适用于:
平台
本文专为使用 Microsoft Defender 防病毒功能的客户设计。 如果Microsoft Defender for Endpoint (包括Microsoft Defender防病毒以及其他设备保护功能) ,请参阅在 Microsoft Defender XDR 中加入非持久性虚拟桌面基础结构 (VDI) 设备。
可以在远程桌面 (RDS) 或非持久性虚拟桌面基础结构 (VDI) 环境中使用Microsoft Defender防病毒。 使用本文中的指南,可以将更新配置为在用户登录时直接下载到 RDS 或 VDI 环境。
本指南介绍如何在 VM 上配置Microsoft Defender防病毒以实现最佳保护和性能,包括如何:
重要
尽管 VDI 可以托管在 Windows Server 2012 或 Windows Server 2016 上,但虚拟机 (VM) 应运行 Windows 10 版本 1607,因为 Windows 早期版本中不可用的保护技术和功能已增加。
Windows 10版本 1903 中,Microsoft引入了共享安全智能功能,该功能将下载的安全智能更新卸载到主机上。 此方法可减少单个计算机上的 CPU、磁盘和内存资源的使用率。 共享安全智能现在适用于Windows 10版本 1703 及更高版本。 可以使用 组策略 或 PowerShell 设置此功能。
在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。
在“组策略管理”编辑器,转到“计算机配置”。
选择“ 管理模板”。 将树展开到 Windows 组件>Microsoft Defender防病毒>安全智能汇报。
双击“ 定义 VDI 客户端的安全智能位置”,然后将选项设置为 “已启用”。 字段会自动显示。
在 字段中,键入 \\<File Server shared location\>\wdav-update
。 (有关此值的帮助,请参阅 Download and unpackage.)
选择“确定”,然后将组策略对象部署到要测试的 VM。
在每个 RDS 或 VDI 设备上,使用以下 cmdlet 启用该功能:
Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update
推送更新,就像平常将基于 PowerShell 的配置策略推送到 VM 上一样。 (请参阅本文中的 下载和解压缩 部分。查找 共享位置 条目。)
现在可以开始下载和安装新更新。 本部分包含可使用的示例 PowerShell 脚本。 此脚本是下载新更新并为 VM 做好准备的最简单方法。 然后,应使用计划任务将脚本设置为在特定时间在管理计算机上运行。 或者,如果熟悉在 Azure、Intune 或 Configuration Manager 中使用 PowerShell 脚本,则可以改用这些脚本。
$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'
New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage
Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"
可以将计划任务设置为每天运行一次,以便每当下载并解压缩包时,VM 就会收到新的更新。 我们建议从一天开始一次,但你应该尝试增加或减少频率以了解影响。
安全智能包通常每三到四小时发布一次。 建议不要将频率设置为短于 4 小时,因为这会增加管理计算机上的网络开销,不会带来任何好处。
还可以设置单一服务器或计算机,以按时间间隔代表 VM 提取更新,并将其置于文件共享中以供使用。 如果设备具有共享和读取访问权限, (NTFS 权限) 共享,以便获取更新,则此配置是可能的。 若要设置此配置,请执行以下步骤:
创建 SMB/CIFS 文件共享。
使用以下示例创建具有以下共享权限的文件共享。
PS c:\> Get-SmbShareAccess -Name mdatp$
Name ScopeName AccountName AccessControlType AccessRight
---- --------- ----------- ----------------- -----------
mdatp$ * Everyone Allow Read
备注
为 经过身份验证的用户:Read:添加了 NTFS 权限。
对于此示例,文件共享为 \\FileServer.fqdn\mdatp$\wdav-update
。
在管理计算机上,打开“开始”菜单并键入 Task Scheduler
。 在结果中,选择“任务计划程序”,然后在侧面板中选择“ 创建任务...” 。
将名称指定为 Security intelligence unpacker
。
在“ 触发器 ”选项卡上,选择“ 新建...”>每日,然后选择 “确定”。
在“ 操作 ”选项卡上,选择“ 新建...”。
在“程序/脚本”字段中指定PowerShell
。
在 “添加参数” 字段中,键入 -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1
,然后选择“ 确定”。
根据需要配置任何其他设置。
选择“ 确定” 以保存计划任务。
若要手动启动更新,请右键单击任务,然后选择“ 运行”。
如果希望手动执行所有操作,可执行以下操作来复制脚本的行为:
在名为 wdav_update
的系统根目录上创建一个名为 的新文件夹,以存储智能更新。 例如,创建文件夹 c:\wdav_update
。
使用 GUID 名称在 下 wdav_update
创建子文件夹,例如 {00000000-0000-0000-0000-000000000000}
下面是一个示例: c:\wdav_update\{00000000-0000-0000-0000-000000000000}
备注
我们设置脚本,以便 GUID 的最后 12 位数字是下载文件的年、月、日和时间,以便每次创建新文件夹。 可以对此进行更改,以便每次将文件下载到同一个文件夹。
将安全智能包从 https://www.microsoft.com/wdsi/definitions 下载到 GUID 文件夹中。 该文件应名为 mpam-fe.exe
。
打开命令提示符窗口并导航到创建的 GUID 文件夹。 使用 /X
提取命令提取文件。 例如 mpam-fe.exe /X
。
备注
每当使用提取的更新包创建新的 GUID 文件夹时,或者每当使用新提取的包更新现有文件夹时,VM 都将选取更新的包。
Microsoft Defender防病毒配置设置
通过使用以下建议的配置设置启用包含的威胁防护功能,这一点很重要。 它针对 VDI 环境进行优化。
提示
创建 和管理中央存储中提供了最新的 Windows 组策略管理模板。
启用无外设 UI 模式: Enabled
备注
此策略对组织中的最终用户隐藏整个 Microsoft Defender 防病毒用户界面。
禁止显示所有通知: Enabled
备注
有时,Microsoft Defender防病毒通知发送到多个会话或跨多个会话保留。 若要帮助避免用户混淆,可以锁定Microsoft Defender防病毒用户界面。
取消通知可防止在扫描完成或采取修正操作时显示来自Microsoft Defender防病毒的通知。 但是,如果检测到并停止攻击,安全运营团队将看到扫描结果。 将生成警报(如初始访问警报),并显示在Microsoft Defender门户中。
配置扩展云检查:20
选择云保护级别: Enabled - High
启用文件哈希计算功能: Enabled
备注
仅当使用指示器 - 文件哈希时,才需要“启用文件哈希计算功能”。 这可能会导致更高的 CPU 使用率,因为它必须通过磁盘上的每个二进制文件进行分析才能获取文件哈希。
在运行计划扫描之前,检查是否有最新的病毒和间谍软件安全智能: Enabled
扫描存档文件: Enabled
扫描网络文件: Not configured
扫描打包的可执行文件: Enabled
扫描可移动驱动器: Enabled
启用追赶完全扫描 (禁用完全扫描) 追赶: Not configured
启用赶超快速扫描 (禁用) 赶超快速扫描: Not configured
备注
如果想要强化,可以将“启用赶上快速扫描”更改为启用,这将在 VM 脱机且错过两次或更多连续计划扫描时有所帮助。 但由于它正在运行计划扫描,因此将使用额外的 CPU。
启用电子邮件扫描: Enabled
启用启发式: Enabled
启用重新分析点扫描: Enabled
为计划扫描配置低 CPU 优先级 (对计划扫描使用低 CPU 优先级) : Not configured
指定扫描期间 CPU 使用率的最大百分比 (每个扫描) 的 CPU 使用率限制: 50
仅当计算机处于打开但未使用状态时才启动计划扫描, (ScanOnlyIfIdle) : Not configured
使用以下 cmdlet 在设备处于被动模式时停止快速或计划的扫描。
Set-MpPreference -ScanOnlyIfIdleEnabled $false
提示
设置“仅在计算机处于打开但未使用状态时启动计划扫描”可防止在高密度环境中出现大量 CPU 争用。
指定要用于计划扫描的扫描类型 (扫描类型) : Not configured
指定一天中运行计划扫描的时间 (星期几运行计划扫描) : Not configured
指定运行计划扫描的星期几 (一天中的时间,以运行计划扫描) : Not configured
将所有可用规则配置为 Audit
。
阻止用户和应用访问危险网站 (启用网络保护) : Enabled - Audit mode
。
适用于 Microsoft Edge 的 SmartScreen
运行 Windows Defender 缓存维护计划任务
针对非持久性和/或持久性 VDI 环境优化“Windows Defender 缓存维护”计划任务。 在密封前对main映像运行此任务。
打开 任务计划程序 mmc (taskschd.msc
) 。
展开 WindowsWindows DefenderMicrosoft>>任务计划程序库>,然后右键单击“Windows Defender 缓存维护”。
选择“ 运行”,让计划任务完成。
警告
如果不执行此操作,则在每个 VM 上运行缓存维护任务时,可能会导致更高的 CPU 利用率。
启用篡改防护以防止在Microsoft Defender门户中禁用Microsoft Defender防病毒。
如果认为需要添加排除项,请参阅管理Microsoft Defender for Endpoint的排除项和Microsoft Defender防病毒。
如果还要将终结点检测和响应 (EDR) 部署到基于 Windows 的 VDI VM,请参阅在 Microsoft Defender XDR 中载入非持久性虚拟桌面基础结构 (VDI) 设备。
如果要在非 Windows 平台上查找有关 Defender for Endpoint 的信息,请参阅以下资源: