Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
6 минут на чтение
Microsoft Defender для конечной точки поддерживает мониторинг сеансов VDI и Azure Виртуального рабочего стола. В зависимости от потребностей вашей организации может потребоваться реализовать VDI или Azure сеансы виртуального рабочего стола, чтобы помочь сотрудникам получить доступ к корпоративным данным и приложениям с неуправляемого устройства, удаленного расположения или аналогичного сценария. С помощью Microsoft Defender для конечной точки вы можете отслеживать эти виртуальные машины на наличие аномальных действий.
Примечание.
Средство развертывания Defender (теперь в общедоступной предварительной версии) можно использовать для развертывания безопасности конечных точек Defender на устройствах Windows и Linux. Это упрощенное самообновяющееся приложение, которое упрощает процесс развертывания. Дополнительные сведения см. в разделах Развертывание Microsoft Defender безопасности конечных точек на устройствах Windows с помощью средства развертывания Defender (предварительная версия) и Развертывание Microsoft Defender безопасности конечных точек на устройствах Linux с помощью средства развертывания Defender (предварительная версия).
Подготовка к работе
Ознакомьтесь с рекомендациями по непрекращающемся VDI. Хотя Azure Виртуальный рабочий стол не предоставляет варианты сохранения, он предоставляет способы использования золотого образа Windows, который можно использовать для подготовки новых узлов и повторного развертывания компьютеров. Это повышает волатильность в среде и, таким образом, влияет на то, какие записи создаются и поддерживаются на портале Microsoft Defender для конечной точки, что потенциально снижает видимость для аналитиков безопасности.
Примечание.
В зависимости от выбранного способа подключения устройства могут отображаться на Microsoft Defender для конечной точки портале следующим образом:
- Одна запись для каждого виртуального рабочего стола
- Несколько записей для каждого виртуального рабочего стола
Корпорация Майкрософт рекомендует подключить Azure Виртуальный рабочий стол в качестве одной записи для каждого виртуального рабочего стола. Это гарантирует, что процесс исследования на портале Microsoft Defender для конечной точки находится в контексте одного устройства на основе имени компьютера. Организациям, которые часто удаляют и повторно развертывают узлы AVD, настоятельно рекомендуется использовать этот метод, так как он предотвращает создание нескольких объектов для одного компьютера на портале Microsoft Defender для конечной точки. Это может привести к путанице при расследовании инцидентов. Для тестовых или энергонезависимых сред можно выбрать другой вариант. При использовании одной записи для каждого виртуального рабочего стола нет необходимости отключать виртуальные рабочие столы.
Корпорация Майкрософт рекомендует добавить сценарий подключения Microsoft Defender для конечной точки в золотой образ AVD. Таким образом, вы можете быть уверены, что этот скрипт подключения запускается сразу при первой загрузке. Он выполняется в виде скрипта запуска при первой загрузке на всех компьютерах AVD, подготовленных из золотого образа AVD. Однако если вы используете один из образов коллекции без изменений, разместите сценарий в общем расположении и вызовите его из локальной или групповой политики домена.
Примечание.
Размещение и настройка скрипта запуска подключения VDI в золотом образе AVD настраивает его как скрипт запуска, который запускается при запуске AVD. Не рекомендуется включать фактическое золотое изображение AVD. Также следует учитывать метод, используемый для запуска скрипта. Он должен выполняться как можно раньше в процессе запуска или подготовки, чтобы сократить время между доступом компьютера для получения сеансов и подключением устройства к службе. В приведенных ниже сценариях 1 и 2 это учитывается.
Сценарии
Существует несколько способов подключения хост-компьютера AVD:
- Запустите скрипт в золотом образе (или из общего расположения) во время запуска.
- Используйте средство управления для запуска скрипта.
- Интеграция с Microsoft Defender для облака
Сценарий 1. Использование локальной групповой политики
Этот сценарий требует размещения скрипта в золотом образе и использует локальную групповую политику для запуска в начале процесса загрузки.
Используйте инструкции из статьи Подключение устройств инфраструктуры виртуальных рабочих столов (VDI).
Следуйте инструкциям для одной записи для каждого устройства.
Сценарий 2. Использование групповой политики домена
В этом сценарии используется централизованно расположенный скрипт и он запускается с помощью групповой политики на основе домена. Вы также можете поместить сценарий в золотой образ и запустить его таким же образом.
Скачайте файл WindowsDefenderATPOnboardingPackage.zip с портала Microsoft Defender
Откройте файл .zip пакета конфигурации VDI (WindowsDefenderATPOnboardingPackage.zip)
- В области навигации Microsoft Defender портала выберите Параметры>Подключение конечных> точек(вразделе Управление устройствами).
- Выберите Windows 10 или Windows 11 в качестве операционной системы.
- В поле Метод развертывания выберите Скрипты подключения VDI для непрекращающихся конечных точек.
- Щелкните Скачать пакет и сохраните файл .zip.
Извлеките содержимое файла .zip в общее расположение только для чтения, к которому устройство может получить доступ. У вас должна быть папка OptionalParamsPolicy , а файлы WindowsDefenderATPOnboardingScript.cmd и Onboard-NonPersistentMachine.ps1.
Использование групповая политика консоль управления для запуска скрипта при запуске виртуальной машины
Откройте консоль управления групповая политика (GPMC), щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите команду Изменить.
В редакторе управления групповая политика перейдите в раздел Параметры конфигурации> компьютераПараметры>панели управления.
Щелкните правой кнопкой мыши пункт Запланированные задачи, выберите пункт Создать, а затем — Немедленная задача (по крайней мере Windows 7).
В открывавшемся окне Задача перейдите на вкладку Общие . В разделе Параметры безопасности щелкните Изменить пользователя или Группу и введите SYSTEM. Нажмите кнопку Проверить имена и нажмите кнопку ОК. NT AUTHORITY\SYSTEM отображается как учетная запись пользователя, от имени задачи будет выполняться.
Выберите Выполнить независимо от того, вошел ли пользователь в систему или нет, и проверка поле Запуск с самыми высокими привилегиями проверка.
Перейдите на вкладку Действия и нажмите кнопку Создать. Убедитесь, что в поле Действие выбран пункт Запустить программу . Введите следующее:
Action = "Start a program"Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exeAdd Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"Затем нажмите кнопку ОК и закройте все открытые окна GPMC.
Сценарий 3. Подключение с помощью средств управления
Если вы планируете управлять компьютерами с помощью средства управления, вы можете подключить устройства с помощью microsoft Endpoint Configuration Manager.
Дополнительные сведения см. в статье Подключение устройств Windows с помощью Configuration Manager.
Предупреждение
Если вы планируете использовать справочник по правилам сокращения направлений атак, обратите внимание, что правило "Блокировать создание процессов, создаваемых из команд PSExec и WMI", не следует использовать, так как это правило несовместимо с управлением через конечную точку Майкрософт Configuration Manager. Правило блокирует команды WMI, которые клиент Configuration Manager использует для правильной работы.
Совет
После подключения устройства можно выполнить тест обнаружения, чтобы убедиться, что устройство правильно подключено к службе. Дополнительные сведения см. в статье Запуск теста обнаружения на недавно подключенном Microsoft Defender для конечной точки устройстве.
Добавление тегов к компьютерам при создании золотого образа
В рамках подключения может потребоваться задать тег компьютера, чтобы проще различать компьютеры AVD в Центре безопасности Майкрософт. Дополнительные сведения см. в статье Добавление тегов устройств путем установки значения раздела реестра.
Другие рекомендуемые параметры конфигурации
При создании золотого образа также может потребоваться настроить начальные параметры защиты. Дополнительные сведения см. в разделе Другие рекомендуемые параметры конфигурации.
Кроме того, если вы используете профили пользователей FSlogix, рекомендуется следовать рекомендациям, описанным в разделе Исключения антивирусной программы FSLogix.
Требования к лицензированию
При использовании windows Enterprise с несколькими сеансами в соответствии с нашими рекомендациями по безопасности виртуальная машина может быть лицензирована через Microsoft Defender для серверов, или вы можете выбрать, чтобы все пользователи виртуальных рабочих столов Azure виртуальных рабочих столов лицензировались с помощью одной из следующих лицензий:
- Microsoft Defender для конечной точки план 1 или план 2 (на пользователя)
- Windows Корпоративная E3
- Windows Корпоративная E5
- Microsoft 365 E3
- Microsoft Defender Suite
- Microsoft 365 E5
Требования к лицензированию для Microsoft Defender для конечной точки см. в статье Требования к лицензированию.
Дополнительные ссылки
Добавление исключений для Defender для конечной точки с помощью PowerShell
Исключения защиты от вредоносных программ FSLogix
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.