在远程桌面或虚拟桌面基础结构环境中配置Microsoft Defender防病毒

  • 项目

适用于:

平台

  • Windows

提示

本文专为使用 Microsoft Defender 防病毒功能的客户设计。 如果Microsoft Defender for Endpoint (包括Microsoft Defender防病毒以及其他设备保护功能) ,请跳过本文,继续在 Microsoft Defender XDR 中加入非持久性虚拟桌面基础结构 (VDI) 设备.

可以在远程桌面 (RDS) 或非持久性虚拟桌面基础结构 (VDI) 环境中使用Microsoft Defender防病毒。 按照本文中的指南操作,可以将更新配置为在用户登录时直接下载到 RDS 或 VDI 环境。

本指南介绍如何在 VM 上配置Microsoft Defender防病毒以实现最佳保护和性能,包括如何:

重要

尽管 VDI 可以托管在 Windows Server 2012 或 Windows Server 2016 上,但虚拟机 (VM) 应运行 Windows 10 版本 1607,因为 Windows 早期版本中不可用的保护技术和功能已增加。

为安全智能设置专用 VDI 文件共享

Windows 10版本 1903 中,Microsoft 引入了共享安全智能功能,该功能将下载的安全智能更新卸载到主机上。 此方法可减少单个计算机上的 CPU、磁盘和内存资源的使用率。 共享安全智能现在适用于Windows 10版本 1703 及更高版本。 可以使用 组策略 或 PowerShell 设置此功能,如下表所述:

方法 Procedure
组策略 1. 在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。

2. 在“组策略管理编辑器”中,转到“计算机配置”。

选择“ 管理模板”。

将树展开到 Windows 组件>Microsoft Defender防病毒>安全智能汇报

3.双击“ 定义 VDI 客户端的安全智能位置”,然后将选项设置为 “已启用”。 字段会自动显示。

4. 输入 \\<sharedlocation\>\wdav-update (以获取此值的帮助,请参阅 下载和解压缩) 。

5.选择“ 确定”。

将 GPO 部署到要测试的 VM。
PowerShell 1. 在每个 RDS 或 VDI 设备上,使用以下 cmdlet 启用该功能: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update

2. 推送更新,就像通常将基于 PowerShell 的配置策略推送到 VM 上一样。 (请参阅共享位置>条目的<下载和解压缩部分。)

下载并解压缩最新更新

现在可以开始下载和安装新更新。 我们在下面为你创建了一个示例 PowerShell 脚本。 此脚本是下载新更新并为 VM 做好准备的最简单方法。 然后,应通过使用计划任务 (将脚本设置为在特定时间在管理计算机上运行;如果熟悉在 Azure、Intune 或 SCCM 中使用 PowerShell 脚本,还可以) 使用这些脚本。

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

可以将计划任务设置为每天运行一次,以便每当下载并解压缩包时,VM 都会收到新的更新。 我们建议从一天开始一次,但你应该尝试增加或减少频率以了解影响。

安全智能包通常每三到四小时发布一次。 建议不要将频率设置为短于 4 小时,因为这会增加管理计算机上的网络开销,不会带来任何好处。

还可以设置单一服务器或计算机,以按时间间隔代表 VM 提取更新,并将其置于文件共享中以供使用。 如果设备具有共享和读取访问权限, (NTFS 权限) 共享,以便获取更新,则此配置是可能的。 若要设置此配置,请执行以下步骤:

  1. 创建 SMB/CIFS 文件共享。

  2. 使用以下示例创建具有以下共享权限的文件共享。

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    注意

    经过身份验证的用户:Read:添加了 NTFS 权限。

    对于此示例,文件共享为:

    \\fileserver.fqdn\mdatp$\wdav-update

设置计划任务以运行 PowerShell 脚本

  1. 在管理计算机上,打开“开始”菜单并键入 “任务计划程序”。 打开它,然后在侧面板上选择“ 创建任务...”

  2. 输入名称作为 安全智能解压缩程序。 转到“ 触发器 ”选项卡。选择“ 新建...”>每日,然后选择 “确定”。

  3. 转到“操作”选项卡。选择“新建...”“程序/脚本”字段中输入 PowerShell。 在“添加参数”字段中输入-ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 。 选择“确定”

  4. 根据需要配置任何其他设置。

  5. 选择“ 确定” 以保存计划任务。

可以通过右键单击任务并选择“ 运行”来手动启动更新。

手动下载和解压缩

如果希望手动执行所有操作,可执行以下操作来复制脚本的行为:

  1. 在系统根目录中创建名为 wdav_update 的新文件夹以存储智能更新,例如,创建文件夹 c:\wdav_update

  2. 使用 GUID 名称 在 wdav_update 下创建子文件夹,例如 {00000000-0000-0000-0000-000000000000}

    下面是一个示例: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    注意

    在脚本中,我们设置它,以便 GUID 的最后 12 位数字是下载文件的年、月、日和时间,以便每次创建新文件夹。 可以对此进行更改,以便每次将文件下载到同一个文件夹。

  3. 将安全智能包从 https://www.microsoft.com/wdsi/definitions 下载到 GUID 文件夹中。 该文件应名为 mpam-fe.exe

  4. 打开 cmd 提示窗口并导航到创建的 GUID 文件夹。 使用 /X 提取命令提取文件,例如 mpam-fe.exe /X

    注意

    每当使用提取的更新包创建新的 GUID 文件夹时,或者每当使用新提取的包更新现有文件夹时,VM 都将选取更新的包。

随机化计划的扫描

除了 实时保护和扫描之外,计划扫描还会运行。

扫描本身的开始时间仍基于计划扫描策略 (ScheduleDayScheduleTimeScheduleQuickScanTime) 。 随机化将导致Microsoft Defender防病毒在为计划扫描设置的时间后,在四小时内在每台计算机上启动扫描。

有关可用于 计划扫描 的其他配置选项,请参阅计划扫描。

使用快速扫描

可以指定在计划扫描期间应执行的扫描类型。 快速扫描是首选方法,因为它们旨在查找恶意软件需要驻留才能处于活动状态的所有位置。 以下过程介绍如何使用组策略设置快速扫描。

  1. 在组策略编辑器中,转到“管理模板>Windows 组件>Microsoft Defender防病毒>扫描”。

  2. 选择“ 指定要用于计划扫描的扫描类型 ”,然后编辑策略设置。

  3. 将策略设置为 “已启用”,然后在 “选项”下选择“ 快速扫描”。

  4. 选择“确定”。

  5. 如通常一样部署组策略对象。

阻止通知

有时,Microsoft Defender防病毒通知发送到多个会话或跨多个会话保留。 若要帮助避免用户混淆,可以锁定Microsoft Defender防病毒用户界面。 以下过程介绍如何使用组策略取消通知。

  1. 在组策略编辑器中,转到 Windows 组件>Microsoft Defender防病毒>客户端接口

  2. 选择“ 取消所有通知” ,然后编辑策略设置。

  3. 将策略设置为 “已启用”,然后选择“ 确定”。

  4. 如通常一样部署组策略对象。

取消通知可防止在扫描完成或采取修正操作时显示来自Microsoft Defender防病毒的通知。 但是,如果检测到并停止攻击,安全运营团队将看到扫描结果。 警报(如初始访问警报)将生成,并显示在Microsoft Defender门户中

更新后禁用扫描

在更新后禁用扫描将阻止在收到更新后进行扫描。 如果还运行了快速扫描,则可以在创建基础映像时应用此设置。 这样,就可以防止新更新的 VM 再次执行扫描 (,因为) 创建基础映像时已经扫描过它。

重要

更新后运行扫描将有助于确保 VM 受到最新安全智能更新的保护。 禁用此选项将降低 VM 的保护级别,仅应在首次创建或部署基础映像时使用。

  1. 在组策略编辑器中,转到 Windows 组件>Microsoft Defender防病毒>安全智能汇报

  2. 选择“ 在安全智能更新后启用扫描 ”,然后编辑策略设置。

  3. 将策略设置为 “已禁用”。

  4. 选择“确定”。

  5. 如通常一样部署组策略对象。

此策略可防止扫描在更新后立即运行。

ScanOnlyIfIdle禁用 选项

使用以下 cmdlet 在设备处于被动模式时停止快速或计划的扫描。

Set-MpPreference -ScanOnlyIfIdleEnabled $false

还可以ScanOnlyIfIdle通过本地或域组策略通过配置禁用 Microsoft Defender 防病毒中的 选项。 此设置可防止在高密度环境中出现大量 CPU 争用。

有关详细信息,请参阅 仅在计算机打开但未使用时启动计划扫描

扫描已脱机的 VM

  1. 在组策略编辑器中,转到 Windows 组件>Microsoft Defender防病毒>扫描

  2. 选择“ 启用赶超快速扫描 ”,然后编辑策略设置。

  3. 将策略设置为 “已启用”。

  4. 选择“确定”

  5. 像往常一样部署 组策略 对象。

如果 VM 错过了两次或多次连续的计划扫描,则此策略将强制扫描。

启用无外设 UI 模式

  1. 在组策略编辑器中,转到 Windows 组件>Microsoft Defender防病毒>客户端接口

  2. 选择 “启用无外设 UI 模式 ”并编辑策略。

  3. 将策略设置为 “已启用”。

  4. 选择“确定”

  5. 像往常一样部署 组策略 对象。

此策略对组织中的最终用户隐藏整个 Microsoft Defender 防病毒用户界面。

排除项

如果认为需要添加排除项,请参阅管理Microsoft Defender for Endpoint的排除项和Microsoft Defender防病毒

另请参阅

如果要在非 Windows 平台上查找有关 Defender for Endpoint 的信息,请参阅以下资源:

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动:Microsoft Defender for Endpoint技术社区