Konfigurera Microsoft Defender Antivirus på en miljö för fjärrskrivbord eller virtuell skrivbordsinfrastruktur

  • Artikel

Gäller för:

Plattformar

  • Windows

Tips

Den här artikeln är utformad för kunder som endast använder Microsoft Defender Antivirus-funktioner. Om du har Microsoft Defender för Endpoint (som innehåller Microsoft Defender Antivirus tillsammans med ytterligare funktioner för enhetsskydd) hoppar du över den här artikeln och fortsätter till Registrera VDI-enheter (Non-Persistent Virtual Desktop Infrastructure) i Microsoft Defender XDR.

Du kan använda Microsoft Defender Antivirus i en fjärrskrivbordsmiljö (RDS) eller en icke-beständig VDI-miljö (Virtual Desktop Infrastructure). Efter vägledningen i den här artikeln kan du konfigurera uppdateringar för att ladda ned direkt till dina RDS- eller VDI-miljöer när en användare loggar in.

Den här guiden beskriver hur du konfigurerar Microsoft Defender Antivirus på dina virtuella datorer för optimalt skydd och prestanda, inklusive hur du:

Viktigt

Även om en VDI kan finnas på Windows Server 2012 eller Windows Server 2016, bör virtuella datorer (VM) köra Windows 10 version 1607 som minst på grund av ökade skyddstekniker och funktioner som inte är tillgängliga i tidigare versioner av Windows.

Konfigurera en dedikerad VDI-filresurs för säkerhetsinformation

I Windows 10 version 1903 introducerade Microsoft funktionen för delad säkerhetsinformation, som avlastar upppackningen av nedladdade uppdateringar av säkerhetsinformation på en värddator. Den här metoden minskar användningen av processor-, disk- och minnesresurser på enskilda datorer. Delad säkerhetsinformation fungerar nu på Windows 10 version 1703 och senare. Du kan konfigurera den här funktionen med hjälp av grupprincip eller PowerShell enligt beskrivningen i följande tabell:

Metod Förfarande
Grupprincip 1. På grupprincip-hanteringsdatorn öppnar du grupprincip-hanteringskonsolen, högerklickar på grupprincip objekt som du vill konfigurera och väljer sedan Redigera.

2. I grupprincip Management Editor går du till Datorkonfiguration.

Välj Administrativa mallar.

Expandera trädet till Windows-komponenter>Microsoft Defender Antivirus>Security Intelligence-Uppdateringar.

3. Dubbelklicka på Definiera plats för säkerhetsinformation för VDI-klienter och ange sedan alternativet till Aktiverad. Ett fält visas automatiskt.

4. Ange \\<sharedlocation\>\wdav-update (om du vill ha hjälp med det här värdet kan du läsa Ladda ned och packa upp).

5. Välj OK.

Distribuera grupprincipobjektet till de virtuella datorer som du vill testa.
PowerShell 1. På varje RDS- eller VDI-enhet använder du följande cmdlet för att aktivera funktionen: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Push-överför uppdateringen eftersom du normalt skulle push-överföra PowerShell-baserade konfigurationsprinciper till dina virtuella datorer. (Se avsnittet Ladda ned och packa upp den <delade platsen> .)

Ladda ned och packa upp de senaste uppdateringarna

Nu kan du komma igång med att ladda ned och installera nya uppdateringar. Vi har skapat ett PowerShell-exempelskript för dig nedan. Det här skriptet är det enklaste sättet att ladda ned nya uppdateringar och förbereda dem för dina virtuella datorer. Du bör sedan ange att skriptet ska köras vid en viss tidpunkt på hanteringsdatorn med hjälp av en schemalagd aktivitet (eller om du är bekant med att använda PowerShell-skript i Azure, Intune eller SCCM kan du också använda dessa skript).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Du kan ange att en schemalagd aktivitet ska köras en gång om dagen så att när paketet laddas ned och packas upp får de virtuella datorerna den nya uppdateringen. Vi föreslår att du börjar med en gång om dagen, men du bör experimentera med att öka eller minska frekvensen för att förstå effekten.

Säkerhetsinformationspaket publiceras vanligtvis en gång var tredje till fjärde timme. Det är inte lämpligt att ange en frekvens som är kortare än fyra timmar eftersom det ökar nätverkskostnaderna på hanteringsdatorn utan någon fördel.

Du kan också konfigurera en enskild server eller dator för att hämta uppdateringar för de virtuella datorernas räkning med ett intervall och placera dem i filresursen för förbrukning. Den här konfigurationen är möjlig när enheterna har resurs- och läsåtkomst (NTFS-behörigheter) till resursen så att de kan hämta uppdateringarna. Följ dessa steg för att konfigurera den här konfigurationen:

  1. Skapa en SMB/CIFS-filresurs.

  2. Använd följande exempel för att skapa en filresurs med följande resursbehörigheter.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Obs!

    En NTFS-behörighet läggs till för autentiserade användare:Läsa:.

    I det här exemplet är filresursen:

    \\fileserver.fqdn\mdatp$\wdav-update

Ange en schemalagd aktivitet för att köra PowerShell-skriptet

  1. Öppna Start-menyn på hanteringsdatorn och skriv Schemaläggaren. Öppna den och välj Skapa uppgift... på sidopanelen.

  2. Ange namnet som Uppackning för Säkerhetsinformation. Gå till fliken Utlösare . Välj Ny...>Varje dag väljer du OK.

  3. Gå till fliken Åtgärder . Välj Ny... Ange PowerShell i fältet Program/Skript . Ange -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 i fältet Lägg till argument . Välj OK.

  4. Konfigurera andra inställningar efter behov.

  5. Spara den schemalagda aktiviteten genom att välja OK .

Du kan initiera uppdateringen manuellt genom att högerklicka på uppgiften och sedan välja Kör.

Ladda ned och packa upp manuellt

Om du föredrar att göra allt manuellt gör du så här för att replikera skriptets beteende:

  1. Skapa en ny mapp i systemroten som anropas wdav_update för att lagra informationsuppdateringar, till exempel skapa mappen c:\wdav_update.

  2. Skapa en undermapp under wdav_update med ett GUID-namn, till exempel{00000000-0000-0000-0000-000000000000}

    Här är ett exempel: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Obs!

    I skriptet anger vi det så att de sista 12 siffrorna i GUID:n är året, månaden, dagen och tiden då filen laddades ned så att en ny mapp skapas varje gång. Du kan ändra detta så att filen laddas ned till samma mapp varje gång.

  3. Ladda ned ett säkerhetsinformationspaket från https://www.microsoft.com/wdsi/definitions till GUID-mappen. Filen ska ha namnet mpam-fe.exe.

  4. Öppna ett cmd-promptfönster och navigera till den GUID-mapp som du skapade. Använd extraheringskommandot /X för att extrahera filerna, till exempel mpam-fe.exe /X.

    Obs!

    De virtuella datorerna hämtar det uppdaterade paketet när en ny GUID-mapp skapas med ett extraherat uppdateringspaket eller när en befintlig mapp uppdateras med ett nytt extraherat paket.

Randomisera schemalagda genomsökningar

Schemalagda genomsökningar körs utöver realtidsskydd och genomsökning.

Starttiden för själva genomsökningen baseras fortfarande på den schemalagda genomsökningsprincipen (ScheduleDay, ScheduleTime och ScheduleQuickScanTime). Slumpmässighet gör att Microsoft Defender Antivirus startar en genomsökning på varje dator inom fyra timmar från den tid som angetts för den schemalagda genomsökningen.

Se Schemalägg genomsökningar för andra konfigurationsalternativ som är tillgängliga för schemalagda genomsökningar.

Använda snabbgenomsökningar

Du kan ange vilken typ av genomsökning som ska utföras under en schemalagd genomsökning. Snabbgenomsökningar är den bästa metoden eftersom de är utformade för att titta på alla platser där skadlig kod måste finnas för att vara aktiv. Följande procedur beskriver hur du konfigurerar snabbgenomsökningar med hjälp av grupprincip.

  1. I grupprincip Editor går du tillWindows-komponenter>för administrationsmallar>Microsoft DefenderAntivirusgenomsökning>.

  2. Välj Ange vilken genomsökningstyp som ska användas för en schemalagd genomsökning och redigera sedan principinställningen.

  3. Ange principen till Aktiverad och välj sedan Snabbgenomsökning under Alternativ.

  4. Välj OK.

  5. Distribuera grupprincipobjektet som vanligt.

Förhindra meddelanden

Ibland skickas Microsoft Defender Antivirus-meddelanden till eller sparas mellan flera sessioner. För att undvika användarförvirring kan du låsa Microsoft Defender Antivirus-användargränssnittet. Följande procedur beskriver hur du utelämnar meddelanden med hjälp av grupprincip.

  1. I grupprincip Editor går du till Windows-komponenter>Microsoft DefenderAntivirus-klientgränssnitt>.

  2. Välj Ignorera alla meddelanden och redigera sedan principinställningarna.

  3. Ange principen till Aktiverad och välj sedan OK.

  4. Distribuera grupprincipobjektet som vanligt.

Om du utelämnar meddelanden hindras meddelanden från att Microsoft Defender Antivirus visas när genomsökningar görs eller åtgärder vidtas. Säkerhetsteamet ser dock resultatet av en genomsökning om en attack identifieras och stoppas. Aviseringar, till exempel en första åtkomstavisering, genereras och visas i Microsoft Defender-portalen.

Inaktivera genomsökningar efter en uppdatering

Om du inaktiverar en genomsökning efter en uppdatering förhindras en genomsökning efter att en uppdatering har tagits emot. Du kan använda den här inställningen när du skapar basavbildningen om du även har kört en snabbsökning. På så sätt kan du förhindra att den nyligen uppdaterade virtuella datorn utför en genomsökning igen (eftersom du redan har skannat den när du skapade basavbildningen).

Viktigt

Om du kör genomsökningar efter en uppdatering ser du till att dina virtuella datorer skyddas med de senaste uppdateringarna av säkerhetsinformation. Om du inaktiverar det här alternativet minskas skyddsnivån för dina virtuella datorer och bör endast användas när du först skapar eller distribuerar basavbildningen.

  1. Gå till Windows-komponenter> i grupprincip Editor Microsoft Defender Antivirus>Security Intelligence Uppdateringar.

  2. Välj Aktivera genomsökning efter uppdatering av säkerhetsinformation och redigera sedan principinställningen.

  3. Ange principen till Inaktiverad.

  4. Välj OK.

  5. Distribuera grupprincipobjektet som vanligt.

Den här principen förhindrar att en genomsökning körs omedelbart efter en uppdatering.

Inaktivera alternativet ScanOnlyIfIdle

Använd följande cmdlet för att stoppa en snabb eller schemalagd genomsökning när enheten blir inaktiv om den är i passivt läge.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Du kan också inaktivera ScanOnlyIfIdle alternativet i Microsoft Defender Antivirus efter konfiguration via en lokal grupprincip eller domängruppsprincip. Den här inställningen förhindrar betydande CPU-konkurrens i miljöer med hög densitet.

Mer information finns i Starta den schemalagda genomsökningen endast när datorn är på men inte används.

Sök igenom virtuella datorer som har varit offline

  1. I grupprincip Editor går du till Windows-komponenter>Microsoft Defenderantivirusgenomsökning>.

  2. Välj Aktivera snabbsökning för att komma ikapp och redigera sedan principinställningen.

  3. Ange principen till Aktiverad.

  4. Välj OK.

  5. Distribuera ditt grupprincip-objekt som vanligt.

Den här principen tvingar fram en genomsökning om den virtuella datorn har missat två eller flera schemalagda genomsökningar i följd.

Aktivera huvudlöst användargränssnittsläge

  1. I grupprincip Editor går du till Windows-komponenter>Microsoft DefenderAntivirus-klientgränssnitt>.

  2. Välj Aktivera huvudlöst användargränssnittsläge och redigera principen.

  3. Ange principen till Aktiverad.

  4. Välj OK.

  5. Distribuera ditt grupprincip-objekt som vanligt.

Den här principen döljer hela Microsoft Defender Antivirus-användargränssnittet från slutanvändare i din organisation.

Undantag

Om du tror att du behöver lägga till undantag kan du läsa Hantera undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.

Se även

Om du letar efter information om Defender för Endpoint på plattformar som inte kommer från Windows kan du läsa följande resurser:

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.