Настройка антивирусной программы Microsoft Defender на удаленном рабочем столе или инфраструктуре виртуального рабочего стола
Область применения:
- Антивирусная программа в Microsoft Defender
- Defender для конечной точки (план 1)
- Защитник для конечной точки, план 2
Платформы
- Windows
Эта статья предназначена только для клиентов, которые используют Microsoft Defender возможности антивирусной программы. Если у вас есть Microsoft Defender для конечной точки (которая включает в себя антивирусную программу Microsoft Defender наряду с другими возможностями защиты устройств), также перейдите через подключение устройств инфраструктуры виртуальных рабочих столов (VDI) в Microsoft Defender XDR.
Антивирусная программа Microsoft Defender можно использовать в среде удаленного рабочего стола (RDS) или инфраструктуры виртуальных рабочих столов (VDI). Следуя инструкциям в этой статье, можно настроить скачивание обновлений непосредственно в среды RDS или VDI при входе пользователя.
В этом руководстве описано, как настроить антивирусную программу Microsoft Defender на виртуальных машинах для оптимальной защиты и производительности, в том числе:
- Настройка выделенной общей папки VDI для обновлений аналитики безопасности
- Рандомизация запланированных проверок
- Использование быстрых проверок
- Запрет уведомлений
- Отключение проверок после каждого обновления
- Сканирование устаревших компьютеров или компьютеров, которые некоторое время находились в автономном режиме
- Применение исключений
Важно!
Хотя VDI можно разместить на Windows Server 2012 или Windows Server 2016, виртуальные машины должны работать как минимум Windows 10 версии 1607 из-за расширения технологий и функций защиты, недоступных в более ранних версиях Windows.
Настройка выделенного файлового ресурса VDI для аналитики безопасности
В Windows 10 версии 1903 корпорация Майкрософт представила функцию общей аналитики безопасности, которая разгружает загрузку загруженных обновлений аналитики безопасности на хост-компьютер. Этот метод сокращает использование ресурсов ЦП, диска и памяти на отдельных компьютерах. Общая аналитика безопасности теперь работает на Windows 10 версии 1703 и более поздних. Эту возможность можно настроить с помощью групповая политика или PowerShell.
Групповая политика
На компьютере управления групповая политика откройте консоль управления групповая политика, щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите команду Изменить.
В Редактор управления групповая политика перейдите к разделу Конфигурация компьютера.
Выберите Административные шаблоны. Разверните дерево, чтобы открыть компоненты> Windows Microsoft Defender Обновления аналитики безопасности антивирусной программы>.
Дважды щелкните Определение расположения аналитики безопасности для клиентов VDI, а затем задайте для параметра Значение Включено.
Автоматически появляется поле.
Введите
\\<Windows File Server shared location\>\wdav-update
(для получения справки по этому значению см . раздел Скачивание и распаковка).Нажмите кнопку ОК, а затем разверните объект групповая политика на виртуальных машинах, которые требуется протестировать.
PowerShell
На каждом устройстве RDS или VDI используйте следующий командлет, чтобы включить эту функцию:
Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update
Отправьте обновление так же, как вы обычно отправляете политики конфигурации на основе PowerShell на виртуальные машины. (См . раздел Скачивание и распаковка этой статьи. Найдите запись общего расположения .)
Скачивание и распаковка последних обновлений
Теперь вы можете приступить к загрузке и установке новых обновлений. Ниже мы создали пример сценария PowerShell. Этот скрипт — самый простой способ скачать новые обновления и подготовить их для виртуальных машин. Затем следует настроить скрипт для выполнения в определенное время на компьютере управления с помощью запланированной задачи (или, если вы знакомы со сценариями PowerShell в Azure, Intune или SCCM, вы также можете использовать эти скрипты).
$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'
New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage
Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"
Вы можете настроить запланированную задачу для выполнения один раз в день, чтобы каждый раз, когда пакет скачан и распакован, виртуальные машины получали новое обновление. Мы рекомендуем начать с одного раза в день, но вы должны поэкспериментировать с увеличением или уменьшением частоты, чтобы понять влияние.
Пакеты аналитики безопасности обычно публикуются каждые три-четыре часа. Устанавливать частоту менее четырех часов не рекомендуется, так как это увеличивает сетевые издержки на вашем компьютере управления без каких-то преимуществ.
Вы также можете настроить отдельный сервер или компьютер для получения обновлений от имени виртуальных машин через интервал времени и поместить их в общую папку для использования. Такая конфигурация возможна, если устройства имеют доступ к общей папке и на чтение (разрешения NTFS) к общей папке, чтобы они могли получать обновления. Чтобы настроить эту конфигурацию, выполните следующие действия.
Создайте общую папку SMB/CIFS.
Используйте следующий пример, чтобы создать общую папку со следующими разрешениями.
PS c:\> Get-SmbShareAccess -Name mdatp$ Name ScopeName AccountName AccessControlType AccessRight ---- --------- ----------- ----------------- ----------- mdatp$ * Everyone Allow Read
Примечание.
Разрешение NTFS добавляется для пользователей, прошедших проверку подлинности:Read:.
В этом примере общая папка имеет значение
\\WindowsFileServer.fqdn\mdatp$\wdav-update
.
Задание запланированной задачи для выполнения скрипта PowerShell
На компьютере управления откройте меню Пуск и введите
Task Scheduler
. В результатах выберите Планировщик задач, а затем выберите Создать задачу... на боковой панели.Укажите имя как
Security intelligence unpacker
.На вкладке Триггер выберите Создать...>Ежедневно и нажмите кнопку ОК.
На вкладке Действия выберите Создать....
Укажите
PowerShell
в поле Программа или скрипт .В поле Добавить аргументы введите
-ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1
и нажмите кнопку ОК.Настройте другие параметры соответствующим образом.
Нажмите кнопку ОК , чтобы сохранить запланированную задачу.
Чтобы запустить обновление вручную, щелкните задачу правой кнопкой мыши и выберите команду Выполнить.
Скачивание и распаковка вручную
Если вы предпочитаете выполнять все вручную, выполните следующие действия, чтобы реплицировать поведение скрипта:
Создайте новую папку в корневом каталоге системы с именем
wdav_update
для хранения обновлений аналитики. Например, создайте папкуc:\wdav_update
.Создайте вложенную папку с
wdav_update
именем GUID, например{00000000-0000-0000-0000-000000000000}
Вот пример:
c:\wdav_update\{00000000-0000-0000-0000-000000000000}
Примечание.
Мы задали скрипт так, чтобы последние 12 цифр guid были годом, месяцем, днем и временем загрузки файла, чтобы каждый раз создавалась новая папка. Это можно изменить, чтобы файл каждый раз загружался в одну и ту же папку.
Скачайте пакет аналитики безопасности из https://www.microsoft.com/wdsi/definitions в папку GUID. Файл должен иметь имя
mpam-fe.exe
.Откройте окно командной строки и перейдите к созданной папке GUID.
/X
Используйте команду извлечения, чтобы извлечь файлы. Например,mpam-fe.exe /X
.Примечание.
Виртуальные машины будут собирать обновленный пакет всякий раз, когда создается новая папка GUID с извлеченным пакетом обновления или когда существующую папку обновляется новым извлеченным пакетом.
Рандомизация запланированных проверок
Запланированные проверки выполняются в дополнение к защите и сканированию в режиме реального времени.
Время начала самой проверки по-прежнему зависит от политики запланированного сканирования (ScheduleDay, ScheduleTime и ScheduleQuickScanTime). Рандомизация приводит к тому, что антивирусная программа Microsoft Defender запускает проверку на каждом компьютере в течение четырех часов с момента запланированной проверки.
Другие параметры конфигурации, доступные для запланированных проверок , см. в разделе Планирование проверок.
Использование быстрых проверок
Можно указать тип сканирования, которое должно выполняться во время запланированной проверки. Быстрые проверки являются предпочтительным подходом, так как они предназначены для поиска во всех местах, где вредоносные программы должны находиться, чтобы быть активными. В следующей процедуре описывается настройка быстрых проверок с помощью групповая политика.
В групповая политика Редактор перейдите в раздел Административные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная>проверка.
Выберите Укажите тип сканирования, который будет использоваться для запланированной проверки , а затем измените параметр политики.
Задайте для политики значение Включено, а затем в разделе Параметры выберите Быстрая проверка.
Нажмите ОК.
Разверните объект групповой политики, как обычно.
Запрет уведомлений
Иногда уведомления Microsoft Defender антивирусной программы отправляются в несколько сеансов или сохраняются в них. Чтобы избежать путаницы пользователей, можно заблокировать пользовательский интерфейс Microsoft Defender Антивирусная программа. В следующей процедуре описывается отключение уведомлений с помощью групповая политика.
В групповая политика Редактор перейдите к разделу Компоненты> Windows Microsoft DefenderИнтерфейс клиентаантивирусной программы>.
Выберите Отключить все уведомления и измените параметры политики.
Задайте для политики значение Включено, а затем нажмите кнопку ОК.
Разверните объект групповой политики, как обычно.
Подавление уведомлений предотвращает отображение уведомлений от Microsoft Defender антивирусной программы при сканировании или выполнении действий по исправлению. Однако команда по операциям безопасности видит результаты проверки, если обнаружена и остановлена атака. Оповещения, такие как начальное оповещение о доступе, создаются и отображаются на портале Microsoft Defender.
Отключение проверок после обновления
Отключение проверки после обновления предотвращает ее выполнение после получения обновления. Этот параметр можно применить при создании базового образа, если вы также выполнили быструю проверку. Таким образом, вы можете предотвратить повторное сканирование новой виртуальной машины (так как вы уже сканировали ее при создании базового образа).
Важно!
Выполнение проверок после обновления помогает обеспечить защиту виртуальных машин с помощью последних обновлений аналитики безопасности. Отключение этого параметра снижает уровень защиты виртуальных машин и его следует использовать только при первом создании или развертывании базового образа.
В групповая политика Редактор перейдите к разделу Компоненты> Windows Microsoft Defender Антивирусная>аналитика безопасности Обновления.
Выберите Включить проверку после обновления аналитики безопасности , а затем измените параметр политики.
Задайте для политики значение Отключено.
Нажмите ОК.
Разверните объект групповой политики, как обычно.
Эта политика предотвращает выполнение проверки сразу после обновления.
Отключить параметр ScanOnlyIfIdle
Используйте следующий командлет, чтобы остановить быструю или запланированную проверку при бездействии устройства, если оно находится в пассивном режиме.
Set-MpPreference -ScanOnlyIfIdleEnabled $false
Вы также можете отключить параметр ScanOnlyIfIdle
в Microsoft Defender Антивирусная программа с помощью локальной или доменной групповой политики. Этот параметр предотвращает значительное состязание за ЦП в средах с высокой плотностью.
Дополнительные сведения см. в статье Запуск запланированной проверки только в том случае, если компьютер включен, но не используется.
Проверка виртуальных машин, которые находились в автономном режиме
В групповая политика Редактор перейдите в раздел Компоненты> Windows Microsoft Defender Антивирусная>проверка.
Выберите Включить быструю проверку догоня, а затем измените параметр политики.
Задайте для политики значение Включено.
Нажмите OK.
Разверните объект групповая политика, как обычно.
Эта политика принудительно выполняет проверку, если виртуальная машина пропустила два или более последовательных запланированных проверок.
Включение режима безголового пользовательского интерфейса
В групповая политика Редактор перейдите к разделу Компоненты> Windows Microsoft DefenderИнтерфейс клиентаантивирусной программы>.
Выберите Включить режим безголового пользовательского интерфейса и измените политику.
Задайте для политики значение Включено.
Нажмите OK.
Разверните объект групповая политика, как обычно.
Эта политика скрывает весь пользовательский интерфейс Microsoft Defender антивирусной программы от конечных пользователей в вашей организации.
Запуск запланированной задачи "Обслуживание кэша Защитника Windows"
Оптимизируйте запланированную задачу "Обслуживание кэша Защитника Windows" для постоянных и (или) постоянных сред VDI. Перед запечатыванием выполните эту задачу на main образе.
Откройте mmc планировщика задач (
taskschd.msc
).Разверните раздел Библиотека> планировщика задачMicrosoft>Windows>Defender и щелкните правой кнопкой мыши обслуживание кэша Защитника Windows.
Нажмите кнопку Выполнить и оставьте запланированную задачу завершенной.
Исключения
Если вы считаете, что вам нужно добавить исключения, см. статью Управление исключениями для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender.
См. также
- Блог технического сообщества: Настройка антивирусной Microsoft Defender для компьютеров VDI, не являющихся постоянными
- Форумы TechNet о службах удаленных рабочих столов и VDI
- SignatureDownloadCustomTask: скрипт PowerShell
Если вам нужны сведения о Defender для конечной точки на платформах, отличных от Windows, ознакомьтесь со следующими ресурсами:
- Microsoft Defender для конечной точки на Mac
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.