Käyttöönotossa olevat ei-pysyvät näennäistyöpöytäinfrastruktuurin (VDI) laitteet Microsoft Defender XDR

  • Artikkeli

Näennäistyöpöydän infrastruktuuri (VDI) on IT-infrastruktuurikonsepti, jonka avulla käyttäjät voivat käyttää yrityksen virtuaalityöpöydän esiintymiä lähes mistä tahansa laitteesta (kuten henkilökohtaisesta tietokoneesta, älypuhelimesta tai taulutietokoneesta), jolloin organisaation ei tarvitse tarjota käyttäjille fyysisiä koneita. VDI-laitteiden käyttö vähentää kustannuksia, koska IT-osastot eivät ole enää vastuussa fyysisten päätepisteiden hallinnasta, korjaamisesta ja korvaamisesta. Valtuutetut käyttäjät voivat käyttää samoja yrityksen palvelimia, tiedostoja, sovelluksia ja palveluita mistä tahansa hyväksytystä laitteesta suojatun työpöytäsovelluksen tai selaimen kautta.

Muiden IT-ympäristön järjestelmien tavoin myös näillä pitäisi olla päätepisteen tunnistus- ja vastausratkaisu (EDR) ja virustentorjuntaratkaisu kehittyneiltä uhilta ja hyökkäyksiltä suojautumiseksi.

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Pysyvät VDI:t – Pysyvän VDI-koneen perehdyttäminen Microsoft Defender for Endpoint käsitellään samalla tavalla kuin fyysisessä koneessa, kuten pöytäkoneessa tai kannettavassa tietokoneessa. Ryhmäkäytäntöä, Microsoft Configuration Manager ja muita menetelmiä voidaan käyttää pysyvän koneen käyttöönotossa. Valitse Microsoft Defender-portaalissa (https://security.microsoft.com) perehdytys-kohdasta haluamasi perehdytysmenetelmä ja noudata kyseisen tyypin ohjeita. Lisätietoja on artikkelissa Windows-asiakasohjelman käyttöönotto.

Ei-pysyvän näennäistyöpöydän infrastruktuurin (VDI) laitteiden käyttöönotto

Defender for Endpoint tukee ei-pysyvää VDI-istunnon perehdytystä.

VDI-esiintymien käyttöönotossa voi olla haasteita. Seuraavassa on tyypillisiä haasteita tälle skenaariolle:

  • Lyhytikäisen istunnon välitön varhainen perehdytys, joka on siirrettävä Defender for Endpointiin ennen varsinaista valmistelua.
  • Laitteen nimeä käytetään yleensä uudelleen uusia istuntoja varten.

VDI-ympäristössä VDI-esiintymillä voi olla lyhyt elinkaari. VDI-laitteet voivat näkyä Microsoft Defender portaalissa joko yksittäisinä merkinnöinä kullekin VDI-esiintymälle tai usealla merkinnällä kullekin laitteelle.

  • Yksittäinen merkintä kullekin VDI-esiintymälle. Jos VDI-esiintymä oli jo otettu käyttöön Microsoft Defender for Endpoint ja jossain vaiheessa poistettu ja luotu uudelleen samalla isäntänimellä, uutta tätä VDI-esiintymää edustavaa objektia ei luoda portaalissa.

    Huomautus

    Tässä tapauksessa sama laitteen nimi on määritettävä istunnon luonnin yhteydessä esimerkiksi valvomattoman vastaustiedoston avulla.

  • Kullekin laitteelle on useita merkintöjä – yksi kullekin VDI-esiintymälle.

Tärkeää

Jos otat käyttöön ei-pysyviä näennäiskoneita kloonaustekniikan avulla, varmista, että sisäisiä malli-näennäiskoneita ei ole otettu käyttöön Defender for Endpointissa. Tämä suositus on välttää kloonattuja näennäiskoneita perehdyttämästä samalla tavalla kuin malli-näennäiskoneita, mikä saattaa estää näennäiskoneita näyttämästä uusina merkinnöinä Laitteet-luettelossa.

Seuraavat vaiheet opastavat VDI-laitteiden käyttöönotossa ja yksittäisten ja useiden merkintöjen korostamisessa.

Varoitus

Ympäristöissä, joissa resurssien kokoonpanot ovat vähissä, VDI-käynnistystoimintosarja saattaa hidastaa Defender for Endpoint -tunnistimen perehdytystä.

Perehdytysvaiheet

Huomautus

Windows Server 2016 ja Windows Server 2012 R2 on valmisteltava ottamalla asennuspaketti ensin käyttöön Käyttämällä Onboard Windows -palvelimien ohjeita, jotta tämä ominaisuus toimisi.

  1. Avaa VDI-määrityspaketti .zip tiedosto (WindowsDefenderATPOnboardingPackage.zip), jonka latasit ohjatusta palvelun käyttöönottotoiminnosta. Voit hankkia paketin myös Microsoft Defender-portaalista:

    1. Valitse siirtymisruudussa Asetukset>Päätepisteet>Laitteiden hallinnan>perehdytys.

    2. Valitse käyttöjärjestelmä.

    3. Valitse Käyttöönottomenetelmä-kentässä VDI-perehdytyskomentosarjat ei-pysyville päätepisteille.

    4. Valitse Lataa paketti ja tallenna .zip tiedosto.

  2. Kopioi tiedostot windowsdefenderATPOnboardingPackage-kansiosta, joka on purettu .zip-tiedostosta, polun C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupalla olevaan kultaiseen/ensisijaiseen kuvaan.

    1. Jos toteutat useita merkintöjä kullekin laitteelle – yksi jokaiselle istunnolle, kopioi WindowsDefenderATPOnboardingScript.cmd.

    2. Jos otat käyttöön yksittäisen merkinnän kullekin laitteelle, kopioi sekä Onboard-NonPersistentMachine.ps1 että WindowsDefenderATPOnboardingScript.cmd.

    Huomautus

    Jos et näe kansiota C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , se on ehkä piilotettu. Valitse Resurssienhallinta Näytä piilotetut tiedostot ja kansiot -vaihtoehto.

  3. Avaa Paikallinen ryhmäkäytäntö Kirjoitusavustaja -ikkuna ja siirry kohtaan Tietokoneasetukset>Windowsin asetukset>Komentosarjojen käynnistys>.

    Huomautus

    Toimialueen ryhmäkäytäntö voidaan käyttää myös ei-pysyvien VDI-laitteiden käyttöönottoon.

  4. Noudata asianmukaisia vaiheita sen mukaan, millaisen menetelmän haluat ottaa käyttöön:

    • Kunkin laitteen yksittäinen merkintä:

      Valitse PowerShell-komentosarjat-välilehti ja valitse sitten Lisää (Resurssienhallinta avautuu suoraan polkuun, johon kopioit käyttöönottokomentosarjan aiemmin). Siirry PowerShell-komentosarjan käyttöönottoon Onboard-NonPersistentMachine.ps1. Toista tiedostoa ei tarvitse määrittää, koska se käynnistetään automaattisesti.

    • Kullekin laitteelle on useita merkintöjä:

      Valitse Komentosarjat-välilehti ja valitse sitten Lisää (Resurssienhallinta avautuu suoraan polkuun, johon kopioit aiemmin perehdyttämiskomentosarjan). Siirry käyttöönoton bash-komentosarjaan WindowsDefenderATPOnboardingScript.cmd.

  5. Testaa ratkaisusi:

    1. Create varannon, jossa on yksi laite.

    2. Kirjaudu laitteeseen.

    3. Kirjaudu ulos laitteesta.

    4. Kirjaudu laitteeseen toisella käyttäjällä.

    5. Noudata asianmukaisia vaiheita sen mukaan, millaisen menetelmän haluat ottaa käyttöön:

      • Yksittäiset merkinnät kullekin laitteelle: Tarkista vain yksi merkintä Microsoft Defender portaalissa.
      • Kullekin laitteelle on useita merkintöjä: Tarkista useita merkintöjä Microsoft Defender portaalissa.

  6. Valitse Laitteet-luettelo siirtymisruudussa.

  7. Käytä hakufunktiota antamalla laitteen nimi ja valitsemalla Hakutyypiksi Laite .

Alatason SKU:t (Windows Server 2008 R2)

Huomautus

Nämä ohjeet koskevat myös muita Windows-palvelinversioita, jos käytössäsi on aiempi windows server 2016:n ja Windows Server 2012 R2:n Microsoft Defender for Endpoint, joka edellyttää MMA:ta. Ohjeet uuteen yhtenäiseen ratkaisuun siirtymiseen ovat palvelimen siirtymistilanteissa Microsoft Defender for Endpoint.

Seuraava rekisteri on merkityksellinen vain, kun tavoitteena on saavuttaa yksittäinen merkintä kullekin laitteelle.

  1. Aseta rekisteriarvoksi:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    tai käyttämällä komentoriviä:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Noudata palvelimen käyttöönottoprosessia.

Näennäistyöpöydän infrastruktuurin (VDI) kuvien päivittäminen (pysyvä tai ei-pysyvä)

Koska voimme helposti ottaa päivityksiä käyttöön näennäiskoneissa suoritettavissa näennäiskoneissa, olemme lyhentäneet tätä opasta keskittyäksemme siihen, miten voit saada päivityksiä koneisiisi nopeasti ja helposti. Sinun ei enää tarvitse luoda ja sulkea kultaisia kuvia säännöllisin väliajoin, koska päivitykset laajennetaan niiden osabiteiksi isäntäpalvelimessa ja ladataan sitten suoraan näennäiskoneeseen, kun se on käytössä.

Jos olet liittänyt VDI-ympäristösi ensisijaisen kuvan (SENSE-palvelu on käynnissä), sinun on poistettava joitakin tietoja ja tyhjennettävä ne ennen kuvan tuomista takaisin tuotantoon.

  1. Pois koneesta.

  2. Varmista, että tunnistin on pysäytetty suorittamalla seuraava komento CMD-ikkunassa:

    sc query sense

  3. Suorita seuraavat komennot CMD-ikkunassa:

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Käytätkö kolmatta osapuolia VD:lle?

Jos otat käyttöön ei-pysyviä näennäiskoneita näennäiskoneohjelmiston välittömän kloonauksen tai vastaavien tekniikoiden kautta, varmista, että sisäisiä malli-näennäiskoneita ja replika-näennäiskoneita ei ole otettu käyttöön Defender for Endpointissa. Jos otat laitteet käyttöön yhdellä kirjausmenetelmällä, perehdytetyistä näennäiskoneista valmisteltujen välitönten kloonien tunnuksilla voi olla sama senseGuid ja ne voivat estää uuden merkinnän näkymisen Laitevarasto-näkymässä (valitse Microsoft Defender-portaalissaResurssit Laitteet>).

Jos joko ensisijainen kuva, mallin näennäiskone tai replikan näennäiskone on otettu käyttöön Defender for Endpointissa yhdellä merkintämenetelmällä, Se estää Defenderiä luomasta merkintöjä uusille ei-pysyville VDI:ille Microsoft Defender portaalissa.

Ota yhteyttä kolmannen osapuolen toimittajiin saadaksesi lisätietoja.

Kun laitteet on otettu käyttöön palveluun, on tärkeää hyödyntää sisällytettyjä uhkien suojausominaisuuksia ottamalla ne käyttöön seuraavilla suositelluilla määritysasetuksilla.

Seuraavan sukupolven suojausmääritys

Suosittelemme seuraavia määritysasetuksia:

Pilvisuojauspalvelu

  • Ota käyttöön pilvipalveluun toimitettu suojaus: Kyllä
  • Pilvipalveluun toimitettu suojaustaso: Ei määritetty
  • Defender Cloudin pidennetty aikakatkaisu sekunteina: 20

Poisjätöt

Reaaliaikainen suojaus

  • Ota kaikki asetukset käyttöön ja määritä valvomaan kaikkia tiedostoja

Korjaaminen

  • Karanteeniin asetettujen haittaohjelmien säilytysaika päivinä: 30
  • Lähetä mallien suostumus: Lähetä kaikki näytteet automaattisesti
  • Mahdollisesti ei-toivottujen sovellusten käyttöön ottaminen: Ota käyttöön
  • Havaittujen uhkien toiminnot:
    • Pieni uhka: puhdas
    • Kohtalainen uhka, Suuri uhka, Vakava uhka: Karanteeni

Skannaus

  • Skannaa arkistoidut tiedostot: Kyllä
  • Käytä ajoitetussa tarkistuksessa matalaa suoritinprioriteettia: Ei määritetty
  • Poista koko tarkistus käytöstä: ei määritetty
  • Poista catchup-pikatarkistus käytöstä: Ei määritetty
  • Suorittimen käyttörajoitus skannausta kohden: 50
  • Skannaa yhdistetyt verkkoasemat täyden tarkistuksen aikana: Ei määritetty
  • Suorita päivittäinen pikatarkistus klo 12.00
  • Tarkistustyyppi: Ei määritetty
  • Viikonpäivä ajoitetun tarkistuksen suorittamiseen: Ei määritetty
  • Kellonaika ajoitetun tarkistuksen suorittamiseen: Ei määritetty
  • Tarkista allekirjoituspäivitykset ennen tarkistuksen suorittamista: Kyllä

Päivitykset

  • Määritä, kuinka usein suojaustietojen päivityksiä tarkistetaan: 8
  • Jätä muut asetukset oletustilaan

Käyttökokemus

  • Salli käyttäjän käyttää Microsoft Defender sovellusta: ei määritetty

Ota käyttöön peukaloinnin suojaus

  • Ota käyttöön peukaloinnin suojaus estääksesi Microsoft Defender poistamisen käytöstä: Ota käyttöön

Hyökkäyspinta-alan rajoittaminen

  • Verkon suojauksen ottaminen käyttöön: testitila
  • Edellytä SmartScreen For Microsoft Edgeä: Kyllä
  • Estä haitallisten sivustojen käyttö: Kyllä
  • Estä vahvistamaton tiedoston lataaminen: Kyllä

Hyökkäyspinta-alan rajoittamissäännöt

  • Määritä kaikki valvottavissa olevat säännöt.

Huomautus

Näiden toimintojen estäminen voi keskeyttää lailliset liiketoimintaprosessit. Paras tapa on määrittää kaikki valvottavaksi, selvittää, mitkä niistä on turvallista ottaa käyttöön, ja ottaa sitten nämä asetukset käyttöön päätepisteissä, joissa ei ole vääriä positiivisia tunnistuksia.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.