Delen via

Microsoft Defender Antivirus configureren in een omgeving met extern bureaublad of virtuele bureaubladinfrastructuur

  • Artikel

Van toepassing op:

Platforms

  • Windows

Dit artikel is alleen bedoeld voor klanten die gebruikmaken van Microsoft Defender Antivirus-mogelijkheden. Als u Microsoft Defender voor Eindpunt hebt (waaronder Microsoft Defender Antivirus naast andere mogelijkheden voor apparaatbeveiliging), gaat u ook naar Niet-permanente VDI-apparaten (Virtual Desktop Infrastructure) onboarden in Microsoft Defender XDR.

U kunt Microsoft Defender Antivirus gebruiken in een extern bureaublad (RDS) of een niet-permanente VDI-omgeving (Virtual Desktop Infrastructure). Als u de richtlijnen in dit artikel volgt, kunt u updates configureren om rechtstreeks naar uw RDS- of VDI-omgevingen te downloaden wanneer een gebruiker zich aanmeldt.

In deze handleiding wordt beschreven hoe u Microsoft Defender Antivirus op uw VM's configureert voor optimale beveiliging en prestaties, waaronder het volgende:

Belangrijk

Hoewel een VDI kan worden gehost op Windows Server 2012 of Windows Server 2016, moeten virtuele machines (VM's) minimaal Windows 10 versie 1607 uitvoeren vanwege verbeterde beveiligingstechnologieën en -functies die niet beschikbaar zijn in eerdere versies van Windows.

Een toegewezen VDI-bestandsshare instellen voor beveiligingsinformatie

In Windows 10, versie 1903, heeft Microsoft de functie voor gedeelde beveiligingsinformatie geïntroduceerd, waarmee het uitpakken van gedownloade updates voor beveiligingsinformatie op een hostcomputer wordt offload. Deze methode vermindert het gebruik van CPU-, schijf- en geheugenbronnen op afzonderlijke computers. Gedeelde beveiligingsinformatie werkt nu op Windows 10 versie 1703 en hoger. U kunt deze mogelijkheid instellen met behulp van groepsbeleid of PowerShell.

Groepsbeleid

  1. Open op uw groepsbeleid beheercomputer de groepsbeleid-beheerconsole, klik met de rechtermuisknop op het groepsbeleid-object dat u wilt configureren en selecteer bewerken.

  2. Ga in de Editor groepsbeleid Management naar Computerconfiguratie.

  3. Selecteer Beheersjablonen. Vouw de structuur uit naar Windows-onderdelen>Microsoft Defender Antivirus>Security Intelligence Updates.

  4. Dubbelklik op Locatie van beveiligingsinformatie definiëren voor VDI-clients en stel de optie in op Ingeschakeld.

    Er wordt automatisch een veld weergegeven.

  5. Voer in \\<Windows File Server shared location\>\wdav-update (zie Downloaden en uitpakken voor hulp bij deze waarde).

  6. Selecteer OK en implementeer vervolgens het groepsbeleid-object op de VM's die u wilt testen.

PowerShell

  1. Gebruik op elk RDS- of VDI-apparaat de volgende cmdlet om de functie in te schakelen:

    Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update

  2. Push de update zoals u normaal gesproken op PowerShell gebaseerde configuratiebeleidsregels naar uw VM's pusht. (Zie de sectie Downloaden en uitpakken in dit artikel. Zoek naar de vermelding van de gedeelde locatie .)

De nieuwste updates downloaden en uitpakken

U kunt nu aan de slag met het downloaden en installeren van nieuwe updates. Hieronder hebben we een voorbeeld van een PowerShell-script voor u gemaakt. Dit script is de eenvoudigste manier om nieuwe updates te downloaden en voor te bereiden op uw VM's. Vervolgens moet u instellen dat het script op een bepaald moment wordt uitgevoerd op de beheercomputer met behulp van een geplande taak (of, als u bekend bent met het gebruik van PowerShell-scripts in Azure, Intune of SCCM, kunt u deze scripts ook gebruiken).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

U kunt instellen dat een geplande taak eenmaal per dag wordt uitgevoerd, zodat wanneer het pakket wordt gedownload en uitgepakt, de VM's de nieuwe update ontvangen. We raden u aan om één keer per dag te beginnen, maar u moet experimenteren met het verhogen of verlagen van de frequentie om de impact te begrijpen.

Beveiligingsinformatiepakketten worden doorgaans elke drie tot vier uur gepubliceerd. Het is niet raadzaam een frequentie in te stellen die korter is dan vier uur, omdat dit de netwerkoverhead op uw beheercomputer zonder voordeel verhoogt.

U kunt ook uw enkele server of machine instellen om de updates op te halen namens de VM's met een interval en deze in de bestandsshare te plaatsen voor gebruik. Deze configuratie is mogelijk wanneer de apparaten share- en leestoegang (NTFS-machtigingen) tot de share hebben, zodat ze de updates kunnen downloaden. Voer de volgende stappen uit om deze configuratie in te stellen:

  1. Maak een SMB/CIFS-bestandsshare.

  2. Gebruik het volgende voorbeeld om een bestandsshare te maken met de volgende sharemachtigingen.

    
PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Opmerking

    Er is een NTFS-machtiging toegevoegd voor geverifieerde gebruikers:Lezen:.

    In dit voorbeeld is \\WindowsFileServer.fqdn\mdatp$\wdav-updatede bestandsshare .

Een geplande taak instellen om het PowerShell-script uit te voeren

  1. Open op de beheercomputer het menu Start en typ Task Scheduler. Selecteer taakplanner in de resultaten en selecteer vervolgens Taak maken... in het zijvenster.

  2. Geef de naam op als Security intelligence unpacker.

  3. Selecteer op het tabblad Triggerde optie Nieuw...>Dagelijks en selecteer OK.

  4. Selecteer op het tabblad Actiesde optie Nieuw....

  5. Geef op PowerShell in het veld Programma/script .

  6. Typ in het veld -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1Argumenten toevoegen en selecteer OK.

  7. Configureer eventueel andere instellingen.

  8. Selecteer OK om de geplande taak op te slaan.

Als u de update handmatig wilt initiëren, klikt u met de rechtermuisknop op de taak en selecteert u uitvoeren.

Handmatig downloaden en uitpakken

Als u alles liever handmatig wilt doen, kunt u het volgende doen om het gedrag van het script te repliceren:

  1. Maak een nieuwe map in de systeemhoofdmap met de naam wdav_update om intelligence-updates op te slaan. Maak bijvoorbeeld de map c:\wdav_update.

  2. Maak een submap onder wdav_update met een GUID-naam, zoals {00000000-0000-0000-0000-000000000000}

    Hier volgt een voorbeeld: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Opmerking

    We stellen het script zo in dat de laatste 12 cijfers van de GUID het jaar, de maand, de dag en het tijdstip zijn waarop het bestand is gedownload, zodat er elke keer een nieuwe map wordt gemaakt. U kunt dit wijzigen zodat het bestand elke keer naar dezelfde map wordt gedownload.

  3. Download een beveiligingsinformatiepakket van https://www.microsoft.com/wdsi/definitions in de GUID-map. Het bestand moet de naam mpam-fe.exehebben.

  4. Open een opdrachtpromptvenster en navigeer naar de GUID-map die u hebt gemaakt. Gebruik de /X extractieopdracht om de bestanden te extraheren. Bijvoorbeeld mpam-fe.exe /X.

    Opmerking

    De VM's halen het bijgewerkte pakket op wanneer er een nieuwe GUID-map wordt gemaakt met een geëxtraheerd updatepakket of wanneer een bestaande map wordt bijgewerkt met een nieuw uitgepakt pakket.

Geplande scans willekeurig maken

Geplande scans worden uitgevoerd naast realtime-beveiliging en scannen.

De begintijd van de scan zelf is nog steeds gebaseerd op het geplande scanbeleid (ScheduleDay, ScheduleTime en ScheduleQuickScanTime). Randomisatie zorgt ervoor dat Microsoft Defender Antivirus een scan start op elke computer binnen een periode van vier uur vanaf de tijd die is ingesteld voor de geplande scan.

Zie Scans plannen voor andere configuratieopties die beschikbaar zijn voor geplande scans.

Snelle scans gebruiken

U kunt het type scan opgeven dat moet worden uitgevoerd tijdens een geplande scan. Snelle scans zijn de voorkeursbenadering, omdat ze zijn ontworpen om te zoeken op alle plaatsen waar malware zich moet bevinden om actief te zijn. In de volgende procedure wordt beschreven hoe u snelle scans instelt met behulp van groepsbeleid.

  1. Ga in uw groepsbeleid Editor naar Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirusscan>.

  2. Selecteer Geef het scantype op dat moet worden gebruikt voor een geplande scan en bewerk vervolgens de beleidsinstelling.

  3. Stel het beleid in op Ingeschakeld en selecteer onder Opties de optie Snelle scan.

  4. Kies OK.

  5. Implementeer uw groepsbeleidsobject zoals u dat gewoonlijk doet.

Meldingen voorkomen

Soms worden Microsoft Defender Antivirusmeldingen verzonden naar of blijven bestaan in meerdere sessies. Om verwarring bij gebruikers te voorkomen, kunt u de gebruikersinterface van Microsoft Defender Antivirus vergrendelen. In de volgende procedure wordt beschreven hoe u meldingen onderdrukt met behulp van groepsbeleid.

  1. Ga in uw groepsbeleid Editor naar Windows-onderdelen>Microsoft DefenderAntivirus-clientinterface>.

  2. Selecteer Alle meldingen onderdrukken en bewerk vervolgens de beleidsinstellingen.

  3. Stel het beleid in op Ingeschakeld en selecteer VERVOLGENS OK.

  4. Implementeer uw groepsbeleidsobject zoals u dat gewoonlijk doet.

Het onderdrukken van meldingen voorkomt dat meldingen van Microsoft Defender Antivirus worden weergegeven wanneer er scans worden uitgevoerd of herstelacties worden uitgevoerd. Uw beveiligingsteam ziet echter de resultaten van een scan als er een aanval wordt gedetecteerd en gestopt. Waarschuwingen, zoals een waarschuwing voor eerste toegang, worden gegenereerd en weergegeven in de Microsoft Defender portal.

Scans uitschakelen na een update

Als u een scan uitschakelt na een update, voorkomt u dat er een scan plaatsvindt na het ontvangen van een update. U kunt deze instelling toepassen bij het maken van de basisinstallatiekopieën als u ook een snelle scan hebt uitgevoerd. Op deze manier kunt u voorkomen dat de zojuist bijgewerkte VM opnieuw een scan uitvoert (omdat u deze al hebt gescand bij het maken van de basisinstallatiekopieën).

Belangrijk

Door scans na een update uit te voeren, zorgt u ervoor dat uw VM's worden beveiligd met de nieuwste updates voor beveiligingsinformatie. Als u deze optie uitschakelt, vermindert u het beveiligingsniveau van uw VM's en moet deze alleen worden gebruikt bij het maken of implementeren van de basisinstallatiekopieën.

  1. Ga in uw groepsbeleid Editor naar Windows-onderdelen>Microsoft Defender Antivirus>Security Intelligence Updates.

  2. Selecteer Scannen inschakelen na het bijwerken van beveiligingsinformatie en bewerk vervolgens de beleidsinstelling.

  3. Stel het beleid in op Uitgeschakeld.

  4. Kies OK.

  5. Implementeer uw groepsbeleidsobject zoals u dat gewoonlijk doet.

Dit beleid voorkomt dat er direct na een update een scan wordt uitgevoerd.

ScanOnlyIfIdle De optie uitschakelen

Gebruik de volgende cmdlet om een snelle of geplande scan te stoppen wanneer het apparaat inactief is als het zich in de passieve modus bevindt.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

U kunt ook de ScanOnlyIfIdle optie in Microsoft Defender Antivirus uitschakelen via configuratie via lokaal of domeingroepsbeleid. Deze instelling voorkomt aanzienlijke CPU-conflicten in high-densityomgevingen.

Zie De geplande scan alleen starten wanneer de computer is ingeschakeld, maar niet in gebruik is voor meer informatie.

Vm's scannen die offline zijn geweest

  1. Ga in uw groepsbeleid Editor naar Windows-onderdelen>Microsoft Defender Antivirusscan>.

  2. Selecteer Snelle inhaalscan inschakelen en bewerk vervolgens de beleidsinstelling.

  3. Stel het beleid in op Ingeschakeld.

  4. Selecteer OK.

  5. Implementeer uw groepsbeleid-object zoals u gewoonlijk doet.

Dit beleid dwingt een scan af als de VM twee of meer opeenvolgende geplande scans heeft gemist.

Modus voor hoofdloze gebruikersinterface inschakelen

  1. Ga in uw groepsbeleid Editor naar Windows-onderdelen>Microsoft DefenderAntivirus-clientinterface>.

  2. Selecteer Modus zonder hoofdgebruikersinterface inschakelen en bewerk het beleid.

  3. Stel het beleid in op Ingeschakeld.

  4. Selecteer OK.

  5. Implementeer uw groepsbeleid-object zoals u gewoonlijk doet.

Dit beleid verbergt de volledige Microsoft Defender Antivirus-gebruikersinterface voor eindgebruikers in uw organisatie.

De geplande taak Windows Defender Cache-onderhoud uitvoeren

Optimaliseer de geplande taak Windows Defender Cache-onderhoud voor niet-permanente en/of permanente VDI-omgevingen. Voer deze taak uit op de hoofdafbeelding voordat u deze verzegelt.

  1. Open de mmc van taakplanner (taskschd.msc).

  2. Vouw Task Scheduler Library>Microsoft>Windows>Defender uit en klik vervolgens met de rechtermuisknop op Onderhoud van Windows Defender-cache.

  3. Selecteer Uitvoeren en laat de geplande taak eindigen.

Uitsluitingen

Als u denkt dat u uitsluitingen moet toevoegen, raadpleegt u Uitsluitingen beheren voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus.

Zie ook

Als u op zoek bent naar informatie over Defender voor Eindpunt op niet-Windows-platforms, raadpleegt u de volgende bronnen:

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.