Distributionsguide för Microsoft Defender Antivirus i en VDI-miljö (Virtual Desktop Infrastructure)
Gäller för:
Förutom standardkonfigurationer för lokal dator eller maskinvara kan du även använda Microsoft Defender Antivirus i en fjärrskrivbordsmiljö (RDS) eller i en VDI-miljö (Virtual Desktop Infrastructure).
Mer information om hur du Microsoft Fjärrskrivbord Services och VDI-support finns i Azure Virtual Desktop Documentation.
För Azure-baserade virtuella maskiner, se Installera Endpoint Protection i Microsoft Defender för molnet.
Med möjligheten att enkelt distribuera uppdateringar till virtuella maskiner som körs i VDE:er har vi förkortat den här guiden för att fokusera på hur du kan få uppdateringar på dina maskiner snabbt och enkelt. Du behöver inte längre regelbundet skapa och försegla gyllene bilder eftersom uppdateringarna utökas till sina beståndsdelar på värdservern och sedan hämtas direkt till den virtuella maskinerna när den är påslagen.
I den här guiden beskrivs hur du konfigurerar virtuella maskiner för optimala skydd och prestanda, inklusive hur du:
- Konfigurera en dedikerad VDI-filresurs för säkerhetsintelligensuppdateringar
- Slumpmässiga schemalagda genomsökningar
- Använda snabbsökningar
- Förhindra meddelanden
- Inaktivera genomsökningar från att inträffa efter varje uppdatering
- Skanna in-datera datorer eller datorer som har varit offline ett tag
- Använda undantag
Du kan också ladda ned informationsbladet om Microsoft Defender Antivirus Virtual Desktop Infrastructure som tittar på den nya delade säkerhetsintelligensuppdateringsfunktionen, tillsammans med prestandatestning och vägledning om hur du kan testa antivirusprestanda på din egen VDI.
Viktigt
Även om VDI kan lagras på Windows Server 2012 eller Windows Server 2016 bör virtuella maskinerna köra åtminstone Windows 10 1607 på grund av förbättrad skyddsteknik och funktioner som inte är tillgängliga i tidigare versioner av Windows.
Det finns prestanda- och funktionsförbättringar för hur Microsoft Defender AV fungerar på virtuella datorer i Windows 10 Insider Preview, version 18323 (och senare). Vi identifierar dig i den här guiden om du behöver använda en Insider Preview-version. om den inte anges är den lägsta versionen som krävs för bästa skydd och prestanda Windows 10 1607.
Konfigurera en dedikerad VDI-filresurs
I Windows 10, version 1903, introducerade vi den delade säkerhetsintelligensfunktionen, som förinstallerar upppackningen av hämtade säkerhetsintelligensuppdateringar på en värddator och därmed sparar tidigare processor-, disk- och minnesresurser på enskilda datorer. Den här funktionen har bakåtporterats och fungerar nu i Windows 10 version 1703 och senare. Du kan ställa in den här funktionen med en grupprincip eller PowerShell.
Använd Grupprincip för att aktivera den delade säkerhetsintelligensfunktionen:
Öppna grupprincipkonsolen på datorn för grupprinciphantering, högerklicka på det grupprincipobjekt som du vill konfigurera och klicka sedan på Redigera.
Gå till Datorkonfiguration i redigeraren för grupprinciphantering.
Klicka på Administrativa mallar.
Expandera trädet och visa Windows komponenter > Microsoft Defender Antivirus > Säkerhetsintelligensuppdateringar.
Dubbelklicka på Definiera säkerhetsintelligens för VDI-klienter och ange sedan alternativet Aktiverad. Ett fält visas automatiskt.
Ange
\\<sharedlocation\>\wdav-update(om du behöver hjälp med det här värdet går du till Ladda ned och packa upp).Klicka på OK.
Distribuera GPO:t till de virtuella maskinerna som du vill testa.
Använda PowerShell för att aktivera den delade säkerhetsintelligensfunktionen
Använd följande cmdlet för att aktivera funktionen. Du måste sedan pusha det här eftersom du normalt skulle pusha PowerShell-baserade konfigurationsprinciper till virtuella maskiner:
Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update
I avsnittet Ladda ned och packa upp ser du vad som <shared location> kommer att bli.
Ladda ned och packa upp de senaste uppdateringarna
Nu kan du komma igång med att ladda ned och installera nya uppdateringar. Vi har skapat ett PowerShell-exempelskript nedan. Det här skriptet är det enklaste sättet att ladda ned nya uppdateringar och förbereda dem för dina virtuella maskiner. Du bör sedan ange att skriptet ska köras vid en viss tidpunkt på hanteringsdatorn genom att använda en schemalagd aktivitet (eller om du är van vid att använda PowerShell-skript i Azure, Intune eller SCCM kan du också använda de skripten).
$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'
New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage
cmd /c "cd $vdmpath & c: & mpam-fe.exe /x"
Du kan ange att en schemalagd aktivitet ska köras en gång om dagen, så att de virtuella maskinerna får den nya uppdateringen varje gång paketet laddas ned och packas upp. Vi föreslår att du börjar med en gång om dagen, men du bör experimentera med att öka eller minska frekvensen för att förstå effekten.
Säkerhetsintelligenspaket publiceras vanligtvis en gång var tredje till fyra:e timme. Vi avråder dig från att ställa in en frekvens som är kortare än fyra timmar eftersom det ökar nätverkskostnaderna på hanteringsdatorn utan någon förmån.
Du kan också konfigurera din server eller dator att hämta uppdateringar åt dina virtuella maskiner med jämna mellanrum och placera dem i filresursen för förbrukning. Det här är möjligt när enheterna har delnings- och NTFS-behörigheter för läsbehörighet till resursen så att de kan hämta uppdateringarna.
Gör så här:
Skapa en SMB/CIFS-filresurs.
Använd följande exempel för att skapa en filresurs med följande delningsbehörigheter.
PS c:\> Get-SmbShareAccess -Name mdatp$ Name ScopeName AccountName AccessControlType AccessRight ---- --------- ----------- ----------------- ----------- mdatp$ * Everyone Allow ChangeAnteckning
En NTFS-behörighet läggs till för autentiserade användare:Läsa:.
I det här exemplet är filresursen:
\\fileserver.fqdn\mdatp$\wdav-update
Ange en schemalagd aktivitet för att köra PowerShell-skriptet
På hanteringsdatorn öppnar du Start-menyn och skriver Schemaläggaren. Öppna den och välj Skapa uppgift... i sidopanelen.
Ange namnet som " Security intelligence" för att packa upp. Gå till fliken Utlösare . Välj Ny... > Varje dag och välj OK.
Gå till fliken Åtgärder . Välj Ny... Ange PowerShell i fältet Program/ Skript. Ange
-ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1i fältet Lägg till argument. Välj OK.Du kan välja att konfigurera ytterligare inställningar om du vill.
Spara den schemalagda aktiviteten genom att välja OK.
Du kan starta uppdateringen manuellt genom att högerklicka på uppgiften och klicka på Kör.
Ladda ned och packa upp manuellt
Om du föredrar att göra allt manuellt gör du så här för att replikera skriptets beteende:
Skapa en ny mapp i systemroten som anropas
wdav_updateför att lagra informationsuppdateringar, till exempel skapa mappenc:\wdav_update.Skapa en undermapp under wdav_update med ett GUID-namn, till exempel
{00000000-0000-0000-0000-000000000000}Här är ett exempel:
c:\wdav_update\{00000000-0000-0000-0000-000000000000}Anteckning
I skriptet vi anger det så att de sista 12 siffrorna i GUID är år, månad, dag och tid när filen laddades ned så att en ny mapp skapas varje gång. Du kan ändra detta så att filen laddas ned till samma mapp varje gång.
Hämta ett säkerhetsintelligenspaket https://www.microsoft.com/wdsi/definitions från mappen GUID. Filen ska heta
mpam-fe.exe.Öppna ett cmd-meddelandefönster och gå till GUID-mappen som du har skapat. Använd extraheringskommandot /X för att extrahera filerna, till exempel
mpam-fe.exe /X.Anteckning
Virtuella maskiner hämtar det uppdaterade paketet när en ny GUID-mapp skapas med ett extraherat uppdateringspaket eller när en befintlig mapp uppdateras med ett nytt extraherat paket.
Slumpmässiga schemalagda genomsökningar
Schemalagda skanningar körs utöver realtidsskydd och skanning.
Starttiden för själva genomsökningen baseras fortfarande på principen för schemalagd sökning (ScheduleDay, ScheduleTime och ScheduleQuickScanTime). Slumpvisisering gör Microsoft Defender Antivirus att starta en genomsökning på varje dator inom en fyratimmars period från den tid som angetts för den schemalagda sökningen.
Se Schemalägga genomsökningar för andra konfigurationsalternativ som är tillgängliga för schemalagda genomsökningar.
Använda snabbsökningar
Du kan ange vilken typ av genomsökning som ska utföras vid en schemalagd genomsökning. Snabbsökningar är den rekommenderade metoden eftersom de är utformade för att leta på alla platser där skadlig programvara måste vara aktiv. Här beskrivs hur du ställer in snabba genomsökningar med grupprinciper.
I grupprincipredigeraren går du till Administrativa mallar Windows > komponenter Microsoft Defender Antivirus > > Skanna.
Välj Ange vilken typ av genomsökning som ska användas för en schemalagd sökning och redigera sedan principinställningen.
Ställ in principen på Aktiverad och välj sedan Snabbsökning under Alternativ.
Välj OK.
Distribuera grupprincipobjektet som vanligt.
Förhindra meddelanden
Ibland kan Microsoft Defender Antivirus meddelanden skickas till eller finns kvar i flera sessioner. Om du vill minimera det här problemet kan du låsa Microsoft Defender Antivirus användargränssnittet. Här beskrivs hur du förhindrar aviseringar med grupprinciper.
Gå till grupprincipredigeraren i Windows till Microsoft Defender Antivirus > > klientgränssnittet.
Markera Ignorera alla meddelanden och redigera sedan principinställningarna.
Ställ in principen på Aktiverad och välj sedan OK.
Distribuera grupprincipobjektet som vanligt.
Att hindra meddelanden från att Microsoft Defender Antivirus visas i Åtgärdscenter på Windows 10 när genomsökningar görs eller åtgärder vidtas. Men teamet för säkerhetsåtgärder ser resultatet av genomsökningen i Microsoft 365 Defender portalen.
Tips
För att öppna Åtgärdscenter på Windows 10 eller Windows 11, gör du något av följande:
- Välj ikonen för Åtgärdscenter till höger i aktivitetsfältet.
- Tryck på Windows -tangenten + A.
- På en enhet med pekskärm sveper du från skärmens högra kant.
Inaktivera genomsökningar efter en uppdatering
Om du inaktiverar en genomsökning efter en uppdatering förhindras en genomsökning efter att en uppdatering har mottagits. Du kan använda den här inställningen när du skapar basbilden om du också har gjort en snabbsökning. På så sätt kan du förhindra att den nyligen uppdaterade virtuella maskinerna utför en genomsökning igen (eftersom du redan har skannat den när du skapade basbilden).
Viktigt
Genom att köra genomsökningar efter en uppdatering kan du säkerställa att dina virtuella maskiner skyddas med de senaste säkerhetsintelligensuppdateringarna. Om du inaktiverar det här alternativet minskas skyddsnivån för virtuella maskiner och bör endast användas när du skapar eller distribuerar basavbildningen.
I redigeraren för grupprinciper går du till Windows komponenter > Microsoft Defender Antivirus > säkerhetsintelligensuppdateringar.
Välj Aktivera genomsökning efter säkerhetsintelligensuppdatering och redigera sedan principinställningen.
Ställ in principen på Inaktiverad.
Välj OK.
Distribuera grupprincipobjektet som vanligt.
Den här principen förhindrar att en genomsökning körs direkt efter en uppdatering.
Skanna virtuella maskiner som har varit offline
Gå till Grupprincipredigeraren i Windows komponenter Microsoft Defender Antivirus > > Skanna.
Välj Aktivera snabbsökning och redigera sedan principinställningen.
Ställ in principen på Aktiverad.
Välj OK.
Distribuera grupprincipobjektet som vanligt.
Den här principen tvingar fram en genomsökning om den virtuella maskinerna har missat två eller fler schemalagda genomsökningar i följd.
Aktivera huvudlöst gränssnittsläge
Gå till grupprincipredigeraren i Windows till Microsoft Defender Antivirus > > klientgränssnittet.
Välj Aktivera huvudlöst gränssnittsläge och redigera principen.
Ställ in principen på Aktiverad.
Klicka på OK.
Distribuera grupprincipobjektet som vanligt.
Den här principen döljer Microsoft Defender Antivirus användargränssnittet från slutanvändarna i organisationen.
Undantag
Undantag kan läggas till, tas bort eller anpassas så att de passar dina behov.
Mer information finns i Konfigurera Microsoft Defender Antivirus undantag på Windows Server.