Eseguire l'onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti in Microsoft 365 Defender

Virtual Desktop Infrastructure (VDI) è un concetto di infrastruttura IT che consente agli utenti finali di accedere alle istanze di desktop virtuali aziendali da quasi tutti i dispositivi (ad esempio il personal computer, lo smartphone o il tablet), eliminando la necessità per l'organizzazione di fornire agli utenti computer fisici. L'uso di dispositivi VDI riduce i costi perché i reparti IT non sono più responsabili della gestione, della riparazione e della sostituzione degli endpoint fisici. Gli utenti autorizzati possono accedere agli stessi server aziendali, file, app e servizi da qualsiasi dispositivo approvato tramite un client desktop o un browser sicuro.

Come qualsiasi altro sistema in un ambiente IT, anche questi devono avere una soluzione EDR (Endpoint Detection and Response) e Antivirus per la protezione da minacce e attacchi avanzati.

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft 365 Defender
• Dispositivi VDI (Virtual Desktop Infrastructure)
• Windows 10, Windows 11, Windows Server 2019, Windows Server 2022, Windows Server 2008R2/2012R2/2016

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Nota

VDI persistenti: l'onboarding di un computer VDI persistente in Microsoft Defender per endpoint viene gestito nello stesso modo in cui si esegue l'onboarding di un computer fisico, ad esempio un desktop o un portatile. Criteri di gruppo, Microsoft Configuration Manager e altri metodi possono essere usati per eseguire l'onboarding di un computer persistente. Nel portale di Microsoft 365 Defender (https://security.microsoft.com) in Onboarding selezionare il metodo di onboarding preferito e seguire le istruzioni per tale tipo. Per altre informazioni, vedere Onboarding del client Windows.

Onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti

Defender per endpoint supporta l'onboarding di sessioni VDI non persistenti.

Potrebbero verificarsi problemi associati durante l'onboarding di istanze VDI. Di seguito sono riportate le problematiche tipiche di questo scenario:

• Onboarding immediato anticipato di una sessione di breve durata, che deve essere eseguito in Defender per endpoint prima del provisioning effettivo.
• Il nome del dispositivo viene in genere riutilizzato per le nuove sessioni.

In un ambiente VDI, le istanze di VDI possono avere una durata di vita breve. I dispositivi VDI possono essere visualizzati nel portale di Microsoft 365 Defender come voci singole per ogni istanza di VDI o come più voci per ogni dispositivo.

• Voce singola per ogni istanza VDI. Se l'istanza di VDI è già stata caricata in Microsoft Defender per endpoint e a un certo punto eliminata e quindi ricreata con lo stesso nome host, nel portale NON viene creato un nuovo oggetto che rappresenta questa istanza VDI.

  Nota

  In questo caso, lo stesso nome del dispositivo deve essere configurato al momento della creazione della sessione, ad esempio usando un file di risposte automatico.

• Più voci per ogni dispositivo, una per ogni istanza VDI.

Importante

Se si distribuiscono VM non persistenti tramite la tecnologia di clonazione, assicurarsi che le macchine virtuali del modello interno non vengano sottoposte a onboarding in Defender per endpoint. Questa raccomandazione consiste nell'evitare l'onboarding delle macchine virtuali clonate con lo stesso senseGuid delle macchine virtuali modello, che potrebbero impedire alle macchine virtuali di essere visualizzate come nuove voci nell'elenco Dispositivi.

La procedura seguente illustra l'onboarding dei dispositivi VDI ed evidenzia i passaggi per singole voci e più voci.

Avviso

Per gli ambienti in cui le configurazioni delle risorse sono scarse, la procedura di avvio VDI potrebbe rallentare l'onboarding del sensore Defender per endpoint.

Passaggi di onboarding

Nota

Windows Server 2016 e Windows Server 2012 R2 devono essere preparati applicando prima il pacchetto di installazione usando le istruzioni in Onboard Windows servers per il funzionamento di questa funzionalità.

1. Aprire il pacchetto di configurazione VDI .zip file (WindowsDefenderATPOnboardingPackage.zip) scaricato dalla procedura guidata di onboarding del servizio. È anche possibile ottenere il pacchetto dal portale di Microsoft 365 Defender:

   1. Nel riquadro di spostamento selezionare Impostazioni>Endpoint>Gestione> dispositiviOnboarding.

   2. Selezionare il sistema operativo.

   3. Nel campo Metodo di distribuzione selezionare Script di onboarding VDI per endpoint non persistenti.

   4. Fare clic su Scarica pacchetto e salvare il file .zip.

2. Copiare i file dalla cartella WindowsDefenderATPOnboardingPackage estratta dal file .zip nell'immagine dorata/primaria nel percorso C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

   1. Se stai implementando più voci per ogni dispositivo, una per ogni sessione, copia WindowsDefenderATPOnboardingScript.cmd.

   2. Se stai implementando una singola voce per ogni dispositivo, copia sia Onboard-NonPersistentMachine.ps1 che WindowsDefenderATPOnboardingScript.cmd.

   Nota

   Se la cartella non viene visualizzata C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , potrebbe essere nascosta. È necessario scegliere l'opzione Mostra file e cartelle nascosti da Esplora file.

3. Aprire una finestra Editor Criteri di gruppo locale e passare a Configurazione> computerImpostazioni di> WindowsScript>di avvio.

   Nota

   È anche possibile usare Criteri di gruppo di dominio per l'onboarding di dispositivi VDI non persistenti.

4. A seconda del metodo che si vuole implementare, seguire la procedura appropriata:

   • Per una singola voce per ogni dispositivo:

     Selezionare la scheda Script di PowerShell , quindi selezionare Aggiungi (Esplora risorse si apre direttamente nel percorso in cui è stato copiato lo script di onboarding in precedenza). Passare all'onboarding dello script Onboard-NonPersistentMachine.ps1di PowerShell. Non è necessario specificare l'altro file, perché viene attivato automaticamente.

   • Per più voci per ogni dispositivo:

     Selezionare la scheda Script , quindi fare clic su Aggiungi (Esplora risorse si apre direttamente nel percorso in cui è stato copiato lo script di onboarding in precedenza). Passare allo script WindowsDefenderATPOnboardingScript.cmdbash di onboarding.

5. Testare la soluzione:

   1. Creare un pool con un dispositivo.

   2. Accedere al dispositivo.

   3. Disconnettersi dal dispositivo.

   4. Accedere al dispositivo con un altro utente.

   5. A seconda del metodo che si vuole implementare, seguire la procedura appropriata:

      • Per una voce singola per ogni dispositivo: controllare una sola voce nel portale di Microsoft 365 Defender.
      • Per più voci per ogni dispositivo: controllare più voci nel portale di Microsoft 365 Defender.

6. Fare clic su Elenco dispositivi nel riquadro di spostamento.

7. Usare la funzione di ricerca immettendo il nome del dispositivo e selezionare Dispositivo come tipo di ricerca.

Per gli SKU di livello inferiore (Windows Server 2008 R2)

Nota

Queste istruzioni per altre versioni di Windows Server si applicano anche se si eseguono le Microsoft Defender per endpoint precedenti per Windows Server 2016 e Windows Server 2012 R2 che richiede MMA. Le istruzioni per la migrazione alla nuova soluzione unificata sono disponibili negli scenari di migrazione del server in Microsoft Defender per endpoint.

Il registro seguente è rilevante solo quando l'obiettivo è quello di ottenere una "voce singola per ogni dispositivo".

1. Impostare il valore del Registro di sistema su:

   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
   "VDI"="NonPersistent"
   

   o usando la riga di comando:

   reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
   

2. Seguire il processo di onboarding del server.

Aggiornamento di immagini VDI (Virtual Desktop Infrastructure) (persistenti o non persistenti)

Con la possibilità di distribuire facilmente gli aggiornamenti alle macchine virtuali in esecuzione nelle VM, questa guida è stata abbreviata per concentrarsi su come ottenere gli aggiornamenti nei computer in modo rapido e semplice. Non è più necessario creare e sigillare immagini dorate su base periodica, poiché gli aggiornamenti vengono espansi nei relativi bit del componente nel server host e quindi scaricati direttamente nella macchina virtuale quando sono attivati.

Se è stato eseguito l'onboarding dell'immagine primaria dell'ambiente VDI (il servizio SENSE è in esecuzione), è necessario eseguire l'offboarding e cancellare alcuni dati prima di riportare l'immagine nell'ambiente di produzione.

1. Verificare che il sensore venga arrestato eseguendo il comando seguente in una finestra CMD:

   sc query sense
   

2. Eseguire i comandi seguenti usando PsExec.exe (scaricabile da https://download.sysinternals.com/files/PSTools.zip):

   PsExec.exe -s cmd.exe
   del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   exit
   

Si usa una terza parte per gli uri virtuali?

Se si distribuiscono VM non persistenti tramite la clonazione immediata di VMware o tecnologie simili, assicurarsi che le macchine virtuali e le macchine virtuali di replica del modello interno non vengano sottoposte a onboarding in Defender per endpoint. Se si esegue l'onboarding dei dispositivi usando il metodo di immissione singola, i cloni istantanei di cui viene effettuato il provisioning dalle macchine virtuali di cui è stato eseguito l'onboarding potrebbero avere lo stesso senseGuid e che possono impedire l'elenco di una nuova voce nella visualizzazione Inventario dispositivi (nel portale di Microsoft 365 Defender scegliere Dispositivi asset>).

Se l'immagine primaria, la macchina virtuale modello o la macchina virtuale di replica vengono sottoposte a onboarding in Defender per endpoint usando il metodo a voce singola, Defender non creerà voci per le nuove interfacce virtuali non persistenti nel portale di Microsoft 365 Defender.

Contattare i fornitori di terze parti per ulteriore assistenza.

Altre impostazioni di configurazione consigliate

Dopo l'onboarding dei dispositivi nel servizio, è importante sfruttare le funzionalità di protezione dalle minacce incluse abilitandoli con le impostazioni di configurazione consigliate seguenti.

Configurazione della protezione di nuova generazione

Sono consigliate le impostazioni di configurazione seguenti:

Servizio Cloud Protection

• Attiva la protezione fornita dal cloud: Sì
• Livello di protezione fornito dal cloud: non configurato
• Timeout esteso di Defender Cloud in secondi: 20

Esclusioni

• Disabilitare l'unione amministrativa locale: non configurata

• Processi di Defender da escludere:

  • %Programfiles%\FSLogix\Apps\frxccd.exe
  • %Programfiles%\FSLogix\Apps\frxccds.exe
  • %Programfiles%\FSLogix\Apps\frxsvc.exe

• Estensioni di file da escludere dalle analisi e dalla protezione in tempo reale:

  • %Programfiles%\FSLogix\Apps\frxccd.sys
  • %Programfiles%\FSLogix\Apps\frxdrv.sys
  • %Programfiles%\FSLogix\Apps\frxdrvvt.sys
  • %TEMP%*.VHD
  • %TEMP%*.VHDX
  • %Windir%\TEMP*.VHD
  • %Windir%\TEMP*.VHDX
  • \\storageaccount.file.core.windows.net\share**.VHD
  • \\storageaccount.file.core.windows.net\share**.VHDX

Protezione in tempo reale

• Attivare tutte le impostazioni e impostare per monitorare tutti i file

Bonifica

• Numero di giorni per mantenere il malware in quarantena: 30
• Invia il consenso per gli esempi: invia automaticamente tutti gli esempi
• Azione da eseguire su app potenzialmente indesiderate: Abilitare
• Azioni per le minacce rilevate:
  • Minaccia bassa: pulisci
  • Minaccia moderata, minaccia elevata, minaccia grave: quarantena

Analisi

• Analizzare i file archiviati: Sì
• Usare la priorità bassa della CPU per le analisi pianificate: non configurata
• Disabilitare l'analisi completa di recupero: non configurata
• Disabilitare l'analisi rapida del recupero: Non configurato
• Limite di utilizzo della CPU per analisi: 50
• Analisi delle unità di rete mappate durante l'analisi completa: non configurata
• Eseguire l'analisi rapida giornaliera alle 12:00
• Tipo di analisi: non configurato
• Giorno della settimana per l'esecuzione dell'analisi pianificata: Non configurato
• Ora del giorno per eseguire un'analisi pianificata: Non configurato
• Verificare la presenza di aggiornamenti delle firme prima di eseguire l'analisi: Sì

Aggiornamenti

• Immettere la frequenza con cui verificare la disponibilità di aggiornamenti delle informazioni di sicurezza: 8
• Lasciare altre impostazioni nello stato predefinito

Esperienza utente

• Consenti l'accesso utente all'app Microsoft Defender: Non configurato

Abilitare la protezione antimanomissione

• Abilitare la protezione da manomissioni per impedire la disabilitazione di Microsoft Defender: Abilita

Riduzione della superficie d'attacco

• Abilitare la protezione di rete: modalità di controllo
• Richiedi SmartScreen per Microsoft Edge: Sì
• Bloccare l'accesso a siti dannosi: Sì
• Blocca il download di file non verificato: Sì

Regole di riduzione della superficie di attacco

• Configurare tutte le regole disponibili in Controllo.

Nota

Il blocco di queste attività può interrompere i processi aziendali legittimi. L'approccio migliore consiste nell'impostare tutto su controllo, identificare quali sono sicuri da attivare e quindi abilitare tali impostazioni negli endpoint che non hanno rilevamenti falsi positivi.

Argomenti correlati

• Aggiungere dispositivi con Criteri di gruppo
• Eseguire l'onboarding di dispositivi Windows con Microsoft Configuration Manager
• Onboarding di dispositivi Windows 10 con gli strumenti di Gestione dispositivi mobili
• Onboarding di dispositivi Windows 10 con uno script locale
• Risolvere i problemi di onboarding Microsoft Defender per endpoint