在远程桌面或虚拟桌面基础结构环境中配置Microsoft Defender防病毒
适用于:
- Microsoft Defender 防病毒
- Defender for Endpoint 计划 1
- Defender for Endpoint 计划 2
平台
- Windows
本文专为使用 Microsoft Defender 防病毒功能的客户设计。 如果Microsoft Defender for Endpoint (包括Microsoft Defender防病毒以及其他设备保护功能) ,请Microsoft Defender XDR中加入非持久性虚拟桌面基础结构 (VDI) 设备。
可以在远程桌面 (RDS) 或非持久性虚拟桌面基础结构 (VDI) 环境中使用Microsoft Defender防病毒。 按照本文中的指南操作,可以将更新配置为在用户登录时直接下载到 RDS 或 VDI 环境。
本指南介绍如何在 VM 上配置Microsoft Defender防病毒以实现最佳保护和性能,包括如何:
重要
尽管 VDI 可以托管在 Windows Server 2012 或 Windows Server 2016 上,但虚拟机 (VM) 应运行 Windows 10 版本 1607,因为 Windows 早期版本中不可用的保护技术和功能已增加。
为安全智能设置专用 VDI 文件共享
Windows 10版本 1903 中,Microsoft引入了共享安全智能功能,该功能将下载的安全智能更新卸载到主机上。 此方法可减少单个计算机上的 CPU、磁盘和内存资源的使用率。 共享安全智能现在适用于Windows 10版本 1703 及更高版本。 可以使用 组策略 或 PowerShell 设置此功能。
组策略
在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。
在“组策略管理”编辑器,转到“计算机配置”。
选择“ 管理模板”。 将树展开到 Windows 组件>Microsoft Defender防病毒>安全智能汇报。
双击“ 定义 VDI 客户端的安全智能位置”,然后将选项设置为 “已启用”。
字段会自动显示。
输入
\\<Windows File Server shared location\>\wdav-update
(以获取此值的帮助,请参阅 下载和解压缩) 。选择“确定”,然后将组策略对象部署到要测试的 VM。
PowerShell
在每个 RDS 或 VDI 设备上,使用以下 cmdlet 启用该功能:
Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update
推送更新,就像平常将基于 PowerShell 的配置策略推送到 VM 上一样。 (请参阅本文中的 下载和解压缩 部分。查找 共享位置 条目。)
下载并解压缩最新更新
现在可以开始下载和安装新更新。 我们在下面为你创建了一个示例 PowerShell 脚本。 此脚本是下载新更新并为 VM 做好准备的最简单方法。 然后,应通过使用计划任务 (将脚本设置为在特定时间在管理计算机上运行,或者,如果熟悉在 Azure、Intune 或 SCCM 中使用 PowerShell 脚本,还可以) 使用这些脚本。
$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'
New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage
Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"
可以将计划任务设置为每天运行一次,以便每当下载并解压缩包时,VM 就会收到新的更新。 我们建议从一天开始一次,但你应该尝试增加或减少频率以了解影响。
安全智能包通常每三到四小时发布一次。 建议不要将频率设置为短于 4 小时,因为这会增加管理计算机上的网络开销,不会带来任何好处。
还可以设置单一服务器或计算机,以按时间间隔代表 VM 提取更新,并将其置于文件共享中以供使用。 如果设备具有共享和读取访问权限, (NTFS 权限) 共享,以便获取更新,则此配置是可能的。 若要设置此配置,请执行以下步骤:
创建 SMB/CIFS 文件共享。
使用以下示例创建具有以下共享权限的文件共享。
PS c:\> Get-SmbShareAccess -Name mdatp$ Name ScopeName AccountName AccessControlType AccessRight ---- --------- ----------- ----------------- ----------- mdatp$ * Everyone Allow Read
注意
为 经过身份验证的用户:Read:添加了 NTFS 权限。
对于此示例,文件共享为
\\WindowsFileServer.fqdn\mdatp$\wdav-update
。
设置计划任务以运行 PowerShell 脚本
在管理计算机上,打开“开始”菜单并键入
Task Scheduler
。 在结果中,选择“任务计划程序”,然后在侧面板中选择“ 创建任务...” 。将名称指定为
Security intelligence unpacker
。在“ 触发器 ”选项卡上,选择“ 新建...”>每日,然后选择 “确定”。
在“ 操作 ”选项卡上,选择“ 新建...”。
在“程序/脚本”字段中指定
PowerShell
。在 “添加参数” 字段中,键入
-ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1
,然后选择“ 确定”。根据需要配置任何其他设置。
选择“ 确定” 以保存计划任务。
若要手动启动更新,请右键单击任务,然后选择“ 运行”。
手动下载和解压缩
如果希望手动执行所有操作,可执行以下操作来复制脚本的行为:
在名为
wdav_update
的系统根目录上创建一个名为 的新文件夹,以存储智能更新。 例如,创建文件夹c:\wdav_update
。使用 GUID 名称在 下
wdav_update
创建子文件夹,例如{00000000-0000-0000-0000-000000000000}
下面是一个示例:
c:\wdav_update\{00000000-0000-0000-0000-000000000000}
注意
我们设置脚本,以便 GUID 的最后 12 位数字是下载文件的年、月、日和时间,以便每次创建新文件夹。 可以对此进行更改,以便每次将文件下载到同一个文件夹。
将安全智能包从 https://www.microsoft.com/wdsi/definitions 下载到 GUID 文件夹中。 该文件应名为
mpam-fe.exe
。打开命令提示符窗口并导航到创建的 GUID 文件夹。 使用
/X
提取命令提取文件。 例如mpam-fe.exe /X
。注意
每当使用提取的更新包创建新的 GUID 文件夹时,或者每当使用新提取的包更新现有文件夹时,VM 都将选取更新的包。
随机化计划的扫描
除了 实时保护和扫描之外,计划扫描还会运行。
扫描本身的开始时间仍基于计划扫描策略 (ScheduleDay、 ScheduleTime 和 ScheduleQuickScanTime) 。 随机化会导致Microsoft Defender防病毒在为计划扫描设置的时间后,在 4 小时内在每台计算机上启动扫描。
有关可用于 计划扫描 的其他配置选项,请参阅计划扫描。
使用快速扫描
可以指定在计划扫描期间应执行的扫描类型。 快速扫描是首选方法,因为它们旨在查找恶意软件需要驻留才能处于活动状态的所有位置。 以下过程介绍如何使用组策略设置快速扫描。
在组策略 编辑器中,转到管理模板>Windows 组件>Microsoft Defender防病毒>扫描。
选择“ 指定要用于计划扫描的扫描类型 ”,然后编辑策略设置。
将策略设置为 “已启用”,然后在 “选项”下选择“ 快速扫描”。
选择“确定”。
如通常一样部署组策略对象。
阻止通知
有时,Microsoft Defender防病毒通知发送到多个会话或跨多个会话保留。 若要帮助避免用户混淆,可以锁定Microsoft Defender防病毒用户界面。 以下过程介绍如何使用组策略取消通知。
在组策略 编辑器中,转到 Windows 组件>Microsoft Defender防病毒>客户端接口。
选择“ 取消所有通知” ,然后编辑策略设置。
将策略设置为 “已启用”,然后选择“ 确定”。
如通常一样部署组策略对象。
取消通知可防止在扫描完成或采取修正操作时显示来自Microsoft Defender防病毒的通知。 但是,如果检测到并停止攻击,安全运营团队将看到扫描结果。 将生成警报(如初始访问警报),并显示在Microsoft Defender门户中。
更新后禁用扫描
在更新后禁用扫描可防止在收到更新后进行扫描。 如果还运行了快速扫描,则可以在创建基础映像时应用此设置。 这样,就可以防止新更新的 VM 再次执行扫描 (,因为) 创建基础映像时已经扫描过它。
重要
更新后运行扫描有助于确保 VM 受到最新安全智能更新的保护。 禁用此选项会降低 VM 的保护级别,仅应在首次创建或部署基础映像时使用。
在组策略 编辑器中,转到 Windows 组件>Microsoft Defender防病毒>安全智能汇报。
选择“ 在安全智能更新后启用扫描 ”,然后编辑策略设置。
将策略设置为 “已禁用”。
选择“确定”。
如通常一样部署组策略对象。
此策略可防止扫描在更新后立即运行。
ScanOnlyIfIdle
禁用 选项
使用以下 cmdlet 在设备处于被动模式时停止快速或计划的扫描。
Set-MpPreference -ScanOnlyIfIdleEnabled $false
还可以ScanOnlyIfIdle
通过本地或域组策略通过配置禁用 Microsoft Defender 防病毒中的 选项。 此设置可防止在高密度环境中出现大量 CPU 争用。
有关详细信息,请参阅 仅在计算机打开但未使用时启动计划扫描。
扫描已脱机的 VM
在组策略 编辑器中,转到 Windows 组件>Microsoft Defender防病毒>扫描。
选择“ 启用赶超快速扫描 ”,然后编辑策略设置。
将策略设置为 “已启用”。
选择“确定”。
像往常一样部署 组策略 对象。
如果 VM 错过了两次或两次以上的连续计划扫描,则此策略将强制扫描。
启用无外设 UI 模式
在组策略 编辑器中,转到 Windows 组件>Microsoft Defender防病毒>客户端接口。
选择 “启用无外设 UI 模式 ”并编辑策略。
将策略设置为 “已启用”。
选择“确定”。
像往常一样部署 组策略 对象。
此策略对组织中的最终用户隐藏整个 Microsoft Defender 防病毒用户界面。
运行“Windows Defender 缓存维护”计划任务
针对非持久性和/或持久性 VDI 环境优化“Windows Defender 缓存维护”计划任务。 在密封前对main映像运行此任务。
打开 任务计划程序 mmc (
taskschd.msc
) 。展开 WindowsWindows DefenderMicrosoft>>任务计划程序库>,然后右键单击“Windows Defender 缓存维护”。
选择“ 运行”,让计划任务完成。
排除项
如果认为需要添加排除项,请参阅管理Microsoft Defender for Endpoint的排除项和Microsoft Defender防病毒。
另请参阅
- 技术社区博客:为非持久性 VDI 计算机配置Microsoft Defender防病毒
- 有关远程桌面服务和 VDI 的 TechNet 论坛
- SignatureDownloadCustomTask PowerShell 脚本
如果要在非 Windows 平台上查找有关 Defender for Endpoint 的信息,请参阅以下资源:
- Mac 上的 Microsoft Defender for Endpoint
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。