Windows-eszközök előkészítése az Azure Virtual Desktopban
Olvasási perc: 6 perc
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Azure Virtual Desktopon (AVD) futó windowsos több munkamenet
- Windows 10 Enterprise több munkamenet
Végponthoz készült Microsoft Defender támogatja a VDI- és az Azure Virtual Desktop-munkamenetek monitorozását is. A szervezet igényeitől függően előfordulhat, hogy VDI- vagy Azure Virtual Desktop-munkameneteket kell implementálnia, hogy az alkalmazottak hozzáférjenek a vállalati adatokhoz és alkalmazásokhoz egy nem felügyelt eszközről, távoli helyről vagy hasonló forgatókönyvből. A Végponthoz készült Microsoft Defender figyelheti ezeket a virtuális gépeket rendellenes tevékenységek esetén.
Az első lépések
Ismerkedjen meg a nem állandó VDI-vel kapcsolatos szempontokkal. Bár az Azure Virtual Desktop nem biztosít nem adatmegőrzési lehetőségeket, mégis kínál olyan aranyszínű Windows-rendszerképet, amellyel új gazdagépeket építhet ki, és újra üzembe helyezheti a gépeket. Ez növeli a környezet volatilitását, és így hatással van a Végponthoz készült Microsoft Defender portálon létrehozott és karbantartott bejegyzésekre, ami csökkentheti a biztonsági elemzők láthatóságát.
Megjegyzés:
A választott előkészítési módszertől függően az eszközök a következőképpen jelenhetnek meg Végponthoz készült Microsoft Defender portálon:
- Egyetlen bejegyzés minden egyes virtuális asztalhoz
- Több bejegyzés minden virtuális asztalhoz
A Microsoft azt javasolja, hogy virtuális asztalonként egyetlen bejegyzésként regisztrálja az Azure Virtual Desktopot. Ez biztosítja, hogy a Végponthoz készült Microsoft Defender portál vizsgálati élménye egyetlen eszköz kontextusában legyen a gép neve alapján. Az AVD-gazdagépeket gyakran törlő és ismételt üzembe helyező szervezeteknek határozottan érdemes ezt a módszert használniuk, mivel ez megakadályozza, hogy ugyanazon gép több objektuma is létrejönjön a Végponthoz készült Microsoft Defender portálon. Ez zavart okozhat az incidensek kivizsgálásakor. Tesztelési vagy nem illékony környezetek esetén eltérő választást választhat.
A Microsoft azt javasolja, hogy vegye fel a Végponthoz készült Microsoft Defender előkészítési szkriptet az AVD aranylemezképébe. Így biztos lehet abban, hogy ez az előkészítési szkript az első indításkor azonnal lefut. Első indításkor indítási szkriptként lesz végrehajtva az AVD-rendszerképből kiépített összes AVD-gépen. Ha azonban módosítás nélkül használja az egyik katalógusbeli rendszerképet, helyezze a szkriptet egy megosztott helyre, és hívja meg helyi vagy tartományi csoportházirendből.
Megjegyzés:
A VDI előkészítési indítási szkriptjének elhelyezése és konfigurálása az AVD aranylemezképén indítási szkriptként konfigurálja azt, amely az AVD indításakor fut. Nem ajánlott a tényleges AVD aranylemezkép előkészítése. Egy másik szempont a szkript futtatásához használt módszer. A lehető leghamarabb futnia kell az indítási/kiépítési folyamat során, hogy csökkentse a munkamenetek fogadásához rendelkezésre álló gép és az eszköz szolgáltatásba való előkészítése közötti időt. Az alábbi 1. és 2. forgatókönyvek ezt figyelembe veszik.
Forgatókönyvek
Az AVD-gazdagépek előkészítésének több módja is van:
- Futtassa a szkriptet az aranylemezképen (vagy egy megosztott helyről) az indítás során.
- Futtassa a szkriptet egy felügyeleti eszközzel.
- Integráció a Microsoft Defender for Cloud szolgáltatással
1. forgatókönyv: Helyi csoportházirend használata
Ehhez a forgatókönyvhöz a szkriptet egy aranylemezképbe kell helyezni, és helyi csoportházirendet kell használni a rendszerindítási folyamat korai szakaszában való futtatáshoz.
Használja a nem állandó virtuális asztali infrastruktúra (VDI) eszközeinek előkészítésére vonatkozó útmutatót.
Kövesse az egyes eszközökhöz tartozó egyetlen bejegyzésre vonatkozó utasításokat.
2. forgatókönyv: Tartományi csoportházirend használata
Ez a forgatókönyv egy központilag található szkriptet használ, és egy tartományalapú csoportházirend használatával futtatja. A szkriptet elhelyezheti az aranylemezképen is, és ugyanúgy futtathatja.
A WindowsDefenderATPOnboardingPackage.zip fájl letöltése a Microsoft Defender portalról
Nyissa meg a VDI konfigurációs csomag .zip fájlt (WindowsDefenderATPOnboardingPackage.zip)
- A Microsoft Defender portál navigációs paneljén válassza a Beállítások>Végpontok>előkészítés lehetőséget (a Eszközkezelés alatt).
- Operációs rendszerként válassza Windows 10 vagy Windows 11 lehetőséget.
- Az Üzembe helyezési módszer mezőben válassza a VDI előkészítési szkripteket a nem állandó végpontokhoz.
- Kattintson a Csomag letöltése gombra, és mentse a .zip fájlt.
Bontsa ki a .zip fájl tartalmát egy megosztott, írásvédett helyre, amelyet az eszköz elérhet. Rendelkeznie kell egy OptionalParamsPolicy nevű mappával, valamint a WindowsDefenderATPOnboardingScript.cmd és Onboard-NonPersistentMachine.ps1fájlokkal.
A szkript futtatása Csoportházirend felügyeleti konzollal a virtuális gép indításakor
Nyissa meg a Csoportházirend Felügyeleti konzolt (GPMC), kattintson a jobb gombbal a konfigurálni kívánt Csoportházirend objektumra (GPO), majd kattintson a Szerkesztés parancsra.
A Csoportházirend Felügyeleti Szerkesztő válassza a Számítógép konfigurációja>Beállítások>Vezérlőpult beállításai lehetőséget.
Kattintson a jobb gombbal az Ütemezett tevékenységek elemre, kattintson az Új, majd az Azonnali feladat (legalább Windows 7) parancsra.
A megnyíló Feladat ablakban lépjen az Általános lapra. A Biztonsági beállítások területen kattintson a Felhasználó vagy csoport módosítása elemre, és írja be a SYSTEM kifejezést. Kattintson a Névellenőrzés , majd az OK gombra. Az NT AUTHORITY\SYSTEM a feladat által futtatott felhasználói fiókként jelenik meg.
Jelölje be a Futtatás, hogy a felhasználó be van-e jelentkezve vagy sem , és jelölje be a Futtatás a legmagasabb jogosultságokkal jelölőnégyzetet.
Lépjen a Műveletek lapra, és kattintson az Új gombra. Győződjön meg arról, hogy a Program indítása lehetőség van kiválasztva a Művelet mezőben. Adja meg a következőket:
Action = "Start a program"
Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe
Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"
Ezután kattintson az OK gombra , és zárja be az összes megnyitott GPMC-ablakot.
3. forgatókönyv: Előkészítés felügyeleti eszközökkel
Ha felügyeleti eszközzel tervezi felügyelni a gépeket, akkor a Microsoft Endpoint Configuration Manager segítségével is regisztrálhat eszközöket.
További információ: Windows-eszközök előkészítése a Configuration Manager használatával.
Figyelmeztetés
Ha támadásifelület-csökkentési szabályokra vonatkozó hivatkozást szeretne használni, vegye figyelembe, hogy a "PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása" szabály nem használható, mert ez a szabály nem kompatibilis a Microsoft Endpoint Configuration Manager keresztüli felügyelettel. A szabály letiltja az Configuration Manager-ügyfél által a helyes működéshez használt WMI-parancsokat.
Tipp
Az eszköz előkészítése után futtathat egy észlelési tesztet annak ellenőrzéséhez, hogy az eszköz megfelelően van-e regisztrálva a szolgáltatásba. További információ: Észlelési teszt futtatása újonnan előkészített Végponthoz készült Microsoft Defender eszközön.
Gépek címkézése az aranylemezkép létrehozásakor
Az előkészítés részeként érdemes lehet beállítani egy gépcímkét az AVD-gépek egyszerűbb megkülönböztetéséhez a Microsoft Security Centerben. További információ: Eszközcímkék hozzáadása beállításkulcs értékének beállításával.
Egyéb ajánlott konfigurációs beállítások
Az aranylemezkép létrehozásakor érdemes lehet a kezdeti védelmi beállításokat is konfigurálni. További információ: Egyéb ajánlott konfigurációs beállítások.
Ha FSlogix-felhasználói profilokat használ, javasoljuk, hogy kövesse az FSLogix víruskereső kizárásai című cikkben leírt útmutatást.
Licencelési követelmények
Megjegyzés a licencelésről: A Windows Enterprise több munkamenetes használata esetén a követelményektől függően választhat, hogy az összes felhasználó licenccel rendelkezik-e Végponthoz készült Microsoft Defender (felhasználónként), a Windows Enterprise E5, Microsoft 365 Biztonság E5 csomag vagy Microsoft 365 E5, vagy rendelkezik a virtuális gép licencével a Microsoft Defender for Cloudon keresztül. A Végponthoz készült Microsoft Defender licencelési követelményei a következő helyen találhatók: Licencelési követelmények.
Kapcsolódó hivatkozások
Kizárások hozzáadása a Végponthoz készült Defenderhez a PowerShell-lel
Az FSLogix kártevőirtó kizárásai
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: