Microsoft Defender для конечной точки сеансов виртуального рабочего стола Azure
Microsoft Defender для конечной точки поддерживает мониторинг сеансов VDI и Виртуального рабочего стола Azure. В зависимости от потребностей организации может потребоваться реализовать сеансы VDI или Виртуального рабочего стола Azure, чтобы помочь сотрудникам получать доступ к корпоративным данным и приложениям с неуправляемого устройства, удаленного расположения или аналогичного сценария. С помощью Microsoft Defender для конечной точки эти виртуальные машины можно отслеживать для аномальных действий.
Хотя виртуальный рабочий стол Azure не предоставляет варианты непостоянства, он предоставляет способы использования эталонного образа Windows, который можно использовать для настройки новых хостов и переустановки компьютеров. Это повышает волатильность в среде и, таким образом, влияет на то, какие записи создаются и поддерживаются на портале Microsoft Defender для конечной точки, что потенциально снижает видимость для аналитиков безопасности.
В зависимости от выбранного метода подключения устройства могут отображаться на портале Microsoft Defender для конечной точки следующим образом:
- Одна запись для каждого виртуального рабочего стола
- Несколько записей для каждого виртуального рабочего стола
Корпорация Майкрософт рекомендует подключить виртуальный рабочий стол Azure в качестве одной записи на виртуальный рабочий стол. Это гарантирует, что процесс исследования на портале Microsoft Defender для конечной точки находится в контексте одного устройства на основе имени компьютера. Организации, которые часто удаляют и повторно развертывают узлы AVD, настоятельно рекомендуется использовать этот метод, так как он предотвращает создание нескольких объектов для одного компьютера на портале Microsoft Defender для конечной точки. Это может привести к путанице при расследовании инцидентов. Для тестовых или не изменяемых сред можно выбрать разные варианты.
Корпорация Майкрософт рекомендует добавить скрипт подключения Microsoft Defender для конечной точки к золотому изображению AVD. Таким образом, вы можете убедиться, что этот скрипт подключения запускается сразу при первой загрузке. Он выполняется как скрипт запуска при первой загрузке на всех компьютерах AVD, подготовленных из золотого образа AVD. Однако если вы используете один из образов коллекции без изменений, поместите сценарий в общее расположение и вызовите его из локальной или групповой политики домена.
Примечание.
Размещение и настройка скрипта запуска VDI на золотом образе AVD настраивает его как скрипт запуска, который запускается при запуске AVD. Не рекомендуется подключить фактическое золотое изображение AVD. Другим фактором является метод, используемый для запуска скрипта. Он должен выполняться как можно раньше при запуске или подготовке, чтобы сократить время между доступным компьютером для получения сеансов и подключения устройства к службе. Приведенные ниже сценарии 1 и 2 учитывают это.
Сценарии
Существует несколько способов подключения хост-компьютера AVD:
- Запустите скрипт на золотом изображении (или из общего расположения) во время запуска.
- Используйте средство управления для запуска скрипта.
- Интеграция с Microsoft Defender для облака
Сценарий 1. Использование локальной групповой политики
Этот сценарий требует размещения скрипта на золотом изображении и использования локальной групповой политики для запуска в начале процесса загрузки.
Используйте инструкции по подключению непостоянных устройств инфраструктуры виртуальных рабочих столов (VDI).
Следуйте инструкциям для одной записи для каждого устройства.
Сценарий 2. Использование групповой политики домена
Этот сценарий использует централизованно расположенный скрипт и запускает его с помощью групповой политики на основе домена. Вы также можете разместить сценарий в золотом изображении и запустить его таким же образом.
Скачайте файл WindowsDefenderATPOnboardingPackage.zip на портале Microsoft Defender
Откройте файл .zip пакета конфигурации VDI (WindowsDefenderATPOnboardingPackage.zip)
- На панели навигации на портале Microsoft Defender выберите Параметры>Конечные точки>Онбординг (в разделе Управление устройствами).
- Выберите Windows 10 или Windows 11 в качестве операционной системы.
- В поле "Метод развертывания" выберите скрипты подключения VDI для не постоянных конечных точек.
- Нажмите кнопку "Скачать пакет " и сохраните файл .zip.
Извлеките содержимое файла .zip в общее, доступное только для чтения расположение, которое может получить доступ к устройству. У вас должна быть папка с именем OptionalParamsPolicy , а файлы WindowsDefenderATPOnboardingScript.cmd и Onboard-NonPersistentMachine.ps1.
Использование групповой политики консоль управления для запуска скрипта при запуске виртуальной машины
Откройте консоль управления групповыми политиками (GPMC), щелкните правой кнопкой мыши объект групповой политики (GPO), который нужно настроить и нажмите кнопку "Изменить".
В редакторе управления групповыми политиками перейдите к >компьютера.
Щелкните правой кнопкой мыши запланированные задачи, нажмите кнопку "Создать", а затем щелкните "Немедленная задача " (по крайней мере Windows 7).
В открывавшемся окне задачи перейдите на вкладку "Общие". В разделе "Параметры безопасности" щелкните "Изменить пользователя" или "Группа" и введите SYSTEM. Нажмите кнопку "Проверить имена" и нажмите кнопку "ОК". NT AUTHORITY\SYSTEM отображается в качестве учетной записи пользователя, от имени задачи.
Выберите «Выполнять независимо от входа пользователя в систему» и установите флажок «Выполнить с наивысшими привилегиями».
Перейдите на вкладку "Действия" и нажмите кнопку "Создать". Убедитесь, что в поле "Действие" выбрано Запуск программы. Введите следующее:
Действие = "Запуск программы"
Программа/Скрипт = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe
Добавление аргументов (необязательно) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"
Затем нажмите кнопку "ОК " и закройте все открытые окна GPMC.
Сценарий 3. Подключение с помощью средств управления
Если вы планируете управлять компьютерами с помощью средства управления, вы можете напрямую подключить устройства с помощью конфигурации конечной точки Майкрософт.
Совет
После подключения устройства можно запустить тест обнаружения, чтобы убедиться, что устройство правильно подключено к службе. Дополнительные сведения см. в статье Выполнение теста обнаружения на недавно подключенном устройстве Microsoft Defender для конечных точек.
Добавление тегов на компьютеры при создании золотого изображения
В рамках подключения вы можете рассмотреть возможность настройки тега компьютера для более простого отличия компьютеров AVD в Центре безопасности Майкрософт. Для получения дополнительной информации см. добавление тегов устройств путем установки значения ключа реестра.
Другие рекомендуемые параметры конфигурации
При создании золотого образа также может потребоваться настроить начальные параметры защиты. Дополнительные сведения см. в разделе "Другие рекомендуемые параметры конфигурации".
Кроме того, если вы используете профили пользователей FSlogix, рекомендуется следовать инструкциям, описанным в исключениях антивирусной программы FSLogix.
Требования к лицензированию
Примечание о лицензировании. При использовании нескольких сеансов Windows Enterprise в зависимости от ваших требований вы можете иметь лицензию на всех пользователей с помощью Microsoft Defender для конечной точки (на пользователя), Windows Enterprise E5, Безопасность Microsoft 365 E5 или Microsoft 365 E5 или иметь лицензию на виртуальную машину через Microsoft Defender для облака. Требования к лицензированию для Microsoft Defender для конечной точки см. в разделе "Требования к лицензированию".