Настройка антивирусной программы Microsoft Defender на удаленном рабочем столе или инфраструктуре виртуального рабочего стола

  • Статья

Область применения:

Платформы

  • Windows

Совет

Эта статья предназначена только для клиентов, которые используют Microsoft Defender возможности антивирусной программы. Если у вас есть Microsoft Defender для конечной точки (которая включает Microsoft Defender антивирусную программу наряду с дополнительными возможностями защиты устройств), пропустите эту статью и перейдите к разделу Подключение устройств инфраструктуры виртуальных рабочих столов (VDI) в Microsoft Defender XDR.

Антивирусная программа Microsoft Defender можно использовать в среде удаленного рабочего стола (RDS) или инфраструктуры виртуальных рабочих столов (VDI). Следуя инструкциям в этой статье, можно настроить скачивание обновлений непосредственно в среды RDS или VDI при входе пользователя.

В этом руководстве описано, как настроить антивирусную программу Microsoft Defender на виртуальных машинах для оптимальной защиты и производительности, в том числе:

Важно!

Хотя VDI можно разместить на Windows Server 2012 или Windows Server 2016, виртуальные машины должны работать как минимум Windows 10 версии 1607 из-за расширения технологий и функций защиты, недоступных в более ранних версиях Windows.

Настройка выделенного файлового ресурса VDI для аналитики безопасности

В Windows 10 версии 1903 корпорация Майкрософт представила функцию общей аналитики безопасности, которая разгружает загрузку загруженных обновлений аналитики безопасности на хост-компьютер. Этот метод сокращает использование ресурсов ЦП, диска и памяти на отдельных компьютерах. Общая аналитика безопасности теперь работает на Windows 10 версии 1703 и более поздних. Эту возможность можно настроить с помощью групповая политика или PowerShell, как описано в следующей таблице:

Метод Procedure
Групповая политика 1. На компьютере управления групповая политика откройте консоль управления групповая политика, щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите изменить.

2. В редакторе управления групповая политика перейдите в раздел Конфигурация компьютера.

Выберите Административные шаблоны.

Разверните дерево, чтобы открыть компоненты> Windows Microsoft Defender Обновления аналитики безопасности антивирусной программы>.

3. Дважды щелкните Определение расположения аналитики безопасности для клиентов VDI, а затем задайте для параметра значение Включено. Автоматически появляется поле.

4. Введите \\<sharedlocation\>\wdav-update (справку по этому значению см. в разделе Скачивание и распаковка).

5. Нажмите кнопку ОК.

Разверните объект групповой политики на виртуальных машинах, которые требуется протестировать.
PowerShell 1. На каждом устройстве RDS или VDI используйте следующий командлет, чтобы включить эту функцию: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Отправьте обновление так же, как вы обычно отправляете политики конфигурации на основе PowerShell на виртуальные машины. (См. раздел <Скачивание и распаковка записи общего расположения>.)

Скачивание и распаковка последних обновлений

Теперь вы можете приступить к загрузке и установке новых обновлений. Ниже мы создали пример сценария PowerShell. Этот скрипт — самый простой способ скачать новые обновления и подготовить их для виртуальных машин. Затем следует настроить скрипт для выполнения в определенное время на компьютере управления с помощью запланированной задачи (или, если вы знакомы со сценариями PowerShell в Azure, Intune или SCCM, вы также можете использовать эти скрипты).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Вы можете настроить запланированную задачу для выполнения один раз в день, чтобы каждый раз при скачивании и распаковке пакета виртуальные машины получали новое обновление. Мы рекомендуем начать с одного раза в день, но вы должны поэкспериментировать с увеличением или уменьшением частоты, чтобы понять влияние.

Пакеты аналитики безопасности обычно публикуются каждые три-четыре часа. Устанавливать частоту менее четырех часов не рекомендуется, так как это приведет к увеличению нагрузки на сеть на вашем компьютере управления без каких-то преимуществ.

Вы также можете настроить отдельный сервер или компьютер для получения обновлений от имени виртуальных машин через интервал времени и поместить их в общую папку для использования. Такая конфигурация возможна, если устройства имеют доступ к общей папке и доступ на чтение (разрешения NTFS) к общей папке, чтобы они могли получать обновления. Чтобы настроить эту конфигурацию, выполните следующие действия.

  1. Создайте общую папку SMB/CIFS.

  2. Используйте следующий пример, чтобы создать общую папку со следующими разрешениями.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Примечание.

    Разрешение NTFS добавляется для пользователей, прошедших проверку подлинности:Read:.

    В этом примере общая папка:

    \\fileserver.fqdn\mdatp$\wdav-update

Задание запланированной задачи для выполнения скрипта PowerShell

  1. На компьютере управления откройте меню Пуск и введите Планировщик задач. Откройте его и выберите Создать задачу... на боковой панели.

  2. Введите имя распаковки аналитики безопасности. Перейдите на вкладку Триггер . Выберите Создать...>Ежедневно и нажмите кнопку ОК.

  3. Перейдите на вкладку Действия . Выберите Создать... Введите PowerShell в поле Программа или скрипт . Введите -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 в поле Добавить аргументы . Нажмите кнопку ОК.

  4. Настройте другие параметры соответствующим образом.

  5. Нажмите кнопку ОК , чтобы сохранить запланированную задачу.

Вы можете инициировать обновление вручную, щелкнув задачу правой кнопкой мыши и выбрав Команду Выполнить.

Скачивание и распаковка вручную

Если вы предпочитаете выполнять все вручную, выполните следующие действия, чтобы реплицировать поведение скрипта:

  1. Создайте новую папку в корневом каталоге системы с именем wdav_update для хранения обновлений аналитики, например создайте папку c:\wdav_update.

  2. Создайте вложенную папку в wdav_update с именем GUID, например {00000000-0000-0000-0000-000000000000}

    Вот пример: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Примечание.

    В скрипте мы задаем его так, чтобы последние 12 цифр GUID были годом, месяцем, днем и временем загрузки файла, чтобы каждый раз создавалась новая папка. Это можно изменить, чтобы файл каждый раз загружался в одну и ту же папку.

  3. Скачайте пакет аналитики безопасности из https://www.microsoft.com/wdsi/definitions в папку GUID. Файл должен иметь имя mpam-fe.exe.

  4. Откройте окно командной строки и перейдите к созданной папке GUID. Используйте команду извлечения /X для извлечения файлов, например mpam-fe.exe /X.

    Примечание.

    Виртуальные машины будут собирать обновленный пакет всякий раз, когда создается новая папка GUID с извлеченным пакетом обновления или когда существующую папку обновляется новым извлеченным пакетом.

Рандомизация запланированных проверок

Запланированные проверки выполняются в дополнение к защите и сканированию в режиме реального времени.

Время начала самой проверки по-прежнему зависит от политики запланированного сканирования (ScheduleDay, ScheduleTime и ScheduleQuickScanTime). Рандомизация приведет к тому, что антивирусная программа Microsoft Defender начнет проверку на каждом компьютере в течение четырех часов с момента запланированной проверки.

Другие параметры конфигурации, доступные для запланированных проверок , см. в разделе Планирование проверок.

Использование быстрых проверок

Можно указать тип сканирования, которое должно выполняться во время запланированной проверки. Быстрые проверки являются предпочтительным подходом, так как они предназначены для поиска во всех местах, где вредоносные программы должны находиться, чтобы быть активными. В следующей процедуре описывается настройка быстрых проверок с помощью групповая политика.

  1. В редакторе групповая политика перейдите в раздел Административные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная>проверка.

  2. Выберите Укажите тип сканирования, который будет использоваться для запланированной проверки , а затем измените параметр политики.

  3. Задайте для политики значение Включено, а затем в разделе Параметры выберите Быстрая проверка.

  4. Нажмите ОК.

  5. Разверните объект групповой политики, как обычно.

Запрет уведомлений

Иногда уведомления Microsoft Defender антивирусной программы отправляются в несколько сеансов или сохраняются в них. Чтобы избежать путаницы пользователей, можно заблокировать пользовательский интерфейс Microsoft Defender Антивирусная программа. В следующей процедуре описывается отключение уведомлений с помощью групповая политика.

  1. В редакторе групповая политика перейдите в раздел Компоненты> Windows Microsoft Defender Интерфейс клиента антивирусной программы>.

  2. Выберите Отключить все уведомления и измените параметры политики.

  3. Задайте для политики значение Включено, а затем нажмите кнопку ОК.

  4. Разверните объект групповой политики, как обычно.

Подавление уведомлений предотвращает отображение уведомлений от Microsoft Defender антивирусной программы при сканировании или выполнении действий по исправлению. Однако ваша команда по операциям безопасности увидит результаты проверки, если атака обнаружена и остановлена. Оповещения, такие как начальное оповещение о доступе, создаются и отображаются на портале Microsoft Defender.

Отключение проверок после обновления

Отключение проверки после обновления предотвратит ее выполнение после получения обновления. Этот параметр можно применить при создании базового образа, если вы также выполнили быструю проверку. Таким образом, вы можете предотвратить повторное сканирование новой виртуальной машины (так как вы уже сканировали ее при создании базового образа).

Важно!

Выполнение проверок после обновления поможет убедиться, что ваши виртуальные машины защищены с помощью последних обновлений аналитики безопасности. Отключение этого параметра снизит уровень защиты виртуальных машин и будет использоваться только при первом создании или развертывании базового образа.

  1. В редакторе групповая политика перейдите в раздел Компоненты> Windows Microsoft Defender Антивирусная>Обновления Аналитика безопасности.

  2. Выберите Включить проверку после обновления аналитики безопасности , а затем измените параметр политики.

  3. Задайте для политики значение Отключено.

  4. Нажмите ОК.

  5. Разверните объект групповой политики, как обычно.

Эта политика предотвращает выполнение проверки сразу после обновления.

Отключить параметр ScanOnlyIfIdle

Используйте следующий командлет, чтобы остановить быструю или запланированную проверку при бездействии устройства, если оно находится в пассивном режиме.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Вы также можете отключить параметр ScanOnlyIfIdle в Microsoft Defender Антивирусная программа с помощью локальной или доменной групповой политики. Этот параметр предотвращает значительное состязание за ЦП в средах с высокой плотностью.

Дополнительные сведения см. в статье Запуск запланированной проверки только в том случае, если компьютер включен, но не используется.

Проверка виртуальных машин, которые находились в автономном режиме

  1. В редакторе групповая политика перейдите в раздел Компоненты> Windows Microsoft Defender Антивирусная>проверка.

  2. Выберите Включить быструю проверку догоня, а затем измените параметр политики.

  3. Задайте для политики значение Включено.

  4. Нажмите кнопку ОК.

  5. Разверните объект групповая политика, как обычно.

Эта политика принудительно выполняет проверку, если виртуальная машина пропустила два или более последовательных запланированных проверок.

Включение режима безголового пользовательского интерфейса

  1. В редакторе групповая политика перейдите в раздел Компоненты> Windows Microsoft Defender Интерфейс клиента антивирусной программы>.

  2. Выберите Включить режим безголового пользовательского интерфейса и измените политику.

  3. Задайте для политики значение Включено.

  4. Нажмите кнопку ОК.

  5. Разверните объект групповая политика, как обычно.

Эта политика скрывает весь пользовательский интерфейс Microsoft Defender антивирусной программы от конечных пользователей в вашей организации.

Исключения

Если вы считаете, что вам нужно добавить исключения, см. статью Управление исключениями для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender.

См. также

Если вам нужны сведения о Defender для конечной точки на платформах, отличных от Windows, ознакомьтесь со следующими ресурсами:

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в нашем техническом сообществе: Microsoft Defender для конечной точки технического сообщества.