在遠端桌面或虛擬桌面基礎結構環境中設定 Microsoft Defender 防病毒軟體

  • 發行項

適用於:

平台

  • Windows

提示

本文是專為僅使用 Microsoft Defender 防病毒軟體功能的客戶所設計。 如果您有包含 Microsoft Defender 防病毒軟體及其他裝置防護功能) 的 適用於端點的 Microsoft Defender (,請略過本文,並繼續在 Microsoft Defender 全面偵測回應 中將非持續性虛擬桌面基礎結構 (VDI) 裝置上線

您可以在遠端桌面 (RDS) 或非持續性虛擬桌面基礎結構 (VDI) 環境中使用 Microsoft Defender 防病毒軟體。 遵循本文中的指引,您可以設定更新,以在使用者登入時直接下載到您的 RDS 或 VDI 環境。

本指南說明如何在 VM 上設定 Microsoft Defender 防病毒軟體,以獲得最佳的保護和效能,包括如何:

重要事項

雖然 VDI 可以裝載在 Windows Server 2012 或 Windows Server 2016 上,但虛擬機 (VM) 至少應該執行 Windows 10 1607 版,因為舊版 Windows 中無法使用的保護技術和功能增加。

設定安全性情報的專用 VDI 檔案共用

在 Windows 10 1903 版中,Microsoft 引進了共用安全情報功能,可將下載的安全情報更新解除封裝到主電腦上。 此方法可減少個別計算機上CPU、磁碟和記憶體資源的使用量。 共用安全性情報現在適用於 Windows 10 1703 版和更新版本。 您可以使用 群組原則 或 PowerShell 來設定此功能,如下表所述:

方法 程序
群組原則 1.在您的 群組原則 管理計算機上,開啟 群組原則 管理控制台,以滑鼠右鍵按兩下您要設定的 群組原則 物件,然後選取 [編輯]

2.在 [群組原則 管理] 編輯器 中,移至 [計算機設定]

取 [系統管理範本]

將樹狀結構展開至 Windows 元件>Microsoft Defender 防病毒軟體>安全情報 匯報

3.按兩下 [定義 VDI 用戶端的安全情報位置],然後將選項設定為 [ 已啟用]。 欄位會自動出現。

4.輸入 \\<sharedlocation\>\wdav-update (以取得此值的說明,請參閱 下載並解除封裝) 。

5.選取 [確定]

將 GPO 部署到您想要測試的 VM。
PowerShell 1.在每個 RDS 或 VDI 裝置上,使用下列 Cmdlet 來啟用此功能: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update

2.如往常般推送更新,將以 PowerShell 為基礎的設定原則推送至您的 VM。 (請參閱共用位置>項目的下載和解除封裝一節<。)

下載並解除封裝最新的更新

現在您可以開始下載並安裝新的更新。 我們已在下方為您建立範例 PowerShell 腳本。 此腳本是下載新更新並準備好供 VM 使用的最簡單方式。 接著,您應該使用已排程的工作 (,將腳本設定為在管理計算機的特定時間執行,或者,如果您熟悉在 Azure、Intune 或 SCCM 中使用 PowerShell 腳本,也可以使用這些腳本) 。

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

您可以將排程的工作設定為每天執行一次,如此一來,每當下載並解除封裝套件時,VM 就會收到新的更新。 建議您從一天一次開始,但您應該嘗試增加或減少頻率,以了解影響。

安全性情報套件通常每三到四小時發佈一次。 不建議將頻率設定為短於四小時,因為這樣會增加您管理計算機上的網路額外負荷,而不會帶來任何好處。

您也可以設定單一伺服器或計算機,以間隔代表 VM 擷取更新,並將它們放在檔案共用中以供取用。 當裝置具有共用和讀取存取權 (NTFS 許可權) 共用,以便取得更新時,便可進行此設定。 若要設定此設定,請遵循下列步驟:

  1. Create SMB/CIFS 檔案共用。

  2. 使用下列範例建立具有下列共用許可權的檔案共用。

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    注意事項

    已為已驗證的使用者新增NTFS 許可權:Read:

    在此範例中,檔案共享為:

    \\fileserver.fqdn\mdatp$\wdav-update

設定排程工作以執行 PowerShell 腳本

  1. 在管理計算機上,開啟 [開始] 功能表,然後輸入 [工作排程器]。 開啟它,然後在側邊面板上選取 [Create 任務...]。

  2. 輸入名稱作為 安全性情報解壓縮程式。 移至 [觸發程式] 索引 標籤。選取 [新增...]>每天,然後選取 [確定]

  3. 移至 [動作] 索引標籤。選取 [新增...]在 [程式/腳本] 字段中輸入 PowerShell。 在 -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 [ 新增自變數 ] 欄位中輸入 。 選取 [確定]

  4. 視需要設定任何其他設定。

  5. 選取 [確定 ] 以儲存排程的工作。

您可以手動起始更新,方法是以滑鼠右鍵按兩下工作,然後選取[ 執行]

手動下載並解除封裝

如果您想要手動執行所有動作,以下是復寫腳本行為的作法:

  1. Create 系統根目錄上稱為 wdav_update 的新資料夾來儲存智慧更新,例如,建立資料夾 c:\wdav_update

  2. Create 具有 GUID 名稱wdav_update底下的子資料夾,例如{00000000-0000-0000-0000-000000000000}

    以下是範例: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    注意事項

    在腳本中,我們會設定它,讓 GUID 的最後 12 位數是下載檔案時的年、月、日和時間,以便每次建立新的資料夾。 您可以變更此專案,以便每次將檔案下載到相同的資料夾。

  3. https://www.microsoft.com/wdsi/definitions 下載安全性情報套件到 GUID 資料夾。 檔案應該命名為 mpam-fe.exe

  4. 開啟 Cmd 提示字元視窗,並流覽至您建立的 GUID 資料夾。 使用 /X 擷取命令來擷取檔案,例如 mpam-fe.exe /X

    注意事項

    每當使用擷取的更新套件建立新的 GUID 資料夾,或每當現有資料夾以新的擷取套件更新時,VM 就會挑選更新的套件。

隨機化排程掃描

除了 即時保護和掃描之外,還會執行排程的掃描。

掃描本身的開始時間仍以排程掃描原則 (ScheduleDayScheduleTimeScheduleQuickScanTime) 為基礎。 隨機化會導致 Microsoft Defender 防病毒軟體在排程掃描設定的四小時內,在每部計算機上啟動掃描。

如需排程掃描可用的其他設定選項,請參閱 排程掃描

使用快速掃描

您可以指定應在排程掃描期間執行的掃描類型。 快速掃描是慣用的方法,因為其設計目的是要查看惡意代碼必須位於作用中的所有位置。 下列程式描述如何使用 群組原則 設定快速掃描。

  1. 在您的 群組原則 編輯器 中,移至 [系統管理範>本] [Windows 元件>Microsoft Defender 防病毒軟體>掃描]

  2. 取 [指定要用於排程掃描的掃描類型 ],然後編輯原則設定。

  3. 將原則設定為 [已啟用],然後在 [ 選項] 下,選取 [ 快速掃描]

  4. 選取 [確定]

  5. 如常部署您的群組原則物件。

防止通知

有時候,Microsoft Defender 防病毒軟體通知會傳送至多個會話或跨多個會話保存。 若要協助避免使用者混淆,您可以鎖定 Microsoft Defender 防病毒軟體使用者介面。 下列程式描述如何使用 群組原則 來隱藏通知。

  1. 在您的 群組原則 編輯器 中,移至 Windows 元件>Microsoft Defender 防病毒軟體>用戶端介面

  2. 取 [隱藏所有通知] ,然後編輯原則設定。

  3. 將原則設定為 [ 已啟用],然後選取 [ 確定]

  4. 如常部署您的群組原則物件。

隱藏通知可防止在掃描完成或採取補救動作時顯示 Microsoft Defender 防病毒軟體的通知。 不過,如果偵測到攻擊並停止,您的安全性作業小組將會看到掃描的結果。 系統會產生警示,例如初始存取警示,並會出現在 Microsoft Defender 入口網站中

在更新之後停用掃描

在更新之後停用掃描,可防止在收到更新之後進行掃描。 如果您也執行了快速掃描,您可以在建立基底映射時套用此設定。 如此一來,您就可以防止新更新的 VM 再次執行掃描 (因為您已在建立基底映射) 時加以掃描。

重要事項

更新之後執行掃描有助於確保您的 VM 受到最新的安全情報更新保護。 停用此選項會降低 VM 的保護層級,而且應該只在第一次建立或部署基底映射時使用。

  1. 在您的 群組原則 編輯器 中,移至 Windows 元件>Microsoft Defender 防病毒軟體>安全情報 匯報

  2. 取 [安全性情報更新后開啟掃描 ],然後編輯原則設定。

  3. 將原則設定為 [ 已停用]

  4. 選取 [確定]

  5. 如常部署您的群組原則物件。

此原則可防止掃描在更新之後立即執行。

停用 ScanOnlyIfIdle 選項

使用下列 Cmdlet,在裝置處於被動模式時,停止快速或排程的掃描。

Set-MpPreference -ScanOnlyIfIdleEnabled $false

您也可以ScanOnlyIfIdle透過本機或網域組策略,在 Microsoft Defender 防病毒軟體中停用此選項。 此設定可防止高密度環境中發生嚴重的CPU競爭。

如需詳細資訊,請參閱 只有在計算機開啟但未在使用中時,才啟動排程掃描

掃描已離線的 VM

  1. 在您的 群組原則 編輯器 中,移至 [Windows 元件>Microsoft Defender 防病毒軟體>掃描]

  2. 取 [開啟追補快速掃描 ],然後編輯原則設定。

  3. 將原則設定為 [已啟用]

  4. 選取 [確定]

  5. 像您通常一樣部署 群組原則 物件。

如果 VM 錯過兩個或多個連續排程的掃描,此原則會強制掃描。

啟用無外設UI模式

  1. 在您的 群組原則 編輯器 中,移至 Windows 元件>Microsoft Defender 防病毒軟體>用戶端介面

  2. 取 [啟用無外設 UI 模式 ] 並編輯原則。

  3. 將原則設定為 [已啟用]

  4. 選取 [確定]

  5. 像您通常一樣部署 群組原則 物件。

此原則會向組織中的用戶隱藏整個 Microsoft Defender 防病毒軟體使用者介面。

排除項目

如果您認為需要新增排除專案,請參閱管理 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案。

另請參閱

如果您要尋找非 Windows 平臺上適用於端點的 Defender 相關信息,請參閱下列資源:

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。