Konfigurieren Microsoft Defender Antivirus auf einer Remotedesktop- oder virtuellen Desktopinfrastrukturumgebung

Gilt für:

Plattformen

  • Windows

Dieser Artikel richtet sich nur an Kunden, die Microsoft Defender Antivirus-Funktionen verwenden. Wenn Sie über Microsoft Defender for Endpoint verfügen (einschließlich Microsoft Defender Antivirus neben anderen Geräteschutzfunktionen), lesen Sie auch Onboarding von nicht persistenten VDI-Geräten (Virtual Desktop Infrastructure) in Microsoft Defender XDR.

Sie können Microsoft Defender Antivirus in einer Remotedesktopumgebung (RDS) oder einer nicht persistenten VDI-Umgebung (Virtual Desktop Infrastructure) verwenden. Gemäß den Anleitungen in diesem Artikel können Sie Updates so konfigurieren, dass sie direkt in Ihre RDS- oder VDI-Umgebungen heruntergeladen werden, wenn sich ein Benutzer anmeldet.

In diesem Leitfaden wird beschrieben, wie Sie Microsoft Defender Antivirus auf Ihren VMs konfigurieren, um optimalen Schutz und eine optimale Leistung zu erzielen, einschließlich der folgenden Vorgehensweise:

Wichtig

Obwohl eine VDI auf Windows Server 2012 oder Windows Server 2016 gehostet werden kann, sollte auf virtuellen Computern (VMs) mindestens Windows 10 Version 1607 ausgeführt werden, da die Schutztechnologien und Features in früheren Versionen von Windows nicht verfügbar sind.

Einrichten einer dedizierten VDI-Dateifreigabe für Security Intelligence

In Windows 10 Version 1903 hat Microsoft das Shared Security Intelligence-Feature eingeführt, das das Entpacken heruntergeladener Security Intelligence-Updates auf einen Hostcomputer auslädt. Diese Methode reduziert die Auslastung von CPU-, Datenträger- und Arbeitsspeicherressourcen auf einzelnen Computern. Freigegebene Sicherheitsintelligenz funktioniert jetzt unter Windows 10 Version 1703 und höher. Sie können diese Funktion mithilfe von Gruppenrichtlinie oder PowerShell einrichten.

Gruppenrichtlinien

  1. Öffnen Sie auf Ihrem Gruppenrichtlinie Verwaltungscomputer die Gruppenrichtlinie Management Console, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.

  2. Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration.

  3. Wählen Sie Administrative Vorlagen aus. Erweitern Sie die Struktur zu Windows-Komponenten>Microsoft Defender Antivirus>Security Intelligence Updates.

  4. Doppelklicken Sie auf Sicherheitsintelligenzspeicherort für VDI-Clients definieren, und legen Sie dann die Option auf Aktiviert fest.

    Ein Feld wird automatisch angezeigt.

  5. Geben Sie ein \\<Windows File Server shared location\>\wdav-update (Hilfe zu diesem Wert finden Sie unter Herunterladen und Entpacken).

  6. Wählen Sie OK aus, und stellen Sie dann das Gruppenrichtlinie-Objekt auf den VMs bereit, die Sie testen möchten.

PowerShell

  1. Verwenden Sie auf jedem RDS- oder VDI-Gerät das folgende Cmdlet, um das Feature zu aktivieren:

    Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update

  2. Pushen Sie das Update, da Sie normalerweise PowerShell-basierte Konfigurationsrichtlinien auf Ihre VMs pushen würden. (Weitere Informationen finden Sie im Abschnitt Herunterladen und Entpacken in diesem Artikel. Suchen Sie nach dem Eintrag für den freigegebenen Speicherort .)

Herunterladen und Entpacken der neuesten Updates

Jetzt können Sie mit dem Herunterladen und Installieren neuer Updates beginnen. Nachfolgend haben wir ein PowerShell-Beispielskript für Sie erstellt. Dieses Skript ist die einfachste Möglichkeit, neue Updates herunterzuladen und für Ihre VMs vorzubereiten. Sie sollten dann festlegen, dass das Skript zu einem bestimmten Zeitpunkt auf dem Verwaltungscomputer ausgeführt wird, indem Sie eine geplante Aufgabe verwenden (oder, wenn Sie mit der Verwendung von PowerShell-Skripts in Azure, Intune oder SCCM vertraut sind, können Sie diese Skripts auch verwenden).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Sie können festlegen, dass eine geplante Aufgabe einmal täglich ausgeführt wird, sodass die VMs beim Herunterladen und Entpacken des Pakets das neue Update erhalten. Es wird empfohlen, mit einmal täglich zu beginnen, aber Sie sollten mit dem Erhöhen oder Verringern der Häufigkeit experimentieren, um die Auswirkungen zu verstehen.

Security Intelligence-Pakete werden in der Regel alle drei bis vier Stunden veröffentlicht. Das Festlegen einer Häufigkeit, die kürzer als vier Stunden ist, ist nicht ratsam, da dies den Netzwerkaufwand auf Ihrem Verwaltungscomputer erhöht, ohne dass dies von Vorteil ist.

Sie können auch Ihren Einzelserver oder Computer so einrichten, dass die Updates im Auftrag der VMs in einem Intervall abgerufen und zur Nutzung in der Dateifreigabe abgelegt werden. Diese Konfiguration ist möglich, wenn die Geräte über Freigabe- und Lesezugriff (NTFS-Berechtigungen) für die Freigabe verfügen, damit sie die Updates abrufen können. Führen Sie die folgenden Schritte aus, um diese Konfiguration einzurichten:

  1. Erstellen Sie eine SMB/CIFS-Dateifreigabe.

  2. Verwenden Sie das folgende Beispiel, um eine Dateifreigabe mit den folgenden Freigabeberechtigungen zu erstellen.

    
    PS c:\> Get-SmbShareAccess -Name mdatp$
    
    Name   ScopeName AccountName AccessControlType AccessRight
    ----   --------- ----------- ----------------- -----------
    mdatp$ *         Everyone    Allow             Read
    
    

    Hinweis

    Für authentifizierte Benutzer:Read:wird eine NTFS-Berechtigung hinzugefügt.

    In diesem Beispiel ist \\WindowsFileServer.fqdn\mdatp$\wdav-updatedie Dateifreigabe .

Festlegen einer geplanten Aufgabe zum Ausführen des PowerShell-Skripts

  1. Öffnen Sie auf dem Verwaltungscomputer das Startmenü, und geben Sie ein Task Scheduler. Wählen Sie in den Ergebnissen aufgabenplaner und dann Aufgabe erstellen... im Seitenbereich aus.

  2. Geben Sie den Namen als an Security intelligence unpacker.

  3. Wählen Sie auf der Registerkarte Trigger die Option Neu... aus.>Täglich, und wählen Sie OK aus.

  4. Wählen Sie auf der Registerkarte Aktionendie Option Neu... aus.

  5. Geben Sie im Feld Programm/Skript anPowerShell.

  6. Geben Sie im Feld Argumente hinzufügen ein -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1, und wählen Sie dann OK aus.

  7. Konfigurieren Sie alle anderen Einstellungen entsprechend.

  8. Wählen Sie OK aus, um den geplanten Vorgang zu speichern.

Um das Update manuell zu initiieren, klicken Sie mit der rechten Maustaste auf den Task, und wählen Sie dann Ausführen aus.

Manuelles Herunterladen und Entpacken

Wenn Sie es vorziehen, alles manuell durchzuführen, gehen Sie wie folgt vor, um das Verhalten des Skripts zu replizieren:

  1. Erstellen Sie einen neuen Ordner im Systemstamm mit dem Namen wdav_update zum Speichern von Intelligence-Updates. Erstellen Sie beispielsweise den Ordner c:\wdav_update.

  2. Erstellen Sie unter einen Unterordner wdav_update mit einem GUID-Namen, z. B. {00000000-0000-0000-0000-000000000000}

    Hier sehen Sie ein Beispiel: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Hinweis

    Wir legen das Skript so fest, dass die letzten 12 Ziffern der GUID das Jahr, den Monat, den Tag und die Uhrzeit des Downloads der Datei sind, sodass jedes Mal ein neuer Ordner erstellt wird. Sie können dies ändern, sodass die Datei jedes Mal in denselben Ordner heruntergeladen wird.

  3. Laden Sie ein Security Intelligence-Paket aus in den GUID-Ordner herunter https://www.microsoft.com/wdsi/definitions . Die Datei sollte den Namen haben mpam-fe.exe.

  4. Öffnen Sie ein Eingabeaufforderungsfenster, und navigieren Sie zum erstellten GUID-Ordner. Verwenden Sie den Extraktionsbefehl /X , um die Dateien zu extrahieren. Beispiel: mpam-fe.exe /X.

    Hinweis

    Die VMs nehmen das aktualisierte Paket immer dann auf, wenn ein neuer GUID-Ordner mit einem extrahierten Updatepaket erstellt wird oder wenn ein vorhandener Ordner mit einem neuen extrahierten Paket aktualisiert wird.

Zufällige geplante Überprüfungen

Geplante Überprüfungen werden zusätzlich zu Echtzeitschutz und -überprüfung ausgeführt.

Die Startzeit der Überprüfung selbst basiert weiterhin auf der geplanten Überprüfungsrichtlinie (ScheduleDay, ScheduleTime und ScheduleQuickScanTime). Die Zufällige Wahl bewirkt, dass Microsoft Defender Antivirus eine Überprüfung auf jedem Computer innerhalb eines Vier-Stunden-Zeitfensters ab dem für die geplante Überprüfung festgelegten Zeitpunkt startet.

Weitere Konfigurationsoptionen für geplante Überprüfungen finden Sie unter Planen von Überprüfungen .

Verwenden von Schnellscans

Sie können den Typ der Überprüfung angeben, die während einer geplanten Überprüfung ausgeführt werden soll. Schnellscans sind der bevorzugte Ansatz, da sie so konzipiert sind, dass sie an allen Orten suchen, an denen sich Schadsoftware befinden muss, um aktiv zu sein. Im folgenden Verfahren wird beschrieben, wie Schnellscans mithilfe von Gruppenrichtlinie eingerichtet werden.

  1. Wechseln Sie in Ihrem Gruppenrichtlinie Editor zu Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirus-Überprüfung>.

  2. Wählen Sie Den Scantyp angeben aus, der für eine geplante Überprüfung verwendet werden soll , und bearbeiten Sie dann die Richtlinieneinstellung.

  3. Legen Sie die Richtlinie auf Aktiviert fest, und wählen Sie dann unter Optionendie Option Schnellüberprüfung aus.

  4. Wählen Sie OK aus.

  5. Stellen Sie Ihr Gruppenrichtlinien-Objekt bereit, so wie Sie dies normalerweise tun.

Verhindern von Benachrichtigungen

Manchmal werden Microsoft Defender Antivirusbenachrichtigungen an mehrere Sitzungen gesendet oder beibehalten. Um Benutzerverwechslungen zu vermeiden, können Sie die Microsoft Defender Antivirus-Benutzeroberfläche sperren. Im folgenden Verfahren wird beschrieben, wie Benachrichtigungen mithilfe von Gruppenrichtlinie unterdrückt werden.

  1. Wechseln Sie in Ihrem Gruppenrichtlinie Editor zu Windows-Komponenten>Microsoft DefenderAntivirus-Clientschnittstelle>.

  2. Wählen Sie Alle Benachrichtigungen unterdrücken aus, und bearbeiten Sie dann die Richtlinieneinstellungen.

  3. Legen Sie die Richtlinie auf Aktiviert fest, und wählen Sie dann OK aus.

  4. Stellen Sie Ihr Gruppenrichtlinien-Objekt bereit, so wie Sie dies normalerweise tun.

Das Unterdrücken von Benachrichtigungen verhindert, dass Benachrichtigungen von Microsoft Defender Antivirus angezeigt werden, wenn Überprüfungen durchgeführt oder Korrekturmaßnahmen ausgeführt werden. Ihr Sicherheitsteam sieht jedoch die Ergebnisse einer Überprüfung, wenn ein Angriff erkannt und beendet wird. Warnungen, z. B. eine Warnung für den ersten Zugriff, werden generiert und im Microsoft Defender-Portal angezeigt.

Deaktivieren von Überprüfungen nach einem Update

Das Deaktivieren einer Überprüfung nach einem Update verhindert, dass eine Überprüfung nach dem Empfang eines Updates erfolgt. Sie können diese Einstellung beim Erstellen des Basisimages anwenden, wenn Sie auch eine Schnellüberprüfung ausgeführt haben. Auf diese Weise können Sie verhindern, dass der neu aktualisierte virtuelle Computer erneut eine Überprüfung durchführt (da Sie ihn bereits beim Erstellen des Basisimages überprüft haben).

Wichtig

Das Ausführen von Überprüfungen nach einem Update trägt dazu bei, dass Ihre virtuellen Computer mit den neuesten Security Intelligence-Updates geschützt sind. Wenn Sie diese Option deaktivieren, wird die Schutzebene Ihrer virtuellen Computer reduziert und sollte nur beim ersten Erstellen oder Bereitstellen des Basisimages verwendet werden.

  1. Wechseln Sie in Ihrem Gruppenrichtlinie Editor zu Windows-Komponenten>Microsoft Defender Antivirus>Security Intelligence Updates.

  2. Wählen Sie Überprüfung nach dem Security Intelligence-Update aktivieren aus, und bearbeiten Sie dann die Richtlinieneinstellung.

  3. Legen Sie die Richtlinie auf Deaktiviert fest.

  4. Wählen Sie OK aus.

  5. Stellen Sie Ihr Gruppenrichtlinien-Objekt bereit, so wie Sie dies normalerweise tun.

Diese Richtlinie verhindert, dass eine Überprüfung unmittelbar nach einem Update ausgeführt wird.

Deaktivieren der ScanOnlyIfIdle Option

Verwenden Sie das folgende Cmdlet, um eine schnelle oder geplante Überprüfung zu beenden, wenn sich das Gerät im passiven Modus im Leerlauf befindet.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Sie können die ScanOnlyIfIdle Option auch in Microsoft Defender Antivirus durch Konfiguration über lokale oder Domänengruppenrichtlinie deaktivieren. Diese Einstellung verhindert erhebliche CPU-Konflikte in Umgebungen mit hoher Dichte.

Weitere Informationen finden Sie unter Starten der geplanten Überprüfung nur, wenn der Computer aktiviert, aber nicht verwendet wird.

Überprüfen von VMs, die offline waren

  1. Wechseln Sie in Ihrem Gruppenrichtlinie Editor zu Windows-Komponenten>Microsoft DefenderAntivirus-Überprüfung>.

  2. Wählen Sie Nachholschnellüberprüfung aktivieren aus, und bearbeiten Sie dann die Richtlinieneinstellung.

  3. Legen Sie die Richtlinie auf Aktiviert fest.

  4. Wählen Sie OK aus.

  5. Stellen Sie Ihr Gruppenrichtlinie-Objekt wie üblich bereit.

Diese Richtlinie erzwingt eine Überprüfung, wenn der virtuelle Computer zwei oder mehr aufeinanderfolgende geplante Überprüfungen verpasst hat.

Aktivieren des kopflosen Benutzeroberflächenmodus

  1. Wechseln Sie in Ihrem Gruppenrichtlinie Editor zu Windows-Komponenten>Microsoft DefenderAntivirus-Clientschnittstelle>.

  2. Wählen Sie Den Modus der kopflosen Benutzeroberfläche aktivieren aus, und bearbeiten Sie die Richtlinie.

  3. Legen Sie die Richtlinie auf Aktiviert fest.

  4. Wählen Sie OK aus.

  5. Stellen Sie Ihr Gruppenrichtlinie-Objekt wie üblich bereit.

Diese Richtlinie blendet die gesamte Microsoft Defender Antivirus-Benutzeroberfläche für Endbenutzer in Ihrem organization aus.

Ausführen des geplanten Tasks "Windows Defender Cache Maintenance"

Optimieren Sie den geplanten Task "Windows Defender Cache-Wartung" für nicht persistente und/oder persistente VDI-Umgebungen. Führen Sie diese Aufgabe auf dem Standard Image aus, bevor Sie versiegeln.

  1. Öffnen Sie den Taskplaner mmc (taskschd.msc).

  2. Erweitern Sie Aufgabenplanungsbibliothek>Microsoft>Windows>Windows Defender, und klicken Sie dann mit der rechten Maustaste auf Windows Defender Cache-Wartung.

  3. Wählen Sie Ausführen aus, und lassen Sie den geplanten Task beenden.

Ausschlüsse

Wenn Sie der Meinung sind, dass Sie Ausschlüsse hinzufügen müssen, lesen Sie Verwalten von Ausschlüssen für Microsoft Defender for Endpoint und Microsoft Defender Antivirus.

Siehe auch

Informationen zu Defender für Endpunkt auf Nicht-Windows-Plattformen finden Sie in den folgenden Ressourcen:

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.