais e múltiplas.

Aviso

Para ambientes em que existem configurações de recursos baixas, o procedimento de arranque do VDI pode abrandar a integração do sensor do Defender para Ponto Final.

Passos de inclusão

Observação

Windows Server 2016 e Windows Server 2012 R2 têm de ser preparados ao aplicar primeiro o pacote de instalação com as instruções em Integrar servidores Windows para que esta funcionalidade funcione.

  1. Abra o ficheiro do pacote de configuração VDI (WindowsDefenderATPOnboardingPackage.zip) que transferiu a partir do assistente de integração do serviço. Também pode obter o pacote a partir do portal Microsoft Defender.

    1. No painel de navegação, selecione Definições Pontos Finais>Gestão> dedispositivos>Integração.

    2. Selecione o sistema operativo.

    3. No campo Método de implementação , selecione Scripts de inclusão VDI para pontos finais não persistentes.

    4. Selecione Transferir pacote e guarde o ficheiro.

  2. Copie os ficheiros da WindowsDefenderATPOnboardingPackage pasta extraída da pasta zipada para a imagem dourada/primária no caminho C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    • Se estiver a implementar múltiplas entradas para cada dispositivo - uma para cada sessão, copie WindowsDefenderATPOnboardingScript.cmd.

    • Se estiver a implementar uma única entrada para cada dispositivo, copie e Onboard-NonPersistentMachine.ps1WindowsDefenderATPOnboardingScript.cmd.

    Observação

    Se não vir a C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup pasta, esta poderá estar oculta. Terá de escolher a opção Mostrar ficheiros e pastas ocultos de Explorador de Arquivos.

  3. Abra uma janela de Política de Grupo Editor Local e navegue para Configuração> do ComputadorArranque dosScripts>de Definições> do Windows.

    Observação

    Os Política de Grupo de domínio também podem ser utilizados para integrar dispositivos VDI não persistentes.

  4. Consoante o método que pretende implementar, siga os passos adequados:

    Método Etapas
    Entrada única para cada dispositivo 1. Selecione o separador Scripts do PowerShell e, em seguida, selecione Adicionar (Windows Explorer é aberto diretamente no caminho onde copiou o script de inclusão anteriormente).
    2. Navegue para o script Onboard-NonPersistentMachine.ps1do PowerShell de inclusão. Não é necessário especificar o outro ficheiro, uma vez que é acionado automaticamente.
    Múltiplas entradas para cada dispositivo 1. Selecione o separador Scripts e, em seguida, selecione Adicionar (Windows Explorer é aberto diretamente no caminho onde copiou o script de inclusão anteriormente).
    2. Navegue para o script WindowsDefenderATPOnboardingScript.cmdbash de inclusão .

  5. Teste a sua solução ao seguir estes passos:

    1. Crie um conjunto com um dispositivo.

    2. Inicie sessão no dispositivo.

    3. Termine sessão no dispositivo.

    4. Inicie sessão no dispositivo com outra conta.

    5. Consoante o método que pretende implementar, siga os passos adequados:

  6. No painel de navegação, selecione Lista de dispositivos.

  7. Utilize a função de pesquisa ao introduzir o nome do dispositivo e selecione Dispositivo como tipo de pesquisa.

Para SKUs de nível inferior (Windows Server 2008 R2)

Observação

Estas instruções para outras versões do windows server também se aplicam se estiver a executar o Microsoft Defender para Ponto de Extremidade anterior para Windows Server 2016 e Windows Server 2012 R2 que requer o MMA. As instruções para migrar para a nova solução unificada encontram-se em Cenários de migração do servidor no Microsoft Defender para Ponto de Extremidade.

O registo seguinte só é relevante quando o objetivo é alcançar uma única entrada para cada dispositivo.

  1. Defina o valor do registo da seguinte forma:

    
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
 "VDI"="NonPersistent"

    Em alternativa, pode utilizar a linha de comandos da seguinte forma:

    
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Siga o processo de integração do servidor.

Atualizar imagens de infraestrutura de ambiente de trabalho virtual (VDI) (persistentes ou não persistentes)

Com a capacidade de implementar facilmente atualizações em VMs em execução em VDIs, encurtámos este guia para nos concentrarmos na forma como pode obter atualizações nos seus computadores de forma rápida e fácil. Já não precisa de criar e selar imagens douradas periodicamente, uma vez que as atualizações são expandidas para os respetivos bits de componente no servidor anfitrião e, em seguida, transferidas diretamente para a VM quando estão ativadas.

Se tiver integrado a imagem primária do seu ambiente VDI (o serviço SENSE está em execução), tem de remover e limpar alguns dados antes de voltar a colocar a imagem em produção.

  1. Desempara fora do computador.

  2. Certifique-se de que o sensor está parado ao executar o seguinte comando numa janela cmd:

    
sc query sense

  3. Execute os seguintes comandos numa janela cmd::

    
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Está a utilizar terceiros para VDIs?

Se estiver a implementar VDIs não persistentes através da clonagem instantânea do VMware ou tecnologias semelhantes, certifique-se de que as VMs de modelo interno e réplica VMs não estão integradas no Defender para Endpoint. Se integrar dispositivos com o método de entrada única, os clones instantâneos aprovisionados a partir de VMs integradas poderão ter o mesmo senseGuid e isso pode impedir que uma nova entrada seja listada na vista Inventário de Dispositivos (no portal Microsoft Defender, selecioneDispositivos> de Ativos).

Se a imagem primária, a VM de modelo ou réplica VM estiverem integradas no Defender para Ponto Final com o método de entrada única, impede o Defender para Endpoint de criar entradas para novas VDIs não persistentes no portal do Microsoft Defender.

Contacte os fornecedores de terceiros para obter mais assistência.

Depois de integrar dispositivos no serviço, é importante tirar partido das capacidades de proteção contra ameaças incluídas ao ativar os mesmos com as seguintes definições de configuração recomendadas.

Configuração da proteção da próxima geração

As definições de configuração nesta ligação são recomendadas: Configure Microsoft Defender Antivírus num ambiente de trabalho remoto ou num ambiente de infraestrutura de ambiente de trabalho virtual.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.