Microsoft 365 Defender 中的板載非持久性虛擬桌面基礎結構 (VDI) 裝置

適用於:

想要體驗 Defender for Endpoint? 注册免費試用版。

注意

PERSISTENT VDI 的 - 將 持續性的 VDI 機器加入至 Microsoft Defender for Endpoint 的處理方式與您在建立實體機器(如桌面機或膝上型電腦)的方式相同。 您可以使用群組原則、Microsoft 端點管理員及其他方法來板載電腦。 在 [安全性 (中心] 的 [上架] 底下 https://security.microsoft.com) ,選取您慣用的上架方法,然後依照該類型的指示進行。

上架非持久性虛擬桌面基礎結構 (VDI) 裝置

用於端點的 Defender 支援非持續性的 VDI 會話上架。

上架 VDIs 時,可能會有相關的難題。 以下是此案例的常見挑戰:

  • 立即上架短暫的會話,在實際布建之前,必須先將架到終結點。
  • 裝置名稱通常會針對新的會話重複使用。

在端點入口網站中,VDI 裝置可以出現為下列其中一種:

  • 每個裝置單一專案。

    注意

    在此情況下,您必須在建立會話時設定 相同 的裝置名稱,例如使用無人值守的回應檔案。

  • 每個裝置的多個專案-每個會話一個。

下列步驟會引導您完成上架 VDI 裝置,並將會反白顯示單一和多個專案的步驟。

警告

在資源設定較低的環境中,VDI 引導程式可能會降低端點感應器上架的 Defender 速度。

Windows 10 或 Windows 11 或 Windows server 2019 或 Windows server 2022

  1. 從服務上架嚮導中,開啟 .zip 檔案 (WindowsDefenderATPOnboardingPackage.zip) 的 VDI 設定套件。 您也可以從Microsoft 365 Defender 入口網站取得套件:

    1. 在功能窗格中,選取 [設定 > 端點 > 裝置管理 上 > ]。

    2. 選取作業系統。

    3. 在 [ 部署方法 ] 欄位中,選取 非持續端點的 VDI 上架腳本

    4. 按一下 [ 下載套件 ] 並儲存 .zip 檔案。

  2. 將 WindowsDefenderATPOnboardingPackage 資料夾中 .zip 解壓縮的檔案,複製到該路徑底下的黃金/主映射中 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup

  3. 將 WindowsDefenderATPOnboardingPackage 資料夾中 .zip 解壓縮的檔案,複製到該路徑底下的黃金/主映射中 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup

    1. 如果您要為每個裝置執行多個專案-一個用於每個會話,請複製 WindowsDefenderATPOnboardingScript .cmd。
    2. 如果您要針對每個裝置實施單一專案,請同時複製 Onboard-NonPersistentMachine.ps1 和 WindowsDefenderATPOnboardingScript。

    注意

    如果您看不到 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 資料夾,它可能是隱藏的。 您必須選擇 [從檔案瀏覽器 顯示隱藏的檔案和資料夾 ] 選項。

  4. 開啟 [本機群組原則編輯器] 視窗,並流覽至 [電腦 設定 > Windows 設定 > 腳本 > 啟動]。

    注意

    網域群組原則也可用於上架非持續性的 VDI 裝置。

  5. 請根據您想要執行的方法,遵循適當的步驟:

    • 針對每個裝置的單一專案:

      選取 [ PowerShell 腳本] 索引標籤,然後按一下 [新增 (] Windows Explorer 會直接開啟您在先前複製上架腳本的路徑中) 。 流覽至上架 PowerShell script Onboard-NonPersistentMachine.ps1 。 不需要指定另一個檔案,因為會自動觸發該檔案。

    • 針對每個裝置的多個專案:

      選取 [腳本] 索引標籤,然後按一下 [新增 (] Windows Explorer 會直接開啟您在先前複製上架腳本的路徑中) 。 流覽至上架 bash 腳本 WindowsDefenderATPOnboardingScript.cmd

  6. 測試您的解決方案:

    1. 建立具有一個裝置的集區。
    2. 登入裝置。
    3. 從裝置登出。
    4. 使用其他使用者登入裝置。
    5. 請根據您想要執行的方法,遵循適當的步驟:
      • 針對每個裝置的單一專案:請檢查 Microsoft 365 Defender 入口網站中的一個專案。
      • 針對每個裝置的多個專案:請檢查 Microsoft 365 Defender 入口網站中的多個專案。
  7. 按一下功能窗格上的 [ 裝置] 清單

  8. 輸入裝置名稱並選取 [ 裝置 ] 作為搜尋類型,即可使用搜尋功能。

若為下層 SKUs (Windows Server 2008 r2/2012 r2/2016)

注意

只有當瞄準是針對每個裝置建立單一專案時,才會與下列登錄相關。

  1. 將登錄值設定為:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
    "VDI"="NonPersistent"
    

    或者使用命令列:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
    
  2. 遵循 伺服器上架程式。

更新非持久性虛擬桌面基礎結構 (VDI) 影像

建議的最佳作法是使用離線服務工具來修補黃金/主映射。

例如,您可以使用下列命令來安裝更新,讓影像保持離線狀態:

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

如需 DISM 命令和離線服務的詳細資訊,請參閱下列文章:

如果離線服務不是非持續性的 VDI 環境可行的選項,應採取下列步驟,以確保一致性及感應器的健全狀況:

  1. 在啟動線上服務或修補的主映射後,請執行脫離腳本,以關閉端點感應器的 Defender。 如需詳細資訊,請參閱 使用本機腳本的下架裝置

  2. 在 CMD 視窗中執行下列命令,以確定感應器已停止:

    sc query sense
    
  3. 視需要為影像服務。

  4. 使用下列 PsExec.exe (執行下列命令 https://download.sysinternals.com/files/PSTools.zip) ,以清理自啟動後,感應器可能已積累的網路資料夾內容:

    PsExec.exe -s cmd.exe
    cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
    del *.* /f /s /q
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    exit
    
  5. 照常重新封裝黃金/主映射。