Konfigurera Microsoft Defender Antivirus på en miljö för fjärrskrivbord eller virtuell skrivbordsinfrastruktur
Gäller för:
- Microsoft Defender Antivirus
- Defender för Endpoint Abonnemang 1
- Defender för Endpoint Plan 2
Plattformar
- Windows
Den här artikeln är utformad för kunder som endast använder Microsoft Defender Antivirus-funktioner. Om du har Microsoft Defender för Endpoint (som innehåller Microsoft Defender Antivirus tillsammans med andra funktioner för enhetsskydd) går du även igenom REGISTRERA VDI-enheter (Non-Persistent Virtual Desktop Infrastructure) i Microsoft Defender XDR.
Du kan använda Microsoft Defender Antivirus i en fjärrskrivbordsmiljö (RDS) eller en icke-beständig VDI-miljö (Virtual Desktop Infrastructure). Efter vägledningen i den här artikeln kan du konfigurera uppdateringar för att ladda ned direkt till dina RDS- eller VDI-miljöer när en användare loggar in.
Den här guiden beskriver hur du konfigurerar Microsoft Defender Antivirus på dina virtuella datorer för optimalt skydd och prestanda, inklusive hur du:
- Konfigurera en dedikerad VDI-filresurs för uppdateringar av säkerhetsinformation
- Randomisera schemalagda genomsökningar
- Använda snabbgenomsökningar
- Förhindra meddelanden
- Inaktivera genomsökningar från att ske efter varje uppdatering
- Genomsöka inaktuella datorer eller datorer som var offline ett tag
- Tillämpa undantag
Viktigt
Även om en VDI kan finnas på Windows Server 2012 eller Windows Server 2016, bör virtuella datorer (VM) köra Windows 10 version 1607 som minst på grund av ökade skyddstekniker och funktioner som inte är tillgängliga i tidigare versioner av Windows.
Konfigurera en dedikerad VDI-filresurs för säkerhetsinformation
I Windows 10 version 1903 introducerade Microsoft funktionen för delad säkerhetsinformation, som avlastar upppackningen av nedladdade uppdateringar av säkerhetsinformation på en värddator. Den här metoden minskar användningen av processor-, disk- och minnesresurser på enskilda datorer. Delad säkerhetsinformation fungerar nu på Windows 10 version 1703 och senare. Du kan konfigurera den här funktionen med hjälp av grupprincip eller PowerShell.
Grupprincip
Öppna grupprincip-hanteringskonsolen på grupprincip-hanteringsdatorn, högerklicka på det grupprincip objekt som du vill konfigurera och välj sedan Redigera.
I grupprincip Management Editor går du till Datorkonfiguration.
Välj Administrativa mallar. Expandera trädet till Windows-komponenter>Microsoft Defender Antivirus>Security Intelligence-Uppdateringar.
Dubbelklicka på Definiera plats för säkerhetsinformation för VDI-klienter och ange sedan alternativet till Aktiverad.
Ett fält visas automatiskt.
Ange
\\<Windows File Server shared location\>\wdav-update
(om du vill ha hjälp med det här värdet kan du läsa Ladda ned och packa upp).Välj OK och distribuera sedan grupprincip-objektet till de virtuella datorer som du vill testa.
PowerShell
På varje RDS- eller VDI-enhet använder du följande cmdlet för att aktivera funktionen:
Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update
Push-överför uppdateringen eftersom du normalt skulle push-överföra PowerShell-baserade konfigurationsprinciper till dina virtuella datorer. (Se avsnittet Ladda ned och packa upp i den här artikeln. Leta efter posten delad plats .)
Ladda ned och packa upp de senaste uppdateringarna
Nu kan du komma igång med att ladda ned och installera nya uppdateringar. Vi har skapat ett PowerShell-exempelskript för dig nedan. Det här skriptet är det enklaste sättet att ladda ned nya uppdateringar och förbereda dem för dina virtuella datorer. Du bör sedan ange att skriptet ska köras vid en viss tidpunkt på hanteringsdatorn med hjälp av en schemalagd aktivitet (eller om du är bekant med att använda PowerShell-skript i Azure, Intune eller SCCM kan du också använda dessa skript).
$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'
New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage
Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"
Du kan ange att en schemalagd aktivitet ska köras en gång om dagen så att när paketet laddas ned och packas upp får de virtuella datorerna den nya uppdateringen. Vi föreslår att du börjar med en gång om dagen, men du bör experimentera med att öka eller minska frekvensen för att förstå effekten.
Säkerhetsinformationspaket publiceras vanligtvis en gång var tredje till fjärde timme. Det är inte lämpligt att ange en frekvens som är kortare än fyra timmar eftersom det ökar nätverkskostnaderna på hanteringsdatorn utan någon fördel.
Du kan också konfigurera en enskild server eller dator för att hämta uppdateringar för de virtuella datorernas räkning med ett intervall och placera dem i filresursen för förbrukning. Den här konfigurationen är möjlig när enheterna har delnings- och läsåtkomst (NTFS-behörigheter) till resursen så att de kan hämta uppdateringarna. Följ dessa steg för att konfigurera den här konfigurationen:
Skapa en SMB/CIFS-filresurs.
Använd följande exempel för att skapa en filresurs med följande resursbehörigheter.
PS c:\> Get-SmbShareAccess -Name mdatp$ Name ScopeName AccountName AccessControlType AccessRight ---- --------- ----------- ----------------- ----------- mdatp$ * Everyone Allow Read
Obs!
En NTFS-behörighet läggs till för autentiserade användare:Läsa:.
I det här exemplet är
\\WindowsFileServer.fqdn\mdatp$\wdav-update
filresursen .
Ange en schemalagd aktivitet för att köra PowerShell-skriptet
Öppna Start-menyn på hanteringsdatorn och skriv
Task Scheduler
. I resultatet väljer du Schemaläggaren och sedan Skapa uppgift... på sidopanelen.Ange namnet som
Security intelligence unpacker
.På fliken Utlösare väljer du Ny...>Varje dag väljer du OK.
På fliken Åtgärder väljer du Ny....
Ange
PowerShell
i fältet Program/skript .I fältet Lägg till argument skriver du
-ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1
och väljer sedan OK.Konfigurera andra inställningar efter behov.
Spara den schemalagda aktiviteten genom att välja OK .
Initiera uppdateringen manuellt genom att högerklicka på uppgiften och sedan välja Kör.
Ladda ned och packa upp manuellt
Om du föredrar att göra allt manuellt gör du så här för att replikera skriptets beteende:
Skapa en ny mapp i systemroten med namnet
wdav_update
för att lagra informationsuppdateringar. Skapa till exempel mappenc:\wdav_update
.Skapa en undermapp under
wdav_update
med ett GUID-namn, till exempel{00000000-0000-0000-0000-000000000000}
Här är ett exempel:
c:\wdav_update\{00000000-0000-0000-0000-000000000000}
Obs!
Vi anger skriptet så att de sista 12 siffrorna i GUID är året, månaden, dagen och tiden då filen laddades ned så att en ny mapp skapas varje gång. Du kan ändra detta så att filen laddas ned till samma mapp varje gång.
Ladda ned ett säkerhetsinformationspaket från https://www.microsoft.com/wdsi/definitions till GUID-mappen. Filen ska ha namnet
mpam-fe.exe
.Öppna ett kommandotolksfönster och navigera till den GUID-mapp som du skapade. Använd extraheringskommandot
/X
för att extrahera filerna. Till exempelmpam-fe.exe /X
.Obs!
De virtuella datorerna hämtar det uppdaterade paketet när en ny GUID-mapp skapas med ett extraherat uppdateringspaket eller när en befintlig mapp uppdateras med ett nytt extraherat paket.
Randomisera schemalagda genomsökningar
Schemalagda genomsökningar körs utöver realtidsskydd och genomsökning.
Starttiden för själva genomsökningen baseras fortfarande på den schemalagda genomsökningsprincipen (ScheduleDay, ScheduleTime och ScheduleQuickScanTime). Slumpmässighet gör att Microsoft Defender Antivirus startar en genomsökning på varje dator inom fyra timmar från den tid som angetts för den schemalagda genomsökningen.
Se Schemalägg genomsökningar för andra konfigurationsalternativ som är tillgängliga för schemalagda genomsökningar.
Använda snabbgenomsökningar
Du kan ange vilken typ av genomsökning som ska utföras under en schemalagd genomsökning. Snabbgenomsökningar är den bästa metoden eftersom de är utformade för att titta på alla platser där skadlig kod måste finnas för att vara aktiv. Följande procedur beskriver hur du konfigurerar snabbgenomsökningar med hjälp av grupprincip.
I grupprincip Editor går du tillWindows-komponenter>för administrationsmallar>Microsoft DefenderAntivirusgenomsökning>.
Välj Ange vilken genomsökningstyp som ska användas för en schemalagd genomsökning och redigera sedan principinställningen.
Ange principen till Aktiverad och välj sedan Snabbgenomsökning under Alternativ.
Välj OK.
Distribuera grupprincipobjektet som vanligt.
Förhindra meddelanden
Ibland skickas Microsoft Defender Antivirus-meddelanden till eller sparas mellan flera sessioner. För att undvika användarförvirring kan du låsa Microsoft Defender Antivirus-användargränssnittet. Följande procedur beskriver hur du utelämnar meddelanden med hjälp av grupprincip.
I grupprincip Editor går du till Windows-komponenter>Microsoft DefenderAntivirus-klientgränssnitt>.
Välj Ignorera alla meddelanden och redigera sedan principinställningarna.
Ange principen till Aktiverad och välj sedan OK.
Distribuera grupprincipobjektet som vanligt.
Om du utelämnar meddelanden hindras meddelanden från att Microsoft Defender Antivirus visas när genomsökningar görs eller åtgärder vidtas. Säkerhetsteamet ser dock resultatet av en genomsökning om en attack identifieras och stoppas. Aviseringar, till exempel en första åtkomstavisering, genereras och visas i Microsoft Defender-portalen.
Inaktivera genomsökningar efter en uppdatering
Om du inaktiverar en genomsökning efter en uppdatering förhindras en genomsökning efter att en uppdatering har tagits emot. Du kan använda den här inställningen när du skapar basavbildningen om du även har kört en snabbsökning. På så sätt kan du förhindra att den nyligen uppdaterade virtuella datorn utför en genomsökning igen (eftersom du redan har skannat den när du skapade basavbildningen).
Viktigt
Genomsökningar som körs efter en uppdatering säkerställer att dina virtuella datorer skyddas med de senaste uppdateringarna av säkerhetsinformation. Om du inaktiverar det här alternativet minskar skyddsnivån för dina virtuella datorer och bör endast användas när du först skapar eller distribuerar basavbildningen.
Gå till Windows-komponenter> i grupprincip Editor Microsoft Defender Antivirus>Security Intelligence Uppdateringar.
Välj Aktivera genomsökning efter uppdatering av säkerhetsinformation och redigera sedan principinställningen.
Ange principen till Inaktiverad.
Välj OK.
Distribuera grupprincipobjektet som vanligt.
Den här principen förhindrar att en genomsökning körs omedelbart efter en uppdatering.
Inaktivera alternativet ScanOnlyIfIdle
Använd följande cmdlet för att stoppa en snabb eller schemalagd genomsökning när enheten blir inaktiv om den är i passivt läge.
Set-MpPreference -ScanOnlyIfIdleEnabled $false
Du kan också inaktivera ScanOnlyIfIdle
alternativet i Microsoft Defender Antivirus efter konfiguration via en lokal grupprincip eller domängruppsprincip. Den här inställningen förhindrar betydande CPU-konkurrens i miljöer med hög densitet.
Mer information finns i Starta den schemalagda genomsökningen endast när datorn är på men inte används.
Sök igenom virtuella datorer som har varit offline
I grupprincip Editor går du till Windows-komponenter>Microsoft Defenderantivirusgenomsökning>.
Välj Aktivera snabbsökning för att komma ikapp och redigera sedan principinställningen.
Ange principen till Aktiverad.
Välj OK.
Distribuera ditt grupprincip-objekt som vanligt.
Den här principen tvingar fram en genomsökning om den virtuella datorn missade två eller flera schemalagda genomsökningar i följd.
Aktivera huvudlöst användargränssnittsläge
I grupprincip Editor går du till Windows-komponenter>Microsoft DefenderAntivirus-klientgränssnitt>.
Välj Aktivera huvudlöst användargränssnittsläge och redigera principen.
Ange principen till Aktiverad.
Välj OK.
Distribuera ditt grupprincip-objekt som vanligt.
Den här principen döljer hela Microsoft Defender Antivirus-användargränssnittet från slutanvändare i din organisation.
Kör den schemalagda aktiviteten "Underhåll av Windows Defender Cache"
Optimera den schemalagda uppgiften "Underhåll av Windows Defender Cache" för icke-beständiga och/eller beständiga VDI-miljöer. Kör den här uppgiften på huvudbilden innan du förseglar den.
Öppna schemaläggarens mmc (
taskschd.msc
).Expandera Schemaläggarbiblioteket>Microsoft>Windows Windows>Defender och högerklicka sedan på Underhåll av Windows Defender Cache.
Välj Kör och låt den schemalagda aktiviteten slutföras.
Undantag
Om du tror att du behöver lägga till undantag kan du läsa Hantera undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.
Se även
- Tech Community-blogg: Konfigurera Microsoft Defender Antivirus för icke-beständiga VDI-datorer
- TechNet-forum om Fjärrskrivbordstjänster och VDI
- SignatureDownloadCustomTask PowerShell-skript
Om du letar efter information om Defender för Endpoint på plattformar som inte kommer från Windows kan du läsa följande resurser:
- Microsoft Defender för Endpoint för Mac
- Microsoft Defender för Endpoint för Linux
- Konfigurera Defender för Endpoint för Android-funktioner
- Konfigurera Microsoft Defender för Endpoint på iOS-funktioner
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.