在远程桌面或虚拟桌面基础结构环境中配置Microsoft Defender防病毒

本文专为使用 Microsoft Defender 防病毒功能的客户设计。 如果Microsoft Defender for Endpoint (包括Microsoft Defender防病毒以及其他设备保护功能) ，请参阅在 Microsoft Defender XDR 中加入非持久性虚拟桌面基础结构 (VDI) 设备。

可以在远程桌面 (RDS) 或非持久性虚拟桌面基础结构 (VDI) 环境中使用Microsoft Defender防病毒。 使用本文中的指南，可以将更新配置为在用户登录时直接下载到 RDS 或 VDI 环境。

本指南介绍如何在 VM 上配置Microsoft Defender防病毒以实现最佳保护和性能，包括如何：

• 为安全智能更新设置专用 VDI 文件共享
• 下载并解压缩最新更新
• 配置Microsoft Defender防病毒设置
• 运行 Windows Defender 缓存维护计划任务

重要

尽管 VDI 可以托管在 Windows Server 2012 或 Windows Server 2016 上，但虚拟机 (VM) 应运行 Windows 10 版本 1607，因为 Windows 早期版本中不可用的保护技术和功能已增加。

先决条件

支持的操作系统

• Windows

为安全智能设置专用 VDI 文件共享

Windows 10版本 1903 中，Microsoft引入了共享安全智能功能，该功能将下载的安全智能更新卸载到主机上。 此方法可减少单个计算机上的 CPU、磁盘和内存资源的使用率。 共享安全智能现在适用于Windows 10版本 1703 及更高版本。 可以使用 组策略 或 PowerShell 设置此功能。

组策略

1. 在组策略管理计算机上，打开组策略管理控制台，右键单击要配置的组策略对象，然后选择“编辑”。

2. 在“组策略管理编辑器”中，转到“计算机配置”。

3. 选择“ 管理模板”。 将树展开到 Windows 组件>Microsoft Defender防病毒>安全智能汇报。

4. 双击“ 定义 VDI 客户端的安全智能位置”，然后将选项设置为 “已启用”。 字段会自动显示。

5. 在 字段中，键入 \\<File Server shared location\>\wdav-update。 (有关此值的帮助，请参阅 Download and unpackage.)

6. 选择“确定”，然后将组策略对象部署到要测试的 VM。

PowerShell

1. 在每个 RDS 或 VDI 设备上，使用以下 cmdlet 启用该功能：

   Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

2. 推送更新，就像平常将基于 PowerShell 的配置策略推送到 VM 上一样。 (请参阅本文中的 下载和解压缩 部分。查找 共享位置 条目。)

下载并解压缩最新更新

现在可以开始下载和安装新更新。 本部分包含可使用的示例 PowerShell 脚本。 此脚本是下载新更新并为 VM 做好准备的最简单方法。 然后，应使用计划任务将脚本设置为在特定时间在管理计算机上运行。 或者，如果熟悉在 Azure、Intune 或 Configuration Manager 中使用 PowerShell 脚本，可以改用这些脚本。

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

可以将计划任务设置为每天运行一次，以便每当下载并解压缩包时，VM 就会收到新的更新。 我们建议从一天开始一次，但你应该尝试增加或减少频率以了解影响。

安全智能包通常每三到四小时发布一次。 建议不要将频率设置为短于 4 小时，因为这会增加管理计算机上的网络开销，不会带来任何好处。

还可以设置单一服务器或计算机，以按时间间隔代表 VM 提取更新，并将其置于文件共享中以供使用。 如果设备具有共享和读取访问权限， (NTFS 权限) 共享，以便获取更新，则此配置是可能的。 若要设置此配置，请执行以下步骤：

1. 创建 SMB/CIFS 文件共享。

2. 使用以下示例创建具有以下共享权限的文件共享。

   
   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   
   

   注意

   为 经过身份验证的用户：Read：添加了 NTFS 权限。

   对于此示例，文件共享为 \\FileServer.fqdn\mdatp$\wdav-update。

设置计划任务以运行 PowerShell 脚本

1. 在管理计算机上，打开“ 开始 ”菜单并键入 Task Scheduler。 在结果中，选择“任务计划程序”，然后在侧面板中选择“ 创建任务...” 。

2. 将名称指定为 Security intelligence unpacker。

3. 在“ 触发器 ”选项卡上，选择“ 新建...”>每日，然后选择 “确定”。

4. 在“ 作 ”选项卡上，选择“ 新建...”。

5. 在“程序/脚本”字段中指定PowerShell。

6. 在 “添加参数” 字段中，键入 -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1，然后选择“ 确定”。

7. 根据需要配置任何其他设置。

8. 选择“ 确定” 以保存计划任务。

若要手动启动更新，请右键单击任务，然后选择“ 运行”。

手动下载和解压缩

如果希望手动执行所有作，可执行以下作来复制脚本的行为：

1. 在名为 wdav_update 的系统根目录上创建一个名为 的新文件夹，以存储智能更新。 例如，创建文件夹 c:\wdav_update。

2. 使用 GUID 名称在 下 wdav_update 创建子文件夹，例如 {00000000-0000-0000-0000-000000000000}

   下面是一个示例： c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   注意

   我们设置脚本，以便 GUID 的最后 12 位数字是下载文件的年、月、日和时间，以便每次创建新文件夹。 可以对此进行更改，以便每次将文件下载到同一个文件夹。

3. 将安全智能包从 https://www.microsoft.com/wdsi/definitions 下载到 GUID 文件夹中。 该文件应名为 mpam-fe.exe。

4. 打开命令提示符窗口并导航到创建的 GUID 文件夹。 使用 /X 提取命令提取文件。 例如，mpam-fe.exe /X。

   注意

   每当使用提取的更新包创建新的 GUID 文件夹时，或者每当使用新提取的包更新现有文件夹时，VM 将选取更新的包。

Microsoft Defender防病毒配置设置

通过使用以下建议的配置设置启用包含的威胁防护功能，这一点很重要。 它针对 VDI 环境进行优化。

提示

创建 和管理中央存储中提供了最新的 Windows 组策略管理模板。

根

• 为可能不需要的应用程序配置检测： Enabled - Block

• 为列表配置本地管理员合并行为： Disabled

注意

将此策略设置为 “禁用” 可防止本地定义的排除项和列表与集中管理的策略合并。 例如，仅应用集中管理的策略 (组策略) 。

• 控制排除项是否对本地管理员可见： Enabled

• 关闭例行修正： Disabled

• 随机化计划扫描： Enabled

客户端接口

• 启用无外设 UI 模式： Enabled

  注意

  此策略对组织中的最终用户隐藏整个 Microsoft Defender 防病毒用户界面。

• 禁止显示所有通知： Enabled

  注意

  有时，Microsoft Defender防病毒通知发送到多个会话或跨多个会话保留。 若要帮助避免用户混淆，可以锁定Microsoft Defender防病毒用户界面。 取消通知可防止在扫描完成或采取修正作时显示来自Microsoft Defender防病毒的通知。 但是，如果检测到并停止攻击，安全运营团队将看到扫描结果。 将生成警报（如初始访问警报），并显示在Microsoft Defender门户中。

地图

• 加入 Microsoft MAPS (启用云提供的保护) ： Enabled - Advanced MAPS

• 需要进一步分析时发送文件样本： Send all samples (more secure) 或 Send safe sample (less secure)

MPEngine

• 配置扩展云检查：20

• 选择云保护级别： Enabled - High

• 启用文件哈希计算功能： Enabled

注意

仅当使用指示器 - 文件哈希时，才需要“启用文件哈希计算功能”。 它可能会导致更高的 CPU 使用率，因为它必须分析磁盘上的每个二进制文件才能获取文件哈希。

实时保护

• 配置对传入和传出文件和程序活动的监视： Enabled – bi-directional (full on-access)

• 监视计算机上的文件和程序活动： Enabled

• 扫描所有下载的文件和附件： Enabled

• 启用行为监视： Enabled

• 启用实时保护时启用进程扫描： Enabled

• 启用原始卷写入通知： Enabled

扫描

• 在运行计划扫描之前，检查是否有最新的病毒和间谍软件安全智能： Enabled

• 扫描存档文件： Enabled

• 扫描网络文件： Not configured

• 扫描打包的可执行文件： Enabled

• 扫描可移动驱动器： Enabled

• 启用追赶完全扫描 (禁用完全扫描) 追赶： Not configured

• 启用赶超快速扫描 (禁用追赶快速扫描) ： Not configured

  注意

  如果想要强化，可以将“启用赶上快速扫描”更改为 Enabled，这在 VM 脱机且错过了两次或更多连续计划扫描时有所帮助。 但由于它正在运行计划扫描，因此会使用额外的 CPU。

• 启用电子邮件扫描： Enabled

• 启用启发式： Enabled

• 启用重新分析点扫描： Enabled

常规计划扫描设置

• 为计划扫描配置低 CPU 优先级 (对计划扫描使用低 CPU 优先级) ： Not configured

• 指定扫描期间 CPU 使用率的最大百分比 (每个扫描) 的 CPU 使用率限制： 50

• 仅当计算机处于打开但未使用状态时才启动计划扫描， (ScanOnlyIfIdle) ： Not configured

• 使用以下 cmdlet 在设备处于被动模式时停止快速或计划的扫描。

  
  Set-MpPreference -ScanOnlyIfIdleEnabled $false
  
  

提示

设置“仅在计算机处于打开但未使用状态时启动计划扫描”可防止在高密度环境中出现大量 CPU 争用。

每日快速扫描

• 指定每天运行快速扫描的间隔： Not configured

• 指定每日快速扫描的时间 () 运行每日快速扫描： 12 PM

(快速或完整) 运行每周计划的扫描

• 指定要用于计划扫描的扫描类型 (扫描类型) ： Not configured

• 指定一天中运行计划扫描的时间 (星期几运行计划扫描) ： Not configured

• 指定运行计划扫描的星期几 (一天中的时间，以运行计划扫描) ： Not configured

安全智能汇报

• 启用安全智能更新后扫描 (禁用更新后扫描) ： Disabled

  注意

  在安全智能更新后禁用扫描可防止在收到更新后进行扫描。 如果还运行了快速扫描，则可以在创建基础映像时应用此设置。 这样，就可以防止新更新的 VM 再次执行扫描 (，因为) 创建基础映像时已经扫描过它。

  重要

  更新后运行扫描有助于确保 VM 受到最新安全智能更新的保护。 禁用此选项会降低 VM 的保护级别，仅应在首次创建或部署基础映像时使用。

• 指定安全智能更新检查间隔 (输入) 检查安全智能更新的频率：Enabled - 8

• 将其他设置保留为其默认状态

威胁

• 指定检测到时不应采取默认作的威胁警报级别： Enabled

• 将 、High (4)、 Medium (2)和 Low (1) all 设置为 Quarantine (2)Severe (5)，如下表所示：

  值名称	值
  1 (低)	2
  2 (中等)	2
  4 (高)	2
  5 (严重)	2

攻击面减少规则

将所有可用规则配置为 Audit。

启用网络保护

阻止用户和应用访问危险网站 (启用网络保护) ： Enabled - Audit mode。

适用于 Microsoft Edge 的 SmartScreen

• 需要 SmartScreen Microsoft Edge： Yes

• 阻止恶意站点访问： Yes

• 阻止未经验证的文件下载： Yes

运行 Windows Defender 缓存维护计划任务

针对非持久性和/或持久性 VDI 环境优化“Windows Defender 缓存维护”计划任务。 在密封之前，在主映像上运行此任务。

1. 打开 任务计划程序 mmc (taskschd.msc) 。

2. 展开 WindowsWindows DefenderMicrosoft>>任务计划程序库>，然后右键单击“Windows Defender 缓存维护”。

3. 选择“ 运行”，让计划任务完成。

   警告

   如果不执行此作，则在每个 VM 上运行缓存维护任务时，可能会导致更高的 CPU 利用率。

启用篡改防护

启用篡改防护以防止在Microsoft Defender门户中禁用Microsoft Defender防病毒。

排除项

如果认为需要添加排除项，请参阅管理Microsoft Defender for Endpoint的排除项和Microsoft Defender防病毒。

后续步骤

如果还要将终结点检测和响应 (EDR) 部署到基于 Windows 的 VDI VM，请参阅在 Microsoft Defender XDR 中载入非持久性虚拟桌面基础结构 (VDI) 设备。

另请参阅

• 技术社区博客：为非持久性 VDI 计算机配置Microsoft Defender防病毒
• 有关远程桌面服务和 VDI 的 TechNet 论坛
• SignatureDownloadCustomTask PowerShell 脚本

如果要在非 Windows 平台上查找有关 Defender for Endpoint 的信息，请参阅以下资源：

• Mac 上的 Microsoft Defender for Endpoint
• Microsoft Defender for Endpoint on Linux
• 在 Android 功能上配置 Defender for Endpoint
• 在 iOS 功能上配置 Microsoft Defender for Endpoint