Configurare Microsoft Defender Antivirus in un ambiente di infrastruttura desktop remoto o desktop virtuale

  • Articolo

Si applica a:

Piattaforme

  • Windows

Consiglio

Questo articolo è progettato per i clienti che usano solo le funzionalità di antivirus Microsoft Defender. Se si dispone di Microsoft Defender per endpoint (che include Microsoft Defender Antivirus insieme ad altre funzionalità di protezione dei dispositivi), ignorare questo articolo e passare a Onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti in Microsoft Defender XDR.

È possibile usare Microsoft Defender Antivirus in un ambiente Desktop remoto (RDS) o in un ambiente VDI (Virtual Desktop Infrastructure) non persistente. Seguendo le indicazioni riportate in questo articolo, è possibile configurare gli aggiornamenti per il download direttamente negli ambienti RDS o VDI quando un utente accede.

Questa guida descrive come configurare Microsoft Defender Antivirus nelle macchine virtuali per una protezione e prestazioni ottimali, inclusa la procedura:

Importante

Anche se un'identità virtuale virtuale può essere ospitata in Windows Server 2012 o Windows Server 2016, le macchine virtuali devono essere in esecuzione almeno Windows 10 versione 1607, a causa dell'aumento delle tecnologie di protezione e delle funzionalità non disponibili nelle versioni precedenti di Windows.

Configurare una condivisione file VDI dedicata per l'intelligence sulla sicurezza

In Windows 10 versione 1903, Microsoft ha introdotto la funzionalità di intelligence per la sicurezza condivisa, che scarica il disimballaggio degli aggiornamenti dell'intelligence di sicurezza scaricati in un computer host. Questo metodo riduce l'utilizzo delle risorse di CPU, disco e memoria nei singoli computer. L'intelligence di sicurezza condivisa ora funziona su Windows 10 versione 1703 e successive. È possibile configurare questa funzionalità usando Criteri di gruppo o PowerShell, come descritto nella tabella seguente:

Metodo Procedura
Criteri di gruppo 1. Nel computer di gestione Criteri di gruppo aprire Criteri di gruppo Management Console, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e quindi scegliere Modifica.

2. Nell'editor di gestione Criteri di gruppo passare a Configurazione computer.

Selezionare Modelli amministrativi.

Espandere l'albero in Componenti >di WindowsMicrosoft Defender Aggiornamenti Antivirus>Security Intelligence.

3. Fare doppio clic su Definisci posizione di intelligence di sicurezza per i client VDI e quindi impostare l'opzione su Abilitato. Viene visualizzato automaticamente un campo.

4. Immettere \\<sharedlocation\>\wdav-update (per informazioni su questo valore, vedere Scaricare e annullare il pacchetto).

5. Selezionare OK.

Distribuire l'oggetto Criteri di gruppo nelle macchine virtuali da testare.
PowerShell 1. In ogni dispositivo RDS o VDI usare il cmdlet seguente per abilitare la funzionalità: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Eseguire il push dell'aggiornamento come in genere si eseguirebbe il push dei criteri di configurazione basati su PowerShell nelle macchine virtuali. Vedere la sezione Download e decomprimere la <voce della posizione> condivisa.

Scaricare e decomprimere gli aggiornamenti più recenti

È ora possibile iniziare a scaricare e installare nuovi aggiornamenti. Di seguito è stato creato uno script di PowerShell di esempio. Questo script è il modo più semplice per scaricare nuovi aggiornamenti e prepararli per le macchine virtuali. È quindi necessario impostare lo script per l'esecuzione in un determinato momento nel computer di gestione usando un'attività pianificata oppure, se si ha familiarità con l'uso di script di PowerShell in Azure, Intune o SCCM, è anche possibile usare tali script.

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

È possibile impostare un'attività pianificata da eseguire una volta al giorno in modo che ogni volta che il pacchetto viene scaricato e decompresso, le macchine virtuali riceveranno il nuovo aggiornamento. È consigliabile iniziare con una volta al giorno, ma è consigliabile sperimentare l'aumento o la riduzione della frequenza per comprendere l'impatto.

I pacchetti di intelligence per la sicurezza vengono in genere pubblicati una volta ogni tre o quattro ore. L'impostazione di una frequenza inferiore a quattro ore non è consigliabile perché aumenterà il sovraccarico di rete nel computer di gestione senza alcun vantaggio.

È anche possibile configurare il server singolo o il computer per recuperare gli aggiornamenti per conto delle macchine virtuali a un intervallo e inserirli nella condivisione file per l'utilizzo. Questa configurazione è possibile quando i dispositivi hanno la condivisione e l'accesso in lettura (autorizzazioni NTFS) alla condivisione in modo che possano acquisire gli aggiornamenti. Per configurare questa configurazione, seguire questa procedura:

  1. Creare una condivisione file SMB/CIFS.

  2. Usare l'esempio seguente per creare una condivisione file con le autorizzazioni di condivisione seguenti.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Nota

    Viene aggiunta un'autorizzazione NTFS per Authenticated Users:Read:.

    Per questo esempio, la condivisione file è:

    \\fileserver.fqdn\mdatp$\wdav-update

Impostare un'attività pianificata per l'esecuzione dello script di PowerShell

  1. Nel computer di gestione aprire il menu Start e digitare Utilità di pianificazione. Aprirlo e selezionare Crea attività nel pannello laterale.

  2. Immettere il nome come Disimballatore di Intelligence per la sicurezza. Passare alla scheda Trigger . Selezionare Nuovo...>Ogni giorno e selezionare OK.

  3. Passare alla scheda Azioni . Selezionare Nuovo... Immettere PowerShell nel campo Programma/Script . Immettere -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 nel campo Aggiungi argomenti . Seleziona OK.

  4. Configurare eventuali altre impostazioni in base alle esigenze.

  5. Selezionare OK per salvare l'attività pianificata.

È possibile avviare l'aggiornamento manualmente facendo clic con il pulsante destro del mouse sull'attività e quindi scegliendo Esegui.

Scaricare e annullare manualmente il pacchetto

Se si preferisce eseguire tutte le operazioni manualmente, ecco cosa fare per replicare il comportamento dello script:

  1. Creare una nuova cartella nella radice di sistema denominata wdav_update per archiviare gli aggiornamenti di intelligence, ad esempio creare la cartella c:\wdav_update.

  2. Creare una sottocartella in wdav_update con un nome GUID, ad esempio {00000000-0000-0000-0000-000000000000}

    Ecco un esempio: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Nota

    Nello script viene impostato in modo che le ultime 12 cifre del GUID siano l'anno, il mese, il giorno e l'ora in cui il file è stato scaricato in modo che ogni volta venga creata una nuova cartella. È possibile modificare questa impostazione in modo che il file venga scaricato nella stessa cartella ogni volta.

  3. Scaricare un pacchetto di security intelligence dalla https://www.microsoft.com/wdsi/definitions cartella GUID. Il file deve essere denominato mpam-fe.exe.

  4. Aprire una finestra del prompt dei comandi e passare alla cartella GUID creata. Usare il comando di estrazione /X per estrarre i file, ad esempio mpam-fe.exe /X.

    Nota

    Le macchine virtuali prelevano il pacchetto aggiornato ogni volta che viene creata una nuova cartella GUID con un pacchetto di aggiornamento estratto o ogni volta che una cartella esistente viene aggiornata con un nuovo pacchetto estratto.

Casualizzare le analisi pianificate

Le analisi pianificate vengono eseguite oltre alla protezione e all'analisi in tempo reale.

L'ora di inizio dell'analisi stessa è ancora basata sui criteri di analisi pianificati (ScheduleDay, ScheduleTime e ScheduleQuickScanTime). La randomizzazione farà sì che Microsoft Defender Antivirus avvii un'analisi in ogni computer entro un intervallo di quattro ore dal tempo impostato per l'analisi pianificata.

Vedere Pianificare le analisi per altre opzioni di configurazione disponibili per le analisi pianificate.

Usare analisi rapide

È possibile specificare il tipo di analisi da eseguire durante un'analisi pianificata. Le analisi rapide sono l'approccio preferito in quanto sono progettate per guardare in tutte le posizioni in cui il malware deve risiedere per essere attivo. La procedura seguente descrive come configurare analisi rapide usando Criteri di gruppo.

  1. Nell'editor di Criteri di gruppo passare a Modelli> amministrativiComponenti> di Windows Microsoft Defender Analisi antivirus>.

  2. Selezionare Specifica il tipo di analisi da usare per un'analisi pianificata e quindi modificare l'impostazione dei criteri.

  3. Impostare il criterio su Abilitato e quindi in Opzioni selezionare Analisi rapida.

  4. Selezionare OK.

  5. Distribuire l'oggetto Criteri di gruppo come di consueto.

Impedisci notifiche

In alcuni casi, Microsoft Defender notifiche antivirus vengono inviate o mantenute in più sessioni. Per evitare confusione dell'utente, è possibile bloccare l'interfaccia utente Microsoft Defender Antivirus. La procedura seguente descrive come eliminare le notifiche usando Criteri di gruppo.

  1. Nell'editor di Criteri di gruppo passare a Componenti >di Windows Microsoft DefenderInterfaccia clientantivirus>.

  2. Selezionare Elimina tutte le notifiche e quindi modificare le impostazioni dei criteri.

  3. Impostare il criterio su Abilitato e quindi selezionare OK.

  4. Distribuire l'oggetto Criteri di gruppo come di consueto.

L'eliminazione delle notifiche impedisce che le notifiche Microsoft Defender Antivirus vengano visualizzate al termine delle analisi o vengano eseguite azioni di correzione. Tuttavia, il team delle operazioni di sicurezza visualizzerà i risultati di un'analisi se viene rilevato e arrestato un attacco. Gli avvisi, ad esempio un avviso di accesso iniziale, vengono generati e verranno visualizzati nel portale di Microsoft Defender.

Disabilitare le analisi dopo un aggiornamento

La disabilitazione di un'analisi dopo un aggiornamento impedirà l'esecuzione di un'analisi dopo la ricezione di un aggiornamento. È possibile applicare questa impostazione durante la creazione dell'immagine di base se è stata eseguita anche un'analisi rapida. In questo modo, è possibile impedire che la macchina virtuale appena aggiornata esegua di nuovo un'analisi( come è già stata analizzata al momento della creazione dell'immagine di base).

Importante

L'esecuzione di analisi dopo un aggiornamento consente di garantire che le macchine virtuali siano protette con gli aggiornamenti di security intelligence più recenti. La disabilitazione di questa opzione riduce il livello di protezione delle macchine virtuali e deve essere usata solo quando si crea o si distribuisce l'immagine di base per la prima volta.

  1. Nell'editor di Criteri di gruppo passare a Componenti >di WindowsMicrosoft Defender Antivirus>Security Intelligence Aggiornamenti.

  2. Selezionare Attiva analisi dopo l'aggiornamento dell'intelligence per la sicurezza e quindi modificare l'impostazione dei criteri.

  3. Impostare il criterio su Disabilitato.

  4. Selezionare OK.

  5. Distribuire l'oggetto Criteri di gruppo come di consueto.

Questo criterio impedisce l'esecuzione di un'analisi immediatamente dopo un aggiornamento.

Disabilitare l'opzione ScanOnlyIfIdle

Usare il cmdlet seguente per arrestare un'analisi rapida o pianificata ogni volta che il dispositivo diventa inattivo se è in modalità passiva.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

È anche possibile disabilitare l'opzione ScanOnlyIfIdle in Microsoft Defender Antivirus per configurazione tramite criteri di gruppo locali o di dominio. Questa impostazione impedisce una contesa significativa della CPU in ambienti ad alta densità.

Per altre informazioni, vedere Avviare l'analisi pianificata solo quando il computer è acceso ma non in uso.

Analizzare le macchine virtuali che sono state offline

  1. Nell'editor di Criteri di gruppo passare a Componenti> di Windows Microsoft Defender Analisi antivirus>.

  2. Selezionare Attiva analisi rapida di recupero e quindi modificare l'impostazione dei criteri.

  3. Impostare il criterio su Abilitato.

  4. Seleziona OK.

  5. Distribuire l'oggetto Criteri di gruppo come in genere.

Questo criterio forza un'analisi se la macchina virtuale ha perso due o più analisi pianificate consecutive.

Abilitare la modalità interfaccia utente headless

  1. Nell'editor di Criteri di gruppo passare a Componenti >di Windows Microsoft DefenderInterfaccia clientantivirus>.

  2. Selezionare Abilita la modalità interfaccia utente headless e modificare i criteri.

  3. Impostare il criterio su Abilitato.

  4. Seleziona OK.

  5. Distribuire l'oggetto Criteri di gruppo come in genere.

Questo criterio nasconde l'intera interfaccia utente Microsoft Defender Antivirus agli utenti finali dell'organizzazione.

Esclusioni

Se si ritiene necessario aggiungere esclusioni, vedere Gestire le esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus.

Vedere anche

Se si cercano informazioni su Defender per endpoint su piattaforme non Windows, vedere le risorse seguenti:

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.