在遠端桌面或虛擬桌面基礎結構環境中設定 Microsoft Defender 防病毒軟體

適用於：

• Microsoft Defender 防毒軟體
• 適用於端點的 Defender 方案 1
• 適用於端點的 Defender 方案 2

平台

• Windows

本文是專為僅使用 Microsoft Defender 防病毒軟體功能的客戶所設計。 如果您有包含 Microsoft Defender 防病毒軟體的 適用於端點的 Microsoft Defender (以及其他裝置保護功能) ，請參閱在 Microsoft Defender 全面偵測回應 中將非持續性虛擬桌面基礎結構 (VDI) 裝置上線。

您可以在遠端桌面 (RDS) 或非持續性虛擬桌面基礎結構 (VDI) 環境中使用 Microsoft Defender 防病毒軟體。 使用本文中的指引，您可以設定更新，以在每次使用者登入時直接下載到您的 RDS 或 VDI 環境。

本指南說明如何在 VM 上設定 Microsoft Defender 防病毒軟體，以獲得最佳的保護和效能，包括如何：

• 設定安全性情報更新的專用 VDI 檔案共用
• 下載並解除封裝最新的更新
• 設定 Microsoft Defender 防病毒軟體設定
• 執行 Windows Defender 快取維護排程工作

重要事項

雖然 VDI 可以裝載在 Windows Server 2012 或 Windows Server 2016 上，但虛擬機 (VM) 至少應執行 Windows 10 1607 版，因為舊版 Windows 中無法使用的保護技術和功能增加。

設定安全性情報的專用 VDI 檔案共用

在 Windows 10 1903 版中，Microsoft導入了共用安全情報功能，可將下載的安全情報更新解除封裝到主電腦上。 此方法可減少個別計算機上CPU、磁碟和記憶體資源的使用量。 共用安全性情報現在適用於 Windows 10 1703 版和更新版本。 您可以使用 群組原則 或 PowerShell 來設定這項功能。

群組原則

1. 在您的 群組原則 管理計算機上，開啟 [群組原則 管理控制台]，以滑鼠右鍵按兩下您要設定的 群組原則 物件，然後選取 [編輯]。

2. 在 [群組原則 管理] 編輯器 中，移至 [計算機設定]。

3. 選 取 [系統管理範本]。 將樹狀結構展開至 Windows 元件>Microsoft Defender 防病毒軟體>安全情報 匯報。

4. 按兩下 [定義 VDI 用戶端的安全情報位置]，然後將選項設定為 [ 已啟用]。 欄位會自動出現。

5. 在欄位中， 輸入 \\<File Server shared location\>\wdav-update。 (如需此值的說明，請參閱 下載並解除封裝。)

6. 選取 [確定]，然後將 [群組原則 物件] 部署到您要測試的 VM。

PowerShell

1. 在每個 RDS 或 VDI 裝置上，使用下列 Cmdlet 來啟用此功能：

   Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

2. 像往常一樣推送更新，將以PowerShell為基礎的設定原則推送至您的 VM。 (請參閱本文中的 下載和解除封裝 一節。尋找 共用位置 專案。)

下載並解除封裝最新的更新

現在您可以開始下載並安裝新的更新。 本節包含您可以使用的範例 PowerShell 腳本。 此腳本是下載新更新並準備好供 VM 使用的最簡單方式。 接著，您應該使用排程的工作，將腳本設定為在管理計算機的特定時間執行。 或者，如果您熟悉在 Azure、Intune 或 Configuration Manager 中使用 PowerShell 腳本，您可以改用這些腳本。

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

您可以將排定的工作設定為每天執行一次，如此一來，每當下載並解除封裝套件時，VM 就會收到新的更新。 建議您從一天一次開始，但您應該嘗試增加或減少頻率，以了解影響。

安全性情報套件通常每三到四小時發佈一次。 不建議將頻率設定為短於四小時，因為這樣會增加您管理計算機上的網路負荷，而沒有任何好處。

您也可以設定單一伺服器或計算機，以間隔代表 VM 擷取更新，並將它們放在檔案共用中以供取用。 當裝置具有共用和讀取存取權 (NTFS 許可權) 共用，以便取得更新時，就可以進行此設定。 若要設定此設定，請遵循下列步驟：

1. 建立 SMB/CIFS 檔案共用。

2. 使用下列範例建立具有下列共用許可權的檔案共用。

   
   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   
   

   注意事項

   已為已驗證的使用者新增NTFS 許可權：Read：。

   在這裡範例中，檔案分享是 \\FileServer.fqdn\mdatp$\wdav-update。

設定排程工作以執行 PowerShell 腳本

1. 在管理電腦上，開啟 [開始] 選單，然後輸入 Task Scheduler。 從結果中，選取 [工作排程器]，然後在側邊面板中選取 [ 建立工作... ]。

2. 指定名稱指定為 Security intelligence unpacker。

3. 在 [ 觸發程式] 索引 卷標上，選取 [ 新增...]。>每天，然後選取 [確定]。

4. 在 [ 動作] 索引 標籤上，選取 [ 新增...]。

5. 在 [程式/文稿] 欄位中指定 PowerShell 。

6. 在 [ 新增自變數 ] 字段中，輸入 -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1，然後選取 [ 確定]。

7. 視需要設定任何其他設定。

8. 選取 [確定 ] 以儲存排程的工作。

若要手動起始更新，請以滑鼠右鍵按兩下工作，然後選取[ 執行]。

手動下載並解除封裝

如果您想要手動執行所有動作，以下是復寫腳本行為的作法：

1. 在系統根目錄上建立名為 wdav_update 的新資料夾，以儲存智慧更新。 例如，建立資料夾 c:\wdav_update。

2. 使用 GUID 名稱在 下 wdav_update 建立子資料夾，例如 {00000000-0000-0000-0000-000000000000}

   以下是範例： c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   注意事項

   我們會設定腳本，讓 GUID 的最後 12 位數是下載檔案的年、月、日和時間，以便每次建立新的資料夾。 您可以變更此專案，以便每次將檔案下載到相同的資料夾。

3. 從 https://www.microsoft.com/wdsi/definitions 下載安全性情報套件到 GUID 資料夾。 檔案應該命名為 mpam-fe.exe。

4. 開啟命令提示字元視窗，並流覽至您建立的 GUID 資料夾。 使用擷 /X 取命令來擷取檔案。 例如 mpam-fe.exe /X。

   注意事項

   每當使用擷取的更新套件建立新的 GUID 資料夾，或每當現有資料夾以新的擷取套件更新時，VM 就會挑選更新的套件。

Microsoft Defender 防病毒軟體組態設定

請務必利用包含的威脅防護功能，透過下列建議的組態設定加以啟用。  其已針對 VDI 環境進行優化。

提示

最新的 Windows 組策略系統管理範本可在 建立和管理中央存放區中取得。

根

• 設定潛在垃圾應用程式的偵測： Enabled - Block

• 設定清單的本機系統管理員合併行為： Disabled

• 控制本機系統管理員是否可以看到排除專案： Enabled

• 關閉例行補救： Disabled

• 隨機化排程掃描： Enabled

用戶端介面

• 開啟無外設 UI 模式： Enabled

  注意事項

  此原則會向組織中的用戶隱藏整個 Microsoft Defender 防病毒軟體使用者介面。

• 隱藏所有通知： Enabled

注意事項

有時候，Microsoft Defender 防病毒軟體通知會傳送至多個會話或跨多個會話保存。 若要協助避免使用者混淆，您可以鎖定 Microsoft Defender 防病毒軟體使用者介面。 隱藏通知可防止在掃描完成或採取補救動作時顯示 Microsoft Defender 防病毒軟體的通知。 不過，如果偵測到攻擊並停止，您的安全性作業小組會看到掃描的結果。 系統會產生警示，例如初始存取警示，並出現在 Microsoft Defender 入口網站中。

地圖

• 加入 MICROSOFT MAPS (開啟雲端式保護) ： Enabled - Advanced MAPS

• 需要進一步分析時傳送檔案範例： Send all samples (more secure) 或 Send safe sample (less secure)

MPEngine

• 設定延伸雲端檢查： 20

• 選取雲端保護層級： Enabled - High

• 開啟檔案哈希計算功能： Enabled

注意事項

只有在使用指標 – 檔案哈希時，才需要「啟用檔案哈希計算功能」。  這可能會導致較高的CPU使用率，因為它必須透過磁碟上的每個二進位檔來剖析，才能取得檔案哈希。

即時保護

• 設定傳入和傳出檔案和程式活動的監視： Enabled – bi-directional (full on-access)

• 監視電腦上的檔案和程式活動： Enabled

• 掃描所有下載的檔案與附件： Enabled

• 開啟行為監視： Enabled

• 每當啟用即時保護時，開啟行程掃描： Enabled

• 開啟原始磁碟區寫入通知： Enabled

掃描

• 執行排程掃描之前，請先檢查最新的病毒和間諜軟體安全情報： Enabled

• 掃描封存盤案： Enabled

• 掃描網路檔案： Not configured

• 掃描封裝的可執行檔案： Enabled

• 掃描抽取式磁碟驅動器： Enabled

• 開啟追補完整掃描 (停用追補完整掃描) ： Not configured

• 開啟追補快速掃描 (停用追補快速掃描) ： Not configured

  注意事項

  如果您想要強化，您可以將 [開啟追補快速掃描] 變更為 [啟用]，這有助於 VM 已離機，且已錯過兩個或多個連續排程的掃描。  但因為它正在執行排程掃描，所以會使用額外的CPU。

• 開啟電子郵件掃描： Enabled

• 開啟啟發學習法： Enabled

• 開啟重新分析點掃描： Enabled

一般排程掃描設定

• 設定排程掃描的低 CPU 優先權 (針對排程掃描使用低 CPU 優先順序) ： Not configured

• 指定掃描期間 CPU 使用率的最大百分比 (每個掃描的 CPU 使用量限制) ： 50

• 只有在計算機開啟但未在 ScanOnlyIfIdle (使用時，才啟動排程掃描) ： Not configured

• 使用下列 Cmdlet，在裝置處於被動模式時，停止快速或排程的掃描。

  
  Set-MpPreference -ScanOnlyIfIdleEnabled $false
  
  

提示

設定「只有在電腦開啟但未使用時才啟動排程掃描」可防止高密度環境中發生嚴重的CPU爭用。

每日快速掃描

• 指定每天執行快速掃描的間隔： Not configured

• 指定每日快速掃描的時間 (在) 執行每日快速掃描： 12 PM

執行每周排程掃描 (快速或完整)

• 指定要用於排程掃描的掃描類型 (掃描類型) ： Not configured

• 指定一天中執行排程掃描的時間 (星期幾執行排程掃描) ： Not configured

• 指定一週邊執行排程掃描的日期 (一天中執行排程掃描的時間) ： Not configured

安全性情報 匯報

• 在安全性情報更新之後開啟掃描 (在更新) 後停用掃描： Disabled

  注意事項

  在安全性情報更新之後停用掃描，可防止在收到更新之後進行掃描。 如果您也執行了快速掃描，您可以在建立基底映射時套用此設定。 如此一來，您就可以防止新更新的 VM 再次執行掃描 (因為您已在建立基底映射) 時加以掃描。

  重要事項

  更新之後執行掃描有助於確保您的 VM 受到最新的安全情報更新保護。 停用此選項可降低 VM 的保護層級，而且應該只在第一次建立或部署基底映射時使用。

• 指定檢查安全性情報更新的間隔 (輸入檢查安全情報更新的頻率) ： Enabled - 8

• 讓其他設定保持默認狀態

威脅

• 指定偵測到時不應採取預設動作的威脅警示層級： Enabled

• 將 、High (4)、 Medium (2)與 Low (1) 全部設定Severe (5)為 Quarantine (2)，如下表所示：

  數值名稱	值
  1 (低)	2
  2 (中)	2
  4 (高)	2
  5 (嚴重)	2

受攻擊面縮小規則

將所有可用的規則設定為 Audit。

啟用網路保護

防止使用者和應用程式存取危險的網站 (啟用網路保護) ： Enabled - Audit mode。

適用於 Microsoft Edge 的 SmartScreen

• 需要適用於 Microsoft Edge 的 SmartScreen： Yes

• 封鎖惡意網站存取： Yes

• 封鎖未經驗證的檔案下載： Yes

執行 Windows Defender 快取維護排程工作

針對非持續性和/或持續性 VDI 環境優化「Windows Defender 快取維護」排程工作。 先在主映像上執行此工作，再密封。

1. 開啟 工作排程器 mmc (taskschd.msc) 。

2. 展開 [工作排程器連結庫>Microsoft>Windows>Defender]，然後以滑鼠右鍵按兩下 [Windows Defender 快取維護]。

3. 選 取 [執行]，然後讓排程的工作完成。

   警告

   如果不這樣做，當快取維護工作在每個 VM 上執行時，可能會導致較高的 CPU 使用率。

啟用竄改保護

啟用竄改保護以防止 Microsoft Defender 入口網站中停用 Microsoft Defender 防病毒軟體。

排除項目

如果您認為需要新增排除專案，請參閱管理 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案。

下一步

如果您也要將端點偵測和回應 (EDR) 部署到以 Windows 為基礎的 VDI VM，請參閱在 Microsoft Defender 全面偵測回應 中將非持續性虛擬桌面基礎結構 (VDI) 裝置上線。

另請參閱

• 技術社群部落格：設定非持續性 VDI 機器的 Microsoft Defender 防病毒軟體
• 遠端桌面服務和 VDI 上的 TechNet 論壇
• SignatureDownloadCustomTask PowerShell 腳本

如果您要尋找非 Windows 平臺上適用於端點的 Defender 相關信息，請參閱下列資源：

• macOS 上適用於端點的 Microsoft Defender
• Linux 上適用於端點的 Microsoft Defender
• 設定 Android 上適用於端點的 Microsoft Defender 功能
• 設定 iOS 上適用於端點的 Microsoft Defender 功能

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群：適用於端點的 Microsoft Defender 技術社群。