Onboarde VDI-enheder (virtual desktop infrastructure) i Microsoft Defender XDR

  • Artikel

VDI (Virtual Desktop Infrastructure) er et koncept for it-infrastruktur, der gør det muligt for slutbrugere at få adgang til virtuelle virksomhedsskriveborde fra næsten alle enheder (f.eks. din personlige computer, smartphone eller tablet), hvilket fjerner behovet for, at organisationen giver brugerne fysiske maskiner. Brug af VDI-enheder reducerer omkostningerne, da it-afdelinger ikke længere er ansvarlige for at administrere, reparere og erstatte fysiske slutpunkter. Godkendte brugere kan få adgang til de samme virksomhedsservere, filer, apps og tjenester fra alle godkendte enheder via en sikker skrivebordsklient eller -browser.

Som ethvert andet system i et it-miljø skal disse også have en EDR- (Endpoint Detection and Response) og Antivirus-løsning for at beskytte mod avancerede trusler og angreb.

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Bemærk!

Faste VDI'er – Onboarding af en vedvarende VDI-maskine i Microsoft Defender for Endpoint håndteres på samme måde, som du ville onboarde en fysisk maskine, f.eks. en stationær eller bærbar computer. Gruppepolitik, Microsoft Configuration Manager og andre metoder kan bruges til at onboarde en vedvarende maskine. På Microsoft Defender-portalen (https://security.microsoft.com) under onboarding skal du vælge din foretrukne onboardingmetode og følge vejledningen for den pågældende type. Du kan få flere oplysninger under Onboarding Windows-klient.

Onboarding af VDI-enheder (Virtual Desktop Infrastructure), der ikke er vedvarende

Defender for Endpoint understøtter onboarding af en VDI-session, der ikke er vedvarende.

Der kan være tilknyttede udfordringer, når du onboarder VDI-instanser. Følgende er typiske udfordringer i dette scenarie:

  • Øjeblikkelig tidlig onboarding af en kortlivet session, som skal onboardes til Defender for Endpoint før den faktiske klargøring.
  • Enhedsnavnet genbruges typisk til nye sessioner.

I et VDI-miljø kan VDI-forekomster have korte levetider. VDI-enheder kan vises på Microsoft Defender portalen som enten enkelte poster for hver VDI-forekomst eller flere poster for hver enhed.

  • Enkelt post for hver VDI-forekomst. Hvis VDI-forekomsten allerede er onboardet til Microsoft Defender for Endpoint og på et tidspunkt slettet og derefter gendannet med det samme værtsnavn, oprettes der IKKE et nyt objekt, der repræsenterer denne VDI-forekomst, på portalen.

    Bemærk!

    I dette tilfælde skal det samme enhedsnavn konfigureres, når sessionen oprettes, f.eks. ved hjælp af en automatisk svarfil.

  • Flere poster for hver enhed – én for hver VDI-forekomst.

Vigtigt!

Hvis du udruller ikke-vedvarende VM'er via kloningsteknologi, skal du sørge for, at dine interne skabelon-VM'er ikke er onboardet til Defender for Endpoint. Denne anbefaling er at undgå, at klonede VM'er onboardes med den samme senseGuid som dine skabelon-VM'er, hvilket kan forhindre VM'er i at blive vist som nye poster på listen Enheder.

Følgende trin fører dig gennem onboarding af VDI-enheder og fremhæver trin for enkelte og flere poster.

Advarsel

I miljøer, hvor der er konfigurationer med få ressourcer, kan VDI-startproceduren gøre onboarding af Defender for Endpoint-sensoren langsommere.

Onboardingtrin

Bemærk!

Windows Server 2016 og Windows Server 2012 R2 skal forberedes ved først at anvende installationspakken ved hjælp af vejledningen i Onboard Windows-servere , for at denne funktion kan fungere.

  1. Åbn den VDI-konfigurationspakke .zip fil (WindowsDefenderATPOnboardingPackage.zip), som du har downloadet fra guiden til onboarding af tjenesten. Du kan også hente pakken fra Microsoft Defender-portalen:

    1. I navigationsruden skal du vælge Indstillinger>Endpoints>Onboarding til enhedshåndtering>.

    2. Vælg operativsystemet.

    3. I feltet Installationsmetode skal du vælge VDI-onboardingscripts for ikke-faste slutpunkter.

    4. Klik på Download pakke , og gem filen .zip.

  2. Kopiér filerne fra mappen WindowsDefenderATPOnboardingPackage, der er udpakket fra den .zip fil, til det gyldne/primære billede under stien C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    1. Hvis du implementerer flere poster for hver enhed – én for hver session, skal du kopiere WindowsDefenderATPOnboardingScript.cmd.

    2. Hvis du implementerer en enkelt post for hver enhed, skal du kopiere både Onboard-NonPersistentMachine.ps1 og WindowsDefenderATPOnboardingScript.cmd.

    Bemærk!

    Hvis du ikke kan se mappen C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , kan den være skjult. Du skal vælge indstillingen Vis skjulte filer og mapper fra Stifinder.

  3. Åbn vinduet Lokal Gruppepolitik Editor, og naviger til Computerkonfiguration>Windows-indstillinger Scripts>>Start.

    Bemærk!

    Domæne Gruppepolitik kan også bruges til onboarding af ikke-faste VDI-enheder.

  4. Afhængigt af den metode, du vil implementere, skal du følge de relevante trin:

    • For en enkelt post for hver enhed:

      Vælg fanen PowerShell-scripts , og vælg derefter Tilføj (Windows Stifinder åbnes direkte i den sti, hvor du kopierede onboardingscriptet tidligere). Naviger til onboarding af PowerShell-script Onboard-NonPersistentMachine.ps1. Det er ikke nødvendigt at angive den anden fil, da den udløses automatisk.

    • For flere poster for hver enhed:

      Vælg fanen Scripts , og klik derefter på Tilføj (Windows Stifinder åbnes direkte i den sti, hvor du kopierede onboardingscriptet tidligere). Naviger til onboarding-bash-scriptet WindowsDefenderATPOnboardingScript.cmd.

  5. Test din løsning:

    1. Create en pool med én enhed.

    2. Log på enheden.

    3. Log af enheden.

    4. Log på enheden med en anden bruger.

    5. Afhængigt af den metode, du vil implementere, skal du følge de relevante trin:

      • For en enkelt post for hver enhed: Kontrollér kun én post i Microsoft Defender portal.
      • For flere poster for hver enhed: Kontrollér flere poster på Microsoft Defender portal.

  6. Klik på Listen Enheder i navigationsruden.

  7. Brug søgefunktionen ved at angive enhedsnavnet, og vælg Enhed som søgetype.

For sku'er på et lavere niveau (Windows Server 2008 R2)

Bemærk!

Disse instruktioner til andre Windows-serverversioner gælder også, hvis du kører den tidligere Microsoft Defender for Endpoint til Windows Server 2016 og Windows Server 2012 R2, der kræver MMA. Instruktioner til migrering til den nye samlede løsning finder du i Server migrationsscenarier i Microsoft Defender for Endpoint.

Følgende registreringsdatabase er kun relevant, når målet er at opnå en "enkelt post for hver enhed".

  1. Angiv registreringsdatabaseværdien til:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    eller ved hjælp af kommandolinjen:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Følg processen til onboarding af serveren.

Opdaterer VDI-billeder (virtuel skrivebordsinfrastruktur) (vedvarende eller ikke-vedvarende)

Med muligheden for nemt at udrulle opdateringer til VM'er, der kører i VM'er, har vi forkortet denne vejledning for at fokusere på, hvordan du hurtigt og nemt kan få opdateringer på dine maskiner. Du behøver ikke længere at oprette og forsegle gyldne billeder regelmæssigt, da opdateringer udvides til deres komponentbits på værtsserveren og derefter downloades direkte til vm'en, når den er slået til.

Hvis du har onboardet det primære billede af dit VDI-miljø (SENSE-tjenesten kører), skal du offboard og rydde nogle data, før du sætter billedet i produktion igen.

  1. På maskinen.

  2. Kontrollér, at sensoren stoppes ved at køre følgende kommando i et CMD-vindue:

    sc query sense

  3. Kør følgende kommandoer i et CMD-vindue::

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Bruger du en tredjepart til VM'er?

Hvis du udruller ikke-vedvarende VM'er via øjeblikkelig kloning af VMware eller lignende teknologier, skal du sørge for, at dine interne skabelon-VM'er og replika-VM'er ikke er onboardet til Defender for Endpoint. Hvis du onboarder enheder ved hjælp af metoden med en enkelt post, kan øjeblikkelige kloner, der klargøres fra onboardede VM'er, have samme senseGuid, og det kan forhindre, at en ny post vises i visningen Enhedslager (på portalen Microsoft Defender skal du vælge Aktiver>enheder).

Hvis enten det primære billede, den virtuelle skabelon eller replika-VM er føjet til Defender for Endpoint ved hjælp af metoden med en enkelt indtastning, forhindrer det Defender i at oprette poster til nye ikke-vedvarende VM'er på Microsoft Defender-portalen.

Kontakt tredjepartsleverandørerne for at få yderligere hjælp.

Når du har onboardet enheder til tjenesten, er det vigtigt at drage fordel af de inkluderede trusselsbeskyttelsesfunktioner ved at aktivere dem med følgende anbefalede konfigurationsindstillinger.

Næste generation af konfiguration af beskyttelse

Følgende konfigurationsindstillinger anbefales:

Cloud Protection Service

  • Slå skybaseret beskyttelse til: Ja
  • Skybaseret beskyttelsesniveau: Ikke konfigureret
  • Udvidet timeout for Defender Cloud i sekunder: 20

Udeladelser

Beskyttelse i realtid

  • Slå alle indstillinger til, og angiv til at overvåge alle filer

Oprydning

  • Antal dage, malware skal bevares i karantæne: 30
  • Indsend samtykke til eksempler: Send alle eksempler automatisk
  • Handling, der skal udføres på potentielt uønskede apps: Aktivér
  • Handlinger for registrerede trusler:
    • Lav trussel: Ren
    • Moderat trussel, høj trussel, alvorlig trussel: Karantæne

Skan

  • Scan arkiverede filer: Ja
  • Brug lav CPU-prioritet til planlagte scanninger: Ikke konfigureret
  • Deaktiver komplet søgning efter indfangning: Ikke konfigureret
  • Deaktiver hurtig scanning af opfangning: Ikke konfigureret
  • Grænse for CPU-forbrug pr. scanning: 50
  • Scan tilknyttede netværksdrev under fuld scanning: Ikke konfigureret
  • Kør daglig hurtig scanning kl. 12
  • Scanningstype: Ikke konfigureret
  • Ugedag til kørsel af planlagt scanning: Ikke konfigureret
  • Tidspunkt på dagen til kørsel af en planlagt scanning: Ikke konfigureret
  • Kontrollér, om der er signaturopdateringer, før du kører scanningen: Ja

Opdateringer

  • Angiv, hvor ofte der skal søges efter opdateringer til sikkerhedsintelligens: 8
  • Lad andre indstillinger være i standardtilstand

Brugeroplevelse

  • Tillad brugeradgang til Microsoft Defender app: Ikke konfigureret

Aktivér beskyttelse mod manipulation

  • Aktivér beskyttelse mod ændring for at forhindre, at Microsoft Defender deaktiveres: Aktivér

Reduktion af angrebsoverfladen

  • Aktivér netværksbeskyttelse: Testtilstand
  • Kræv SmartScreen til Microsoft Edge: Ja
  • Bloker adgang til skadeligt websted: Ja
  • Bloker ikke-bekræftet fildownload: Ja

Regler for reduktion af angrebsoverflade

  • Konfigurer alle tilgængelige regler til Overvågning.

Bemærk!

Blokering af disse aktiviteter kan afbryde legitime forretningsprocesser. Den bedste fremgangsmåde er at indstille alt til overvågning, identificere, hvilke der er sikre at aktivere, og derefter aktivere disse indstillinger på slutpunkter, der ikke har falske positive registreringer.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.