將非持續性虛擬桌面基礎結構 (VDI) 裝置上線 Microsoft Defender 全面偵測回應

  • 發行項

虛擬桌面基礎結構 (VDI) 是 IT 基礎結構概念,可讓使用者從幾乎任何裝置 (存取企業虛擬桌面實例,例如您的個人計算機、智慧型手機或平板電腦) ,而不需要組織為使用者提供實體機器。 使用 VDI 裝置可降低成本,因為 IT 部門不再負責管理、修復和取代實體端點。 授權的使用者可以透過安全的桌面用戶端或瀏覽器,從任何核准的裝置存取相同的公司伺服器、檔案、應用程式和服務。

和IT環境中的任何其他系統一樣,這些系統也應該具有端點偵測和回應 (EDR) 和防病毒軟體解決方案,以防範進階威脅和攻擊。

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

注意事項

持續性 VDI 的 - 將持續性 VDI 機器上線至 適用於端點的 Microsoft Defender 的處理方式,與您將實體計算機上線的方式相同,例如桌面電腦或膝上型電腦。 組策略、Microsoft Configuration Manager 和其他方法可用來將永續性計算機上線。 在 Microsoft Defender 入口網站中, (https://security.microsoft.com) 上線],選取您慣用的上線方法,然後遵循該類型的指示。 如需詳細資訊 ,請參閱將 Windows 用戶端上線。

將非持續性虛擬桌面基礎結構上線 (VDI) 裝置

適用於端點的Defender支援非持續性 VDI 會話上線。

將 VDI 實例上線時,可能會有相關聯的挑戰。 以下是此案例的一般挑戰:

  • 短期會話的立即提早上線,必須在實際布建之前上線至適用於端點的 Defender。
  • 裝置名稱通常會重複用於新的工作階段。

在 VDI 環境中,VDI 實例的存留期可能很短。 VDI 裝置可以在 Microsoft Defender 入口網站中顯示為每個 VDI 實例的單一專案或每個裝置的多個專案。

  • 每個 VDI 實例的單一專案。 如果 VDI 實例已上線至 適用於端點的 Microsoft Defender,並在某個時間點刪除,然後使用相同的主機名重新建立,則不會在入口網站中建立代表此 VDI 實例的新物件。

    注意事項

    在此情況下,必須在建立會話時設定 相同的 裝置名稱,例如使用自動響應檔案。

  • 每個裝置有多個專案 -每個 VDI 實例各一個。

重要事項

如果您要透過複製技術部署非持續性 VDI,請確定您的內部範本 VM 未上線至適用於端點的 Defender。 此建議是為了避免複製的 VM 以與範本 VM 相同的 senseGuid 上線,這可防止 VM 在 [裝置] 清單中顯示為新專案。

下列步驟會引導您將 VDI 裝置上線,並醒目提示單一和多個專案的步驟。

警告

針對資源設定不足的環境,VDI 開機程式可能會使適用於端點的 Defender 感測器上線速度變慢。

上線步驟

注意事項

Windows Server 2016 和 Windows Server 2012 R2 必須先使用上架 Windows 伺服器中的指示套用安裝套件,才能讓此功能運作。

  1. 開啟您從服務上線精靈下載的 VDI 組態套件 .zip 檔案 (WindowsDefenderATPOnboardingPackage.zip) 。 您也可以從 Microsoft Defender 入口網站取得套

    1. 在瀏覽窗格中,選取 [ 設定>端點>裝置管理>上線]

    2. 選取作業系統。

    3. [部署方法] 欄位中,選取 [非持續性端點的 VDI 上線指令碼]

    4. 按一下 [下載套件],然後儲存 .zip 檔案。

  2. 將從 .zip 檔案擷取的 WindowsDefenderATPOnboardingPackage 資料夾中的檔案複製到路徑 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup底下的黃金/主要映像。

    1. 如果您要為每個裝置實作多個專案 -每個會話各一個專案,請複製WindowsDefenderATPOnboardingScript.cmd。

    2. 如果您要為每個裝置實作單一專案,請複製 Onboard-NonPersistentMachine.ps1 和WindowsDefenderATPOnboardingScript.cmd。

    注意事項

    如果您看不到 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 資料夾,該資料夾可能隱藏起來。 您必須從檔案總管選擇 [顯示隱藏的檔案及資料夾] 選項。

  3. 開啟 [本機群組原則編輯器] 視窗,並瀏覽至 [設定]>[Windows 設定]>[指令碼]>[啟動]

    注意事項

    網域群組原則也可以用來將非持續性 VDI 裝置上線。

  4. 根據要實作的方法,請遵循適當的步驟:

    • 針對每個裝置的單一專案:

      選取 [PowerShell 腳本] 索引 標籤,然後選取 [ 新增 (Windows 檔案總管] 會直接在您稍早複製上線腳本的路徑中開啟) 。 瀏覽至上線 PowerShell 指令碼 Onboard-NonPersistentMachine.ps1。 不需要指定另一個檔案,因為它會自動觸發。

    • 針對每個裝置的多個項目:

      選取 [腳本] 索引卷標,然後按兩下 [ 新增 (Windows 檔案總管] 會直接在您稍早複製上線腳本的路徑中開啟) 。 瀏覽至上線 bash 指令碼 WindowsDefenderATPOnboardingScript.cmd

  5. 測試您的解決方案:

    1. 使用一個裝置建立一個集區。

    2. 登入裝置。

    3. 從裝置註銷。

    4. 與其他使用者一起登入裝置。

    5. 根據要實作的方法,請遵循適當的步驟:

      • 針對每個裝置的單一專案:在入口網站中只檢查 Microsoft Defender 一個專案。
      • 針對每個裝置的多個專案:檢查 Microsoft Defender 入口網站中的多個專案。

  6. 按一下 [瀏覽] 窗格上的 [裝置清單]

  7. 藉由輸入裝置名稱並選取 [裝置] 作為搜尋類型,來使用搜尋功能。

適用於 Windows Server 2008 R2 (舊版 SKU)

注意事項

如果您針對需要 MMA 的 Windows Server 2016 和 Windows Server 2012 R2 執行先前的 適用於端點的 Microsoft Defender,其他 Windows 伺服器版本的這些指示也適用。 移轉至新整合解決方案的指示位於 適用於端點的 Microsoft Defender 中的伺服器移轉案例。

只有當目標是要達到「每個裝置的單一專案」時,下列登錄才會相關。

  1. 將登入值設定為:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    或使用命令列:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. 遵循 伺服器上線程式

更新虛擬桌面基礎結構 (VDI) 映像 (持續性或非持續性)

由於能夠輕鬆地將更新部署到在 VPI 中執行的 VM,我們縮短了本指南,將焦點放在如何快速且輕鬆地取得電腦上的更新。 您不再需要定期建立和密封黃金映射,因為更新會擴充到主機伺服器上的元件位,然後在 VM 開啟時直接下載到該 VM。

如果您已將 VDI 環境的主要映射上線, (SENSE 服務正在執行) ,則必須先離線並清除一些數據,才能將映像放回生產環境。

  1. 將計算機下線

  2. 在 CMD 視窗中執行下列命令,確定感測器已停止:

    sc query sense

  3. 在 CMD 視窗中執行下列命令:

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

您是否針對 VDI 使用第三方?

如果您要透過 VMware 立即複製或類似的技術部署非持續性 VDI,請確定內部範本 VM 和復本 VM 未上線至適用於端點的 Defender。 如果您使用單一輸入方法將裝置上線,從已上線 VM 布建的立即複製可能會有相同的 senseGuid,而且可以阻止新的專案列在 Microsoft Defender 入口網站的 [裝置清查] 檢視 ( 中,請選擇 [資產>裝置) ]。

如果使用單一輸入方法將主要映像、範本 VM 或復本 VM 上線至適用於端點的 Defender,則會阻止 Defender 在 Microsoft Defender 入口網站中為新的非持續性 VDI 建立專案。

請連絡您的第三方廠商以取得進一步的協助。

將裝置上線到服務之後,使用下列建議的組態設來以啟用裝置,以善用包含的威脅防護功能非常重要。

新一代保護設定

建議使用下列組態設定:

雲端保護服務

  • 開啟雲端提供的保護:是
  • 雲端式保護層級:未設定
  • Defender Cloud 擴充逾時以秒為單位:20

排除項目

實時保護

  • 開啟所有設定並設定為監視所有檔案

補救

  • 保留隔離惡意代碼的天數:30
  • 提交範例同意:自動傳送所有範例
  • 對潛在垃圾應用程式採取的動作:啟用
  • 偵測到威脅的動作:
    • 低威脅:清除
    • 中度威脅、高威脅、嚴重威脅:隔離

掃描

  • 掃描封存的檔案:是
  • 針對排程掃描使用低 CPU 優先順序:未設定
  • 停用追補完整掃描:未設定
  • 停用追補快速掃描:未設定
  • 每個掃描的CPU使用量限制:50
  • 在完整掃描期間掃描對應的網路驅動器機:未設定
  • 在下列日期執行每日快速掃描:下午 12 點
  • 掃描類型:未設定
  • 執行排程掃描的星期幾:未設定
  • 執行排程掃描的當日時間:未設定
  • 在執行掃描之前檢查簽章更新:是

更新

  • 輸入檢查安全性情報更新的頻率:8
  • 讓其他設定保持默認狀態

使用者體驗

  • 允許使用者存取 Microsoft Defender 應用程式:未設定

啟用竄改保護

  • 啟用竄改保護以防止 Microsoft Defender 停用:啟用

受攻擊面縮小

  • 啟用網路保護:測試模式
  • 需要適用於 Microsoft Edge 的 SmartScreen:是
  • 封鎖惡意網站存取:是
  • 封鎖未經驗證的檔案下載:是

受攻擊面縮小規則

  • 設定所有可用的規則以稽核。

注意事項

封鎖這些活動可能會中斷合法的商業程序。 最佳做法是設定所有項目進行稽核、識別哪些項目可以安全開啟,然後在沒有誤判的端點上啟用這些設定。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。