在远程桌面或虚拟桌面基础结构环境中配置Microsoft Defender防病毒

适用于：

• Microsoft Defender 防病毒
• Defender for Endpoint 计划 1
• Defender for Endpoint 计划 2

平台

• Windows

本文专为使用 Microsoft Defender 防病毒功能的客户设计。 如果Microsoft Defender for Endpoint (包括Microsoft Defender防病毒以及其他设备保护功能) ，请参阅在 Microsoft Defender XDR 中加入非持久性虚拟桌面基础结构 (VDI) 设备。

可以在远程桌面 (RDS) 或非持久性虚拟桌面基础结构 (VDI) 环境中使用Microsoft Defender防病毒。 使用本文中的指南，可以将更新配置为在用户登录时直接下载到 RDS 或 VDI 环境。

本指南介绍如何在 VM 上配置Microsoft Defender防病毒以实现最佳保护和性能，包括如何：

• 为安全智能更新设置专用 VDI 文件共享
• 下载并解压缩最新更新
• 配置Microsoft Defender防病毒设置
• 运行 Windows Defender 缓存维护计划任务

重要

尽管 VDI 可以托管在 Windows Server 2012 或 Windows Server 2016 上，但虚拟机 (VM) 应运行 Windows 10 版本 1607，因为 Windows 早期版本中不可用的保护技术和功能已增加。

为安全智能设置专用 VDI 文件共享

Windows 10版本 1903 中，Microsoft引入了共享安全智能功能，该功能将下载的安全智能更新卸载到主机上。 此方法可减少单个计算机上的 CPU、磁盘和内存资源的使用率。 共享安全智能现在适用于Windows 10版本 1703 及更高版本。 可以使用 组策略 或 PowerShell 设置此功能。

组策略

1. 在组策略管理计算机上，打开组策略管理控制台，右键单击要配置的组策略对象，然后选择“编辑”。

2. 在“组策略管理”编辑器，转到“计算机配置”。

3. 选择“ 管理模板”。 将树展开到 Windows 组件>Microsoft Defender防病毒>安全智能汇报。

4. 双击“ 定义 VDI 客户端的安全智能位置”，然后将选项设置为 “已启用”。 字段会自动显示。

5. 在 字段中，键入 \\<File Server shared location\>\wdav-update。 (有关此值的帮助，请参阅 Download and unpackage.)

6. 选择“确定”，然后将组策略对象部署到要测试的 VM。

PowerShell

1. 在每个 RDS 或 VDI 设备上，使用以下 cmdlet 启用该功能：

   Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

2. 推送更新，就像平常将基于 PowerShell 的配置策略推送到 VM 上一样。 (请参阅本文中的 下载和解压缩 部分。查找 共享位置 条目。)

下载并解压缩最新更新

现在可以开始下载和安装新更新。 本部分包含可使用的示例 PowerShell 脚本。 此脚本是下载新更新并为 VM 做好准备的最简单方法。 然后，应使用计划任务将脚本设置为在特定时间在管理计算机上运行。 或者，如果熟悉在 Azure、Intune 或 Configuration Manager 中使用 PowerShell 脚本，则可以改用这些脚本。

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

可以将计划任务设置为每天运行一次，以便每当下载并解压缩包时，VM 就会收到新的更新。 我们建议从一天开始一次，但你应该尝试增加或减少频率以了解影响。

安全智能包通常每三到四小时发布一次。 建议不要将频率设置为短于 4 小时，因为这会增加管理计算机上的网络开销，不会带来任何好处。

还可以设置单一服务器或计算机，以按时间间隔代表 VM 提取更新，并将其置于文件共享中以供使用。 如果设备具有共享和读取访问权限， (NTFS 权限) 共享，以便获取更新，则此配置是可能的。 若要设置此配置，请执行以下步骤：

1. 创建 SMB/CIFS 文件共享。

2. 使用以下示例创建具有以下共享权限的文件共享。

   
   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   
   

   注意

   为 经过身份验证的用户：Read：添加了 NTFS 权限。

   对于此示例，文件共享为 \\FileServer.fqdn\mdatp$\wdav-update。

设置计划任务以运行 PowerShell 脚本

1. 在管理计算机上，打开“开始”菜单并键入 Task Scheduler。 在结果中，选择“任务计划程序”，然后在侧面板中选择“ 创建任务...” 。

2. 将名称指定为 Security intelligence unpacker。

3. 在“ 触发器 ”选项卡上，选择“ 新建...”>每日，然后选择 “确定”。

4. 在“ 操作 ”选项卡上，选择“ 新建...”。

5. 在“程序/脚本”字段中指定PowerShell。

6. 在 “添加参数” 字段中，键入 -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1，然后选择“ 确定”。

7. 根据需要配置任何其他设置。

8. 选择“ 确定” 以保存计划任务。

若要手动启动更新，请右键单击任务，然后选择“ 运行”。

手动下载和解压缩

如果希望手动执行所有操作，可执行以下操作来复制脚本的行为：

1. 在名为 wdav_update 的系统根目录上创建一个名为 的新文件夹，以存储智能更新。 例如，创建文件夹 c:\wdav_update。

2. 使用 GUID 名称在 下 wdav_update 创建子文件夹，例如 {00000000-0000-0000-0000-000000000000}

   下面是一个示例： c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   注意

   我们设置脚本，以便 GUID 的最后 12 位数字是下载文件的年、月、日和时间，以便每次创建新文件夹。 可以对此进行更改，以便每次将文件下载到同一个文件夹。

3. 将安全智能包从 https://www.microsoft.com/wdsi/definitions 下载到 GUID 文件夹中。 该文件应名为 mpam-fe.exe。

4. 打开命令提示符窗口并导航到创建的 GUID 文件夹。 使用 /X 提取命令提取文件。 例如 mpam-fe.exe /X。

   注意

   每当使用提取的更新包创建新的 GUID 文件夹时，或者每当使用新提取的包更新现有文件夹时，VM 都将选取更新的包。

Microsoft Defender防病毒配置设置

通过使用以下建议的配置设置启用包含的威胁防护功能，这一点很重要。  它针对 VDI 环境进行优化。

提示

创建 和管理中央存储中提供了最新的 Windows 组策略管理模板。

根

• 为可能不需要的应用程序配置检测： Enabled - Block

• 为列表配置本地管理员合并行为： Disabled

• 控制排除项是否对本地管理员可见： Enabled

• 关闭例行修正： Disabled

• 随机化计划扫描： Enabled

客户端接口

• 启用无外设 UI 模式： Enabled

  注意

  此策略对组织中的最终用户隐藏整个 Microsoft Defender 防病毒用户界面。

• 禁止显示所有通知： Enabled

注意

有时，Microsoft Defender防病毒通知发送到多个会话或跨多个会话保留。 若要帮助避免用户混淆，可以锁定Microsoft Defender防病毒用户界面。 取消通知可防止在扫描完成或采取修正操作时显示来自Microsoft Defender防病毒的通知。 但是，如果检测到并停止攻击，安全运营团队将看到扫描结果。 将生成警报（如初始访问警报），并显示在Microsoft Defender门户中。

地图

• 加入 Microsoft MAPS (启用云提供的保护) ： Enabled - Advanced MAPS

• 需要进一步分析时发送文件样本： Send all samples (more secure) 或 Send safe sample (less secure)

MPEngine

• 配置扩展云检查：20

• 选择云保护级别： Enabled - High

• 启用文件哈希计算功能： Enabled

注意

仅当使用指示器 - 文件哈希时，才需要“启用文件哈希计算功能”。  这可能会导致更高的 CPU 使用率，因为它必须通过磁盘上的每个二进制文件进行分析才能获取文件哈希。

实时保护

• 配置对传入和传出文件和程序活动的监视： Enabled – bi-directional (full on-access)

• 监视计算机上的文件和程序活动： Enabled

• 扫描所有下载的文件和附件： Enabled

• 启用行为监视： Enabled

• 启用实时保护时启用进程扫描： Enabled

• 启用原始卷写入通知： Enabled

扫描

• 在运行计划扫描之前，检查是否有最新的病毒和间谍软件安全智能： Enabled

• 扫描存档文件： Enabled

• 扫描网络文件： Not configured

• 扫描打包的可执行文件： Enabled

• 扫描可移动驱动器： Enabled

• 启用追赶完全扫描 (禁用完全扫描) 追赶： Not configured

• 启用赶超快速扫描 (禁用) 赶超快速扫描： Not configured

  注意

  如果想要强化，可以将“启用赶上快速扫描”更改为启用，这将在 VM 脱机且错过两次或更多连续计划扫描时有所帮助。  但由于它正在运行计划扫描，因此将使用额外的 CPU。

• 启用电子邮件扫描： Enabled

• 启用启发式： Enabled

• 启用重新分析点扫描： Enabled

常规计划扫描设置

• 为计划扫描配置低 CPU 优先级 (对计划扫描使用低 CPU 优先级) ： Not configured

• 指定扫描期间 CPU 使用率的最大百分比 (每个扫描) 的 CPU 使用率限制： 50

• 仅当计算机处于打开但未使用状态时才启动计划扫描， (ScanOnlyIfIdle) ： Not configured

• 使用以下 cmdlet 在设备处于被动模式时停止快速或计划的扫描。

  
  Set-MpPreference -ScanOnlyIfIdleEnabled $false
  
  

提示

设置“仅在计算机处于打开但未使用状态时启动计划扫描”可防止在高密度环境中出现大量 CPU 争用。

每日快速扫描

• 指定每天运行快速扫描的间隔： Not configured

• 指定每日快速扫描的时间 () 运行每日快速扫描： 12 PM

(快速或完整) 运行每周计划的扫描

• 指定要用于计划扫描的扫描类型 (扫描类型) ： Not configured

• 指定一天中运行计划扫描的时间 (星期几运行计划扫描) ： Not configured

• 指定运行计划扫描的星期几 (一天中的时间，以运行计划扫描) ： Not configured

安全智能汇报

• 启用安全智能更新后扫描 (禁用更新后扫描) ： Disabled

  注意

  在安全智能更新后禁用扫描可防止在收到更新后进行扫描。 如果还运行了快速扫描，则可以在创建基础映像时应用此设置。 这样，就可以防止新更新的 VM 再次执行扫描 (，因为) 创建基础映像时已经扫描过它。

  重要

  更新后运行扫描有助于确保 VM 受到最新安全智能更新的保护。 禁用此选项会降低 VM 的保护级别，仅应在首次创建或部署基础映像时使用。

• 指定安全智能更新检查间隔 (输入) 检查安全智能更新的频率：Enabled - 8

• 将其他设置保留为其默认状态

威胁

• 指定检测到时不应采取默认操作的威胁警报级别： Enabled

• 将 、High (4)、 Medium (2)和 Low (1) all 设置为 Quarantine (2)Severe (5)，如下表所示：

  值名称	值
  1 (低)	2
  2 (中等)	2
  4 (高)	2
  5 (严重)	2

攻击面减少规则

将所有可用规则配置为 Audit。

启用网络保护

阻止用户和应用访问危险网站 (启用网络保护) ： Enabled - Audit mode。

适用于 Microsoft Edge 的 SmartScreen

• 需要 SmartScreen Microsoft Edge： Yes

• 阻止恶意站点访问： Yes

• 阻止未经验证的文件下载： Yes

运行 Windows Defender 缓存维护计划任务

针对非持久性和/或持久性 VDI 环境优化“Windows Defender 缓存维护”计划任务。 在密封前对main映像运行此任务。

1. 打开 任务计划程序 mmc (taskschd.msc) 。

2. 展开 WindowsWindows DefenderMicrosoft>>任务计划程序库>，然后右键单击“Windows Defender 缓存维护”。

3. 选择“ 运行”，让计划任务完成。

   警告

   如果不执行此操作，则在每个 VM 上运行缓存维护任务时，可能会导致更高的 CPU 利用率。

启用篡改防护

启用篡改防护以防止在Microsoft Defender门户中禁用Microsoft Defender防病毒。

排除项

如果认为需要添加排除项，请参阅管理Microsoft Defender for Endpoint的排除项和Microsoft Defender防病毒。

后续步骤

如果还要将终结点检测和响应 (EDR) 部署到基于 Windows 的 VDI VM，请参阅在 Microsoft Defender XDR 中载入非持久性虚拟桌面基础结构 (VDI) 设备。

另请参阅

• 技术社区博客：为非持久性 VDI 计算机配置Microsoft Defender防病毒
• 有关远程桌面服务和 VDI 的 TechNet 论坛
• SignatureDownloadCustomTask PowerShell 脚本

如果要在非 Windows 平台上查找有关 Defender for Endpoint 的信息，请参阅以下资源：

• Mac 上的 Microsoft Defender for Endpoint
• Microsoft Defender for Endpoint on Linux
• 在 Android 功能上配置 Defender for Endpoint
• 在 iOS 功能上配置 Microsoft Defender for Endpoint

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。