Microsoft Defender virustentorjunnan määrittäminen etätyöpöydän tai näennäistyöpöydän infrastruktuuriympäristössä

Koskee seuraavia:

• Microsoft Defenderin virustentorjunta
• Defender for Endpoint -palvelupaketti 1
• Defender for Endpoint Plan 2

Käyttöympäristöt

• Windows

Vihje

Tämä artikkeli on suunniteltu asiakkaille, jotka käyttävät vain Microsoft Defender virustentorjuntaominaisuuksia. Jos sinulla on Microsoft Defender for Endpoint (johon sisältyy Microsoft Defender virustentorjunta sekä muita laitteen suojausominaisuuksia), ohita tämä artikkeli ja jatka Microsoft Defender XDR onboard-näennäistyöpöydän infrastruktuurin (VDI) laitteisiin.

Voit käyttää Microsoft Defender virustentorjuntaa etätyöpöydän (RDS) tai ei-pysyvän näennäistyöpöydän infrastruktuurin (VDI) ympäristössä. Tämän artikkelin ohjeiden mukaisesti voit määrittää päivitykset, jotka ladataan suoraan RDS- tai VDI-ympäristöihin, kun käyttäjä kirjautuu sisään.

Tässä oppaassa kerrotaan, miten voit määrittää näennäiskoneiden Microsoft Defender virustentorjunnan optimaalisen suojauksen ja suorituskyvyn, mukaan lukien seuraavat:

• Erityisen VDI-tiedostoresurssin määrittäminen suojaustietojen päivityksiä varten
• Ajoitettujen tarkistusten satunnaistaminen
• Pikatarkistusten käyttäminen
• Estä ilmoitukset
• Poista jokaisen päivityksen jälkeiset tarkistukset käytöstä
• Tarkista vanhentuneet koneet tai koneet, jotka ovat olleet offline-tilassa jonkin aikaa
• Ota poikkeukset käyttöön

Tärkeää

Vaikka näennäiskonetta voidaan isännöidä Windows Server 2012:ssa tai Windows Server 2016:ssa, näennäiskoneissa tulisi olla käytössä vähintään Windows 10 versio 1607, koska suojaustekniikat ja ominaisuudet ovat lisääntyneet, eivätkä ne ole käytettävissä Aiemmissa Windows-versioissa.

Erityisen VDI-tiedostoresurssin määrittäminen suojaustietoja varten

Windows 10 versiossa 1903 Microsoft esitteli jaetun suojaustieto-ominaisuuden, joka purkaa ladattujen suojaustietojen päivitysten purkamisen isäntäkoneeseen. Tämä menetelmä vähentää suoritin-, levy- ja muistiresurssien käyttöä yksittäisissä tietokoneissa. Jaetut suojaustiedot toimivat nyt Windows 10 versiossa 1703 ja sitä uudemmissa versioissa. Voit määrittää tämän ominaisuuden käyttämällä ryhmäkäytäntö tai PowerShelliä seuraavassa taulukossa kuvatulla tavalla:

Menetelmä	Menettely
Ryhmäkäytäntö	1. Avaa ryhmäkäytäntö hallintatietokoneessa ryhmäkäytäntö hallintakonsoli, napsauta hiiren kakkospainikkeella ryhmäkäytäntö Objekti, jonka haluat määrittää, ja valitse sitten Muokkaa. 2. Siirry ryhmäkäytäntö-Kirjoitusavustaja kohtaan Tietokoneen määritykset. Valitse Hallintamallit. Laajenna puu Windowsin osiin>Microsoft Defender virustentorjunnan>suojaustiedot Päivitykset. 3. Kaksoisnapsauta Määritä suojaustietojen sijainti VDI-asiakkaille ja määritä sitten asetukseksi Käytössä. Kenttä tulee näkyviin automaattisesti. 4. Kirjoita \\<sharedlocation\>\wdav-update (jos haluat lisätietoja tästä arvosta, katso Lataa ja pura pakkaus). 5. Valitse OK. Ota ryhmäkäytäntöobjekti käyttöön virtuaalikoneissa, joita haluat testata.
PowerShell	1. Ota ominaisuus käyttöön kussakin RDS- tai VDI-laitteessa seuraavalla cmdlet-komennolla: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update. 2. Työnnä päivitys tavalliseen tapaan työntämään PowerShell-pohjaiset määrityskäytännöt näennäiskoneisiin. (Katso jaetun sijainnin> merkintä kohdasta Lataa ja pura pakkaus<.)

Lataa ja pura uusimmat päivitykset

Nyt voit aloittaa uusien päivitysten lataamisen ja asentamisen. Olemme luoneet PowerShell-mallikomentosarjan alla. Tämä komentosarja on helpoin tapa ladata uusia päivityksiä ja valmistella ne näennäiskoneita varten. Määritä sitten komentosarja suoritettavaksi tiettynä ajankohtana hallintakoneessa käyttämällä ajoitettua tehtävää (tai jos tunnet PowerShell-komentosarjojen käytön Azuressa, Intune tai SCCM, voit myös käyttää kyseisiä komentosarjoja).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Voit määrittää ajoitetun tehtävän suoritettavaksi kerran päivässä, jolloin näennäiskoneet saavat uuden päivityksen aina, kun paketti ladataan ja puretaan. Suosittelemme aloittamaan kerran päivässä, mutta kokeile suurentamista tai pienentämistä vaikutuksen ymmärtämiseksi.

Suojaustietopaketit julkaistaan yleensä kerran 3–4 tunnissa. Yli neljä tuntia lyhyemmän tiheyden määrittäminen ei ole suositeltavaa, koska se kasvattaa verkon kuormitusta hallintakoneessasi ilman mitään hyötyä.

Voit myös määrittää yksittäisen palvelimen tai tietokoneen noutamaan päivitykset näennäiskoneiden puolesta tietyin väliajoin ja sijoittamaan ne jaettuun tiedostoresurssiin käytettäväksi. Tämä määritys on mahdollinen, kun laitteilla on jaetun jakamisen ja lukuoikeuden (NTFS-oikeudet) jaettuun resurssiin, jotta ne voivat tarttua päivityksiin. Voit määrittää tämän määrityksen seuraavasti:

1. Create jaettua SMB/CIFS-tiedostoresurssia.

2. Seuraavan esimerkin avulla voit luoda jaetun tiedostoresurssin, jolla on seuraavat jakamisoikeudet.

   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   

   Huomautus

   NTFS-käyttöoikeus lisätään todennetuille käyttäjille:Lue:.

   Tässä esimerkissä jaettu tiedostoresurssi on:

   \\fileserver.fqdn\mdatp$\wdav-update

Määritä ajoitettu tehtävä PowerShell-komentosarjan suorittamiseksi

1. Avaa hallintakoneessa Käynnistä-valikko ja kirjoita Tehtävien ajoitus. Avaa se ja valitse sivupaneelista Create tehtävä.

2. Anna nimi suojaustietojen ruudun avaamisen muodossa. Siirry Käynnistin-välilehteen. Valitse Uusi...>Päivittäin ja valitse OK.

3. Siirry Toiminnot-välilehteen. Valitse Uusi... Kirjoita PowerShellProgram/Script-kenttään. Kirjoita -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1Lisää argumentteja - kenttään. Valitse OK.

4. Määritä muut asetukset tarpeen mukaan.

5. Tallenna ajoitettu tehtävä valitsemalla OK .

Voit aloittaa päivityksen manuaalisesti napsauttamalla tehtävää hiiren kakkospainikkeella ja valitsemalla sitten Suorita.

Lataa ja pura pakkaus manuaalisesti

Jos haluat tehdä kaiken manuaalisesti, voit replikoida komentosarjan toiminnan seuraavasti:

1. Create järjestelmän pääkansioon uuden kansion nimeltä wdav_update tietopäivitysten tallentamiseksi. Voit esimerkiksi luoda kansion c:\wdav_update.

2. Create alikansion wdav_update, jolla on GUID-nimi, kuten{00000000-0000-0000-0000-000000000000}

   Tässä on esimerkki: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   Huomautus

   Määritämme komentosarjassa sen siten, että GUID-tunnuksen viimeiset 12 numeroa ovat vuosi, kuukausi, päivä ja aika, jolloin tiedosto ladattiin, jotta uusi kansio luodaan joka kerta. Voit muuttaa tätä niin, että tiedosto ladataan aina samaan kansioon.

3. Lataa suojaustietopaketti KOHTEESTA https://www.microsoft.com/wdsi/definitions GUID-kansioon. Tiedoston nimeksi tulee tulla mpam-fe.exe.

4. Avaa cmd-kehoteikkuna ja siirry luomaasi GUID-kansioon. Poimi tiedostot / X-poimintakomennon avulla, esimerkiksi mpam-fe.exe /X.

   Huomautus

   Näennäiskoneet poimivat päivitetyn paketin aina, kun uusi GUID-kansio luodaan puretulla päivityspaketilla tai aina, kun aiemmin luotu kansio päivitetään uudella puretulla paketilla.

Ajoitettujen tarkistusten satunnaistaminen

Ajoitetut tarkistukset suoritetaan reaaliaikaisen suojauksen ja skannauksen lisäksi.

Itse tarkistuksen alkamisaika perustuu edelleen ajoitettuun tarkistuskäytäntöön (ScheduleDay, ScheduleTime ja ScheduleQuickScanTime). Satunnaistaminen aiheuttaa sen, että Microsoft Defender virustentorjuntaohjelma aloittaa tarkistuksen kussakin tietokoneessa neljän tunnin kuluessa ajoitetun tarkistuksen määritetystä ajasta.

Katso ajoitettujen tarkistusten ajoitetut tarkistukset muista määritysvaihtoehdoista.

Pikatarkistusten käyttäminen

Voit määrittää ajoitetun tarkistuksen aikana suoritettavan tarkistuksen tyypin. Nopeat skannaukset ovat suositeltava tapa, koska ne on suunniteltu tarkastelemaan kaikkia paikkoja, joissa haittaohjelmien on sijaittava ollakseen aktiivisia. Seuraavassa kuvataan pikatarkistusten määrittäminen ryhmäkäytäntö avulla.

1. Siirry ryhmäkäytäntö Kirjoitusavustaja kohtaan Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjuntatarkistus>.

2. Valitse Määritä ajoitetussa tarkistuksessa käytettävä tarkistustyyppi ja muokkaa sitten käytäntöasetusta.

3. Määritä käytännöksi Käytössä ja valitse sitten Asetukset-kohdastaPikatarkistus.

4. Valitse OK.

5. Ota ryhmäkäytäntö-objekti käyttöön tavalliseen tapaasi.

Estä ilmoitukset

Joskus Microsoft Defender virustentorjuntailmoituksia lähetetään useille istunnoille tai ne pysyvät useissa istunnoissa. Voit sekaannuksen välttämiseksi lukita Microsoft Defender virustentorjunnan käyttöliittymän. Seuraavassa kuvataan ilmoitusten estäminen ryhmäkäytäntö avulla.

1. Siirry ryhmäkäytäntö Kirjoitusavustaja kohtaan Windowsin osat>Microsoft Defender Virustentorjunta>-asiakasliittymä.

2. Valitse Piilota kaikki ilmoitukset ja muokkaa sitten käytäntöasetuksia.

3. Määritä käytännöksi Käytössä ja valitse sitten OK.

4. Ota ryhmäkäytäntö-objekti käyttöön tavalliseen tapaasi.

Ilmoitusten estäminen estää Microsoft Defender virustentorjuntaohjelman ilmoitusten näyttämisen, kun tarkistukset on tehty tai korjaustoimintoja suoritetaan. Suojaustoimintaryhmäsi näkee kuitenkin tarkistuksen tulokset, jos hyökkäys havaitaan ja pysäytetään. Ilmoitukset, kuten ensimmäinen käyttöoikeusilmoitus, luodaan, ja ne näkyvät Microsoft Defender-portaalissa.

Tarkistusten poistaminen käytöstä päivityksen jälkeen

Tarkistuksen poistaminen käytöstä päivityksen jälkeen estää tarkistuksen käymisen päivityksen vastaanottamisen jälkeen. Voit ottaa tämän asetuksen käyttöön peruskuvaa luotaessa, jos olet myös suorittanut nopean tarkistuksen. Näin voit estää äskettäin päivitettyä näennäiskonetta suorittamasta tarkistusta uudelleen (koska olet jo tarkistanut sen peruskuvaa luodessasi).

Tärkeää

Tarkistusten suorittaminen päivityksen jälkeen auttaa varmistamaan, että näennäiskoneet on suojattu uusimmilla tietoturvatietopäivityksillä. Tämän asetuksen poistaminen käytöstä pienentää näennäiskoneiden suojaustasoa, ja sitä tulee käyttää vain peruskuvan luomisessa tai käyttöönotossa.

1. Siirry ryhmäkäytäntö Kirjoitusavustaja kohtaan Windowsin osat>Microsoft Defender Virustentorjunnan>suojaustiedot -Päivitykset.

2. Valitse Ota tarkistus käyttöön suojaustietojen päivityksen jälkeen ja muokkaa sitten käytäntöasetusta.

3. Määritä käytännön arvoksi Ei käytössä.

4. Valitse OK.

5. Ota ryhmäkäytäntö-objekti käyttöön tavalliseen tapaasi.

Tämä käytäntö estää tarkistuksen suorittamisen heti päivityksen jälkeen.

Poista asetus käytöstä ScanOnlyIfIdle

Seuraavan cmdlet-komennon avulla voit pysäyttää nopean tai ajoitetun tarkistuksen aina, kun laite on käyttämättömänä, jos se on passiivitilassa.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Voit myös poistaa asetuksen käytöstä ScanOnlyIfIdle Microsoft Defender virustentorjuntaohjelmassa määrittämällä sen paikallisen tai toimialueen ryhmäkäytännön avulla. Tämä asetus estää merkittävän suorittimen kiistan suuren tiheyden ympäristöissä.

Lisätietoja on kohdassa Ajoitetun tarkistuksen aloittaminen vain, kun tietokone on käytössä, mutta ei käytössä.

Tarkista näennäiskoneet, jotka ovat olleet offline-tilassa

1. Siirry ryhmäkäytäntö Kirjoitusavustaja kohtaan Windowsin osat>Microsoft Defender virustentorjuntatarkistus>.

2. Valitse Ota käyttöön pikatarkistus ja muokkaa sitten käytäntöasetusta.

3. Määritä käytännön arvoksi Käytössä.

4. Valitse OK.

5. Ota käyttöön ryhmäkäytäntö objekti tavalliseen tapaasi.

Tämä käytäntö pakottaa tarkistuksen, jos näennäiskone on jättänyt väliin vähintään kaksi peräkkäistä ajoitettua tarkistusta.

Ota käyttöön päätön käyttöliittymätila

1. Siirry ryhmäkäytäntö Kirjoitusavustaja kohtaan Windowsin osat>Microsoft Defender Virustentorjunta>-asiakasliittymä.

2. Valitse Ota käyttöön päätön käyttöliittymätila ja muokkaa käytäntöä.

3. Määritä käytännön arvoksi Käytössä.

4. Valitse OK.

5. Ota käyttöön ryhmäkäytäntö objekti tavalliseen tapaasi.

Tämä käytäntö piilottaa koko Microsoft Defender virustentorjunnan käyttöliittymän organisaatiosi loppukäyttäjiltä.

Poisjätöt

Jos luulet, että sinun on lisättävä poissulkemisia, katso Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunnan poissulkemisten hallinta.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Tech Community -blogi: Microsoft Defender virustentorjunnan määrittäminen ei-pysyville VDI-koneille
• TechNet-keskustelupalstat etätyöpöytäpalveluissa ja VDI:ssä
• SignatureDownloadCustomTask PowerShell-komentosarja

Jos etsit tietoja Defender for Endpointista muissa kuin Windows-ympäristöissä, tutustu seuraaviin resursseihin:

• Microsoft Defender for Endpoint Macissa
• Microsoft Defender for Endpoint Linuxissa
• Defender for Endpointin ominaisuuksien määrittäminen Androidissa
• Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.