Konfigurere Microsoft Defender Antivirus på et eksternt skrivebord eller et virtuelt skrivebordsinfrastrukturmiljø

  • Artikkel

Gjelder for:

Plattformer

  • Windows

Tips

Denne artikkelen er utformet for kunder som bare bruker Microsoft Defender antivirusfunksjoner. Hvis du har Microsoft Defender for endepunkt (som inkluderer Microsoft Defender Antivirus sammen med flere funksjoner for enhetsbeskyttelse), hopper du over denne artikkelen og fortsetter til VDI-enheter (Onboard non-persistent virtual desktop infrastructure) i Microsoft Defender XDR.

Du kan bruke Microsoft Defender Antivirus i et eksternt skrivebord (RDS) eller et ikke-vedvarende VDI-miljø (virtual desktop infrastructure). Ved å følge veiledningen i denne artikkelen kan du konfigurere oppdateringer for å laste ned direkte til RDS- eller VDI-miljøer når en bruker logger på.

Denne veiledningen beskriver hvordan du konfigurerer Microsoft Defender Antivirus på virtuelle maskiner for optimal beskyttelse og ytelse, inkludert hvordan du gjør følgende:

Viktig

Selv om en VDI kan driftes på Windows Server 2012 eller Windows Server 2016, bør virtuelle maskiner (VM-er) kjøre Windows 10, versjon 1607 som et minimum, på grunn av økt beskyttelsesteknologi og funksjoner som ikke er tilgjengelige i tidligere versjoner av Windows.

Konfigurere en dedikert VDI-filressurs for sikkerhetsintelligens

I Windows 10, versjon 1903, introduserte Microsoft den delte sikkerhetsintelligensfunksjonen, som avlaster utpakkingen av nedlastede sikkerhetsanalyseoppdateringer på en vertsmaskin. Denne metoden reduserer bruken av prosessor-, disk- og minneressurser på individuelle maskiner. Delt sikkerhetsintelligens fungerer nå på Windows 10, versjon 1703 og nyere. Du kan konfigurere denne funksjonen ved hjelp av gruppepolicy eller PowerShell, som beskrevet i tabellen nedenfor:

Metode Prosedyre
Gruppepolicy 1. Åpne gruppepolicy Administrasjonskonsoll på gruppepolicy-administrasjonsdatamaskinen, høyreklikk på gruppepolicy objektet du vil konfigurere, og velg deretter Rediger.

2. Gå til Datamaskinkonfigurasjon i gruppepolicy Management Redaktør.

Velg Administrative maler.

Utvid treet til Windows-komponenter>Microsoft Defender Antivirus>Security Intelligence Oppdateringer.

3. Dobbeltklikk Definer plassering av sikkerhetsintelligens for VDI-klienter, og angi deretter alternativet Aktivert. Et felt vises automatisk.

4. Skriv inn \\<sharedlocation\>\wdav-update (hvis du vil ha hjelp med denne verdien, kan du se Last ned og pakk ut).

5. Velg OK.

Distribuer gruppepolicyobjektet til de virtuelle maskinene du vil teste.
PowerShell 1. På hver RDS- eller VDI-enhet bruker du følgende cmdlet til å aktivere funksjonen: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Send oppdateringen på vanlig måte for å overføre PowerShell-baserte konfigurasjonspolicyer til virtuelle maskiner. (Se delen Last ned og pakk ut den <delte plasseringen> .)

Last ned og pakk ut de nyeste oppdateringene

Nå kan du komme i gang med å laste ned og installere nye oppdateringer. Vi har opprettet et eksempel på et PowerShell-skript for deg nedenfor. Dette skriptet er den enkleste måten å laste ned nye oppdateringer på, og gjøre dem klare for virtuelle maskiner. Deretter bør du angi at skriptet skal kjøre på et bestemt tidspunkt på administrasjonsmaskinen ved hjelp av en planlagt oppgave (eller, hvis du er kjent med å bruke PowerShell-skript i Azure, Intune eller SCCM, kan du også bruke disse skriptene).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Du kan angi at en planlagt oppgave skal kjøre én gang om dagen, slik at når pakken lastes ned og pakkes ut, vil vm-ene motta den nye oppdateringen. Vi foreslår at du starter med én gang om dagen, men du bør eksperimentere med å øke eller redusere frekvensen for å forstå virkningen.

Sikkerhetsetterretningspakker publiseres vanligvis én gang hver tredje til fjerde time. Det anbefales ikke å angi en frekvens som er kortere enn fire timer, fordi det vil øke nettverksbelastningen på administrasjonsmaskinen uten at du drar nytte av det.

Du kan også konfigurere én enkelt server eller maskin til å hente oppdateringene på vegne av vm-ene med et intervall og plassere dem i den delte filressursen for bruk. Denne konfigurasjonen er mulig når enhetene har delings- og lesetilgang (NTFS-tillatelser) til delingen, slik at de kan hente oppdateringene. Følg disse trinnene for å konfigurere konfigurasjonen:

  1. Opprett en delt SMB/CIFS-filressurs.

  2. Bruk følgende eksempel til å opprette en delt filressurs med følgende delingstillatelser.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Obs!

    Det legges til en NTFS-tillatelse for Godkjente brukere:Lese:.

    I dette eksemplet er den delte filressursen:

    \\fileserver.fqdn\mdatp$\wdav-update

Angi en planlagt oppgave for å kjøre PowerShell-skriptet

  1. Åpne Start-menyen på administrasjonsmaskinen, og skriv inn Oppgaveplanlegging. Åpne den, og velg Opprett oppgave... på sidepanelet.

  2. Skriv inn navnet som utpakking av sikkerhetsintelligens. Gå til Utløser-fanen . Velg Ny...>Daglig, og velg OK.

  3. Gå til Handlinger-fanen . Velg Ny... Skriv inn PowerShell i Program/skript-feltet . Skriv inn -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 i legg til argumenter-feltet . Velg OK.

  4. Konfigurer eventuelle andre innstillinger etter behov.

  5. Velg OK for å lagre den planlagte aktiviteten.

Du kan starte oppdateringen manuelt ved å høyreklikke på aktiviteten og deretter velge Kjør.

Last ned og pakk ut manuelt

Hvis du foretrekker å gjøre alt manuelt, kan du gjøre følgende for å replikere skriptets virkemåte:

  1. Opprett en ny mappe på systemroten som kalles wdav_update for å lagre etterretningsoppdateringer, for eksempel opprette mappenc:\wdav_update.

  2. Opprett en undermappe under wdav_update med et GUID-navn, for eksempel{00000000-0000-0000-0000-000000000000}

    Her er et eksempel: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Obs!

    I skriptet angir vi det slik at de siste 12 sifrene i GUID-en er året, måneden, dagen og klokkeslettet da filen ble lastet ned, slik at en ny mappe opprettes hver gang. Du kan endre dette slik at filen lastes ned til samme mappe hver gang.

  3. Last ned en sikkerhetsintelligenspakke fra https://www.microsoft.com/wdsi/definitions GUID-mappen. Filen skal ha navnet mpam-fe.exe.

  4. Åpne et ledetekstvindu for cmd, og gå til GUID-mappen du opprettet. Bruk uttrekkingskommandoen /X til å pakke ut filene, for eksempel mpam-fe.exe /X.

    Obs!

    Vm-ene henter den oppdaterte pakken når en ny GUID-mappe opprettes med en utpakket oppdateringspakke, eller når en eksisterende mappe oppdateres med en ny pakket pakke.

Tilfeldige planlagte skanninger

Planlagte skanninger kjøres i tillegg til sanntidsbeskyttelse og skanning.

Starttidspunktet for selve skanningen er fremdeles basert på den planlagte skannepolicyen (ScheduleDay, ScheduleTime og ScheduleQuickScanTime). Randomisering vil føre til at Microsoft Defender Antivirus starter en skanning på hver maskin innen et fire timers vindu fra tidspunktet som er angitt for den planlagte skanningen.

Se Planlegge skanninger for andre konfigurasjonsalternativer som er tilgjengelige for planlagte skanninger.

Bruke hurtigskanninger

Du kan angi hvilken type skanning som skal utføres under en planlagt skanning. Hurtigskanninger er den foretrukne tilnærmingen ettersom de er utformet for å se på alle steder der skadelig programvare må befinne seg for å være aktiv. Følgende fremgangsmåte beskriver hvordan du konfigurerer hurtigskanninger ved hjelp av gruppepolicy.

  1. Gå tilWindows-komponenter>> for administrative maleri gruppepolicy Redaktør Microsoft Defender Antivirusskanning>.

  2. Velg Angi skannetypen som skal brukes for en planlagt skanning , og rediger deretter policyinnstillingen.

  3. Angi policyen til Aktivert, og velg deretter Hurtigskanning under Alternativer.

  4. Velg OK.

  5. Distribuer gruppepolicy objektet slik du vanligvis gjør.

Forhindre varsler

Noen ganger sendes Microsoft Defender antivirusvarsler til eller vedvarer på tvers av flere økter. Hvis du vil unngå brukerforvirring, kan du låse Microsoft Defender Antivirus-brukergrensesnittet. Følgende fremgangsmåte beskriver hvordan du undertrykker varsler ved hjelp av gruppepolicy.

  1. Gå til Windows-komponenter> i gruppepolicy Redaktør Microsoft Defenderantivirusklientgrensesnitt>.

  2. Velg Undertrykk alle varsler , og rediger deretter policyinnstillingene.

  3. Angi policyen til Aktivert, og velg deretter OK.

  4. Distribuer gruppepolicy objektet slik du vanligvis gjør.

Undertrykking av varsler hindrer at varsler fra Microsoft Defender Antivirus vises når skanninger utføres eller utbedringshandlinger utføres. Sikkerhetsoperasjonsteamet vil imidlertid se resultatene av en skanning hvis et angrep oppdages og stoppes. Varsler, for eksempel et innledende tilgangsvarsel, genereres og vises i Microsoft Defender-portalen.

Deaktiver skanninger etter en oppdatering

Deaktivering av en skanning etter en oppdatering vil hindre at en skanning oppstår etter å ha mottatt en oppdatering. Du kan bruke denne innstillingen når du oppretter basisbildet hvis du også har kjørt en hurtigskanning. På denne måten kan du hindre at den nylig oppdaterte virtuelle maskinen utfører en skanning på nytt (siden du allerede har skannet den da du opprettet basisbildet).

Viktig

Skanninger etter en oppdatering vil bidra til å sikre at virtuelle maskiner er beskyttet med de nyeste oppdateringene for sikkerhetsintelligens. Deaktivering av dette alternativet vil redusere beskyttelsesnivået for virtuelle maskiner og bør bare brukes når du først oppretter eller distribuerer grunnavbildningen.

  1. Gå til Windows-komponenter>i gruppepolicy Redaktør Microsoft Defender>Antivirus Security Intelligence Oppdateringer.

  2. Velg Slå på skanning etter oppdatering av sikkerhetsintelligens , og rediger deretter policyinnstillingen.

  3. Sett policyen til Deaktivert.

  4. Velg OK.

  5. Distribuer gruppepolicy objektet slik du vanligvis gjør.

Denne policyen hindrer at en skanning kjører umiddelbart etter en oppdatering.

ScanOnlyIfIdle Deaktiver alternativet

Bruk følgende cmdlet til å stoppe en rask eller planlagt skanning når enheten blir inaktiv hvis den er i passiv modus.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Du kan også deaktivere ScanOnlyIfIdle alternativet i Microsoft Defender Antivirus ved å konfigurere via lokal eller domenegruppepolicy. Denne innstillingen forhindrer betydelig CPU-strid i miljøer med høy tetthet.

Hvis du vil ha mer informasjon, kan du se Starte den planlagte skanningen bare når datamaskinen er på, men ikke er i bruk.

Skann virtuelle maskiner som har vært frakoblet

  1. Gå til Windows-komponenter>i gruppepolicy Redaktør Microsoft Defender Antivirusskanning>.

  2. Velg Slå på hurtigskanning for å fange opp , og rediger deretter policyinnstillingen.

  3. Sett policyen til Aktivert.

  4. Velg OK.

  5. Distribuer gruppepolicy objektet slik du vanligvis gjør.

Denne policyen tvinger frem en skanning hvis den virtuelle maskinen har gått glipp av to eller flere påfølgende planlagte skanninger.

Aktiver hodeløs brukergrensesnittmodus

  1. Gå til Windows-komponenter> i gruppepolicy Redaktør Microsoft Defenderantivirusklientgrensesnitt>.

  2. Velg Aktiver hodeløs brukergrensesnittmodus , og rediger policyen.

  3. Sett policyen til Aktivert.

  4. Velg OK.

  5. Distribuer gruppepolicy objektet slik du vanligvis gjør.

Denne policyen skjuler hele Microsoft Defender Antivirus-brukergrensesnittet for sluttbrukere i organisasjonen.

Utelatelser

Hvis du tror du må legge til utelatelser, kan du se Administrere utelatelser for Microsoft Defender for endepunkt og Microsoft Defender Antivirus.

Se også

Hvis du leter etter informasjon om Defender for endepunkt på ikke-Windows-plattformer, kan du se følgende ressurser:

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.