Konfigurace Microsoft Defender Antivirové ochrany na vzdálené ploše nebo v prostředí infrastruktury virtuálních klientských počítačů

  • Článek

Platí pro:

Platformy

  • Windows

Tip

Tento článek je určený jenom pro zákazníky, kteří používají funkce Microsoft Defender Antivirus. Pokud máte Microsoft Defender for Endpoint (což zahrnuje Microsoft Defender Antivirus a další možnosti ochrany zařízení), přeskočte tento článek a přejděte k tématu Onboarding non-persistent virtual desktop infrastructure (VDI) zařízení v Microsoft Defender XDR.

Microsoft Defender Antivirus můžete použít ve vzdálené ploše (RDS) nebo v prostředí infrastruktury virtuálních klientských počítačů (VDI). Podle pokynů v tomto článku můžete nakonfigurovat aktualizace tak, aby se stahovaly přímo do prostředí Vzdálené plochy nebo VDI, když se uživatel přihlásí.

Tato příručka popisuje, jak na virtuálních počítačích nakonfigurovat Microsoft Defender Antivirus pro zajištění optimální ochrany a výkonu, včetně následujících:

Důležité

I když je VDI možné hostovat na Windows Server 2012 nebo Windows Server 2016, virtuální počítače by měly mít minimálně Windows 10 verze 1607 kvůli zvýšeným technologiím ochrany a funkcím, které nejsou dostupné v dřívějších verzích Windows.

Nastavení vyhrazené sdílené složky VDI pro analýzu zabezpečení

V Windows 10 verze 1903 společnost Microsoft zavedla funkci sdílených inteligentních informací zabezpečení, která přesměruje rozbalování stažených aktualizací bezpečnostních informací na hostitelský počítač. Tato metoda snižuje využití prostředků procesoru, disku a paměti na jednotlivých počítačích. Sdílené informace o zabezpečení teď fungují na Windows 10 verze 1703 a novějších. Tuto funkci můžete nastavit pomocí Zásady skupiny nebo PowerShellu, jak je popsáno v následující tabulce:

Metoda Postup
Zásady skupiny 1. Na počítači pro správu Zásady skupiny otevřete konzolu pro správu Zásady skupiny, klikněte pravým tlačítkem na Zásady skupiny Objekt, který chcete nakonfigurovat, a pak vyberte Upravit.

2. V Editor správa Zásady skupiny přejděte na Konfigurace počítače.

Vyberte Šablony pro správu.

Rozbalte strom na Součásti> systému Windows Microsoft Defender Aktualizace Antivirová analýza>zabezpečení.

3. Poklikejte na Definovat umístění analýzy zabezpečení pro klienty VDI a nastavte možnost Povoleno. Automaticky se zobrazí pole.

4. Zadejte \\<sharedlocation\>\wdav-update (nápovědu k této hodnotě najdete v tématu Stažení a rozbalení).

5. Vyberte OK.

Nasaďte objekt zásad zabezpečení na virtuální počítače, které chcete testovat.
PowerShell 1. Na každém zařízení VpS nebo VDI použijte k povolení této funkce následující rutinu: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Nasdílejte aktualizaci tak, jak byste normálně nasdíleli zásady konfigurace založené na PowerShellu na virtuální počítače. (Informace o sdíleném umístění> najdete v části Stažení a rozbalení<.)

Stažení a rozbalení nejnovějších aktualizací

Teď můžete začít stahovat a instalovat nové aktualizace. Vytvořili jsme pro vás níže ukázkový powershellový skript. Tento skript je nejjednodušší způsob, jak stáhnout nové aktualizace a připravit je pro virtuální počítače. Skript byste pak měli nastavit tak, aby se spouštěl v určitém čase na počítači pro správu pomocí naplánované úlohy (nebo pokud jste obeznámeni s používáním skriptů PowerShellu v Azure, Intune nebo SCCM, můžete použít i tyto skripty).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Naplánovanou úlohu můžete nastavit tak, aby se spouštěla jednou denně, aby při každém stažení a rozbalení balíčku obdržely virtuální počítače novou aktualizaci. Doporučujeme začít s jednou denně, ale měli byste experimentovat se zvýšením nebo snížením četnosti, abyste porozuměli dopadu.

Balíčky bezpečnostních informací se obvykle publikují jednou za tři až čtyři hodiny. Nastavení frekvence kratší než čtyři hodiny není vhodné, protože se tím zvýší režie sítě na počítači pro správu bez výhody.

Můžete také nastavit jeden server nebo počítač tak, aby aktualizace načítá jménem virtuálních počítačů v intervalu a umístil je do sdílené složky, aby je bylo možné používat. Tato konfigurace je možná, když mají zařízení ke sdílené složce přístup ke sdílené složce a oprávnění ke čtení (oprávnění NTFS), aby mohly aktualizace získat. Chcete-li nastavit tuto konfiguraci, postupujte takto:

  1. Create sdílenou složku SMB/CIFS.

  2. Pomocí následujícího příkladu vytvořte sdílenou složku s následujícími oprávněními ke sdílené složce.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Poznámka

    Přidá se oprávnění NTFS pro Authenticated Users:Read:.

    V tomto příkladu je sdílená složka:

    \\fileserver.fqdn\mdatp$\wdav-update

Nastavení naplánované úlohy pro spuštění skriptu PowerShellu

  1. Na počítači pro správu otevřete nabídku Start a zadejte Plánovač úloh. Otevřete ho a na bočním panelu vyberte Create úkol.

  2. Zadejte název jako Rozbalení bezpečnostních informací. Přejděte na kartu Aktivační událost . Vyberte Nový...>Denně a vyberte OK.

  3. Přejděte na kartu Akce. Vyberte Nový... Do pole Program/Skript zadejte PowerShell. Zadejte -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 do pole Přidat argumenty . Vyberte OK.

  4. Podle potřeby nakonfigurujte všechna další nastavení.

  5. Výběrem OK naplánovanou úlohu uložte.

Aktualizaci můžete zahájit ručně tak, že kliknete pravým tlačítkem myši na úlohu a pak vyberete Spustit.

Ruční stažení a rozbalení

Pokud chcete, aby se všechno dělalo ručně, tady je postup replikace chování skriptu:

  1. Create novou složku v kořenovém adresáři systému s názvem wdav_update pro ukládání aktualizací inteligentních funkcí, například vytvořte složku c:\wdav_update.

  2. Create podsložku v wdav_update s názvem GUID, například{00000000-0000-0000-0000-000000000000}

    Tady je příklad: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Poznámka

    Ve skriptu jsme ho nastavili tak, aby posledních 12 číslic GUID bylo rok, měsíc, den a čas stažení souboru, aby se pokaždé vytvořila nová složka. Můžete to změnit tak, aby se soubor pokaždé stáhl do stejné složky.

  3. Stáhněte si balíček bezpečnostních informací z https://www.microsoft.com/wdsi/definitions do složky GUID. Soubor by měl mít název mpam-fe.exe.

  4. Otevřete okno příkazového řádku a přejděte do složky GUID, kterou jste vytvořili. K extrahování souborů použijte příkaz extrahování /X , například mpam-fe.exe /X.

    Poznámka

    Virtuální počítače aktualizovaný balíček převezmou vždy, když se vytvoří nová složka GUID s extrahovaným balíčkem aktualizace nebo když se stávající složka aktualizuje novým extrahovaným balíčkem.

Randomize scheduled scans

Kromě ochrany a kontroly v reálném čase se spouštějí naplánované kontroly.

Čas spuštění samotné kontroly je stále založený na zásadách naplánované kontroly (ScheduleDay, ScheduleTime a ScheduleQuickScanTime). Náhodnost způsobí, že Microsoft Defender Antivirus spustí kontrolu na každém počítači během čtyř hodin od doby nastavené pro naplánovanou kontrolu.

Další možnosti konfigurace dostupné pro naplánované kontroly najdete v tématu Plánování kontrol .

Použití rychlých kontrol

Můžete zadat typ kontroly, která se má provést během naplánované kontroly. Preferovaným přístupem jsou rychlé kontroly, protože jsou navržené tak, aby se hledaly na všech místech, kde se musí nacházet malware, aby byl aktivní. Následující postup popisuje, jak nastavit rychlé kontroly pomocí Zásady skupiny.

  1. V Zásady skupiny Editor přejděte na Šablony pro> správuSoučásti> systému Windows Microsoft Defender Antivirová>kontrola.

  2. Vyberte Zadat typ kontroly, který se má použít pro naplánovanou kontrolu , a pak upravte nastavení zásad.

  3. Nastavte zásadu na Povoleno a pak v části Možnosti vyberte Rychlá kontrola.

  4. Vyberte OK.

  5. Objekt zásad skupiny nasaďte jako obvykle.

Zabránit oznámením

Někdy se Microsoft Defender antivirová oznámení odesílají do více relací nebo se v některých relacích uchovávají. Abyste se vyhnuli nejasnostem uživatelů, můžete uživatelské rozhraní antivirové ochrany Microsoft Defender uzamknout. Následující postup popisuje, jak potlačit oznámení pomocí Zásady skupiny.

  1. V Zásady skupiny Editor přejděte na Součásti >systému WindowsMicrosoft Defender Klientské rozhraní antivirového>programu.

  2. Vyberte Potlačit všechna oznámení a pak upravte nastavení zásad.

  3. Nastavte zásadu na Povoleno a pak vyberte OK.

  4. Objekt zásad skupiny nasaďte jako obvykle.

Potlačování oznámení zabrání zobrazení oznámení z Microsoft Defender Antivirové ochrany při provádění kontrol nebo nápravných akcí. Pokud se ale zjistí a zastaví útok, zobrazí se vám výsledky kontroly. Upozornění, například upozornění na počáteční přístup, se vygenerují a zobrazí se na portálu Microsoft Defender.

Zakázání kontrol po aktualizaci

Zakázání kontroly po aktualizaci zabrání provedení kontroly po přijetí aktualizace. Toto nastavení můžete použít při vytváření základní image, pokud jste také spustili rychlou kontrolu. Tímto způsobem můžete zabránit tomu, aby nově aktualizovaný virtuální počítač znovu provedl kontrolu (protože jste ho už naskenovali při vytváření základní image).

Důležité

Spuštění kontrol po aktualizaci vám pomůže zajistit, aby vaše virtuální počítače byly chráněné nejnovějšími aktualizacemi bezpečnostních informací. Zakázáním této možnosti se sníží úroveň ochrany virtuálních počítačů a měla by se použít jenom při prvním vytvoření nebo nasazení základní image.

  1. V Zásady skupiny Editor přejděte do části Součásti> systému Windows Microsoft Defender Antivirus>Security Intelligence Aktualizace.

  2. Vyberte Zapnout kontrolu po aktualizaci bezpečnostních informací a pak upravte nastavení zásad.

  3. Nastavte zásadu na Zakázáno.

  4. Vyberte OK.

  5. Objekt zásad skupiny nasaďte jako obvykle.

Tato zásada zabraňuje spuštění kontroly okamžitě po aktualizaci.

Zakázat možnost ScanOnlyIfIdle

Pomocí následující rutiny můžete zastavit rychlou nebo naplánovanou kontrolu vždy, když je zařízení v pasivním režimu nečinné.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Tuto možnost můžete v Microsoft Defender Antivirové ochraně zakázat ScanOnlyIfIdle také podle konfigurace prostřednictvím místních zásad skupiny nebo zásad skupiny domény. Toto nastavení zabraňuje významným kolizím procesoru v prostředích s vysokou hustotou.

Další informace najdete v tématu Spuštění naplánované kontroly pouze v případě, že je počítač zapnutý, ale nepoužívá se.

Kontrola virtuálních počítačů, které byly offline

  1. V Zásady skupiny Editor přejděte na Součásti> systému Windows Microsoft Defender Antivirová>kontrola.

  2. Vyberte Zapnout rychlou kontrolu pro dochytávání a pak upravte nastavení zásad.

  3. Nastavte zásadu na Povoleno.

  4. Vyberte OK.

  5. Nasaďte Zásady skupiny Object jako obvykle.

Tato zásada vynutí kontrolu, pokud virtuální počítač vynechal dvě nebo více po sobě jdoucích plánovaných kontrol.

Povolení režimu bezhlavé uživatelské rozhraní

  1. V Zásady skupiny Editor přejděte na Součásti >systému WindowsMicrosoft Defender Klientské rozhraní antivirového>programu.

  2. Vyberte Povolit režim bezhlavého uživatelského rozhraní a upravte zásadu.

  3. Nastavte zásadu na Povoleno.

  4. Vyberte OK.

  5. Nasaďte Zásady skupiny Object jako obvykle.

Tato zásada skryje celé uživatelské rozhraní Microsoft Defender Antivirové ochrany před koncovými uživateli ve vaší organizaci.

Vyloučení

Pokud si myslíte, že potřebujete přidat vyloučení, přečtěte si téma Správa vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus.

Viz také

Pokud hledáte informace o defenderu for Endpoint na platformách jiných než Windows, projděte si následující zdroje informací:

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.