Configurer Microsoft Defender Antivirus sur un environnement d’infrastructure de bureau à distance ou de bureau virtuel

  • Article

S’applique à :

Plateformes

  • Windows

Conseil

Cet article est conçu pour les clients qui utilisent uniquement les fonctionnalités antivirus Microsoft Defender. Si vous avez Microsoft Defender pour point de terminaison (qui inclut Microsoft Defender Antivirus ainsi que d’autres fonctionnalités de protection des appareils), ignorez cet article et passez à Intégrer des appareils VDI (Virtual Desktop Infrastructure) non persistants dans Microsoft Defender XDR.

Vous pouvez utiliser Microsoft Defender Antivirus dans un environnement bureau à distance (RDS) ou vDI (Virtual Desktop Infrastructure) non persistant. En suivant les instructions de cet article, vous pouvez configurer les mises à jour à télécharger directement dans vos environnements RDS ou VDI lorsqu’un utilisateur se connecte.

Ce guide explique comment configurer Microsoft Defender Antivirus sur vos machines virtuelles pour une protection et des performances optimales, notamment comment :

Importante

Bien qu’une VDI puisse être hébergée sur Windows Server 2012 ou Windows Server 2016, les machines virtuelles doivent exécuter Windows 10, version 1607 au minimum, en raison des technologies et fonctionnalités de protection accrues qui ne sont pas disponibles dans les versions antérieures de Windows.

Configurer un partage de fichiers VDI dédié pour l’intelligence de sécurité

Dans Windows 10, version 1903, Microsoft a introduit la fonctionnalité de veille de sécurité partagée, qui décharge le déballage des mises à jour de veille de sécurité téléchargées sur un ordinateur hôte. Cette méthode réduit l’utilisation des ressources de processeur, de disque et de mémoire sur des ordinateurs individuels. L’intelligence de sécurité partagée fonctionne désormais sur Windows 10, version 1703 et ultérieure. Vous pouvez configurer cette fonctionnalité en utilisant stratégie de groupe ou PowerShell, comme décrit dans le tableau suivant :

Méthode Procédure
Stratégie de groupe 1. Sur votre ordinateur de gestion stratégie de groupe, ouvrez la console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet stratégie de groupe que vous souhaitez configurer, puis sélectionnez Modifier.

2. Dans le Rédacteur gestion stratégie de groupe, accédez à Configuration de l’ordinateur.

Sélectionnez Modèles d’administration.

Développez l’arborescence composants> Windows Microsoft Defender Antivirus>Security Intelligence Mises à jour.

3. Double-cliquez sur Définir l’emplacement du renseignement de sécurité pour les clients VDI, puis définissez l’option sur Activé. Un champ s’affiche automatiquement.

4. Entrez \\<sharedlocation\>\wdav-update (pour obtenir de l’aide sur cette valeur, consultez Télécharger et annuler le package).

5. Sélectionnez OK.

Déployez l’objet de stratégie de groupe sur les machines virtuelles que vous souhaitez tester.
PowerShell 1. Sur chaque appareil RDS ou VDI, utilisez l’applet de commande suivante pour activer la fonctionnalité : Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Envoyez (push) la mise à jour, car vous poussez normalement des stratégies de configuration basées sur PowerShell sur vos machines virtuelles. (Consultez la section Télécharger et dépackager l’entrée d’emplacement <> partagé.)

Télécharger et dépackager les dernières mises à jour

Vous pouvez maintenant commencer à télécharger et installer de nouvelles mises à jour. Nous avons créé un exemple de script PowerShell ci-dessous. Ce script est le moyen le plus simple de télécharger de nouvelles mises à jour et de les préparer pour vos machines virtuelles. Vous devez ensuite définir le script pour qu’il s’exécute à un moment donné sur l’ordinateur de gestion à l’aide d’une tâche planifiée (ou, si vous êtes familiarisé avec l’utilisation de scripts PowerShell dans Azure, Intune ou SCCM, vous pouvez également utiliser ces scripts).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Vous pouvez définir une tâche planifiée pour qu’elle s’exécute une fois par jour afin que chaque fois que le package est téléchargé et décompressé, les machines virtuelles reçoivent la nouvelle mise à jour. Nous vous suggérons de commencer par une fois par jour, mais vous devez essayer d’augmenter ou de diminuer la fréquence pour comprendre l’impact.

Les packages de veille de sécurité sont généralement publiés toutes les trois à quatre heures. Il n’est pas recommandé de définir une fréquence inférieure à quatre heures, car cela augmentera la surcharge réseau sur votre ordinateur de gestion sans aucun avantage.

Vous pouvez également configurer votre serveur ou machine unique pour récupérer les mises à jour au nom des machines virtuelles à intervalles et les placer dans le partage de fichiers pour les consommer. Cette configuration est possible lorsque les appareils disposent du partage et de l’accès en lecture (autorisations NTFS) au partage afin qu’ils puissent récupérer les mises à jour. Pour configurer cette configuration, procédez comme suit :

  1. Create un partage de fichiers SMB/CIFS.

  2. Utilisez l’exemple suivant pour créer un partage de fichiers avec les autorisations de partage suivantes.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Remarque

    Une autorisation NTFS est ajoutée pour Utilisateurs authentifiés :Lecture :.

    Pour cet exemple, le partage de fichiers est :

    \\fileserver.fqdn\mdatp$\wdav-update

Définir une tâche planifiée pour exécuter le script PowerShell

  1. Sur l’ordinateur de gestion, ouvrez le menu Démarrer et tapez Planificateur de tâches. Ouvrez-le et sélectionnez Create tâche... dans le panneau latéral.

  2. Entrez le nom Depacker Security Intelligence. Accédez à l’onglet Déclencheur . Sélectionnez Nouveau...>Tous les jours, puis sélectionnez OK.

  3. Accédez à l’onglet Actions . Sélectionnez Nouveau... Entrez PowerShell dans le champ Programme/Script . Entrez -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 dans le champ Ajouter des arguments . Sélectionnez OK.

  4. Configurez les autres paramètres selon les besoins.

  5. Sélectionnez OK pour enregistrer la tâche planifiée.

Vous pouvez lancer la mise à jour manuellement en cliquant avec le bouton droit sur la tâche, puis en sélectionnant Exécuter.

Télécharger et dépackager manuellement

Si vous préférez tout faire manuellement, voici ce qu’il faut faire pour répliquer le comportement du script :

  1. Create un nouveau dossier sur la racine système appelé wdav_update pour stocker les mises à jour d’intelligence, par exemple, créez le dossier c:\wdav_update.

  2. Create un sous-dossier sous wdav_update avec un nom GUID, tel que{00000000-0000-0000-0000-000000000000}

    Voici un exemple : c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Remarque

    Dans le script, nous l’avons défini de sorte que les 12 derniers chiffres du GUID correspondent à l’année, au mois, au jour et à l’heure de téléchargement du fichier afin qu’un dossier soit créé à chaque fois. Vous pouvez modifier ce paramètre afin que le fichier soit téléchargé dans le même dossier à chaque fois.

  3. Téléchargez un package security intelligence à partir de https://www.microsoft.com/wdsi/definitions dans le dossier GUID. Le fichier doit être nommé mpam-fe.exe.

  4. Ouvrez une fenêtre d’invite de commandes et accédez au dossier GUID que vous avez créé. Utilisez la commande d’extraction /X pour extraire les fichiers, par exemple mpam-fe.exe /X.

    Remarque

    Les machines virtuelles récupèrent le package mis à jour chaque fois qu’un nouveau dossier GUID est créé avec un package de mise à jour extrait ou chaque fois qu’un dossier existant est mis à jour avec un nouveau package extrait.

Analyses planifiées aléatoires

Les analyses planifiées s’exécutent en plus de la protection et de l’analyse en temps réel.

L’heure de début de l’analyse elle-même est toujours basée sur la stratégie d’analyse planifiée (ScheduleDay, ScheduleTime et ScheduleQuickScanTime). La randomisation entraîne Microsoft Defender Antivirus à démarrer une analyse sur chaque ordinateur dans une fenêtre de quatre heures à partir de l’heure définie pour l’analyse planifiée.

Consultez Planifier des analyses pour connaître les autres options de configuration disponibles pour les analyses planifiées.

Utiliser des analyses rapides

Vous pouvez spécifier le type d’analyse à effectuer pendant une analyse planifiée. Les analyses rapides sont l’approche recommandée, car elles sont conçues pour rechercher dans tous les endroits où les logiciels malveillants doivent résider pour être actifs. La procédure suivante explique comment configurer des analyses rapides à l’aide de stratégie de groupe.

  1. Dans votre stratégie de groupe Rédacteur, accédez à Modèles >d’administrationComposants> Windows Microsoft Defender Analyse antivirus>.

  2. Sélectionnez Spécifier le type d’analyse à utiliser pour une analyse planifiée , puis modifiez le paramètre de stratégie.

  3. Définissez la stratégie sur Activé, puis sous Options, sélectionnez Analyse rapide.

  4. Sélectionnez OK.

  5. Déployez votre objet de stratégie de groupe comme vous le faites habituellement.

Empêcher les notifications

Parfois, Microsoft Defender notifications antivirus sont envoyées à ou conservées sur plusieurs sessions. Pour éviter toute confusion des utilisateurs, vous pouvez verrouiller l’interface utilisateur Microsoft Defender Antivirus. La procédure suivante explique comment supprimer des notifications à l’aide de stratégie de groupe.

  1. Dans votre stratégie de groupe Rédacteur, accédez à Composants> Windows Microsoft DefenderInterface clienteantivirus>.

  2. Sélectionnez Supprimer toutes les notifications , puis modifiez les paramètres de stratégie.

  3. Définissez la stratégie sur Activé, puis sélectionnez OK.

  4. Déployez votre objet de stratégie de groupe comme vous le faites habituellement.

La suppression des notifications empêche les notifications de Microsoft Defender’antivirus de s’afficher lorsque les analyses sont terminées ou que des actions de correction sont effectuées. Toutefois, votre équipe des opérations de sécurité verra les résultats d’une analyse si une attaque est détectée et arrêtée. Les alertes, telles qu’une alerte d’accès initiale, sont générées et apparaissent dans le portail Microsoft Defender.

Désactiver les analyses après une mise à jour

La désactivation d’une analyse après une mise à jour empêche une analyse de se produire après la réception d’une mise à jour. Vous pouvez appliquer ce paramètre lors de la création de l’image de base si vous avez également exécuté une analyse rapide. De cette façon, vous pouvez empêcher la machine virtuelle nouvellement mise à jour d’effectuer une nouvelle analyse (car vous l’avez déjà analysée lors de la création de l’image de base).

Importante

L’exécution d’analyses après une mise à jour permet de garantir que vos machines virtuelles sont protégées avec les dernières mises à jour de security intelligence. La désactivation de cette option réduit le niveau de protection de vos machines virtuelles et ne doit être utilisée que lors de la création ou du déploiement de l’image de base.

  1. Dans votre stratégie de groupe Rédacteur, accédez à Composants> Windows Microsoft Defender Antivirus>Security Intelligence Mises à jour.

  2. Sélectionnez Activer l’analyse après la mise à jour du renseignement de sécurité , puis modifiez le paramètre de stratégie.

  3. Définissez la stratégie sur Désactivé.

  4. Sélectionnez OK.

  5. Déployez votre objet de stratégie de groupe comme vous le faites habituellement.

Cette stratégie empêche l’exécution d’une analyse immédiatement après une mise à jour.

Désactiver l’option ScanOnlyIfIdle

Utilisez l’applet de commande suivante pour arrêter une analyse rapide ou planifiée chaque fois que l’appareil devient inactif s’il est en mode passif.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Vous pouvez également désactiver l’option ScanOnlyIfIdle dans Microsoft Defender Antivirus par configuration via la stratégie de groupe locale ou de domaine. Ce paramètre empêche une contention significative du processeur dans les environnements à haute densité.

Pour plus d’informations, consultez Démarrer l’analyse planifiée uniquement lorsque l’ordinateur est allumé, mais pas en cours d’utilisation.

Analyser les machines virtuelles qui ont été hors connexion

  1. Dans votre stratégie de groupe Rédacteur, accédez à Composants> Windows Microsoft Defender Analyse antivirus>.

  2. Sélectionnez Activer l’analyse rapide de rattrapage , puis modifiez le paramètre de stratégie.

  3. Définissez la stratégie sur Activé.

  4. Sélectionnez OK.

  5. Déployez votre stratégie de groupe Object comme vous le faites habituellement.

Cette stratégie force une analyse si la machine virtuelle a manqué au moins deux analyses planifiées consécutives.

Activer le mode d’interface utilisateur sans tête

  1. Dans votre stratégie de groupe Rédacteur, accédez à Composants> Windows Microsoft DefenderInterface clienteantivirus>.

  2. Sélectionnez Activer le mode d’interface utilisateur sans tête et modifiez la stratégie.

  3. Définissez la stratégie sur Activé.

  4. Sélectionnez OK.

  5. Déployez votre stratégie de groupe Object comme vous le faites habituellement.

Cette stratégie masque l’ensemble de l’interface utilisateur de l’antivirus Microsoft Defender aux utilisateurs finaux de votre organization.

Exclusions

Si vous pensez avoir besoin d’ajouter des exclusions, consultez Gérer les exclusions pour Microsoft Defender pour point de terminaison et Microsoft Defender Antivirus.

Voir aussi

Si vous recherchez des informations sur Defender pour point de terminaison sur des plateformes non Windows, consultez les ressources suivantes :

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.