Integrar dispositivos de infraestrutura de ambiente de trabalho virtual (VDI) não persistentes no Microsoft Defender XDR
A infraestrutura de ambiente de trabalho virtual (VDI) é um conceito de infraestrutura de TI que permite aos utilizadores finais aceder a instâncias de ambientes de trabalho virtuais empresariais a partir de praticamente qualquer dispositivo (como o seu computador pessoal, smartphone ou tablet), eliminando a necessidade de a organização fornecer aos utilizadores máquinas físicas. A utilização de dispositivos VDI reduz os custos, uma vez que os departamentos de TI já não são responsáveis pela gestão, reparação e substituição de pontos finais físicos. Os utilizadores autorizados podem aceder aos mesmos servidores, ficheiros, aplicações e serviços da empresa a partir de qualquer dispositivo aprovado através de um browser ou cliente de ambiente de trabalho seguro.
Tal como qualquer outro sistema num ambiente de TI, estes também devem ter uma solução de Deteção e Resposta de Ponto Final (EDR) e Antivírus para proteger contra ameaças e ataques avançados.
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
- Dispositivos de infraestrutura de ambiente de trabalho virtual (VDI)
- Windows 10, Windows 11, Windows Server 2019, Windows Server 2022, Windows Server 2008R2/2012R2/2016
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Nota
VDI persistente – a inclusão de uma máquina VDI persistente no Microsoft Defender para Endpoint é processada da mesma forma que integraria uma máquina física, como um computador de secretária ou um portátil. A política de grupo, Microsoft Configuration Manager e outros métodos podem ser utilizados para integrar uma máquina persistente. No portal do Microsoft Defender, (https://security.microsoft.com) em inclusão, selecione o seu método de inclusão preferido e siga as instruções para esse tipo. Para obter mais informações, veja Integrar o cliente Windows.
Integração de dispositivos de infraestrutura de ambiente de trabalho virtual (VDI) não persistentes
O Defender para Endpoint suporta a inclusão de sessões VDI não persistentes.
Podem existir desafios associados ao integrar instâncias de VDI. Seguem-se desafios típicos para este cenário:
- Integração antecipada instantânea de uma sessão de curta duração, que tem de ser integrada no Defender para Endpoint antes do aprovisionamento real.
- Normalmente, o nome do dispositivo é reutilizado para novas sessões.
Num ambiente VDI, as instâncias de VDI podem ter uma vida útil curta. Os dispositivos VDI podem aparecer no portal Microsoft Defender como entradas individuais para cada instância VDI ou múltiplas entradas para cada dispositivo.
Entrada única para cada instância de VDI. Se a instância VDI já tiver sido integrada no Microsoft Defender para Endpoint e, em algum momento, tiver sido eliminada e, em seguida, recriada com o mesmo nome de anfitrião, não será criado um novo objeto que represente esta instância VDI no portal.
Nota
Neste caso, o mesmo nome do dispositivo tem de ser configurado quando a sessão é criada, por exemplo, utilizando um ficheiro de resposta automática.
Múltiplas entradas para cada dispositivo - uma para cada instância de VDI.
Importante
Se estiver a implementar VDIs não persistentes através da tecnologia de clonagem, certifique-se de que as VMs de modelo interno não estão integradas no Defender para Endpoint. Esta recomendação é evitar que as VMs clonadas sejam integradas com o mesmo senseGuid que as VMs de modelo, o que pode impedir que as VMs apareçam como novas entradas na lista Dispositivos.
Os passos seguintes orientam-no ao longo da integração de dispositivos VDI e realçam os passos para entradas individuais e múltiplas.
Aviso
Para ambientes em que existem configurações de recursos baixas, o procedimento de arranque do VDI pode abrandar a integração do sensor do Defender para Ponto Final.
Passos de inclusão
Nota
Windows Server 2016 e Windows Server 2012 R2 têm de ser preparados ao aplicar primeiro o pacote de instalação com as instruções em Integrar servidores Windows para que esta funcionalidade funcione.
Abra o pacote de configuração VDI .zip ficheiro (WindowsDefenderATPOnboardingPackage.zip) que transferiu a partir do assistente de inclusão do serviço. Também pode obter o pacote no portal do Microsoft Defender:
No painel de navegação, selecione Definições Pontos Finais>Gestão> dedispositivos>Integração.
Selecione o sistema operativo.
No campo Método de implementação , selecione Scripts de inclusão VDI para pontos finais não persistentes.
Clique em Transferir pacote e guarde o ficheiro .zip.
Copie os ficheiros da pasta WindowsDefenderATPOnboardingPackage extraída do ficheiro .zip para a imagem dourada/primária no caminho
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
.Se estiver a implementar múltiplas entradas para cada dispositivo - uma para cada sessão, copie WindowsDefenderATPOnboardingScript.cmd.
Se estiver a implementar uma única entrada para cada dispositivo, copie Onboard-NonPersistentMachine.ps1 e WindowsDefenderATPOnboardingScript.cmd.
Nota
Se não vir a
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
pasta, esta poderá estar oculta. Terá de escolher a opção Mostrar ficheiros e pastas ocultos de Explorador de Ficheiros.Abra uma janela de Política de Grupo Revisor Local e navegue para Configuração> do ComputadorArranque deScripts>de Definições> do Windows.
Nota
Os Política de Grupo de domínio também podem ser utilizados para integrar dispositivos VDI não persistentes.
Consoante o método que pretende implementar, siga os passos adequados:
Para uma única entrada para cada dispositivo:
Selecione o separador Scripts do PowerShell e, em seguida, selecione Adicionar (o Explorador do Windows é aberto diretamente no caminho onde copiou o script de inclusão anteriormente). Navegue para o script
Onboard-NonPersistentMachine.ps1
do PowerShell de inclusão. Não é necessário especificar o outro ficheiro, uma vez que é acionado automaticamente.Para múltiplas entradas para cada dispositivo:
Selecione o separador Scripts e, em seguida, clique em Adicionar (o Explorador do Windows é aberto diretamente no caminho onde copiou o script de inclusão anteriormente). Navegue para o script
WindowsDefenderATPOnboardingScript.cmd
bash de inclusão .
Teste a sua solução:
Create um conjunto com um dispositivo.
Inicie sessão no dispositivo.
Termine sessão no dispositivo.
Inicie sessão no dispositivo com outro utilizador.
Consoante o método que pretende implementar, siga os passos adequados:
- Para uma única entrada para cada dispositivo: verifique apenas uma entrada no portal Microsoft Defender.
- Para múltiplas entradas para cada dispositivo: verifique múltiplas entradas no portal Microsoft Defender.
Clique em Lista de dispositivos no painel navegação.
Utilize a função de pesquisa ao introduzir o nome do dispositivo e selecione Dispositivo como tipo de pesquisa.
Para SKUs de nível inferior (Windows Server 2008 R2)
Nota
Estas instruções para outras versões do windows server também se aplicam se estiver a executar o Microsoft Defender para Endpoint anterior para Windows Server 2016 e Windows Server 2012 R2 que necessite do MMA. As instruções para migrar para a nova solução unificada encontram-se em Cenários de migração do servidor no Microsoft Defender para Endpoint.
O registo seguinte só é relevante quando o objetivo é alcançar uma "Entrada única para cada dispositivo".
Defina o valor do registo como:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging] "VDI"="NonPersistent"
ou através da linha de comandos:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
Atualizar imagens de infraestrutura de ambiente de trabalho virtual (VDI) (persistentes ou não persistentes)
Com a capacidade de implementar facilmente atualizações em VMs em execução em VDIs, encurtámos este guia para nos concentrarmos na forma como pode obter atualizações nos seus computadores de forma rápida e fácil. Já não precisa de criar e selar imagens douradas periodicamente, uma vez que as atualizações são expandidas para os respetivos bits de componente no servidor anfitrião e, em seguida, transferidas diretamente para a VM quando estão ativadas.
Se tiver integrado a imagem primária do seu ambiente VDI (o serviço SENSE está em execução), tem de remover e limpar alguns dados antes de voltar a colocar a imagem em produção.
Certifique-se de que o sensor está parado ao executar o seguinte comando numa janela cmd:
sc query sense
Execute os seguintes comandos numa janela cmd::
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f exit
Está a utilizar terceiros para VDIs?
Se estiver a implementar VDIs não persistentes através da clonagem instantânea do VMware ou tecnologias semelhantes, confirme que as VMs de modelo interno e as VMs de réplica não estão integradas no Defender para Endpoint. Se integrar dispositivos com o método de entrada única, os clones instantâneos aprovisionados a partir de VMs integradas poderão ter o mesmo senseGuid e isso pode impedir que uma nova entrada seja listada na vista Inventário de Dispositivos (no portal Microsoft Defender, selecioneDispositivos> de Ativos).
Se a imagem primária, a VM de modelo ou a VM de réplica estiverem integradas no Defender para Endpoint com o método de entrada única, isso impedirá o Defender de criar entradas para novas VDIs não persistentes no portal do Microsoft Defender.
Contacte os fornecedores de terceiros para obter mais assistência.
Outras definições de configuração recomendadas
Depois de integrar dispositivos no serviço, é importante tirar partido das capacidades de proteção contra ameaças incluídas ao ativar os mesmos com as seguintes definições de configuração recomendadas.
Configuração da proteção da próxima geração
São recomendadas as seguintes definições de configuração:
Serviço de Proteção da Cloud
- Ativar a proteção fornecida pela cloud: Sim
- Nível de proteção fornecido pela cloud: Não configurado
- Tempo Limite Alargado do Defender Cloud em Segundos: 20
Exclusões
- Veja as recomendações de exclusão do antivírus FXLogix aqui: Pré-requisitos do FSLogix.
Proteção em tempo real
- Ative todas as definições e defina para monitorizar todos os ficheiros
Remediação
- Número de dias para manter o software maligno em quarentena: 30
- Submeter consentimento de exemplos: Enviar todos os exemplos automaticamente
- Ação a tomar em aplicações potencialmente indesejadas: Ativar
- Ações para ameaças detetadas:
- Baixa ameaça: Limpa
- Ameaça moderada, Alta ameaça, Ameaça severa: Quarentena
Analisar
- Analisar ficheiros arquivados: Sim
- Utilizar prioridade de CPU baixa para análises agendadas: Não configurado
- Desativar a análise completa de recuperação: Não configurado
- Desativar a análise rápida de recuperação: Não configurado
- Limite de utilização da CPU por análise: 50
- Analisar unidades de rede mapeadas durante a análise completa: Não configurado
- Executar análise rápida diária às 12:00
- Tipo de análise: Não configurado
- Dia da semana para executar a análise agendada: Não configurado
- Hora do dia para executar uma análise agendada: Não configurado
- Procurar atualizações de assinatura antes de executar a análise: Sim
Atualizações
- Introduza a frequência de verificação de atualizações de informações de segurança: 8
- Deixar outras definições no estado predefinido
Experiência do utilizador
- Permitir o acesso do utilizador a Microsoft Defender aplicação: Não configurado
Ativar a proteção contra adulteração
- Ativar a proteção contra adulteração para impedir Microsoft Defender desativar: Ativar
Redução da superfície de ataque
- Ativar a proteção de rede: modo de teste
- Exigir SmartScreen para o Microsoft Edge: Sim
- Bloquear o acesso a sites maliciosos: Sim
- Bloquear transferência de ficheiros não verificados: Sim
Regras de redução da superfície de ataque
- Configure todas as regras disponíveis para Auditoria.
Nota
Bloquear estas atividades pode interromper processos de negócio legítimos. A melhor abordagem é definir tudo para auditoria, identificar quais são seguros para ativar e, em seguida, ativar essas definições em pontos finais que não têm deteções de falsos positivos.
Tópicos relacionados
- Integração de dispositivos Windows através da Política de Grupo
- Integrar dispositivos Windows com Microsoft Configuration Manager
- Integração de dispositivos Windows através de ferramentas de Gestão de Dispositivos Móveis
- Integração de dispositivos Windows através de um script local
- Resolver problemas de inclusão de Microsoft Defender para Endpoint
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.