Intégrer des appareils VDI (Virtual Desktop Infrastructure) non persistants dans Microsoft Defender XDR

  • Article

L’infrastructure de bureau virtuel (VDI) est un concept d’infrastructure informatique qui permet aux utilisateurs finaux d’accéder aux instances de bureaux virtuels d’entreprise à partir de presque n’importe quel appareil (par exemple, votre ordinateur personnel, votre smartphone ou votre tablette), éliminant ainsi la nécessité d’organization pour fournir aux utilisateurs des machines physiques. L’utilisation d’appareils VDI réduit les coûts, car les services informatiques ne sont plus responsables de la gestion, de la réparation et du remplacement des points de terminaison physiques. Les utilisateurs autorisés peuvent accéder aux mêmes serveurs, fichiers, applications et services d’entreprise à partir de n’importe quel appareil approuvé par le biais d’un navigateur ou d’un client de bureau sécurisé.

Comme tout autre système dans un environnement informatique, ceux-ci doivent également disposer d’une solution EDR (Endpoint Detection and Response) et antivirus pour se protéger contre les menaces et les attaques avancées.

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Remarque

VDI persistantes : l’intégration d’un ordinateur VDI persistant dans Microsoft Defender pour point de terminaison est gérée de la même façon que vous intégrez un ordinateur physique, tel qu’un ordinateur de bureau ou un ordinateur portable. La stratégie de groupe, les Microsoft Configuration Manager et d’autres méthodes peuvent être utilisées pour intégrer un ordinateur persistant. Dans le portail Microsoft Defender, (https://security.microsoft.com) sous Intégration, sélectionnez votre méthode d’intégration préférée, puis suivez les instructions pour ce type. Pour plus d’informations, consultez Intégration du client Windows.

Intégration d’appareils VDI (Virtual Desktop Infrastructure) non persistants

Defender pour point de terminaison prend en charge l’intégration de session VDI non persistante.

Il peut y avoir des défis associés lors de l’intégration d’instances VDI. Voici les défis classiques de ce scénario :

  • Intégration anticipée instantanée d’une session de courte durée, qui doit être intégrée à Defender pour point de terminaison avant le provisionnement réel.
  • Le nom de l’appareil est généralement réutilisé pour les nouvelles sessions.

Dans un environnement VDI, les instances VDI peuvent avoir une courte durée de vie. Les appareils VDI peuvent apparaître dans le portail Microsoft Defender sous la forme d’entrées uniques pour chaque instance VDI ou de plusieurs entrées pour chaque appareil.

  • Entrée unique pour chaque instance VDI. Si le instance VDI a déjà été intégré à Microsoft Defender pour point de terminaison, puis supprimé, puis recréé avec le même nom d’hôte, un nouvel objet représentant cette instance VDI n’est PAS créé dans le portail.

    Remarque

    Dans ce cas, le même nom d’appareil doit être configuré lors de la création de la session, par exemple à l’aide d’un fichier de réponses sans assistance.

  • Plusieurs entrées pour chaque appareil : une pour chaque instance VDI.

Importante

Si vous déployez des VDIs non persistants via la technologie de clonage, assurez-vous que vos machines virtuelles de modèle interne ne sont pas intégrées à Defender pour point de terminaison. Cette recommandation est d’éviter que les machines virtuelles clonées ne soient intégrées avec le même senseGuid que vos machines virtuelles de modèle, ce qui peut empêcher les machines virtuelles de s’afficher en tant que nouvelles entrées dans la liste Appareils.

Les étapes suivantes vous guident tout au long de l’intégration d’appareils VDI et mettent en évidence les étapes pour les entrées uniques et multiples.

Avertissement

Pour les environnements où les configurations de ressources sont faibles, la procédure de démarrage VDI peut ralentir l’intégration du capteur Defender pour point de terminaison.

Étapes d’intégration

Remarque

Windows Server 2016 et Windows Server 2012 R2 doivent être préparés en appliquant d’abord le package d’installation à l’aide des instructions fournies dans Intégrer des serveurs Windows pour que cette fonctionnalité fonctionne.

  1. Ouvrez le package de configuration VDI .zip fichier (WindowsDefenderATPOnboardingPackage.zip) que vous avez téléchargé à partir de l’Assistant Intégration de service. Vous pouvez également obtenir le package à partir du portail Microsoft Defender :

    1. Dans le volet de navigation, sélectionnez Paramètres Points>de terminaison> Intégrationde la gestion des>appareils.

    2. Sélectionnez le système d’exploitation.

    3. Dans le champ Méthode de déploiement , sélectionnez Scripts d’intégration VDI pour les points de terminaison non persistants.

    4. Cliquez sur Télécharger le package et enregistrez le fichier .zip.

  2. Copiez les fichiers du dossier WindowsDefenderATPOnboardingPackage extraits du fichier .zip dans l’image golden/primary sous le chemin d’accès C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    1. Si vous implémentez plusieurs entrées pour chaque appareil ( une pour chaque session), copiez WindowsDefenderATPOnboardingScript.cmd.

    2. Si vous implémentez une seule entrée pour chaque appareil, copiez Onboard-NonPersistentMachine.ps1 et WindowsDefenderATPOnboardingScript.cmd.

    Remarque

    Si vous ne voyez pas le C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup dossier, il est peut-être masqué. Vous devez choisir l’option Afficher les fichiers et dossiers masqués dans Explorateur de fichiers.

  3. Ouvrez une fenêtre Stratégie de groupe Rédacteur locale et accédez à Configuration> ordinateurParamètres>Windows Scripts>de démarrage.

    Remarque

    Les stratégie de groupe de domaine peuvent également être utilisées pour l’intégration d’appareils VDI non persistants.

  4. Selon la méthode que vous souhaitez implémenter, suivez les étapes appropriées :

    • Pour une entrée unique pour chaque appareil :

      Sélectionnez l’onglet Scripts PowerShell, puis ajouter (Windows Explorer s’ouvre directement dans le chemin d’accès où vous avez copié le script d’intégration précédemment). Accédez à l’intégration du script Onboard-NonPersistentMachine.ps1PowerShell . Il n’est pas nécessaire de spécifier l’autre fichier, car il est déclenché automatiquement.

    • Pour plusieurs entrées pour chaque appareil :

      Sélectionnez l’onglet Scripts, puis cliquez sur Ajouter (Windows Explorer s’ouvre directement dans le chemin d’accès où vous avez copié le script d’intégration précédemment). Accédez au script WindowsDefenderATPOnboardingScript.cmdbash d’intégration .

  5. Testez votre solution :

    1. Create un pool avec un seul appareil.

    2. Connectez-vous à l’appareil.

    3. Déconnectez-vous de l’appareil.

    4. Connectez-vous à l’appareil avec un autre utilisateur.

    5. Selon la méthode que vous souhaitez implémenter, suivez les étapes appropriées :

      • Pour une entrée unique pour chaque appareil : vérifiez une seule entrée dans Microsoft Defender portail.
      • Pour plusieurs entrées pour chaque appareil : vérifiez plusieurs entrées dans Microsoft Defender portail.

  6. Cliquez sur Liste des appareils dans le volet de navigation.

  7. Utilisez la fonction de recherche en entrant le nom de l’appareil et en sélectionnant Appareil comme type de recherche.

Pour les références SKU de niveau inférieur (Windows Server 2008 R2)

Remarque

Ces instructions pour les autres versions de Windows Server s’appliquent également si vous exécutez la Microsoft Defender pour point de terminaison précédente pour Windows Server 2016 et Windows Server 2012 R2 qui nécessite MMA. Les instructions pour migrer vers la nouvelle solution unifiée se trouvent dans Scénarios de migration de serveur dans Microsoft Defender pour point de terminaison.

Le registre suivant n’est pertinent que lorsque l’objectif est d’obtenir une « entrée unique pour chaque appareil ».

  1. Définissez la valeur de Registre sur :

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    ou à l’aide de la ligne de commande :

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Suivez le processus d’intégration du serveur.

Mise à jour des images VDI (Virtual Desktop Infrastructure) (persistantes ou non persistantes)

Avec la possibilité de déployer facilement des mises à jour sur des machines virtuelles s’exécutant dans des VDIs, nous avons raccourci ce guide pour vous concentrer sur la façon dont vous pouvez obtenir des mises à jour sur vos machines rapidement et facilement. Vous n’avez plus besoin de créer et de sceller régulièrement des images dorées, car les mises à jour sont développées dans leurs bits de composant sur le serveur hôte, puis téléchargées directement sur la machine virtuelle lorsqu’elle est activée.

Si vous avez intégré l’image principale de votre environnement VDI (le service SENSE est en cours d’exécution), vous devez désactiver et effacer certaines données avant de remettre l’image en production.

  1. Hors bord de la machine.

  2. Vérifiez que le capteur est arrêté en exécutant la commande suivante dans une fenêtre CMD :

    sc query sense

  3. Exécutez les commandes suivantes dans une fenêtre CMD :

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Utilisez-vous un tiers pour les VDIs ?

Si vous déployez des machines virtuelles non persistantes via le clonage instantané VMware ou des technologies similaires, assurez-vous que vos machines virtuelles de modèle interne et réplica machines virtuelles ne sont pas intégrées à Defender pour point de terminaison. Si vous intégrez des appareils à l’aide de la méthode d’entrée unique, les clones instantanés approvisionnés à partir de machines virtuelles intégrées peuvent avoir le même senseGuid, ce qui peut empêcher une nouvelle entrée d’être répertoriée dans la vue Inventaire des appareils (dans le portail Microsoft Defender, choisissez Appareils multimédias>).

Si l’image principale, le modèle de machine virtuelle ou la machine virtuelle réplica sont intégrés à Defender pour point de terminaison à l’aide de la méthode d’entrée unique, Cela empêche Defender de créer des entrées pour les nouveaux VDIs non persistants dans le portail Microsoft Defender.

Contactez vos fournisseurs tiers pour obtenir de l’aide.

Après l’intégration des appareils au service, il est important de tirer parti des fonctionnalités de protection contre les menaces incluses en les activant avec les paramètres de configuration recommandés suivants.

Configuration de la protection nouvelle génération

Les paramètres de configuration suivants sont recommandés :

Cloud Protection Service

  • Activer la protection cloud : Oui
  • Niveau de protection cloud : Non configuré
  • Délai d’expiration étendu de Defender Cloud en secondes : 20

Exclusions

Protection en temps réel

  • Activer tous les paramètres et définir pour surveiller tous les fichiers

Assainissement

  • Nombre de jours pour conserver les programmes malveillants mis en quarantaine : 30
  • Envoyer le consentement des exemples : envoyer tous les exemples automatiquement
  • Action à entreprendre sur les applications potentiellement indésirables : Activer
  • Actions pour les menaces détectées :
    • Faible menace : Nettoyer
    • Menace modérée, Menace élevée, Menace grave : Mise en quarantaine

Analyser

  • Analyser les fichiers archivés : Oui
  • Utiliser une faible priorité processeur pour les analyses planifiées : Non configuré
  • Désactiver l’analyse complète de rattrapage : non configuré
  • Désactiver l’analyse rapide de rattrapage : non configuré
  • Limite d’utilisation du processeur par analyse : 50
  • Analyser les lecteurs réseau mappés pendant l’analyse complète : Non configuré
  • Exécuter l’analyse rapide quotidienne à : 12 h
  • Type d’analyse : non configuré
  • Jour de la semaine pour exécuter l’analyse planifiée : non configuré
  • Heure de la journée pour exécuter une analyse planifiée : Non configuré
  • Rechercher les mises à jour de signature avant d’exécuter l’analyse : Oui

Mises à jour

  • Entrez la fréquence à laquelle case activée pour les mises à jour du renseignement de sécurité : 8
  • Laissez les autres paramètres dans l’état par défaut

Expérience utilisateur

  • Autoriser l’accès utilisateur à Microsoft Defender’application : Non configuré

Activer la protection contre les falsifications

  • Activer la protection contre les falsifications pour empêcher la désactivation des Microsoft Defender : Activer

Réduction de la surface d'attaque

  • Activer la protection réseau : mode test
  • Exiger SmartScreen pour Microsoft Edge : Oui
  • Bloquer l’accès aux sites malveillants : Oui
  • Bloquer le téléchargement de fichiers non vérifiés : Oui

Règles de réduction des surfaces d'attaque

  • Configurez toutes les règles disponibles pour Auditer.

Remarque

Le blocage de ces activités peut interrompre les processus métier légitimes. La meilleure approche consiste à définir tous les éléments à auditer, à identifier ceux qui sont sûrs à activer, puis à activer ces paramètres sur les points de terminaison qui n’ont pas de détections de faux positifs.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.