Megosztás a következőn keresztül:

Nem állandó virtuális asztali infrastruktúra - (VDI-) eszközök előkészítése a Microsoft Defender XDR

  • Cikk

A virtuális asztali infrastruktúra (VDI) egy olyan informatikai infrastruktúra-koncepció, amellyel a végfelhasználók szinte bármilyen eszközről (például a személyi számítógépről, okostelefonról vagy táblagépről) hozzáférhetnek a vállalati virtuális asztali példányokhoz, így nincs szükség arra, hogy a szervezet fizikai gépeket biztosítson a felhasználóknak. A VDI-eszközök használata csökkenti a költségeket, mivel az informatikai részlegek már nem felelősek a fizikai végpontok kezeléséért, javításáért és cseréjéért. A jogosult felhasználók bármely jóváhagyott eszközről elérhetik ugyanazokat a vállalati kiszolgálókat, fájlokat, alkalmazásokat és szolgáltatásokat egy biztonságos asztali ügyfélen vagy böngészőn keresztül.

Az informatikai környezet többi rendszeréhez hasonlóan ezeknek is rendelkezniük kell egy végpontészlelési és -válaszmegoldással (EDR) és víruskereső megoldással a speciális fenyegetések és támadások elleni védelem érdekében.

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

Állandó VDI-k – Az állandó VDI-gépek Végponthoz készült Microsoft Defender való előkészítése ugyanúgy történik, mint a fizikai gépek, például asztali számítógépek vagy laptopok előkészítésekor. Az állandó gépek előkészítéséhez csoportházirend, Microsoft Configuration Manager és egyéb módszerek használhatók. A Microsoft Defender portálon (https://security.microsoft.com) az előkészítés területen válassza ki a kívánt előkészítési módszert, és kövesse az ehhez a típushoz tartozó utasításokat. További információ: Windows-ügyfél előkészítése.

Nem állandó virtuális asztali infrastruktúra - (VDI-) eszközök előkészítése

A Végponthoz készült Defender támogatja a nem állandó VDI-munkamenetek előkészítését.

A VDI-példányok előkészítése során problémák merülhetnek fel. A forgatókönyv gyakori kihívásai a következők:

  • Rövid élettartamú munkamenet azonnali korai előkészítése, amelyet a tényleges üzembe helyezés előtt be kell kapcsolni a Végponthoz készült Defenderbe.
  • Az eszköz nevét általában újra felhasználják az új munkamenetekhez.

VDI-környezetben a VDI-példányok élettartama rövid lehet. A VDI-eszközök az Microsoft Defender portálon az egyes VDI-példányok egyetlen bejegyzéseként vagy az egyes eszközökhöz tartozó több bejegyzésként jelenhetnek meg.

  • Minden VDI-példányhoz egyetlen bejegyzés tartozik. Ha a VDI-példányt már előkészítették a Végponthoz készült Microsoft Defender, majd egy ponton törölték, majd újra létrehozták ugyanazzal a gazdagépnévvel, a VDI-példányt képviselő új objektum NEM jön létre a portálon.

    Megjegyzés:

    Ebben az esetben ugyanazt az eszköznevet kell konfigurálni a munkamenet létrehozásakor, például felügyelet nélküli válaszfájl használatával.

  • Több bejegyzés minden eszközhöz – egy minden VDI-példányhoz.

Fontos

Ha klónozási technológiával helyez üzembe nem állandó VDI-kat, győződjön meg arról, hogy a belső sablon virtuális gépei nincsenek regisztrálva a Végponthoz készült Defenderbe. Ennek a javaslatnak az a célja, hogy a klónozott virtuális gépeket ne a sablon virtuális gépeivel megegyező senseGuid beállítással regisztrálja, ami megakadályozhatja, hogy a virtuális gépek új bejegyzésként megjelenjenek az Eszközök listában.

Az alábbi lépések végigvezetik a VDI-eszközök előkészítésén, és kiemelik az egy- és több bejegyzés lépéseit.

Figyelmeztetés

Az alacsony erőforrás-konfigurációjú környezetek esetében a VDI rendszerindítási eljárása lelassíthatja a Végponthoz készült Defender-érzékelő előkészítését.

Előkészítési lépések

Megjegyzés:

Windows Server 2016 és Windows Server 2012 R2-t úgy kell előkészíteni, hogy először alkalmazza a telepítőcsomagot a Windows-kiszolgálók előkészítése funkció működéséhez.

  1. Nyissa meg a szolgáltatás-előkészítési varázslóból letöltött VDI-konfigurációs csomag .zip fájlt (WindowsDefenderATPOnboardingPackage.zip). A csomagot a Microsoft Defender portálról is beszerezheti:

    1. A navigációs panelen válassza a Beállítások>Végpontok>Eszközkezelés>Előkészítés lehetőséget.

    2. Válassza ki az operációs rendszert.

    3. Az Üzembe helyezési módszer mezőben válassza a VDI előkészítési szkripteket a nem állandó végpontokhoz.

    4. Kattintson a Csomag letöltése gombra, és mentse a .zip fájlt.

  2. Másolja a fájlokat a .zip fájlból kinyert WindowsDefenderATPOnboardingPackage mappából az elérési út C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupalatti arany/elsődleges képre.

    1. Ha minden eszközhöz több bejegyzést implementál – minden munkamenethez egyet, másolja WindowsDefenderATPOnboardingScript.cmd.

    2. Ha minden eszközhöz egyetlen bejegyzést implementál, másolja Onboard-NonPersistentMachine.ps1 és WindowsDefenderATPOnboardingScript.cmd is.

    Megjegyzés:

    Ha nem látja a C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup mappát, lehet, hogy el van rejtve. A Rejtett fájlok és mappák megjelenítése lehetőséget kell választania a Fájlkezelő.

  3. Nyisson meg egy Helyi Csoportházirend Szerkesztő ablakot, és lépjen a Számítógép konfigurációja>Windows-beállítások>Szkriptek>indítása területre.

    Megjegyzés:

    A tartomány Csoportházirend nem állandó VDI-eszközök előkészítésére is használható.

  4. A implementálni kívánt módszertől függően kövesse a megfelelő lépéseket:

    • Az egyes eszközökhöz tartozó egyetlen bejegyzés esetén:

      Válassza a PowerShell-szkriptek lapot, majd válassza a Hozzáadás lehetőséget (a Windows Intéző közvetlenül azon az elérési úton nyílik meg, ahová korábban másolta az előkészítési szkriptet). Lépjen az előkészítési PowerShell-szkripthez Onboard-NonPersistentMachine.ps1. Nincs szükség a másik fájl megadására, mivel az automatikusan aktiválódik.

    • Az egyes eszközökhöz tartozó több bejegyzés esetén:

      Válassza a Parancsfájlok lapot, majd kattintson a Hozzáadás gombra (a Windows Intéző közvetlenül azon az elérési úton nyílik meg, ahová korábban az előkészítési szkriptet másolta). Lépjen az előkészítési Bash-szkripthez WindowsDefenderATPOnboardingScript.cmd.

  5. A megoldás tesztelése:

    1. Létrehozás egy készletet egyetlen eszközzel.

    2. Jelentkezzen be az eszközre.

    3. Jelentkezzen ki az eszközről.

    4. Jelentkezzen be az eszközre egy másik felhasználóval.

    5. A implementálni kívánt módszertől függően kövesse a megfelelő lépéseket:

      • Minden eszközhöz egyetlen bejegyzés esetén: Csak egy bejegyzést ellenőrizze Microsoft Defender portálon.
      • Eszközönként több bejegyzés esetén: Több bejegyzés ellenőrzése Microsoft Defender portálon.

  6. Kattintson a Navigációs ablak Eszközök listájára .

  7. Használja a keresési függvényt az eszköz nevének megadásával, majd válassza az Eszköz keresési típust.

Régebbi szintű termékváltozatok esetén (Windows Server 2008 R2)

Megjegyzés:

Az egyéb Windows-kiszolgálóverziókra vonatkozó utasítások akkor is érvényesek, ha az MMA-t igénylő Windows Server 2016 és Windows Server 2012 R2 előző Végponthoz készült Microsoft Defender futtatja. Az új egyesített megoldásba való migrálásra vonatkozó utasítások a Végponthoz készült Microsoft Defender kiszolgálómigrálási forgatókönyveiben találhatók.

A következő beállításjegyzék csak akkor releváns, ha a cél egy "Egyetlen bejegyzés elérése minden eszközhöz".

  1. Állítsa a beállításazonosítót a következőre:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    vagy parancssor használatával:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Kövesse a kiszolgáló előkészítési folyamatát.

Virtuális asztali infrastruktúra (VDI) rendszerképének frissítése (állandó vagy nem állandó)

A virtuális gépeken futó virtuális gépek frissítéseinek egyszerű üzembe helyezésével rövidítettük ezt az útmutatót, hogy arra összpontosítsunk, hogyan kaphat frissítéseket gyorsan és egyszerűen a gépeken. Többé nem kell rendszeres időközönként aranylemezképeket létrehoznia és lezárnia, mivel a frissítések ki vannak bontva a gazdakiszolgálón lévő összetevő bitjeire, majd közvetlenül a virtuális gépre lesznek letöltve, amikor be van kapcsolva.

Ha előkészítette a VDI-környezet elsődleges rendszerképét (a SENSE szolgáltatás fut), akkor ki kell kapcsolnia és törölnie kell néhány adatot, mielőtt újra üzembe helyezné a rendszerképet.

  1. Szálljon ki a gépről.

  2. Az érzékelő leállításához futtassa a következő parancsot egy CMD-ablakban:

    sc query sense

  3. Futtassa a következő parancsokat egy CMD-ablakban:

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Harmadik féltől származó virtuális merevlemezeket használ?

Ha nem állandó VDI-kat helyez üzembe a VMware azonnali klónozásával vagy hasonló technológiák használatával, győződjön meg arról, hogy a belső sablon virtuális gépei és replika virtuális gépei nincsenek előállítva a Végponthoz készült Defenderben. Ha az eszközöket az egyetlen belépési módszerrel készíti fel, az előkészített virtuális gépekről kiépített azonnali klónok esetében ugyanez a senseGuid is előfordulhat, és ez megakadályozhatja, hogy egy új bejegyzés szerepeljön az Eszközleltár nézetben (az Microsoft Defender portálon válassza az Eszközök>eszközök lehetőséget).

Ha az elsődleges rendszerképet, a virtuális sablont vagy a replika virtuális gépet az egyetlen belépési módszerrel készíti elő a Végponthoz készült Defenderbe, az megakadályozza, hogy a Defender új, nem állandó VDI-khez hozzon létre bejegyzéseket a Microsoft Defender portálon.

További segítségért forduljon külső szállítóihoz.

Miután előkészítette az eszközöket a szolgáltatásba, fontos, hogy kihasználja a beépített veszélyforrások elleni védelmi képességeket azáltal, hogy az alábbi ajánlott konfigurációs beállításokkal engedélyezi őket.

Következő generációs védelmi konfiguráció

A következő konfigurációs beállítások ajánlottak:

Felhővédelmi szolgáltatás

  • A felhőben biztosított védelem bekapcsolása: Igen
  • Felhőben biztosított védelmi szint: Nincs konfigurálva
  • A Defender Cloud hosszabb időtúllépése másodpercben: 20

Kizárások

Valós idejű védelem

  • Kapcsolja be az összes beállítást, és állítsa be az összes fájl figyelésére

Kármentesítés

  • A karanténba helyezett kártevőket megőrzési napok száma: 30
  • Mintabeküldési hozzájárulás: Az összes minta automatikus elküldése
  • A potenciálisan nemkívánatos alkalmazásokon végrehajtandó művelet: Engedélyezés
  • Észlelt fenyegetésekre vonatkozó műveletek:
    • Alacsony fenyegetés: Tiszta
    • Mérsékelt fenyegetés, Magas fenyegetés, Súlyos fenyegetés: Karantén

Átkutat

  • Archivált fájlok vizsgálata: Igen
  • Alacsony cpu-prioritás használata ütemezett vizsgálatokhoz: Nincs konfigurálva
  • A felzárkózás teljes vizsgálatának letiltása: Nincs konfigurálva
  • A felzárkózási gyorsvizsgálat letiltása: Nincs konfigurálva
  • Processzorhasználati korlát vizsgálatonként: 50
  • Leképezett hálózati meghajtók vizsgálata a teljes vizsgálat során: Nincs konfigurálva
  • Napi gyorsvizsgálat futtatása: 12:00
  • Vizsgálat típusa: Nincs konfigurálva
  • Az ütemezett vizsgálat futtatásának napja: Nincs konfigurálva
  • Ütemezett vizsgálat futtatásának napjának időpontja: Nincs konfigurálva
  • Ellenőrizze az aláírás-frissítéseket a vizsgálat futtatása előtt: Igen

Frissítések

  • Adja meg a biztonságiintelligencia-frissítések keresésének gyakoriságát: 8
  • Egyéb beállítások alapértelmezett állapotban hagyása

Felhasználói élmény

  • Felhasználói hozzáférés engedélyezése Microsoft Defender alkalmazáshoz: Nincs konfigurálva

Illetéktelen módosítás elleni védelem engedélyezése

  • Illetéktelen módosítás elleni védelem engedélyezése Microsoft Defender letiltásának megakadályozásához: Engedélyezés

Támadásifelület-csökkentés

  • Hálózatvédelem engedélyezése: Tesztelési mód
  • SmartScreen megkövetelése a Microsoft Edge-hez: Igen
  • Rosszindulatú webhelyhozzáférés letiltása: Igen
  • Nem ellenőrzött fájlletöltés letiltása: Igen

Támadásifelület-csökkentési szabályok

  • Konfigurálja az összes elérhető szabályt a naplózáshoz.

Megjegyzés:

A tevékenységek letiltása megszakíthatja a jogszerű üzleti folyamatokat. A legjobb módszer az, ha mindent naplózásra állít be, azonosítja, hogy melyeket lehet biztonságosan bekapcsolni, majd engedélyezze ezeket a beállításokat olyan végpontokon, amelyek nem rendelkeznek téves pozitív észleléssel.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.