Integrieren nicht persistenter VDI-Geräte (Virtual Desktop Infrastructure) in Microsoft Defender XDR

  • Artikel

Virtual Desktop Infrastructure (VDI) ist ein IT-Infrastrukturkonzept, mit dem Endbenutzer von fast jedem Gerät (z. B. Ihrem PC, Smartphone oder Tablet) aus auf virtuelle Unternehmensdesktopinstanzen zugreifen können, sodass keine organization erforderlich sind, um Benutzern physische Computer zur Verfügung zu stellen. Die Verwendung von VDI-Geräten senkt die Kosten, da IT-Abteilungen nicht mehr für die Verwaltung, Reparatur und den Austausch physischer Endpunkte verantwortlich sind. Autorisierte Benutzer können von jedem genehmigten Gerät über einen sicheren Desktopclient oder Browser auf dieselben Unternehmensserver, Dateien, Apps und Dienste zugreifen.

Wie jedes andere System in einer IT-Umgebung sollten auch diese über eine Endpunkterkennungs- und Antivirenlösung (Endpoint Detection and Response, EDR) verfügen, um sich vor erweiterten Bedrohungen und Angriffen zu schützen.

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Hinweis

Persistente VDI's: Das Onboarding eines persistenten VDI-Computers in Microsoft Defender for Endpoint erfolgt auf die gleiche Weise wie das Onboarding eines physischen Computers, z. B. eines Desktops oder Laptops. Gruppenrichtlinien, Microsoft Configuration Manager und andere Methoden können zum Onboarding eines persistenten Computers verwendet werden. Wählen Sie im Microsoft Defender-Portal (https://security.microsoft.com) unter Onboarding Ihre bevorzugte Onboardingmethode aus, und befolgen Sie die Anweisungen für diesen Typ. Weitere Informationen finden Sie unter Integrieren des Windows-Clients.

Onboarding nicht persistenter VDI-Geräte (Virtual Desktop Infrastructure)

Defender für Endpunkt unterstützt das Onboarding nicht persistenter VDI-Sitzungen.

Beim Onboarding von VDI-Instanzen können probleme auftreten. Im Folgenden finden Sie typische Herausforderungen für dieses Szenario:

  • Sofortiges frühes Onboarding einer kurzlebigen Sitzung, die vor der tatsächlichen Bereitstellung in Defender für Endpunkt integriert werden muss.
  • Der Gerätename wird in der Regel für neue Sitzungen wiederverwendet.

In einer VDI-Umgebung können VDI-Instanzen eine kurze Lebensdauer aufweisen. VDI-Geräte können im Microsoft Defender-Portal entweder als einzelne Einträge für jedes VDI-instance oder als mehrere Einträge für jedes Gerät angezeigt werden.

  • Einzelner Eintrag für jede VDI-instance. Wenn die VDI-instance bereits in Microsoft Defender for Endpoint integriert, irgendwann gelöscht und dann mit demselben Hostnamen neu erstellt wurde, wird im Portal KEIN neues Objekt erstellt, das diese VDI-instance darstellt.

    Hinweis

    In diesem Fall muss derselbe Gerätename konfiguriert werden, wenn die Sitzung erstellt wird, z. B. mithilfe einer unbeaufsichtigten Antwortdatei.

  • Mehrere Einträge für jedes Gerät – einer für jede VDI-instance.

Wichtig

Wenn Sie nicht persistente VDIs über Klontechnologie bereitstellen, stellen Sie sicher, dass Ihre internen Vorlagen-VMs nicht in Defender für Endpunkt integriert sind. Diese Empfehlung besteht darin, zu vermeiden, dass geklonte VMs mit demselben senseGuid wie Ihre Vorlagen-VMs integriert werden, was verhindern könnte, dass VMs als neue Einträge in der Geräteliste angezeigt werden.

Die folgenden Schritte führen Sie durch das Onboarding von VDI-Geräten und markieren die Schritte für einzelne und mehrere Einträge.

Warnung

In Umgebungen, in denen konfigurationen mit geringen Ressourcen vorhanden sind, kann das Onboarding des Defender für Endpunkt-Sensors durch das VDI-Startverfahren verlangsamt werden.

Onboardingschritte

Hinweis

Windows Server 2016 und Windows Server 2012 R2 müssen vorbereitet werden, indem sie zuerst das Installationspaket mithilfe der Anweisungen unter Onboarding von Windows-Servern anwenden, damit dieses Feature funktioniert.

  1. Öffnen Sie das VDI-Konfigurationspaket .zip Datei (WindowsDefenderATPOnboardingPackage.zip), die Sie aus dem Dienst-Onboarding-Assistenten heruntergeladen haben. Sie können das Paket auch über das Microsoft Defender-Portal abrufen:

    1. Wählen Sie im Navigationsbereich Einstellungen>Endpunkte>Geräteverwaltung>Onboarding aus.

    2. Wählen Sie das Betriebssystem aus.

    3. Wählen Sie im Feld Bereitstellungsmethodedie Option VDI-Onboardingskripts für nicht persistente Endpunkte aus.

    4. Klicken Sie auf Paket herunterladen , und speichern Sie die .zip Datei.

  2. Kopieren Sie die Dateien aus dem Ordner WindowsDefenderATPOnboardingPackage, der aus der .zip-Datei extrahiert wurde, in das goldene/primäre Image unter dem Pfad C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    1. Wenn Sie mehrere Einträge für jedes Gerät implementieren – einen für jede Sitzung, kopieren Sie WindowsDefenderATPOnboardingScript.cmd.

    2. Wenn Sie einen einzelnen Eintrag für jedes Gerät implementieren, kopieren Sie sowohl Onboard-NonPersistentMachine.ps1 als auch WindowsDefenderATPOnboardingScript.cmd.

    Hinweis

    Wenn der C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup Ordner nicht angezeigt wird, ist er möglicherweise ausgeblendet. Sie müssen die Option Ausgeblendete Dateien und Ordner anzeigen aus Explorer auswählen.

  3. Öffnen Sie ein Lokales Gruppenrichtlinie Editor Fenster, und navigieren Sie zu Computerkonfiguration>Windows Einstellungen>Skripts>Start.

    Hinweis

    Domänen Gruppenrichtlinie können auch für das Onboarding nicht persistenter VDI-Geräte verwendet werden.

  4. Führen Sie abhängig von der Methode, die Sie implementieren möchten, die entsprechenden Schritte aus:

    • Für einen einzelnen Eintrag für jedes Gerät:

      Wählen Sie die Registerkarte PowerShell-Skripts und dann Hinzufügen aus (Windows Explorer wird direkt in dem Pfad geöffnet, in den Sie das Onboardingskript zuvor kopiert haben). Navigieren Sie zum Onboarding des PowerShell-Skripts Onboard-NonPersistentMachine.ps1. Es ist nicht erforderlich, die andere Datei anzugeben, da sie automatisch ausgelöst wird.

    • Für mehrere Einträge für jedes Gerät:

      Wählen Sie die Registerkarte Skripts aus, und klicken Sie dann auf Hinzufügen (Windows Explorer wird direkt in dem Pfad geöffnet, in den Sie das Onboardingskript zuvor kopiert haben). Navigieren Sie zum Bash-Skript WindowsDefenderATPOnboardingScript.cmdfür das Onboarding.

  5. Testen Sie Ihre Lösung:

    1. Create einen Pool mit einem Gerät.

    2. Melden Sie sich am Gerät an.

    3. Melden Sie sich vom Gerät ab.

    4. Melden Sie sich mit einem anderen Benutzer am Gerät an.

    5. Führen Sie abhängig von der Methode, die Sie implementieren möchten, die entsprechenden Schritte aus:

      • Für einen einzelnen Eintrag für jedes Gerät: Überprüfen Sie nur einen Eintrag in Microsoft Defender Portal.
      • Für mehrere Einträge für jedes Gerät: Überprüfen Sie mehrere Einträge in Microsoft Defender Portal.

  6. Klicken Sie im Navigationsbereich auf Geräteliste .

  7. Verwenden Sie die Suchfunktion, indem Sie den Gerätenamen eingeben und Gerät als Suchtyp auswählen.

Für downlevel-SKUs (Windows Server 2008 R2)

Hinweis

Diese Anweisungen gelten auch für andere Windows Server-Versionen, wenn Sie die vorherige Microsoft Defender for Endpoint für Windows Server 2016 und Windows Server 2012 R2 ausführen, für die mmA erforderlich ist. Anweisungen zum Migrieren zur neuen einheitlichen Lösung finden Sie unter Servermigrationsszenarien in Microsoft Defender for Endpoint.

Die folgende Registrierung ist nur relevant, wenn es darum geht, einen "Einzelnen Eintrag für jedes Gerät" zu erreichen.

  1. Legen Sie den Registrierungswert auf Folgendes fest:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    oder über die Befehlszeile:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Befolgen Sie den Onboardingprozess für den Server.

Aktualisieren von VDI-Images (virtual desktop infrastructure) (persistent oder nicht persistent)

Mit der Möglichkeit zum einfachen Bereitstellen von Updates auf VMs, die in VDIs ausgeführt werden, haben wir diesen Leitfaden gekürzt, um uns darauf zu konzentrieren, wie Sie Updates schnell und einfach auf Ihren Computern erhalten können. Sie müssen keine goldenen Images mehr in regelmäßigen Abständen erstellen und versiegeln, da Updates in ihre Komponentenbits auf dem Hostserver erweitert und dann direkt auf den virtuellen Computer heruntergeladen werden, wenn sie aktiviert ist.

Wenn Sie das primäre Image Ihrer VDI-Umgebung integriert haben (der SENSE-Dienst wird ausgeführt), müssen Sie einige Daten offboarden und löschen, bevor Sie das Image wieder in die Produktion bringen.

  1. Offboarden sie den Computer.

  2. Stellen Sie sicher, dass der Sensor beendet wird, indem Sie den folgenden Befehl in einem CMD-Fenster ausführen:

    sc query sense

  3. Führen Sie die folgenden Befehle in einem CMD-Fenster aus:

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Verwenden Sie einen Drittanbieter für VDIs?

Wenn Sie nicht persistente VDIs über das sofortige Klonen von VMware oder ähnliche Technologien bereitstellen, stellen Sie sicher, dass Ihre internen Vorlagen-VMs und Replikat-VMs nicht in Defender für Endpunkt integriert sind. Wenn Sie Geräte mithilfe der Single Entry-Methode integrieren, weisen sofortige Klone, die von integrierten VMs bereitgestellt werden, möglicherweise dieselbe senseGuid auf, und dies kann verhindern, dass ein neuer Eintrag in der Ansicht Gerätebestand aufgeführt wird (wählen Sie im Microsoft Defender-PortalBestand>Geräte aus).

Wenn entweder das primäre Image, die Vorlagen-VM oder die Replikat-VM mithilfe der Single Entry-Methode in Defender für Endpunkt integriert werden, wird verhindert, dass Defender Einträge für neue nicht persistente VDIs im Microsoft Defender-Portal erstellt.

Wenden Sie sich an Ihre Drittanbieter, um weitere Unterstützung zu erhalten.

Nach dem Onboarding von Geräten in den Dienst ist es wichtig, die enthaltenen Bedrohungsschutzfunktionen zu nutzen, indem Sie sie mit den folgenden empfohlenen Konfigurationseinstellungen aktivieren.

Schutzkonfiguration der nächsten Generation

Die folgenden Konfigurationseinstellungen werden empfohlen:

Cloud Protection-Dienst

  • Aus der Cloud bereitgestellten Schutz aktivieren: Ja
  • Über die Cloud bereitgestellte Schutzstufe: Nicht konfiguriert
  • Erweitertes Defender Cloud-Timeout in Sekunden: 20

Ausschlüsse

Echtzeitschutz

  • Alle Einstellungen aktivieren und so festlegen, dass alle Dateien überwacht werden

Sanierung

  • Anzahl der Tage für die Aufbewahrung von Schadsoftware unter Quarantäne: 30
  • Zustimmung zum Übermitteln von Beispielen: Alle Beispiele automatisch senden
  • Aktion für potenziell unerwünschte Apps: Aktivieren
  • Aktionen für erkannte Bedrohungen:
    • Geringe Bedrohung: Bereinigen
    • Moderate Bedrohung, Hohe Bedrohung, schwerwiegende Bedrohung: Quarantäne

Überprüfung

  • Überprüfen archivierter Dateien: Ja
  • Verwenden einer niedrigen CPU-Priorität für geplante Überprüfungen: Nicht konfiguriert
  • Vollständige Überprüfung nachholen deaktivieren: Nicht konfiguriert
  • Schnellüberprüfung für aufholen deaktivieren: Nicht konfiguriert
  • CPU-Auslastungslimit pro Scan: 50
  • Überprüfen zugeordneter Netzlaufwerke während der vollständigen Überprüfung: Nicht konfiguriert
  • Ausführen einer täglichen Schnellüberprüfung um: 12:00 Uhr
  • Scantyp: Nicht konfiguriert
  • Wochentag zum Ausführen der geplanten Überprüfung: Nicht konfiguriert
  • Tageszeit für die Ausführung einer geplanten Überprüfung: Nicht konfiguriert
  • Überprüfen auf Signaturupdates vor dem Ausführen der Überprüfung: Ja

Updates

  • Geben Sie ein, wie oft nach Security Intelligence-Updates gesucht werden soll: 8
  • Behalten Sie andere Einstellungen im Standardzustand bei

Verwendung durch den Benutzer

  • Benutzerzugriff auf Microsoft Defender App zulassen: Nicht konfiguriert

Aktivieren des Manipulationsschutzes

  • Aktivieren des Manipulationsschutzes, um zu verhindern, dass Microsoft Defender deaktiviert wird: Aktivieren

Verringerung der Angriffsfläche

  • Netzwerkschutz aktivieren: Testmodus
  • SmartScreen für Microsoft Edge erforderlich: Ja
  • Zugriff auf schädliche Websites blockieren: Ja
  • Download nicht überprüfter Dateien blockieren: Ja

Regeln zur Verringerung der Angriffsfläche

  • Konfigurieren Sie alle verfügbaren Regeln für Die Überwachung.

Hinweis

Das Blockieren dieser Aktivitäten kann legitime Geschäftsprozesse unterbrechen. Der beste Ansatz besteht darin, alles auf die Überwachung festzulegen, zu identifizieren, welche sicher aktiviert werden können, und dann diese Einstellungen auf Endpunkten zu aktivieren, die keine falsch positiven Erkennungen aufweisen.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.