Nem állandó virtuális asztali infrastruktúra - (VDI-) eszközök előkészítése a Microsoft Defender XDR

A virtuális asztali infrastruktúra (VDI) egy olyan informatikai infrastruktúra-koncepció, amellyel a végfelhasználók szinte bármilyen eszközről (például a személyi számítógépről, okostelefonról vagy táblagépről) hozzáférhetnek a vállalati virtuális asztali példányokhoz, így nincs szükség arra, hogy a szervezet fizikai gépeket biztosítson a felhasználóknak. A VDI-eszközök használata csökkenti a költségeket, mivel az informatikai részlegek már nem felelősek a fizikai végpontok kezeléséért, javításáért és cseréjéért. A jogosult felhasználók bármely jóváhagyott eszközről elérhetik ugyanazokat a vállalati kiszolgálókat, fájlokat, alkalmazásokat és szolgáltatásokat egy biztonságos asztali ügyfélen vagy böngészőn keresztül.

Az informatikai környezet többi rendszeréhez hasonlóan a VDI-eszközöknek is rendelkezniük kell egy végpontészlelési és -válaszmegoldással (EDR) és víruskereső megoldással a speciális fenyegetések és támadások elleni védelem érdekében.

Megjegyzés:

Állandó VDI-k – Az állandó VDI-gépek Végponthoz készült Microsoft Defender való előkészítése ugyanúgy történik, mint a fizikai gépek, például asztali számítógépek vagy laptopok előkészítésekor. Az állandó gépek előkészítéséhez csoportházirend, Microsoft Configuration Manager és egyéb módszerek használhatók. A Microsoft Defender portálon (https://security.microsoft.com) az előkészítés területen válassza ki a kívánt előkészítési módszert, és kövesse az ehhez a típushoz tartozó utasításokat. További információ: Windows-ügyfél előkészítése.

Megjegyzés:

A Defender üzembe helyezési eszköze (amely most nyilvános előzetes verzióban érhető el) a Defender végpontbiztonságának windowsos és Linuxos eszközökön való üzembe helyezésére használható. Az eszköz egy egyszerű, önfrissítési alkalmazás, amely leegyszerűsíti az üzembe helyezési folyamatot. További információ: Microsoft Defender végpontbiztonság üzembe helyezése Windows-eszközökre a Defender üzembe helyezési eszközével (előzetes verzió) és a Microsoft Defender végpontbiztonság üzembe helyezése Linux-eszközökön a Defender üzembe helyezési eszközével (előzetes verzió).

Nem állandó virtuális asztali infrastruktúra - (VDI-) eszközök előkészítése

A Végponthoz készült Defender támogatja a nem állandó VDI-munkamenetek előkészítését. A VDI-példányok előkészítése során problémák merülhetnek fel. A forgatókönyv gyakori kihívásai a következők:

• Rövid élettartamú munkamenet azonnali korai előkészítése, amelyet a tényleges üzembe helyezés előtt elő kell venni a Végponthoz készült Defenderbe.

• Az eszköz nevét általában újra felhasználják az új munkamenetekhez.

• VDI-környezetben a VDI-példányok élettartama rövid lehet. A VDI-eszközök az Microsoft Defender portálon az egyes VDI-példányok egyetlen bejegyzéseként vagy az egyes eszközökhöz tartozó több bejegyzésként jelenhetnek meg.

  • Minden VDI-példányhoz egyetlen bejegyzés tartozik. Ha a VDI-példányt már előkészítették a Végponthoz készült Microsoft Defender, majd egy ponton törölték, majd újra létrehozták ugyanazzal a gazdagépnévvel, a VDI-példányt képviselő új objektum NEM jön létre a portálon. Ebben az esetben ugyanazt az eszköznevet kell konfigurálni a munkamenet létrehozásakor, például felügyelet nélküli válaszfájl használatával.
  • Több bejegyzés minden eszközhöz – egy minden VDI-példányhoz.
  • Az összes VDI-gép esetében az első előkészítéskor körülbelül 3–4 órás ügyfélkésés történik.

Fontos

Ha klónozási technológiával helyez üzembe nem állandó VDI-kat, győződjön meg arról, hogy a belső sablon virtuális gépei nincsenek regisztrálva a Végponthoz készült Defenderbe. Ennek a javaslatnak az a célja, hogy a klónozott virtuális gépeket ne a sablon virtuális gépeivel megegyező senseGuid beállítással regisztrálja, ami megakadályozhatja, hogy a virtuális gépek új bejegyzésként megjelenjenek az Eszközök listában.

Az alábbi lépések végigvezetik a VDI-eszközök előkészítésén, és kiemelik az egy- és több bejegyzés lépéseit.

Figyelmeztetés

Az alacsony erőforrás-konfigurációjú környezetek esetében a VDI rendszerindítási eljárása lelassíthatja a Végponthoz készült Defender-érzékelő előkészítését.

Előkészítési lépések

Megjegyzés:

Windows Server 2016 és Windows Server 2012 R2-t először a telepítőcsomag alkalmazásával kell előkészíteni. Lásd: Windows Server 2012 R2 előkészítése és Windows Server 2016 Végponthoz készült Microsoft Defender.

1. Nyissa meg a szolgáltatás-előkészítési varázslóból letöltött VDI-konfigurációs csomagfájlt (WindowsDefenderATPOnboardingPackage.zip). A csomagot a Microsoft Defender portálról is beszerezheti.

   1. A navigációs panelen válassza a Beállítások>Végpontok>Eszközkezelés>Előkészítés lehetőséget.

   2. Válassza ki az operációs rendszert.

   3. Az Üzembe helyezési módszer mezőben válassza a VDI előkészítési szkripteket a nem állandó végpontokhoz.

   4. Válassza a Csomag letöltése lehetőséget, és mentse a fájlt.

2. Másolja a tömörített mappából WindowsDefenderATPOnboardingPackage kinyert fájlokat az elérési út C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupalatti arany/elsődleges képre.

   • Ha több bejegyzést implementál minden eszközhöz – minden munkamenethez egyet, másolja ki a következőt WindowsDefenderATPOnboardingScript.cmd: .

   • Ha minden eszközhöz egyetlen bejegyzést implementál, másolja ki a és WindowsDefenderATPOnboardingScript.cmda elemet isOnboard-NonPersistentMachine.ps1.

   Megjegyzés:

   Ha nem látja a C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup mappát, lehet, hogy el van rejtve. A Rejtett fájlok és mappák megjelenítése lehetőséget kell választania a Fájlkezelő.

3. Nyisson meg egy Helyi Csoportházirend szerkesztőablakot, és lépjen a Számítógép konfigurációja>Windows-beállítások>Parancsfájlok>indítása területre.

   Megjegyzés:

   A tartomány Csoportházirend nem állandó VDI-eszközök előkészítésére is használható.

4. A implementálni kívánt módszertől függően kövesse a megfelelő lépéseket:

   Módszer	Lépéseket
   Egyetlen bejegyzés minden eszközhöz	1. Válassza a PowerShell-szkriptek lapot, majd válassza a Hozzáadás lehetőséget (a Windows Intéző közvetlenül azon az elérési úton nyílik meg, ahová korábban kimásolta az előkészítési szkriptet). 2. Lépjen a PowerShell-szkript Onboard-NonPersistentMachine.ps1előkészítéséhez. Nincs szükség a másik fájl megadására, mivel az automatikusan aktiválódik.
   Több bejegyzés minden eszközhöz	1. Válassza a Parancsfájlok lapot, majd válassza a Hozzáadás lehetőséget (a Windows Intéző közvetlenül azon az elérési úton nyílik meg, ahová korábban kimásolta az előkészítési szkriptet). 2. Navigáljon az előkészítési Bash-szkripthez WindowsDefenderATPOnboardingScript.cmd.

   Megjegyzés:

   Ha az "Egyetlen bejegyzés minden eszközhöz" előkészítési módszert használja a nem állandó VDI-környezetekhez, győződjön meg arról, hogy a Onboard-NonPersistentMachine.ps1 szkript csak azután lesz végrehajtva, hogy a virtuális gép megkapta a végső állomásnevét, és befejezte a végleges újraindítását.
   Ha például a VDI-kiépítési folyamat több újraindítást vagy konfigurációs szakaszt is tartalmaz a virtuális gép fő lemezképből való klónozása után, késleltetze a szkript végrehajtását, amíg az utolsó újraindítás befejeződik, és a végső gépnév hozzá van rendelve.
   A szkript túl korai futtatása duplikált eszközbejegyzéseket vagy inkonzisztens előkészítést eredményezhet a Végponthoz készült Microsoft Defender. A szkript Onboard-NonPersistentMachine.ps1 nincs aláírva, és a rendszergazdáknak jóváhagyott módszerrel kell futtatniuk ezt egy korlátozott környezetben, ha a PowerShell végrehajtási szabályzata korlátozott. Példa: "-ExecutionPolicy Bypass".

5. A megoldás teszteléséhez kövesse az alábbi lépéseket:

   1. Hozzon létre egy készletet egyetlen eszközzel.

   2. Jelentkezzen be az eszközre.

   3. Jelentkezzen ki az eszközön.

   4. Jelentkezzen be az eszközre egy másik fiókkal.

   5. A implementálni kívánt módszertől függően kövesse a megfelelő lépéseket:

      • Eszközönként egyetlen bejegyzés esetén: Ellenőrizze, hogy csak egy bejegyzés szerepel-e a Microsoft Defender portálon.
      • Eszközönként több bejegyzés esetén: Több bejegyzés ellenőrzése a Microsoft Defender portálon.

6. A navigációs panelen válassza az Eszközök lista lehetőséget.

7. Használja a keresési függvényt az eszköz nevének megadásával, majd válassza az Eszköz keresési típust.

Régebbi szintű termékváltozatok esetén (Windows Server 2008 R2)

Megjegyzés:

Az egyéb Windows-kiszolgálóverziókra vonatkozó utasítások akkor is érvényesek, ha az MMA-t igénylő Windows Server 2016 és Windows Server 2012 R2 előző Végponthoz készült Microsoft Defender futtatja. Az új egyesített megoldásba való migrálásra vonatkozó utasítások a Végponthoz készült Microsoft Defender kiszolgálómigrálási forgatókönyveiben találhatók.

A következő beállításjegyzék csak akkor releváns, ha a cél az, hogy minden eszközhöz egyetlen bejegyzést lehessen elérni.

1. Állítsa be a beállításazonosítót az alábbiak szerint:

   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
    "VDI"="NonPersistent"
   
   

   Vagy használhatja a parancssort az alábbiak szerint:

   
   reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
   
   

2. Kövesse a kiszolgáló előkészítési folyamatát.

Virtuális asztali infrastruktúra (VDI) rendszerképének frissítése (állandó vagy nem állandó)

A virtuális gépeken futó virtuális gépek frissítéseinek egyszerű üzembe helyezésével rövidítettük ezt az útmutatót, hogy arra összpontosítsunk, hogyan kaphat frissítéseket gyorsan és egyszerűen a gépeken. Többé nem kell rendszeres időközönként aranylemezképeket létrehoznia és lezárnia, mivel a frissítések ki vannak bontva a gazdakiszolgálón lévő összetevő bitjeire, majd közvetlenül a virtuális gépre lesznek letöltve, amikor be van kapcsolva.

Ha előkészítette a VDI-környezet elsődleges rendszerképét (a SENSE szolgáltatás fut), akkor ki kell vennie és törölnie kell a helyi Végponthoz készült Microsoft Defender regisztrációs adatait, mielőtt a rendszerképet újra éles környezetbe helyezné.

Megjegyzés:

A virtuális asztali infrastruktúra (VDI) rendszerképeinek frissítéséhez rendszergazdai engedélyekkel kell rendelkeznie az eszközön és a PsExec eszközben.

VDI-rendszerképek frissítése:

1. Szálljon ki a gépről.

2. Győződjön meg arról, hogy a PsExec eszköz elérhető a parancssori útvonalon.

   A PsExec eszköz szükséges egy parancsfelület elindításához a SYSTEM fiók alatt, amely az alább hivatkozott beállításjegyzék-elérési utak eléréséhez és módosításához szükséges.

3. Nyisson meg egy rendszergazda jogú parancssort.

4. Válassza a Start gombot, írja be a cmd parancsot, kattintson a jobb gombbal a Parancssor elemre, majd válassza a Futtatás rendszergazdaként parancsot.

5. Annak ellenőrzéséhez, hogy az érzékelő nem fut-e, írja be a következő parancsot a parancssori ablakba:

   
   sc query sense
   
   

6. A végponthoz készült Defender helyi regisztrációs adatainak alaphelyzetbe állításához indítsa el a RENDSZERszintű parancsfelületet:

   
   PsExec.exe -s cmd.exe
   del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseId /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 2567E824-34AB-4A74-90E9-BC0F8BDFAA4A /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v C9D38BBB-E9DD-4B27-8E6F-7DE97E68DAB9 /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
   exit
   
   

Megjegyzés:

Egyes beállításjegyzék-törlési parancsok "A rendszer nem találta a megadott beállításkulcsot vagy értéket" üzenetet adhat vissza.
Ez az üzenet akkor aktiválódik, ha a megfelelő beállításjegyzékbeli elérési út nem létezik. Ez a várt viselkedés, és nyugodtan figyelmen kívül hagyható.

Harmadik féltől származó virtuális merevlemezeket használ?

Ha nem állandó VDI-kat helyez üzembe a VMware azonnali klónozásával vagy hasonló technológiák használatával, győződjön meg arról, hogy a belső sablon virtuális gépei és replika virtuális gépei nincsenek a Végponthoz készült Defenderben regisztrálva. Ha az eszközöket az egyetlen belépési módszerrel készíti fel, az előkészített virtuális gépekről kiépített azonnali klónok esetében ugyanez a senseGuid is előfordulhat, és ez megakadályozhatja, hogy egy új bejegyzés szerepeljön az Eszközleltár nézetben (az Microsoft Defender portálon válassza az Eszközök>eszközök lehetőséget).

Ha az elsődleges rendszerkép, a sablon virtuális gép vagy a replika virtuális gép az egyetlen belépési módszerrel van regisztrálva a Végponthoz készült Defenderbe, megakadályozza, hogy a Végponthoz készült Defender új, nem állandó VDI-k bejegyzéseit hozza létre az Microsoft Defender portálon.

További segítségért forduljon külső szállítóihoz.

Egyéb ajánlott konfigurációs beállítások

Miután előkészítette az eszközöket a szolgáltatásba, fontos, hogy kihasználja a beépített veszélyforrások elleni védelmi képességeket azáltal, hogy az alábbi ajánlott konfigurációs beállításokkal engedélyezi őket.

Következő generációs védelmi konfiguráció

A hivatkozás konfigurációs beállításai a következők: Microsoft Defender víruskereső konfigurálása távoli asztali vagy virtuális asztali infrastruktúra-környezetben.

Kapcsolódó cikkek

• Windowsos eszközök bevezetése Csoportházirend használatával
• Windows-eszközök előkészítése a Microsoft Configuration Manager használatával
• Windowsos eszközök bevezetése Mobileszköz-kezelő eszközök segítségével
• Windowsos eszközök bevezetése helyi szkript segítségével
• Végponthoz készült Microsoft Defender előkészítési problémáinak elhárítása