Konfigurera Microsoft Defender Antivirus på en miljö för fjärrskrivbord eller virtuell skrivbordsinfrastruktur

Gäller för:

• Microsoft Defender Antivirus
• Defender för Endpoint Abonnemang 1
• Defender för Endpoint Plan 2

Plattformar

• Windows

Den här artikeln är utformad för kunder som endast använder Microsoft Defender Antivirus-funktioner. Om du har Microsoft Defender för Endpoint (som innehåller Microsoft Defender Antivirus tillsammans med andra funktioner för enhetsskydd) kan du läsa Registrera VDI-enheter (Non-Persistent Virtual Desktop Infrastructure) i Microsoft Defender XDR.

Du kan använda Microsoft Defender Antivirus i en fjärrskrivbordsmiljö (RDS) eller en icke-beständig VDI-miljö (Virtual Desktop Infrastructure). Med hjälp av vägledningen i den här artikeln kan du konfigurera uppdateringar för att ladda ned direkt till dina RDS- eller VDI-miljöer när en användare loggar in.

Den här guiden beskriver hur du konfigurerar Microsoft Defender Antivirus på dina virtuella datorer för optimalt skydd och prestanda, inklusive hur du:

• Konfigurera en dedikerad VDI-filresurs för uppdateringar av säkerhetsinformation
• Ladda ned och packa upp de senaste uppdateringarna
• Konfigurera inställningar för Microsoft Defender Antivirus
• Kör schemalagd aktivitet för underhåll av Windows Defender Cache

Viktigt

Även om en VDI kan finnas på Windows Server 2012 eller Windows Server 2016, bör virtuella datorer (VM) köra Windows 10 version 1607 som minst på grund av ökade skyddstekniker och funktioner som inte är tillgängliga i tidigare versioner av Windows.

Konfigurera en dedikerad VDI-filresurs för säkerhetsinformation

I Windows 10 version 1903 introducerade Microsoft funktionen för delad säkerhetsinformation, som avlastar upppackningen av nedladdade uppdateringar av säkerhetsinformation på en värddator. Den här metoden minskar användningen av processor-, disk- och minnesresurser på enskilda datorer. Delad säkerhetsinformation fungerar nu på Windows 10 version 1703 och senare. Du kan konfigurera den här funktionen med hjälp av grupprincip eller PowerShell.

Grupprincip

1. Öppna grupprincip-hanteringskonsolen på grupprincip-hanteringsdatorn, högerklicka på det grupprincip objekt som du vill konfigurera och välj sedan Redigera.

2. I grupprincip Management Editor går du till Datorkonfiguration.

3. Välj Administrativa mallar. Expandera trädet till Windows-komponenter>Microsoft Defender Antivirus>Security Intelligence-Uppdateringar.

4. Dubbelklicka på Definiera plats för säkerhetsinformation för VDI-klienter och ange sedan alternativet till Aktiverad. Ett fält visas automatiskt.

5. I fältet skriver du \\<File Server shared location\>\wdav-update. (Mer information om det här värdet finns i Ladda ned och packa upp.)

6. Välj OK och distribuera sedan grupprincip-objektet till de virtuella datorer som du vill testa.

PowerShell

1. På varje RDS- eller VDI-enhet använder du följande cmdlet för att aktivera funktionen:

   Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

2. Push-överför uppdateringen eftersom du normalt skulle push-överföra PowerShell-baserade konfigurationsprinciper till dina virtuella datorer. (Se avsnittet Ladda ned och packa upp i den här artikeln. Leta efter posten delad plats .)

Ladda ned och packa upp de senaste uppdateringarna

Nu kan du komma igång med att ladda ned och installera nya uppdateringar. Det här avsnittet innehåller ett PowerShell-exempelskript som du kan använda. Det här skriptet är det enklaste sättet att ladda ned nya uppdateringar och förbereda dem för dina virtuella datorer. Du bör sedan ange att skriptet ska köras vid en viss tidpunkt på hanteringsdatorn med hjälp av en schemalagd aktivitet. Om du är bekant med att använda PowerShell-skript i Azure, Intune eller Configuration Manager kan du använda skripten i stället.

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Du kan ange att en schemalagd aktivitet ska köras en gång om dagen så att när paketet laddas ned och packas upp får de virtuella datorerna den nya uppdateringen. Vi föreslår att du börjar med en gång om dagen, men du bör experimentera med att öka eller minska frekvensen för att förstå effekten.

Säkerhetsinformationspaket publiceras vanligtvis en gång var tredje till fjärde timme. Det är inte lämpligt att ange en frekvens som är kortare än fyra timmar eftersom det ökar nätverkskostnaderna på hanteringsdatorn utan någon fördel.

Du kan också konfigurera en enskild server eller dator för att hämta uppdateringar för de virtuella datorernas räkning med ett intervall och placera dem i filresursen för förbrukning. Den här konfigurationen är möjlig när enheterna har delnings- och läsåtkomst (NTFS-behörigheter) till resursen så att de kan hämta uppdateringarna. Följ dessa steg för att konfigurera den här konfigurationen:

1. Skapa en SMB/CIFS-filresurs.

2. Använd följande exempel för att skapa en filresurs med följande resursbehörigheter.

   
   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   
   

   Obs!

   En NTFS-behörighet läggs till för autentiserade användare:Läsa:.

   I det här exemplet är \\FileServer.fqdn\mdatp$\wdav-updatefilresursen .

Ange en schemalagd aktivitet för att köra PowerShell-skriptet

1. Öppna Start-menyn på hanteringsdatorn och skriv Task Scheduler. I resultatet väljer du Schemaläggaren och sedan Skapa uppgift... på sidopanelen.

2. Ange namnet som Security intelligence unpacker.

3. På fliken Utlösare väljer du Ny...>Varje dag väljer du OK.

4. På fliken Åtgärder väljer du Ny....

5. Ange PowerShell i fältet Program/skript .

6. I fältet Lägg till argument skriver du -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1och väljer sedan OK.

7. Konfigurera andra inställningar efter behov.

8. Spara den schemalagda aktiviteten genom att välja OK .

Initiera uppdateringen manuellt genom att högerklicka på uppgiften och sedan välja Kör.

Ladda ned och packa upp manuellt

Om du föredrar att göra allt manuellt gör du så här för att replikera skriptets beteende:

1. Skapa en ny mapp i systemroten med namnet wdav_update för att lagra informationsuppdateringar. Skapa till exempel mappen c:\wdav_update.

2. Skapa en undermapp under wdav_update med ett GUID-namn, till exempel {00000000-0000-0000-0000-000000000000}

   Här är ett exempel: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   Obs!

   Vi anger skriptet så att de sista 12 siffrorna i GUID är året, månaden, dagen och tiden då filen laddades ned så att en ny mapp skapas varje gång. Du kan ändra detta så att filen laddas ned till samma mapp varje gång.

3. Ladda ned ett säkerhetsinformationspaket från https://www.microsoft.com/wdsi/definitions till GUID-mappen. Filen ska ha namnet mpam-fe.exe.

4. Öppna ett kommandotolksfönster och navigera till den GUID-mapp som du skapade. Använd extraheringskommandot /X för att extrahera filerna. Till exempel mpam-fe.exe /X.

   Obs!

   De virtuella datorerna hämtar det uppdaterade paketet när en ny GUID-mapp skapas med ett extraherat uppdateringspaket eller när en befintlig mapp uppdateras med ett nytt extraherat paket.

konfigurationsinställningar för Microsoft Defender antivirusprogram

Det är viktigt att dra nytta av de inkluderade funktionerna för skydd mot hot genom att aktivera dem med följande rekommenderade konfigurationsinställningar.  Den är optimerad för VDI-miljöer.

Tips

De senaste administrativa mallarna för Windows-grupprinciper finns i Skapa och hantera Central Store.

Rot

• Konfigurera identifiering för potentiellt oönskade program: Enabled - Block

• Konfigurera beteende för lokal administratörssammanslagning för listor: Disabled

• Kontrollera om undantag är synliga för lokala administratörer: Enabled

• Inaktivera rutinreparation: Disabled

• Randomisera schemalagda genomsökningar: Enabled

Klientgränssnitt

• Aktivera huvudlöst användargränssnittsläge: Enabled

  Obs!

  Den här principen döljer hela Microsoft Defender Antivirus-användargränssnittet från slutanvändare i din organisation.

• Ignorera alla meddelanden: Enabled

Obs!

Ibland skickas Microsoft Defender Antivirus-meddelanden till eller sparas mellan flera sessioner. För att undvika användarförvirring kan du låsa Microsoft Defender Antivirus-användargränssnittet. Om du utelämnar meddelanden hindras meddelanden från att Microsoft Defender Antivirus visas när genomsökningar görs eller åtgärder vidtas. Säkerhetsteamet ser dock resultatet av en genomsökning om en attack identifieras och stoppas. Aviseringar, till exempel en första åtkomstavisering, genereras och visas i Microsoft Defender-portalen.

KARTOR

• Anslut till Microsoft MAPS (Aktivera molnlevererad skydd): Enabled - Advanced MAPS

• Skicka filexempel när ytterligare analys krävs: Send all samples (more secure) eller Send safe sample (less secure)

MPEngine

• Konfigurera utökad molnkontroll: 20

• Välj molnskyddsnivå: Enabled - High

• Aktivera funktionen för beräkning av filhash: Enabled

Obs!

"Aktivera funktionen för filhashberäkning" behövs bara om du använder Indikatorer – filhash.  Det kan orsaka högre cpu-användning eftersom den måste parsa genom varje binär fil på disken för att hämta filhashen.

Realtidsskydd

• Konfigurera övervakning för inkommande och utgående fil- och programaktivitet: Enabled – bi-directional (full on-access)

• Övervaka fil- och programaktivitet på datorn: Enabled

• Sök igenom alla nedladdade filer och bifogade filer: Enabled

• Aktivera beteendeövervakning: Enabled

• Aktivera processgenomsökning när realtidsskydd är aktiverat: Enabled

• Aktivera aviseringar om rå volymskrivning: Enabled

Skannar

• Sök efter den senaste säkerhetsinformationen för virus och spionprogram innan du kör en schemalagd genomsökning: Enabled

• Sök igenom arkivfiler: Enabled

• Sök igenom nätverksfiler: Not configured

• Genomsöka körbara filer som är paketerade: Enabled

• Sök igenom flyttbara enheter: Enabled

• Aktivera fullständig genomsökning för att komma ikapp (inaktivera fullständig genomsökning): Not configured

• Aktivera snabbsökning för att komma ikapp (Inaktivera snabbsökning för att komma ikapp): Not configured

  Obs!

  Om du vill härda kan du ändra "Aktivera snabbsökning för att komma ikapp" till aktiverad, vilket hjälper när virtuella datorer har varit offline och har missat två eller flera schemalagda genomsökningar i följd.  Men eftersom den kör en schemalagd genomsökning kommer den att använda ytterligare CPU.

• Aktivera e-postgenomsökning: Enabled

• Aktivera heuristik: Enabled

• Aktivera genomsökning av referenspunkter: Enabled

Allmänna inställningar för schemalagd genomsökning

• Konfigurera låg CPU-prioritet för schemalagda genomsökningar (Använd låg CPU-prioritet för schemalagda genomsökningar): Not configured

• Ange den maximala procentandelen processoranvändning under en genomsökning (cpu-användningsgräns per genomsökning): 50

• Starta endast den schemalagda genomsökningen när datorn är på men inte används (ScanOnlyIfIdle): Not configured

• Använd följande cmdlet för att stoppa en snabb eller schemalagd genomsökning när enheten blir inaktiv om den är i passivt läge.

  
  Set-MpPreference -ScanOnlyIfIdleEnabled $false
  
  

Tips

Inställningen "Starta endast den schemalagda genomsökningen när datorn är på men inte används" förhindrar betydande CPU-konkurrens i miljöer med hög densitet.

Daglig snabbsökning

• Ange intervallet för att köra snabbgenomsökningar per dag: Not configured

• Ange tid för en daglig snabbsökning (Kör daglig snabbsökning på): 12 PM

Köra en schemalagd genomsökning varje vecka (snabb eller fullständig)

• Ange vilken skanningstyp som ska användas för en schemalagd genomsökning (skanningstyp): Not configured

• Ange hur lång tid på dagen en schemalagd genomsökning ska köras (veckodag för schemalagd genomsökning): Not configured

• Ange vilken dag i veckan som en schemalagd genomsökning ska köras (tid på dagen för att köra en schemalagd genomsökning): Not configured

Säkerhetsinformation Uppdateringar

• Aktivera genomsökning efter uppdatering av säkerhetsinformation (Inaktivera genomsökningar efter en uppdatering): Disabled

  Obs!

  Om du inaktiverar en genomsökning efter en säkerhetsinformationsuppdatering förhindras en genomsökning efter att en uppdatering har tagits emot. Du kan använda den här inställningen när du skapar basavbildningen om du även har kört en snabbsökning. På så sätt kan du förhindra att den nyligen uppdaterade virtuella datorn utför en genomsökning igen (eftersom du redan har skannat den när du skapade basavbildningen).

  Viktigt

  Genomsökningar som körs efter en uppdatering säkerställer att dina virtuella datorer skyddas med de senaste uppdateringarna av säkerhetsinformation. Om du inaktiverar det här alternativet minskar skyddsnivån för dina virtuella datorer och bör endast användas när du först skapar eller distribuerar basavbildningen.

• Ange intervallet för att söka efter säkerhetsinformationsuppdateringar (Ange hur ofta du vill söka efter säkerhetsinformationsuppdateringar): Enabled - 8

• Lämna andra inställningar i standardtillståndet

Hot

• Ange hotaviseringsnivåer där standardåtgärden inte ska vidtas när den identifieras: Enabled

• Ange Severe (5), High (4), Medium (2)och Low (1) alla till Quarantine (2), som du ser i följande tabell:

  Värdenamn	Värde
  1 (Låg)	2
  2 (Medel)	2
  4 (Hög)	2
  5 (Allvarligt)	2

Regler för minskning av attackytan

Konfigurera alla tillgängliga regler till Audit.

Aktivera nätverksskydd

Förhindra användare och appar från att komma åt farliga webbplatser (Aktivera nätverksskydd): Enabled - Audit mode.

SmartScreen för Microsoft Edge

• Kräv SmartScreen för Microsoft Edge: Yes

• Blockera åtkomst till skadlig webbplats: Yes

• Blockera nedladdning av overifierad fil: Yes

Kör schemalagd aktivitet för underhåll av Windows Defender Cache

Optimera den schemalagda uppgiften "Underhåll av Windows Defender Cache" för icke-beständiga och/eller beständiga VDI-miljöer. Kör den här uppgiften på huvudbilden innan du förseglar den.

1. Öppna schemaläggarens mmc (taskschd.msc).

2. Expandera Schemaläggarbiblioteket>Microsoft>Windows Windows>Defender och högerklicka sedan på Underhåll av Windows Defender Cache.

3. Välj Kör och låt den schemalagda aktiviteten slutföras.

   Varning

   Om du inte gör det kan det orsaka högre processoranvändning medan cacheunderhållsaktiviteten körs på var och en av de virtuella datorerna.

Aktivera manipuleringsskydd

Aktivera manipuleringsskydd för att förhindra att Microsoft Defender Antivirus inaktiveras i Microsoft Defender-portalen.

Undantag

Om du tror att du behöver lägga till undantag kan du läsa Hantera undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.

Nästa steg

Om du också distribuerar slutpunktsidentifiering och svar (EDR) till dina Windows-baserade virtuella VDI-datorer läser du Registrera VDI-enheter (Non-Persistent Virtual Desktop Infrastructure) i Microsoft Defender XDR.

Se även

• Tech Community-blogg: Konfigurera Microsoft Defender Antivirus för icke-beständiga VDI-datorer
• TechNet-forum om Fjärrskrivbordstjänster och VDI
• SignatureDownloadCustomTask PowerShell-skript

Om du letar efter information om Defender för Endpoint på plattformar som inte kommer från Windows kan du läsa följande resurser:

• Microsoft Defender för Endpoint för Mac
• Microsoft Defender för Endpoint för Linux
• Konfigurera Defender för Endpoint för Android-funktioner
• Konfigurera Microsoft Defender för Endpoint på iOS-funktioner

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.