Microsoft Defender Antivirus configureren in een omgeving met extern bureaublad of virtuele bureaubladinfrastructuur

  • Artikel

Van toepassing op:

Platforms

  • Windows

Tip

Dit artikel is alleen bedoeld voor klanten die gebruikmaken van Microsoft Defender Antivirus-mogelijkheden. Als u Microsoft Defender voor Eindpunt hebt (inclusief Microsoft Defender Antivirus naast aanvullende mogelijkheden voor apparaatbeveiliging), slaat u dit artikel over en gaat u verder met Het onboarden van niet-permanente virtuele bureaubladinfrastructuur (VDI)-apparaten in Microsoft Defender XDR.

U kunt Microsoft Defender Antivirus gebruiken in een extern bureaublad (RDS) of een niet-permanente VDI-omgeving (Virtual Desktop Infrastructure). Als u de richtlijnen in dit artikel volgt, kunt u updates configureren om rechtstreeks naar uw RDS- of VDI-omgevingen te downloaden wanneer een gebruiker zich aanmeldt.

In deze handleiding wordt beschreven hoe u Microsoft Defender Antivirus op uw VM's configureert voor optimale beveiliging en prestaties, waaronder het volgende:

Belangrijk

Hoewel een VDI kan worden gehost op Windows Server 2012 of Windows Server 2016, moeten virtuele machines (VM's) minimaal Windows 10 versie 1607 uitvoeren vanwege verbeterde beveiligingstechnologieën en -functies die niet beschikbaar zijn in eerdere versies van Windows.

Een toegewezen VDI-bestandsshare instellen voor beveiligingsinformatie

In Windows 10, versie 1903, heeft Microsoft de functie voor gedeelde beveiligingsinformatie geïntroduceerd, waarmee het uitpakken van gedownloade updates voor beveiligingsinformatie op een hostcomputer wordt offload. Deze methode vermindert het gebruik van CPU-, schijf- en geheugenbronnen op afzonderlijke computers. Gedeelde beveiligingsinformatie werkt nu op Windows 10 versie 1703 en hoger. U kunt deze mogelijkheid instellen met behulp van groepsbeleid of PowerShell, zoals beschreven in de volgende tabel:

Methode Procedure
Groepsbeleid 1. Open op uw groepsbeleid beheercomputer de groepsbeleid-beheerconsole, klik met de rechtermuisknop op het groepsbeleid-object dat u wilt configureren en selecteer bewerken.

2. Ga in de Editor groepsbeleid Management naar Computerconfiguratie.

Selecteer Beheersjablonen.

Vouw de structuur uit naar Windows-onderdelen>Microsoft Defender Antivirus>Security Intelligence Updates.

3. Dubbelklik op Locatie van beveiligingsinformatie definiëren voor VDI-clients en stel de optie vervolgens in op Ingeschakeld. Er wordt automatisch een veld weergegeven.

4. Voer in \\<sharedlocation\>\wdav-update (zie Downloaden en uitpakken voor hulp bij deze waarde).

5. Selecteer OK.

Implementeer het groepsbeleidsobject op de VM's die u wilt testen.
PowerShell 1. Gebruik op elk RDS- of VDI-apparaat de volgende cmdlet om de functie in te schakelen: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Push de update zoals u gewend bent om op PowerShell gebaseerde configuratiebeleidsregels naar uw VM's te pushen. (Zie de sectie De vermelding van de <gedeelde locatie>downloaden en uitpakken.)

De nieuwste updates downloaden en uitpakken

U kunt nu aan de slag met het downloaden en installeren van nieuwe updates. Hieronder hebben we een voorbeeld van een PowerShell-script voor u gemaakt. Dit script is de eenvoudigste manier om nieuwe updates te downloaden en voor te bereiden op uw VM's. Vervolgens moet u instellen dat het script op een bepaald moment wordt uitgevoerd op de beheercomputer met behulp van een geplande taak (of, als u bekend bent met het gebruik van PowerShell-scripts in Azure, Intune of SCCM, kunt u deze scripts ook gebruiken).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

U kunt instellen dat een geplande taak eenmaal per dag wordt uitgevoerd, zodat wanneer het pakket wordt gedownload en uitgepakt, de VM's de nieuwe update ontvangen. We raden u aan om één keer per dag te beginnen, maar u moet experimenteren met het verhogen of verlagen van de frequentie om de impact te begrijpen.

Beveiligingsinformatiepakketten worden doorgaans elke drie tot vier uur gepubliceerd. Het is niet raadzaam om een frequentie in te stellen die korter is dan vier uur, omdat hierdoor de netwerkoverhead op uw beheercomputer zonder voordeel wordt verhoogd.

U kunt ook uw enkele server of machine instellen om de updates op te halen namens de VM's met een interval en deze in de bestandsshare te plaatsen voor gebruik. Deze configuratie is mogelijk wanneer de apparaten de share- en leestoegang (NTFS-machtigingen) tot de share hebben, zodat ze de updates kunnen downloaden. Voer de volgende stappen uit om deze configuratie in te stellen:

  1. Creatie een SMB/CIFS-bestandsshare.

  2. Gebruik het volgende voorbeeld om een bestandsshare te maken met de volgende sharemachtigingen.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Opmerking

    Er is een NTFS-machtiging toegevoegd voor geverifieerde gebruikers:Lezen:.

    In dit voorbeeld is de bestandsshare:

    \\fileserver.fqdn\mdatp$\wdav-update

Een geplande taak instellen om het PowerShell-script uit te voeren

  1. Open op de beheercomputer het menu Start en typ Task Scheduler. Open deze en selecteer Creatie taak... in het zijpaneel.

  2. Voer de naam in als Uitpakfunctie voor beveiligingsinformatie. Ga naar het tabblad Trigger . Selecteer Nieuw...>Dagelijks en selecteer OK.

  3. Ga naar het tabblad Acties . Selecteer Nieuw... Voer PowerShell in het veld Programma/script in. Voer -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 in het veld Argumenten toevoegen in . Selecteer OK.

  4. Configureer eventueel andere instellingen.

  5. Selecteer OK om de geplande taak op te slaan.

U kunt de update handmatig starten door met de rechtermuisknop op de taak te klikken en vervolgens Uitvoeren te selecteren.

Handmatig downloaden en uitpakken

Als u alles liever handmatig wilt doen, kunt u het volgende doen om het gedrag van het script te repliceren:

  1. Creatie een nieuwe map in de systeemhoofdmap met de naam wdav_update om intelligence-updates op te slaan, bijvoorbeeld om de map c:\wdav_updatete maken.

  2. Creatie een submap onder wdav_update met een GUID-naam, zoals{00000000-0000-0000-0000-000000000000}

    Hier volgt een voorbeeld: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Opmerking

    In het script stellen we dit zo in dat de laatste 12 cijfers van de GUID het jaar, de maand, de dag en de tijd zijn waarop het bestand is gedownload, zodat er elke keer een nieuwe map wordt gemaakt. U kunt dit wijzigen zodat het bestand elke keer naar dezelfde map wordt gedownload.

  3. Download een beveiligingsinformatiepakket van https://www.microsoft.com/wdsi/definitions in de GUID-map. Het bestand moet de naam mpam-fe.exehebben.

  4. Open een cmd-promptvenster en navigeer naar de GUID-map die u hebt gemaakt. Gebruik de /X-extractieopdracht om de bestanden te extraheren, bijvoorbeeld mpam-fe.exe /X.

    Opmerking

    De VM's halen het bijgewerkte pakket op wanneer er een nieuwe GUID-map wordt gemaakt met een geëxtraheerd updatepakket of wanneer een bestaande map wordt bijgewerkt met een nieuw uitgepakt pakket.

Geplande scans willekeurig maken

Geplande scans worden uitgevoerd naast realtime-beveiliging en scannen.

De begintijd van de scan zelf is nog steeds gebaseerd op het geplande scanbeleid (ScheduleDay, ScheduleTime en ScheduleQuickScanTime). Randomisatie zorgt ervoor dat Microsoft Defender Antivirus een scan start op elke computer binnen een periode van vier uur vanaf de tijd die is ingesteld voor de geplande scan.

Zie Scans plannen voor andere configuratieopties die beschikbaar zijn voor geplande scans.

Snelle scans gebruiken

U kunt het type scan opgeven dat moet worden uitgevoerd tijdens een geplande scan. Snelle scans zijn de voorkeursbenadering, omdat ze zijn ontworpen om te zoeken op alle plaatsen waar malware zich moet bevinden om actief te zijn. In de volgende procedure wordt beschreven hoe u snelle scans instelt met behulp van groepsbeleid.

  1. Ga in uw groepsbeleid Editor naar Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirusscan>.

  2. Selecteer Geef het scantype op dat moet worden gebruikt voor een geplande scan en bewerk vervolgens de beleidsinstelling.

  3. Stel het beleid in op Ingeschakeld en selecteer onder Opties de optie Snelle scan.

  4. Kies OK.

  5. Implementeer uw groepsbeleidsobject zoals u dat gewoonlijk doet.

Meldingen voorkomen

Soms worden Microsoft Defender Antivirusmeldingen verzonden naar of blijven bestaan in meerdere sessies. Om verwarring bij gebruikers te voorkomen, kunt u de gebruikersinterface van Microsoft Defender Antivirus vergrendelen. In de volgende procedure wordt beschreven hoe u meldingen onderdrukt met behulp van groepsbeleid.

  1. Ga in uw groepsbeleid Editor naar Windows-onderdelen>Microsoft DefenderAntivirus-clientinterface>.

  2. Selecteer Alle meldingen onderdrukken en bewerk vervolgens de beleidsinstellingen.

  3. Stel het beleid in op Ingeschakeld en selecteer VERVOLGENS OK.

  4. Implementeer uw groepsbeleidsobject zoals u dat gewoonlijk doet.

Het onderdrukken van meldingen voorkomt dat meldingen van Microsoft Defender Antivirus worden weergegeven wanneer er scans worden uitgevoerd of herstelacties worden uitgevoerd. Uw beveiligingsteam ziet echter de resultaten van een scan als er een aanval wordt gedetecteerd en gestopt. Waarschuwingen, zoals een waarschuwing voor eerste toegang, worden gegenereerd en worden weergegeven in de Microsoft Defender-portal.

Scans uitschakelen na een update

Als u een scan uitschakelt na een update, voorkomt u dat er een scan plaatsvindt na het ontvangen van een update. U kunt deze instelling toepassen bij het maken van de basisinstallatiekopieën als u ook een snelle scan hebt uitgevoerd. Op deze manier kunt u voorkomen dat de zojuist bijgewerkte VM opnieuw een scan uitvoert (omdat u deze al hebt gescand bij het maken van de basisinstallatiekopieën).

Belangrijk

Als u scans uitvoert na een update, zorgt u ervoor dat uw VM's worden beveiligd met de nieuwste updates voor beveiligingsinformatie. Als u deze optie uitschakelt, vermindert u het beveiligingsniveau van uw VM's en mag deze alleen worden gebruikt bij het maken of implementeren van de basisinstallatiekopieën.

  1. Ga in uw groepsbeleid Editor naar Windows-onderdelen>Microsoft Defender Antivirus>Security Intelligence Updates.

  2. Selecteer Scannen inschakelen na het bijwerken van beveiligingsinformatie en bewerk vervolgens de beleidsinstelling.

  3. Stel het beleid in op Uitgeschakeld.

  4. Kies OK.

  5. Implementeer uw groepsbeleidsobject zoals u dat gewoonlijk doet.

Dit beleid voorkomt dat er direct na een update een scan wordt uitgevoerd.

ScanOnlyIfIdle De optie uitschakelen

Gebruik de volgende cmdlet om een snelle of geplande scan te stoppen wanneer het apparaat inactief is als het zich in de passieve modus bevindt.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

U kunt ook de ScanOnlyIfIdle optie in Microsoft Defender Antivirus uitschakelen via configuratie via lokaal of domeingroepsbeleid. Deze instelling voorkomt aanzienlijke CPU-conflicten in high-densityomgevingen.

Zie De geplande scan alleen starten wanneer de computer is ingeschakeld, maar niet in gebruik is voor meer informatie.

Vm's scannen die offline zijn geweest

  1. Ga in uw groepsbeleid Editor naar Windows-onderdelen>Microsoft Defender Antivirusscan>.

  2. Selecteer Snelle inhaalscan inschakelen en bewerk vervolgens de beleidsinstelling.

  3. Stel het beleid in op Ingeschakeld.

  4. Selecteer OK.

  5. Implementeer uw groepsbeleid-object zoals u gewoonlijk doet.

Dit beleid dwingt een scan af als de VM twee of meer opeenvolgende geplande scans heeft gemist.

Modus voor hoofdloze gebruikersinterface inschakelen

  1. Ga in uw groepsbeleid Editor naar Windows-onderdelen>Microsoft DefenderAntivirus-clientinterface>.

  2. Selecteer Modus zonder hoofdgebruikersinterface inschakelen en bewerk het beleid.

  3. Stel het beleid in op Ingeschakeld.

  4. Selecteer OK.

  5. Implementeer uw groepsbeleid-object zoals u gewoonlijk doet.

Dit beleid verbergt de volledige Microsoft Defender Antivirus-gebruikersinterface voor eindgebruikers in uw organisatie.

Uitsluitingen

Als u denkt dat u uitsluitingen moet toevoegen, raadpleegt u Uitsluitingen beheren voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus.

Zie ook

Als u op zoek bent naar informatie over Defender voor Eindpunt op niet-Windows-platforms, raadpleegt u de volgende bronnen:

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.