שתף באמצעות

קלוט מכשירים לא מתמידים של תשתית שולחן עבודה וירטואלי (VDI) Microsoft Defender XDR

  • מאמר

תשתית שולחן עבודה וירטואלי (VDI) היא רעיון של תשתית IT המאפשר למשתמשי קצה לגשת למופעים של שולחנות עבודה וירטואליים ארגוניים כמעט מכל מכשיר (כגון המחשב האישי, הטלפון החכם או הטאבלט שלך), ומונעת מהארגון לספק למשתמשים מחשבים פיזיים. השימוש במכשירי VDI מפחית את העלות מכיוון שמחלקות IT אינן אחראיות עוד לניהול, לתיקון ולהחלפה של נקודות קצה פיזיות. משתמשים מורשים יכולים לגשת לאותם שרתים, קבצים, אפליקציות ושירותים של החברה מכל מכשיר מאושר באמצעות לקוח שולחן עבודה או דפדפן מאובטחים.

כמו כל מערכת אחרת בסביבה של IT, גם אלה צריכים לכלול פתרון זיהוי ותגובה של נקודות קצה (EDR) ואנטי-וירוס כדי להגן מפני איומים ומתקפות מתקדמים.

חל על:

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

הערה

Persistent VDI's - צירוף מחשב VDI מתמיד ל- Microsoft Defender עבור נקודת קצה מטופל באותו אופן שבו היית קליטת מחשב פיזי, כגון מחשב שולחני או מחשב נישא. ניתן להשתמש Microsoft Configuration Manager, מדיניות קבוצתית ושיטות אחרות כדי לקלוט מחשב מתמיד. בפורטל Microsoft Defender, (https://security.microsoft.com) תחת צירוף, בחר את שיטת הצירוף המועדפת ולאחר מכן בצע את ההוראות עבור סוג זה. לקבלת מידע נוסף, ראה צירוף לקוח של Windows.

קליטת מכשירים לא מתמידים של תשתית שולחן עבודה וירטואלי (VDI)

Defender for Endpoint תומך בצירוף הפעלה לא מתמיד של VDI.

ייתכנו אתגרים משויכים בעת צירוף מופעי VDI. להלן אתגרים אופייניים עבור תרחיש זה:

  • צירוף מיידי מוקדם של הפעלה קצרה, שיש להקלוט ל- Defender for Endpoint לפני הקצאת המשאבים בפועל.
  • שם ההתקן נמצא בדרך כלל בשימוש חוזר עבור הפעלות חדשות.

בסביבת VDI, למופעי VDI יכולים להיות אורך חיים קצר. מכשירי VDI יכולים להופיע בפורטל Microsoft Defender כערכים בודדים עבור כל מופע VDI או ערכים מרובים עבור כל מכשיר.

  • ערך בודד עבור כל מופע VDI. אם מופע ה- VDI כבר היה מחובר ל- Microsoft Defender עבור נקודת קצה, ובנקודה מסוימת נמחק ולאחר מכן נוצר מחדש עם אותו שם מארח, אובייקט חדש המייצג מופע VDI זה לא ייווצר בפורטל.

    הערה

    במקרה זה, יש לקבוע את התצורה של אותו שם מכשיר בעת יצירת ההפעלה, לדוגמה באמצעות קובץ תשובות ללא התערבות.

  • ערכים מרובים עבור כל מכשיר - אחד עבור כל מופע VDI.

חשוב

אם אתה פורס מחשבים וירטואליים לא עקביים באמצעות טכנולוגיית שכפול, ודא שהמחשבים הווירטואליים של התבנית הפנימית שלך אינם מחוברים ל- Defender for Endpoint. המלצה זו היא להימנע ממחשבים וירטואליים משוכפלים להיות מחוברים באמצעות SenseGuid זהה ל- VM של התבנית שלך, דבר שעלול למנוע ממחשבים וירטואליים להופיע כערכים חדשים ברשימה מכשירים.

השלבים הבאים מדריכים אותך בתהליך צירוף מכשירי VDI ומדגישים שלבים עבור ערכים בודדים או ערכים מרובים.

אזהרה

עבור סביבות שבהן קיימות תצורות משאבים נמוכות, הליך האתחול של VDI עלול להאט את הצירוף של חיישן נקודת הקצה של Defender for.

שלבי קליטת נתונים

הערה

Windows Server 2016 ו- Windows Server 2012 R2 חייבים להיות מוכנים על-ידי החלת חבילת ההתקנה תחילה באמצעות ההוראות בשרתי צירוף Windows כדי שתכונה זו יפעלו.

  1. פתח את קובץ התצורה .zip התצורה של VDI (WindowsDefenderATPOnboardingPackage.zip) שהורדת מתוך אשף הצירוף של השירות. באפשרותך גם לקבל את החבילה מהפורטל Microsoft Defender הבא:

    1. בחלונית הניווט, בחר הגדרות נקודות>קצה ניהול>מכשירים>צירוף.

    2. בחר את מערכת ההפעלה.

    3. בשדה שיטת פריסה , בחר קבצי Script של צירוף VDI עבור נקודות קצה לא עקביות.

    4. לחץ על הורד חבילה ושמור את .zip הקובץ.

  2. העתק את הקבצים מהתיקיה WindowsDefenderATPOnboardingPackage שחולצה מקובץ ה- .zip אל התמונה המוזהב/הראשית תחת הנתיב C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    1. אם אתה מיישם ערכים מרובים עבור כל מכשיר - אחד עבור כל הפעלה, העתק WindowsDefenderATPOnboardingScript.cmd.

    2. אם אתה מיישם ערך יחיד עבור כל מכשיר, העתק גם Onboard-NonPersistentMachine.ps1 אחד WindowsDefenderATPOnboardingScript.cmd.

    הערה

    אם אינך רואה את התיקיה C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , ייתכן שהיא מוסתרת. יהיה עליך לבחור את האפשרות הצג קבצים ותיקיות מוסתרים מתוך סייר הקבצים.

  3. פתח חלון הגדרות מדיניות קבוצתית עורך ונווט אל אתחול קבצי Script של>הגדרות Windows של>תצורת>המחשב.

    הערה

    ניתן מדיניות קבוצתית תחום גם לצירוף מכשירי VDI שאינם מתמידים.

  4. בהתאם לשיטה שברצונך ליישם, בצע את השלבים המתאימים:

    • להזנה יחידה עבור כל מכשיר:

      בחר את הכרטיסיה קבצי Script של PowerShell ולאחר מכן בחר הוסף (סייר Windows נפתח ישירות בנתיב שבו העתקת את קובץ ה- Script של הצירוף מוקדם יותר). נווט אל קובץ Script של PowerShell הצירוף Onboard-NonPersistentMachine.ps1. אין צורך לציין את הקובץ האחר, מאחר שהוא מופעל באופן אוטומטי.

    • עבור ערכים מרובים עבור כל מכשיר:

      בחר את הכרטיסיה קבצי Script ולאחר מכן לחץ על הוסף (סייר Windows נפתח ישירות בנתיב שבו העתקת את קובץ ה- Script של הצירוף מוקדם יותר). נווט אל קובץ ה- Script ל- Bash של צירוף WindowsDefenderATPOnboardingScript.cmd.

  5. בדוק את הפתרון שלך:

    1. Create בריכה עם מכשיר אחד.

    2. היכנס למכשיר.

    3. צא מהמכשיר.

    4. היכנס למכשיר עם משתמש אחר.

    5. בהתאם לשיטה שברצונך ליישם, בצע את השלבים המתאימים:

      • עבור ערך יחיד עבור כל מכשיר: בדוק ערך אחד בלבד Microsoft Defender הפורטל.
      • עבור ערכים מרובים עבור כל מכשיר: בדוק ערכים מרובים Microsoft Defender הפורטל.

  6. לחץ על הרשימה מכשירים בחלונית הניווט.

  7. השתמש בפונקציית החיפוש על-ידי הזנת שם המכשיר ובחר התקן כסוג חיפוש.

עבור יחידות SKU מדורגות (Windows Server 2008 R2)

הערה

הוראות אלה עבור גירסאות שרת אחרות של Windows חלות גם אם אתה משתמש בגירסה הקודמת של Microsoft Defender עבור נקודת קצה עבור Windows Server 2016 ו- Windows Server 2012 R2 המחייב שימוש ב- MMA. הוראות להעברה לפתרון המאוחד החדש נמצאות בתרחישי העברה של שרת Microsoft Defender עבור נקודת קצה.

הרישום הבא רלוונטי רק כאשר המטרה היא להשיג 'כניסה יחידה עבור כל מכשיר'.

  1. הגדר את ערך הרישום ל:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    או באמצעות שורת הפקודה:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. בצע את תהליך הצירוף של השרת.

עדכון תמונות של תשתית שולחן עבודה וירטואלי (VDI) (עקביות או לא מתמידות)

בעזרת היכולת לפרוס בקלות עדכונים במחשבים וירטואליים שפועלים ב- VDIs, קוצרנו מדריך זה כדי להתמקד באופן שבו ניתן לקבל עדכונים במחשבים שלך במהירות ובקלות. אין עוד צורך ליצור ולאטום תמונות מוזהבות על בסיס תקופתי, מכיוון שעדכונים מורחבים לסיביות הרכיבים שלהם בשרת המארח ולאחר מכן יורדו ישירות למחשב הווירטואלי כאשר הוא מופעל.

אם קלוטת את התמונה הראשית של סביבת ה- VDI שלך (שירות SENSE פועל), עליך להוציא ולנקות חלק מהנתונים לפני שתציב את התמונה בחזרה לייצור.

  1. תקלוט את המכונה.

  2. ודא שהחיישן מופסק על-ידי הפעלת הפקודה הבאה בחלון CMD:

    sc query sense

  3. הפעל את הפקודות הבאות בחלון CMD::

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

האם אתה משתמש בספק חיצוני עבור תוכנות VDIs?

אם אתה פורס מחשבים וירטואליים לא עקביים באמצעות שכפול מיידי של VMware או טכנולוגיות דומות, ודא שהמחשבים הווירטואליים הפנימיים של התבנית והמחשבים הווירטואליים של העותק המשוכפל אינם מחוברים ל- Defender for Endpoint. אם אתה קלוט מכשירים המשתמשים בפעולת השירות של כניסה יחידה, ייתכן שלשכפולים מיידיים שהוקצו ממחשבים וירטואליים מחוברים יהיה אותו senseGuid, ופעולה זו עשויה למנוע מערך חדש להופיע בתצוגה 'מלאי מכשירים' (בפורטל Microsoft Defender, בחר התקני>נכסים).

אם התמונה הראשית, התבנית VM או העותק המשוכפל VM מחוברים ל- Defender for Endpoint באמצעות שיטת ההזנה ה יחידה, הוא ימנע מ- Defender ליצור ערכים עבור מחשבים וירטואליים חדשים שאינם מתמידים בפורטל Microsoft Defender.

פנה לספקים החיצוניים שלך לקבלת סיוע נוסף.

לאחר צירוף מכשירים לשירות, חשוב לנצל את היכולות הכלולות של הגנה מפני איומים על-ידי הפעלתן באמצעות הגדרות התצורה המומלצות הבאות.

תצורת ההגנה של הדור הבא

הגדרות התצורה הבאות מומלצות:

Cloud Protection Service

  • הפעל הגנה מבוססת ענן: כן
  • רמת הגנה מבוססת ענן: לא נקבעה תצורה
  • זמן קצוב מורחב לענן של Defender בשניות: 20

פריטים לא כלולים

  • עיין בהמלצות להכללת אנטי-וירוס של FXLogix כאן: דרישות מוקדמות עבור FSLogix.

הגנה בזמן אמת

  • הפעל את כל ההגדרות והגדר לניטור כל הקבצים

תיקונים

  • מספר הימים לשמירה על תוכנות זדוניות בהסגר: 30
  • שלח הסכמה לדוגמה: שלח את כל הדוגמאות באופן אוטומטי
  • פעולה שיש לבצע ביישומים שעלולים להיות בלתי רצויים: הפוך לזמין
  • פעולות עבור איומים שזוהו:
    • איום נמוך: נקי
    • איום בינוני, איום גבוה, איום חמור: הסגר

סריקה

  • האם לסרוק קבצים המאוחסנים בארכיון: כן
  • השתמש בעדיפות נמוכה של ה- CPU לסריקה מתוזמנת: לא נקבעה תצורה
  • הפוך סריקה מלאה של התעדכן ללא זמינה: לא נקבעה תצורה
  • ביטול סריקה מהירה של קליטת פריטים: לא נקבעה תצורה
  • מגבלת שימוש ב- CPU לסריקה: 50
  • סרוק כונני רשת ממופים במהלך סריקה מלאה: לא נקבעה תצורה
  • הפעל סריקה מהירה יומית ב: 12:00
  • סוג סריקה: לא נקבעה תצורה
  • יום בשבוע להפעלת סריקה מתוזמנת: לא נקבעה תצורה
  • השעה ביום להפעלת סריקה מתוזמנת: לא נקבעה תצורה
  • בדוק אם קיימים עדכוני חתימה לפני הפעלת הסריקה: כן

עדכונים

  • הזן את התדירות שבה יש לבדוק אם קיימים עדכוני בינת אבטחה: 8
  • השארת הגדרות אחרות במצב ברירת מחדל

חוויית משתמש

  • אפשר גישת משתמש ליישום Microsoft Defender: לא נקבעה תצורה

הפוך הגנה מפני טיפול שלא כדין לזמינה

  • אפשר הגנה מפני טיפול שלא כדי Microsoft Defender לבלתי זמינה: הפוך לזמין

צמצום שטח תקיפה

  • הפיכת הגנת רשת לזמינה: מצב בדיקה
  • דרוש SmartScreen עבור Microsoft Edge: כן
  • חסימת גישה לאתר זדוני: כן
  • האם לחסום הורדת קבצים שלא אומתו: כן

כללים לצמצום שטח תקיפה

  • קבע את התצורה של כל הכללים הזמינים לביקורת.

הערה

חסימת פעילויות אלה עלולה להפריע לתהליכים עסקיים לגיטימיים. הגישה הטובה ביותר היא להגדיר הכל לביקורת, לזהות אילו מהם בטוחים להפעלה ולאחר מכן להפוך הגדרות אלה לזמינה ב נקודות קצה שאין אותן זיהויים חיוביים מוטעים.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.