Incorporación de dispositivos de infraestructura de escritorio virtual (VDI) no persistente en Microsoft Defender XDR

  • Artículo

La infraestructura de escritorio virtual (VDI) es un concepto de infraestructura de TI que permite a los usuarios finales acceder a instancias de escritorios virtuales empresariales desde casi cualquier dispositivo (como su equipo personal, smartphone o tableta), lo que elimina la necesidad de que la organización proporcione a los usuarios máquinas físicas. El uso de dispositivos VDI reduce el costo, ya que los departamentos de TI ya no son responsables de administrar, reparar y reemplazar puntos de conexión físicos. Los usuarios autorizados pueden acceder a los mismos servidores, archivos, aplicaciones y servicios de la empresa desde cualquier dispositivo aprobado a través de un explorador o cliente de escritorio seguro.

Al igual que cualquier otro sistema de un entorno de TI, estos también deben tener una solución antivirus y de detección de puntos de conexión (EDR) para protegerse frente a amenazas y ataques avanzados.

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Nota:

VDI persistentes: la incorporación de una máquina VDI persistente a Microsoft Defender para punto de conexión se controla de la misma manera que incorporaría una máquina física, como un equipo de escritorio o portátil. Se pueden usar directivas de grupo, Microsoft Configuration Manager y otros métodos para incorporar una máquina persistente. En el portal de Microsoft Defender, (https://security.microsoft.com) en incorporación, seleccione el método de incorporación que prefiera y siga las instrucciones de ese tipo. Para obtener más información, consulte Incorporación del cliente Windows.

Incorporación de dispositivos de infraestructura de escritorio virtual (VDI) no persistentes

Defender for Endpoint admite la incorporación de sesión de VDI no persistente.

Puede haber desafíos asociados al incorporar instancias de VDI. Los siguientes son los desafíos típicos de este escenario:

  • Incorporación temprana instantánea de una sesión de corta duración, que debe incorporarse a Defender para punto de conexión antes del aprovisionamiento real.
  • Normalmente, el nombre del dispositivo se reutiliza para las sesiones nuevas.

En un entorno de VDI, las instancias de VDI pueden tener una duración corta. Los dispositivos VDI pueden aparecer en el portal de Microsoft Defender como entradas únicas para cada instancia de VDI o varias entradas para cada dispositivo.

  • Entrada única para cada instancia de VDI. Si la instancia de VDI ya se ha incorporado a Microsoft Defender para punto de conexión y, en algún momento, se ha eliminado y, a continuación, se ha vuelto a crear con el mismo nombre de host, no se creará un nuevo objeto que represente esta instancia de VDI en el portal.

    Nota:

    En este caso, se debe configurar el mismo nombre de dispositivo cuando se crea la sesión, por ejemplo, mediante un archivo de respuesta desatendida.

  • Varias entradas para cada dispositivo: una para cada instancia de VDI.

Importante

Si va a implementar vdis no persistentes a través de la tecnología de clonación, asegúrese de que las máquinas virtuales de plantilla internas no están incorporadas a Defender para punto de conexión. Esta recomendación consiste en evitar que las máquinas virtuales clonadas se incorpore con el mismo sentido que las máquinas virtuales de plantilla, lo que podría impedir que las máquinas virtuales se muestren como entradas nuevas en la lista Dispositivos.

Los pasos siguientes le guían a través de la incorporación de dispositivos VDI y los pasos de resaltado para entradas únicas y múltiples.

Advertencia

En entornos en los que hay configuraciones de recursos bajas, el procedimiento de arranque de VDI podría ralentizar la incorporación del sensor de Defender para punto de conexión.

Pasos de incorporación

Nota:

Windows Server 2016 y Windows Server 2012 R2 deben prepararse aplicando primero el paquete de instalación mediante las instrucciones de Incorporación de servidores Windows para que esta característica funcione.

  1. Abra el archivo de .zip del paquete de configuración de VDI (WindowsDefenderATPOnboardingPackage.zip) que descargó del asistente para la incorporación de servicios. También puede obtener el paquete desde el portal de Microsoft Defender:

    1. En el panel de navegación, seleccione Configuración>Puntos de conexión>Incorporaciónde administración de> dispositivos.

    2. Seleccione el sistema operativo.

    3. En el campo Método de implementación , seleccione Scripts de incorporación de VDI para puntos de conexión no persistentes.

    4. Haga clic en Descargar paquete y guarde el archivo .zip.

  2. Copie los archivos de la carpeta WindowsDefenderATPOnboardingPackage extraída del archivo .zip en la imagen principal o dorada de la ruta de acceso C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    1. Si va a implementar varias entradas para cada dispositivo, una para cada sesión, copie WindowsDefenderATPOnboardingScript.cmd.

    2. Si va a implementar una única entrada para cada dispositivo, copie Onboard-NonPersistentMachine.ps1 y WindowsDefenderATPOnboardingScript.cmd.

    Nota:

    Si no ve la C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup carpeta, es posible que esté oculta. Tendrá que elegir la opción Mostrar archivos y carpetas ocultos de Explorador de archivos.

  3. Abra una ventana Editor de directiva de grupo local y vaya a Configuración >del equipoScripts>de Configuración de> WindowsInicio.

    Nota:

    Los directiva de grupo de dominio también se pueden usar para la incorporación de dispositivos VDI no persistentes.

  4. En función del método que quiera implementar, siga los pasos adecuados:

    • Para una sola entrada para cada dispositivo:

      Seleccione la pestaña Scripts de PowerShell y, a continuación, seleccione Agregar (el Explorador de Windows se abre directamente en la ruta de acceso donde copió el script de incorporación anteriormente). Vaya a incorporación del script Onboard-NonPersistentMachine.ps1de PowerShell. No es necesario especificar el otro archivo, ya que se desencadena automáticamente.

    • Para varias entradas para cada dispositivo:

      Seleccione la pestaña Scripts y haga clic en Agregar (el Explorador de Windows se abre directamente en la ruta de acceso donde copió el script de incorporación anteriormente). Vaya al script WindowsDefenderATPOnboardingScript.cmdde Bash de incorporación.

  5. Pruebe la solución:

    1. Cree un grupo con un dispositivo.

    2. Inicie sesión en el dispositivo.

    3. Cierre la sesión del dispositivo.

    4. Inicie sesión en el dispositivo con otro usuario.

    5. En función del método que quiera implementar, siga los pasos adecuados:

      • Para una sola entrada para cada dispositivo: compruebe solo una entrada en Microsoft Defender portal.
      • Para varias entradas para cada dispositivo: compruebe varias entradas en Microsoft Defender portal.

  6. Haga clic en la lista Dispositivos en el panel de navegación.

  7. Para usar la función de búsqueda, escriba el nombre del dispositivo y seleccione Dispositivo como tipo de búsqueda.

Para SKU de nivel inferior (Windows Server 2008 R2)

Nota:

Estas instrucciones para otras versiones de Windows Server también se aplican si ejecuta la Microsoft Defender para punto de conexión anterior para Windows Server 2016 y Windows Server 2012 R2 que requiere el MMA. Las instrucciones para migrar a la nueva solución unificada se encuentran en escenarios de migración del servidor en Microsoft Defender para punto de conexión.

El registro siguiente solo es relevante cuando el objetivo es lograr una "entrada única para cada dispositivo".

  1. Establezca el valor del Registro en:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    o mediante la línea de comandos:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Siga el proceso de incorporación del servidor.

Actualización de imágenes de infraestructura de escritorio virtual (VDI) (persistentes o no persistentes)

Con la capacidad de implementar fácilmente actualizaciones en máquinas virtuales que se ejecutan en VDIs, hemos acortado esta guía para centrarse en cómo puede obtener actualizaciones en las máquinas de forma rápida y sencilla. Ya no es necesario crear y sellar imágenes doradas periódicamente, ya que las actualizaciones se expanden en sus bits de componente en el servidor host y, a continuación, se descargan directamente en la máquina virtual cuando está activada.

Si ha incorporado la imagen principal del entorno de VDI (se está ejecutando el servicio SENSE), debe desconectar y borrar algunos datos antes de volver a poner la imagen en producción.

  1. Apague la máquina.

  2. Asegúrese de que el sensor se detiene ejecutando el siguiente comando en una ventana CMD:

    sc query sense

  3. Ejecute los comandos siguientes en una ventana cmd::

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

¿Usa un tercero para vdis?

Si va a implementar vdis no persistentes a través de la clonación instantánea de VMware o tecnologías similares, asegúrese de que las máquinas virtuales de plantilla interna y las máquinas virtuales de réplica no están incorporadas a Defender para punto de conexión. Si incorpora dispositivos mediante el método de entrada única, los clones instantáneos que se aprovisionan desde máquinas virtuales incorporadas pueden tener el mismo senseGuid y que pueden impedir que una nueva entrada aparezca en la vista Inventario de dispositivos (en el portal de Microsoft Defender, elija Dispositivos activos>).

Si la imagen principal, la máquina virtual de plantilla o la máquina virtual de réplica se incorporan a Defender para punto de conexión mediante el método de entrada única, impedirá que Defender cree entradas para nuevos V VDI no persistentes en el portal de Microsoft Defender.

Póngase en contacto con los proveedores de terceros para obtener más ayuda.

Después de incorporar dispositivos al servicio, es importante aprovechar las funcionalidades de protección contra amenazas incluidas al habilitarlos con las siguientes opciones de configuración recomendadas.

Configuración de protección de próxima generación

Se recomiendan los siguientes valores de configuración:

Servicio de protección en la nube

  • Activar la protección proporcionada en la nube: sí
  • Nivel de protección proporcionada en la nube: no configurado
  • Tiempo de espera extendido en la nube de Defender en segundos: 20

Exclusiones

Protección en tiempo real

  • Activar toda la configuración y establecer para supervisar todos los archivos

Remediación

  • Número de días para mantener el malware en cuarentena: 30
  • Enviar consentimiento de ejemplos: enviar todas las muestras automáticamente
  • Acción a realizar sobre las aplicaciones potencialmente no deseadas: habilitar
  • Acciones para las amenazas detectadas:
    • Amenaza baja: Limpiar
    • Amenaza moderada, Amenaza alta, Amenaza grave: Cuarentena

Examinar

  • Examinar archivos archivados: Sí
  • Uso de prioridad de CPU baja para exámenes programados: No configurado
  • Deshabilitar el examen completo de puesta al día: No configurado
  • Deshabilitación del examen rápido de captura: no configurado
  • Límite de uso de CPU por examen: 50
  • Examen de las unidades de red asignadas durante el examen completo: no configurado
  • Ejecución del examen rápido diario a las 12 p. m.
  • Tipo de examen: no configurado
  • Día de la semana para ejecutar el examen programado: No configurado
  • Hora del día para ejecutar un examen programado: No configurado
  • Comprobación de actualizaciones de firmas antes de ejecutar el examen: Sí

Actualizaciones

  • Escriba la frecuencia con la que comprobar si hay actualizaciones de inteligencia de seguridad: 8
  • Deje otras opciones de configuración en estado predeterminado.

Experiencia del usuario

  • Permitir el acceso del usuario a Microsoft Defender aplicación: No configurado

Habilitación de la protección contra alteraciones

  • Habilitar la protección contra alteraciones para evitar que se deshabilite Microsoft Defender: Habilitar

Reducción de la superficie expuesta a ataques

  • Habilitación de la protección de red: modo de prueba
  • Requerir SmartScreen para Microsoft Edge: Sí
  • Bloquear el acceso a sitios malintencionados: Sí
  • Bloquear la descarga de archivos no comprobados: Sí

Reglas de reducción de la superficie expuesta a ataques

  • Configure todas las reglas disponibles en Auditar.

Nota:

Bloquear estas actividades puede interrumpir procesos empresariales legítimos. El mejor enfoque es establecer todo para auditar, identificar cuáles son seguras de activar y, a continuación, habilitar esa configuración en puntos de conexión que no tienen detecciones de falsos positivos.

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.