Megosztás a következőn keresztül:


Nem állandó virtuális asztali infrastruktúra - (VDI-) eszközök előkészítése a Microsoft Defender XDR

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

A virtuális asztali infrastruktúra (VDI) egy olyan informatikai infrastruktúra-koncepció, amellyel a végfelhasználók szinte bármilyen eszközről (például a személyi számítógépről, okostelefonról vagy táblagépről) hozzáférhetnek a vállalati virtuális asztali példányokhoz, így nincs szükség arra, hogy a szervezet fizikai gépeket biztosítson a felhasználóknak. A VDI-eszközök használata csökkenti a költségeket, mivel az informatikai részlegek már nem felelősek a fizikai végpontok kezeléséért, javításáért és cseréjéért. A jogosult felhasználók bármely jóváhagyott eszközről elérhetik ugyanazokat a vállalati kiszolgálókat, fájlokat, alkalmazásokat és szolgáltatásokat egy biztonságos asztali ügyfélen vagy böngészőn keresztül.

Az informatikai környezet többi rendszeréhez hasonlóan a VDI-eszközöknek is rendelkezniük kell egy végpontészlelési és -válaszmegoldással (EDR) és víruskereső megoldással a speciális fenyegetések és támadások elleni védelem érdekében.

Megjegyzés:

Állandó VDI-k – Az állandó VDI-gépek Végponthoz készült Microsoft Defender való előkészítése ugyanúgy történik, mint a fizikai gépek, például asztali számítógépek vagy laptopok előkészítésekor. Az állandó gépek előkészítéséhez csoportházirend, Microsoft Configuration Manager és egyéb módszerek használhatók. A Microsoft Defender portálon (https://security.microsoft.com) az előkészítés területen válassza ki a kívánt előkészítési módszert, és kövesse az ehhez a típushoz tartozó utasításokat. További információ: Windows-ügyfél előkészítése.

Nem állandó virtuális asztali infrastruktúra - (VDI-) eszközök előkészítése

A Végponthoz készült Defender támogatja a nem állandó VDI-munkamenetek előkészítését. A VDI-példányok előkészítése során problémák merülhetnek fel. A forgatókönyv gyakori kihívásai a következők:

  • Rövid élettartamú munkamenet azonnali korai előkészítése, amelyet a tényleges üzembe helyezés előtt elő kell venni a Végponthoz készült Defenderbe.

  • Az eszköz nevét általában újra felhasználják az új munkamenetekhez.

  • VDI-környezetben a VDI-példányok élettartama rövid lehet. A VDI-eszközök az Microsoft Defender portálon az egyes VDI-példányok egyetlen bejegyzéseként vagy az egyes eszközökhöz tartozó több bejegyzésként jelenhetnek meg.

    • Minden VDI-példányhoz egyetlen bejegyzés tartozik. Ha a VDI-példányt már előkészítették a Végponthoz készült Microsoft Defender, majd egy ponton törölték, majd újra létrehozták ugyanazzal a gazdagépnévvel, a VDI-példányt képviselő új objektum NEM jön létre a portálon. Ebben az esetben ugyanazt az eszköznevet kell konfigurálni a munkamenet létrehozásakor, például felügyelet nélküli válaszfájl használatával.

    • Több bejegyzés minden eszközhöz – egy minden VDI-példányhoz.

Fontos

Ha klónozási technológiával helyez üzembe nem állandó VDI-kat, győződjön meg arról, hogy a belső sablon virtuális gépei nincsenek regisztrálva a Végponthoz készült Defenderbe. Ennek a javaslatnak az a célja, hogy a klónozott virtuális gépeket ne a sablon virtuális gépeivel megegyező senseGuid beállítással regisztrálja, ami megakadályozhatja, hogy a virtuális gépek új bejegyzésként megjelenjenek az Eszközök listában.

Az alábbi lépések végigvezetik a VDI-eszközök előkészítésén, és kiemelik az egy- és több bejegyzés lépéseit.

Figyelmeztetés

Az alacsony erőforrás-konfigurációjú környezetek esetében a VDI rendszerindítási eljárása lelassíthatja a Végponthoz készült Defender-érzékelő előkészítését.

Előkészítési lépések

Megjegyzés:

Windows Server 2016 és Windows Server 2012 R2-t úgy kell előkészíteni, hogy először alkalmazza a telepítőcsomagot a Windows-kiszolgálók előkészítése funkció működéséhez.

  1. Nyissa meg a szolgáltatás-előkészítési varázslóból letöltött VDI-konfigurációs csomagfájlt (WindowsDefenderATPOnboardingPackage.zip). A csomagot a Microsoft Defender portálról is beszerezheti.

    1. A navigációs panelen válassza a Beállítások>Végpontok>Eszközkezelés>Előkészítés lehetőséget.

    2. Válassza ki az operációs rendszert.

    3. Az Üzembe helyezési módszer mezőben válassza a VDI előkészítési szkripteket a nem állandó végpontokhoz.

    4. Válassza a Csomag letöltése lehetőséget, és mentse a fájlt.

  2. Másolja a tömörített mappából WindowsDefenderATPOnboardingPackage kinyert fájlokat az elérési út C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupalatti arany/elsődleges képre.

    • Ha több bejegyzést implementál minden eszközhöz – minden munkamenethez egyet, másolja ki a következőt WindowsDefenderATPOnboardingScript.cmd: .

    • Ha minden eszközhöz egyetlen bejegyzést implementál, másolja ki a és WindowsDefenderATPOnboardingScript.cmda elemet isOnboard-NonPersistentMachine.ps1.

    Megjegyzés:

    Ha nem látja a C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup mappát, lehet, hogy el van rejtve. A Rejtett fájlok és mappák megjelenítése lehetőséget kell választania a Fájlkezelő.

  3. Nyisson meg egy Helyi Csoportházirend Szerkesztő ablakot, és lépjen a Számítógép konfigurációja>Windows-beállítások>Szkriptek>indítása területre.

    Megjegyzés:

    A tartomány Csoportházirend nem állandó VDI-eszközök előkészítésére is használható.

  4. A implementálni kívánt módszertől függően kövesse a megfelelő lépéseket:

    Módszer Utaslépcső
    Egyetlen bejegyzés minden eszközhöz 1. Válassza a PowerShell-szkriptek lapot, majd válassza a Hozzáadás lehetőséget (a Windows Intéző közvetlenül azon az elérési úton nyílik meg, ahová korábban kimásolta az előkészítési szkriptet).
    2. Lépjen a PowerShell-szkript Onboard-NonPersistentMachine.ps1előkészítéséhez. Nincs szükség a másik fájl megadására, mivel az automatikusan aktiválódik.
    Több bejegyzés minden eszközhöz 1. Válassza a Parancsfájlok lapot, majd válassza a Hozzáadás lehetőséget (a Windows Intéző közvetlenül azon az elérési úton nyílik meg, ahová korábban kimásolta az előkészítési szkriptet).
    2. Navigáljon az előkészítési Bash-szkripthez WindowsDefenderATPOnboardingScript.cmd.
  5. A megoldás teszteléséhez kövesse az alábbi lépéseket:

    1. Hozzon létre egy készletet egyetlen eszközzel.

    2. Jelentkezzen be az eszközre.

    3. Jelentkezzen ki az eszközön.

    4. Jelentkezzen be az eszközre egy másik fiókkal.

    5. A implementálni kívánt módszertől függően kövesse a megfelelő lépéseket:

  6. A navigációs panelen válassza az Eszközök lista lehetőséget.

  7. Használja a keresési függvényt az eszköz nevének megadásával, majd válassza az Eszköz keresési típust.

Régebbi szintű termékváltozatok esetén (Windows Server 2008 R2)

Megjegyzés:

Az egyéb Windows-kiszolgálóverziókra vonatkozó utasítások akkor is érvényesek, ha az MMA-t igénylő Windows Server 2016 és Windows Server 2012 R2 előző Végponthoz készült Microsoft Defender futtatja. Az új egyesített megoldásba való migrálásra vonatkozó utasítások a Végponthoz készült Microsoft Defender kiszolgálómigrálási forgatókönyveiben találhatók.

A következő beállításjegyzék csak akkor releváns, ha a cél az, hogy minden eszközhöz egyetlen bejegyzést lehessen elérni.

  1. Állítsa be a beállításazonosítót az alábbiak szerint:

    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
     "VDI"="NonPersistent"
    
    

    Vagy használhatja a parancssort az alábbiak szerint:

    
    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
    
    
  2. Kövesse a kiszolgáló előkészítési folyamatát.

Virtuális asztali infrastruktúra (VDI) rendszerképének frissítése (állandó vagy nem állandó)

A virtuális gépeken futó virtuális gépek frissítéseinek egyszerű üzembe helyezésével rövidítettük ezt az útmutatót, hogy arra összpontosítsunk, hogyan kaphat frissítéseket gyorsan és egyszerűen a gépeken. Többé nem kell rendszeres időközönként aranylemezképeket létrehoznia és lezárnia, mivel a frissítések ki vannak bontva a gazdakiszolgálón lévő összetevő bitjeire, majd közvetlenül a virtuális gépre lesznek letöltve, amikor be van kapcsolva.

Ha előkészítette a VDI-környezet elsődleges rendszerképét (a SENSE szolgáltatás fut), akkor ki kell kapcsolnia és törölnie kell néhány adatot, mielőtt újra üzembe helyezné a rendszerképet.

  1. Szálljon ki a gépről.

  2. Az érzékelő leállításához futtassa a következő parancsot egy CMD-ablakban:

    
    sc query sense
    
    
  3. Futtassa a következő parancsokat egy CMD-ablakban:

    
    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
    exit
    
    

Harmadik féltől származó virtuális merevlemezeket használ?

Ha nem állandó VDI-kat helyez üzembe a VMware azonnali klónozásával vagy hasonló technológiák használatával, győződjön meg arról, hogy a belső sablon virtuális gépei és replika virtuális gépei nincsenek a Végponthoz készült Defenderben regisztrálva. Ha az eszközöket az egyetlen belépési módszerrel készíti fel, az előkészített virtuális gépekről kiépített azonnali klónok esetében ugyanez a senseGuid is előfordulhat, és ez megakadályozhatja, hogy egy új bejegyzés szerepeljön az Eszközleltár nézetben (az Microsoft Defender portálon válassza az Eszközök>eszközök lehetőséget).

Ha az elsődleges rendszerkép, a sablon virtuális gép vagy a replika virtuális gép az egyetlen belépési módszerrel van regisztrálva a Végponthoz készült Defenderbe, megakadályozza, hogy a Végponthoz készült Defender új, nem állandó VDI-k bejegyzéseit hozza létre az Microsoft Defender portálon.

További segítségért forduljon külső szállítóihoz.

Miután előkészítette az eszközöket a szolgáltatásba, fontos, hogy kihasználja a beépített veszélyforrások elleni védelmi képességeket azáltal, hogy az alábbi ajánlott konfigurációs beállításokkal engedélyezi őket.

Következő generációs védelmi konfiguráció

A hivatkozás konfigurációs beállításai a következők: Microsoft Defender víruskereső konfigurálása távoli asztali vagy virtuális asztali infrastruktúra-környezetben.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.