Konfigurieren Microsoft Defender Antivirus auf einer Remotedesktop- oder virtuellen Desktopinfrastrukturumgebung

  • Artikel

Gilt für:

Plattformen

  • Windows

Tipp

Dieser Artikel richtet sich nur an Kunden, die Microsoft Defender Antivirus-Funktionen verwenden. Wenn Sie über Microsoft Defender for Endpoint verfügen (einschließlich Microsoft Defender Antivirus neben zusätzlichen Geräteschutzfunktionen), überspringen Sie diesen Artikel, und fahren Sie mit Onboarding nicht persistenter VDI-Geräte (Virtual Desktop Infrastructure) in Microsoft Defender XDR fort.

Sie können Microsoft Defender Antivirus in einer Remotedesktopumgebung (RDS) oder einer nicht persistenten VDI-Umgebung (Virtual Desktop Infrastructure) verwenden. Gemäß den Anleitungen in diesem Artikel können Sie Updates so konfigurieren, dass sie direkt in Ihre RDS- oder VDI-Umgebungen heruntergeladen werden, wenn sich ein Benutzer anmeldet.

In diesem Leitfaden wird beschrieben, wie Sie Microsoft Defender Antivirus auf Ihren VMs konfigurieren, um optimalen Schutz und eine optimale Leistung zu erzielen, einschließlich der folgenden Vorgehensweise:

Wichtig

Obwohl eine VDI auf Windows Server 2012 oder Windows Server 2016 gehostet werden kann, sollte auf virtuellen Computern (VMs) mindestens Windows 10 Version 1607 ausgeführt werden, da die Schutztechnologien und Features in früheren Versionen von Windows nicht verfügbar sind.

Einrichten einer dedizierten VDI-Dateifreigabe für Security Intelligence

In Windows 10 Version 1903 hat Microsoft das Shared Security Intelligence-Feature eingeführt, das das Entpacken heruntergeladener Security Intelligence-Updates auf einen Hostcomputer auslädt. Diese Methode reduziert die Auslastung von CPU-, Datenträger- und Arbeitsspeicherressourcen auf einzelnen Computern. Freigegebene Sicherheitsintelligenz funktioniert jetzt unter Windows 10 Version 1703 und höher. Sie können diese Funktion mithilfe von Gruppenrichtlinie oder PowerShell einrichten, wie in der folgenden Tabelle beschrieben:

Methode Verfahren
Gruppenrichtlinien 1. Öffnen Sie auf Ihrem Gruppenrichtlinie Verwaltungscomputer die Gruppenrichtlinie Management Console, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.

2. Wechseln Sie im Gruppenrichtlinie Verwaltungs-Editor zu Computerkonfiguration.

Wählen Sie Administrative Vorlagen aus.

Erweitern Sie die Struktur zu Windows-Komponenten>Microsoft Defender Antivirus>Security Intelligence Updates.

3. Doppelklicken Sie auf Sicherheitsintelligenzspeicherort für VDI-Clients definieren, und legen Sie dann die Option auf Aktiviert fest. Ein Feld wird automatisch angezeigt.

4. Geben Sie ein \\<sharedlocation\>\wdav-update (Hilfe zu diesem Wert finden Sie unter Herunterladen und Entpacken).

5. Wählen Sie OK aus.

Stellen Sie das Gruppenrichtlinienobjekt auf den VMs bereit, die Sie testen möchten.
PowerShell 1. Verwenden Sie auf jedem RDS- oder VDI-Gerät das folgende Cmdlet, um das Feature zu aktivieren: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Pushen Sie das Update, da Sie normalerweise PowerShell-basierte Konfigurationsrichtlinien auf Ihre VMs pushen würden. (Weitere Informationen finden Sie im Abschnitt Herunterladen und Entpacken des Eintrags für den <freigegebenen Speicherort> .)

Herunterladen und Entpacken der neuesten Updates

Jetzt können Sie mit dem Herunterladen und Installieren neuer Updates beginnen. Nachfolgend haben wir ein PowerShell-Beispielskript für Sie erstellt. Dieses Skript ist die einfachste Möglichkeit, neue Updates herunterzuladen und für Ihre VMs vorzubereiten. Sie sollten dann festlegen, dass das Skript zu einem bestimmten Zeitpunkt auf dem Verwaltungscomputer ausgeführt wird, indem Sie eine geplante Aufgabe verwenden (oder, wenn Sie mit der Verwendung von PowerShell-Skripts in Azure, Intune oder SCCM vertraut sind, können Sie diese Skripts auch verwenden).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Sie können festlegen, dass eine geplante Aufgabe einmal täglich ausgeführt wird, sodass die VMs beim Herunterladen und Entpacken des Pakets das neue Update erhalten. Es wird empfohlen, mit einmal täglich zu beginnen, aber Sie sollten mit dem Erhöhen oder Verringern der Häufigkeit experimentieren, um die Auswirkungen zu verstehen.

Security Intelligence-Pakete werden in der Regel alle drei bis vier Stunden veröffentlicht. Das Festlegen einer Häufigkeit, die kürzer als vier Stunden ist, ist nicht ratsam, da dies den Netzwerkaufwand auf Ihrem Verwaltungscomputer erhöht.

Sie können auch Ihren Einzelserver oder Computer so einrichten, dass die Updates im Auftrag der VMs in einem Intervall abgerufen und zur Nutzung in der Dateifreigabe abgelegt werden. Diese Konfiguration ist möglich, wenn die Geräte über den Freigabe- und Lesezugriff (NTFS-Berechtigungen) für die Freigabe verfügen, damit sie die Updates abrufen können. Führen Sie die folgenden Schritte aus, um diese Konfiguration einzurichten:

  1. Erstellen Sie eine SMB/CIFS-Dateifreigabe.

  2. Verwenden Sie das folgende Beispiel, um eine Dateifreigabe mit den folgenden Freigabeberechtigungen zu erstellen.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Hinweis

    Für authentifizierte Benutzer:Read:wird eine NTFS-Berechtigung hinzugefügt.

    In diesem Beispiel lautet die Dateifreigabe wie folgt:

    \\fileserver.fqdn\mdatp$\wdav-update

Festlegen einer geplanten Aufgabe zum Ausführen des PowerShell-Skripts

  1. Öffnen Sie auf dem Verwaltungscomputer das Startmenü, und geben Sie Taskplaner ein. Öffnen Sie es, und wählen Sie im Seitenbereich Aufgabe erstellen... aus.

  2. Geben Sie den Namen security intelligence unpacker ein. Wechseln Sie zur Registerkarte Trigger. Wählen Sie Neu...> aus.Täglich, und wählen Sie OK aus.

  3. Wechseln Sie zur Registerkarte Aktionen . Wählen Sie Neu... aus. Geben Sie PowerShell in das Feld Programm/Skript ein. Geben Sie -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 in das Feld Argumente hinzufügen ein. Wählen Sie OK aus.

  4. Konfigurieren Sie alle anderen Einstellungen entsprechend.

  5. Wählen Sie OK aus, um den geplanten Vorgang zu speichern.

Sie können das Update manuell initiieren, indem Sie mit der rechten Maustaste auf den Task klicken und dann Ausführen auswählen.

Manuelles Herunterladen und Entpacken

Wenn Sie es vorziehen, alles manuell durchzuführen, gehen Sie wie folgt vor, um das Verhalten des Skripts zu replizieren:

  1. Erstellen Sie im Systemstamm einen neuen Ordner namens zum wdav_update Speichern von Intelligence-Updates, z. B. erstellen Sie den Ordner c:\wdav_update.

  2. Erstellen Sie unter wdav_update einen Unterordner mit einem GUID-Namen, z. B. {00000000-0000-0000-0000-000000000000}

    Hier sehen Sie ein Beispiel: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Hinweis

    Im Skript legen wir es so fest, dass die letzten 12 Ziffern der GUID das Jahr, den Monat, den Tag und die Uhrzeit des Downloads der Datei sind, sodass jedes Mal ein neuer Ordner erstellt wird. Sie können dies ändern, sodass die Datei jedes Mal in denselben Ordner heruntergeladen wird.

  3. Laden Sie ein Security Intelligence-Paket aus in den GUID-Ordner herunter https://www.microsoft.com/wdsi/definitions . Die Datei sollte den Namen haben mpam-fe.exe.

  4. Öffnen Sie ein Cmd-Eingabeaufforderungsfenster, und navigieren Sie zu dem guid-Ordner, den Sie erstellt haben. Verwenden Sie den /X-Extraktionsbefehl, um die Dateien zu extrahieren, z. Bmpam-fe.exe /X. .

    Hinweis

    Die VMs nehmen das aktualisierte Paket immer dann auf, wenn ein neuer GUID-Ordner mit einem extrahierten Updatepaket erstellt wird oder wenn ein vorhandener Ordner mit einem neuen extrahierten Paket aktualisiert wird.

Zufällige geplante Überprüfungen

Geplante Überprüfungen werden zusätzlich zu Echtzeitschutz und -überprüfung ausgeführt.

Die Startzeit der Überprüfung selbst basiert weiterhin auf der geplanten Überprüfungsrichtlinie (ScheduleDay, ScheduleTime und ScheduleQuickScanTime). Die Zufallssuche führt dazu, dass Microsoft Defender Antivirus innerhalb eines Vier-Stunden-Zeitfensters nach der für die geplante Überprüfung festgelegten Zeit eine Überprüfung auf jedem Computer startet.

Weitere Konfigurationsoptionen für geplante Überprüfungen finden Sie unter Planen von Überprüfungen .

Verwenden von Schnellscans

Sie können den Typ der Überprüfung angeben, die während einer geplanten Überprüfung ausgeführt werden soll. Schnellscans sind der bevorzugte Ansatz, da sie so konzipiert sind, dass sie an allen Orten suchen, an denen sich Schadsoftware befinden muss, um aktiv zu sein. Im folgenden Verfahren wird beschrieben, wie Schnellscans mithilfe von Gruppenrichtlinie eingerichtet werden.

  1. Wechseln Sie in Ihrem Gruppenrichtlinie-Editor zu Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirenüberprüfung>.

  2. Wählen Sie Den Scantyp angeben aus, der für eine geplante Überprüfung verwendet werden soll , und bearbeiten Sie dann die Richtlinieneinstellung.

  3. Legen Sie die Richtlinie auf Aktiviert fest, und wählen Sie dann unter Optionendie Option Schnellüberprüfung aus.

  4. Wählen Sie OK aus.

  5. Stellen Sie Ihr Gruppenrichtlinien-Objekt bereit, so wie Sie dies normalerweise tun.

Verhindern von Benachrichtigungen

Manchmal werden Microsoft Defender Antivirusbenachrichtigungen an mehrere Sitzungen gesendet oder beibehalten. Um Benutzerverwechslungen zu vermeiden, können Sie die Microsoft Defender Antivirus-Benutzeroberfläche sperren. Im folgenden Verfahren wird beschrieben, wie Benachrichtigungen mithilfe von Gruppenrichtlinie unterdrückt werden.

  1. Wechseln Sie in Ihrem Gruppenrichtlinie-Editor zu Windows-Komponenten>Microsoft DefenderAntivirus-Clientschnittstelle>.

  2. Wählen Sie Alle Benachrichtigungen unterdrücken aus, und bearbeiten Sie dann die Richtlinieneinstellungen.

  3. Legen Sie die Richtlinie auf Aktiviert fest, und wählen Sie dann OK aus.

  4. Stellen Sie Ihr Gruppenrichtlinien-Objekt bereit, so wie Sie dies normalerweise tun.

Das Unterdrücken von Benachrichtigungen verhindert, dass Benachrichtigungen von Microsoft Defender Antivirus angezeigt werden, wenn Überprüfungen durchgeführt oder Korrekturmaßnahmen ausgeführt werden. Ihr Sicherheitsteam sieht jedoch die Ergebnisse einer Überprüfung, wenn ein Angriff erkannt und beendet wird. Warnungen, z. B. eine Warnung für den ersten Zugriff, werden generiert und im Microsoft Defender-Portal angezeigt.

Deaktivieren von Überprüfungen nach einem Update

Das Deaktivieren einer Überprüfung nach einem Update verhindert, dass eine Überprüfung nach dem Empfang eines Updates erfolgt. Sie können diese Einstellung beim Erstellen des Basisimages anwenden, wenn Sie auch eine Schnellüberprüfung ausgeführt haben. Auf diese Weise können Sie verhindern, dass der neu aktualisierte virtuelle Computer erneut eine Überprüfung durchführt (da Sie ihn bereits beim Erstellen des Basisimages überprüft haben).

Wichtig

Das Ausführen von Überprüfungen nach einem Update trägt dazu bei, dass Ihre virtuellen Computer mit den neuesten Security Intelligence-Updates geschützt sind. Wenn Sie diese Option deaktivieren, verringert sich die Schutzebene Ihrer virtuellen Computer und sollte nur beim ersten Erstellen oder Bereitstellen des Basisimages verwendet werden.

  1. Wechseln Sie in Ihrem Gruppenrichtlinie-Editor zu Windows-Komponenten>Microsoft Defender Antivirus>Security Intelligence Updates.

  2. Wählen Sie Überprüfung nach dem Security Intelligence-Update aktivieren aus, und bearbeiten Sie dann die Richtlinieneinstellung.

  3. Legen Sie die Richtlinie auf Deaktiviert fest.

  4. Wählen Sie OK aus.

  5. Stellen Sie Ihr Gruppenrichtlinien-Objekt bereit, so wie Sie dies normalerweise tun.

Diese Richtlinie verhindert, dass eine Überprüfung unmittelbar nach einem Update ausgeführt wird.

Deaktivieren der ScanOnlyIfIdle Option

Verwenden Sie das folgende Cmdlet, um eine schnelle oder geplante Überprüfung zu beenden, wenn sich das Gerät im passiven Modus im Leerlauf befindet.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Sie können die ScanOnlyIfIdle Option auch in Microsoft Defender Antivirus durch Konfiguration über lokale oder Domänengruppenrichtlinie deaktivieren. Diese Einstellung verhindert erhebliche CPU-Konflikte in Umgebungen mit hoher Dichte.

Weitere Informationen finden Sie unter Starten der geplanten Überprüfung nur, wenn der Computer aktiviert, aber nicht verwendet wird.

Überprüfen von VMs, die offline waren

  1. Wechseln Sie in Ihrem Gruppenrichtlinie-Editor zu Windows-Komponenten>Microsoft Defender Antivirenüberprüfung>.

  2. Wählen Sie Nachholschnellüberprüfung aktivieren aus, und bearbeiten Sie dann die Richtlinieneinstellung.

  3. Legen Sie die Richtlinie auf Aktiviert fest.

  4. Wählen Sie OK aus.

  5. Stellen Sie Ihr Gruppenrichtlinie-Objekt wie üblich bereit.

Diese Richtlinie erzwingt eine Überprüfung, wenn der virtuelle Computer zwei oder mehr aufeinanderfolgende geplante Überprüfungen verpasst hat.

Aktivieren des kopflosen Benutzeroberflächenmodus

  1. Wechseln Sie in Ihrem Gruppenrichtlinie-Editor zu Windows-Komponenten>Microsoft DefenderAntivirus-Clientschnittstelle>.

  2. Wählen Sie Den Modus der kopflosen Benutzeroberfläche aktivieren aus, und bearbeiten Sie die Richtlinie.

  3. Legen Sie die Richtlinie auf Aktiviert fest.

  4. Wählen Sie OK aus.

  5. Stellen Sie Ihr Gruppenrichtlinie-Objekt wie üblich bereit.

Diese Richtlinie blendet die gesamte Microsoft Defender Antivirus-Benutzeroberfläche für Endbenutzer in Ihrem organization aus.

Ausschlüsse

Wenn Sie der Meinung sind, dass Sie Ausschlüsse hinzufügen müssen, lesen Sie Verwalten von Ausschlüssen für Microsoft Defender for Endpoint und Microsoft Defender Antivirus.

Siehe auch

Informationen zu Defender für Endpunkt auf Nicht-Windows-Plattformen finden Sie in den folgenden Ressourcen:

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.