קלוט מכשירים לא מתמידים של תשתית שולחן עבודה וירטואלי (VDI) Microsoft Defender XDR

חל על:

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

תשתית שולחן עבודה וירטואלי (VDI) היא רעיון של תשתית IT המאפשר למשתמשי קצה לגשת למופעים של שולחנות עבודה וירטואליים ארגוניים כמעט מכל מכשיר (כגון המחשב האישי, הטלפון החכם או הטאבלט שלך), ומונעת מהארגון לספק למשתמשים מחשבים פיזיים. השימוש במכשירי VDI מפחית את העלויות, מאחר שמחלקות IT אינן אחראיות עוד לניהול, לתיקון ולהחלפה של נקודות קצה פיזיות. משתמשים מורשים יכולים לגשת לאותם שרתים, קבצים, אפליקציות ושירותים של החברה מכל מכשיר מאושר באמצעות לקוח שולחן עבודה או דפדפן מאובטחים.

כמו כל מערכת אחרת בסביבת IT, מכשירי VDI צריכים לכלול פתרון זיהוי ותגובה של נקודות קצה (EDR) ואנטי-וירוס כדי להגן מפני איומים ומתקפות מתקדמים.

הערה

Persistent VDI's - צירוף מחשב VDI מתמיד ל- Microsoft Defender עבור נקודת קצה מטופל באותו אופן שבו היית קליטת מחשב פיזי, כגון מחשב שולחני או מחשב נישא. ניתן להשתמש Microsoft Configuration Manager, מדיניות קבוצתית ושיטות אחרות כדי לקלוט מחשב מתמיד. בפורטל Microsoft Defender, (https://security.microsoft.com) תחת צירוף, בחר את שיטת הצירוף המועדפת ולאחר מכן בצע את ההוראות עבור סוג זה. לקבלת מידע נוסף, ראה צירוף לקוח של Windows.

קליטת מכשירים לא מתמידים של תשתית שולחן עבודה וירטואלי (VDI)

Defender for Endpoint תומך בצירוף הפעלה לא מתמיד של VDI. ייתכנו אתגרים משויכים בעת צירוף מופעי VDI. להלן אתגרים אופייניים עבור תרחיש זה:

  • צירוף מיידי מוקדם של הפעלה קצרה, שיש להקלוט ל- Defender for Endpoint לפני הקצאת משאבים בפועל.

  • שם ההתקן נמצא בדרך כלל בשימוש חוזר עבור הפעלות חדשות.

  • בסביבת VDI, למופעי VDI יכולים להיות אורך חיים קצר. מכשירי VDI יכולים להופיע בפורטל Microsoft Defender כערכים בודדים עבור כל מופע VDI או ערכים מרובים עבור כל מכשיר.

    • ערך בודד עבור כל מופע VDI. אם מופע ה- VDI כבר היה מחובר ל- Microsoft Defender עבור נקודת קצה, ובנקודה מסוימת נמחק ולאחר מכן נוצר מחדש עם אותו שם מארח, אובייקט חדש המייצג מופע VDI זה לא ייווצר בפורטל. במקרה זה, יש לקבוע את התצורה של אותו שם מכשיר בעת יצירת ההפעלה, לדוגמה באמצעות קובץ תשובות ללא התערבות.

    • ערכים מרובים עבור כל מכשיר - אחד עבור כל מופע VDI.

חשוב

אם אתה פורס מחשבים וירטואליים לא עקביים באמצעות טכנולוגיית שכפול, ודא שהמחשבים הווירטואליים של התבנית הפנימית שלך אינם מחוברים ל- Defender for Endpoint. המלצה זו היא להימנע ממחשבים וירטואליים משוכפלים להיות מחוברים באמצעות SenseGuid זהה ל- VM של התבנית שלך, דבר שעלול למנוע ממחשבים וירטואליים להופיע כערכים חדשים ברשימה מכשירים.

השלבים הבאים מדריכים אותך בתהליך צירוף מכשירי VDI ומדגישים שלבים עבור ערכים בודדים או ערכים מרובים.

אזהרה

עבור סביבות שבהן קיימות תצורות משאבים נמוכות, הליך האתחול של VDI עלול להאט את הצירוף של חיישן נקודת הקצה של Defender for.

שלבי קליטת נתונים

הערה

Windows Server 2016 ו- Windows Server 2012 R2 צריכים להיות מוכנים על-ידי החלת חבילת ההתקנה תחילה באמצעות ההוראות המפורטות בשרתי צירוף Windows כדי שתכונה זו יפעלו.

  1. פתח את קובץ חבילת התצורה של VDI (WindowsDefenderATPOnboardingPackage.zip) שהורדת מתוך אשף צירוף השירות. באפשרותך גם לקבל את החבילה מהפורטל Microsoft Defender שלך.

    1. בחלונית הניווט, בחר הגדרות נקודות>קצה ניהול>מכשירים>צירוף.

    2. בחר את מערכת ההפעלה.

    3. בשדה שיטת פריסה , בחר קבצי Script של צירוף VDI עבור נקודות קצה לא עקביות.

    4. בחר הורד חבילה ושמור את הקובץ.

  2. העתק את הקבצים מהתיקיה שחולצה WindowsDefenderATPOnboardingPackage מהתיקיה הדחוסה לתמונה המוזהכת/הראשית תחת הנתיב C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    • אם אתה מיישם ערכים מרובים עבור כל מכשיר - אחד עבור כל הפעלה, העתק WindowsDefenderATPOnboardingScript.cmdאת .

    • אם אתה מיישם ערך יחיד עבור כל מכשיר, העתק את שניהם ואת Onboard-NonPersistentMachine.ps1WindowsDefenderATPOnboardingScript.cmd.

    הערה

    אם אינך רואה את התיקיה C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , ייתכן שהיא מוסתרת. יהיה עליך לבחור את האפשרות הצג קבצים ותיקיות מוסתרים מתוך סייר הקבצים.

  3. פתח חלון הגדרות מדיניות קבוצתית עורך ונווט אל אתחול קבצי Script של>הגדרות Windows של>תצורת>המחשב.

    הערה

    ניתן מדיניות קבוצתית תחום גם לצירוף מכשירי VDI שאינם מתמידים.

  4. בהתאם לשיטה שברצונך ליישם, בצע את השלבים המתאימים:

    השיטה שלבים
    ערך בודד עבור כל מכשיר 1. בחר בכרטיסיה קבצי Script של PowerShell ולאחר מכן בחר הוסף (סייר Windows נפתח ישירות בנתיב שבו העתקת קודם לכן את קובץ ה- Script של הצירוף).
    2. נווט אל קובץ Script של PowerShell הצירוף Onboard-NonPersistentMachine.ps1. אין צורך לציין את הקובץ האחר, מאחר שהוא מופעל באופן אוטומטי.
    ערכים מרובים עבור כל מכשיר 1. בחר בכרטיסיה קבצי Script ולאחר מכן בחר הוסף (סייר Windows נפתח ישירות בנתיב שבו העתקת קודם לכן את קובץ ה- Script של הצירוף).
    2. נווט אל קובץ ה- Script של צירוף Bash WindowsDefenderATPOnboardingScript.cmd.
  5. בדוק את הפתרון שלך על-ידי ביצוע השלבים הבאים:

    1. צור מאגר עם מכשיר אחד.

    2. היכנס למכשיר.

    3. צא מהמכשיר.

    4. היכנס למכשיר באמצעות חשבון אחר.

    5. בהתאם לשיטה שברצונך ליישם, בצע את השלבים המתאימים:

  6. בחלונית הניווט, בחר את הרשימה מכשירים.

  7. השתמש בפונקציית החיפוש על-ידי הזנת שם המכשיר ובחר התקן כסוג חיפוש.

עבור יחידות SKU מדורגות (Windows Server 2008 R2)

הערה

הוראות אלה עבור גירסאות שרת אחרות של Windows חלות גם אם אתה משתמש בגירסה הקודמת של Microsoft Defender עבור נקודת קצה עבור Windows Server 2016 ו- Windows Server 2012 R2 המחייב שימוש ב- MMA. הוראות להעברה לפתרון המאוחד החדש נמצאות בתרחישי העברה של שרת Microsoft Defender עבור נקודת קצה.

הרישום הבא רלוונטי רק כאשר המטרה היא להשיג ערך יחיד עבור כל מכשיר.

  1. הגדר את ערך הרישום באופן הבא:

    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
     "VDI"="NonPersistent"
    
    

    לחלופין, באפשרותך להשתמש בשורת הפקודה באופן הבא:

    
    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
    
    
  2. בצע את תהליך הצירוף של השרת.

עדכון תמונות של תשתית שולחן עבודה וירטואלי (VDI) (עקביות או לא מתמידות)

בעזרת היכולת לפרוס בקלות עדכונים במחשבים וירטואליים שפועלים ב- VDIs, קוצרנו מדריך זה כדי להתמקד באופן שבו ניתן לקבל עדכונים במחשבים שלך במהירות ובקלות. אין עוד צורך ליצור ולאטום תמונות מוזהבות על בסיס תקופתי, מכיוון שעדכונים מורחבים לסיביות הרכיבים שלהם בשרת המארח ולאחר מכן יורדו ישירות למחשב הווירטואלי כאשר הוא מופעל.

אם קלוטת את התמונה הראשית של סביבת ה- VDI שלך (שירות SENSE פועל), עליך להוציא ולנקות חלק מהנתונים לפני שתציב את התמונה בחזרה לייצור.

  1. תקלוט את המכונה.

  2. ודא שהחיישן מופסק על-ידי הפעלת הפקודה הבאה בחלון CMD:

    
    sc query sense
    
    
  3. הפעל את הפקודות הבאות בחלון CMD::

    
    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
    exit
    
    

האם אתה משתמש בספק חיצוני עבור תוכנות VDIs?

אם אתה פורס מחשבים וירטואליים לא מתמידים באמצעות שכפול מיידי של VMware או טכנולוגיות דומות, ודא שהמחשבים הווירטואליים של התבנית הפנימית ומחשבים וירטואליים של עותק משוכפל אינם מחוברים ל- Defender for Endpoint. אם אתה קלוט מכשירים המשתמשים בפעולת השירות של כניסה יחידה, ייתכן שלשכפולים מיידיים שהוקצו ממחשבים וירטואליים מחוברים יהיה אותו senseGuid, ופעולה זו עשויה למנוע מערך חדש להופיע בתצוגה 'מלאי מכשירים' (בפורטל Microsoft Defender, בחר התקני>נכסים).

אם התמונה הראשית, התבנית VM או העותק המשוכפל VM מחוברים ל- Defender for Endpoint באמצעות שיטת הערך ה יחיד, הוא מפסיק את Defender for Endpoint ליצור ערכים עבור רכיבים וירטואליים חדשים שאינם מתמידים בפורטל Microsoft Defender.

פנה לספקים החיצוניים שלך לקבלת סיוע נוסף.

לאחר צירוף מכשירים לשירות, חשוב לנצל את היכולות הכלולות של הגנה מפני איומים על-ידי הפעלתן באמצעות הגדרות התצורה המומלצות הבאות.

תצורת ההגנה של הדור הבא

הגדרות התצורה בקישור זה מומלצות: קבע את תצורת האנטי Microsoft Defender אנטי-וירוס של שולחן עבודה מרוחק או סביבת תשתית של שולחן עבודה וירטואלי.

טיפ

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.