Registrera VDI-enheter (non-persistent virtual desktop infrastructure) i Microsoft Defender XDR

  • Artikel

VDI (Virtual Desktop Infrastructure) är ett IT-infrastrukturkoncept som ger slutanvändare åtkomst till instanser av virtuella företagsdatorer från nästan alla enheter (till exempel din personliga dator, smartphone eller surfplatta), vilket eliminerar behovet av att organisationen ger användarna fysiska datorer. Att använda VDI-enheter minskar kostnaderna eftersom IT-avdelningarna inte längre ansvarar för att hantera, reparera och ersätta fysiska slutpunkter. Behöriga användare kan komma åt samma företagsservrar, filer, appar och tjänster från alla godkända enheter via en säker skrivbordsklient eller webbläsare.

Precis som andra system i en IT-miljö bör även dessa ha en lösning för slutpunktsidentifiering och svar (EDR) och antivirus för att skydda mot avancerade hot och attacker.

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Obs!

Beständiga VDI:er – Registrering av en beständig VDI-dator i Microsoft Defender för Endpoint hanteras på samma sätt som du registrerar en fysisk dator, till exempel en stationär eller bärbar dator. Grupprincip, Microsoft Configuration Manager och andra metoder kan användas för att registrera en beständig dator. I Microsoft Defender portalen, (https://security.microsoft.com) under onboarding, väljer du önskad registreringsmetod och följer anvisningarna för den typen. Mer information finns i Onboarding Windows-klienten.

Registrera icke-beständiga VDI-enheter (Virtual Desktop Infrastructure)

Defender för Endpoint stöder registrering av icke-beständiga VDI-sessioner.

Det kan finnas associerade utmaningar vid registrering av VDI-instanser. Följande är vanliga utmaningar för det här scenariot:

  • Omedelbar tidig registrering av en kortlivad session, som måste registreras i Defender för Endpoint före den faktiska etableringen.
  • Enhetsnamnet återanvänds vanligtvis för nya sessioner.

I en VDI-miljö kan VDI-instanser ha korta livslängder. VDI-enheter kan visas i Microsoft Defender-portalen som antingen enskilda poster för varje VDI-instans eller flera poster för varje enhet.

  • En post för varje VDI-instans. Om VDI-instansen redan har registrerats för Microsoft Defender för Endpoint, och någon gång har tagits bort och sedan återskapats med samma värdnamn, skapas INTE ett nytt objekt som representerar den här VDI-instansen i portalen.

    Obs!

    I det här fallet måste samma enhetsnamn konfigureras när sessionen skapas, till exempel med hjälp av en obevakad svarsfil.

  • Flera poster för varje enhet – en för varje VDI-instans.

Viktigt

Om du distribuerar icke-beständiga VDI:er via kloningsteknik kontrollerar du att dina interna virtuella malldatorer inte är registrerade i Defender för Endpoint. Den här rekommendationen är att undvika att klonade virtuella datorer registreras med samma senseGuid som dina virtuella malldatorer, vilket kan förhindra att virtuella datorer visas som nya poster i listan Enheter.

Följande steg vägleder dig genom registrering av VDI-enheter och markerar steg för enskilda och flera poster.

Varning

För miljöer där det finns låga resurskonfigurationer kan VDI-startproceduren fördröja registrering av Defender för Endpoint-sensorn.

Registreringssteg

Obs!

Windows Server 2016 och Windows Server 2012 R2 måste förberedas genom att installera installationspaketet först med hjälp av anvisningarna i Registrera Windows-servrar för att den här funktionen ska fungera.

  1. Öppna VDI-konfigurationspaketet .zip fil (WindowsDefenderATPOnboardingPackage.zip) som du laddade ned från guiden för tjänstregistrering. Du kan också hämta paketet från Microsoft Defender-portalen:

    1. I navigeringsfönstret väljer du Inställningar>Slutpunkter>Enhetshantering>Registrering.

    2. Välj operativsystemet.

    3. I fältet Distributionsmetod väljer du VDI-registreringsskript för icke-beständiga slutpunkter.

    4. Klicka på Ladda ned paket och spara .zip-filen.

  2. Kopiera filerna från mappen WindowsDefenderATPOnboardingPackage som extraherats från .zip-filen till den gyllene/primära avbildningen under sökvägen C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    1. Om du implementerar flera poster för varje enhet – en för varje session kopierar du WindowsDefenderATPOnboardingScript.cmd.

    2. Om du implementerar en enda post för varje enhet kopierar du både Onboard-NonPersistentMachine.ps1 och WindowsDefenderATPOnboardingScript.cmd.

    Obs!

    Om du inte ser mappen kan den C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup vara dold. Du måste välja alternativet Visa dolda filer och mappar från Utforskaren.

  3. Öppna ett lokalt grupprincip Editor fönster och gå till StartavWindows-inställningsskript>> för datorkonfiguration>.

    Obs!

    Domän grupprincip kan också användas för registrering av icke-beständiga VDI-enheter.

  4. Följ lämpliga steg beroende på vilken metod du vill implementera:

    • För en enskild post för varje enhet:

      Välj fliken PowerShell-skript och välj sedan Lägg till (Utforskaren öppnas direkt i sökvägen där du kopierade registreringsskriptet tidigare). Gå till Registrera PowerShell-skript Onboard-NonPersistentMachine.ps1. Du behöver inte ange den andra filen eftersom den utlöses automatiskt.

    • För flera poster för varje enhet:

      Välj fliken Skript och klicka sedan på Lägg till (Utforskaren öppnas direkt i sökvägen där du kopierade registreringsskriptet tidigare). Navigera till onboarding bash-skriptet WindowsDefenderATPOnboardingScript.cmd.

  5. Testa din lösning:

    1. Skapa en pool med en enhet.

    2. Logga in på enheten.

    3. Logga ut från enheten.

    4. Logga in på enheten med en annan användare.

    5. Följ lämpliga steg beroende på vilken metod du vill implementera:

      • För en enskild post för varje enhet: Kontrollera endast en post i Microsoft Defender portalen.
      • För flera poster för varje enhet: Kontrollera flera poster i Microsoft Defender portalen.

  6. Klicka på listan Enheter i navigeringsfönstret.

  7. Använd sökfunktionen genom att ange enhetsnamnet och välja Enhet som söktyp.

För SKU:er på nednivå (Windows Server 2008 R2)

Obs!

De här anvisningarna för andra Windows Server-versioner gäller även om du kör föregående Microsoft Defender för Endpoint för Windows Server 2016 och Windows Server 2012 R2 som kräver MMA. Instruktioner för att migrera till den nya enhetliga lösningen finns i Scenarier för servermigrering i Microsoft Defender för Endpoint.

Följande register är endast relevant när målet är att uppnå en enda post för varje enhet.

  1. Ange registervärdet till:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    eller med hjälp av kommandoraden:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Följ processen för serverregistrering.

Uppdatera VDI-avbildningar (Virtual Desktop Infrastructure) (beständiga eller icke-beständiga)

Med möjligheten att enkelt distribuera uppdateringar till virtuella datorer som körs i VDI:er har vi förkortat den här guiden för att fokusera på hur du snabbt och enkelt kan få uppdateringar på dina datorer. Du behöver inte längre skapa och försegla gyllene avbildningar regelbundet, eftersom uppdateringar utökas till deras komponentbitar på värdservern och sedan laddas ned direkt till den virtuella datorn när den är aktiverad.

Om du har registrerat den primära avbildningen av DIN VDI-miljö (SENSE-tjänsten körs) måste du avregistrera och rensa vissa data innan du sätter tillbaka avbildningen i produktion.

  1. Avregistrera datorn.

  2. Kontrollera att sensorn stoppas genom att köra följande kommando i ett CMD-fönster:

    sc query sense

  3. Kör följande kommandon i ett CMD-fönster::

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Använder du en tredje part för VDI:er?

Om du distribuerar icke-beständiga VDI:er via snabbkloning av VMware eller liknande tekniker kontrollerar du att dina interna virtuella malldatorer och virtuella replikdatorer inte registreras i Defender för Endpoint. Om du registrerar enheter med metoden enkel post kan omedelbara kloner som etableras från registrerade virtuella datorer ha samma senseGuid, och det kan hindra en ny post från att visas i vyn Enhetsinventering (i Microsoft Defender-portalen väljer du Tillgångar>enheter).

Om antingen den primära avbildningen, den virtuella malldatorn eller den virtuella replikdatorn registreras i Defender för Endpoint med hjälp av metoden för enkel inmatning hindrar den Defender från att skapa poster för nya icke-beständiga VDI:er i Microsoft Defender-portalen.

Kontakta tredjepartsleverantörerna för ytterligare hjälp.

När du har registrerat enheter till tjänsten är det viktigt att dra nytta av de inkluderade hotskyddsfunktionerna genom att aktivera dem med följande rekommenderade konfigurationsinställningar.

Nästa generations skyddskonfiguration

Följande konfigurationsinställningar rekommenderas:

Cloud Protection Service

  • Aktivera molnbaserat skydd: ja
  • Molnlevererad skyddsnivå: Inte konfigurerad
  • Utökad tidsgräns för Defender Cloud i sekunder: 20

Undantag

Realtidsskydd

  • Aktivera alla inställningar och ställ in för att övervaka alla filer

Åtgärda

  • Antal dagar som skadlig kod ska behållas i karantän: 30
  • Medgivande för att skicka exempel: Skicka alla exempel automatiskt
  • Åtgärder som ska vidtas för potentiellt oönskade appar: Aktivera
  • Åtgärder för identifierade hot:
    • Lågt hot: Rensa
    • Måttligt hot, Högt hot, Allvarligt hot: Karantän

Scan

  • Sök igenom arkiverade filer: Ja
  • Använd låg CPU-prioritet för schemalagda genomsökningar: Inte konfigurerad
  • Inaktivera fullständig genomsökning: Inte konfigurerad
  • Inaktivera snabbsökning för catchup: Inte konfigurerad
  • Cpu-användningsgräns per genomsökning: 50
  • Sök igenom mappade nätverksenheter under fullständig genomsökning: Inte konfigurerad
  • Kör daglig snabbsökning kl. 12:00
  • Genomsökningstyp: Inte konfigurerad
  • Veckodag för schemalagd genomsökning: Inte konfigurerad
  • Tid på dagen för att köra en schemalagd genomsökning: Inte konfigurerad
  • Sök efter signaturuppdateringar innan du kör genomsökningen: Ja

Uppdateringar

  • Ange hur ofta du vill söka efter säkerhetsinformationsuppdateringar: 8
  • Lämna andra inställningar i standardtillstånd

Användarupplevelse

  • Tillåt användaråtkomst till Microsoft Defender app: Inte konfigurerad

Aktivera manipuleringsskydd

  • Aktivera manipuleringsskydd för att förhindra att Microsoft Defender inaktiveras: Aktivera

Minska attackytan

  • Aktivera nätverksskydd: Testläge
  • Kräv SmartScreen för Microsoft Edge: Ja
  • Blockera åtkomst till skadlig webbplats: Ja
  • Blockera nedladdning av overifierad fil: Ja

Regler för minskning av attackytan

  • Konfigurera alla tillgängliga regler för granskning.

Obs!

Om du blockerar dessa aktiviteter kan legitima affärsprocesser avbrytas. Den bästa metoden är att ställa in allt för granskning, identifiera vilka som är säkra att aktivera och sedan aktivera inställningarna på slutpunkter som inte har falska positiva identifieringar.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.