Eseguire l'onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti in Microsoft Defender XDR

  • Articolo

Virtual Desktop Infrastructure (VDI) è un concetto di infrastruttura IT che consente agli utenti finali di accedere alle istanze di desktop virtuali aziendali da quasi tutti i dispositivi (ad esempio il personal computer, lo smartphone o il tablet), eliminando la necessità per l'organizzazione di fornire agli utenti computer fisici. L'uso di dispositivi VDI riduce i costi perché i reparti IT non sono più responsabili della gestione, della riparazione e della sostituzione degli endpoint fisici. Gli utenti autorizzati possono accedere agli stessi server aziendali, file, app e servizi da qualsiasi dispositivo approvato tramite un client desktop o un browser sicuro.

Come qualsiasi altro sistema in un ambiente IT, anche questi devono avere una soluzione EDR (Endpoint Detection and Response) e Antivirus per la protezione da minacce e attacchi avanzati.

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Nota

VDI persistenti: l'onboarding di un computer VDI persistente in Microsoft Defender per endpoint viene gestito nello stesso modo in cui si esegue l'onboarding di un computer fisico, ad esempio un desktop o un portatile. Per eseguire l'onboarding di un computer persistente, è possibile usare criteri di gruppo, Microsoft Configuration Manager e altri metodi. Nel portale di Microsoft Defender (https://security.microsoft.com) in Onboarding selezionare il metodo di onboarding preferito e seguire le istruzioni per tale tipo. Per altre informazioni, vedere Onboarding del client Windows.

Onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti

Defender per endpoint supporta l'onboarding di sessioni VDI non persistenti.

Potrebbero verificarsi problemi associati durante l'onboarding di istanze VDI. Di seguito sono riportate le problematiche tipiche di questo scenario:

  • Onboarding immediato anticipato di una sessione di breve durata, che deve essere eseguito in Defender per endpoint prima del provisioning effettivo.
  • Il nome del dispositivo viene in genere riutilizzato per le nuove sessioni.

In un ambiente VDI, le istanze di VDI possono avere una durata di vita breve. I dispositivi VDI possono essere visualizzati nel portale di Microsoft Defender come voci singole per ogni istanza di VDI o come più voci per ogni dispositivo.

  • Voce singola per ogni istanza VDI. Se l'istanza di VDI è già stata caricata in Microsoft Defender per endpoint e a un certo punto eliminata e quindi ricreata con lo stesso nome host, nel portale NON viene creato un nuovo oggetto che rappresenta questa istanza VDI.

    Nota

    In questo caso, lo stesso nome del dispositivo deve essere configurato al momento della creazione della sessione, ad esempio usando un file di risposte automatico.

  • Più voci per ogni dispositivo, una per ogni istanza VDI.

Importante

Se si distribuiscono VM non persistenti tramite la tecnologia di clonazione, assicurarsi che le macchine virtuali del modello interno non vengano sottoposte a onboarding in Defender per endpoint. Questa raccomandazione consiste nell'evitare l'onboarding delle macchine virtuali clonate con lo stesso senseGuid delle macchine virtuali modello, che potrebbero impedire alle macchine virtuali di essere visualizzate come nuove voci nell'elenco Dispositivi.

La procedura seguente illustra l'onboarding dei dispositivi VDI ed evidenzia i passaggi per singole voci e più voci.

Avviso

Per gli ambienti in cui le configurazioni delle risorse sono scarse, la procedura di avvio VDI potrebbe rallentare l'onboarding del sensore Defender per endpoint.

Passaggi di onboarding

Nota

Windows Server 2016 e Windows Server 2012 R2 devono essere preparati applicando prima il pacchetto di installazione usando le istruzioni in Onboard Windows servers per il funzionamento di questa funzionalità.

  1. Aprire il pacchetto di configurazione VDI .zip file (WindowsDefenderATPOnboardingPackage.zip) scaricato dalla procedura guidata di onboarding del servizio. È anche possibile ottenere il pacchetto dal portale di Microsoft Defender:

    1. Nel riquadro di spostamento selezionare Impostazioni>Endpoint>Gestione> dispositiviOnboarding.

    2. Selezionare il sistema operativo.

    3. Nel campo Metodo di distribuzione selezionare Script di onboarding VDI per endpoint non persistenti.

    4. Fare clic su Scarica pacchetto e salvare il file .zip.

  2. Copiare i file dalla cartella WindowsDefenderATPOnboardingPackage estratta dal file .zip nell'immagine dorata/primaria nel percorso C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    1. Se si implementano più voci per ogni dispositivo, una per ogni sessione, copiare WindowsDefenderATPOnboardingScript.cmd.

    2. Se si implementa una singola voce per ogni dispositivo, copiare sia Onboard-NonPersistentMachine.ps1 che WindowsDefenderATPOnboardingScript.cmd.

    Nota

    Se la cartella non viene visualizzata C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , potrebbe essere nascosta. È necessario scegliere l'opzione Mostra file e cartelle nascosti da Esplora file.

  3. Aprire una finestra Criteri di gruppo Editor locale e passare a Configurazione> computerImpostazioni di Windows Script>>di avvio.

    Nota

    È anche possibile usare Criteri di gruppo di dominio per l'onboarding di dispositivi VDI non persistenti.

  4. A seconda del metodo che si vuole implementare, seguire la procedura appropriata:

    • Per una singola voce per ogni dispositivo:

      Selezionare la scheda Script di PowerShell , quindi selezionare Aggiungi (Esplora risorse si apre direttamente nel percorso in cui è stato copiato lo script di onboarding in precedenza). Passare all'onboarding dello script Onboard-NonPersistentMachine.ps1di PowerShell. Non è necessario specificare l'altro file, perché viene attivato automaticamente.

    • Per più voci per ogni dispositivo:

      Selezionare la scheda Script , quindi fare clic su Aggiungi (Esplora risorse si apre direttamente nel percorso in cui è stato copiato lo script di onboarding in precedenza). Passare allo script WindowsDefenderATPOnboardingScript.cmdbash di onboarding.

  5. Testare la soluzione:

    1. Create un pool con un solo dispositivo.

    2. Accedere al dispositivo.

    3. Disconnettersi dal dispositivo.

    4. Accedere al dispositivo con un altro utente.

    5. A seconda del metodo che si vuole implementare, seguire la procedura appropriata:

      • Per una singola voce per ogni dispositivo: controllare una sola voce nel portale di Microsoft Defender.
      • Per più voci per ogni dispositivo: controllare più voci nel portale di Microsoft Defender.

  6. Fare clic su Elenco dispositivi nel riquadro di spostamento.

  7. Usare la funzione di ricerca immettendo il nome del dispositivo e selezionare Dispositivo come tipo di ricerca.

Per gli SKU di livello inferiore (Windows Server 2008 R2)

Nota

Queste istruzioni per altre versioni di Windows Server si applicano anche se si eseguono le Microsoft Defender per endpoint precedenti per Windows Server 2016 e Windows Server 2012 R2 che richiede MMA. Le istruzioni per la migrazione alla nuova soluzione unificata sono disponibili negli scenari di migrazione del server in Microsoft Defender per endpoint.

Il registro seguente è rilevante solo quando l'obiettivo è quello di ottenere una "voce singola per ogni dispositivo".

  1. Impostare il valore del Registro di sistema su:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    o usando la riga di comando:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Seguire il processo di onboarding del server.

Aggiornamento di immagini VDI (Virtual Desktop Infrastructure) (persistenti o non persistenti)

Con la possibilità di distribuire facilmente gli aggiornamenti alle macchine virtuali in esecuzione nelle VM, questa guida è stata abbreviata per concentrarsi su come ottenere gli aggiornamenti nei computer in modo rapido e semplice. Non è più necessario creare e sigillare immagini dorate su base periodica, poiché gli aggiornamenti vengono espansi nei relativi bit del componente nel server host e quindi scaricati direttamente nella macchina virtuale quando sono attivati.

Se è stato eseguito l'onboarding dell'immagine primaria dell'ambiente VDI (il servizio SENSE è in esecuzione), è necessario eseguire l'offboarding e cancellare alcuni dati prima di riportare l'immagine nell'ambiente di produzione.

  1. Fuoribordo della macchina.

  2. Verificare che il sensore venga arrestato eseguendo il comando seguente in una finestra CMD:

    sc query sense

  3. Eseguire i comandi seguenti in una finestra cmd::

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Si usa una terza parte per gli uri virtuali?

Se si distribuiscono VM non persistenti tramite la clonazione immediata di VMware o tecnologie simili, assicurarsi che le macchine virtuali e le macchine virtuali di replica del modello interno non vengano sottoposte a onboarding in Defender per endpoint. Se si esegue l'onboarding dei dispositivi usando il metodo di immissione singola, i cloni istantanei di cui viene effettuato il provisioning dalle macchine virtuali di cui è stato eseguito l'onboarding potrebbero avere lo stesso senseGuid e che possono impedire l'elenco di una nuova voce nella visualizzazione Inventario dispositivi (nel portale di Microsoft Defender scegliere Dispositivi asset>).

Se l'immagine primaria, la macchina virtuale modello o la macchina virtuale di replica vengono sottoposte a onboarding in Defender per endpoint usando il metodo a voce singola, Defender non creerà voci per le nuove VM non persistenti nel portale di Microsoft Defender.

Contattare i fornitori di terze parti per ulteriore assistenza.

Dopo l'onboarding dei dispositivi nel servizio, è importante sfruttare le funzionalità di protezione dalle minacce incluse abilitandoli con le impostazioni di configurazione consigliate seguenti.

Configurazione della protezione di nuova generazione

Sono consigliate le impostazioni di configurazione seguenti:

Servizio Cloud Protection

  • Attiva la protezione fornita dal cloud: Sì
  • Livello di protezione fornito dal cloud: non configurato
  • Timeout esteso di Defender Cloud in secondi: 20

Esclusioni

Protezione in tempo reale

  • Attivare tutte le impostazioni e impostare per monitorare tutti i file

Bonifica

  • Numero di giorni per mantenere il malware in quarantena: 30
  • Invia il consenso per gli esempi: invia automaticamente tutti gli esempi
  • Azione da eseguire su app potenzialmente indesiderate: Abilitare
  • Azioni per le minacce rilevate:
    • Minaccia bassa: pulisci
    • Minaccia moderata, minaccia elevata, minaccia grave: quarantena

Analisi

  • Analizzare i file archiviati: Sì
  • Usare la priorità bassa della CPU per le analisi pianificate: non configurata
  • Disabilitare l'analisi completa di recupero: non configurata
  • Disabilitare l'analisi rapida del recupero: Non configurato
  • Limite di utilizzo della CPU per analisi: 50
  • Analisi delle unità di rete mappate durante l'analisi completa: non configurata
  • Eseguire l'analisi rapida giornaliera alle 12:00
  • Tipo di analisi: non configurato
  • Giorno della settimana per l'esecuzione dell'analisi pianificata: Non configurato
  • Ora del giorno per eseguire un'analisi pianificata: Non configurato
  • Verificare la presenza di aggiornamenti delle firme prima di eseguire l'analisi: Sì

Aggiornamenti

  • Immettere la frequenza con cui verificare la disponibilità di aggiornamenti delle informazioni di sicurezza: 8
  • Lasciare altre impostazioni nello stato predefinito

Esperienza utente

  • Consenti l'accesso utente all'app Microsoft Defender: Non configurato

Abilitare la protezione antimanomissione

  • Abilitare la protezione da manomissioni per impedire la disabilitazione di Microsoft Defender: Abilita

Riduzione della superficie d'attacco

  • Abilitare la protezione di rete: modalità di test
  • Richiedi SmartScreen per Microsoft Edge: Sì
  • Bloccare l'accesso a siti dannosi: Sì
  • Blocca il download di file non verificato: Sì

Regole di riduzione della superficie di attacco

  • Configurare tutte le regole disponibili in Controllo.

Nota

Il blocco di queste attività può interrompere i processi aziendali legittimi. L'approccio migliore consiste nell'impostare tutto su controllo, identificare quali sono sicuri da attivare e quindi abilitare tali impostazioni negli endpoint che non hanno rilevamenti falsi positivi.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.