إلحاق أجهزة البنية الأساسية لسطح المكتب الظاهري (VDI) غير المستمرة في Microsoft Defender XDR

البنية الأساسية لسطح المكتب الظاهري (VDI) هي مفهوم البنية الأساسية تكنولوجيا المعلومات الذي يتيح للمستخدمين النهائيين الوصول إلى مثيلات أجهزة سطح المكتب الظاهرية للمؤسسة من أي جهاز تقريبا (مثل الكمبيوتر الشخصي أو الهاتف الذكي أو الكمبيوتر اللوحي)، ما يلغي الحاجة إلى المؤسسة لتزويد المستخدمين بأجهزة فعلية. يؤدي استخدام أجهزة VDI إلى تقليل التكلفة لأن أقسام تكنولوجيا المعلومات لم تعد مسؤولة عن إدارة نقاط النهاية الفعلية وإصلاحها واستبدالها. يمكن للمستخدمين المعتمدين الوصول إلى نفس خوادم الشركة والملفات والتطبيقات والخدمات من أي جهاز معتمد من خلال عميل سطح مكتب آمن أو مستعرض.

مثل أي نظام آخر في بيئة تكنولوجيا المعلومات، يجب أن يكون لهذه أيضا حل الكشف عن نقطة النهاية والاستجابة لها (EDR) ومكافحة الفيروسات للحماية من التهديدات والهجمات المتقدمة.

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR
• أجهزة البنية الأساسية لسطح المكتب الظاهري (VDI)
• Windows 10، Windows 11، Windows Server 2019، Windows Server 2022، Windows Server 2008R2/2012R2/2016

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

ملاحظة

VDI الدائم - يتم التعامل مع إلحاق جهاز VDI ثابت في Microsoft Defender لنقطة النهاية بنفس الطريقة التي تقوم بها بإلحاق جهاز فعلي، مثل سطح المكتب أو الكمبيوتر المحمول. يمكن استخدام نهج المجموعة Microsoft Configuration Manager وأساليب أخرى لإلحاق جهاز ثابت. في مدخل Microsoft Defender، (https://security.microsoft.com) ضمن الإعداد، حدد أسلوب الإلحاق المفضل لديك، واتبع الإرشادات الخاصة بهذا النوع. لمزيد من المعلومات، راجع إلحاق عميل Windows.

إلحاق أجهزة البنية الأساسية لسطح المكتب الظاهري (VDI) غير المستمرة

يدعم Defender لنقطة النهاية إعداد جلسة VDI غير المستمرة.

قد تكون هناك تحديات مرتبطة عند إعداد مثيلات VDI. فيما يلي تحديات نموذجية لهذا السيناريو:

• الإعداد المبكر الفوري لجلسة قصيرة الأجل، والتي يجب إلحاقها ب Defender لنقطة النهاية قبل التوفير الفعلي.
• عادة ما تتم إعادة استخدام اسم الجهاز لجلسات العمل الجديدة.

في بيئة VDI، يمكن أن يكون لمثيلات VDI عمر قصير. يمكن أن تظهر أجهزة VDI في مدخل Microsoft Defender إما كإدخالات مفردة لكل مثيل VDI أو إدخالات متعددة لكل جهاز.

• إدخال واحد لكل مثيل VDI. إذا تم إلحاق مثيل VDI بالفعل Microsoft Defender لنقطة النهاية، وفي مرحلة ما تم حذفه، ثم إعادة إنشائه بنفس اسم المضيف، فلن يتم إنشاء كائن جديد يمثل مثيل VDI هذا في المدخل.

  ملاحظة

  في هذه الحالة، يجب تكوين نفس اسم الجهاز عند إنشاء جلسة العمل، على سبيل المثال باستخدام ملف إجابة غير مراقب.

• إدخالات متعددة لكل جهاز - واحد لكل مثيل VDI.

هام

إذا كنت تقوم بنشر VDIs غير المستمرة من خلال تقنية الاستنساخ، فتأكد من عدم إلحاق الأجهزة الظاهرية للقالب الداخلي ب Defender لنقطة النهاية. هذه التوصية هي تجنب إلحاق الأجهزة الظاهرية المستنسخة بنفس المستشعر المستخدم مثل الأجهزة الظاهرية للقالب، مما قد يمنع الأجهزة الظاهرية من الظهور كإدخالات جديدة في قائمة الأجهزة.

ترشدك الخطوات التالية خلال إلحاق أجهزة VDI وتمييز الخطوات للإدخالات الفردية والمتعددة.

تحذير

بالنسبة للبيئات التي توجد فيها تكوينات موارد منخفضة، قد يؤدي إجراء تمهيد VDI إلى إبطاء إعداد أداة استشعار Defender لنقطة النهاية.

خطوات الإلحاق

ملاحظة

يجب إعداد Windows Server 2016 وWindows Server 2012 R2 عن طريق تطبيق حزمة التثبيت أولا باستخدام الإرشادات الموجودة في خوادم Windows المإلحاقة لكي تعمل هذه الميزة.

1. افتح ملف .zip حزمة تكوين VDI (WindowsDefenderATPOnboardingPackage.zip) الذي قمت بتنزيله من معالج إلحاق الخدمة. يمكنك أيضا الحصول على الحزمة من مدخل Microsoft Defender:

   1. في جزء التنقل، حدد Settings>Endpoints>Device management>Onboarding.

   2. حدد نظام التشغيل.

   3. في حقل أسلوب النشر ، حدد VDI إلحاق البرامج النصية لنقاط النهاية غير المستمرة.

   4. انقر فوق تنزيل الحزمة واحفظ ملف .zip.

2. انسخ الملفات من مجلد WindowsDefenderATPOnboardingPackage المستخرج من ملف .zip إلى الصورة الذهبية/الأساسية أسفل المسار C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

   1. إذا كنت تقوم بتنفيذ إدخالات متعددة لكل جهاز - واحد لكل جلسة عمل، فانسخ WindowsDefenderATPOnboardingScript.cmd.

   2. إذا كنت تقوم بتنفيذ إدخال واحد لكل جهاز، فانسخ كل من Onboard-NonPersistentMachine.ps1 WindowsDefenderATPOnboardingScript.cmd.

   ملاحظة

   إذا لم تتمكن من C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup رؤية المجلد، فقد يكون مخفيا. ستحتاج إلى اختيار الخيار إظهار الملفات والمجلدات المخفية من مستكشف الملفات.

3. افتح نافذة local نهج المجموعة المحرر وانتقل إلى Computer Configuration>Windows Settings Scripts>>Startup.

   ملاحظة

   يمكن أيضا استخدام نهج المجموعة المجال لإلحاق أجهزة VDI غير المستمرة.

4. اعتمادا على الطريقة التي تريد تنفيذها، اتبع الخطوات المناسبة:

   • لإدخال واحد لكل جهاز:

     حدد علامة التبويب PowerShell Scripts ، ثم حدد Add (يفتح مستكشف Windows مباشرة في المسار حيث نسخت البرنامج النصي للإلحاق سابقا). انتقل إلى إلحاق برنامج PowerShell النصي Onboard-NonPersistentMachine.ps1. ليست هناك حاجة لتحديد الملف الآخر، حيث يتم تشغيله تلقائيا.

   • لإدخالات متعددة لكل جهاز:

     حدد علامة التبويب البرامج النصية ، ثم انقر فوق إضافة (يفتح مستكشف Windows مباشرة في المسار حيث نسخت البرنامج النصي للإلحاق سابقا). انتقل إلى البرنامج النصي WindowsDefenderATPOnboardingScript.cmdbash للإلحاق .

5. اختبر الحل الخاص بك:

   1. الإنشاء تجمع مع جهاز واحد.

   2. تسجيل الدخول إلى الجهاز.

   3. تسجيل الخروج من الجهاز.

   4. سجل الدخول إلى الجهاز مع مستخدم آخر.

   5. اعتمادا على الطريقة التي تريد تنفيذها، اتبع الخطوات المناسبة:

      • لإدخال واحد لكل جهاز: تحقق من إدخال واحد فقط في مدخل Microsoft Defender.
      • لإدخالات متعددة لكل جهاز: تحقق من إدخالات متعددة في مدخل Microsoft Defender.

6. انقر فوق قائمة الأجهزة في جزء التنقل.

7. استخدم وظيفة البحث عن طريق إدخال اسم الجهاز وحدد الجهاز كنوع بحث.

لوحدات SKU ذات المستوى الأدنى (Windows Server 2008 R2)

ملاحظة

تنطبق هذه الإرشادات لإصدارات خادم Windows الأخرى أيضا إذا كنت تقوم بتشغيل Microsoft Defender لنقطة النهاية السابقة ل Windows Server 2016 وWindows Server 2012 R2 الذي يتطلب MMA. توجد إرشادات الترحيل إلى الحل الموحد الجديد في سيناريوهات ترحيل الخادم في Microsoft Defender لنقطة النهاية.

لا يكون السجل التالي ذا صلة إلا عندما يكون الهدف هو تحقيق "إدخال واحد لكل جهاز".

1. تعيين قيمة التسجيل إلى:

   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
   "VDI"="NonPersistent"
   

   أو استخدام سطر الأوامر:

   reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
   

2. اتبع عملية إلحاق الخادم.

تحديث صور البنية الأساسية لسطح المكتب الظاهري (VDI) (ثابتة أو غير ثابتة)

مع القدرة على نشر التحديثات بسهولة على الأجهزة الظاهرية التي تعمل في VDIs، قمنا بتقصير هذا الدليل للتركيز على كيفية الحصول على التحديثات على أجهزتك بسرعة وسهولة. لم تعد بحاجة إلى إنشاء صور ذهبية وختمها بشكل دوري، حيث يتم توسيع التحديثات إلى بتات المكون الخاصة بها على الخادم المضيف ثم تنزيلها مباشرة إلى الجهاز الظاهري عند تشغيله.

إذا قمت بإلحاق الصورة الأساسية لبيئة VDI الخاصة بك (خدمة SENSE قيد التشغيل)، فيجب عليك إلغاء إلحاق بعض البيانات ومسحها قبل إعادة الصورة إلى الإنتاج.

1. إلغاء إلحاق الجهاز.

2. تأكد من إيقاف المستشعر عن طريق تشغيل الأمر التالي في نافذة CMD:

   sc query sense
   

3. تشغيل الأوامر التالية في نافذة CMD::

   del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
   exit
   

هل تستخدم جهة خارجية ل VDIs؟

إذا كنت تقوم بنشر VDIs غير المستمرة من خلال الاستنساخ الفوري ل VMware أو تقنيات مشابهة، فتأكد من عدم إلحاق الأجهزة الظاهرية للقالب الداخلي والأجهزة الظاهرية المتماثلة ب Defender لنقطة النهاية. إذا قمت بإلحاق الأجهزة باستخدام أسلوب الإدخال الفردي، فقد يكون للنسخ الفورية التي يتم توفيرها من الأجهزة الظاهرية المإلحاقة نفس senseGuid، والتي يمكن أن تمنع إدراج إدخال جديد في طريقة عرض Device Inventory (في مدخل Microsoft Defender، اختر Assets>Devices).

إذا تم إلحاق الصورة الأساسية أو الجهاز الظاهري للقالب أو النسخة المتماثلة إلى Defender لنقطة النهاية باستخدام أسلوب الإدخال الفردي، فسيوقف Defender من إنشاء إدخالات ل VDIs الجديدة غير المستمرة في مدخل Microsoft Defender.

تواصل مع موردي الجهات الخارجية للحصول على مزيد من المساعدة.

إعدادات التكوين الموصى بها الأخرى

بعد إلحاق الأجهزة بالخدمة، من المهم الاستفادة من إمكانات الحماية من التهديدات المضمنة من خلال تمكينها بإعدادات التكوين الموصى بها التالية.

تكوين حماية الجيل التالي

يوصى بإعدادات التكوين التالية:

خدمة حماية السحابة

• تشغيل الحماية المقدمة من السحابة: نعم
• مستوى الحماية المقدمة من السحابة: لم يتم تكوينه
• مهلة Defender Cloud الممتدة بالثوان: 20

الاستثناءات

• يرجى مراجعة توصيات استبعاد برنامج الحماية من الفيروسات FXLogix هنا: المتطلبات الأساسية ل FSLogix.

الحماية في الوقت الحقيقي

• تشغيل جميع الإعدادات وتعيين لمراقبة جميع الملفات

الاصلاح

• عدد الأيام التي يجب فيها الاحتفاظ بالبرامج الضارة المعزولة: 30
• إرسال موافقة العينات: إرسال جميع العينات تلقائيا
• الإجراءات التي يجب اتخاذها على التطبيقات التي يحتمل أن تكون غير مرغوب فيها: تمكين
• إجراءات التهديدات المكتشفة:
  • تهديد منخفض: تنظيف
  • تهديد معتدل، تهديد عال، تهديد شديد: العزل

المسح الضوئي

• فحص الملفات المؤرشفة: نعم
• استخدام أولوية منخفضة لوحدة المعالجة المركزية لإجراء عمليات الفحص المجدولة: لم يتم تكوينها
• تعطيل الفحص الكامل للحاق بالركب: غير مكون
• تعطيل الفحص السريع للحاق: لم يتم تكوينه
• حد استخدام وحدة المعالجة المركزية لكل فحص: 50
• مسح محركات أقراص الشبكة المعينة ضوئيا أثناء الفحص الكامل: غير مكون
• تشغيل الفحص السريع اليومي في: 12 مساء
• نوع الفحص: لم يتم تكوينه
• يوم من الأسبوع لتشغيل الفحص المجدول: غير مكون
• وقت اليوم لتشغيل فحص مجدول: غير مكون
• التحقق من وجود تحديثات التوقيع قبل تشغيل الفحص: نعم

التحديثات

• أدخل عدد المرات للتحقق من وجود تحديثات التحليل الذكي للأمان: 8
• اترك الإعدادات الأخرى في الحالة الافتراضية

تجربة المستخدم

• السماح للمستخدم بالوصول إلى تطبيق Microsoft Defender: لم يتم تكوينه

تمكين الحماية من العبث

• تمكين الحماية من العبث لمنع تعطيل Microsoft Defender: تمكين

قواعد تقليل الأجزاء المعرضة للهجوم

• تمكين حماية الشبكة: وضع الاختبار
• طلب SmartScreen ل Microsoft Edge: نعم
• حظر الوصول إلى الموقع الضار: نعم
• حظر تنزيل الملف الذي لم يتم التحقق من هوية المستخدم: نعم

قواعد تقليل الأجزاء المعرضة للهجوم

• تكوين جميع القواعد المتوفرة ل Audit.

ملاحظة

قد يؤدي حظر هذه الأنشطة إلى مقاطعة العمليات التجارية المشروعة. أفضل نهج هو تعيين كل شيء للتدقيق، وتحديد تلك التي تكون آمنة لتشغيلها، ثم تمكين تلك الإعدادات على نقاط النهاية التي لا تحتوي على اكتشافات إيجابية خاطئة.

المواضيع ذات الصلة

• أجهزة Windows باستخدام نهج المجموعة
• إلحاق أجهزة Windows باستخدام Microsoft Configuration Manager
• أجهزة Windows باستخدام أدوات الأجهزة المحمولة إدارة الجهاز المحمول
• أجهزة Windows باستخدام برنامج نصي محلي
• استكشاف مشكلات إعداد Microsoft Defender لنقطة النهاية وإصلاحها

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.