Поделиться через

Настройка антивирусной программы Microsoft Defender на удаленном рабочем столе или инфраструктуре виртуального рабочего стола

  • Статья

Область применения:

Платформы

  • Windows

Эта статья предназначена только для клиентов, которые используют Microsoft Defender возможности антивирусной программы. Если у вас есть Microsoft Defender для конечной точки (которая включает в себя антивирусную программу Microsoft Defender наряду с другими возможностями защиты устройств), см. раздел Подключение устройств инфраструктуры виртуальных рабочих столов (VDI) в Microsoft Defender XDR.

Антивирусная программа Microsoft Defender можно использовать в среде удаленного рабочего стола (RDS) или инфраструктуры виртуальных рабочих столов (VDI). С помощью инструкций, приведенных в этой статье, можно настроить скачивание обновлений непосредственно в среды RDS или VDI при каждом входе пользователя.

В этом руководстве описано, как настроить антивирусную программу Microsoft Defender на виртуальных машинах для оптимальной защиты и производительности, в том числе:

Важно!

Хотя VDI можно разместить на Windows Server 2012 или Windows Server 2016, виртуальные машины должны работать как минимум Windows 10 версии 1607 из-за расширения технологий и функций защиты, недоступных в более ранних версиях Windows.

Настройка выделенного файлового ресурса VDI для аналитики безопасности

В Windows 10 версии 1903 корпорация Майкрософт представила функцию общей аналитики безопасности, которая разгружает загрузку загруженных обновлений аналитики безопасности на хост-компьютер. Этот метод сокращает использование ресурсов ЦП, диска и памяти на отдельных компьютерах. Общая аналитика безопасности теперь работает на Windows 10 версии 1703 и более поздних. Эту возможность можно настроить с помощью групповая политика или PowerShell.

Групповая политика

  1. На компьютере управления групповая политика откройте консоль управления групповая политика, щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите команду Изменить.

  2. В Редактор управления групповая политика перейдите к разделу Конфигурация компьютера.

  3. Выберите Административные шаблоны. Разверните дерево, чтобы открыть компоненты> Windows Microsoft Defender Обновления аналитики безопасности антивирусной программы>.

  4. Дважды щелкните Определение расположения аналитики безопасности для клиентов VDI, а затем задайте для параметра Значение Включено. Автоматически появляется поле.

  5. В поле введите \\<File Server shared location\>\wdav-update. (Справку по этому значению см. в разделе Скачивание и распаковка.)

  6. Нажмите кнопку ОК, а затем разверните объект групповая политика на виртуальных машинах, которые требуется протестировать.

PowerShell

  1. На каждом устройстве RDS или VDI используйте следующий командлет, чтобы включить эту функцию:

    Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

  2. Отправьте обновление так же, как вы обычно отправляете политики конфигурации на основе PowerShell на виртуальные машины. (См . раздел Скачивание и распаковка этой статьи. Найдите запись общего расположения .)

Скачивание и распаковка последних обновлений

Теперь вы можете приступить к загрузке и установке новых обновлений. Этот раздел содержит пример скрипта PowerShell, который можно использовать. Этот скрипт — самый простой способ скачать новые обновления и подготовить их для виртуальных машин. Затем следует задать скрипт для выполнения в определенное время на компьютере управления с помощью запланированной задачи. Кроме того, если вы знакомы с использованием сценариев PowerShell в Azure, Intune или Configuration Manager, вы можете использовать эти скрипты.


$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Вы можете настроить запланированную задачу для выполнения один раз в день, чтобы каждый раз, когда пакет скачан и распакован, виртуальные машины получали новое обновление. Мы рекомендуем начать с одного раза в день, но вы должны поэкспериментировать с увеличением или уменьшением частоты, чтобы понять влияние.

Пакеты аналитики безопасности обычно публикуются каждые три-четыре часа. Устанавливать частоту менее четырех часов не рекомендуется, так как это увеличивает сетевые издержки на вашем компьютере управления без каких-то преимуществ.

Вы также можете настроить отдельный сервер или компьютер для получения обновлений от имени виртуальных машин через интервал времени и поместить их в общую папку для использования. Такая конфигурация возможна, если устройства имеют доступ к общей папке и на чтение (разрешения NTFS) к общей папке, чтобы они могли получать обновления. Чтобы настроить эту конфигурацию, выполните следующие действия.

  1. Создайте общую папку SMB/CIFS.

  2. Используйте следующий пример, чтобы создать общую папку со следующими разрешениями.

    
PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Примечание.

    Разрешение NTFS добавляется для пользователей, прошедших проверку подлинности:Read:.

    В этом примере общая папка имеет значение \\FileServer.fqdn\mdatp$\wdav-update.

Задание запланированной задачи для выполнения скрипта PowerShell

  1. На компьютере управления откройте меню Пуск и введите Task Scheduler. В результатах выберите Планировщик задач, а затем выберите Создать задачу... на боковой панели.

  2. Укажите имя как Security intelligence unpacker.

  3. На вкладке Триггер выберите Создать...>Ежедневно и нажмите кнопку ОК.

  4. На вкладке Действия выберите Создать....

  5. Укажите PowerShell в поле Программа или скрипт .

  6. В поле Добавить аргументы введите -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1и нажмите кнопку ОК.

  7. Настройте другие параметры соответствующим образом.

  8. Нажмите кнопку ОК , чтобы сохранить запланированную задачу.

Чтобы запустить обновление вручную, щелкните задачу правой кнопкой мыши и выберите команду Выполнить.

Скачивание и распаковка вручную

Если вы предпочитаете выполнять все вручную, выполните следующие действия, чтобы реплицировать поведение скрипта:

  1. Создайте новую папку в корневом каталоге системы с именем wdav_update для хранения обновлений аналитики. Например, создайте папку c:\wdav_update.

  2. Создайте вложенную папку с wdav_update именем GUID, например {00000000-0000-0000-0000-000000000000}

    Вот пример: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Примечание.

    Мы задали скрипт так, чтобы последние 12 цифр guid были годом, месяцем, днем и временем загрузки файла, чтобы каждый раз создавалась новая папка. Это можно изменить, чтобы файл каждый раз загружался в одну и ту же папку.

  3. Скачайте пакет аналитики безопасности из https://www.microsoft.com/wdsi/definitions в папку GUID. Файл должен иметь имя mpam-fe.exe.

  4. Откройте окно командной строки и перейдите к созданной папке GUID. /X Используйте команду извлечения, чтобы извлечь файлы. Например, mpam-fe.exe /X.

    Примечание.

    Виртуальные машины будут собирать обновленный пакет всякий раз, когда создается новая папка GUID с извлеченным пакетом обновления или когда существующую папку обновляется новым извлеченным пакетом.

параметры конфигурации антивирусной программы Microsoft Defender

Важно воспользоваться преимуществами включенных возможностей защиты от угроз, включив их со следующими рекомендуемыми параметрами конфигурации.  Он оптимизирован для сред VDI.

Совет

Последние административные шаблоны групповой политики Windows доступны в разделе Создание центрального магазина и управление ими.

Корень

  • Настройка обнаружения для потенциально нежелательных приложений: Enabled - Block

  • Настройка поведения слияния локального администратора для списков: Disabled

  • Укажите, видны ли исключения локальным администраторам: Enabled

  • Отключите регулярное исправление: Disabled

  • Рандомизация запланированных проверок: Enabled

Интерфейс клиента

  • Включение режима безголового пользовательского интерфейса: Enabled

    Примечание.

    Эта политика скрывает весь пользовательский интерфейс Microsoft Defender антивирусной программы от конечных пользователей в вашей организации.

  • Отключить все уведомления: Enabled

Примечание.

Иногда уведомления Microsoft Defender антивирусной программы отправляются в несколько сеансов или сохраняются в них. Чтобы избежать путаницы пользователей, можно заблокировать пользовательский интерфейс Microsoft Defender Антивирусная программа. Подавление уведомлений предотвращает отображение уведомлений от Microsoft Defender антивирусной программы при сканировании или выполнении действий по исправлению. Однако команда по операциям безопасности видит результаты проверки, если обнаружена и остановлена атака. Оповещения, такие как начальное оповещение о доступе, создаются и отображаются на портале Microsoft Defender.

КАРТЫ

  • Присоединиться к Microsoft MAPS (включить облачную защиту): Enabled - Advanced MAPS

  • Отправлять примеры файлов, если требуется дальнейший анализ: Send all samples (more secure) или Send safe sample (less secure)

MPEngine

  • Настройка расширенных облачных проверка:20

  • Выберите уровень защиты облака: Enabled - High

  • Включить функцию вычисления хэша файлов: Enabled

Примечание.

"Включить функцию вычисления хэша файлов" требуется только при использовании индикаторов — хэш файлов.  Это может привести к более высокой загрузке ЦП, так как ему приходится анализировать каждый двоичный файл на диске, чтобы получить хэш файла.

защита в режиме реального времени;

  • Настройте мониторинг входящих и исходящих файлов и действий программ: Enabled – bi-directional (full on-access)

  • Отслеживайте действия файлов и программ на компьютере: Enabled

  • Проверьте все скачанные файлы и вложения: Enabled

  • Включите мониторинг поведения: Enabled

  • Включите сканирование процессов, когда включена защита в режиме реального времени: Enabled

  • Включите уведомления о записи необработанных томов: Enabled

Сканирование

  • Проверьте наличие последней информации о безопасности вирусов и шпионских программ перед запуском запланированной проверки: Enabled

  • Сканирование архивных файлов: Enabled

  • Сканирование сетевых файлов: Not configured

  • Сканирование упакованных исполняемых файлов: Enabled

  • Проверка съемных дисков: Enabled

  • Включите полную проверку наверстать упущенное (отключить догоняющий полный просмотр): Not configured

  • Включите быструю проверку догоня (отключить быструю проверку догоня): Not configured

    Примечание.

    Если вы хотите выполнить усиление защиты, можно изменить параметр "Включить быструю проверку на догоняющего" на включено, что поможет, если виртуальные машины находятся в автономном режиме и пропускают два или более последовательных запланированных проверок.  Но так как выполняется запланированное сканирование, он будет использовать дополнительный ЦП.

  • Включите проверку электронной почты: Enabled

  • Включите эвристики: Enabled

  • Включите повторное сканирование точек: Enabled

Общие параметры запланированной проверки

  • Настройка низкого приоритета ЦП для запланированных проверок (используйте низкий приоритет ЦП для запланированных проверок): Not configured

  • Укажите максимальный процент использования ЦП во время сканирования (ограничение использования ЦП на сканирование): 50

  • Запуск запланированной проверки только в том случае, если компьютер включен, но не используется (ScanOnlyIfIdle): Not configured

  • Используйте следующий командлет, чтобы остановить быструю или запланированную проверку при бездействии устройства, если оно находится в пассивном режиме.

    
Set-MpPreference -ScanOnlyIfIdleEnabled $false

Совет

Параметр "Запуск запланированной проверки, только если компьютер включен, но не используется" предотвращает значительное состязание ЦП в средах с высокой плотностью.

Ежедневная быстрая проверка

  • Укажите интервал для выполнения быстрых проверок в день: Not configured

  • Укажите время для ежедневной быстрой проверки (выполните ежедневную быструю проверку по адресу): 12 PM

Выполнение еженедельной запланированной проверки (быстрой или полной)

  • Укажите тип сканирования, используемый для запланированной проверки (тип сканирования): Not configured

  • Укажите время суток для выполнения запланированной проверки (день недели для выполнения запланированной проверки): Not configured

  • Укажите день недели для выполнения запланированной проверки (время суток для выполнения запланированной проверки): Not configured

Обновления аналитики безопасности

  • Включите проверку после обновления аналитики системы безопасности (отключить сканирование после обновления): Disabled

    Примечание.

    Отключение проверки после обновления аналитики системы безопасности предотвращает ее выполнение после получения обновления. Этот параметр можно применить при создании базового образа, если вы также выполнили быструю проверку. Таким образом, вы можете предотвратить повторное сканирование новой виртуальной машины (так как вы уже сканировали ее при создании базового образа).

    Важно!

    Выполнение проверок после обновления помогает обеспечить защиту виртуальных машин с помощью последних обновлений аналитики безопасности. Отключение этого параметра снижает уровень защиты виртуальных машин и его следует использовать только при первом создании или развертывании базового образа.

  • Укажите интервал проверка для обновлений аналитики безопасности (введите частоту проверка для обновлений аналитики безопасности):Enabled - 8

  • Оставьте другие параметры в состоянии по умолчанию

Threats

  • Укажите уровни оповещений об угрозах, при которых не следует выполнять действия по умолчанию при обнаружении: Enabled

  • Задайте для Severe (5), High (4), Medium (2)и Low (1) все значение Quarantine (2), как показано в следующей таблице:

    Value name Значение
    1 (Низкий) 2
    2 (Средний) 2
    4 (Высокий) 2
    5 (Серьезный) 2

Правила сокращения направлений атак

Настройте для всех доступных правил значение Audit.

Включение защиты сети

Запретить пользователям и приложениям доступ к опасным веб-сайтам (включить защиту сети): Enabled - Audit mode.

SmartScreen для Microsoft Edge

  • Требовать SmartScreen для Microsoft Edge: Yes

  • Блокировка доступа к вредоносному сайту: Yes

  • Блокировать непроверенное скачивание файла: Yes

Запуск запланированной задачи обслуживания кэша Защитника Windows

Оптимизируйте запланированную задачу "Обслуживание кэша Защитника Windows" для постоянных и (или) постоянных сред VDI. Перед запечатыванием выполните эту задачу на main образе.

  1. Откройте mmc планировщика задач (taskschd.msc).

  2. Разверните раздел Библиотека> планировщика задачMicrosoft>Windows>Defender и щелкните правой кнопкой мыши обслуживание кэша Защитника Windows.

  3. Нажмите кнопку Выполнить и оставьте запланированную задачу завершенной.

    Предупреждение

    Если этого не сделать, это может привести к более высокой загрузке ЦП во время выполнения задачи обслуживания кэша на каждой из виртуальных машин.

Включение защиты от незаконного изменения

Включите защиту от незаконного изменения, чтобы предотвратить отключение антивирусной программы Microsoft Defender на портале Microsoft Defender.

Исключения

Если вы считаете, что вам нужно добавить исключения, см. статью Управление исключениями для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender.

Следующее действие

Если вы также развертываете обнаружение конечных точек и реагирование (EDR) на виртуальных машинах VDI под управлением Windows, см. статью Подключение устройств инфраструктуры виртуальных рабочих столов (VDI) в Microsoft Defender XDR.

См. также

Если вам нужны сведения о Defender для конечной точки на платформах, отличных от Windows, ознакомьтесь со следующими ресурсами:

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.