Partager via

Configurer Microsoft Defender Antivirus sur un environnement d’infrastructure de bureau à distance ou de bureau virtuel

  • Article

S’applique à :

Plateformes

  • Windows

Cet article est conçu pour les clients qui utilisent uniquement les fonctionnalités antivirus Microsoft Defender. Si vous avez Microsoft Defender pour point de terminaison (qui inclut Microsoft Defender Antivirus ainsi que d’autres fonctionnalités de protection des appareils), passez également par Intégrer des appareils VDI (Virtual Desktop Infrastructure) non persistants dans Microsoft Defender XDR.

Vous pouvez utiliser Microsoft Defender Antivirus dans un environnement bureau à distance (RDS) ou vDI (Virtual Desktop Infrastructure) non persistant. En suivant les instructions de cet article, vous pouvez configurer les mises à jour à télécharger directement dans vos environnements RDS ou VDI lorsqu’un utilisateur se connecte.

Ce guide explique comment configurer Microsoft Defender Antivirus sur vos machines virtuelles pour une protection et des performances optimales, notamment comment :

Importante

Bien qu’une VDI puisse être hébergée sur Windows Server 2012 ou Windows Server 2016, les machines virtuelles doivent exécuter Windows 10, version 1607 au minimum, en raison des technologies et fonctionnalités de protection accrues qui ne sont pas disponibles dans les versions antérieures de Windows.

Configurer un partage de fichiers VDI dédié pour l’intelligence de sécurité

Dans Windows 10, version 1903, Microsoft a introduit la fonctionnalité de veille de sécurité partagée, qui décharge le déballage des mises à jour de veille de sécurité téléchargées sur un ordinateur hôte. Cette méthode réduit l’utilisation des ressources de processeur, de disque et de mémoire sur des ordinateurs individuels. L’intelligence de sécurité partagée fonctionne désormais sur Windows 10, version 1703 et ultérieure. Vous pouvez configurer cette fonctionnalité à l’aide de stratégie de groupe ou de PowerShell.

Stratégie de groupe

  1. Sur votre ordinateur de gestion stratégie de groupe, ouvrez la console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet stratégie de groupe que vous souhaitez configurer, puis sélectionnez Modifier.

  2. Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur.

  3. Sélectionnez Modèles d’administration. Développez l’arborescence composants> Windows Microsoft Defender Antivirus>Security Intelligence Mises à jour.

  4. Double-cliquez sur Définir l’emplacement security intelligence pour les clients VDI, puis définissez l’option sur Activé.

    Un champ s’affiche automatiquement.

  5. Entrez \\<Windows File Server shared location\>\wdav-update (pour obtenir de l’aide sur cette valeur, consultez Télécharger et annuler le package).

  6. Sélectionnez OK, puis déployez l’objet stratégie de groupe sur les machines virtuelles que vous souhaitez tester.

PowerShell

  1. Sur chaque appareil RDS ou VDI, utilisez l’applet de commande suivante pour activer la fonctionnalité :

    Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update

  2. Envoyez (push) la mise à jour, car vous poussez normalement les stratégies de configuration basées sur PowerShell sur vos machines virtuelles. (Consultez la section Télécharger et annuler le package de cet article. Recherchez l’entrée d’emplacement partagé .)

Télécharger et dépackager les dernières mises à jour

Vous pouvez maintenant commencer à télécharger et installer de nouvelles mises à jour. Nous avons créé un exemple de script PowerShell ci-dessous. Ce script est le moyen le plus simple de télécharger de nouvelles mises à jour et de les préparer pour vos machines virtuelles. Vous devez ensuite définir le script pour qu’il s’exécute à un moment donné sur l’ordinateur de gestion à l’aide d’une tâche planifiée (ou, si vous êtes familiarisé avec l’utilisation de scripts PowerShell dans Azure, Intune ou SCCM, vous pouvez également utiliser ces scripts).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Vous pouvez définir une tâche planifiée pour qu’elle s’exécute une fois par jour afin que chaque fois que le package est téléchargé et décompressé, les machines virtuelles reçoivent la nouvelle mise à jour. Nous vous suggérons de commencer par une fois par jour, mais vous devez essayer d’augmenter ou de diminuer la fréquence pour comprendre l’impact.

Les packages de veille de sécurité sont généralement publiés toutes les trois à quatre heures. Il n’est pas recommandé de définir une fréquence inférieure à quatre heures, car cela augmente la surcharge réseau sur votre machine de gestion sans aucun avantage.

Vous pouvez également configurer votre serveur ou machine unique pour récupérer les mises à jour au nom des machines virtuelles à intervalles et les placer dans le partage de fichiers pour les consommer. Cette configuration est possible lorsque les appareils disposent d’un accès en lecture et de partage (autorisations NTFS) au partage afin qu’ils puissent récupérer les mises à jour. Pour configurer cette configuration, procédez comme suit :

  1. Créez un partage de fichiers SMB/CIFS.

  2. Utilisez l’exemple suivant pour créer un partage de fichiers avec les autorisations de partage suivantes.

    
PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Remarque

    Une autorisation NTFS est ajoutée pour Utilisateurs authentifiés :Lecture :.

    Pour cet exemple, le partage de fichiers est \\WindowsFileServer.fqdn\mdatp$\wdav-update.

Définir une tâche planifiée pour exécuter le script PowerShell

  1. Sur l’ordinateur de gestion, ouvrez le menu Démarrer et tapez Task Scheduler. Dans les résultats, sélectionnez Planificateur de tâches, puis Sélectionnez Créer une tâche... dans le panneau latéral.

  2. Spécifiez le nom sous la forme Security intelligence unpacker.

  3. Sous l’onglet Déclencheur , sélectionnez Nouveau...>Tous les jours, puis sélectionnez OK.

  4. Sous l’onglet Actions , sélectionnez Nouveau....

  5. Spécifiez PowerShell dans le champ Programme/Script .

  6. Dans le champ Ajouter des arguments , tapez -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1, puis sélectionnez OK.

  7. Configurez les autres paramètres selon les besoins.

  8. Sélectionnez OK pour enregistrer la tâche planifiée.

Pour lancer la mise à jour manuellement, cliquez avec le bouton droit sur la tâche, puis sélectionnez Exécuter.

Télécharger et dépackager manuellement

Si vous préférez tout faire manuellement, voici ce qu’il faut faire pour répliquer le comportement du script :

  1. Créez un dossier à la racine système appelé wdav_update pour stocker les mises à jour d’intelligence. Par exemple, créez le dossier c:\wdav_update.

  2. Créez un sous-dossier sous avec wdav_update un nom GUID, tel que {00000000-0000-0000-0000-000000000000}

    Voici un exemple : c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Remarque

    Nous définissons le script de sorte que les 12 derniers chiffres du GUID correspondent à l’année, au mois, au jour et à l’heure de téléchargement du fichier afin qu’un dossier soit créé à chaque fois. Vous pouvez modifier ce paramètre afin que le fichier soit téléchargé dans le même dossier à chaque fois.

  3. Téléchargez un package security intelligence à partir de https://www.microsoft.com/wdsi/definitions dans le dossier GUID. Le fichier doit être nommé mpam-fe.exe.

  4. Ouvrez une fenêtre d’invite de commandes et accédez au dossier GUID que vous avez créé. Utilisez la /X commande d’extraction pour extraire les fichiers. Par exemple mpam-fe.exe /X.

    Remarque

    Les machines virtuelles récupèrent le package mis à jour chaque fois qu’un nouveau dossier GUID est créé avec un package de mise à jour extrait ou chaque fois qu’un dossier existant est mis à jour avec un nouveau package extrait.

Analyses planifiées aléatoires

Les analyses planifiées s’exécutent en plus de la protection et de l’analyse en temps réel.

L’heure de début de l’analyse elle-même est toujours basée sur la stratégie d’analyse planifiée (ScheduleDay, ScheduleTime et ScheduleQuickScanTime). La randomisation permet à Microsoft Defender antivirus de démarrer une analyse sur chaque ordinateur dans une fenêtre de quatre heures à partir de l’heure définie pour l’analyse planifiée.

Consultez Planifier des analyses pour connaître les autres options de configuration disponibles pour les analyses planifiées.

Utiliser des analyses rapides

Vous pouvez spécifier le type d’analyse à effectuer pendant une analyse planifiée. Les analyses rapides sont l’approche recommandée, car elles sont conçues pour rechercher dans tous les endroits où les logiciels malveillants doivent résider pour être actifs. La procédure suivante explique comment configurer des analyses rapides à l’aide de stratégie de groupe.

  1. Dans votre stratégie de groupe Rédacteur, accédez à Modèles >d’administrationComposants> Windows Microsoft Defender Analyse antivirus>.

  2. Sélectionnez Spécifier le type d’analyse à utiliser pour une analyse planifiée , puis modifiez le paramètre de stratégie.

  3. Définissez la stratégie sur Activé, puis sous Options, sélectionnez Analyse rapide.

  4. Sélectionnez OK.

  5. Déployez votre objet de stratégie de groupe comme vous le faites habituellement.

Empêcher les notifications

Parfois, Microsoft Defender notifications antivirus sont envoyées à ou conservées sur plusieurs sessions. Pour éviter toute confusion des utilisateurs, vous pouvez verrouiller l’interface utilisateur Microsoft Defender Antivirus. La procédure suivante explique comment supprimer des notifications à l’aide de stratégie de groupe.

  1. Dans votre stratégie de groupe Rédacteur, accédez à Composants> Windows Microsoft DefenderInterface clienteantivirus>.

  2. Sélectionnez Supprimer toutes les notifications , puis modifiez les paramètres de stratégie.

  3. Définissez la stratégie sur Activé, puis sélectionnez OK.

  4. Déployez votre objet de stratégie de groupe comme vous le faites habituellement.

La suppression des notifications empêche les notifications de Microsoft Defender’antivirus de s’afficher lorsque les analyses sont terminées ou que des actions de correction sont effectuées. Toutefois, votre équipe des opérations de sécurité voit les résultats d’une analyse si une attaque est détectée et arrêtée. Des alertes, telles qu’une alerte d’accès initiale, sont générées et apparaissent dans le portail Microsoft Defender.

Désactiver les analyses après une mise à jour

La désactivation d’une analyse après une mise à jour empêche une analyse de se produire après la réception d’une mise à jour. Vous pouvez appliquer ce paramètre lors de la création de l’image de base si vous avez également exécuté une analyse rapide. De cette façon, vous pouvez empêcher la machine virtuelle nouvellement mise à jour d’effectuer une nouvelle analyse (car vous l’avez déjà analysée lors de la création de l’image de base).

Importante

L’exécution d’analyses après une mise à jour permet de s’assurer que vos machines virtuelles sont protégées avec les dernières mises à jour de security intelligence. La désactivation de cette option réduit le niveau de protection de vos machines virtuelles et ne doit être utilisée que lors de la création ou du déploiement de l’image de base.

  1. Dans votre stratégie de groupe Rédacteur, accédez à Composants> Windows Microsoft Defender Antivirus>Security Intelligence Mises à jour.

  2. Sélectionnez Activer l’analyse après la mise à jour du renseignement de sécurité , puis modifiez le paramètre de stratégie.

  3. Définissez la stratégie sur Désactivé.

  4. Sélectionnez OK.

  5. Déployez votre objet de stratégie de groupe comme vous le faites habituellement.

Cette stratégie empêche l’exécution d’une analyse immédiatement après une mise à jour.

Désactiver l’option ScanOnlyIfIdle

Utilisez l’applet de commande suivante pour arrêter une analyse rapide ou planifiée chaque fois que l’appareil devient inactif s’il est en mode passif.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Vous pouvez également désactiver l’option ScanOnlyIfIdle dans Microsoft Defender Antivirus par configuration via la stratégie de groupe locale ou de domaine. Ce paramètre empêche une contention significative du processeur dans les environnements à haute densité.

Pour plus d’informations, consultez Démarrer l’analyse planifiée uniquement lorsque l’ordinateur est allumé, mais pas en cours d’utilisation.

Analyser les machines virtuelles qui ont été hors connexion

  1. Dans votre stratégie de groupe Rédacteur, accédez à Composants> Windows Microsoft Defender Analyse antivirus>.

  2. Sélectionnez Activer l’analyse rapide de rattrapage , puis modifiez le paramètre de stratégie.

  3. Définissez la stratégie sur Activé.

  4. Sélectionnez OK.

  5. Déployez votre stratégie de groupe Object comme vous le faites habituellement.

Cette stratégie force une analyse si la machine virtuelle a manqué au moins deux analyses planifiées consécutives.

Activer le mode d’interface utilisateur sans tête

  1. Dans votre stratégie de groupe Rédacteur, accédez à Composants> Windows Microsoft DefenderInterface clienteantivirus>.

  2. Sélectionnez Activer le mode d’interface utilisateur sans tête et modifiez la stratégie.

  3. Définissez la stratégie sur Activé.

  4. Sélectionnez OK.

  5. Déployez votre stratégie de groupe Object comme vous le faites habituellement.

Cette stratégie masque l’ensemble de l’interface utilisateur de l’antivirus Microsoft Defender aux utilisateurs finaux de votre organization.

Exécuter la tâche planifiée « Maintenance du cache Windows Defender »

Optimisez la tâche planifiée « Maintenance du cache Windows Defender » pour les environnements VDI non persistants et/ou persistants. Exécutez cette tâche sur l’image main avant de sceller.

  1. Ouvrez la console mmc du Planificateur de tâches (taskschd.msc).

  2. DéveloppezBibliothèque> du planificateur de tâchesMicrosoft> Windows >Windows Defender, puis cliquez avec le bouton droit sur Maintenance du cache Windows Defender.

  3. Sélectionnez Exécuter et laissez la tâche planifiée se terminer.

Exclusions

Si vous pensez avoir besoin d’ajouter des exclusions, consultez Gérer les exclusions pour Microsoft Defender pour point de terminaison et Microsoft Defender Antivirus.

Voir aussi

Si vous recherchez des informations sur Defender pour point de terminaison sur des plateformes non Windows, consultez les ressources suivantes :

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.