تكوين برنامج الحماية من الفيروسات Microsoft Defender على سطح مكتب بعيد أو بيئة بنية أساسية لسطح المكتب الظاهري

ينطبق على:

• برنامج الحماية من الفيروسات من Microsoft Defender
• Defender for Endpoint الخطة 1
• خطة Defender لنقطة النهاية 2

الأنظمة الأساسية

• بالنسبة لنظام التشغيل

تم تصميم هذه المقالة للعملاء الذين يستخدمون قدرات مكافحة الفيروسات Microsoft Defender فقط. إذا كان لديك Microsoft Defender لنقطة النهاية (والتي تتضمن Microsoft Defender مكافحة الفيروسات إلى جانب قدرات حماية الأجهزة الأخرى)، فانتقل أيضا إلى أجهزة البنية الأساسية لسطح المكتب الظاهري غير المستمرة (VDI) في Microsoft Defender XDR.

يمكنك استخدام برنامج الحماية من الفيروسات Microsoft Defender في بيئة سطح مكتب بعيد (RDS) أو بيئة البنية الأساسية لسطح المكتب الظاهري (VDI) غير المستمرة. باتباع الإرشادات الواردة في هذه المقالة، يمكنك تكوين التحديثات للتنزيل مباشرة إلى بيئات RDS أو VDI عند تسجيل دخول المستخدم.

يصف هذا الدليل كيفية تكوين برنامج الحماية من الفيروسات Microsoft Defender على الأجهزة الظاهرية للحصول على الحماية والأداء الأمثل، بما في ذلك كيفية:

• إعداد مشاركة ملف VDI مخصصة لتحديثات التحليل الذكي للأمان
• عشوائية عمليات الفحص المجدولة
• استخدام عمليات الفحص السريع
• منع الإعلامات
• تعطيل عمليات الفحص من الحدوث بعد كل تحديث
• مسح الأجهزة أو الأجهزة غير المحدثة التي كانت غير متصلة لفترة من الوقت
• تطبيق الاستثناءات

هام

على الرغم من إمكانية استضافة VDI على Windows Server 2012 أو Windows Server 2016، يجب تشغيل الأجهزة الظاهرية (VMs) Windows 10، الإصدار 1607 كحد أدنى، بسبب زيادة تقنيات الحماية والميزات غير المتوفرة في الإصدارات السابقة من Windows.

إعداد مشاركة ملف VDI مخصصة للتحليل الذكي للأمان

في Windows 10، الإصدار 1903، قدمت Microsoft ميزة التحليل الذكي للأمان المشترك، والتي تزيل تفريغ تحديثات التحليل الذكي للأمان التي تم تنزيلها على جهاز مضيف. يقلل هذا الأسلوب من استخدام موارد وحدة المعالجة المركزية والقرص والذاكرة على الأجهزة الفردية. يعمل التحليل الذكي للأمان المشترك الآن على Windows 10، الإصدار 1703 والإصدارات الأحدث. يمكنك إعداد هذه الإمكانية باستخدام نهج المجموعة أو PowerShell.

نهج المجموعة

1. على كمبيوتر إدارة نهج المجموعة، افتح وحدة تحكم إدارة نهج المجموعة، وانقر بزر الماوس الأيمن فوق عنصر نهج المجموعة الذي تريد تكوينه، ثم حدد تحرير.

2. في المحرر إدارة نهج المجموعة، انتقل إلى تكوين الكمبيوتر.

3. حدد القوالب الإدارية. قم بتوسيع الشجرة إلى مكونات> Windows Microsoft Defenderالتحديثات التحليل الذكي لأمانمكافحة الفيروسات>.

4. انقر نقرا مزدوجا فوق تعريف موقع التحليل الذكي للأمان لعملاء VDI، ثم قم بتعيين الخيار إلى ممكن.

   يظهر حقل تلقائيا.

5. أدخل \\<Windows File Server shared location\>\wdav-update (للحصول على تعليمات حول هذه القيمة، راجع تنزيل وتفريغ الحزمة).

6. حدد موافق، ثم انشر عنصر نهج المجموعة إلى الأجهزة الظاهرية التي تريد اختبارها.

PowerShell

1. على كل جهاز RDS أو VDI، استخدم cmdlet التالي لتمكين الميزة:

   Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update

2. ادفع التحديث كما تفعل عادة لدفع نهج التكوين المستندة إلى PowerShell إلى الأجهزة الظاهرية الخاصة بك. (راجع قسم Download and unpackage في هذه المقالة. ابحث عن إدخال الموقع المشترك .)

تنزيل آخر التحديثات وفك حزمها

يمكنك الآن البدء في تنزيل التحديثات الجديدة وتثبيتها. لقد أنشأنا نموذجا لبرنامج PowerShell النصي لك أدناه. هذا البرنامج النصي هو أسهل طريقة لتنزيل التحديثات الجديدة وجعلها جاهزة للأجهزة الظاهرية الخاصة بك. يجب عليك بعد ذلك تعيين البرنامج النصي للتشغيل في وقت معين على جهاز الإدارة باستخدام مهمة مجدولة (أو، إذا كنت معتادا على استخدام البرامج النصية PowerShell في Azure أو Intune أو SCCM، يمكنك أيضا استخدام هذه البرامج النصية).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

يمكنك تعيين مهمة مجدولة للتشغيل مرة واحدة في اليوم بحيث كلما تم تنزيل الحزمة وفك حزمتها، تتلقى الأجهزة الظاهرية التحديث الجديد. نقترح البدء مرة واحدة في اليوم، ولكن يجب عليك تجربة زيادة أو تقليل التردد لفهم التأثير.

عادة ما يتم نشر حزم معلومات الأمان مرة واحدة كل ثلاث إلى أربع ساعات. لا ينصح بتعيين تردد أقصر من أربع ساعات لأنه يزيد من حمل الشبكة على جهاز الإدارة الخاص بك دون فائدة.

يمكنك أيضا إعداد الخادم أو الجهاز الفردي لإحضار التحديثات نيابة عن الأجهزة الظاهرية في فاصل زمني ووضعها في مشاركة الملف للاستهلاك. هذا التكوين ممكن عندما يكون لدى الأجهزة حق الوصول للمشاركة والقراءة (أذونات NTFS) للمشاركة حتى تتمكن من الحصول على التحديثات. لإعداد هذا التكوين، اتبع الخطوات التالية:

1. إنشاء مشاركة ملف SMB/CIFS.

2. استخدم المثال التالي لإنشاء مشاركة ملف بأذونات المشاركة التالية.

   
   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   
   

   ملاحظة

   تتم إضافة إذن NTFS للمستخدمين المصادق عليهم:Read:.

   على سبيل المثال، مشاركة الملف هي \\WindowsFileServer.fqdn\mdatp$\wdav-update.

تعيين مهمة مجدولة لتشغيل البرنامج النصي PowerShell

1. على جهاز الإدارة، افتح قائمة البدء واكتب Task Scheduler. من النتائج، حدد جدولة المهام ثم حدد إنشاء مهمة... في اللوحة الجانبية.

2. حدد الاسم ك Security intelligence unpacker.

3. في علامة التبويب Trigger ، حدد New...>يوميا، وحدد موافق.

4. في علامة التبويب Actions ، حدد New....

5. حدد PowerShell في حقل البرنامج/البرنامج النصي .

6. في الحقل إضافة وسيطات ، اكتب -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1، ثم حدد موافق.

7. تكوين أي إعدادات أخرى حسب الاقتضاء.

8. حدد موافق لحفظ المهمة المجدولة.

لبدء التحديث يدويا، انقر بزر الماوس الأيمن فوق المهمة، ثم حدد تشغيل.

التنزيل والتفريغ يدويا

إذا كنت تفضل القيام بكل شيء يدويا، فإليك ما يجب فعله لنسخ سلوك البرنامج النصي نسخا متماثلا:

1. أنشئ مجلدا جديدا على جذر النظام يسمى wdav_update لتخزين تحديثات التحليل الذكي. على سبيل المثال، قم بإنشاء المجلد c:\wdav_update.

2. إنشاء مجلد فرعي ضمن wdav_update باسم GUID، مثل {00000000-0000-0000-0000-000000000000}

   فيما يلي مثال: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   ملاحظة

   قمنا بتعيين البرنامج النصي بحيث تكون آخر 12 رقما من GUID هي السنة والشهر واليوم والوقت الذي تم فيه تنزيل الملف بحيث يتم إنشاء مجلد جديد في كل مرة. يمكنك تغيير هذا بحيث يتم تنزيل الملف إلى المجلد نفسه في كل مرة.

3. قم بتنزيل حزمة معلومات الأمان من https://www.microsoft.com/wdsi/definitions إلى مجلد GUID. يجب تسمية mpam-fe.exeالملف .

4. افتح نافذة موجه الأوامر وانتقل إلى مجلد GUID الذي أنشأته. /X استخدم أمر الاستخراج لاستخراج الملفات. على سبيل المثال mpam-fe.exe /X.

   ملاحظة

   ستلتقط الأجهزة الظاهرية الحزمة المحدثة كلما تم إنشاء مجلد GUID جديد باستخدام حزمة تحديث مستخرجة أو كلما تم تحديث مجلد موجود بحزمة مستخرجة جديدة.

عشوائية عمليات الفحص المجدولة

يتم تشغيل عمليات الفحص المجدولة بالإضافة إلى الحماية والمسح الضوئي في الوقت الحقيقي.

لا يزال وقت بدء الفحص نفسه يستند إلى نهج الفحص المجدول (ScheduleDay و ScheduleTime و ScheduleQuickScanTime). يؤدي العشوائية Microsoft Defender برنامج الحماية من الفيروسات إلى بدء مسح ضوئي على كل جهاز خلال نافذة مدتها أربع ساعات من الوقت المحدد للمسح الضوئي المجدول.

راجع جدولة عمليات الفحص للحصول على خيارات التكوين الأخرى المتوفرة لإجراء عمليات الفحص المجدولة.

استخدام عمليات الفحص السريع

يمكنك تحديد نوع الفحص الذي يجب إجراؤه أثناء الفحص المجدول. تعد عمليات الفحص السريع هي النهج المفضل لأنها مصممة للبحث في جميع الأماكن التي يجب أن تكون فيها البرامج الضارة نشطة. يصف الإجراء التالي كيفية إعداد عمليات الفحص السريع باستخدام نهج المجموعة.

1. في نهج المجموعة المحرر، انتقل إلىمكونات Windowsللقوالب الإدارية>>Microsoft Defender فحص مكافحة الفيروسات>.

2. حدد تحديد نوع الفحص المراد استخدامه للمسح الضوئي المجدول ثم قم بتحرير إعداد النهج.

3. قم بتعيين النهج إلى ممكن، ثم ضمن خيارات، حدد فحص سريع.

4. حدد موافق.

5. انشر كائن نهج المجموعة كما تفعل عادة.

منع الإعلامات

في بعض الأحيان، يتم إرسال إعلامات برنامج الحماية من الفيروسات Microsoft Defender أو تستمر عبر جلسات عمل متعددة. للمساعدة في تجنب ارتباك المستخدم، يمكنك تأمين واجهة مستخدم برنامج الحماية من الفيروسات Microsoft Defender. يصف الإجراء التالي كيفية منع الإعلامات باستخدام نهج المجموعة.

1. في نهج المجموعة المحرر، انتقل إلى مكونات> Windows Microsoft Defenderواجهة عميلمكافحة الفيروسات>.

2. حدد منع جميع الإعلامات ثم قم بتحرير إعدادات النهج.

3. قم بتعيين النهج إلى ممكن، ثم حدد موافق.

4. انشر كائن نهج المجموعة كما تفعل عادة.

يمنع منع الإعلامات الإعلامات من Microsoft Defender مكافحة الفيروسات من الظهور عند إجراء عمليات الفحص أو اتخاذ إجراءات المعالجة. ومع ذلك، يرى فريق عمليات الأمان نتائج الفحص إذا تم الكشف عن هجوم وإيقافه. يتم إنشاء تنبيهات، مثل تنبيه وصول أولي، وتظهر في مدخل Microsoft Defender.

تعطيل عمليات الفحص بعد التحديث

يؤدي تعطيل الفحص بعد تحديث إلى منع حدوث فحص بعد تلقي تحديث. يمكنك تطبيق هذا الإعداد عند إنشاء الصورة الأساسية إذا قمت أيضا بتشغيل فحص سريع. بهذه الطريقة، يمكنك منع الجهاز الظاهري المحدث حديثا من إجراء فحص مرة أخرى (كما قمت بالفعل بمسحه ضوئيا عند إنشاء الصورة الأساسية).

هام

يساعد تشغيل عمليات الفحص بعد تحديث على ضمان حماية الأجهزة الظاهرية الخاصة بك بأحدث تحديثات التحليل الذكي للأمان. يؤدي تعطيل هذا الخيار إلى تقليل مستوى حماية الأجهزة الظاهرية الخاصة بك ويجب استخدامه فقط عند إنشاء الصورة الأساسية أو نشرها لأول مرة.

1. في نهج المجموعة المحرر، انتقل إلى مكونات> Windows Microsoft Defenderالتحديثات التحليل الذكي لأمانمكافحة الفيروسات>.

2. حدد تشغيل الفحص بعد تحديث معلومات الأمان ثم قم بتحرير إعداد النهج.

3. تعيين النهج إلى معطل.

4. حدد موافق.

5. انشر كائن نهج المجموعة كما تفعل عادة.

يمنع هذا النهج تشغيل الفحص مباشرة بعد التحديث.

ScanOnlyIfIdle تعطيل الخيار

استخدم cmdlet التالي، لإيقاف فحص سريع أو مجدول كلما كان الجهاز خاملا إذا كان في الوضع السلبي.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

يمكنك أيضا تعطيل الخيار في برنامج الحماية ScanOnlyIfIdle من الفيروسات Microsoft Defender عن طريق التكوين عبر النهج المحلي أو نهج مجموعة المجال. يمنع هذا الإعداد المنافسة الكبيرة على وحدة المعالجة المركزية في البيئات عالية الكثافة.

لمزيد من المعلومات، راجع بدء الفحص المجدول فقط عندما يكون الكمبيوتر قيد التشغيل ولكن ليس قيد الاستخدام.

مسح الأجهزة الظاهرية التي لم تكن متصلة بالإنترنت

1. في نهج المجموعة المحرر، انتقل إلى مكونات> Windows Microsoft Defender Antivirus>Scan.

2. حدد تشغيل متابعة الفحص السريع ثم قم بتحرير إعداد النهج.

3. تعيين النهج إلى ممكن.

4. حدد موافق.

5. انشر كائن نهج المجموعة كما تفعل عادة.

يفرض هذا النهج فحصا إذا فوت الجهاز الظاهري فحصين أو أكثر من عمليات الفحص المجدولة المتتالية.

تمكين وضع واجهة المستخدم بدون رأس

1. في نهج المجموعة المحرر، انتقل إلى مكونات> Windows Microsoft Defenderواجهة عميلمكافحة الفيروسات>.

2. حدد Enable headless UI mode وقم بتحرير النهج.

3. تعيين النهج إلى ممكن.

4. حدد موافق.

5. انشر كائن نهج المجموعة كما تفعل عادة.

يخفي هذا النهج واجهة مستخدم برنامج الحماية من الفيروسات Microsoft Defender بالكامل عن المستخدمين النهائيين في مؤسستك.

تشغيل المهمة المجدولة "صيانة ذاكرة التخزين المؤقت ل Windows Defender"

تحسين المهمة المجدولة "صيانة ذاكرة التخزين المؤقت ل Windows Defender" لبيئات VDI غير الدائمة و/أو الدائمة. قم بتشغيل هذه المهمة على الصورة الرئيسية قبل الإغلاق.

1. افتح Task Scheduler mmc (taskschd.msc).

2. قم بتوسيع مكتبة جدولة> المهامMicrosoft>Windows>Defender، ثم انقر بزر الماوس الأيمن فوق صيانة ذاكرة التخزين المؤقت ل Windows Defender.

3. حدد Run، واترك المهمة المجدولة تنتهي.

الاستثناءات

إذا كنت تعتقد أنك بحاجة إلى إضافة استثناءات، فشاهد إدارة الاستثناءات Microsoft Defender لنقطة النهاية ومكافحة الفيروسات Microsoft Defender.

راجع أيضًا

• مدونة مجتمع التكنولوجيا: تكوين برنامج الحماية من الفيروسات Microsoft Defender لأجهزة VDI غير المستمرة
• منتديات TechNet على خدمات سطح المكتب البعيد وVDI
• البرنامج النصي SignatureDownloadCustomTask PowerShell

إذا كنت تبحث عن معلومات حول Defender لنقطة النهاية على الأنظمة الأساسية غير التابعة ل Windows، فشاهد الموارد التالية:

• Microsoft Defender for Endpoint على Mac
• مشكلات الأداء في Microsoft Defender لنقطة النهاية على Linux
• تكوين Defender for Endpoint على ميزات Android
• تكوين Microsoft Defender for Endpoint على ميزات iOS

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.