Huomautus
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
6 minuuttia aikaa lukea
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Windowsin usean istunnon käyttö Azure Virtual Desktopissa (AVD)
- Windows 10 Enterprise usean istunnon aikana
Microsoft Defender for Endpoint tukee sekä VDI- että Azure Virtual Desktop -istuntojen valvontaa. Organisaatiosi tarpeista riippuen saatat joutua ottamaan käyttöön VDI- tai Azure Virtual Desktop -istuntoja, joiden avulla työntekijäsi voivat käyttää yrityksen tietoja ja sovelluksia hallitsemattomasta laitteesta, etäsijainnista tai vastaavasta skenaariosta. Microsoft Defender for Endpoint avulla voit valvoa näitä näennäiskoneita poikkeavan toiminnan vuoksi.
Alkuvalmistelut
Tutustu ei-pysyvän VDI:n huomioitaville seikkoihin. Vaikka Azure Virtual Desktop ei tarjoa pysyvyysasetuksia, se tarjoaa tapoja käyttää kultaista Windows-näköistiedostoa, jota voidaan käyttää uusien isäntien valmisteluun ja koneiden uudelleenkäyttöön. Tämä lisää ympäristön volatiliteettia ja vaikuttaa siihen, mitä merkintöjä luodaan ja ylläpidetään Microsoft Defender for Endpoint-portaalissa, mikä saattaa heikentää tietoturva-analyytikkojen näkyvyyttä.
Huomautus
Riippuen siitä, mitä perehdyttämismenetelmää valitset, laitteet voivat näkyä Microsoft Defender for Endpoint portaalissa jommankumman seuraavista:
- Yksittäinen merkintä kullekin virtuaalityöpöydälle
- Useita merkintöjä kullekin virtuaalityöpöydälle
Microsoft suosittelee Azure Virtual Desktopin perehdyttämistä yksittäisenä merkintänä virtuaalityöpöytää kohden. Näin varmistetaan, että Microsoft Defender for Endpoint portaalin tutkimuskokemus on tietokoneen nimeen perustuvan yhden laitteen kontekstissa. Organisaatioiden, jotka poistavat AVD-isäntiä usein ja ohjavat niitä uudelleen, kannattaa harkita tämän menetelmän käyttämistä, koska se estää useiden saman tietokoneen objektien luomisen Microsoft Defender for Endpoint portaalissa. Tämä voi aiheuttaa sekaannusta tapauksia tutkittaessa. Testiympäristöissä tai ei-muuttuvissa ympäristöissä voit valita eri tavalla. Kun käytät yksittäistä merkintää virtuaalityöpöytämenetelmää kohden, virtuaalityöpöydät ei tarvitse poistaa käytöstä.
Microsoft suosittelee lisäämään Microsoft Defender for Endpoint perehdytyskomentosarjan AVD:n kultaiseen kuvaan. Näin voit olla varma, että tämä käyttöönottokomentosarja suoritetaan heti ensimmäisen käynnistyksen yhteydessä. Se suoritetaan käynnistyskomentosarjana ensimmäisessä käynnistyksessä kaikissa AVD-koneissa, jotka on valmisteltu AVD:n kultaisesta kuvasta. Jos kuitenkin käytät jotakin valikoiman kuvista muokkaamatta, sijoita komentosarja jaettuun sijaintiin ja kutsu sitä joko paikallisesta tai toimialueen ryhmäkäytännöstä.
Huomautus
AVD:n kultaisen kuvan VDI-käyttöönoton käynnistyskomentosarjan sijoittelu ja määritys määrittää sen käynnistyskomentosarjaksi, joka suoritetaan, kun AVD käynnistyy. Ei ole suositeltavaa ottaa mukaan todellista AVD:n kultaista kuvaa. Toinen huomioitava seikka on komentosarjan suorittamisessa käytettävä menetelmä. Sen pitäisi toimia mahdollisimman varhaisessa vaiheessa käynnistys-/valmisteluprosessia, jotta voidaan lyhentää aikaa, joka kuluu istuntojen vastaanottamiseen ja laitteen palveluun käyttöönottoon. Alla skenaariot 1 ja 2 ottavat tämän huomioon.
Skenaarioita
Voit ottaa AVD-isäntäkoneen käyttöön useilla eri tavoilla:
- Suorita komentosarja kultaisessa kuvassa (tai jaetusta sijainnista) käynnistyksen aikana.
- Suorita komentosarja hallintatyökalun avulla.
- Microsoft Defender for Cloud -integroinnin kautta
Skenaario 1: Paikallisen ryhmäkäytännön käyttäminen
Tämä skenaario edellyttää komentosarjan sijoittamista kultaiseen kuvaan ja paikallisen ryhmäkäytännön käyttämistä käynnistysprosessin alussa.
Käytä ei-pysyvän näennäistyöpöydän infrastruktuurin (VDI) laitteiden perehdytysohjeita.
Noudata kunkin laitteen yksittäistä merkintää koskevia ohjeita.
Skenaario 2: Toimialueen ryhmäkäytännön käyttäminen
Tämä skenaario käyttää keskitetysti sijaitsevaa komentosarjaa ja suorittaa sen toimialuepohjaisen ryhmäkäytännön avulla. Voit myös sijoittaa komentosarjan kultaiseen kuvaan ja suorittaa sen samalla tavalla.
Lataa WindowsDefenderATPOnboardingPackage.zip -tiedosto Microsoft Defender portaalista
Avaa VDI-määrityspaketin .zip tiedosto (WindowsDefenderATPOnboardingPackage.zip)
- Valitse Microsoft Defender portaalin siirtymisruudussa Asetukset>Päätepisteidenperehdytys> (Laitteiden hallinta kohdassa).
- Valitse käyttöjärjestelmäksi Windows 10 tai Windows 11.
- Valitse Käyttöönottomenetelmä-kentässä VDI-perehdytyskomentosarjat ei-pysyville päätepisteille.
- Valitse Lataa paketti ja tallenna .zip tiedosto.
Pura .zip-tiedoston sisältö jaettuun, vain luku -sijaintiin, jota laite voi käyttää. Sinulla pitäisi olla kansio nimeltä OptionalParamsPolicy , ja tiedostot WindowsDefenderATPOnboardingScript.cmd ja Onboard-NonPersistentMachine.ps1.
Suorita komentosarja ryhmäkäytäntö hallintakonsolin avulla, kun näennäiskone käynnistyy
Avaa ryhmäkäytäntö hallintakonsoli (GPMC), napsauta hiiren kakkospainikkeella määritettävää ryhmäkäytäntö Object (GPO) ja valitse Muokkaa.
Siirry ryhmäkäytäntö Management -Kirjoitusavustaja kohtaan Tietokoneasetukset>Asetukset>Ohjauspaneelin asetukset.
Napsauta hiiren kakkospainikkeella Ajoitetut tehtävät, valitse Uusi ja valitse sitten Välitön tehtävä (vähintään Windows 7).
Siirry avautuvassa Tehtävä-ikkunassa Yleiset-välilehteen. Valitse Suojausasetukset-kohdassaMuuta käyttäjää tai ryhmää ja kirjoita SYSTEM. Valitse Tarkista nimet ja valitse sitten OK. NT AUTHORITY\SYSTEM näkyy käyttäjätilinä, jossa tehtävä suoritetaan.
Valitse Suorita, onko käyttäjä kirjautunut sisään vai ei , ja valitse Suorita suurimmilla oikeuksilla -valintaruutu.
Siirry Toiminnot-välilehteen ja valitse Uusi. Varmista, että Käynnistä ohjelma on valittuna Toiminto-kentässä. Etene seuraavasti:
Action = "Start a program"Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exeAdd Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"Valitse sitten OK ja sulje kaikki avoimet GPMC-ikkunat.
Skenaario 3: Käyttöönotto hallintatyökalujen avulla
Jos aiot hallita koneita hallintatyökalun avulla, voit ottaa käyttöön laitteita, joissa on Microsoft Endpoint Configuration Manager.
Lisätietoja on artikkelissa Windows-laitteiden käyttöönotto Configuration Manager avulla.
Varoitus
Jos aiot käyttää Attack surface Reduction Rules -viittausta, huomaa, että sääntöä "Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista" ei pidä käyttää, koska kyseinen sääntö ei ole yhteensopiva Microsoft Endpoint -Configuration Manager hallinnan kanssa. Sääntö estää WMI-komennot, joita Configuration Manager asiakas käyttää toimiakseen oikein.
Vihje
Kun laite on otettu käyttöön, voit suorittaa tunnistustestin varmistaaksesi, että laite on otettu oikein käyttöön palvelussa. Lisätietoja on artikkelissa Tunnistustestin suorittaminen äskettäin käyttöön tulleessa Microsoft Defender for Endpoint laitteessa.
Koneiden merkitseminen kultaista kuvaa luotaessa
Osana perehdytystä kannattaa ehkä harkita laitetunnisteen määrittämistä, jotta AVD-koneet erotetaan helpommin Microsoftin tietoturvakeskuksessa. Lisätietoja on kohdassa Laitetunnisteiden lisääminen asettamalla rekisteriavaimen arvo.
Muut suositellut määritysasetukset
Kun luot kultaista kuvaa, voit halutessasi määrittää myös alkuperäiset suojausasetukset. Lisätietoja on kohdassa Muut suositellut määritysasetukset.
Lisäksi jos käytät FSlogix-käyttäjäprofiileja, suosittelemme, että noudatat ohjeita, jotka on kuvattu artikkelissa FSLogix-virustentorjunnan poikkeukset.
Käyttöoikeusvaatimukset
Kun käytät Windows Enterprisen usean istunnon istuntoa, näennäiskoneen käyttöoikeus voidaan suojausta koskevien parhaiden käytäntöjen mukaan Microsoft Defender palvelinkäyttöoikeuden kautta tai voit valita, että kaikilla Azure Virtual Desktopin näennäiskoneiden käyttäjillä on käyttöoikeus jollakin seuraavista käyttöoikeuksista:
- Microsoft Defender for Endpoint palvelupaketti 1 tai palvelupaketti 2 (käyttäjää kohti)
- Windows Enterprise E3
- Windows Enterprise E5
- Microsoft 365 E3
- Microsoft 365 E5 Security
- Microsoft 365 E5
Microsoft Defender for Endpoint käyttöoikeusvaatimukset löytyvät kohdasta: Käyttöoikeusvaatimukset.
Aiheeseen liittyvät linkit
Defender for Endpointin poikkeusten lisääminen PowerShellin kautta
FSLogix haittaohjelmien torjuntapoikkeukset
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.