Integrar dispositivos VDI (infraestrutura de área de trabalho virtual) não persistentes no Microsoft Defender XDR

A VDI (infraestrutura de área de trabalho virtual) é um conceito de infraestrutura de TI que permite que os usuários finais acessem instâncias de áreas de trabalho virtuais corporativas de quase qualquer dispositivo (como seu computador pessoal, smartphone ou tablet), eliminando a necessidade de a organização fornecer aos usuários máquinas físicas. O uso de dispositivos VDI reduz o custo, pois os departamentos de TI não são mais responsáveis pelo gerenciamento, reparo e substituição de pontos de extremidade físicos. Os usuários autorizados podem acessar os mesmos servidores, arquivos, aplicativos e serviços da empresa de qualquer dispositivo aprovado por meio de um cliente ou navegador de área de trabalho seguro.

Como qualquer outro sistema em um ambiente de TI, eles também devem ter uma solução EDR (Detecção e Resposta de Ponto de Extremidade) e Antivírus para proteger contra ameaças e ataques avançados.

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Observação

VDI persistente – Integrar um computador VDI persistente em Microsoft Defender para Ponto de Extremidade é tratado da mesma maneira que você integraria um computador físico, como uma área de trabalho ou laptop. A política de grupo, Microsoft Configuration Manager e outros métodos podem ser usados para integrar um computador persistente. No portal Microsoft Defender, (https://security.microsoft.com) em integração, selecione seu método de integração preferido e siga as instruções para esse tipo. Para obter mais informações, consulte Integrando o cliente Windows.

Integrando dispositivos VDI (infraestrutura de área de trabalho virtual) não persistentes

O Defender para Ponto de Extremidade dá suporte à integração de sessão VDI não persistente.

Pode haver desafios associados ao integrar instâncias de VDI. Veja a seguir desafios típicos para este cenário:

  • Integração antecipada instantânea de uma sessão de curta duração, que deve ser integrada ao Defender para Ponto de Extremidade antes do provisionamento real.
  • Normalmente, o nome do dispositivo é reutilizado para novas sessões.

Em um ambiente VDI, as instâncias de VDI podem ter tempo de vida curto. Os dispositivos VDI podem aparecer no portal Microsoft Defender como entradas individuais para cada instância VDI ou várias entradas para cada dispositivo.

  • Entrada única para cada instância de VDI. Se a instância VDI já estava integrada a Microsoft Defender para Ponto de Extremidade e, em algum momento, excluída e recriada com o mesmo nome de host, um novo objeto que representa essa instância de VDI NÃO será criado no portal.

    Observação

    Nesse caso, o mesmo nome do dispositivo deve ser configurado quando a sessão é criada, por exemplo, usando um arquivo de resposta autônomo.

  • Várias entradas para cada dispositivo – uma para cada instância de VDI.

Importante

Se você estiver implantando VDIs não persistentes por meio da tecnologia de clonagem, verifique se as VMs de modelo interno não estão integradas ao Defender para Ponto de Extremidade. Essa recomendação é evitar que VMs clonadas sejam integradas com o mesmo senseGuid que as VMs de modelo, o que poderia impedir que as VMs aparecessem como novas entradas na lista Dispositivos.

As etapas a seguir orientam você sobre a integração de dispositivos VDI e as etapas de destaque para entradas individuais e múltiplas.

Aviso

Para ambientes em que há configurações de recursos baixas, o procedimento de inicialização do VDI pode retardar a integração do sensor defender para ponto de extremidade.

Etapas de integração

Observação

Windows Server 2016 e Windows Server 2012 R2 devem ser preparados aplicando primeiro o pacote de instalação usando as instruções em Servidores Windows integrados para que esse recurso funcione.

  1. Abra o pacote de configuração do VDI .zip arquivo (WindowsDefenderATPOnboardingPackage.zip) que você baixou do assistente de integração de serviço. Você também pode obter o pacote no portal do Microsoft Defender:

    1. No painel de navegação, selecione Configurações>Endpoints>Gerenciamento> de dispositivoIntegração.

    2. Selecione o sistema operacional.

    3. No campo Método de implantação , selecione Scripts de integração de VDI para pontos de extremidade não persistentes.

    4. Clique em Baixar pacote e salve o arquivo .zip.

  2. Copie os arquivos da pasta WindowsDefenderATPOnboardingPackage extraída do arquivo .zip na imagem dourada/primária no caminho C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    1. Se você estiver implementando várias entradas para cada dispositivo – uma para cada sessão, copie WindowsDefenderATPOnboardingScript.cmd.

    2. Se você estiver implementando uma única entrada para cada dispositivo, copie Onboard-NonPersistentMachine.ps1 e WindowsDefenderATPOnboardingScript.cmd.

    Observação

    Se você não vir a C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup pasta, ela poderá estar oculta. Você precisará escolher a opção Mostrar arquivos ocultos e pastas no Explorador de Arquivos.

  3. Abra uma janela editor de Política de Grupo local e navegue até aInicialização deScripts>> deConfiguração do Windowsde Configuração> do Computador.

    Observação

    Os Política de Grupo de domínio também podem ser usados para integrar dispositivos VDI não persistentes.

  4. Dependendo do método que você deseja implementar, siga as etapas apropriadas:

    • Para entrada única para cada dispositivo:

      Selecione a guia Scripts do PowerShell e selecione Adicionar (o Windows Explorer é aberto diretamente no caminho em que você copiou o script de integração anteriormente). Navegue até integrar o script Onboard-NonPersistentMachine.ps1do PowerShell. Não é necessário especificar o outro arquivo, pois ele é disparado automaticamente.

    • Para várias entradas para cada dispositivo:

      Selecione a guia Scripts e clique em Adicionar (Windows Explorer é aberto diretamente no caminho em que você copiou o script de integração anteriormente). Navegue até o script WindowsDefenderATPOnboardingScript.cmdde bash de integração .

  5. Teste sua solução:

    1. Crie um pool com um dispositivo.

    2. Faça logon no dispositivo.

    3. Faça logon do dispositivo.

    4. Faça logon no dispositivo com outro usuário.

    5. Dependendo do método que você deseja implementar, siga as etapas apropriadas:

      • Para entrada única para cada dispositivo: verifique apenas uma entrada no portal Microsoft Defender.
      • Para várias entradas para cada dispositivo: verifique várias entradas no portal Microsoft Defender.
  6. Clique na lista Dispositivos no painel Navegação.

  7. Use a função de pesquisa inserindo o nome do dispositivo e selecione Dispositivo como tipo de pesquisa.

Para SKUs de nível inferior (Windows Server 2008 R2)

Observação

Essas instruções para outras versões do servidor Windows também se aplicam se você estiver executando o Microsoft Defender para Ponto de Extremidade anterior para Windows Server 2016 e Windows Server 2012 R2 que exige o MMA. As instruções para migrar para a nova solução unificada estão em cenários de migração do servidor em Microsoft Defender para Ponto de Extremidade.

O registro a seguir é relevante somente quando o objetivo é alcançar uma "entrada única para cada dispositivo".

  1. Defina o valor do registro como:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
    "VDI"="NonPersistent"
    

    ou usando a linha de comando:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
    
  2. Siga o processo de integração do servidor.

Atualizando imagens de VDI (infraestrutura de área de trabalho virtual) (persistentes ou não persistentes)

Com a capacidade de implantar facilmente atualizações em VMs em execução em VDIs, encurtamos este guia para focar em como você pode obter atualizações em seus computadores de forma rápida e fácil. Você não precisa mais criar e selar imagens douradas periodicamente, pois as atualizações são expandidas para seus bits de componente no servidor host e, em seguida, baixadas diretamente para a VM quando ela é ativada.

Se você integrou a imagem primária do seu ambiente VDI (o serviço SENSE está em execução), você deve desmarcar e limpar alguns dados antes de colocar a imagem novamente em produção.

  1. Offboard do computador.

  2. Verifique se o sensor é interrompido executando o seguinte comando em uma janela CMD:

    sc query sense
    
  3. Execute os seguintes comandos em uma janela CMD::

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
    exit
    

Você está usando um terceiro para VDIs?

Se você estiver implantando VDIs não persistentes por meio de clonagem instantânea do VMware ou tecnologias semelhantes, verifique se as VMs de modelo interno e as VMs réplica não estão integradas ao Defender para Ponto de Extremidade. Se você integrar dispositivos usando o método de entrada única, clones instantâneos provisionados de VMs integradas poderão ter o mesmo senseGuid e isso pode impedir que uma nova entrada seja listada na exibição Inventário de Dispositivos (no portal Microsoft Defender, escolhaDispositivos>de Ativos).

Se a imagem primária, a VM do modelo ou a VM réplica estiverem integradas ao Defender para Ponto de Extremidade usando o método de entrada única, isso impedirá o Defender de criar entradas para novas VDIs não persistentes no portal Microsoft Defender.

Entre em contato com seus fornecedores de terceiros para obter mais assistência.

Depois de integrar dispositivos ao serviço, é importante aproveitar os recursos de proteção contra ameaças incluídos, habilitando-os com as seguintes configurações recomendadas.

Configuração de proteção de próxima geração

As seguintes configurações são recomendadas:

Serviço de Proteção de Nuvem

  • Ativar a proteção entregue na nuvem: Sim
  • Nível de proteção entregue na nuvem: Não configurado
  • Tempo limite estendido do Defender Cloud em segundos: 20

Exclusões

Proteção em tempo real

  • Ativar todas as configurações e definir para monitorar todos os arquivos

Remediação

  • Número de dias para manter o malware em quarentena: 30
  • Enviar consentimento de exemplos: enviar todos os exemplos automaticamente
  • Ação a ser tomada em aplicativos potencialmente indesejados: Habilitar
  • Ações para ameaças detectadas:
    • Ameaça baixa: Limpar
    • Ameaça moderada, alta ameaça, ameaça severa: quarentena

Examinar

  • Verificar arquivos arquivados: Sim
  • Use a baixa prioridade da CPU para verificações agendadas: não configurada
  • Desabilitar a verificação completa de catch-up: não configurado
  • Desabilitar a verificação rápida de catchup: não configurado
  • Limite de uso da CPU por verificação: 50
  • Verificar unidades de rede mapeadas durante a verificação completa: não configurada
  • Executar uma verificação rápida diária às 12:00
  • Tipo de verificação: não configurado
  • Dia da semana para executar a verificação agendada: não configurado
  • Hora do dia para executar uma verificação agendada: não configurada
  • Verifique se há atualizações de assinatura antes de executar a verificação: Sim

Atualizações

  • Insira com que frequência marcar para atualizações de inteligência de segurança: 8
  • Deixar outras configurações no estado padrão

Experiência do usuário

  • Permitir acesso do usuário ao aplicativo Microsoft Defender: não configurado

Habilitar a proteção contra adulteração

  • Habilitar a proteção contra adulteração para evitar que Microsoft Defender sejam desabilitados: Habilitar

Redução de superfície de ataque

  • Habilitar a proteção de rede: modo de teste
  • Exigir SmartScreen para Microsoft Edge: Sim
  • Bloquear o acesso mal-intencionado ao site: Sim
  • Bloquear o download de arquivo não verificado: Sim

Regras de redução de superfície de ataque

  • Configure todas as regras disponíveis para Auditoria.

Observação

Bloquear essas atividades pode interromper processos comerciais legítimos. A melhor abordagem é definir tudo para auditoria, identificar quais são seguros para ativar e habilitar essas configurações em pontos de extremidade que não têm detecções falsas positivas.

Dica

Você deseja aprender mais? Envolva-se com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Comunidade Tecnológica.