Onboarding zařízení infrastruktury virtuálních klientských počítačů (VDI) v Microsoft Defender XDR

  • Článek

Infrastruktura virtuálních klientských počítačů (VDI) je koncept infrastruktury IT, který umožňuje koncovým uživatelům přistupovat k instancím podnikových virtuálních desktopů téměř z libovolného zařízení (například z osobního počítače, smartphonu nebo tabletu), takže organizace nemusí uživatelům poskytovat fyzické počítače. Používání zařízení VDI snižuje náklady, protože IT oddělení už nejsou zodpovědná za správu, opravy a nahrazování fyzických koncových bodů. Autorizovaní uživatelé mají přístup ke stejným firemním serverům, souborům, aplikacím a službám z libovolného schváleného zařízení prostřednictvím zabezpečeného desktopového klienta nebo prohlížeče.

Stejně jako jakýkoli jiný systém v IT prostředí by i tento systém měl mít řešení EDR (Endpoint Detection and Response) a Antivirus pro ochranu před pokročilými hrozbami a útoky.

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Poznámka

Trvalé VDI : Onboarding trvalého počítače VDI do Microsoft Defender for Endpoint se zpracovává stejným způsobem jako onboarding fyzického počítače, jako je stolní počítač nebo přenosný počítač. Zásady skupiny, Microsoft Configuration Manager a další metody je možné použít k onboardingu trvalého počítače. Na portálu Microsoft Defender (https://security.microsoft.com) v části onboarding vyberte upřednostňovanou metodu onboardingu a postupujte podle pokynů pro tento typ. Další informace najdete v tématu Onboarding klienta Windows.

Onboarding zařízení v infrastruktuře virtuálních klientských počítačů (VDI)

Defender for Endpoint podporuje trvalou onboardingovou relaci VDI.

S onboardingem instancí VDI můžou být spojené problémy. Pro tento scénář jsou typické výzvy:

  • Okamžité včasné onboardingu krátkodobé relace, která se musí před vlastním zřízením onboardovat do Defenderu for Endpoint.
  • Název zařízení se obvykle opakovaně používá pro nové relace.

V prostředí VDI můžou mít instance VDI krátkou životnost. Zařízení VDI se můžou na portálu Microsoft Defender zobrazovat buď jako jedna položka pro každou instanci VDI, nebo jako více položek pro každé zařízení.

  • Jedna položka pro každou instanci VDI. Pokud už byla instance VDI nasazená do Microsoft Defender for Endpoint, v určitém okamžiku byla odstraněna a pak znovu vytvořena se stejným názvem hostitele, nový objekt představující tuto instanci VDI se na portálu nevytvoří.

    Poznámka

    V tomto případě musí být stejný název zařízení nakonfigurovaný při vytváření relace, například pomocí bezobslužného souboru odpovědí.

  • Více položek pro každé zařízení – jedna pro každou instanci VDI

Důležité

Pokud nasazujete trvalé VDI prostřednictvím technologie klonování, ujistěte se, že virtuální počítače s interní šablonou nejsou onboardované do Defenderu for Endpoint. Toto doporučení je zabránit tomu, aby se klonované virtuální počítače onboardovaly se stejným senseGuid jako virtuální počítače šablony, což by mohlo bránit tomu, aby se virtuální počítače zobrazovaly jako nové položky v seznamu Zařízení.

Následující kroky vás provedou onboardingem zařízení VDI a zvýrazní kroky pro jednotlivé a více položek.

Upozornění

V prostředích s nízkou konfigurací prostředků může postup spuštění VDI zpomalit onboarding senzoru Defenderu for Endpoint.

Postup připojování

Poznámka

Windows Server 2016 a Windows Server 2012 R2 musí být připraveny tak, že nejprve použijete instalační balíček podle pokynů v tématu Onboarding serverů Windows, aby tato funkce fungovala.

  1. Otevřete konfigurační balíček VDI .zip soubor (WindowsDefenderATPOnboardingPackage.zip), který jste stáhli z průvodce onboardingem služby. Balíček můžete získat také z portálu Microsoft Defender:

    1. V navigačním podokně vyberte Nastavení>Koncové body>Onboardingsprávy> zařízení.

    2. Vyberte operační systém.

    3. V poli Metoda nasazení vyberte skripty onboardingu VDI pro trvalé koncové body.

    4. Klikněte na Stáhnout balíček a uložte soubor .zip.

  2. Zkopírujte soubory ze složky WindowsDefenderATPOnboardingPackage extrahované ze souboru .zip do zlatého nebo primárního obrázku pod cestou C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    1. Pokud implementujete více položek pro každé zařízení – jednu pro každou relaci, zkopírujte WindowsDefenderATPOnboardingScript.cmd.

    2. Pokud pro každé zařízení implementujete jednu položku, zkopírujte Onboard-NonPersistentMachine.ps1 i WindowsDefenderATPOnboardingScript.cmd.

    Poznámka

    Pokud složku nevidíte C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , může být skrytá. V Průzkumník souborů budete muset zvolit možnost Zobrazit skryté soubory a složky.

  3. Otevřete okno Místní Zásady skupiny Editor a přejděte na Konfigurace> počítačeNastavení> WindowsSkripty>Po spuštění.

    Poznámka

    Doménové Zásady skupiny se dají použít také k onboardingu zařízení VDI, která nejsou trvalá.

  4. V závislosti na metodě, kterou chcete implementovat, postupujte podle příslušných kroků:

    • Pro jednotlivé položky pro každé zařízení:

      Vyberte kartu Skripty PowerShellu a pak vyberte Přidat (Průzkumník Windows se otevře přímo v cestě, kam jste dříve zkopírovali skript pro onboarding). Přejděte na onboardingový skript PowerShellu Onboard-NonPersistentMachine.ps1. Druhý soubor není potřeba zadávat, protože se aktivuje automaticky.

    • Pro více položek pro každé zařízení:

      Vyberte kartu Skripty a pak klikněte na Přidat (Průzkumník Windows se otevře přímo v cestě, kam jste dříve zkopírovali skript onboardingu). Přejděte ke skriptu WindowsDefenderATPOnboardingScript.cmdBash pro onboarding .

  5. Otestujte řešení:

    1. Create fond s jedním zařízením.

    2. Přihlaste se k zařízení.

    3. Odhlaste se ze zařízení.

    4. Přihlaste se k zařízení pomocí jiného uživatele.

    5. V závislosti na metodě, kterou chcete implementovat, postupujte podle příslušných kroků:

      • Pro jednu položku pro každé zařízení: Na portálu Microsoft Defender zkontrolujte jenom jednu položku.
      • Pro více položek pro každé zařízení: Zkontrolujte více položek na portálu Microsoft Defender.

  6. V navigačním podokně klikněte na Seznam zařízení .

  7. Pomocí vyhledávací funkce zadejte název zařízení a jako typ hledání vyberte Zařízení .

Pro skladové položky nižší úrovně (Windows Server 2008 R2)

Poznámka

Tyto pokyny platí i pro jiné verze Windows Serveru, pokud používáte předchozí Microsoft Defender for Endpoint pro Windows Server 2016 a Windows Server 2012 R2, které vyžadují MMA. Pokyny k migraci na nové sjednocené řešení najdete v tématu Scénáře migrace serverů v Microsoft Defender for Endpoint.

Následující registr je relevantní pouze v případě, že cílem je dosáhnout "jediné položky pro každé zařízení".

  1. Nastavte hodnotu registru na:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    nebo pomocí příkazového řádku:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Postupujte podle procesu onboardingu serveru.

Aktualizace imagí infrastruktury virtuálních klientských počítačů (VDI) (trvalé nebo trvalé)

Díky možnosti snadného nasazování aktualizací do virtuálních počítačů spuštěných ve VDI jsme tuto příručku zkrátili, abychom se zaměřili na to, jak můžete rychle a snadno získávat aktualizace na svých počítačích. Už nemusíte pravidelně vytvářet a zalepovat zlaté image, protože aktualizace se na hostitelském serveru rozbalí do jejich součástí a po zapnutí se stahují přímo do virtuálního počítače.

Pokud jste nasadili primární image prostředí VDI (služba SENSE je spuštěná), musíte před tím, než image znovu vložíte do produkčního prostředí, offboarding a vymazat některá data.

  1. Offboarding zařízení.

  2. Spuštěním následujícího příkazu v okně CMD se ujistěte, že je senzor zastavený:

    sc query sense

  3. V okně CMD spusťte následující příkazy:

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Používáte pro VDI třetí stranu?

Pokud nasazujete trvalá virtuální rozhraní VDI prostřednictvím okamžitého klonování VMware nebo podobných technologií, ujistěte se, že virtuální počítače interní šablony a virtuální počítače replik nejsou onboardované do Defenderu for Endpoint. Pokud zařízení onboardujete pomocí metody s jednou položkou, můžou mít okamžité klony zřízené z onboardovaných virtuálních počítačů stejný identifikátor senseGuid, který může zabránit tomu, aby se nová položka zobrazovala v zobrazení Inventář zařízení (na portálu Microsoft Defender zvolte Zařízení).>

Pokud se primární image, virtuální počítač šablony nebo virtuální počítač repliky onboardují do defenderu pro koncový bod pomocí metody s jednou položkou, zabráníte defenderu ve vytváření položek pro nové trvalé virtuální identifikátory VDI na portálu Microsoft Defender.

Pokud potřebujete další pomoc, obraťte se na dodavatele třetích stran.

Po onboardingu zařízení do služby je důležité využít zahrnuté možnosti ochrany před hrozbami tím, že je povolíte pomocí následujících doporučených nastavení konfigurace.

Konfigurace ochrany nové generace

Doporučujeme následující nastavení konfigurace:

Služba Cloud Protection

  • Zapnout cloudovou ochranu: Ano
  • Úroveň ochrany do cloudu: Nenakonfigurováno
  • Prodloužený časový limit služby Defender Cloud v sekundách: 20

Vyloučení

Ochrana v reálném čase

  • Zapněte všechna nastavení a nastavte monitorování všech souborů.

Nápravných

  • Počet dní pro uchování malwaru v karanténě: 30
  • Souhlas s odesláním ukázek: Automatické odesílání všech ukázek
  • Akce, která se má provést u potenciálně nežádoucích aplikací: Povolit
  • Akce pro zjištěné hrozby:
    • Nízká hrozba: Vyčištění
    • Střední hrozba, Vysoká hrozba, Závažná hrozba: Karanténa

Skenování

  • Kontrola archivovaných souborů: Ano
  • Použití nízké priority procesoru pro plánované kontroly: Nenakonfigurováno
  • Zakázat úplnou kontrolu pro dochytávání: Nenakonfigurováno
  • Zakázat rychlou kontrolu pro dochytávání: Nenakonfigurováno
  • Limit využití procesoru na kontrolu: 50
  • Kontrola mapovaných síťových jednotek během úplné kontroly: Nenakonfigurováno
  • Spustit denní rychlou kontrolu v: 12:00
  • Typ kontroly: Nenakonfigurováno
  • Den v týdnu pro spuštění naplánované kontroly: Nenakonfigurováno
  • Denní doba spuštění naplánované kontroly: Nenakonfigurováno
  • Před spuštěním kontroly zkontrolujte aktualizace podpisu: Ano

Aktualizace

  • Zadejte, jak často se mají kontrolovat aktualizace bezpečnostních funkcí: 8
  • Ponechte ostatní nastavení ve výchozím stavu.

Činnost koncového uživatele

  • Povolit uživateli přístup k Microsoft Defender aplikaci: Nenakonfigurováno

Povolení ochrany před falšováním

  • Povolení ochrany před falšováním, aby se zabránilo zakázání Microsoft Defender: Povolit

Omezení prostoru pro útok

  • Povolení ochrany sítě: Testovací režim
  • Vyžadovat filtr SmartScreen pro Microsoft Edge: Ano
  • Blokovat škodlivý přístup k webu: Ano
  • Blokovat stahování neověřených souborů: Ano

Pravidla pro omezení potenciální oblasti útoku

  • Nakonfigurujte všechna dostupná pravidla pro audit.

Poznámka

Blokování těchto aktivit může přerušit legitimní obchodní procesy. Nejlepší přístup je nastavit vše na audit, identifikovat, které z nich je bezpečné zapnout, a pak povolit tato nastavení na koncových bodech, které nemají falešně pozitivní detekci.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.