Konfigurer Microsoft Defender Antivirus på et fjernskrivebord eller et virtuelt skrivebordsinfrastrukturmiljø

Gælder for:

• Microsoft Defender Antivirus
• Defender for Endpoint Plan 1
• Defender for Endpoint Plan 2

Platforme

• Windows

Denne artikel er kun beregnet til kunder, der kun bruger Microsoft Defender Antivirus-funktioner. Hvis du har Microsoft Defender for Endpoint (hvilket omfatter Microsoft Defender Antivirus sammen med andre funktioner til enhedsbeskyttelse), skal du også gennemgå VDI-enheder (Onboard non-persistent virtual desktop infrastructure) i Microsoft Defender XDR.

Du kan bruge Microsoft Defender Antivirus i et RDS- (Remote Desktop) eller et VDI-miljø (ikke-persistent virtual desktop infrastructure). I henhold til vejledningen i denne artikel kan du konfigurere opdateringer til at downloade direkte til dine RDS- eller VDI-miljøer, når en bruger logger på.

I denne vejledning beskrives det, hvordan du konfigurerer Microsoft Defender Antivirus på dine VM'er for at opnå optimal beskyttelse og ydeevne, herunder hvordan du:

• Konfigurer et dedikeret VDI-filshare til sikkerhedsintelligensopdateringer
• Randomiser planlagte scanninger
• Brug hurtig scanninger
• Forbyd meddelelser
• Deaktiver scanninger, der forekommer efter hver opdatering
• Scan forældede maskiner eller maskiner, der var offline i et stykke tid
• Anvend udeladelser

Vigtigt!

Selvom en VDI kan hostes på Windows Server 2012 eller Windows Server 2016, skal virtuelle maskiner (VM'er) som minimum køre Windows 10 version 1607 på grund af øgede beskyttelsesteknologier og funktioner, der ikke er tilgængelige i tidligere versioner af Windows.

Konfigurer et dedikeret VDI-filshare til sikkerhedsintelligens

I Windows 10 version 1903 introducerede Microsoft funktionen til delt sikkerhedsintelligens, som fjerner udpakningen af downloadede sikkerhedsintelligensopdateringer på en værtscomputer. Denne metode reducerer brugen af CPU-, disk- og hukommelsesressourcer på individuelle maskiner. Delt sikkerhedsintelligens fungerer nu på Windows 10, version 1703 og nyere. Du kan konfigurere denne funktion ved hjælp af Gruppepolitik eller PowerShell.

Gruppepolitik

1. Åbn administrationskonsollen Gruppepolitik på din Gruppepolitik, højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg derefter Rediger.

2. I Gruppepolitik Management-Editor skal du gå til Computerkonfiguration.

3. Vælg Administrative skabeloner. Udvid træet til Windows-komponenter>Microsoft Defender Antivirus>Security Intelligence-Opdateringer.

4. Dobbeltklik på Definer placering af sikkerhedsintelligens for VDI-klienter, og angiv derefter indstillingen til Aktiveret.

   Der vises automatisk et felt.

5. Angiv \\<Windows File Server shared location\>\wdav-update (hvis du vil have hjælp til denne værdi, skal du se Download og pak ud).

6. Vælg OK, og udrul derefter det Gruppepolitik objekt til de VM'er, du vil teste.

PowerShell

1. På hver RDS- eller VDI-enhed skal du bruge følgende cmdlet til at aktivere funktionen:

   Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update

2. Push opdateringen, som du normalt ville overføre PowerShell-baserede konfigurationspolitikker til dine VM'er. (Se afsnittet Download og udpakning i denne artikel. Søg efter posten for den delte placering .)

Download og pak de seneste opdateringer ud

Nu kan du komme i gang med at downloade og installere nye opdateringer. Vi har oprettet et eksempel på et PowerShell-script for dig nedenfor. Dette script er den nemmeste måde at downloade nye opdateringer på og gøre dem klar til dine VM'er. Du skal derefter indstille scriptet til at køre på et bestemt tidspunkt på administrationscomputeren ved hjælp af en planlagt opgave (eller, hvis du er fortrolig med at bruge PowerShell-scripts i Azure, Intune eller SCCM, kan du også bruge disse scripts).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Du kan angive, at en planlagt opgave skal køre én gang om dagen, så VM'erne modtager den nye opdatering, når pakken downloades og pakkes ud. Vi foreslår, at du starter med én gang om dagen, men du bør eksperimentere med at øge eller mindske hyppigheden for at forstå virkningen.

Sikkerhedsintelligenspakker udgives typisk hver tredje til fire timer. Det anbefales ikke at angive en frekvens, der er kortere end fire timer, da det ikke er nogen fordel for netværksbelastningen på din administrationsmaskine.

Du kan også konfigurere din enkeltserver eller computer til at hente opdateringerne på vegne af VM'erne med et interval og placere dem i filsharet til forbrug. Denne konfiguration er mulig, når enhederne har delings- og læseadgang (NTFS-tilladelser) til delingen, så de kan hente opdateringerne. Følg disse trin for at konfigurere denne konfiguration:

1. Opret et SMB/CIFS-filshare.

2. Brug følgende eksempel til at oprette et filshare med følgende delingstilladelser.

   
   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   
   

   Bemærk!

   Der tilføjes en NTFS-tilladelse for Godkendte brugere:Læs:.

   I dette eksempel er \\WindowsFileServer.fqdn\mdatp$\wdav-updatefilsharet .

Angiv en planlagt opgave for at køre PowerShell-scriptet

1. Åbn menuen Start på administrationscomputeren, og skriv Task Scheduler. Vælg Opgavestyring i resultaterne, og vælg derefter Opret opgave... i sidepanelet.

2. Angiv navnet som Security intelligence unpacker.

3. På fanen Udløser skal du vælge Ny...>Dagligt, og vælg OK.

4. På fanen Handlinger skal du vælge Ny....

5. Angiv PowerShell i feltet Program/Script .

6. I feltet Tilføj argumenter skal du skrive -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1og derefter vælge OK.

7. Konfigurer alle andre indstillinger efter behov.

8. Vælg OK for at gemme den planlagte opgave.

Hvis du vil starte opdateringen manuelt, skal du højreklikke på opgaven og derefter vælge Kør.

Download og pak ud manuelt

Hvis du foretrækker at gøre alt manuelt, skal du gøre følgende for at replikere scriptets funktionsmåde:

1. Opret en ny mappe på systemroden, der kaldes wdav_update til lagring af intelligensopdateringer. Opret f.eks. mappen c:\wdav_update.

2. Opret en undermappe under wdav_update med et GUID-navn, f.eks. {00000000-0000-0000-0000-000000000000}

   Her er et eksempel: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   Bemærk!

   Vi angiver scriptet, så de sidste 12 cifre i GUID'et er det år, den måned, den dag og det klokkeslæt, hvor filen blev downloadet, så der oprettes en ny mappe hver gang. Du kan ændre dette, så filen downloades til den samme mappe hver gang.

3. Download en security intelligence-pakke fra https://www.microsoft.com/wdsi/definitions til GUID-mappen. Filen skal navngives mpam-fe.exe.

4. Åbn et kommandopromptvindue, og naviger til den GUID-mappe, du har oprettet. Brug kommandoen /X extraction til at pakke filerne ud. For eksempel mpam-fe.exe /X.

   Bemærk!

   VM'erne henter den opdaterede pakke, når der oprettes en ny GUID-mappe med en udpakket opdateringspakke, eller når en eksisterende mappe opdateres med en ny pakke, der er udpakket.

Randomiser planlagte scanninger

Planlagte scanninger kører ud over beskyttelse og scanning i realtid.

Starttidspunktet for selve scanningen er stadig baseret på politikken for planlagt scanning (ScheduleDay, ScheduleTime og ScheduleQuickScanTime). Randomisering medfører, at Microsoft Defender Antivirus starter en scanning på hver maskine inden for et firetimers vindue fra det tidspunkt, der er angivet for den planlagte scanning.

Se Planlæg scanninger for at se andre konfigurationsindstillinger, der er tilgængelige for planlagte scanninger.

Brug hurtig scanninger

Du kan angive, hvilken type scanning der skal udføres under en planlagt scanning. Hurtige scanninger er den foretrukne fremgangsmåde, da de er designet til at se ud alle steder, hvor malware skal være aktiv. I følgende procedure beskrives det, hvordan du konfigurerer hurtigsøgninger ved hjælp af Gruppepolitik.

1. I din Gruppepolitik Editor skal du gå til Administrative skabeloner>Windows-komponenter>Microsoft DefenderAntivirusscanning>.

2. Vælg Angiv den scanningstype, der skal bruges til en planlagt scanning , og rediger derefter politikindstillingen.

3. Angiv politikken til Aktiveret, og vælg derefter Hurtig scanning under Indstillinger.

4. Vælg OK.

5. Udrul dit Gruppepolitik objekt, som du normalt gør.

Forbyd meddelelser

Nogle gange sendes Microsoft Defender Antivirus-meddelelser til eller bevares på tværs af flere sessioner. Du kan undgå bruger forvirring ved at låse brugergrænsefladen Microsoft Defender Antivirus. I følgende procedure beskrives det, hvordan du undertrykker meddelelser ved hjælp af Gruppepolitik.

1. I din Gruppepolitik Editor skal du gå til Windows-komponenter>Microsoft DefenderAntivirus-klientgrænsefladen>.

2. Vælg Skjul alle meddelelser, og rediger derefter politikindstillingerne.

3. Angiv politikken til Aktiveret, og vælg derefter OK.

4. Udrul dit Gruppepolitik objekt, som du normalt gør.

Undertrykkelse af meddelelser forhindrer, at meddelelser fra Microsoft Defender Antivirus vises, når der udføres scanninger, eller der udføres afhjælpningshandlinger. Sikkerhedsteamet kan dog se resultaterne af en scanning, hvis et angreb registreres og stoppes. Beskeder, f.eks. en indledende adgangsbesked, genereres og vises på Microsoft Defender portalen.

Deaktiver scanninger efter en opdatering

Deaktivering af en scanning efter en opdatering forhindrer en scanning i at ske efter modtagelse af en opdatering. Du kan anvende denne indstilling, når du opretter basisbilledet, hvis du også har kørt en hurtig scanning. På denne måde kan du forhindre den nyopdaterede VM i at udføre en scanning igen (som du allerede har scannet den, da du oprettede basisbilledet).

Vigtigt!

Kørsel af scanninger efter en opdatering hjælper med at sikre, at dine VM'er er beskyttet med de nyeste sikkerhedsintelligensopdateringer. Hvis du deaktiverer denne indstilling, reduceres beskyttelsesniveauet for dine VM'er, og den bør kun bruges, første gang du opretter eller installerer basisafbildningen.

1. I din Gruppepolitik Editor skal du gå til Windows-komponenter>Microsoft Defender Antivirus>Security Intelligence-Opdateringer.

2. Vælg Slå scanning til efter sikkerhedsintelligensopdatering , og rediger derefter politikindstillingen.

3. Angiv politikken til Deaktiveret.

4. Vælg OK.

5. Udrul dit Gruppepolitik objekt, som du normalt gør.

Denne politik forhindrer, at en scanning kører umiddelbart efter en opdatering.

Deaktiver indstillingen ScanOnlyIfIdle

Brug følgende cmdlet til at stoppe en hurtig eller planlagt scanning, når enheden går inaktiv, hvis den er i passiv tilstand.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Du kan også deaktivere indstillingen ScanOnlyIfIdle i Microsoft Defender Antivirus ved at konfigurere via lokal gruppepolitik eller domænegruppepolitik. Denne indstilling forhindrer betydelig CPU-strid i miljøer med høj tæthed.

Du kan finde flere oplysninger under Start kun den planlagte scanning, når computeren er tændt, men ikke i brug.

Scan VM'er, der har været offline

1. I din Gruppepolitik Editor skal du gå til Windows-komponenter>Microsoft DefenderAntivirusscanning>.

2. Vælg Slå hurtigsøgning til , og rediger derefter politikindstillingen.

3. Angiv politikken til Aktiveret.

4. Vælg OK.

5. Udrul dit Gruppepolitik-objekt, som du normalt gør.

Denne politik gennemtvinger en scanning, hvis den virtuelle maskine missede to eller flere planlagte scanninger efter hinanden.

Aktivér hovedløs brugergrænsefladetilstand

1. I din Gruppepolitik Editor skal du gå til Windows-komponenter>Microsoft DefenderAntivirus-klientgrænsefladen>.

2. Vælg Aktivér hovedløs brugergrænsefladetilstand, og rediger politikken.

3. Angiv politikken til Aktiveret.

4. Vælg OK.

5. Udrul dit Gruppepolitik-objekt, som du normalt gør.

Denne politik skjuler hele brugergrænsefladen Microsoft Defender Antivirus fra slutbrugere i din organisation.

Kør den planlagte opgave "Windows Defender Cache Maintenance"

Optimer den planlagte opgave "Windows Defender Cache Maintenance" for ikke-faste og/eller faste VDI-miljøer. Kør denne opgave på hovedbilledet, før du forsegling.

1. Åbn Mmc for Opgavestyring (taskschd.msc).

2. Udvid Opgavestyringsbibliotek>Microsoft>Windows>Defender, og højreklik derefter på Vedligeholdelse af Windows Defender-cache.

3. Vælg Kør, og lad den planlagte opgave slutte.

Udeladelser

Hvis du mener, at du har brug for at tilføje udeladelser, skal du se Administrer udeladelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus.

Se også

• Tech Community-blog: Konfiguration af Microsoft Defender Antivirus til ikke-vedvarende VDI-maskiner
• TechNet-forummer om Fjernskrivebord-tjenester og VDI
• SignatureDownloadCustomTask PowerShell-script

Hvis du leder efter oplysninger om Defender for Endpoint på ikke-Windows-platforme, skal du se følgende ressourcer:

• Microsoft Defender for Endpoint på Mac
• Microsoft Defender for Endpoint på Linux
• Konfigurer Defender for Endpoint på Android-funktioner
• Konfigurer Microsoft Defender for Endpoint på iOS-funktioner

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.