Konfigurace Microsoft Defender Antivirové ochrany na vzdálené ploše nebo v prostředí infrastruktury virtuálních klientských počítačů

Platí pro:

• Antivirová ochrana v Microsoft Defenderu
• Defender for Endpoint – plán 1
• Defender for Endpoint Plan 2

Platformy

• Windows

Tento článek je určený jenom pro zákazníky, kteří používají funkce Microsoft Defender Antivirus. Pokud máte Microsoft Defender for Endpoint (která zahrnuje Microsoft Defender Antivirus společně s dalšími funkcemi ochrany zařízení), projděte si také postup onboardingu zařízení infrastruktury virtuálních klientských počítačů (VDI) v Microsoft Defender XDR.

Microsoft Defender Antivirus můžete použít ve vzdálené ploše (RDS) nebo v prostředí infrastruktury virtuálních klientských počítačů (VDI). Podle pokynů v tomto článku můžete nakonfigurovat aktualizace tak, aby se stahovaly přímo do prostředí Vzdálené plochy nebo VDI, když se uživatel přihlásí.

Tato příručka popisuje, jak na virtuálních počítačích nakonfigurovat Microsoft Defender Antivirus pro zajištění optimální ochrany a výkonu, včetně následujících:

• Nastavení vyhrazené sdílené složky VDI pro aktualizace bezpečnostních funkcí
• Randomize scheduled scans
• Použití rychlých kontrol
• Zabránit oznámením
• Zakázání kontrol po každé aktualizaci
• Kontrola zastaralých počítačů nebo počítačů, které byly chvíli offline
• Použití vyloučení

Důležité

I když je VDI možné hostovat na Windows Server 2012 nebo Windows Server 2016, virtuální počítače by měly mít minimálně Windows 10 verze 1607 kvůli zvýšeným technologiím ochrany a funkcím, které nejsou dostupné v dřívějších verzích Windows.

Nastavení vyhrazené sdílené složky VDI pro analýzu zabezpečení

V Windows 10 verze 1903 společnost Microsoft zavedla funkci sdílených inteligentních informací zabezpečení, která přesměruje rozbalování stažených aktualizací bezpečnostních informací na hostitelský počítač. Tato metoda snižuje využití prostředků procesoru, disku a paměti na jednotlivých počítačích. Sdílené informace o zabezpečení teď fungují na Windows 10 verze 1703 a novějších. Tuto funkci můžete nastavit pomocí Zásady skupiny nebo PowerShellu.

Zásady skupiny

1. Na počítači pro správu Zásady skupiny otevřete konzolu pro správu Zásady skupiny, klikněte pravým tlačítkem na Zásady skupiny Objekt, který chcete nakonfigurovat, a pak vyberte Upravit.

2. V Editor správy Zásady skupiny přejděte na Konfigurace počítače.

3. Vyberte Šablony pro správu. Rozbalte strom na Součásti> systému Windows Microsoft Defender Aktualizace Antivirová analýza>zabezpečení.

4. Poklikejte na Definovat umístění analýzy zabezpečení pro klienty VDI a pak nastavte možnost na Povoleno.

   Automaticky se zobrazí pole.

5. Enter \\<Windows File Server shared location\>\wdav-update (nápovědu k této hodnotě najdete v tématu Stažení a rozbalení).

6. Vyberte OK a pak nasaďte objekt Zásady skupiny na virtuální počítače, které chcete testovat.

PowerShell

1. Na každém zařízení VpS nebo VDI tuto funkci povolte pomocí následující rutiny:

   Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update

2. Nasdílejte aktualizaci tak, jak byste normálně nasdíleli zásady konfigurace založené na PowerShellu na virtuální počítače. (Viz část Stáhnout a rozbalit v tomto článku. Vyhledejte položku sdíleného umístění .)

Stažení a rozbalení nejnovějších aktualizací

Teď můžete začít stahovat a instalovat nové aktualizace. Vytvořili jsme pro vás níže ukázkový powershellový skript. Tento skript je nejjednodušší způsob, jak stáhnout nové aktualizace a připravit je pro virtuální počítače. Skript byste pak měli nastavit tak, aby se spouštěl v určitém čase na počítači pro správu pomocí naplánované úlohy (nebo pokud jste obeznámeni s používáním skriptů PowerShellu v Azure, Intune nebo SCCM, můžete použít i tyto skripty).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Naplánovanou úlohu můžete nastavit tak, aby se spouštěla jednou denně, aby při každém stažení a rozbalení balíčku obdržely virtuální počítače novou aktualizaci. Doporučujeme začít s jednou denně, ale měli byste experimentovat se zvýšením nebo snížením četnosti, abyste porozuměli dopadu.

Balíčky bezpečnostních informací se obvykle publikují jednou za tři až čtyři hodiny. Nastavení frekvence kratší než čtyři hodiny se nedoporučuje, protože se tím bez výhod zvyšuje síťová režie na počítači pro správu.

Můžete také nastavit jeden server nebo počítač tak, aby aktualizace načítá jménem virtuálních počítačů v intervalu a umístil je do sdílené složky, aby je bylo možné používat. Tato konfigurace je možná v případě, že zařízení mají ke sdílené složce přístup ke sdílení a čtení (oprávnění NTFS), aby mohly aktualizace získat. Chcete-li nastavit tuto konfiguraci, postupujte takto:

1. Vytvořte sdílenou složku SMB/CIFS.

2. Pomocí následujícího příkladu vytvořte sdílenou složku s následujícími oprávněními ke sdílené složce.

   
   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   
   

   Poznámka

   Přidá se oprávnění NTFS pro Authenticated Users:Read:.

   V tomto příkladu je \\WindowsFileServer.fqdn\mdatp$\wdav-updatesdílená složka .

Nastavení naplánované úlohy pro spuštění skriptu PowerShellu

1. Na počítači pro správu otevřete nabídku Start a zadejte Task Scheduler. Ve výsledcích vyberte Plánovač úloh a pak na bočním panelu vyberte Vytvořit úlohu .

2. Zadejte název jako Security intelligence unpacker.

3. Na kartě Aktivační událost vyberte Nový...>Denně a vyberte OK.

4. Na kartě Akce vyberte Nový....

5. Zadejte PowerShell do pole Program/Skript .

6. Do pole Přidat argumenty zadejte -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1a pak vyberte OK.

7. Podle potřeby nakonfigurujte všechna další nastavení.

8. Výběrem OK naplánovanou úlohu uložte.

Pokud chcete aktualizaci spustit ručně, klikněte pravým tlačítkem myši na úlohu a pak vyberte Spustit.

Ruční stažení a rozbalení

Pokud chcete, aby se všechno dělalo ručně, tady je postup replikace chování skriptu:

1. V kořenovém adresáři systému vytvořte novou složku s názvem pro wdav_update ukládání aktualizací inteligentních funkcí. Vytvořte například složku c:\wdav_update.

2. Vytvořte podsložku wdav_update s názvem GUID, například {00000000-0000-0000-0000-000000000000}

   Tady je příklad: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   Poznámka

   Skript nastavíme tak, aby posledních 12 číslic GUID bylo rok, měsíc, den a čas stažení souboru, aby se pokaždé vytvořila nová složka. Můžete to změnit tak, aby se soubor pokaždé stáhl do stejné složky.

3. Stáhněte si balíček bezpečnostních informací z https://www.microsoft.com/wdsi/definitions do složky GUID. Soubor by měl mít název mpam-fe.exe.

4. Otevřete okno příkazového řádku a přejděte do složky GUID, kterou jste vytvořili. /X K extrahování souborů použijte příkaz extrakce. Například mpam-fe.exe /X.

   Poznámka

   Virtuální počítače aktualizovaný balíček převezmou vždy, když se vytvoří nová složka GUID s extrahovaným balíčkem aktualizace nebo když se stávající složka aktualizuje novým extrahovaným balíčkem.

Randomize scheduled scans

Kromě ochrany a kontroly v reálném čase se spouštějí naplánované kontroly.

Čas spuštění samotné kontroly je stále založený na zásadách naplánované kontroly (ScheduleDay, ScheduleTime a ScheduleQuickScanTime). Randomizace způsobí, že Microsoft Defender Antivirus spustí kontrolu na každém počítači během čtyř hodin od času nastaveného pro naplánovanou kontrolu.

Další možnosti konfigurace dostupné pro naplánované kontroly najdete v tématu Plánování kontrol .

Použití rychlých kontrol

Můžete zadat typ kontroly, která se má provést během naplánované kontroly. Preferovaným přístupem jsou rychlé kontroly, protože jsou navržené tak, aby se hledaly na všech místech, kde se musí nacházet malware, aby byl aktivní. Následující postup popisuje, jak nastavit rychlé kontroly pomocí Zásady skupiny.

1. V Zásady skupiny Editor přejděte na Šablony pro> správuSoučásti> systému Windows Microsoft Defender Antivirová>kontrola.

2. Vyberte Zadat typ kontroly, který se má použít pro naplánovanou kontrolu , a pak upravte nastavení zásad.

3. Nastavte zásadu na Povoleno a pak v části Možnosti vyberte Rychlá kontrola.

4. Vyberte OK.

5. Objekt zásad skupiny nasaďte jako obvykle.

Zabránit oznámením

Někdy se Microsoft Defender antivirová oznámení odesílají do více relací nebo se v některých relacích uchovávají. Abyste se vyhnuli nejasnostem uživatelů, můžete uživatelské rozhraní antivirové ochrany Microsoft Defender uzamknout. Následující postup popisuje, jak potlačit oznámení pomocí Zásady skupiny.

1. V Zásady skupiny Editor přejděte na Součásti >systému WindowsMicrosoft Defender Klientské rozhraní antivirového>programu.

2. Vyberte Potlačit všechna oznámení a pak upravte nastavení zásad.

3. Nastavte zásadu na Povoleno a pak vyberte OK.

4. Objekt zásad skupiny nasaďte jako obvykle.

Potlačování oznámení zabrání zobrazení oznámení z Microsoft Defender Antivirové ochrany při provádění kontrol nebo nápravných akcí. Pokud se ale zjistí a zastaví útok, uvidí váš tým pro operace zabezpečení výsledky kontroly. Upozornění, například upozornění na počáteční přístup, se vygenerují a zobrazí se na portálu Microsoft Defender.

Zakázání kontrol po aktualizaci

Zakázání kontroly po aktualizaci zabrání provedení kontroly po přijetí aktualizace. Toto nastavení můžete použít při vytváření základní image, pokud jste také spustili rychlou kontrolu. Tímto způsobem můžete zabránit tomu, aby nově aktualizovaný virtuální počítač znovu provedl kontrolu (protože jste ho už naskenovali při vytváření základní image).

Důležité

Spouštění kontrol po aktualizaci pomáhá zajistit, aby virtuální počítače byly chráněné nejnovějšími aktualizacemi bezpečnostních informací. Zakázáním této možnosti se sníží úroveň ochrany virtuálních počítačů a měla by se použít jenom při prvním vytvoření nebo nasazení základní image.

1. V Zásady skupiny Editor přejděte do části Součásti> systému Windows Microsoft Defender Antivirus>Security Intelligence Aktualizace.

2. Vyberte Zapnout kontrolu po aktualizaci bezpečnostních informací a pak upravte nastavení zásad.

3. Nastavte zásadu na Zakázáno.

4. Vyberte OK.

5. Objekt zásad skupiny nasaďte jako obvykle.

Tato zásada zabraňuje spuštění kontroly okamžitě po aktualizaci.

Zakázat možnost ScanOnlyIfIdle

Pomocí následující rutiny můžete zastavit rychlou nebo naplánovanou kontrolu vždy, když je zařízení v pasivním režimu nečinné.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Tuto možnost můžete v Microsoft Defender Antivirové ochraně zakázat ScanOnlyIfIdle také podle konfigurace prostřednictvím místních zásad skupiny nebo zásad skupiny domény. Toto nastavení zabraňuje významným kolizím procesoru v prostředích s vysokou hustotou.

Další informace najdete v tématu Spuštění naplánované kontroly pouze v případě, že je počítač zapnutý, ale nepoužívá se.

Kontrola virtuálních počítačů, které byly offline

1. V Zásady skupiny Editor přejděte na Součásti> systému Windows Microsoft Defender Antivirová>kontrola.

2. Vyberte Zapnout rychlou kontrolu pro dochytávání a pak upravte nastavení zásad.

3. Nastavte zásadu na Povoleno.

4. Vyberte OK.

5. Nasaďte Zásady skupiny Object jako obvykle.

Tato zásada vynutí kontrolu, pokud virtuální počítač zmeškal dvě nebo více po sobě jdoucích plánovaných kontrol.

Povolení režimu bezhlavé uživatelské rozhraní

1. V Zásady skupiny Editor přejděte na Součásti >systému WindowsMicrosoft Defender Klientské rozhraní antivirového>programu.

2. Vyberte Povolit režim bezhlavého uživatelského rozhraní a upravte zásadu.

3. Nastavte zásadu na Povoleno.

4. Vyberte OK.

5. Nasaďte Zásady skupiny Object jako obvykle.

Tato zásada skryje celé uživatelské rozhraní Microsoft Defender Antivirové ochrany před koncovými uživateli ve vaší organizaci.

Spuštění naplánované úlohy Údržba mezipaměti v programu Windows Defender

Optimalizujte naplánovanou úlohu Údržba mezipaměti v programu Windows Defender pro trvalá nebo trvalá prostředí VDI. Před zapečetěním spusťte tuto úlohu na hlavní imagi.

1. Otevřete konzolu MMC plánovače úloh (taskschd.msc).

2. RozbalteKnihovna> plánovače úlohMicrosoft> Windows >Windows Defender a potom klikněte pravým tlačítkem na Údržba mezipaměti v programu Windows Defender.

3. Vyberte Spustit a nechte naplánovanou úlohu dokončit.

Vyloučení

Pokud si myslíte, že potřebujete přidat vyloučení, přečtěte si téma Správa vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus.

Viz také

• Blog technické komunity: Konfigurace antivirové ochrany Microsoft Defender pro trvalé počítače VDI
• Fóra TechNetu pro Vzdálenou plochu a VDI
• Skript PowerShellu SignatureDownloadCustomTask

Pokud hledáte informace o defenderu for Endpoint na platformách jiných než Windows, projděte si následující zdroje informací:

• Microsoft Defender for Endpoint v systému Mac
• Microsoft Defender for Endpoint v systému Linux
• Konfigurace funkcí Defender for Endpoint v Androidu
• Konfigurace funkcí Microsoft Defender for Endpoint v iOSu

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.