Megosztás a következőn keresztül:

Microsoft Defender víruskereső konfigurálása távoli asztali vagy virtuális asztali infrastruktúra-környezetben

  • Cikk

Érintett szolgáltatás:

Platformok

  • A Windows

Tipp

Ez a cikk azoknak az ügyfeleknek készült, akik csak Microsoft Defender víruskereső képességeket használnak. Ha rendelkezik Végponthoz készült Microsoft Defender (amely további eszközvédelmi funkciók mellett Microsoft Defender víruskeresőt is tartalmaz), hagyja ki ezt a cikket, és folytassa a nem állandó virtuális asztali infrastruktúra (VDI) eszközeinek előkészítésével a következő helyen: Microsoft Defender XDR.

A Microsoft Defender víruskeresőt távoli asztali (RDS) vagy nem állandó virtuális asztali infrastruktúra (VDI) környezetben is használhatja. A cikkben található útmutatást követve úgy konfigurálhatja a frissítéseket, hogy közvetlenül az RDS- vagy VDI-környezetekbe töltsenek le, amikor egy felhasználó bejelentkezik.

Ez az útmutató bemutatja, hogyan konfigurálhatja Microsoft Defender víruskeresőt a virtuális gépeken az optimális védelem és teljesítmény érdekében, beleértve a következőket:

Fontos

Bár a VDI-k üzemeltethetők Windows Server 2012 vagy Windows Server 2016, a virtuális gépeknek legalább az 1607-es verziójú Windows 10 kell futniuk a Windows korábbi verzióiban nem elérhető fokozott védelmi technológiák és funkciók miatt.

Dedikált VDI-fájlmegosztás beállítása biztonsági intelligenciához

Az 1903-Windows 10-es verzióban a Microsoft bevezette a megosztott biztonságiintelligencia-funkciót, amely kiosztja a letöltött biztonságiintelligencia-frissítések kicsomagolását egy gazdagépre. Ez a módszer csökkenti az egyes gépek processzor-, lemez- és memória-erőforrásainak használatát. A megosztott biztonsági intelligencia mostantól az Windows 10 1703-es és újabb verzióin működik. Ezt a képességet a Csoportházirend vagy a PowerShell használatával állíthatja be, az alábbi táblázatban leírtak szerint:

Módszer Eljárás
Csoportházirend 1. Nyissa meg a Csoportházirend felügyeleti számítógépen a Csoportházirend felügyeleti konzolt, kattintson a jobb gombbal a konfigurálni kívánt Csoportházirend objektumra, majd válassza a Szerkesztés parancsot.

2. A Csoportházirend Felügyeleti Szerkesztő válassza a Számítógép konfigurációja lehetőséget.

Válassza a Felügyeleti sablonok lehetőséget.

Bontsa ki a fát a Windows-összetevőkre>Microsoft Defender a víruskereső>biztonsági intelligencia Frissítések.

3. Kattintson duplán a VDI-ügyfelek biztonságiintelligencia-helyének megadása elemre, majd állítsa a beállítást Engedélyezve értékre. Automatikusan megjelenik egy mező.

4. Adja meg a következőt \\<sharedlocation\>\wdav-update (ehhez az értékhez a Letöltés és kicsomagolás című témakörben talál segítséget).

5. Válassza az OK gombot.

Helyezze üzembe a csoportházirend-objektumot a tesztelni kívánt virtuális gépeken.
PowerShell- 1. Minden RDS- vagy VDI-eszközön használja a következő parancsmagot a funkció engedélyezéséhez: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Küldje le a frissítést úgy, ahogy általában a PowerShell-alapú konfigurációs szabályzatokat leküldi a virtuális gépekre. (Lásd a megosztott helyről> szóló bejegyzés Letöltés és kicsomagolás szakaszát<.)

A legújabb frissítések letöltése és kicsomagolása

Most már elkezdheti az új frissítések letöltését és telepítését. Az alábbiakban létrehoztunk egy PowerShell-példaszkriptet. Ez a szkript a legegyszerűbb módja az új frissítések letöltésének és a virtuális gépekre való felkészítésüknek. Ezután állítsa be, hogy a szkript egy ütemezett feladattal fusson egy adott időpontban a felügyeleti gépen (vagy ha ismeri a PowerShell-szkriptek használatát az Azure-ban, Intune vagy SCCM, akkor ezeket a szkripteket is használhatja).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Beállíthatja, hogy egy ütemezett feladat naponta egyszer fusson, így amikor letölti és kicsomagolja a csomagot, a virtuális gépek megkapják az új frissítést. Javasoljuk, hogy kezdje naponta egyszer, de érdemes kísérletezni a gyakoriság növelésével vagy csökkentésével a hatás megértéséhez.

A biztonságiintelligencia-csomagok közzététele általában 3–4 óránként megtörténik. A négy óránál rövidebb gyakoriság beállítása nem ajánlott, mert ez semmilyen előny nélkül növeli a hálózati terhelést a felügyeleti gépen.

Beállíthatja azt is, hogy az önálló kiszolgáló vagy gép időközönként lekérje a frissítéseket a virtuális gépek nevében, és használat céljából helyezze őket a fájlmegosztásba. Ez a konfiguráció akkor lehetséges, ha az eszközök rendelkeznek megosztási és olvasási hozzáféréssel (NTFS-engedélyekkel) a megosztáshoz, hogy megkaphassák a frissítéseket. A konfiguráció beállításához kövesse az alábbi lépéseket:

  1. SMB/CIFS-fájlmegosztás Létrehozás.

  2. Az alábbi példában az alábbi megosztási engedélyekkel rendelkező fájlmegosztást hozhat létre.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Megjegyzés:

    A hitelesített felhasználók számára NTFS-engedély van hozzáadva:Read:.

    Ebben a példában a fájlmegosztás a következő:

    \\fileserver.fqdn\mdatp$\wdav-update

Ütemezett feladat beállítása a PowerShell-szkript futtatásához

  1. A felügyeleti gépen nyissa meg a Start menüt, és írja be a Feladatütemező kifejezést. Nyissa meg, és válassza Létrehozás feladat... lehetőséget az oldalsó panelen.

  2. Adja meg a nevet biztonságiintelligencia-kicsomagolásként. Lépjen az Eseményindító lapra. Válassza az Új...>Naponta, majd kattintson az OK gombra.

  3. Lépjen a Műveletek lapra. Válassza az Új... Írja be a PowerShellt a Program/Script mezőbe. Írja be a kifejezést -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 az Argumentumok hozzáadása mezőbe. Kattintson az OK gombra.

  4. Szükség szerint konfigurálja az egyéb beállításokat.

  5. Az ütemezett tevékenység mentéséhez kattintson az OK gombra .

A frissítést manuálisan is kezdeményezheti, ha a jobb gombbal a feladatra kattint, majd a Futtatás parancsot választja.

Manuális letöltés és kicsomagolás

Ha mindent manuálisan szeretne elvégezni, az alábbiak szerint replikálhatja a szkript viselkedését:

  1. Létrehozás egy nevű új mappát a rendszergyökéren wdav_update az intelligens frissítések tárolásához, például hozza létre a mappátc:\wdav_update.

  2. Létrehozás wdav_update alatt lévő almappát GUID-névvel, például:{00000000-0000-0000-0000-000000000000}

    Íme egy példa: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Megjegyzés:

    A szkriptben úgy állítottuk be, hogy a GUID utolsó 12 számjegye a fájl letöltésének éve, hónapja, napja és időpontja legyen, hogy minden alkalommal létrejönjön egy új mappa. Ezt módosíthatja úgy, hogy a fájl minden alkalommal ugyanarra a mappára legyen letöltve.

  3. Töltsön le egy biztonságiintelligencia-csomagot https://www.microsoft.com/wdsi/definitions a GUID mappába. A fájlnak a következőnek mpam-fe.exekell lennie: .

  4. Nyisson meg egy parancssori ablakot, és navigáljon a létrehozott GUID mappához. Használja a /X kinyerési parancsot a fájlok kinyeréséhez, például mpam-fe.exe /X: .

    Megjegyzés:

    A virtuális gépek akkor fogják átvenni a frissített csomagot, amikor új GUID-mappát hoznak létre egy kibontott frissítési csomaggal, vagy amikor egy meglévő mappát új kibontott csomaggal frissítenek.

Ütemezett vizsgálatok véletlenszerűsítése

Az ütemezett vizsgálatok a valós idejű védelem és vizsgálat mellett futnak.

A vizsgálat kezdő időpontja továbbra is az ütemezett vizsgálati szabályzaton alapul (ScheduleDay, ScheduleTime és ScheduleQuickScanTime). A véletlenszerűsítés hatására Microsoft Defender víruskereső minden gépen elindít egy vizsgálatot az ütemezett vizsgálathoz beállított időtől számított négy órán belül.

Az ütemezett vizsgálatokhoz elérhető egyéb konfigurációs lehetőségekért lásd: Vizsgálatok ütemezése .

Gyorsvizsgálatok használata

Megadhatja, hogy milyen típusú vizsgálatot kell végrehajtani egy ütemezett vizsgálat során. A gyorsvizsgálatok az előnyben részesített megközelítések, mivel úgy vannak kialakítva, hogy minden olyan helyen keressenek, ahol a kártevőknek aktívnak kell lenniük. Az alábbi eljárás azt ismerteti, hogyan állíthat be gyorsvizsgálatokat Csoportházirend használatával.

  1. A Csoportházirend Szerkesztő lépjen a Felügyeleti sablonok>Windows-összetevők>Microsoft Defender Víruskereső>vizsgálat lapra.

  2. Válassza az Ütemezett vizsgálathoz használandó vizsgálat típusának megadása lehetőséget, majd szerkessze a házirend-beállítást.

  3. Állítsa a szabályzatot Engedélyezve értékre, majd a Beállítások területen válassza a Gyorsvizsgálat lehetőséget.

  4. Kattintson az OK gombra.

  5. Helyezze üzembe a Csoportházirend objektumot a megszokott módon.

Értesítések letiltása

Előfordulhat, hogy Microsoft Defender víruskereső értesítéseket küld vagy őriz meg több munkamenetben. A felhasználói félreértések elkerülése érdekében zárolhatja a Microsoft Defender víruskereső felhasználói felületét. Az alábbi eljárás azt ismerteti, hogyan tilthatja le az értesítéseket a Csoportházirend használatával.

  1. A Csoportházirend Szerkesztő lépjen a Windows-összetevők>Microsoft Defender víruskereső>ügyféloldali felületére.

  2. Válassza az Összes értesítés mellőzése lehetőséget, majd szerkessze a házirend-beállításokat.

  3. Állítsa a szabályzatot Engedélyezve értékre, majd kattintson az OK gombra.

  4. Helyezze üzembe a Csoportházirend objektumot a megszokott módon.

Az értesítések mellőzése megakadályozza, hogy Microsoft Defender víruskereső értesítést jelenítsen meg a vizsgálatok befejezésekor vagy a szervizelési műveletek végrehajtásakor. A biztonsági üzemeltetési csapat azonban látni fogja a vizsgálat eredményeit, ha támadást észlelnek és leállnak. A rendszer riasztásokat hoz létre, például egy kezdeti hozzáférési riasztást, amely megjelenik a Microsoft Defender portálon.

Vizsgálatok letiltása frissítés után

Ha egy frissítést követően letilt egy vizsgálatot, az megakadályozza, hogy a vizsgálat a frissítés fogadása után lezajljon. Ezt a beállítást az alaprendszerkép létrehozásakor is alkalmazhatja, ha gyorsvizsgálatot is futtatott. Ily módon megakadályozhatja, hogy az újonnan frissített virtuális gép újra elvégezze a vizsgálatot (mivel az alaprendszerkép létrehozásakor már megvizsgálta).

Fontos

A frissítések után futtatott vizsgálatok segítenek biztosítani, hogy a virtuális gépek a legújabb biztonságiintelligencia-frissítésekkel legyenek védve. Ennek a beállításnak a letiltása csökkenti a virtuális gépek védelmi szintjét, és csak az alaprendszerkép első létrehozásakor vagy üzembe helyezésekor használható.

  1. A Csoportházirend Szerkesztő lépjen a Windows-összetevők>Microsoft Defender a Víruskereső>biztonsági intelligencia Frissítések.

  2. Válassza a Vizsgálat bekapcsolása a biztonsági intelligencia frissítése után lehetőséget, majd szerkessze a házirend-beállítást.

  3. Állítsa a szabályzatot Letiltva értékre.

  4. Kattintson az OK gombra.

  5. Helyezze üzembe a Csoportházirend objektumot a megszokott módon.

Ez a szabályzat megakadályozza, hogy a vizsgálat közvetlenül a frissítés után fusson.

ScanOnlyIfIdle A beállítás letiltása

Az alábbi parancsmaggal állíthat le egy gyors vagy ütemezett vizsgálatot, amikor az eszköz tétlen állapotba kerül, ha passzív módban van.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

A beállítást a helyi vagy tartományi csoportszabályzaton keresztül is letilthatja Microsoft Defender ScanOnlyIfIdle víruskeresőben. Ez a beállítás megakadályozza a jelentős processzor-versengést nagy sűrűségű környezetekben.

További információ: Az ütemezett vizsgálat indítása csak akkor, ha a számítógép be van kapcsolva, de nincs használatban.

Offline állapotú virtuális gépek vizsgálata

  1. A Csoportházirend Szerkesztő lépjen a Windows-összetevők>Microsoft Defender a Víruskereső>vizsgálat lapra.

  2. Válassza a Gyors beolvasás bekapcsolása lehetőséget , majd szerkessze a házirend-beállítást.

  3. Állítsa a szabályzatot Engedélyezve értékre.

  4. Kattintson az OK gombra.

  5. Helyezze üzembe a Csoportházirend objektumot a megszokott módon.

Ez a szabályzat vizsgálatot kényszerít ki, ha a virtuális gép nem fogadott el két vagy több egymást követő ütemezett vizsgálatot.

Fej nélküli felhasználói felületi mód engedélyezése

  1. A Csoportházirend Szerkesztő lépjen a Windows-összetevők>Microsoft Defender víruskereső>ügyféloldali felületére.

  2. Válassza a Fej nélküli felhasználói felületi mód engedélyezése lehetőséget, és szerkessze a szabályzatot.

  3. Állítsa a szabályzatot Engedélyezve értékre.

  4. Kattintson az OK gombra.

  5. Helyezze üzembe a Csoportházirend objektumot a megszokott módon.

Ez a szabályzat elrejti a teljes Microsoft Defender víruskereső felhasználói felületet a szervezet végfelhasználói elől.

Kizárások

Ha úgy gondolja, hogy kizárásokat kell hozzáadnia, olvassa el A Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásainak kezelése című témakört.

Lásd még

Ha a Végponthoz készült Defenderről keres információt a nem Windows-platformokon, tekintse meg a következő forrásanyagokat:

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.