Niet-permanente VDI-apparaten (Virtual Desktop Infrastructure) onboarden in Microsoft Defender XDR

Virtual Desktop Infrastructure (VDI) is een it-infrastructuurconcept waarmee eindgebruikers vanaf vrijwel elk apparaat (zoals uw pc, smartphone of tablet) toegang hebben tot instanties van virtuele bedrijfscomputers, waardoor organisatie gebruikers geen fysieke machines meer hoeft te bieden. Het gebruik van VDI-apparaten verlaagt de kosten omdat IT-afdelingen niet langer verantwoordelijk zijn voor het beheren, repareren en vervangen van fysieke eindpunten. Geautoriseerde gebruikers hebben toegang tot dezelfde bedrijfsservers, bestanden, apps en services vanaf elk goedgekeurd apparaat via een beveiligde desktopclient of browser.

Net als elk ander systeem in een IT-omgeving moeten ook deze een EDR- en antivirusoplossing (Endpoint Detection and Response) hebben om bescherming te bieden tegen geavanceerde bedreigingen en aanvallen.

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR
• VDI-apparaten (Virtual Desktop Infrastructure)
• Windows 10, Windows 11, Windows Server 2019, Windows Server 2022, Windows Server 2008R2/2012R2/2016

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Opmerking

Permanente VDI's: het onboarden van een permanente VDI-machine in Microsoft Defender voor Eindpunt wordt op dezelfde manier verwerkt als het onboarden van een fysieke machine, zoals een desktop of laptop. Groepsbeleid, Microsoft Configuration Manager en andere methoden kunnen worden gebruikt om een permanente machine te onboarden. Selecteer in de Microsoft Defender-portal(https://security.microsoft.com) onder onboarding de gewenste onboardingmethode en volg de instructies voor dat type. Zie Windows-client onboarden voor meer informatie.

Onboarding van niet-permanente VDI-apparaten (Virtual Desktop Infrastructure)

Defender voor Eindpunt ondersteunt niet-permanente onboarding van VDI-sessies.

Er kunnen problemen zijn bij het onboarden van VDI-exemplaren. Hier volgen typische uitdagingen voor dit scenario:

• Onmiddellijke vroege onboarding van een sessie met een korte levensduur, die moet worden toegevoegd aan Defender voor Eindpunt voordat de daadwerkelijke inrichting wordt uitgevoerd.
• De apparaatnaam wordt meestal opnieuw gebruikt voor nieuwe sessies.

In een VDI-omgeving kunnen VDI-exemplaren een korte levensduur hebben. VDI-apparaten kunnen in de Microsoft Defender portal worden weergegeven als afzonderlijke vermeldingen voor elk VDI-exemplaar of als meerdere vermeldingen voor elk apparaat.

• Eén vermelding voor elk VDI-exemplaar. Als het VDI-exemplaar al is toegevoegd aan Microsoft Defender voor Eindpunt, op een bepaald moment is verwijderd en vervolgens opnieuw is gemaakt met dezelfde hostnaam, wordt er geen nieuw object gemaakt dat dit VDI-exemplaar vertegenwoordigt in de portal.

  Opmerking

  In dit geval moet dezelfde apparaatnaam worden geconfigureerd wanneer de sessie wordt gemaakt, bijvoorbeeld met behulp van een antwoordbestand zonder toezicht.

• Meerdere vermeldingen voor elk apparaat: één voor elk VDI-exemplaar.

Belangrijk

Als u niet-permanente VDI's implementeert via kloontechnologie, moet u ervoor zorgen dat uw interne sjabloon-VM's niet zijn onboarding naar Defender for Endpoint. Deze aanbeveling is om te voorkomen dat gekloonde VM's worden onboarden met dezelfde senseGuid als uw sjabloon-VM's, waardoor VM's mogelijk niet als nieuwe vermeldingen in de lijst Apparaten worden weergegeven.

In de volgende stappen wordt u begeleid bij het onboarden van VDI-apparaten en worden de stappen voor één en meerdere vermeldingen gemarkeerd.

Waarschuwing

Voor omgevingen met weinig resourceconfiguraties kan de VDI-opstartprocedure de onboarding van de Defender for Endpoint-sensor vertragen.

Onboardingstappen

Opmerking

Windows Server 2016 en Windows Server 2012 R2 moeten worden voorbereid door het installatiepakket eerst toe te passen met behulp van de instructies in Onboard Windows-servers om deze functie te laten werken.

1. Open het VDI-configuratiepakket .zip bestand (WindowsDefenderATPOnboardingPackage.zip) dat u hebt gedownload via de wizard voor onboarding van de service. U kunt het pakket ook ophalen via de Microsoft Defender-portal:

   1. Selecteer in het navigatiedeelvenster Instellingen>Eindpunten>Onboarding van apparaatbeheer>.

   2. Selecteer het besturingssysteem.

   3. Selecteer in het veld Implementatiemethodede optie VDI-onboardingscripts voor niet-permanente eindpunten.

   4. Klik op Pakket downloaden en sla het .zip-bestand op.

2. Kopieer de bestanden uit de map WindowsDefenderATPOnboardingPackage die is geëxtraheerd uit het bestand .zip naar de gouden/primaire afbeelding onder het pad C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

   1. Als u meerdere vermeldingen voor elk apparaat implementeert, één voor elke sessie, kopieert u WindowsDefenderATPOnboardingScript.cmd.

   2. Als u één vermelding voor elk apparaat implementeert, kopieert u zowel Onboard-NonPersistentMachine.ps1 als WindowsDefenderATPOnboardingScript.cmd.

   Opmerking

   Als u de C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup map niet ziet, is deze mogelijk verborgen. U moet de optie Verborgen bestanden en mappen weergeven kiezen in Bestandenverkenner.

3. Open een lokaal groepsbeleid-editorvenster en navigeer naar Computerconfiguratie>Windows-instellingen>Scripts>opstarten.

   Opmerking

   Domein groepsbeleid kan ook worden gebruikt voor het onboarden van niet-permanente VDI-apparaten.

4. Afhankelijk van de methode die u wilt implementeren, volgt u de juiste stappen:

   • Voor één vermelding voor elk apparaat:

     Selecteer het tabblad PowerShell-scripts en selecteer vervolgens Toevoegen (Windows Verkenner wordt rechtstreeks geopend in het pad waar u het onboardingscript eerder hebt gekopieerd). Navigeer naar onboarding van PowerShell-script Onboard-NonPersistentMachine.ps1. Het is niet nodig om het andere bestand op te geven, omdat het automatisch wordt geactiveerd.

   • Voor meerdere vermeldingen voor elk apparaat:

     Selecteer het tabblad Scripts en klik vervolgens op Toevoegen (Windows Verkenner wordt rechtstreeks geopend in het pad waar u het onboardingscript eerder hebt gekopieerd). Navigeer naar het bash-script WindowsDefenderATPOnboardingScript.cmdvoor onboarding.

5. Test uw oplossing:

   1. Maak een pool met één apparaat.

   2. Meld u aan bij het apparaat.

   3. Meld u af vanaf het apparaat.

   4. Meld u aan bij het apparaat met een andere gebruiker.

   5. Afhankelijk van de methode die u wilt implementeren, volgt u de juiste stappen:

      • Voor één vermelding voor elk apparaat: controleer slechts één vermelding in Microsoft Defender portal.
      • Voor meerdere vermeldingen voor elk apparaat: controleer meerdere vermeldingen in Microsoft Defender portal.

6. Klik op Lijst apparaten in het navigatiedeelvenster.

7. Gebruik de zoekfunctie door de apparaatnaam in te voeren en Apparaat als zoektype te selecteren.

Voor downlevel SKU's (Windows Server 2008 R2)

Opmerking

Deze instructies voor andere Windows-serverversies zijn ook van toepassing als u de vorige Microsoft Defender voor Eindpunt uitvoert voor Windows Server 2016 en Windows Server 2012 R2 waarvoor de MMA is vereist. Instructies voor het migreren naar de nieuwe geïntegreerde oplossing zijn te zien in Servermigratiescenario's in Microsoft Defender voor Eindpunt.

Het volgende register is alleen relevant als het doel is om één vermelding voor elk apparaat te bereiken.

1. Stel de registerwaarde in op:

   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
   "VDI"="NonPersistent"
   

   of met behulp van de opdrachtregel:

   reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
   

2. Volg het onboardingproces van de server.

Installatiekopieën van virtuele bureaubladinfrastructuur (VDI) bijwerken (permanent of niet-permanent)

Met de mogelijkheid om eenvoudig updates te implementeren op VM's die worden uitgevoerd in VDs, hebben we deze handleiding ingekort om ons te richten op hoe u snel en eenvoudig updates op uw machines kunt krijgen. U hoeft niet langer periodiek gouden installatiekopieën te maken en te verzegelen, omdat updates worden uitgebreid naar hun onderdeelbits op de hostserver en vervolgens rechtstreeks naar de VM worden gedownload wanneer deze is ingeschakeld.

Als u de primaire installatiekopieën van uw VDI-omgeving (SENSE-service wordt uitgevoerd) hebt onboardd, moet u enkele gegevens offboarden en wissen voordat u de installatiekopieën weer in productie neemt.

1. Offboard van de machine.

2. Zorg ervoor dat de sensor is gestopt door de volgende opdracht uit te voeren in een CMD-venster:

   sc query sense
   

3. Voer de volgende opdrachten uit in een CMD-venster:

   del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
   exit
   

Gebruikt u een derde partij voor VDss?

Als u niet-permanente VDI's implementeert via VMware Instant Clonening of vergelijkbare technologieën, moet u ervoor zorgen dat uw interne sjabloon-VM's en replica-VM's niet zijn onboarding naar Defender for Endpoint. Als u apparaten onboardt met behulp van de methode voor eenmalige invoer, kunnen directe klonen die zijn ingericht vanaf onboarding-VM's dezelfde senseGuid hebben en die kunnen voorkomen dat een nieuwe vermelding wordt weergegeven in de weergave Apparaatinventaris (kies>activaapparaten in de Microsoft Defender-portal).

Als de primaire installatiekopieën, sjabloon-VM's of replica-VM's met behulp van de methode voor één vermelding zijn toegevoegd aan Defender voor Eindpunt, wordt voorkomen dat Defender vermeldingen maakt voor nieuwe niet-permanente VFI's in de Microsoft Defender-portal.

Neem contact op met uw externe leveranciers voor verdere hulp.

Andere aanbevolen configuratie-instellingen

Na het onboarden van apparaten voor de service is het belangrijk om te profiteren van de meegeleverde mogelijkheden voor bedreigingsbeveiliging door ze in te schakelen met de volgende aanbevolen configuratie-instellingen.

Beveiligingsconfiguratie van de volgende generatie

De volgende configuratie-instellingen worden aanbevolen:

Cloud Protection Service

• Cloudbeveiliging inschakelen: Ja
• Beveiligingsniveau in de cloud: niet geconfigureerd
• Uitgebreide time-out van Defender Cloud in seconden: 20

Uitsluitingen

• Bekijk hier de aanbevelingen voor het uitsluiten van FXLogix-antivirusprogramma's: Vereisten voor FSLogix.

Realtime-beveiliging

• Alle instellingen inschakelen en instellen om alle bestanden te bewaken

Herstellen

• Aantal dagen om malware in quarantaine te houden: 30
• Toestemming voor voorbeelden verzenden: alle voorbeelden automatisch verzenden
• Actie voor het uitvoeren van mogelijk ongewenste apps: Inschakelen
• Acties voor gedetecteerde bedreigingen:
  • Lage bedreiging: Schoon
  • Gemiddelde bedreiging, hoge bedreiging, ernstige bedreiging: quarantaine

Scan

• Gearchiveerde bestanden scannen: Ja
• Lage CPU-prioriteit gebruiken voor geplande scans: niet geconfigureerd
• Volledige inhaalscan uitschakelen: niet geconfigureerd
• Snelle scan voor inhaalacties uitschakelen: niet geconfigureerd
• CPU-gebruikslimiet per scan: 50
• Toegewezen netwerkstations scannen tijdens volledige scan: niet geconfigureerd
• Dagelijkse snelle scan uitvoeren om: 12:00 uur
• Scantype: Niet geconfigureerd
• Dag van de week om geplande scan uit te voeren: niet geconfigureerd
• Tijdstip waarop een geplande scan moet worden uitgevoerd: niet geconfigureerd
• Controleren op handtekeningupdates voordat u een scan uitvoert: Ja

Updates

• Voer in hoe vaak u wilt controleren op updates voor beveiligingsinformatie: 8
• Andere instellingen op de standaardstatus laten staan

Gebruikerservaring

• Gebruikerstoegang tot Microsoft Defender-app toestaan: niet geconfigureerd

Manipulatiebeveiliging inschakelen

• Manipulatiebeveiliging inschakelen om te voorkomen dat Microsoft Defender wordt uitgeschakeld: Inschakelen

Kwetsbaarheid voor aanvallen verminderen

• Netwerkbeveiliging inschakelen: testmodus
• SmartScreen voor Microsoft Edge vereisen: Ja
• Toegang tot schadelijke sites blokkeren: Ja
• Het downloaden van niet-geverifieerde bestanden blokkeren: Ja

Regels voor het verminderen van kwetsbaarheid voor aanvallen

• Configureer alle beschikbare regels voor Controle.

Opmerking

Het blokkeren van deze activiteiten kan legitieme bedrijfsprocessen onderbreken. De beste aanpak is om alles in te stellen op controle, te bepalen welke veilig zijn om in te schakelen en vervolgens die instellingen in te schakelen op eindpunten die geen fout-positieve detecties hebben.

Verwante onderwerpen

• Windows-apparaten onboarden met behulp van groepsbeleid
• Windows-apparaten onboarden met Microsoft Configuration Manager
• Windows-apparaten onboarden met behulp van Mobile Device Management-hulpmiddelen
• Windows-apparaten onboarden met behulp van een lokaal script
• Problemen met Microsoft Defender voor Eindpunt onboarding oplossen

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.