在 Microsoft Defender XDR 中加入非持久性虚拟桌面基础结构 (VDI) 设备

虚拟桌面基础结构 (VDI) 是一种 IT 基础结构概念,它允许最终用户从几乎任何设备 ((如个人电脑、智能手机或平板电脑) )访问企业虚拟桌面实例,无需组织为用户提供物理计算机。 使用 VDI 设备可降低成本,因为 IT 部门不再负责管理、修复和更换物理终结点。 授权用户可以通过安全的桌面客户端或浏览器从任何已批准的设备访问相同的公司服务器、文件、应用和服务。

与 IT 环境中的任何其他系统一样,这些系统也应具有终结点检测和响应 (EDR) 和防病毒解决方案,以防止高级威胁和攻击。

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

注意

持久 VDI - 将持久性 VDI 计算机载入Microsoft Defender for Endpoint的处理方式与载入物理计算机(如台式机或笔记本电脑)的方式相同。 组策略、Microsoft Configuration Manager和其他方法可用于载入持久性计算机。 在Microsoft Defender门户中, (https://security.microsoft.com) “下,选择首选的载入方法,然后按照该类型的说明进行操作。 有关详细信息,请参阅 载入 Windows 客户端

(VDI) 设备加入非持久性虚拟桌面基础结构

Defender for Endpoint 支持非持久性 VDI 会话加入。

加入 VDI 实例时,可能存在相关的挑战。 下面是此方案的典型挑战:

  • 短生存期会话的即时早期加入,必须在实际预配之前将其载入到 Defender for Endpoint。
  • 设备名称通常重新用于新会话。

在 VDI 环境中,VDI 实例的生命周期可能较短。 VDI 设备可以在Microsoft Defender门户中显示为每个 VDI 实例的单个条目或每个设备的多个条目。

  • 每个 VDI 实例的单个条目。 如果 VDI 实例已载入Microsoft Defender for Endpoint,并在某个时候删除,然后使用相同的主机名重新创建,则不会在门户中创建表示此 VDI 实例的新对象。

    注意

    在这种情况下,必须在创建会话时配置 相同的 设备名称,例如使用无人参与的应答文件。

  • 每个设备的多个条目 - 每个 VDI 实例各有一个条目。

重要

如果要通过克隆技术部署非持久性 VDI,请确保内部模板 VM 未载入到 Defender for Endpoint。 此建议是避免使用与模板 VM 相同的 senseGuid 加入克隆的 VM,这可能会阻止 VM 在“设备”列表中显示为新条目。

以下步骤将指导你完成加入 VDI 设备,并突出显示单项和多个条目的步骤。

警告

对于资源配置较低的环境,VDI 启动过程可能会减慢 Defender for Endpoint 传感器载入速度。

载入步骤

注意

必须首先按照载入 Windows 服务器中的说明应用安装包来准备Windows Server 2016和Windows Server 2012 R2,才能使此功能正常工作。

  1. 打开从服务载入向导下载的 VDI 配置包 .zip 文件 (WindowsDefenderATPOnboardingPackage.zip) 。 还可以从Microsoft Defender门户获取包:

    1. 在导航窗格中,选择“设置>终结点”“>设备管理>”“载入”。

    2. 选择操作系统。

    3. “部署方法 ”字段中, 为非持久性终结点选择“VDI 载入脚本”。

    4. 单击“ 下载包 ”并保存 .zip 文件。

  2. 将从 .zip 文件提取的 WindowsDefenderATPOnboardingPackage 文件夹中的文件复制到路径 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup下的黄金/主映像中。

    1. 如果要为每个设备实现多个条目(每个会话一个条目),请复制WindowsDefenderATPOnboardingScript.cmd。

    2. 如果要为每个设备实现单个条目,请同时复制 Onboard-NonPersistentMachine.ps1 和WindowsDefenderATPOnboardingScript.cmd。

    注意

    如果未看到该 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 文件夹,则它可能已隐藏。 需要从文件资源管理器选择“显示隐藏的文件和文件夹”选项。

  3. 打开“本地组策略 编辑器”窗口并导航到“计算机配置>”“Windows 设置”“>脚本>启动”。

    注意

    域组策略还可用于载入非持久性 VDI 设备。

  4. 根据要实现的方法,请遵循相应的步骤:

    • 对于每个设备的单个条目:

      选择“ PowerShell 脚本 ”选项卡,然后选择“ 添加 (Windows 资源管理器”,直接在前面) 复制载入脚本的路径中打开。 导航到载入 PowerShell 脚本 Onboard-NonPersistentMachine.ps1。 无需指定另一个文件,因为它会自动触发。

    • 对于每个设备的多个条目:

      选择“ 脚本 ”选项卡,然后单击“ 添加 (Windows 资源管理器将直接打开) 之前复制载入脚本的路径。 导航到载入 bash 脚本 WindowsDefenderATPOnboardingScript.cmd

  5. 测试解决方案:

    1. 使用一台设备Create池。

    2. 登录到设备。

    3. 从设备注销。

    4. 使用其他用户登录到设备。

    5. 根据要实现的方法,请遵循相应的步骤:

      • 对于每个设备的单个条目:在Microsoft Defender门户中仅检查一个条目。
      • 对于每个设备的多个条目:在Microsoft Defender门户中检查多个条目。
  6. 单击“导航”窗格上的“ 设备列表 ”。

  7. 输入设备名称并选择“ 设备 ”作为搜索类型,使用搜索功能。

对于下层 SKU (Windows Server 2008 R2)

注意

如果为需要 MMA 的 Windows Server 2016 和 Windows Server 2012 R2 运行以前的Microsoft Defender for Endpoint,则其他 Windows Server 版本的这些说明同样适用。 有关迁移到新统一解决方案的说明,请参阅 Microsoft Defender for Endpoint 中的服务器迁移方案

仅当目标是实现“每个设备的单个条目”时,以下注册表才相关。

  1. 将注册表值设置为:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
    "VDI"="NonPersistent"
    

    或使用命令行:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
    
  2. 遵循 服务器载入过程

将虚拟桌面基础结构 (VDI) 映像更新 (持久性或非持久性)

由于能够轻松地将更新部署到 VDI 中运行的 VM,我们缩短了本指南,重点介绍了如何快速轻松地在计算机上获取更新。 不再需要定期创建和密封黄金映像,因为更新将扩展到主机服务器上的组件位,然后在 VM 打开时直接下载到 VM。

如果已载入 VDI 环境的主映像 (SENSE 服务正在运行) ,则必须在将映像重新投入生产之前卸载并清除一些数据。

  1. 卸载计算机

  2. 通过在 CMD 窗口中运行以下命令,确保传感器已停止:

    sc query sense
    
  3. 在 CMD 窗口中运行以下命令:

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
    exit
    

是否为 VDI 使用第三方?

如果要通过 VMware 即时克隆或类似技术部署非持久性 VDI,请确保内部模板 VM 和副本 (replica) VM 未载入 Defender for Endpoint。 如果使用单一入口方法载入设备,则从载入的 VM 预配的即时克隆可能具有相同的 senseGuid,并且可以阻止新条目在Microsoft Defender门户中 (列出,请选择“资产>设备) ”。

如果使用单项方法将主映像、模板 VM 或副本 (replica) VM 载入到 Defender for Endpoint,它将阻止 Defender 在 Microsoft Defender 门户中为新的非持久性 VDI 创建条目。

请联系第三方供应商以获取进一步的帮助。

将设备加入服务后,请务必使用以下建议的配置设置启用设备,从而利用包含的威胁防护功能。

下一代保护配置

建议使用以下配置设置:

云保护服务

  • 打开云端保护:是
  • 云提供的保护级别:未配置
  • Defender Cloud 延长超时(秒):20

排除项

实时保护

  • 打开所有设置并设置为监视所有文件

修复

  • 保留隔离恶意软件的天数:30
  • 提交示例同意:自动发送所有示例
  • 对潜在有害应用执行的操作:启用
  • 针对检测到的威胁的操作:
    • 低威胁:清理
    • 中等威胁、高威胁、严重威胁:隔离

扫描

  • 扫描存档的文件:是
  • 对计划扫描使用低 CPU 优先级:未配置
  • 禁用追赶完全扫描:未配置
  • 禁用赶集快速扫描:未配置
  • 每次扫描的 CPU 使用率限制:50
  • 在完全扫描期间扫描映射的网络驱动器:未配置
  • 在中午 12 点运行每日快速扫描
  • 扫描类型:未配置
  • 运行计划扫描的星期几:未配置
  • 运行计划扫描的一天中的时间:未配置
  • 运行扫描前检查签名更新:是

更新

  • 输入安全智能更新检查频率:8
  • 将其他设置保留为默认状态

用户体验

  • 允许用户访问Microsoft Defender应用:未配置

启用篡改防护

  • 启用篡改防护以防止禁用Microsoft Defender:启用

攻击面减少

  • 启用网络保护:测试模式
  • Microsoft Edge 需要 SmartScreen:是
  • 阻止恶意站点访问:是
  • 阻止未经验证的文件下载:是

攻击面减少规则

  • 将所有可用规则配置为“审核”。

注意

阻止这些活动可能会中断合法的业务流程。 最佳方法是将所有内容设置为审核,确定哪些设置可以安全打开,然后在没有误报检测的终结点上启用这些设置。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区