Aracılığıyla paylaş

Azure Sanal Masaüstü'ne Windows cihazları ekleme

  • Makale

Okunmasının 6 dakikası

Şunlar için geçerlidir:

Uç Nokta için Microsoft Defender, hem VDI hem de Azure Sanal Masaüstü oturumlarının izlenmesini destekler. Kuruluşunuzun gereksinimlerine bağlı olarak, çalışanlarınızın yönetilmeyen bir cihazdan, uzak konumdan veya benzer bir senaryodan şirket verilerine ve uygulamalarına erişmesine yardımcı olmak için VDI veya Azure Sanal Masaüstü oturumları uygulamanız gerekebilir. Uç Nokta için Microsoft Defender ile bu sanal makineleri anormal etkinlik için izleyebilirsiniz.

Başlamadan önce

Kalıcı olmayan VDI ile ilgili dikkat edilmesi gerekenler hakkında bilgi sahibi olun. Azure Sanal Masaüstü kalıcı olmayan seçenekler sağlamasa da, yeni konaklar sağlamak ve makineleri yeniden dağıtmak için kullanılabilecek altın renkli bir Windows görüntüsü kullanmanın yollarını sağlar. Bu, ortamdaki volatiliteyi artırır ve böylece Uç Nokta için Microsoft Defender portalında oluşturulan ve tutulan girişleri etkiler ve güvenlik analistlerinizin görünürlüğünü azaltabilir.

Not

Seçtiğiniz ekleme yöntemine bağlı olarak, cihazlar Uç Nokta için Microsoft Defender portalında şu şekilde görünebilir:

  • Her sanal masaüstü için tek giriş
  • Her sanal masaüstü için birden çok giriş

Microsoft, Azure Sanal Masaüstü'nü sanal masaüstü başına tek bir giriş olarak eklemenizi önerir. Bu, Uç Nokta için Microsoft Defender portalındaki araştırma deneyiminin makine adına göre bir cihaz bağlamında olmasını sağlar. AVD konaklarını sık sık silen ve yeniden dağıtan kuruluşlar, uç nokta için Microsoft Defender portalında aynı makine için birden çok nesnenin oluşturulmasını önlediği için bu yöntemi kullanmayı kesinlikle göz önünde bulundurmalıdır. Bu, olayları araştırırken kafa karışıklığına neden olabilir. Test veya geçici olmayan ortamlar için farklı bir seçim yapmayı tercih edebilirsiniz.

Microsoft, AVD altın görüntüsüne Uç Nokta için Microsoft Defender ekleme betiğinin eklenmesini önerir. Bu şekilde, bu ekleme betiğinin ilk önyüklemede hemen çalıştığından emin olabilirsiniz. AVD altın görüntüsünden sağlanan tüm AVD makinelerinde ilk önyüklemede başlangıç betiği olarak yürütülür. Ancak galeri görüntülerinden birini değiştirmeden kullanıyorsanız, betiği paylaşılan bir konuma yerleştirin ve yerel veya etki alanı grup ilkesinden çağırın.

Not

VDI ekleme başlangıç betiğinin AVD altın görüntüsüne yerleştirilmesi ve yapılandırması, bunu AVD başlatıldığında çalışan bir başlangıç betiği olarak yapılandırılır. Gerçek AVD altın görüntüsünü eklemek önerilmez. Dikkat edilmesi gereken bir diğer nokta da betiği çalıştırmak için kullanılan yöntemdir. Oturumları almak için kullanılabilen makine ile hizmete cihaz ekleme arasındaki süreyi azaltmak için başlatma/sağlama işleminin olabildiğince erken bir aşamasında çalıştırılmalıdır. Aşağıdaki 1 ve 2 senaryoları bunu dikkate alır.

Senaryo

AVD konak makinesini eklemenin birkaç yolu vardır:

Senaryo 1: Yerel grup ilkesini kullanma

Bu senaryo, betiğin altın bir görüntüye yerleştirilmesini gerektirir ve önyükleme işleminin erken aşamalarında çalıştırmak için yerel grup ilkesini kullanır.

Kalıcı olmayan sanal masaüstü altyapısı (VDI) cihazlarını ekleme başlığındaki yönergeleri kullanın.

Her cihaz için tek bir giriş için yönergeleri izleyin.

Senaryo 2: Etki alanı grup ilkesini kullanma

Bu senaryo, merkezi olarak bulunan bir betik kullanır ve bunu etki alanı tabanlı bir grup ilkesi kullanarak çalıştırır. Ayrıca betiği altın görüntüye yerleştirebilir ve aynı şekilde çalıştırabilirsiniz.

Microsoft Defender portalından WindowsDefenderATPOnboardingPackage.zip dosyasını indirme

  1. VDI yapılandırma paketini .zip dosyasını açın (WindowsDefenderATPOnboardingPackage.zip)

    1. Microsoft Defender portalı gezinti bölmesinde Ayarlar>Uç Noktaları>Ekleme'yi seçin ( Cihaz Yönetimi'nin altında).
    2. İşletim sistemi olarak Windows 10 veya Windows 11'i seçin.
    3. Dağıtım yöntemi alanında, kalıcı olmayan uç noktalar için VDI ekleme betikleri'ni seçin.
    4. Paketi indir'e tıklayın ve .zip dosyasını kaydedin.

  2. .zip dosyasının içeriğini, cihaz tarafından erişilebilen paylaşılan, salt okunur bir konuma ayıklayın. OptionalParamsPolicy adlı bir klasörünüz olmalı ve dosyaları WindowsDefenderATPOnboardingScript.cmd ve Onboard-NonPersistentMachine.ps1.

Sanal makine başlatıldığında betiği çalıştırmak için Grup İlkesi yönetim konsolunu kullanma

  1. Grup İlkesi Yönetim Konsolu'nu (GPMC) açın, yapılandırmak istediğiniz Grup İlkesi Nesnesine (GPO) sağ tıklayın ve Düzenle'ye tıklayın.

  2. Grup İlkesi Yönetimi Düzenleyicisi'nde Bilgisayar yapılandırması>Tercihleri>Denetim masası ayarları'na gidin.

  3. Zamanlanmış görevler'e sağ tıklayın, Yeni'ye ve ardından Anında Görev'e (En az Windows 7) tıklayın.

  4. Açılan Görev penceresinde Genel sekmesine gidin. Güvenlik seçenekleri'nin altında Kullanıcıyı veya Grubu Değiştir'e tıklayın ve SİSTEM yazın. Adları Denetle'ye ve ardından Tamam'a tıklayın. NT AUTHORITY\SYSTEM, görevin çalıştırılacağı kullanıcı hesabı olarak görünür.

  5. Kullanıcının oturum açıp açmadığını çalıştır'ı seçin ve En yüksek ayrıcalıklarla çalıştır onay kutusunu işaretleyin.

  6. Eylemler sekmesine gidin ve Yeni'ye tıklayın. Eylem alanında Program başlat'ın seçili olduğundan emin olun. Aşağıdakileri girin:

    Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    Ardından Tamam'ı seçin ve açık GPMC pencerelerini kapatın.

Senaryo 3: Yönetim araçlarını kullanarak ekleme

Makinelerinizi bir yönetim aracı kullanarak yönetmeyi planlıyorsanız, Microsoft Endpoint Configuration Manager ile cihazları ekleyebilirsiniz.

Daha fazla bilgi için bkz. Configuration Manager kullanarak Windows cihazlarını ekleme.

Uyarı

Saldırı yüzeyi azaltma kuralları başvurusu kullanmayı planlıyorsanız, "PSExec ve WMI komutlarından kaynaklanan işlem oluşturmalarını engelle" kuralının kullanılmaması gerektiğini unutmayın, çünkü bu kural Microsoft Endpoint Configuration Manager aracılığıyla yönetimle uyumsuzdur. Kural, Configuration Manager istemcisinin düzgün çalışması için kullandığı WMI komutlarını engeller.

İpucu

Cihazı ekledikten sonra, cihazın hizmete düzgün şekilde eklendiğini doğrulamak için bir algılama testi çalıştırmayı seçebilirsiniz. Daha fazla bilgi için bkz. Yeni eklenen uç nokta için Microsoft Defender cihazında algılama testi çalıştırma.

Altın resminizi oluştururken makinelerinizi etiketleme

Ekleme işleminizin bir parçası olarak, Microsoft Güvenlik Merkezi'nde AVD makinelerini daha kolay ayırt etmek için bir makine etiketi ayarlamayı düşünebilirsiniz. Daha fazla bilgi için bkz. Kayıt defteri anahtarı değeri ayarlayarak cihaz etiketleri ekleme.

Altın görüntünüzü oluştururken ilk koruma ayarlarını da yapılandırmak isteyebilirsiniz. Daha fazla bilgi için bkz. Önerilen diğer yapılandırma ayarları.

Ayrıca, FSlogix kullanıcı profillerini kullanıyorsanız , FSLogix virüsten koruma dışlamaları bölümünde açıklanan yönergeleri izlemenizi öneririz.

Lisans gereksinimleri

Windows Enterprise çoklu oturumunu kullanırken, en iyi güvenlik yöntemlerimize göre sanal makine Sunucular için Microsoft Defender aracılığıyla lisanslanabilir veya tüm Azure Sanal Masaüstü sanal makine kullanıcılarının aşağıdaki lisanslardan biriyle lisansını almayı seçebilirsiniz:

  • Uç Nokta için Microsoft Defender Plan 1 veya Plan 2 (kullanıcı başına)
  • Windows Enterprise E3
  • Windows Enterprise E5
  • Microsoft 365 E3
  • Microsoft 365 E5 Güvenliği
  • Microsoft 365 E5

Uç Nokta için Microsoft Defender lisans gereksinimleri şu konumda bulunabilir: Lisans gereksinimleri.

PowerShell aracılığıyla Uç Nokta için Defender dışlamaları ekleme

FSLogix kötü amaçlı yazılımdan koruma dışlamaları

Uzak masaüstü veya sanal masaüstü altyapısı ortamında Microsoft Defender Virüsten Koruma'yi yapılandırma

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.