Konfigurer Microsoft Defender Antivirus på et fjernskrivebord eller et virtuelt skrivebordsinfrastrukturmiljø

  • Artikel

Gælder for:

Platforme

  • Windows

Tip

Denne artikel er kun beregnet til kunder, der kun bruger Microsoft Defender Antivirus-funktioner. Hvis du har Microsoft Defender for Endpoint (hvilket omfatter Microsoft Defender Antivirus sammen med yderligere funktioner til enhedsbeskyttelse), skal du springe denne artikel over og fortsætte til Onboard non-persistent virtual desktop infrastructure (VDI)-enheder i Microsoft Defender XDR.

Du kan bruge Microsoft Defender Antivirus i et RDS- (Remote Desktop) eller et VDI-miljø (ikke-persistent virtual desktop infrastructure). I henhold til vejledningen i denne artikel kan du konfigurere opdateringer til at downloade direkte til dine RDS- eller VDI-miljøer, når en bruger logger på.

I denne vejledning beskrives det, hvordan du konfigurerer Microsoft Defender Antivirus på dine VM'er for at opnå optimal beskyttelse og ydeevne, herunder hvordan du:

Vigtigt!

Selvom en VDI kan hostes på Windows Server 2012 eller Windows Server 2016, skal virtuelle maskiner (VM'er) som minimum køre Windows 10 version 1607 på grund af øgede beskyttelsesteknologier og funktioner, der ikke er tilgængelige i tidligere versioner af Windows.

Konfigurer et dedikeret VDI-filshare til sikkerhedsintelligens

I Windows 10 version 1903 introducerede Microsoft funktionen til delt sikkerhedsintelligens, som fjerner udpakningen af downloadede sikkerhedsintelligensopdateringer på en værtscomputer. Denne metode reducerer brugen af CPU-, disk- og hukommelsesressourcer på individuelle maskiner. Delt sikkerhedsintelligens fungerer nu på Windows 10, version 1703 og nyere. Du kan konfigurere denne funktion ved hjælp af Gruppepolitik eller PowerShell, som beskrevet i følgende tabel:

Metode Procedure
Gruppepolitik 1. Åbn Gruppepolitik Administrationskonsol på Gruppepolitik-administrationscomputeren, højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg derefter Rediger.

2. I Editor administration af Gruppepolitik skal du gå til Computerkonfiguration.

Vælg Administrative skabeloner.

Udvid træet til Windows-komponenter>Microsoft Defender Antivirus>Security Intelligence-Opdateringer.

3. Dobbeltklik på Definer placering af sikkerhedsintelligens for VDI-klienter, og angiv derefter indstillingen til Aktiveret. Der vises automatisk et felt.

4. Angiv \\<sharedlocation\>\wdav-update (hvis du vil have hjælp til denne værdi, skal du se Download og pak ud).

5. Vælg OK.

Installer gruppepolitikobjektet på de VM'er, du vil teste.
PowerShell 1. På hver RDS- eller VDI-enhed skal du bruge følgende cmdlet til at aktivere funktionen: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Push opdateringen, som du normalt ville overføre PowerShell-baserede konfigurationspolitikker til dine VM'er. Se afsnittet Hent og pak ud for posten for delt <placering> .

Download og pak de seneste opdateringer ud

Nu kan du komme i gang med at downloade og installere nye opdateringer. Vi har oprettet et eksempel på et PowerShell-script for dig nedenfor. Dette script er den nemmeste måde at downloade nye opdateringer på og gøre dem klar til dine VM'er. Du skal derefter indstille scriptet til at køre på et bestemt tidspunkt på administrationscomputeren ved hjælp af en planlagt opgave (eller, hvis du er fortrolig med at bruge PowerShell-scripts i Azure, Intune eller SCCM, kan du også bruge disse scripts).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Du kan angive, at en planlagt opgave skal køre én gang om dagen, så VM'erne modtager den nye opdatering, når pakken downloades og pakkes ud. Vi foreslår, at du starter med én gang om dagen, men du bør eksperimentere med at øge eller mindske hyppigheden for at forstå virkningen.

Sikkerhedsintelligenspakker udgives typisk hver tredje til fire timer. Det anbefales ikke at angive en frekvens, der er kortere end fire timer, da det vil øge netværksbelastningen på din administrationsmaskine uden nogen fordel.

Du kan også konfigurere din enkeltserver eller computer til at hente opdateringerne på vegne af VM'erne med et interval og placere dem i filsharet til forbrug. Denne konfiguration er mulig, når enhederne har delings- og læseadgang (NTFS-tilladelser) til delingen, så de kan hente opdateringerne. Følg disse trin for at konfigurere denne konfiguration:

  1. Create et SMB/CIFS-filshare.

  2. Brug følgende eksempel til at oprette et filshare med følgende delingstilladelser.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Bemærk!

    Der tilføjes en NTFS-tilladelse for Godkendte brugere:Læs:.

    I dette eksempel er filsharet:

    \\fileserver.fqdn\mdatp$\wdav-update

Angiv en planlagt opgave for at køre PowerShell-scriptet

  1. Åbn menuen Start på administrationscomputeren, og skriv Opgavestyring. Åbn den, og vælg Create opgave... på sidepanelet.

  2. Angiv navnet som udpakning af Sikkerhedsintelligens. Gå til fanen Udløser . Vælg Ny...>Dagligt, og vælg OK.

  3. Gå til fanen Handlinger . Vælg Ny... Angiv PowerShell i feltet Program/Script . Angiv -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 i feltet Tilføj argumenter . Vælg OK.

  4. Konfigurer alle andre indstillinger efter behov.

  5. Vælg OK for at gemme den planlagte opgave.

Du kan starte opdateringen manuelt ved at højreklikke på opgaven og derefter vælge Kør.

Download og pak ud manuelt

Hvis du foretrækker at gøre alt manuelt, skal du gøre følgende for at replikere scriptets funktionsmåde:

  1. Create en ny mappe i systemroden, der kaldes wdav_update for at gemme intelligensopdateringer, f.eks. opret mappen c:\wdav_update.

  2. Create en undermappe under wdav_update med et GUID-navn, f.eks.{00000000-0000-0000-0000-000000000000}

    Her er et eksempel: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Bemærk!

    I scriptet angiver vi det, så de sidste 12 cifre i GUID'et er det år, den måned, den dag og det klokkeslæt, hvor filen blev downloadet, så der oprettes en ny mappe hver gang. Du kan ændre dette, så filen downloades til den samme mappe hver gang.

  3. Download en security intelligence-pakke fra https://www.microsoft.com/wdsi/definitions til GUID-mappen. Filen skal navngives mpam-fe.exe.

  4. Åbn et cmd-promptvindue, og naviger til den GUID-mappe, du har oprettet. Brug kommandoen /X extraction til at udtrække filerne, f.eks mpam-fe.exe /X. .

    Bemærk!

    VM'erne henter den opdaterede pakke, når der oprettes en ny GUID-mappe med en udpakket opdateringspakke, eller når en eksisterende mappe opdateres med en ny pakke, der er udpakket.

Randomiser planlagte scanninger

Planlagte scanninger kører ud over beskyttelse og scanning i realtid.

Starttidspunktet for selve scanningen er stadig baseret på politikken for planlagt scanning (ScheduleDay, ScheduleTime og ScheduleQuickScanTime). Randomisering medfører, at Microsoft Defender Antivirus starter en scanning på hver maskine inden for et fire-timers vindue fra det tidspunkt, der er angivet for den planlagte scanning.

Se Planlæg scanninger for at se andre konfigurationsindstillinger, der er tilgængelige for planlagte scanninger.

Brug hurtig scanninger

Du kan angive, hvilken type scanning der skal udføres under en planlagt scanning. Hurtige scanninger er den foretrukne fremgangsmåde, da de er designet til at se ud alle steder, hvor malware skal være aktiv. I følgende procedure beskrives det, hvordan du konfigurerer hurtigsøgninger ved hjælp af Gruppepolitik.

  1. I din Gruppepolitik Editor skal du gå til Administrative skabeloner>Windows-komponenter>Microsoft DefenderAntivirusscanning>.

  2. Vælg Angiv den scanningstype, der skal bruges til en planlagt scanning , og rediger derefter politikindstillingen.

  3. Angiv politikken til Aktiveret, og vælg derefter Hurtig scanning under Indstillinger.

  4. Vælg OK.

  5. Udrul dit Gruppepolitik objekt, som du normalt gør.

Forbyd meddelelser

Nogle gange sendes Microsoft Defender Antivirus-meddelelser til eller bevares på tværs af flere sessioner. Du kan undgå bruger forvirring ved at låse brugergrænsefladen Microsoft Defender Antivirus. I følgende procedure beskrives det, hvordan du undertrykker meddelelser ved hjælp af Gruppepolitik.

  1. I din Gruppepolitik Editor skal du gå til Windows-komponenter>Microsoft DefenderAntivirus-klientgrænsefladen>.

  2. Vælg Skjul alle meddelelser, og rediger derefter politikindstillingerne.

  3. Angiv politikken til Aktiveret, og vælg derefter OK.

  4. Udrul dit Gruppepolitik objekt, som du normalt gør.

Undertrykkelse af meddelelser forhindrer, at meddelelser fra Microsoft Defender Antivirus vises, når der udføres scanninger, eller der udføres afhjælpningshandlinger. Sikkerhedsteamet kan dog se resultaterne af en scanning, hvis et angreb registreres og stoppes. Beskeder, f.eks. en indledende adgangsbesked, genereres og vises på portalen Microsoft Defender.

Deaktiver scanninger efter en opdatering

Hvis du deaktiverer en scanning efter en opdatering, vil det forhindre en scanning i at ske efter modtagelse af en opdatering. Du kan anvende denne indstilling, når du opretter basisbilledet, hvis du også har kørt en hurtig scanning. På denne måde kan du forhindre den nyopdaterede VM i at udføre en scanning igen (som du allerede har scannet den, da du oprettede basisbilledet).

Vigtigt!

Kørsel af scanninger efter en opdatering hjælper med at sikre, at dine VM'er er beskyttet med de nyeste sikkerhedsintelligensopdateringer. Hvis du deaktiverer denne indstilling, reduceres beskyttelsesniveauet for dine VM'er, og den bør kun bruges, første gang du opretter eller installerer basisafbildningen.

  1. I din Gruppepolitik Editor skal du gå til Windows-komponenter>Microsoft Defender Antivirus>Security Intelligence-Opdateringer.

  2. Vælg Slå scanning til efter sikkerhedsintelligensopdatering , og rediger derefter politikindstillingen.

  3. Angiv politikken til Deaktiveret.

  4. Vælg OK.

  5. Udrul dit Gruppepolitik objekt, som du normalt gør.

Denne politik forhindrer, at en scanning kører umiddelbart efter en opdatering.

Deaktiver indstillingen ScanOnlyIfIdle

Brug følgende cmdlet til at stoppe en hurtig eller planlagt scanning, når enheden går inaktiv, hvis den er i passiv tilstand.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Du kan også deaktivere indstillingen ScanOnlyIfIdle i Microsoft Defender Antivirus ved at konfigurere via lokal gruppepolitik eller domænegruppepolitik. Denne indstilling forhindrer betydelig CPU-strid i miljøer med høj tæthed.

Du kan finde flere oplysninger under Start kun den planlagte scanning, når computeren er tændt, men ikke i brug.

Scan VM'er, der har været offline

  1. I din Gruppepolitik Editor skal du gå til Windows-komponenter>Microsoft DefenderAntivirusscanning>.

  2. Vælg Slå hurtigsøgning til , og rediger derefter politikindstillingen.

  3. Angiv politikken til Aktiveret.

  4. Vælg OK.

  5. Udrul dit Gruppepolitik-objekt, som du normalt gør.

Denne politik gennemtvinger en scanning, hvis den virtuelle maskine har overset to eller flere planlagte scanninger efter hinanden.

Aktivér hovedløs brugergrænsefladetilstand

  1. I din Gruppepolitik Editor skal du gå til Windows-komponenter>Microsoft DefenderAntivirus-klientgrænsefladen>.

  2. Vælg Aktivér hovedløs brugergrænsefladetilstand, og rediger politikken.

  3. Angiv politikken til Aktiveret.

  4. Vælg OK.

  5. Udrul dit Gruppepolitik-objekt, som du normalt gør.

Denne politik skjuler hele brugergrænsefladen Microsoft Defender Antivirus fra slutbrugere i din organisation.

Udeladelser

Hvis du mener, at du har brug for at tilføje udeladelser, skal du se Administrer udeladelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus.

Se også

Hvis du leder efter oplysninger om Defender for Endpoint på ikke-Windows-platforme, skal du se følgende ressourcer:

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.