Hantera Windows enheter med flera sessioner i virtuell Azure-skrivbordsapp

6 minuter att läsa

Gäller för:

Microsoft Defender för Endpoint har stöd för övervakning av både VDI- och Azure Virtual Desktop-sessioner. Beroende på organisationens behov kan du behöva implementera VDI- eller Azure Virtual Desktop-sessioner för att hjälpa dina anställda att få åtkomst till företagsdata och appar från en ohanterad enhet, fjärransluten plats eller liknande scenario. Med Microsoft Defender för Endpoint kan du övervaka dessa virtuella datorer efter avvikande aktivitet.

Innan du börjar

Bekanta dig med överväganden för icke-beständiga VDI. Även om Azure Virtual Desktop inte tillhandahåller alternativ för beständighet, erbjuder det flera sätt att använda en gyllene Windows-bild som kan användas för att tillhandahålla nya värdar och distribuera om datorer. Det här ökar säkerheten i miljön och påverkar därmed vilka poster som skapas och underhålls i Microsoft Defender för Endpoint-portalen, vilket potentiellt minskar synligheten för dina säkerhetsanalytiker.

Anteckning

Beroende på ditt val av onboarding-metod kan enheter visas i Microsoft Defender för Endpoint-portalen som antingen:

  • Enskild post för varje virtuellt skrivbord
  • Flera poster för varje virtuellt skrivbord

Microsoft rekommenderar att du använder Azure Virtual Desktop som en post per virtuellt skrivbord. Detta säkerställer att undersökningsupplevelsen i Microsoft Defender för Endpoint-portalen ligger i en enhets kontext baserat på datornamnet. Organisationer som ofta tar bort och distribuerar WVD-värdar bör överväga att använda den här metoden eftersom det förhindrar att flera objekt för samma dator skapas i Microsoft Defender för Slutpunkt-portalen. Det kan skapa förvirring när du undersöker incidenter. För testmiljöer eller ej ej beständiga miljöer kan du välja att välja ett annat.

Microsoft rekommenderar att du lägger till Microsoft Defender för slutpunkts onboarding-skriptet i den gyllene bilden i WVD. På så sätt kan du vara säker på att det här onboarding-skriptet körs direkt vid första starten. Den körs som ett startskript vid första starten på alla WVD-datorer som är etablerade från den gyllene bilden i WVD. Men om du använder någon av galleribilderna utan att ändra det placerar du skriptet på en delad plats och anropar det från antingen lokal grupprincip eller domängruppsprincip.

Anteckning

Startskriptet för VDI-onboarding placeras och konfigureras på den gyllene bilden i WVD som ett startskript som körs när WVD startas. Vi rekommenderar inte att du visar den faktiska gyllene bilden i WVD. En annan faktor är metoden som används för att köra skriptet. Den bör köras så tidigt i start-/etableringsprocessen som möjligt för att minska tiden mellan den dator som är tillgänglig för att ta emot sessioner och enhetens registrering till tjänsten. Ta hänsyn till detta i scenarierna 1 och 2.

Scenarier

Det finns flera sätt att introducera en WVD-värddator:

Scenario 1: Använda lokal grupprincip

Det här scenariot kräver att skriptet placeras i en gyllene bild och att lokala grupprinciper används för att köras tidigt i startprocessen.

Följ anvisningarna i Hantera de icke-beständiga VDI-enheterna (Virtual Desktop Infrastructure).

Följ instruktionerna för en enskild post för varje enhet.

Scenario 2: Använda domängruppsprincip

Det här scenariot använder ett centralt placerade skript och kör det med en domänbaserad grupprincip. Du kan också placera skriptet i den gyllene bilden och köra det på samma sätt.

Ladda ned WindowsDefenderATPOnboardingPackage.zip-filen från Windows 365 Defender-portalen
  1. Öppna filen för VDI-.zip (WindowsDefenderATPOnboardingPackage.zip)

    1. I navigeringsfönstret Microsoft 365 Defender-portalen väljer du Inställningar > Slutpunkts > onboarding (under Enhetshantering).
    2. Välj Windows 10 eller Windows 11 använda som operativsystem.
    3. I fältet Distributionsmetod väljer du VDI-onboardingskript för icke-beständiga slutpunkter.
    4. Klicka på Ladda ned paket och spara .zip filen.
  2. Extrahera innehållet i filen .zip till en delad, skrivskyddad plats som kan nås av enheten. Du bör ha en mapp med namnet OptionalParamsPolicy och filerna WindowsDefenderATPOnboardingScript.cmd ochOnboard-NonPersistentMachine.ps1.

Använda konsolen för hantering av grupprinciper för att köra skriptet när den virtuella datorn startar
  1. Öppna GPMC (Group Policy Management Console), högerklicka på det grupprincipobjekt (GPO) du vill konfigurera och klicka på Redigera.

  2. Gå till Inställningar för datorkonfiguration i redigeraren för hantering av > > grupprinciper på Kontrollpanelen.

  3. Högerklicka på Schemalagda aktiviteter, klicka på Ny och klicka sedan på Direkt aktivitet (minst Windows 7).

  4. I uppgiftsfönstret som öppnas går du till fliken Allmänt. Under Säkerhetsalternativ klickar du på Ändra användare eller grupp och skriver SYSTEM. Klicka på Kontrollera namn och sedan på OK. NT AUTHORITY\SYSTEM visas som det användarkonto som aktiviteten körs som.

  5. Välj Kör om användaren är inloggad eller inte och markera kryssrutan Kör med högst behörighet.

  6. Gå till fliken Åtgärder och klicka på Ny. Kontrollera att Starta ett program är markerat i fältet Åtgärd. Ange följande:

    Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    Välj sedan OK och stäng alla öppna GPMC-fönster.

Scenario 3: Introduktion med hanteringsverktyg

Om du planerar att hantera dina maskiner med ett hanteringsverktyg kan du hantera enheter Microsoft Endpoint Configuration Manager.

Mer information finns i Informera Windows enheter med Konfigurationshanteraren.

Varning

Om du tänker använda referens för minskning av attackytan bör du observera att regeln " Blockera processskapanden som kommer frånPSExec-och WMI-kommandon " inte ska användas, eftersom regeln är inkompatibel med hantering via Microsoft Endpoint Configuration Manager. Regeln blockerar WMI-kommandon som Configuration Manager-klienten använder för att fungera korrekt.

Tips

När du har introducerat enheten kan du välja att köra ett identifieringstest för att verifiera att enheten är korrekt onboarded till tjänsten. Mer information finns i Köra ett identifieringstest på en nyligen onboarded Microsoft Defender för Endpoint-enhet.

Tagga dina maskiner när du skapar en gyllene bild

Som en del av introduktionen kan du överväga att ställa in en maskintagg så att det blir lättare att skilja WVD-maskinerna åt i Microsofts säkerhetscenter. Mer information finns i Lägga till enhetstaggar genom att ange ett registernyckelvärde.

När du skapar den gyllene bilden kanske du också vill konfigurera inställningar för det första skyddet. Mer information finns i Andra rekommenderade konfigurationsinställningar.

Om du använder FSlogix-användarprofiler rekommenderar vi att du undantar följande filer från alltid-on-skydd:

Undanta filer:

%ProgramFiles%\FSLogix\Apps\frxdrv.sys

%ProgramFiles%\FSLogix\Apps\frxdrvvt.sys

%ProgramFiles%\FSLogix\Apps\frxccd.sys

%TEMP%\*.VHD

%TEMP%\*.VHDX

%Windir%\TEMP\*.VHD

%Windir%\TEMP\*.VHDX

\\storageaccount.file.core.windows.net\share\*\*.VHD

\\storageaccount.file.core.windows.net\share\*\*.VHDX

Exkludera processer:

%ProgramFiles%\FSLogix\Apps\frxccd.exe

%ProgramFiles%\FSLogix\Apps\frxccds.exe

%ProgramFiles%\FSLogix\Apps\frxsvc.exe

Licensieringskrav

Anmärkning om licensiering: När du använder flera sessioner med Windows Enterprise beror på dina krav kan du välja att antingen ha alla användare licensierade via Microsoft Defender för slutpunkt (per användare), Windows Enterprise E5, Microsoft 365 Security eller Microsoft 365 E5, eller ha den VM-licens som licensieras via Microsoft Defender för molnet. Licenskrav för Microsoft Defender för Endpoint finns i: Licenskrav.

Lägga till undantag för Defender för slutpunkt via PowerShell