Innebygde VDI-enheter (virtual desktop infrastructure) i Microsoft Defender XDR

  • Artikkel

Virtuell skrivebordsinfrastruktur (VDI) er et konsept for IT-infrastruktur som lar sluttbrukere få tilgang til virtuelle skrivebordsforekomster for virksomheter fra nesten alle enheter (for eksempel din personlige datamaskin, smarttelefon eller nettbrett), noe som eliminerer behovet for organisasjon for å gi brukere fysiske maskiner. Bruk av VDI-enheter reduserer kostnadene ettersom IT-avdelinger ikke lenger er ansvarlige for å administrere, reparere og erstatte fysiske endepunkter. Autoriserte brukere kan få tilgang til de samme firmaserverne, filene, appene og tjenestene fra alle godkjente enheter gjennom en sikker skrivebordsklient eller nettleser.

I likhet med alle andre systemer i et IT-miljø, bør disse også ha en GJENKJENNING og svar-løsning for endepunkt (EDR) og Antivirus for å beskytte mot avanserte trusler og angrep.

Gjelder for:

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Obs!

Faste VDI-er – Pålasting av en fast VDI-maskin i Microsoft Defender for endepunkt håndteres på samme måte som på en fysisk maskin, for eksempel en stasjonær eller bærbar datamaskin. Gruppepolicy, Microsoft Configuration Manager og andre metoder kan brukes på en fast maskin. Velg den foretrukne pålastingsmetoden under pålasting i Microsoft Defender-portalenhttps://security.microsoft.com, og følg instruksjonene for denne typen. Hvis du vil ha mer informasjon , kan du se Onboarding Windows-klienten.

Pålasting av ikke-vedvarende VDI-enheter (virtual desktop infrastructure)

Defender for Endpoint støtter ikke-vedvarende VDI-øktpålasting.

Det kan være tilknyttede utfordringer ved pålasting av VDI-forekomster. Følgende er typiske utfordringer for dette scenarioet:

  • Øyeblikkelig tidlig pålasting av en kortvarig økt, som må være innlastet til Defender for Endpoint før den faktiske klargjøringen.
  • Enhetsnavnet brukes vanligvis på nytt for nye økter.

I et VDI-miljø kan VDI-forekomster ha kort levetid. VDI-enheter kan vises i Microsoft Defender-portalen som enten enkeltoppføringer for hver VDI-forekomst eller flere oppføringer for hver enhet.

  • Enkel oppføring for hver VDI-forekomst. Hvis VDI-forekomsten allerede var innebygd i Microsoft Defender for endepunkt, og på et tidspunkt slettet, og deretter gjenopprettet med samme vertsnavn, opprettes ikke et nytt objekt som representerer denne VDI-forekomsten i portalen.

    Obs!

    I dette tilfellet må samme enhetsnavn konfigureres når økten opprettes, for eksempel ved hjelp av en uovervåket svarfil.

  • Flere oppføringer for hver enhet – én for hver VDI-forekomst.

Viktig

Hvis du distribuerer ikke-faste VM-er gjennom kloningsteknologi, må du kontrollere at de interne virtuelle malene ikke er koblet til Defender for endepunkt. Denne anbefalingen er å unngå at klonede vm-er blir pålastet med samme senseGuid som virtuelle maskiner for maler, noe som kan hindre virtuelle maskiner i å vises som nye oppføringer i enhetslisten.

Følgende trinn veileder deg gjennom pålasting av VDI-enheter og uthever trinnene for enkle og flere oppføringer.

Advarsel

For miljøer der det er lave ressurskonfigurasjoner, kan VDI-oppstartsprosedyren redusere hastigheten på pålastingen til Defender for Endpoint-sensoren.

Pålastingstrinn

Obs!

Windows Server 2016 og Windows Server 2012 R2 må være klargjort ved å bruke installasjonspakken først ved hjelp av instruksjonene i Windows-servere på bord for at denne funksjonen skal fungere.

  1. Åpne VDI-konfigurasjonspakken .zip fil (WindowsDefenderATPOnboardingPackage.zip) som du lastet ned fra veiviseren for servicepålasting. Du kan også få pakken fra Microsoft Defender portalen:

    1. VelgOnboarding forenhetsbehandling>>for innstillinger> for endepunkter i navigasjonsruten.

    2. Velg operativsystemet.

    3. Velg VDI-pålastingsskript for ikke-faste endepunkter i distribusjonsmetodefeltet.

    4. Klikk Last ned pakken , og lagre .zip filen.

  2. Kopier filene fra Mappen WindowsDefenderATPOnboardingPackage som er pakket ut fra .zip-filen, til det gylne/primære bildet under banen C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    1. Hvis du implementerer flere oppføringer for hver enhet – én for hver økt, kopierer du WindowsDefenderATPOnboardingScript.cmd.

    2. Hvis du implementerer én enkelt oppføring for hver enhet, kopierer du både Onboard-NonPersistentMachine.ps1 og WindowsDefenderATPOnboardingScript.cmd.

    Obs!

    Hvis du ikke ser mappen, kan den C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup være skjult. Du må velge alternativet Vis skjulte filer og mapper fra Filutforsker.

  3. Åpne et lokalt gruppepolicy Redaktør-vindu, og gå tilOppstart av innstillingerforWindows-innstillinger>> for datamaskinkonfigurasjon>.

    Obs!

    Domene gruppepolicy kan også brukes til pålasting av ikke-vedvarende VDI-enheter.

  4. Avhengig av hvilken metode du vil implementere, følger du de riktige trinnene:

    • For enkel oppføring for hver enhet:

      Velg PowerShell-skript-fanen , og velg deretter Legg til (Windows Utforsker åpnes direkte i banen der du kopierte pålastingsskriptet tidligere). Gå til PowerShell-skript Onboard-NonPersistentMachine.ps1for pålasting . Det er ikke nødvendig å angi den andre filen, da den utløses automatisk.

    • For flere oppføringer for hver enhet:

      Velg Skript-fanen, og klikk deretter Legg til (Windows Utforsker åpnes direkte i banen der du kopierte pålastingsskriptet tidligere). Gå til bash-skriptet WindowsDefenderATPOnboardingScript.cmdfor pålasting.

  5. Test løsningen:

    1. Opprett et utvalg med én enhet.

    2. Logg på enheten.

    3. Logg av fra enheten.

    4. Logg på enheten med en annen bruker.

    5. Avhengig av hvilken metode du vil implementere, følger du de riktige trinnene:

      • For enkel oppføring for hver enhet: Kontroller bare én oppføring i Microsoft Defender portalen.
      • For flere oppføringer for hver enhet: Kontroller flere oppføringer i Microsoft Defender portal.

  6. Klikk enhetslisten i navigasjonsruten.

  7. Bruk søkefunksjonen ved å skrive inn enhetsnavnet og velge Enhet som søketype.

For SKU-er på nednivå (Windows Server 2008 R2)

Obs!

Disse instruksjonene for andre Windows Server-versjoner gjelder også hvis du kjører forrige Microsoft Defender for endepunkt for Windows Server 2016 og Windows Server 2012 R2 som krever MMA. Instruksjoner for å overføre til den nye enhetlige løsningen er på serveroverføringsscenarioer i Microsoft Defender for endepunkt.

Følgende register er bare relevant når målet er å oppnå en "enkelt oppføring for hver enhet".

  1. Sett registerverdien til:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    eller ved hjelp av kommandolinje:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Følg prosessen for serverpålasting.

Oppdatere VDI-bilder (virtuell skrivebordsinfrastruktur) (vedvarende eller ikke-vedvarende)

Med muligheten til enkelt å distribuere oppdateringer til virtuelle maskiner som kjører i VM-er, har vi forkortet denne veiledningen for å fokusere på hvordan du kan få oppdateringer på maskinene dine raskt og enkelt. Du trenger ikke lenger å opprette og forsegle gylne bilder med jevne mellomrom, ettersom oppdateringer utvides til komponentbitene på vertsserveren og deretter lastes ned direkte til den virtuelle maskinen når den er slått på.

Hvis du har lagt inn det primære bildet av VDI-miljøet (SENSE-tjenesten kjører), må du gå om bord og fjerne noen data før du setter bildet tilbake i produksjon.

  1. Om bord på maskinen.

  2. Kontroller at sensoren stoppes ved å kjøre følgende kommando i et CMD-vindu:

    sc query sense

  3. Kjør følgende kommandoer i et CMD-vindu::

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Bruker du en tredjepart for VDIer?

Hvis du distribuerer ikke-vedvarende VM-er gjennom VMware øyeblikkelig kloning eller lignende teknologier, må du kontrollere at de interne virtuelle malene og virtuelle virtuelle maskiner for replikaer ikke er innebygd i Defender for Endpoint. Hvis du registrerer enheter ved hjelp av enkel oppføring-metoden, kan øyeblikkelige kloner som er klargjort fra innebygde virtuelle maskiner, ha samme senseGuid, og det kan hindre at en ny oppføring blir oppført ienhetslagervisningen (velg Aktivaenheter> i Microsoft Defender-portalen).

Hvis enten det primære bildet, mal-VM-en eller den virtuelle replikaen er innebygd i Defender for Endpoint ved hjelp av enkel oppføring-metoden, vil det hindre Defender i å opprette oppføringer for nye ikke-faste VDIer i Microsoft Defender-portalen.

Ta kontakt med tredjepartsleverandørene for mer hjelp.

Etter pålasting av enheter til tjenesten, er det viktig å dra nytte av de inkluderte funksjonene for trusselbeskyttelse ved å aktivere dem med følgende anbefalte konfigurasjonsinnstillinger.

Neste generasjons beskyttelseskonfigurasjon

Følgende konfigurasjonsinnstillinger anbefales:

Cloud Protection Service

  • Slå på skybasert beskyttelse: Ja
  • Skylevert beskyttelsesnivå: Ikke konfigurert
  • Defender Cloud utvidet tidsavbrudd i sekunder: 20

Utelatelser

Sanntidsbeskyttelse

  • Slå på alle innstillingene og angi at alle filer skal overvåkes

Utbedring

  • Antall dager for å beholde skadelig programvare i karantene: 30
  • Send inn eksempelsamtykke: Send alle eksempler automatisk
  • Handling som skal utføres på potensielt uønskede apper: Aktiver
  • Handlinger for oppdagede trusler:
    • Lav trussel: Ren
    • Moderat trussel, høy trussel, alvorlig trussel: Karantene

Skanne

  • Skanne arkiverte filer: Ja
  • Bruk lav CPU-prioritet for planlagte skanninger: Ikke konfigurert
  • Deaktiver fullstendig skanning: Ikke konfigurert
  • Deaktiver hurtigskanning for oppslag: Ikke konfigurert
  • Prosessorbruksgrense per skanning: 50
  • Skann tilordnede nettverksstasjoner under full skanning: Ikke konfigurert
  • Kjør daglig hurtigskanning kl. 24:00
  • Skannetype: Ikke konfigurert
  • Dag i uken for å kjøre planlagt skanning: Ikke konfigurert
  • Tidspunktet på dagen for å kjøre en planlagt skanning: Ikke konfigurert
  • Se etter signaturoppdateringer før du kjører skanning: Ja

Oppdateringer

  • Skriv inn hvor ofte du vil se etter sikkerhetsanalyseoppdateringer: 8
  • La andre innstillinger være i standardtilstand

Brukeropplevelse

  • Tillat brukertilgang til Microsoft Defender app: Ikke konfigurert

Aktiver manipuleringsbeskyttelse

  • Aktiver manipuleringsbeskyttelse for å hindre at Microsoft Defender deaktiveres: Aktiver

Reduksjon av angrepsoverflaten

  • Aktiver nettverksbeskyttelse: Testmodus
  • Krev SmartScreen for Microsoft Edge: Ja
  • Blokker tilgang til skadelig område: Ja
  • Blokker ubekreftet filnedlasting: Ja

Regler for reduksjon av angrepsoverflaten

  • Konfigurer alle tilgjengelige regler til overvåking.

Obs!

Blokkering av disse aktivitetene kan avbryte legitime forretningsprosesser. Den beste fremgangsmåten er å sette alt til overvåking, identifisere hvilke som er trygge å slå på, og deretter aktivere disse innstillingene på endepunkter som ikke har falske positive gjenkjenninger.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.