Konfigurowanie programu antywirusowego Microsoft Defender na komputerze zdalnym lub w środowisku infrastruktury pulpitu wirtualnego

  • Artykuł

Dotyczy:

Platformy

  • System Windows

Porada

Ten artykuł jest przeznaczony dla klientów korzystających tylko z funkcji programu antywirusowego Microsoft Defender. Jeśli masz Ochrona punktu końcowego w usłudze Microsoft Defender (w tym program antywirusowy Microsoft Defender wraz z dodatkowymi funkcjami ochrony urządzeń), pomiń ten artykuł i przejdź do artykułu Dołączanie nietrwałych urządzeń infrastruktury pulpitu wirtualnego (VDI) w programie Microsoft Defender XDR.

Program antywirusowy Microsoft Defender można używać w środowisku pulpitu zdalnego (RDS) lub nietrwałej infrastruktury pulpitu wirtualnego (VDI). Zgodnie ze wskazówkami w tym artykule można skonfigurować aktualizacje do pobierania bezpośrednio do środowisk usług pulpitu zdalnego lub VDI, gdy użytkownik się zaloguje.

W tym przewodniku opisano sposób konfigurowania programu antywirusowego Microsoft Defender na maszynach wirtualnych pod kątem optymalnej ochrony i wydajności, w tym sposobu:

Ważna

Mimo że interfejs VDI może być hostowany na Windows Server 2012 lub Windows Server 2016, maszyny wirtualne powinny działać Windows 10 w wersji 1607 co najmniej ze względu na zwiększone technologie ochrony i funkcje, które są niedostępne we wcześniejszych wersjach systemu Windows.

Konfigurowanie dedykowanego udziału plików VDI na potrzeby analizy zabezpieczeń

W Windows 10, wersja 1903, firma Microsoft wprowadziła udostępnioną funkcję analizy zabezpieczeń, która odciąża rozpakowywanie pobranych aktualizacji analizy zabezpieczeń na maszynie hosta. Ta metoda zmniejsza użycie zasobów procesora CPU, dysku i pamięci na poszczególnych maszynach. Udostępniona analiza zabezpieczeń działa teraz w Windows 10 w wersji 1703 lub nowszej. Tę funkcję można skonfigurować przy użyciu programu zasady grupy lub programu PowerShell, zgodnie z opisem w poniższej tabeli:

Metoda Procedura
Zasady grupy 1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.

2. W Redaktor zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera.

Wybierz pozycję Szablony administracyjne.

Rozwiń drzewo do składników> systemu Windows Microsoft Defender Aktualizacje analizy zabezpieczeń antywirusowych>.

3. Kliknij dwukrotnie pozycję Zdefiniuj lokalizację analizy zabezpieczeń dla klientów VDI, a następnie ustaw opcję Włączone. Automatycznie zostanie wyświetlone pole.

4. Wprowadź \\<sharedlocation\>\wdav-update (aby uzyskać pomoc dotyczącą tej wartości, zobacz Pobieranie i rozpakowywanie).

5. Wybierz przycisk OK.

Wdróż obiekt zasad grupy na maszynach wirtualnych, które chcesz przetestować.
PowerShell 1. Na każdym urządzeniu RDS lub VDI użyj następującego polecenia cmdlet, aby włączyć tę funkcję: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Wypchnij aktualizację, tak jak zwykle, wypychanie zasad konfiguracji opartych na programie PowerShell na maszyny wirtualne. (Zobacz sekcję Pobieranie i rozpakowywanie wpis lokalizacji> udostępnionej<).

Pobieranie i rozpakowywanie najnowszych aktualizacji

Teraz możesz rozpocząć pobieranie i instalowanie nowych aktualizacji. Poniżej utworzono przykładowy skrypt programu PowerShell. Ten skrypt jest najprostszym sposobem pobierania nowych aktualizacji i przygotowania ich do użycia maszyn wirtualnych. Następnie należy ustawić skrypt do uruchomienia w określonym czasie na maszynie zarządzania przy użyciu zaplanowanego zadania (lub, jeśli znasz używanie skryptów programu PowerShell na platformie Azure, Intune lub SCCM, możesz również użyć tych skryptów).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Zaplanowane zadanie można ustawić tak, aby było uruchamiane raz dziennie, tak aby po każdym pobraniu i rozpakowaniu pakietu maszyny wirtualne otrzymają nową aktualizację. Zalecamy rozpoczęcie od raz dziennie, ale należy eksperymentować z zwiększaniem lub zmniejszaniem częstotliwości, aby zrozumieć wpływ.

Pakiety analizy zabezpieczeń są zwykle publikowane raz na trzy do czterech godzin. Nie zaleca się ustawiania częstotliwości krótszej niż cztery godziny, ponieważ bez korzyści zwiększy to obciążenie sieci na komputerze zarządzania.

Możesz również skonfigurować pojedynczy serwer lub maszynę, aby pobierać aktualizacje w imieniu maszyn wirtualnych w odstępach czasu i umieszczać je w udziale plików do użycia. Ta konfiguracja jest możliwa, gdy urządzenia mają dostęp do udziału i odczytu (uprawnienia NTFS) do udziału, aby mogły pobrać aktualizacje. Aby skonfigurować tę konfigurację, wykonaj następujące kroki:

  1. Twórca udziału plików SMB/CIFS.

  2. Użyj poniższego przykładu, aby utworzyć udział plików z następującymi uprawnieniami udziału.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Uwaga

    Dodano uprawnienie NTFS dla użytkowników uwierzytelnionych:Odczyt:.

    W tym przykładzie udział plików to:

    \\fileserver.fqdn\mdatp$\wdav-update

Ustawianie zaplanowanego zadania w celu uruchomienia skryptu programu PowerShell

  1. Na maszynie zarządzania otwórz menu Start i wpisz Harmonogram zadań. Otwórz go i wybierz pozycję Twórca zadanie... na panelu bocznym.

  2. Wprowadź nazwę unpacker analizy zabezpieczeń. Przejdź do karty Wyzwalacz . Wybierz pozycję Nowy...>Codziennie i wybierz przycisk OK.

  3. Przejdź do karty Akcje . Wybierz pozycję Nowy... Wprowadź program PowerShell w polu Program/Skrypt . Wprowadź -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 wartość w polu Dodaj argumenty . Wybierz przycisk OK.

  4. Skonfiguruj wszelkie inne ustawienia zgodnie z potrzebami.

  5. Wybierz przycisk OK , aby zapisać zaplanowane zadanie.

Aktualizację można zainicjować ręcznie, klikając prawym przyciskiem myszy zadanie, a następnie wybierając pozycję Uruchom.

Ręczne pobieranie i rozpakowywanie

Jeśli wolisz zrobić wszystko ręcznie, oto, co należy zrobić, aby replikować zachowanie skryptu:

  1. Twórca nowy folder w katalogu głównym systemu o nazwie wdav_update do przechowywania aktualizacji analizy, na przykład utwórz folder c:\wdav_update.

  2. Twórca podfolderem w wdav_update o nazwie GUID, na przykład{00000000-0000-0000-0000-000000000000}

    Oto przykład: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Uwaga

    W skryptze ustawiliśmy go tak, aby ostatnie 12 cyfr identyfikatora GUID było rokiem, miesiącem, dniem i godziną pobrania pliku, tak aby za każdym razem był tworzony nowy folder. Można to zmienić, aby plik był pobierany do tego samego folderu za każdym razem.

  3. Pobierz pakiet analizy zabezpieczeń z pliku https://www.microsoft.com/wdsi/definitions do folderu GUID. Plik powinien mieć nazwę mpam-fe.exe.

  4. Otwórz okno wiersza polecenia cmd i przejdź do utworzonego folderu GUID. Użyj polecenia wyodrębniania /X , aby wyodrębnić pliki, na przykład mpam-fe.exe /X.

    Uwaga

    Maszyny wirtualne będą pobierać zaktualizowany pakiet za każdym razem, gdy zostanie utworzony nowy folder GUID z wyodrębnionym pakietem aktualizacji lub gdy istniejący folder zostanie zaktualizowany przy użyciu nowego wyodrębnionego pakietu.

Losowe zaplanowanych skanów

Zaplanowane skanowania są uruchamiane oprócz ochrony i skanowania w czasie rzeczywistym.

Czas rozpoczęcia skanowania jest nadal oparty na zasadach zaplanowanego skanowania (ScheduleDay, ScheduleTime i ScheduleQuickScanTime). Randomizacja spowoduje, że program antywirusowy Microsoft Defender rozpocznie skanowanie na każdej maszynie w ciągu czterech godzin od czasu ustawionego na zaplanowane skanowanie.

Zobacz Planowanie skanowania w celu wyszukania innych opcji konfiguracji dostępnych dla zaplanowanych skanów.

Używanie szybkich skanów

Możesz określić typ skanowania, który ma zostać wykonany podczas zaplanowanego skanowania. Szybkie skanowanie to preferowane podejście, ponieważ jest przeznaczone do wyszukiwania we wszystkich miejscach, w których złośliwe oprogramowanie musi znajdować się, aby być aktywnym. W poniższej procedurze opisano sposób konfigurowania szybkich skanów przy użyciu zasady grupy.

  1. W zasady grupy Redaktor przejdź do obszaru Szablony> administracyjneSkładniki> systemu Windows Microsoft Defender Skanowanie antywirusowe>.

  2. Wybierz pozycję Określ typ skanowania do użycia podczas zaplanowanego skanowania , a następnie zmodyfikuj ustawienie zasad.

  3. Ustaw zasady na Włączone, a następnie w obszarze Opcje wybierz pozycję Szybkie skanowanie.

  4. Wybierz przycisk OK.

  5. Wdróż obiekt zasady grupy tak jak zwykle.

Zapobieganie powiadomieniom

Czasami Microsoft Defender powiadomienia antywirusowe są wysyłane do wielu sesji lub utrwalane w wielu sesjach. Aby uniknąć nieporozumień użytkowników, możesz zablokować interfejs użytkownika programu antywirusowego Microsoft Defender. W poniższej procedurze opisano sposób pomijania powiadomień przy użyciu zasady grupy.

  1. W zasady grupy Redaktor przejdź do pozycji Składniki> systemu Windows Microsoft DefenderInterfejs klientaprogramu antywirusowego>.

  2. Wybierz pozycję Pomiń wszystkie powiadomienia , a następnie edytuj ustawienia zasad.

  3. Ustaw zasady na Włączone, a następnie wybierz przycisk OK.

  4. Wdróż obiekt zasady grupy tak jak zwykle.

Pomijanie powiadomień uniemożliwia wyświetlanie powiadomień z programu antywirusowego Microsoft Defender po zakończeniu skanowania lub wykonaniu akcji korygowania. Jednak zespół ds. operacji zabezpieczeń zobaczy wyniki skanowania, jeśli atak zostanie wykryty i zatrzymany. Alerty, takie jak alert dostępu początkowego, są generowane i będą wyświetlane w portalu Microsoft Defender.

Wyłączanie skanowania po aktualizacji

Wyłączenie skanowania po aktualizacji uniemożliwi skanowanie po otrzymaniu aktualizacji. To ustawienie można zastosować podczas tworzenia obrazu podstawowego, jeśli uruchomiono również szybkie skanowanie. W ten sposób można uniemożliwić nowo zaktualizowanej maszynie wirtualnej ponowne przeprowadzenie skanowania (ponieważ został on już przeskanowany podczas tworzenia obrazu podstawowego).

Ważna

Uruchamianie skanowania po aktualizacji pomoże zapewnić ochronę maszyn wirtualnych przy użyciu najnowszych aktualizacji analizy zabezpieczeń. Wyłączenie tej opcji spowoduje zmniejszenie poziomu ochrony maszyn wirtualnych i powinno być używane tylko podczas pierwszego tworzenia lub wdrażania obrazu podstawowego.

  1. W zasady grupy Redaktor przejdź do obszaru Składniki> systemu Windows Microsoft Defender Aktualizacje analizy zabezpieczeń programu antywirusowego>.

  2. Wybierz pozycję Włącz skanowanie po aktualizacji analizy zabezpieczeń , a następnie edytuj ustawienie zasad.

  3. Ustaw zasady na Wyłączone.

  4. Wybierz przycisk OK.

  5. Wdróż obiekt zasady grupy tak jak zwykle.

Te zasady uniemożliwiają uruchamianie skanowania natychmiast po aktualizacji.

Wyłącz opcję ScanOnlyIfIdle

Użyj następującego polecenia cmdlet, aby zatrzymać szybkie lub zaplanowane skanowanie za każdym razem, gdy urządzenie będzie bezczynne, jeśli jest w trybie pasywnym.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Możesz również wyłączyć opcję w programie ScanOnlyIfIdle antywirusowym Microsoft Defender przez konfigurację za pośrednictwem zasad lokalnych lub zasad grupy domeny. To ustawienie zapobiega znacznej rywalizacji o procesor CPU w środowiskach o wysokiej gęstości.

Aby uzyskać więcej informacji, zobacz Uruchamianie zaplanowanego skanowania tylko wtedy, gdy komputer jest włączony, ale nie jest używany.

Skanowanie maszyn wirtualnych, które były w trybie offline

  1. W zasady grupy Redaktor przejdź do pozycji Składniki> systemu Windows Microsoft Defender Skanowanie antywirusowe>.

  2. Wybierz pozycję Włącz szybkie skanowanie w trybie catch-up , a następnie edytuj ustawienie zasad.

  3. Ustaw zasady na Włączone.

  4. Wybierz przycisk OK.

  5. Wdróż obiekt zasady grupy tak jak zwykle.

Te zasady wymuszają skanowanie, jeśli maszyna wirtualna nie ma co najmniej dwóch kolejnych zaplanowanych skanów.

Włączanie trybu bezgłowego interfejsu użytkownika

  1. W zasady grupy Redaktor przejdź do pozycji Składniki> systemu Windows Microsoft DefenderInterfejs klientaprogramu antywirusowego>.

  2. Wybierz pozycję Włącz tryb interfejsu użytkownika bez użycia głowy i edytuj zasady.

  3. Ustaw zasady na Włączone.

  4. Wybierz przycisk OK.

  5. Wdróż obiekt zasady grupy tak jak zwykle.

Te zasady ukrywają cały interfejs użytkownika programu antywirusowego Microsoft Defender przed użytkownikami końcowymi w organizacji.

Wykluczenia

Jeśli uważasz, że musisz dodać wykluczenia, zobacz Manage exclusions for Ochrona punktu końcowego w usłudze Microsoft Defender and Microsoft Defender Antivirus (Zarządzanie wykluczeniami dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i programu antywirusowego Microsoft Defender).

Zobacz też

Jeśli szukasz informacji o usłudze Defender for Endpoint na platformach innych niż Windows, zobacz następujące zasoby:

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.