קביעת Microsoft Defender אנטי-וירוס בסביבה של תשתית שולחן עבודה מרוחק או שולחן עבודה וירטואלי

חל על:

• האנטי-וירוס של Microsoft Defender
• תוכנית 1 של Defender עבור נקודת קצה
• Defender for Endpoint Plan 2

פלטפורמות

• Windows

עצה

מאמר זה מיועד ללקוחות המשתמשים ביכולות אנטי Microsoft Defender אנטי-וירוס בלבד. אם יש לך Microsoft Defender עבור נקודת קצה (הכוללת את האנטי-וירוס של Microsoft Defender לצד יכולות נוספות להגנה על מכשירים), דלג על מאמר זה והמשך להתקני תשתית שולחן עבודה וירטואלי (VDI) שאינם מתמידים ב- Microsoft Defender XDR.

באפשרותך להשתמש Microsoft Defender אנטי-וירוס בסביבה של שולחן עבודה מרוחק (RDS) או בסביבה של תשתית שולחן עבודה וירטואלי (VDI) שאינה מתמידה. על-פי ההנחיות במאמר זה, באפשרותך לקבוע תצורה של עדכונים להורדה ישירות לסביבות RDS או VDI כאשר משתמש נכנס.

מדריך זה מתאר כיצד לקבוע את התצורה Microsoft Defender האנטי-וירוס במחשבים וירטואליים לקבלת הגנה וביצועים מיטביים, כולל כיצד לבצע את התנאים הבאים:

• הגדרת שיתוף קבצים ייעודי של VDI עבור עדכוני בינת אבטחה
• בצע אקראיות של סריקות מתוזמנות
• שימוש ב'סריקות מהירות'
• מניעת הודעות
• ביטול ביצוע סריקות לאחר כל עדכון
• סריקת מחשבים לא עדכניים או מחשבים שאינם מקוונים במשך זמן מה
• החלת פריטים שאינם נכללים

חשוב

למרות שניתן לארח VDI ב- Windows Server 2012 או ב- Windows Server 2016, מחשבים וירטואליים (VM) אמורים לפעול ב- Windows 10, גירסה 1607 לכל הפחות, עקב טכנולוגיות ותכונות הגנה משופרות שאינן זמינות בגירסאות קודמות של Windows.

הגדרת שיתוף קבצים ייעודי של VDI עבור בינת אבטחה

ב Windows 10, גירסה 1903, Microsoft הציגה את תכונת בינת האבטחה המשותפת, אשר מנתקת את האריזה של עדכוני בינת אבטחה שהורדו למחשב מארח. שיטה זו מפחיתה את השימוש במשאבי CPU, דיסק וזיכרון במחשבים בודדים. בינת אבטחה משותפת פועלת כעת Windows 10, גירסה 1703 ואילך. באפשרותך להגדיר יכולת זו באמצעות מדיניות קבוצתית או PowerShell, כמתואר בטבלה הבאה:

השיטה	הליך
מדיניות קבוצתית	1. במחשב מדיניות קבוצתית, פתח את מסוף הניהול של מדיניות קבוצתית, לחץ באמצעות לחצן העכבר הימני על אובייקט מדיניות קבוצתית שברצונך לקבוע את תצורתו ולאחר מכן בחר ערוך. 2. בתיבת הדו מדיניות קבוצתית ניהול עורך, עבור אל תצורת המחשב. בחר תבניות ניהול. הרחב את העץ לרכיבי Windows Microsoft Defender>Antivirus>Security Intelligence עדכונים. 3. לחץ פעמיים על הגדר מיקום בינת אבטחה עבור לקוחות VDI ולאחר מכן הגדר את האפשרות כזמינה. שדה מופיע באופן אוטומטי. 4. הזן \\<sharedlocation\>\wdav-update (לקבלת עזרה לגבי ערך זה, ראה הורדה וביטול אריזה). 5. בחר אישור. פרוס את ה- GPO במחשבים הווירטואליים שברצונך לבדוק.
PowerShell	1. בכל מכשיר RDS או VDI, השתמש ב- cmdlet הבא כדי להפוך את התכונה לזמינה: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update. 2. דחוף את העדכון כפי שאתה נוהג לדחוף פריטי מדיניות תצורה המבוססים על PowerShell למחשבים וירטואליים. (עיין בסעיף הורדה וביטול אריזה של ערך <המיקום המשותף> .)

הורד ופרק את האריזה של העדכונים האחרונים

כעת תוכל להתחיל בהורדה ובהתקנה של עדכונים חדשים. יצרנו עבורך קובץ Script לדוגמה של PowerShell להלן. קובץ Script זה הוא הדרך הקלה ביותר להוריד עדכונים חדשים ולהכן אותם למחשבים וירטואליים. לאחר מכן עליך להגדיר את קובץ ה- Script כך שיפעלו בזמן מסוים במחשב הניהול באמצעות משימה מתוזמנת (או, אם אתה מתמצא בשימוש בקבצי Script של PowerShell ב- Azure, ב- Intune או ב- SCCM, באפשרותך גם להשתמש בקבצי Script אלה).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

באפשרותך להגדיר משימה מתוזמנת להפעלה פעם ביום כך שכל פעם שהחבילה יורדת ותפרק את האריזה, המחשבים הווירטואליים יקבלו את העדכון החדש. אנו מציעים להתחיל עם פעם ביום, אך עליך להתנסות בהגדלה או בפחתה של התדירות כדי להבין את ההשפעה.

חבילות בינת אבטחה פורסמו בדרך כלל פעם בשלוש עד ארבע שעות. מומלץ להגדיר תדירות קצרה יותר מארבע שעות מכיוון שהיא תגדיל את תדירות הרשת במחשב הניהול ללא כל תועלת.

באפשרותך גם להגדיר את השרת או המחשב המסוים שלך כדי להביא את העדכונים בשם המחשבים הווירטואליים במרווח זמן ולמקם אותם במיקום השיתוף של הקבצים לצריכה. תצורה זו אפשרית כאשר למכשירים יש גישה לשיתוף ולקריאת (הרשאות NTFS) לשיתוף כדי שהם יוכלו ללכוד את העדכונים. כדי להגדיר תצורה זו, בצע את הפעולות הבאות:

1. Create קובץ SMB/CIFS.

2. השתמש בדוגמה הבאה כדי ליצור שיתוף קבצים עם הרשאות השיתוף הבאות.

   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   

   הערה

   נוספה הרשאת NTFS עבור משתמשים מאומתים:קריאה:.

   בדוגמה זו, מיקום השיתוף של הקבצים הוא:

   \\fileserver.fqdn\mdatp$\wdav-update

הגדרת משימה מתוזמנת להפעלת קובץ ה- Script של PowerShell

1. במחשב הניהול, פתח את תפריט התחלה והקלד מתזמן המשימות. פתח אותה ובחר Create המשימה... בלוח הצידי.

2. הזן את השם כפרק אריזת בינת אבטחה. עבור אל הכרטיסיה גורם מפעיל . בחר חדש...>מדי יום, ובחר אישור.

3. מעבר אל הכרטיסיה פעולות . בחר חדש... הזן PowerShell בשדה תוכנית/קובץ Script. הזן -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 בשדה הוסף ארגומנטים . בחר אישור.

4. קבע את התצורה של הגדרות אחרות בהתאם לצורך.

5. בחר אישור כדי לשמור את הפעילות המתוזמנת.

באפשרותך ליזום את העדכון באופן ידני על-ידי לחיצה באמצעות לחצן העכבר הימני על המשימה ולאחר מכן בחירה באפשרות הפעל.

הורדה וביטול אריזה באופן ידני

אם אתה מעדיף לעשות הכל באופן ידני, הנה מה לעשות כדי לשכפל את אופן הפעולה של קובץ ה- Script:

1. Create תיקיה חדשה בבסיס המערכת שנקראה wdav_update כדי לאחסן עדכוני בינת אחסון, לדוגמה, צור את התיקיה c:\wdav_update.

2. Create תיקיית משנה תחת wdav_update עם שם GUID, כגון{00000000-0000-0000-0000-000000000000}

   להלן דוגמה: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   הערה

   בקובץ ה- Script הגדרנו אותו כך ש- 12 הספרות האחרונות של ה- GUID יהיו השנה, החודש, היום והשעה שבהם הקובץ הורד כך שתיקיה חדשה תיווצר בכל פעם. באפשרותך לשנות זאת כך שהקובץ יורד לאותה תיקיה בכל פעם.

3. הורד חבילת בינת אבטחה מתוך התיקיה https://www.microsoft.com/wdsi/definitions GUID. יש לבחור בשם הקובץ mpam-fe.exe.

4. פתח חלון הנחיה של cmd ונווט אל תיקיית ה- GUID שיצרת. השתמש בפקודה חילוץ /X כדי לחלץ את הקבצים, לדוגמה mpam-fe.exe /X.

   הערה

   ה- VM ילאסוף את החבילה המעודכנת בכל פעם שתיקיה GUID חדשה נוצרת עם חבילת עדכון שחולצה או בכל פעם שתיקיה קיימת מתעדכנת בחבילה שחולצה חדשה.

בצע אקראיות של סריקות מתוזמנות

סריקות מתוזמנות מופעלות בנוסף להגנה וסריקה בזמן אמת.

זמן ההתחלה של הסריקה עצמה עדיין מבוסס על מדיניות הסריקה המתוזמנת (ScheduleDay, ScheduleTime ו- ScheduleQuickScanTime). אקראיות תגרום Microsoft Defender האנטי-וירוס להתחיל סריקה בכל מחשב בתוך חלון של ארבע שעות מהזמן שנקבע לסריקה המתוזמנת.

ראה תזמון סריקות לקבלת אפשרויות תצורה אחרות הזמינות לסריקה מתוזמנת.

שימוש ב'סריקות מהירות'

באפשרותך לציין את סוג הסריקה שיש לבצע במהלך סריקה מתוזמנת. סריקות מהירות הן הגישה המועדפת מפני שהן מיועדות לחפש בכל המקומות שבהם תוכנה זדונית צריכה להיות פעילה. ההליך הבא מתאר כיצד להגדיר סריקות מהירות באמצעות מדיניות קבוצתית.

1. בתיבת הדו מדיניות קבוצתית עורך, עבור אל תבניות ניהול רכיבי>Windows Microsoft Defender>אנטי-וירוס>.

2. בחר ציין את סוג הסריקה לשימוש עבור סריקה מתוזמנת ולאחר מכן ערוך את הגדרת המדיניות.

3. הגדר את המדיניות כזמינה ולאחר מכן, תחת אפשרויות, בחר סריקה מהירה.

4. בחר אישור.

5. פרוס את מדיניות קבוצתית שלך כפי שאתה עושה בדרך כלל.

מניעת הודעות

לעתים, Microsoft Defender אנטי-וירוס נשלחות או נשמרות בהפעלות מרובות. כדי למנוע בלבול משתמשים, באפשרותך לנעול את ממשק המשתמש Microsoft Defender אנטי-וירוס. ההליך הבא מתאר כיצד להעלים הודעות באמצעות מדיניות קבוצתית.

1. בחלונית מדיניות קבוצתית עורך, עבור אל רכיבי Windows>Microsoft Defender ממשק לקוח של>אנטי-וירוס.

2. בחר העלם את כל ההודעות ולאחר מכן ערוך את הגדרות המדיניות.

3. הגדר את המדיניות כזמינה ולאחר מכן בחר אישור.

4. פרוס את מדיניות קבוצתית שלך כפי שאתה עושה בדרך כלל.

העלמת הודעות מונעת מהודעות Microsoft Defender האנטי-וירוס להופיע כאשר מתבצעות סריקות או פעולות תיקון. עם זאת, צוות פעולות האבטחה שלך יבדוק את תוצאות הסריקה אם תאתר ותעצר מתקפה. נוצרות התראות, כגון התראת גישה ראשונית, והן יופיעו Microsoft Defender שלך.

הפיכת סריקות ללא זמינות לאחר עדכון

השבתת סריקה לאחר עדכון תמנע ביצוע סריקה לאחר קבלת עדכון. באפשרותך להחיל הגדרה זו בעת יצירת תמונת הבסיס אם הפעלת גם סריקה מהירה. בדרך זו, תוכל למנוע מה- VM החדש המעודכן לבצע סריקה שוב (כפי שכבר סרקת אותה בעת יצירת תמונת הבסיס).

חשוב

הפעלת סריקות לאחר עדכון תעזור להבטיח שהמחשבים הווירטואליים שלך מוגנים באמצעות עדכוני בינת האבטחה האחרונים. הפיכת אפשרות זו ללא זמינה תפחית את רמת ההגנה של מחשבים וירטואליים ותשמש רק בעת יצירה או פריסה של תמונת הבסיס.

1. בחלונית מדיניות קבוצתית עורך, עבור אל רכיבי Windows>Microsoft Defender Antivirus>Security Intelligence עדכונים.

2. בחר הפעל סריקה לאחר עדכון בינת אבטחה ולאחר מכן ערוך את הגדרת המדיניות.

3. הגדר את המדיניות כלא זמינה.

4. בחר אישור.

5. פרוס את מדיניות קבוצתית שלך כפי שאתה עושה בדרך כלל.

מדיניות זו מונעת סריקה לפעול מיד לאחר עדכון.

הפוך את האפשרות ללא ScanOnlyIfIdle זמינה

השתמש ב- cmdlet הבא כדי להפסיק סריקה מהירה או מתוזמנת בכל פעם שהמכשיר אינו פעיל אם הוא במצב פאסיבי.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

באפשרותך גם לבטל את האפשרות ב- ScanOnlyIfIdle Microsoft Defender-ידי קביעת תצורה באמצעות מדיניות קבוצתית מקומית או קבוצתית של תחום. הגדרה זו מונעת התוואות משמעותית של המעבד בסביבות עם צפיפות גבוהה.

לקבלת מידע נוסף, ראה הפעלת הסריקה המתוזמנת רק כאשר המחשב מופעל אך אינו נמצא בשימוש.

סרוק מחשבים וירטואליים שאינם מקוונים

1. בתיבת הדו מדיניות קבוצתית עורך, עבור אל רכיבי Windows Microsoft Defender>אנטי-וירוס>.

2. בחר הפעל סריקה מהירה של התעדכן ולאחר מכן ערוך את הגדרת המדיניות.

3. הגדר את המדיניות כזמינה.

4. בחר אישור.

5. פרוס את מדיניות קבוצתית שלך כפי שאתה עושה בדרך כלל.

מדיניות זו כופה סריקה אם המחשב הווירטואלי החמיץ שתי סריקות מתוזמנות עוקבות או יותר.

הפיכת מצב ממשק משתמש ללא ראש לזמין

1. בחלונית מדיניות קבוצתית עורך, עבור אל רכיבי Windows>Microsoft Defender ממשק לקוח של>אנטי-וירוס.

2. בחר הפוך מצב ממשק משתמש ללא ראש לזמין וערוך את המדיניות.

3. הגדר את המדיניות כזמינה.

4. בחר אישור.

5. פרוס את מדיניות קבוצתית שלך כפי שאתה עושה בדרך כלל.

מדיניות זו מסתירה את כל Microsoft Defender של אנטי-וירוס ממשתמשי קצה בארגון שלך.

פריטים לא כלולים

אם אתה סבור שעליך להוסיף פריטים שאינם נכללים, ראה ניהול פריטים שאינם נכללים עבור Microsoft Defender עבור נקודת קצה ו- Microsoft Defender אנטי-וירוס.

למידע נוסף

• בלוג הקהילה הטכנית: קביעת Microsoft Defender אנטי-וירוס עבור מחשבי VDI שאינם מתמידים
• פורומים של TechNet ב-שירותי שולחן עבודה מרוחק ו- VDI
• חתימההורד התאמה אישיתקובץ Script של PowerShell

אם אתה מחפש מידע אודות נקודת קצה של Defender עבור בפלטפורמות שאינן של Windows, עיין במשאבים הבאים:

• Microsoft Defender עבור נקודת קצה ב- Mac
• בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux
• קביעת התצורה של Defender עבור נקודת קצה בתכונות Android
• קביעת התצורה של Microsoft Defender עבור נקודת קצה בתכונות iOS

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.