Dołączanie nietrwałych urządzeń infrastruktury pulpitu wirtualnego w Microsoft Defender XDR

  • Artykuł

Infrastruktura pulpitu wirtualnego (VDI) to koncepcja infrastruktury IT, która umożliwia użytkownikom końcowym dostęp do wystąpień pulpitów wirtualnych przedsiębiorstwa z niemal każdego urządzenia (takiego jak komputer osobisty, smartfon lub tablet), eliminując konieczność zapewnienia użytkownikom maszyn fizycznych przez organizację. Korzystanie z urządzeń VDI zmniejsza koszty, ponieważ działy IT nie są już odpowiedzialne za zarządzanie, naprawianie i zastępowanie fizycznych punktów końcowych. Autoryzowani użytkownicy mogą uzyskiwać dostęp do tych samych firmowych serwerów, plików, aplikacji i usług z dowolnego zatwierdzonego urządzenia za pośrednictwem bezpiecznego klienta lub przeglądarki klasycznej.

Podobnie jak w przypadku każdego innego systemu w środowisku IT, te również powinny mieć rozwiązanie do wykrywania i reagowania na punkty końcowe (EDR) i oprogramowanie antywirusowe w celu ochrony przed zaawansowanymi zagrożeniami i atakami.

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Trwałe interfejsy VDI — dołączanie trwałej maszyny VDI do Ochrona punktu końcowego w usłudze Microsoft Defender jest obsługiwane w taki sam sposób, jak w przypadku dołączania maszyny fizycznej, takiej jak komputer stacjonarny lub laptop. Zasady grupy, Microsoft Configuration Manager i inne metody mogą służyć do dołączania maszyny trwałej. W portalu Microsoft Defender (https://security.microsoft.com) w obszarze dołączania wybierz preferowaną metodę dołączania i postępuj zgodnie z instrukcjami dla tego typu. Aby uzyskać więcej informacji, zobacz Dołączanie klienta systemu Windows.

Dołączanie nietrwałych urządzeń infrastruktury pulpitu wirtualnego (VDI)

Usługa Defender for Endpoint obsługuje dołączanie nietrwałej sesji VDI.

Podczas dołączania wystąpień VDI mogą wystąpić problemy. Poniżej przedstawiono typowe wyzwania dla tego scenariusza:

  • Natychmiastowe wczesne dołączanie krótkotrwałej sesji, która musi zostać dołączona do usługi Defender for Endpoint przed rzeczywistą aprowizowaniem.
  • Nazwa urządzenia jest zwykle ponownie używana dla nowych sesji.

W środowisku VDI wystąpienia VDI mogą mieć krótki okres życia. Urządzenia VDI mogą być wyświetlane w portalu Microsoft Defender jako pojedyncze wpisy dla każdego wystąpienia VDI lub wiele wpisów dla każdego urządzenia.

  • Pojedynczy wpis dla każdego wystąpienia VDI. Jeśli wystąpienie VDI zostało już dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender, a w pewnym momencie usunięte, a następnie ponownie utworzone z tą samą nazwą hosta, nowy obiekt reprezentujący to wystąpienie VDI nie zostanie utworzony w portalu.

    Uwaga

    W takim przypadku podczas tworzenia sesji należy skonfigurować tę samą nazwę urządzenia, na przykład przy użyciu nienadzorowanego pliku odpowiedzi.

  • Wiele wpisów dla każdego urządzenia — po jednym dla każdego wystąpienia VDI.

Ważna

Jeśli wdrażasz nietrwałe identyfikatory VDI za pomocą technologii klonowania, upewnij się, że maszyny wirtualne szablonu wewnętrznego nie są dołączone do usługi Defender for Endpoint. Ta rekomendacja ma na celu uniknięcie dołączania sklonowanych maszyn wirtualnych z tym samym senseGuid co maszyny wirtualne szablonu, co może uniemożliwić wyświetlanie maszyn wirtualnych jako nowych wpisów na liście Urządzenia.

Poniższe kroki przeprowadzą Cię przez proces dołączania urządzeń VDI i wyróżniania kroków dla pojedynczych i wielu wpisów.

Ostrzeżenie

W środowiskach, w których konfiguracje zasobów są niskie, procedura rozruchu interfejsu VDI może spowolnić dołączanie czujnika usługi Defender for Endpoint.

Kroki dołączania

Uwaga

Windows Server 2016 i Windows Server 2012 R2 należy przygotować, stosując najpierw pakiet instalacyjny, korzystając z instrukcji zawartych w temacie Dołączanie serwerów z systemem Windows, aby ta funkcja działała.

  1. Otwórz pakiet konfiguracji interfejsu VDI .zip plik (WindowsDefenderATPOnboardingPackage.zip), który został pobrany z kreatora dołączania usługi. Pakiet można również pobrać z portalu Microsoft Defender:

    1. W okienku nawigacji wybierz pozycję Ustawienia>Punkty końcowe>Dołączanie do zarządzania urządzeniami>.

    2. Wybierz system operacyjny.

    3. W polu Metoda wdrażania wybierz pozycję VDI onboarding scripts for non-persistent endpoints (Skrypty dołączania interfejsu VDI dla nietrwałych punktów końcowych).

    4. Kliknij pozycję Pobierz pakiet i zapisz plik .zip.

  2. Skopiuj pliki z folderu WindowsDefenderATPOnboardingPackage wyodrębnionego z pliku .zip do obrazu golden/primary w ścieżce C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    1. Jeśli implementujesz wiele wpisów dla każdego urządzenia — po jednym dla każdej sesji, skopiuj WindowsDefenderATPOnboardingScript.cmd.

    2. Jeśli implementujesz pojedynczy wpis dla każdego urządzenia, skopiuj zarówno Onboard-NonPersistentMachine.ps1, jak i WindowsDefenderATPOnboardingScript.cmd.

    Uwaga

    Jeśli nie widzisz folderu C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , może on być ukryty. Musisz wybrać opcję Pokaż ukryte pliki i foldery z Eksplorator plików.

  3. Otwórz okno zasady grupy Redaktor lokalnego i przejdź do pozycjiKonfiguracja>komputeraUruchamianie skryptów ustawień>>systemu Windows.

    Uwaga

    Zasady grupy domeny mogą być również używane do dołączania nietrwałych urządzeń VDI.

  4. W zależności od metody, którą chcesz zaimplementować, wykonaj odpowiednie kroki:

    • Dla pojedynczego wpisu dla każdego urządzenia:

      Wybierz kartę Skrypty programu PowerShell , a następnie wybierz pozycję Dodaj (Eksplorator Windows otwiera się bezpośrednio w ścieżce, w której wcześniej skopiowano skrypt dołączania). Przejdź do dołączania skryptu Onboard-NonPersistentMachine.ps1programu PowerShell. Nie ma potrzeby określania innego pliku, ponieważ jest on wyzwalany automatycznie.

    • W przypadku wielu wpisów dla każdego urządzenia:

      Wybierz kartę Skrypty , a następnie kliknij pozycję Dodaj (Eksplorator Windows otwiera się bezpośrednio w ścieżce, w której wcześniej skopiowano skrypt dołączania). Przejdź do skryptu WindowsDefenderATPOnboardingScript.cmdpowłoki bash dołączania.

  5. Przetestuj rozwiązanie:

    1. Twórca pulę z jednym urządzeniem.

    2. Zaloguj się na urządzeniu.

    3. Wyloguj się z urządzenia.

    4. Zaloguj się na urządzeniu przy użyciu innego użytkownika.

    5. W zależności od metody, którą chcesz zaimplementować, wykonaj odpowiednie kroki:

      • Dla pojedynczego wpisu dla każdego urządzenia: sprawdź tylko jeden wpis w portalu Microsoft Defender.
      • Dla wielu wpisów dla każdego urządzenia: sprawdź wiele wpisów w portalu Microsoft Defender.

  6. Kliknij listę Urządzenia w okienku Nawigacji.

  7. Użyj funkcji wyszukiwania, wprowadzając nazwę urządzenia i wybierając pozycję Urządzenie jako typ wyszukiwania.

W przypadku jednostek SKU niskiego poziomu (Windows Server 2008 R2)

Uwaga

Te instrukcje dotyczące innych wersji systemu Windows Server mają również zastosowanie, jeśli używasz poprzedniego Ochrona punktu końcowego w usłudze Microsoft Defender dla Windows Server 2016 i Windows Server 2012 R2, które wymagają mma. Instrukcje migracji do nowego ujednoliconego rozwiązania znajdują się w scenariuszach migracji serwera w Ochrona punktu końcowego w usłudze Microsoft Defender.

Poniższy rejestr ma zastosowanie tylko wtedy, gdy celem jest osiągnięcie "pojedynczego wpisu dla każdego urządzenia".

  1. Ustaw wartość rejestru na:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    lub przy użyciu wiersza polecenia:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Postępuj zgodnie z procesem dołączania serwera.

Aktualizowanie obrazów infrastruktury pulpitu wirtualnego (VDI) (trwałych lub nietrwałych)

Dzięki możliwości łatwego wdrażania aktualizacji na maszynach wirtualnych działających w interfejsach VDI skróciliśmy ten przewodnik, aby skupić się na tym, jak można szybko i łatwo uzyskiwać aktualizacje na maszynach. Nie trzeba już okresowo tworzyć i uszczelniać złotych obrazów, ponieważ aktualizacje są rozszerzane na ich bity składników na serwerze hosta, a następnie pobierane bezpośrednio na maszynę wirtualną po jej włączeniu.

Jeśli dodasz podstawowy obraz środowiska VDI (usługa SENSE jest uruchomiona), musisz odłączyć i wyczyścić niektóre dane przed wprowadzeniem obrazu z powrotem do środowiska produkcyjnego.

  1. Odłącz maszynę.

  2. Upewnij się, że czujnik został zatrzymany, uruchamiając następujące polecenie w oknie cmd:

    sc query sense

  3. Uruchom następujące polecenia w oknie cmd::

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Czy używasz innej firmy dla interfejsów VDI?

Jeśli wdrażasz nietrwałe interfejsy VDI za pomocą natychmiastowego klonowania VMware lub podobnych technologii, upewnij się, że wewnętrzne maszyny wirtualne szablonu i repliki maszyn wirtualnych nie są dołączane do usługi Defender for Endpoint. Jeśli dołączasz urządzenia przy użyciu metody pojedynczego wpisu, klony błyskawiczne aprowizowane z dołączonych maszyn wirtualnych mogą mieć ten sam sensGuid, co może zatrzymać wyświetlanie nowego wpisu w widoku Spis urządzeń (w portalu Microsoft Defender wybierz pozycję Urządzenia zasobów>).

Jeśli obraz podstawowy, maszyna wirtualna szablonu lub replika maszyny wirtualnej zostaną dołączone do usługi Defender for Endpoint przy użyciu metody pojedynczego wpisu, uniemożliwi to usłudze Defender tworzenie wpisów dla nowych nietrwałych identyfikatorów VDI w portalu Microsoft Defender.

Skontaktuj się z innymi dostawcami, aby uzyskać dalszą pomoc.

Po dołączeniu urządzeń do usługi ważne jest, aby skorzystać z dołączonych możliwości ochrony przed zagrożeniami, włączając je przy użyciu następujących zalecanych ustawień konfiguracji.

Konfiguracja ochrony następnej generacji

Zalecane są następujące ustawienia konfiguracji:

Usługa Cloud Protection

  • Włącz ochronę dostarczaną przez chmurę: Tak
  • Poziom ochrony dostarczanej w chmurze: Nie skonfigurowano
  • Rozszerzony limit czasu usługi Defender Cloud w sekundach: 20

Wykluczenia

Ochrona w czasie rzeczywistym

  • Włącz wszystkie ustawienia i ustaw opcję monitorowania wszystkich plików

Korygowania

  • Liczba dni przechowywania złośliwego oprogramowania w kwarantannie: 30
  • Zgoda na przesyłanie przykładów: automatycznie wysyłaj wszystkie przykłady
  • Akcja do wykonania w potencjalnie niechcianych aplikacjach: Włącz
  • Akcje dotyczące wykrytych zagrożeń:
    • Niskie zagrożenie: czyste
    • Umiarkowane zagrożenie, wysokie zagrożenie, poważne zagrożenie: kwarantanna

Skanowania

  • Skanuj zarchiwizowane pliki: Tak
  • Używanie niskiego priorytetu procesora CPU w przypadku zaplanowanych skanów: Nie skonfigurowano
  • Wyłącz pełne skanowanie catch-up: Nie skonfigurowano
  • Wyłącz szybkie skanowanie catchup: Nie skonfigurowano
  • Limit użycia procesora CPU na skanowanie: 50
  • Skanuj zamapowane dyski sieciowe podczas pełnego skanowania: Nie skonfigurowano
  • Uruchamianie codziennego szybkiego skanowania o godzinie 12:00
  • Typ skanowania: Nie skonfigurowano
  • Dzień tygodnia do uruchomienia zaplanowanego skanowania: Nie skonfigurowano
  • Godzina uruchomienia zaplanowanego skanowania: nie skonfigurowano
  • Sprawdź aktualizacje podpisu przed uruchomieniem skanowania: Tak

Aktualizacje

  • Wprowadź częstotliwość sprawdzania dostępności aktualizacji analizy zabezpieczeń: 8
  • Pozostaw inne ustawienia w stanie domyślnym

Środowisko użytkownika

  • Zezwalaj użytkownikowi na dostęp do aplikacji Microsoft Defender: Nie skonfigurowano

Włączanie ochrony przed naruszeniami

  • Włącz ochronę przed naruszeniami, aby zapobiec wyłączeniu Microsoft Defender: Włącz

Zmniejszanie obszaru podatnego na ataki

  • Włączanie ochrony sieci: tryb testowy
  • Wymagaj filtru SmartScreen dla przeglądarki Microsoft Edge: Tak
  • Blokuj dostęp do złośliwej witryny: Tak
  • Blokuj pobieranie niezweryfikowanych plików: Tak

Reguły zmniejszania obszaru podatnego na ataki

  • Skonfiguruj wszystkie dostępne reguły na wartość Inspekcja.

Uwaga

Zablokowanie tych działań może przerwać uzasadnione procesy biznesowe. Najlepszym podejściem jest ustawienie wszystkich elementów do inspekcji, określenie, które z nich można bezpiecznie włączyć, a następnie włączenie tych ustawień w punktach końcowych, które nie mają wykrywania fałszywie dodatniego.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.