Подключение устройств инфраструктуры виртуальных рабочих столов (VDI) в Microsoft Defender XDR

  • Статья

Инфраструктура виртуальных рабочих столов (VDI) — это концепция ИТ-инфраструктуры, которая позволяет конечным пользователям получать доступ к экземплярам корпоративных виртуальных рабочих столов практически с любого устройства (например, с личного компьютера, смартфона или планшета), что устраняет необходимость в организации предоставлять пользователям физические компьютеры. Использование устройств VDI снижает затраты, так как ИТ-отделы больше не отвечают за управление, ремонт и замену физических конечных точек. Авторизованные пользователи могут получать доступ к тем же корпоративным серверам, файлам, приложениям и службам с любого утвержденного устройства через защищенный классический клиент или браузер.

Как и любая другая система в ИТ-среде, они также должны иметь решение для обнаружения и реагирования на конечные точки (EDR) и антивирусную программу для защиты от сложных угроз и атак.

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Постоянный VDI . Подключение постоянного компьютера VDI к Microsoft Defender для конечной точки обрабатывается так же, как и на физическом компьютере, например на настольном компьютере или ноутбуке. Для подключения постоянного компьютера можно использовать групповую политику, Microsoft Configuration Manager и другие методы. На портале Microsoft Defender (https://security.microsoft.com) в разделе подключение выберите предпочтительный метод подключения и следуйте инструкциям для этого типа. Дополнительные сведения см. в разделе Подключение клиента Windows.

Подключение устройств инфраструктуры виртуальных рабочих столов (VDI)

Defender для конечной точки поддерживает подключение сеансов VDI, не сохраняющихся.

При подключении экземпляров VDI могут возникнуть проблемы. Ниже приведены типичные проблемы для этого сценария.

  • Мгновенное раннее подключение короткого сеанса, который должен быть подключен к Defender для конечной точки до фактической подготовки.
  • Имя устройства обычно повторно используется для новых сеансов.

В среде VDI экземпляры VDI могут иметь короткий срок жизни. Устройства VDI могут отображаться на портале Microsoft Defender в виде отдельных записей для каждого экземпляра VDI или нескольких записей для каждого устройства.

  • Одна запись для каждого экземпляра VDI. Если экземпляр VDI уже был подключен к Microsoft Defender для конечной точки, а в какой-то момент удален, а затем повторно создан с тем же именем узла, новый объект, представляющий этот экземпляр VDI, не будет создан на портале.

    Примечание.

    В этом случае при создании сеанса необходимо настроить одно и то же имя устройства, например с помощью автоматического файла ответов.

  • Несколько записей для каждого устройства — по одной для каждого экземпляра VDI.

Важно!

Если вы развертываете непостояные виртуальные идентификаторы с помощью технологии клонирования, убедитесь, что виртуальные машины внутреннего шаблона не подключены к Defender для конечной точки. Эта рекомендация заключается в том, чтобы избежать подключения клонированных виртуальных машин с тем же senseGuid, что и виртуальные машины шаблона, что может предотвратить отображение виртуальных машин в виде новых записей в списке устройств.

Ниже приведены инструкции по подключению устройств VDI и выделены шаги для одной и нескольких записей.

Предупреждение

Для сред с низким уровнем ресурсов процедура загрузки VDI может замедлить подключение датчика Defender для конечной точки.

Шаги подключения

Примечание.

Windows Server 2016 и Windows Server 2012 R2 необходимо подготовить, сначала применив пакет установки с помощью инструкций в разделе Подключение серверов Windows, чтобы эта функция работала.

  1. Откройте пакет конфигурации VDI .zip файл (WindowsDefenderATPOnboardingPackage.zip), скачанный из мастера подключения служб. Пакет также можно получить на портале Microsoft Defender:

    1. В области навигации выберите Параметры Конечные>>точкиПодключениеуправления устройствами>.

    2. Выберите операционную систему.

    3. В поле Метод развертывания выберите Скрипты подключения VDI для непрекращающихся конечных точек.

    4. Щелкните Скачать пакет и сохраните файл .zip.

  2. Скопируйте файлы из папки WindowsDefenderATPOnboardingPackage, извлеченной из файла .zip, в золотой или основной образ по пути C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    1. Если вы реализуете несколько записей для каждого устройства — по одной для каждого сеанса, скопируйте WindowsDefenderATPOnboardingScript.cmd.

    2. Если вы реализуете одну запись для каждого устройства, скопируйте как Onboard-NonPersistentMachine.ps1, так и WindowsDefenderATPOnboardingScript.cmd.

    Примечание.

    Если папка не отображается, она может быть скрыта C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup . Вам потребуется выбрать параметр Показать скрытые файлы и папки из проводник.

  3. Откройте окно редактора локальной групповая политика и перейдитев раздел Конфигурация > компьютераПараметры> WindowsСкрипты>запуска.

    Примечание.

    Групповая политика домена также можно использовать для подключения устройств VDI, не являющихся постоянными.

  4. В зависимости от метода, который вы хотите реализовать, выполните соответствующие действия.

    • Для одной записи для каждого устройства:

      Перейдите на вкладку Скрипты PowerShell, а затем выберите Добавить (Windows Обозреватель открывается непосредственно в пути, куда вы скопировали скрипт подключения ранее). Перейдите к подключению скрипта Onboard-NonPersistentMachine.ps1PowerShell . Нет необходимости указывать другой файл, так как он активируется автоматически.

    • Для нескольких записей для каждого устройства:

      Перейдите на вкладку Скрипты и нажмите кнопку Добавить (windows Обозреватель открывается непосредственно в пути, по которому вы ранее скопировали скрипт подключения). Перейдите к скрипту WindowsDefenderATPOnboardingScript.cmdподключения bash.

  5. Протестируйте решение:

    1. Создайте пул с одним устройством.

    2. Войдите на устройство.

    3. Выйдите из устройства.

    4. Войдите на устройство с другим пользователем.

    5. В зависимости от метода, который вы хотите реализовать, выполните соответствующие действия.

      • Для одной записи для каждого устройства: проверьте только одну запись на портале Microsoft Defender.
      • Для нескольких записей для каждого устройства: проверьте несколько записей на портале Microsoft Defender.

  6. В области навигации щелкните Список устройств .

  7. Используйте функцию поиска, введя имя устройства и выберите Устройство в качестве типа поиска.

Для номеров SKU нижнего уровня (Windows Server 2008 R2)

Примечание.

Эти инструкции для других версий Windows Server также применяются, если вы используете предыдущую Microsoft Defender для конечной точки для Windows Server 2016 и Windows Server 2012 R2, для которых требуется MMA. Инструкции по переходу на новое унифицированное решение см. в статье Сценарии миграции сервера в Microsoft Defender для конечной точки.

Следующий реестр является актуальным только в том случае, если целью является достижение "одной записи для каждого устройства".

  1. Задайте для параметра реестра значение:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    или с помощью командной строки:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Следуйте инструкциям по подключению сервера.

Обновление образов инфраструктуры виртуальных рабочих столов (VDI) (постоянных или непостояных)

Благодаря возможности легко развертывать обновления на виртуальных машинах, работающих в виртуальных дисках, мы сократили это руководство, чтобы сосредоточиться на том, как можно быстро и легко получать обновления на своих компьютерах. Вам больше не нужно создавать и запечатывать золотые образы на периодической основе, так как обновления развертываются в их компонентах на сервере узла, а затем загружаются непосредственно на виртуальную машину, когда она включена.

Если вы включили основной образ среды VDI (служба SENSE запущена), необходимо отключить и очистить некоторые данные, прежде чем возвращать образ в рабочую среду.

  1. Отключение компьютера.

  2. Убедитесь, что датчик остановлен, выполнив следующую команду в окне CMD:

    sc query sense

  3. Выполните следующие команды в окне CMD:

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Используете ли вы стороннюю сторону для виртуальных идентификаторов?

Если вы развертываете непостояные виртуальные идентификаторы с помощью мгновенного клонирования VMware или аналогичных технологий, убедитесь, что внутренние виртуальные машины шаблона и реплика виртуальные машины не подключены к Defender для конечной точки. При подключении устройств с помощью метода единой записи мгновенные клоны, подготовленные из подключенных виртуальных машин, могут иметь тот же senseGuid, и это может остановить перечисление новой записи в представлении Инвентаризация устройств (на портале Microsoft Defender выберите Активы>устройства).

Если основной образ, шаблон виртуальной машины или реплика виртуальной машины подключены к Defender для конечной точки с помощью метода единой записи, defender не сможет создавать записи для новых непостояемых виртуальных идентификаторов на портале Microsoft Defender.

Обратитесь за помощью к сторонним поставщикам.

После подключения устройств к службе важно воспользоваться включенными возможностями защиты от угроз, включив их со следующими рекомендуемыми параметрами конфигурации.

Конфигурация защиты следующего поколения

Рекомендуется использовать следующие параметры конфигурации:

Облачная служба защиты

  • Включить облачную защиту: да
  • Уровень облачной защиты: не настроено
  • Расширенное время ожидания Defender Cloud в секундах: 20

Исключения

Защита в режиме реального времени

  • Включение всех параметров и настройка для отслеживания всех файлов

Исправления

  • Количество дней для хранения вредоносных программ в карантине: 30
  • Согласие на отправку примеров: автоматическая отправка всех примеров
  • Действия с потенциально нежелательными приложениями: включить
  • Действия для обнаруженных угроз:
    • Низкая угроза: очистка
    • Умеренная угроза, высокая угроза, серьезная угроза: карантин

Проверка

  • Сканирование архивных файлов: Да
  • Использование низкого приоритета ЦП для запланированных проверок: не настроено
  • Отключить догоняющий полный просмотр: не настроено
  • Отключить быструю проверку при перехвате: не настроено
  • Ограничение использования ЦП на сканирование: 50
  • Сканирование сопоставленных сетевых дисков во время полной проверки: не настроено
  • Выполнение ежедневной быстрой проверки в: 12:00
  • Тип сканирования: не настроено
  • День недели для выполнения запланированной проверки: не настроен
  • Время суток для выполнения запланированной проверки: не настроено
  • Проверьте наличие обновлений подписи перед запуском сканирования: Да

Обновления

  • Введите частоту проверка обновлений аналитики безопасности: 8
  • Оставьте другие параметры в состоянии по умолчанию

Взаимодействие с пользователем

  • Разрешение доступа пользователей к приложению Microsoft Defender: не настроено

Включение защиты от незаконного изменения

  • Включить защиту от незаконного изменения, чтобы предотвратить отключение Microsoft Defender: включить

Сокращение направлений атак

  • Включение защиты сети: тестовый режим
  • Требовать SmartScreen для Microsoft Edge: Да
  • Блокировка доступа к вредоносному сайту: Да
  • Блокировать непроверенное скачивание файла: Да

Правила сокращения направлений атак

  • Настройте все доступные правила для параметра Аудит.

Примечание.

Блокировка этих действий может привести к прерыванию допустимых бизнес-процессов. Лучший подход — настроить все для аудита, определить, какие из них безопасно включить, а затем включить эти параметры на конечных точках, которые не имеют ложноположительных обнаружений.

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в нашем техническом сообществе: Microsoft Defender для конечной точки технического сообщества.