在 Azure 虚拟桌面中加入 Windows 设备
6 分钟阅读
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- 在 Azure 虚拟桌面 (AVD) 上运行的 Windows 多会话
- Windows 10 企业版多会话
Microsoft Defender for Endpoint 支持监视 VDI 和 Azure 虚拟桌面会话。 根据组织的需求,可能需要实现 VDI 或 Azure 虚拟桌面会话,以帮助员工从非托管设备、远程位置或类似方案访问公司数据和应用。 使用 Microsoft Defender for Endpoint,可以监视这些虚拟机是否存在异常活动。
开始之前
熟悉 非持久性 VDI 的注意事项。 虽然 Azure 虚拟桌面 不提供非持久性选项,但它确实提供了使用可用于预配新主机和重新部署计算机的黄金 Windows 映像的方法。 这会增加环境的波动性,从而影响在 Microsoft Defender for Endpoint 门户中创建和维护哪些条目,这可能会降低安全分析师的可见性。
注意
根据你选择的载入方法,设备可以在 Microsoft Defender for Endpoint 门户中显示为:
- 每个虚拟桌面的单个条目
- 每个虚拟桌面的多个条目
Microsoft建议将 Azure 虚拟桌面作为每个虚拟桌面的单个条目加入。 这可确保 Microsoft Defender for Endpoint 门户中的调查体验位于基于计算机名称的一个设备的上下文中。 经常删除和重新部署 AVD 主机的组织应强烈考虑使用此方法,因为它可以防止在 Microsoft Defender for Endpoint 门户中为同一台计算机创建多个对象。 调查事件时,这可能会导致混淆。 对于测试环境或非易失性环境,可以选择不同的选择。
Microsoft建议将 Microsoft Defender for Endpoint 载入脚本添加到 AVD 黄金映像。 这样,就可以确保此载入脚本在第一次启动时立即运行。 它在从 AVD 黄金映像预配的所有 AVD 计算机上首次启动时作为启动脚本执行。 但是,如果在未修改的情况下使用其中一个库映像,请将脚本置于共享位置,并从本地或域组策略调用它。
注意
VDI 载入启动脚本在 AVD 黄金映像上的放置和配置将其配置为在 AVD 启动时运行的启动脚本。 不建议载入实际的 AVD 黄金映像。 另一个注意事项是用于运行脚本的方法。 它应在启动/预配过程中尽可能早地运行,以减少计算机可用于接收会话和设备加入服务之间的时间。 下面的方案 1 和 2 考虑到了这一点。
应用场景
有几种方法可以载入 AVD 主机:
- 在黄金映像 (或在启动期间从共享位置) 运行脚本。
- 使用管理工具运行脚本。
- 通过 与 Microsoft Defender for Cloud 集成
方案 1:使用本地组策略
此方案要求将脚本置于黄金映像中,并使用本地组策略在启动过程的早期运行。
使用载入 非持久性虚拟桌面基础结构中的说明 (VDI) 设备。
按照每个设备单个条目的说明进行操作。
方案 2:使用域组策略
此方案使用位于中心位置的脚本,并使用基于域的组策略运行它。 还可以将脚本置于黄金映像中,并采用相同的方式运行它。
从 Microsoft Defender 门户下载 WindowsDefenderATPOnboardingPackage.zip 文件
打开 VDI 配置包 .zip 文件 (WindowsDefenderATPOnboardingPackage.zip)
- 在 Microsoft Defender 门户导航窗格中,选择“设备管理) ”下的“设置>终结点>载入 (”。
- 选择“Windows 10”或“Windows 11”作为操作系统。
- 在 “部署方法 ”字段中,为非持久性终结点选择“VDI 载入脚本”。
- 单击“ 下载包 ”并保存 .zip 文件。
将 .zip 文件的内容提取到可供设备访问的共享只读位置。 应有一个名为 OptionalParamsPolicy 的文件夹,文件 WindowsDefenderATPOnboardingScript.cmd 和 Onboard-NonPersistentMachine.ps1。
在虚拟机启动时,使用组策略管理控制台运行脚本
(GPMC) 打开组策略管理控制台,右键单击要配置的组策略对象 (GPO) ,然后单击“ 编辑”。
在“组策略管理编辑器”中,转到 “计算机配置>首选项>”“控制面板设置”。
右键单击“ 计划的任务”,单击“ 新建”,然后单击“ 立即任务 ” (“至少 Windows 7) ”。
在打开的“任务”窗口中,转到“ 常规 ”选项卡。在 “安全选项” 下,单击“ 更改用户或组 ”,然后键入“SYSTEM”。 单击“ 检查名称 ”,然后单击“确定”。 NT AUTHORITY\SYSTEM 显示为任务运行方式的用户帐户。
选中“ 无论用户是否登录,都运行 ”,并选中 “使用最高特权运行 ”复选框。
转到“ 操作” 选项卡,然后单击“ 新建”。 确保在“操作”字段中选择了 “启动程序 ”。 输入以下信息:
Action = "Start a program"Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exeAdd Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"然后选择“ 确定” 并关闭任何打开的 GPMC 窗口。
方案 3:使用管理工具加入
如果计划使用管理工具管理计算机,可以使用 Microsoft Endpoint Configuration Manager 加入设备。
有关详细信息,请参阅 使用 Configuration Manager 载入 Windows 设备。
警告
如果计划使用 攻击面减少规则引用,请注意,不应使用规则“阻止源自 PSExec 和 WMI 命令的进程创建”,因为该规则与通过 Microsoft Endpoint Configuration Manager 进行管理不兼容。 规则阻止 Configuration Manager 客户端用来正常运行的 WMI 命令。
提示
载入设备后,可以选择运行检测测试,以验证设备是否已正确载入服务。 有关详细信息,请参阅 在新加入的 Microsoft Defender for Endpoint 设备上运行检测测试。
生成黄金映像时标记计算机
作为载入的一部分,你可能需要考虑设置计算机标记,以在Microsoft安全中心更轻松地区分 AVD 计算机。 有关详细信息,请参阅 通过设置注册表项值添加设备标记。
其他建议的配置设置
生成黄金映像时,可能还需要配置初始保护设置。 有关详细信息,请参阅 其他建议的配置设置。
此外,如果使用的是 FSlogix 用户配置文件,建议遵循 FSLogix 防病毒排除中所述的指导。
许可要求
使用 Windows 企业版多会话时,根据我们的安全最佳做法,虚拟机可以通过 Microsoft Defender for Servers 获得许可,也可以选择让所有 Azure 虚拟桌面虚拟机用户通过以下许可证之一获得许可:
- 每个用户Microsoft Defender for Endpoint 计划 1 或计划 2 ()
- Windows 企业版 E3
- Windows 企业版 E5
- Microsoft 365 E3
- Microsoft 365 E5 安全性
- Microsoft 365 E5
Microsoft Defender for Endpoint 的许可要求可在以下位置找到: 许可要求。
相关链接
通过 PowerShell 为 Defender for Endpoint 添加排除项
在远程桌面或虚拟桌面基础结构环境中配置 Microsoft Defender 防病毒
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。