Konfigurere Microsoft Defender Antivirus på et eksternt skrivebord eller et virtuelt skrivebordsinfrastrukturmiljø
Gjelder for:
- Microsoft Defender Antivirus
- Defender for endepunktplan 1
- Defender for endepunktplan 2
Plattformer
- Windows
Tips
Denne artikkelen er utformet for kunder som bare bruker Microsoft Defender antivirusfunksjoner. Hvis du har Microsoft Defender for endepunkt (som inkluderer Microsoft Defender Antivirus sammen med flere funksjoner for enhetsbeskyttelse), hopper du over denne artikkelen og fortsetter til VDI-enheter (Onboard non-persistent virtual desktop infrastructure) i Microsoft Defender XDR.
Du kan bruke Microsoft Defender Antivirus i et eksternt skrivebord (RDS) eller et ikke-vedvarende VDI-miljø (virtual desktop infrastructure). Ved å følge veiledningen i denne artikkelen kan du konfigurere oppdateringer for å laste ned direkte til RDS- eller VDI-miljøer når en bruker logger på.
Denne veiledningen beskriver hvordan du konfigurerer Microsoft Defender Antivirus på virtuelle maskiner for optimal beskyttelse og ytelse, inkludert hvordan du gjør følgende:
- Konfigurere en dedikert VDI-filressurs for sikkerhetsanalyseoppdateringer
- Tilfeldige planlagte skanninger
- Bruke hurtigskanninger
- Forhindre varsler
- Deaktiver skanninger fra å forekomme etter hver oppdatering
- Skanne utdaterte maskiner eller maskiner som har vært frakoblet en stund
- Bruk utelatelser
Viktig
Selv om en VDI kan driftes på Windows Server 2012 eller Windows Server 2016, bør virtuelle maskiner (VM-er) kjøre Windows 10, versjon 1607 som et minimum, på grunn av økt beskyttelsesteknologi og funksjoner som ikke er tilgjengelige i tidligere versjoner av Windows.
Konfigurere en dedikert VDI-filressurs for sikkerhetsintelligens
I Windows 10, versjon 1903, introduserte Microsoft den delte sikkerhetsintelligensfunksjonen, som avlaster utpakkingen av nedlastede sikkerhetsanalyseoppdateringer på en vertsmaskin. Denne metoden reduserer bruken av prosessor-, disk- og minneressurser på individuelle maskiner. Delt sikkerhetsintelligens fungerer nå på Windows 10, versjon 1703 og nyere. Du kan konfigurere denne funksjonen ved hjelp av gruppepolicy eller PowerShell, som beskrevet i tabellen nedenfor:
Metode | Prosedyre |
---|---|
Gruppepolicy | 1. Åpne gruppepolicy Administrasjonskonsoll på gruppepolicy-administrasjonsdatamaskinen, høyreklikk på gruppepolicy objektet du vil konfigurere, og velg deretter Rediger. 2. Gå til Datamaskinkonfigurasjon i gruppepolicy Management Redaktør. Velg Administrative maler. Utvid treet til Windows-komponenter>Microsoft Defender Antivirus>Security Intelligence Oppdateringer. 3. Dobbeltklikk Definer plassering av sikkerhetsintelligens for VDI-klienter, og angi deretter alternativet Aktivert. Et felt vises automatisk. 4. Skriv inn \\<sharedlocation\>\wdav-update (hvis du vil ha hjelp med denne verdien, kan du se Last ned og pakk ut).5. Velg OK. Distribuer gruppepolicyobjektet til de virtuelle maskinene du vil teste. |
PowerShell | 1. På hver RDS- eller VDI-enhet bruker du følgende cmdlet til å aktivere funksjonen: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update . 2. Send oppdateringen på vanlig måte for å overføre PowerShell-baserte konfigurasjonspolicyer til virtuelle maskiner. (Se delen Last ned og pakk ut den <delte plasseringen> .) |
Last ned og pakk ut de nyeste oppdateringene
Nå kan du komme i gang med å laste ned og installere nye oppdateringer. Vi har opprettet et eksempel på et PowerShell-skript for deg nedenfor. Dette skriptet er den enkleste måten å laste ned nye oppdateringer på, og gjøre dem klare for virtuelle maskiner. Deretter bør du angi at skriptet skal kjøre på et bestemt tidspunkt på administrasjonsmaskinen ved hjelp av en planlagt oppgave (eller, hvis du er kjent med å bruke PowerShell-skript i Azure, Intune eller SCCM, kan du også bruke disse skriptene).
$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'
New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage
Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"
Du kan angi at en planlagt oppgave skal kjøre én gang om dagen, slik at når pakken lastes ned og pakkes ut, vil vm-ene motta den nye oppdateringen. Vi foreslår at du starter med én gang om dagen, men du bør eksperimentere med å øke eller redusere frekvensen for å forstå virkningen.
Sikkerhetsetterretningspakker publiseres vanligvis én gang hver tredje til fjerde time. Det anbefales ikke å angi en frekvens som er kortere enn fire timer, fordi det vil øke nettverksbelastningen på administrasjonsmaskinen uten at du drar nytte av det.
Du kan også konfigurere én enkelt server eller maskin til å hente oppdateringene på vegne av vm-ene med et intervall og plassere dem i den delte filressursen for bruk. Denne konfigurasjonen er mulig når enhetene har delings- og lesetilgang (NTFS-tillatelser) til delingen, slik at de kan hente oppdateringene. Følg disse trinnene for å konfigurere konfigurasjonen:
Opprett en delt SMB/CIFS-filressurs.
Bruk følgende eksempel til å opprette en delt filressurs med følgende delingstillatelser.
PS c:\> Get-SmbShareAccess -Name mdatp$ Name ScopeName AccountName AccessControlType AccessRight ---- --------- ----------- ----------------- ----------- mdatp$ * Everyone Allow Read
Obs!
Det legges til en NTFS-tillatelse for Godkjente brukere:Lese:.
I dette eksemplet er den delte filressursen:
\\fileserver.fqdn\mdatp$\wdav-update
Angi en planlagt oppgave for å kjøre PowerShell-skriptet
Åpne Start-menyen på administrasjonsmaskinen, og skriv inn Oppgaveplanlegging. Åpne den, og velg Opprett oppgave... på sidepanelet.
Skriv inn navnet som utpakking av sikkerhetsintelligens. Gå til Utløser-fanen . Velg Ny...>Daglig, og velg OK.
Gå til Handlinger-fanen . Velg Ny... Skriv inn PowerShell i Program/skript-feltet . Skriv inn
-ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1
i legg til argumenter-feltet . Velg OK.Konfigurer eventuelle andre innstillinger etter behov.
Velg OK for å lagre den planlagte aktiviteten.
Du kan starte oppdateringen manuelt ved å høyreklikke på aktiviteten og deretter velge Kjør.
Last ned og pakk ut manuelt
Hvis du foretrekker å gjøre alt manuelt, kan du gjøre følgende for å replikere skriptets virkemåte:
Opprett en ny mappe på systemroten som kalles
wdav_update
for å lagre etterretningsoppdateringer, for eksempel opprette mappenc:\wdav_update
.Opprett en undermappe under wdav_update med et GUID-navn, for eksempel
{00000000-0000-0000-0000-000000000000}
Her er et eksempel:
c:\wdav_update\{00000000-0000-0000-0000-000000000000}
Obs!
I skriptet angir vi det slik at de siste 12 sifrene i GUID-en er året, måneden, dagen og klokkeslettet da filen ble lastet ned, slik at en ny mappe opprettes hver gang. Du kan endre dette slik at filen lastes ned til samme mappe hver gang.
Last ned en sikkerhetsintelligenspakke fra https://www.microsoft.com/wdsi/definitions GUID-mappen. Filen skal ha navnet
mpam-fe.exe
.Åpne et ledetekstvindu for cmd, og gå til GUID-mappen du opprettet. Bruk uttrekkingskommandoen /X til å pakke ut filene, for eksempel
mpam-fe.exe /X
.Obs!
Vm-ene henter den oppdaterte pakken når en ny GUID-mappe opprettes med en utpakket oppdateringspakke, eller når en eksisterende mappe oppdateres med en ny pakket pakke.
Tilfeldige planlagte skanninger
Planlagte skanninger kjøres i tillegg til sanntidsbeskyttelse og skanning.
Starttidspunktet for selve skanningen er fremdeles basert på den planlagte skannepolicyen (ScheduleDay, ScheduleTime og ScheduleQuickScanTime). Randomisering vil føre til at Microsoft Defender Antivirus starter en skanning på hver maskin innen et fire timers vindu fra tidspunktet som er angitt for den planlagte skanningen.
Se Planlegge skanninger for andre konfigurasjonsalternativer som er tilgjengelige for planlagte skanninger.
Bruke hurtigskanninger
Du kan angi hvilken type skanning som skal utføres under en planlagt skanning. Hurtigskanninger er den foretrukne tilnærmingen ettersom de er utformet for å se på alle steder der skadelig programvare må befinne seg for å være aktiv. Følgende fremgangsmåte beskriver hvordan du konfigurerer hurtigskanninger ved hjelp av gruppepolicy.
Gå tilWindows-komponenter>> for administrative maleri gruppepolicy Redaktør Microsoft Defender Antivirusskanning>.
Velg Angi skannetypen som skal brukes for en planlagt skanning , og rediger deretter policyinnstillingen.
Angi policyen til Aktivert, og velg deretter Hurtigskanning under Alternativer.
Velg OK.
Distribuer gruppepolicy objektet slik du vanligvis gjør.
Forhindre varsler
Noen ganger sendes Microsoft Defender antivirusvarsler til eller vedvarer på tvers av flere økter. Hvis du vil unngå brukerforvirring, kan du låse Microsoft Defender Antivirus-brukergrensesnittet. Følgende fremgangsmåte beskriver hvordan du undertrykker varsler ved hjelp av gruppepolicy.
Gå til Windows-komponenter> i gruppepolicy Redaktør Microsoft Defenderantivirusklientgrensesnitt>.
Velg Undertrykk alle varsler , og rediger deretter policyinnstillingene.
Angi policyen til Aktivert, og velg deretter OK.
Distribuer gruppepolicy objektet slik du vanligvis gjør.
Undertrykking av varsler hindrer at varsler fra Microsoft Defender Antivirus vises når skanninger utføres eller utbedringshandlinger utføres. Sikkerhetsoperasjonsteamet vil imidlertid se resultatene av en skanning hvis et angrep oppdages og stoppes. Varsler, for eksempel et innledende tilgangsvarsel, genereres og vises i Microsoft Defender-portalen.
Deaktiver skanninger etter en oppdatering
Deaktivering av en skanning etter en oppdatering vil hindre at en skanning oppstår etter å ha mottatt en oppdatering. Du kan bruke denne innstillingen når du oppretter basisbildet hvis du også har kjørt en hurtigskanning. På denne måten kan du hindre at den nylig oppdaterte virtuelle maskinen utfører en skanning på nytt (siden du allerede har skannet den da du opprettet basisbildet).
Viktig
Skanninger etter en oppdatering vil bidra til å sikre at virtuelle maskiner er beskyttet med de nyeste oppdateringene for sikkerhetsintelligens. Deaktivering av dette alternativet vil redusere beskyttelsesnivået for virtuelle maskiner og bør bare brukes når du først oppretter eller distribuerer grunnavbildningen.
Gå til Windows-komponenter>i gruppepolicy Redaktør Microsoft Defender>Antivirus Security Intelligence Oppdateringer.
Velg Slå på skanning etter oppdatering av sikkerhetsintelligens , og rediger deretter policyinnstillingen.
Sett policyen til Deaktivert.
Velg OK.
Distribuer gruppepolicy objektet slik du vanligvis gjør.
Denne policyen hindrer at en skanning kjører umiddelbart etter en oppdatering.
ScanOnlyIfIdle
Deaktiver alternativet
Bruk følgende cmdlet til å stoppe en rask eller planlagt skanning når enheten blir inaktiv hvis den er i passiv modus.
Set-MpPreference -ScanOnlyIfIdleEnabled $false
Du kan også deaktivere ScanOnlyIfIdle
alternativet i Microsoft Defender Antivirus ved å konfigurere via lokal eller domenegruppepolicy. Denne innstillingen forhindrer betydelig CPU-strid i miljøer med høy tetthet.
Hvis du vil ha mer informasjon, kan du se Starte den planlagte skanningen bare når datamaskinen er på, men ikke er i bruk.
Skann virtuelle maskiner som har vært frakoblet
Gå til Windows-komponenter>i gruppepolicy Redaktør Microsoft Defender Antivirusskanning>.
Velg Slå på hurtigskanning for å fange opp , og rediger deretter policyinnstillingen.
Sett policyen til Aktivert.
Velg OK.
Distribuer gruppepolicy objektet slik du vanligvis gjør.
Denne policyen tvinger frem en skanning hvis den virtuelle maskinen har gått glipp av to eller flere påfølgende planlagte skanninger.
Aktiver hodeløs brukergrensesnittmodus
Gå til Windows-komponenter> i gruppepolicy Redaktør Microsoft Defenderantivirusklientgrensesnitt>.
Velg Aktiver hodeløs brukergrensesnittmodus , og rediger policyen.
Sett policyen til Aktivert.
Velg OK.
Distribuer gruppepolicy objektet slik du vanligvis gjør.
Denne policyen skjuler hele Microsoft Defender Antivirus-brukergrensesnittet for sluttbrukere i organisasjonen.
Utelatelser
Hvis du tror du må legge til utelatelser, kan du se Administrere utelatelser for Microsoft Defender for endepunkt og Microsoft Defender Antivirus.
Se også
- Tech Community Blog: Konfigurere Microsoft Defender Antivirus for ikke-vedvarende VDI-maskiner
- TechNet-fora på Remote Desktop Services og VDI
- SignatureDownloadCustomTask PowerShell-skript
Hvis du leter etter informasjon om Defender for endepunkt på ikke-Windows-plattformer, kan du se følgende ressurser:
- Microsoft Defender for endepunkt på Mac
- Microsoft Defender for endepunkt på Linux
- Konfigurer Defender for endepunkt på Android-funksjoner
- Konfigurer Microsoft Defender for endepunkt for iOS-funksjoner
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for