Configurare Microsoft Defender Antivirus in un ambiente di infrastruttura desktop remoto o desktop virtuale

Si applica a:

Piattaforme

  • Windows

Questo articolo è progettato per i clienti che usano solo le funzionalità di antivirus Microsoft Defender. Se si dispone di Microsoft Defender per endpoint (che include Microsoft Defender Antivirus insieme ad altre funzionalità di protezione dei dispositivi), passare anche tramite Onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti in Microsoft Defender XDR.

È possibile usare Microsoft Defender Antivirus in un ambiente Desktop remoto (RDS) o in un ambiente VDI (Virtual Desktop Infrastructure) non persistente. Seguendo le indicazioni riportate in questo articolo, è possibile configurare gli aggiornamenti per il download direttamente negli ambienti RDS o VDI quando un utente accede.

Questa guida descrive come configurare Microsoft Defender Antivirus nelle macchine virtuali per una protezione e prestazioni ottimali, inclusa la procedura:

Importante

Anche se un'identità virtuale virtuale può essere ospitata in Windows Server 2012 o Windows Server 2016, le macchine virtuali devono essere in esecuzione almeno Windows 10 versione 1607, a causa dell'aumento delle tecnologie di protezione e delle funzionalità non disponibili nelle versioni precedenti di Windows.

Configurare una condivisione file VDI dedicata per l'intelligence sulla sicurezza

In Windows 10 versione 1903, Microsoft ha introdotto la funzionalità di intelligence per la sicurezza condivisa, che scarica il disimballaggio degli aggiornamenti dell'intelligence di sicurezza scaricati in un computer host. Questo metodo riduce l'utilizzo delle risorse di CPU, disco e memoria nei singoli computer. L'intelligence di sicurezza condivisa ora funziona su Windows 10 versione 1703 e successive. È possibile configurare questa funzionalità usando Criteri di gruppo o PowerShell.

Criteri di gruppo

  1. Nel computer di gestione Criteri di gruppo aprire Criteri di gruppo Management Console, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo da configurare e quindi scegliere Modifica.

  2. Nella Editor gestione Criteri di gruppo passare a Configurazione computer.

  3. Selezionare Modelli amministrativi. Espandere l'albero in Componenti >di WindowsMicrosoft Defender Aggiornamenti Antivirus>Security Intelligence.

  4. Fare doppio clic su Definisci posizione di intelligence di sicurezza per i client VDI e quindi impostare l'opzione su Abilitato.

    Viene visualizzato automaticamente un campo.

  5. Immettere \\<Windows File Server shared location\>\wdav-update (per informazioni su questo valore, vedere Scaricare e annullare il pacchetto).

  6. Selezionare OK e quindi distribuire l'oggetto Criteri di gruppo nelle macchine virtuali da testare.

PowerShell

  1. In ogni dispositivo RDS o VDI usare il cmdlet seguente per abilitare la funzionalità:

    Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update

  2. Eseguire il push dell'aggiornamento come si esegue normalmente il push dei criteri di configurazione basati su PowerShell nelle macchine virtuali. Vedere la sezione Download e unpackage in questo articolo. Cercare la voce di posizione condivisa .

Scaricare e decomprimere gli aggiornamenti più recenti

È ora possibile iniziare a scaricare e installare nuovi aggiornamenti. Di seguito è stato creato uno script di PowerShell di esempio. Questo script è il modo più semplice per scaricare nuovi aggiornamenti e prepararli per le macchine virtuali. È quindi necessario impostare lo script per l'esecuzione in un determinato momento nel computer di gestione usando un'attività pianificata oppure, se si ha familiarità con l'uso di script di PowerShell in Azure, Intune o SCCM, è anche possibile usare tali script.

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

È possibile impostare un'attività pianificata per l'esecuzione una volta al giorno in modo che ogni volta che il pacchetto viene scaricato e decompresso le macchine virtuali ricevano il nuovo aggiornamento. È consigliabile iniziare con una volta al giorno, ma è consigliabile sperimentare l'aumento o la riduzione della frequenza per comprendere l'impatto.

I pacchetti di intelligence per la sicurezza vengono in genere pubblicati una volta ogni tre o quattro ore. L'impostazione di una frequenza inferiore a quattro ore non è consigliabile perché aumenta il sovraccarico di rete nel computer di gestione senza alcun vantaggio.

È anche possibile configurare il server singolo o il computer per recuperare gli aggiornamenti per conto delle macchine virtuali a un intervallo e inserirli nella condivisione file per l'utilizzo. Questa configurazione è possibile quando i dispositivi hanno l'accesso in lettura e condivisione (autorizzazioni NTFS) alla condivisione in modo che possano acquisire gli aggiornamenti. Per configurare questa configurazione, seguire questa procedura:

  1. Creare una condivisione file SMB/CIFS.

  2. Usare l'esempio seguente per creare una condivisione file con le autorizzazioni di condivisione seguenti.

    
    PS c:\> Get-SmbShareAccess -Name mdatp$
    
    Name   ScopeName AccountName AccessControlType AccessRight
    ----   --------- ----------- ----------------- -----------
    mdatp$ *         Everyone    Allow             Read
    
    

    Nota

    Viene aggiunta un'autorizzazione NTFS per Authenticated Users:Read:.

    Per questo esempio, la condivisione file è \\WindowsFileServer.fqdn\mdatp$\wdav-update.

Impostare un'attività pianificata per l'esecuzione dello script di PowerShell

  1. Nel computer di gestione aprire il menu Start e digitare Task Scheduler. Dai risultati selezionare Utilità di pianificazione e quindi crea attività nel pannello laterale.

  2. Specificare il nome come Security intelligence unpacker.

  3. Nella scheda Trigger selezionare Nuovo...>Ogni giorno e selezionare OK.

  4. Nella scheda Azioni selezionare Nuovo.....

  5. Specificare PowerShell nel campo Programma/Script .

  6. Nel campo Aggiungi argomenti digitare -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1e quindi selezionare OK.

  7. Configurare eventuali altre impostazioni in base alle esigenze.

  8. Selezionare OK per salvare l'attività pianificata.

Per avviare manualmente l'aggiornamento, fare clic con il pulsante destro del mouse sull'attività e quindi scegliere Esegui.

Scaricare e annullare manualmente il pacchetto

Se si preferisce eseguire tutte le operazioni manualmente, ecco cosa fare per replicare il comportamento dello script:

  1. Creare una nuova cartella nella radice di sistema chiamata wdav_update per archiviare gli aggiornamenti di intelligence. Ad esempio, creare la cartella c:\wdav_update.

  2. Creare una sottocartella in wdav_update con un nome GUID, ad esempio {00000000-0000-0000-0000-000000000000}

    Ecco un esempio: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Nota

    Lo script viene impostato in modo che le ultime 12 cifre del GUID siano l'anno, il mese, il giorno e l'ora in cui il file è stato scaricato in modo che ogni volta venga creata una nuova cartella. È possibile modificare questa impostazione in modo che il file venga scaricato nella stessa cartella ogni volta.

  3. Scaricare un pacchetto di security intelligence dalla https://www.microsoft.com/wdsi/definitions cartella GUID. Il file deve essere denominato mpam-fe.exe.

  4. Aprire una finestra del prompt dei comandi e passare alla cartella GUID creata. Usare il /X comando di estrazione per estrarre i file. Ad esempio, mpam-fe.exe /X.

    Nota

    Le macchine virtuali prelevano il pacchetto aggiornato ogni volta che viene creata una nuova cartella GUID con un pacchetto di aggiornamento estratto o ogni volta che una cartella esistente viene aggiornata con un nuovo pacchetto estratto.

Casualizzare le analisi pianificate

Le analisi pianificate vengono eseguite oltre alla protezione e all'analisi in tempo reale.

L'ora di inizio dell'analisi stessa è ancora basata sui criteri di analisi pianificati (ScheduleDay, ScheduleTime e ScheduleQuickScanTime). La randomizzazione fa sì che Microsoft Defender Antivirus avvii un'analisi in ogni computer entro un intervallo di quattro ore dal tempo impostato per l'analisi pianificata.

Vedere Pianificare le analisi per altre opzioni di configurazione disponibili per le analisi pianificate.

Usare analisi rapide

È possibile specificare il tipo di analisi da eseguire durante un'analisi pianificata. Le analisi rapide sono l'approccio preferito in quanto sono progettate per guardare in tutte le posizioni in cui il malware deve risiedere per essere attivo. La procedura seguente descrive come configurare analisi rapide usando Criteri di gruppo.

  1. Nel Criteri di gruppo Editor passare a Modelli> amministrativiComponenti> di Windows Microsoft Defender Analisi antivirus>.

  2. Selezionare Specifica il tipo di analisi da usare per un'analisi pianificata e quindi modificare l'impostazione dei criteri.

  3. Impostare il criterio su Abilitato e quindi in Opzioni selezionare Analisi rapida.

  4. Selezionare OK.

  5. Distribuire l'oggetto Criteri di gruppo come di consueto.

Impedisci notifiche

In alcuni casi, Microsoft Defender notifiche antivirus vengono inviate o mantenute in più sessioni. Per evitare confusione dell'utente, è possibile bloccare l'interfaccia utente Microsoft Defender Antivirus. La procedura seguente descrive come eliminare le notifiche usando Criteri di gruppo.

  1. Nel Criteri di gruppo Editor passare a Componenti >di WindowsMicrosoft Defender'interfaccia clientantivirus>.

  2. Selezionare Elimina tutte le notifiche e quindi modificare le impostazioni dei criteri.

  3. Impostare il criterio su Abilitato e quindi selezionare OK.

  4. Distribuire l'oggetto Criteri di gruppo come di consueto.

L'eliminazione delle notifiche impedisce che le notifiche Microsoft Defender Antivirus vengano visualizzate al termine delle analisi o vengano eseguite azioni di correzione. Tuttavia, il team delle operazioni di sicurezza visualizza i risultati di un'analisi se viene rilevato e arrestato un attacco. Gli avvisi, ad esempio un avviso di accesso iniziale, vengono generati e visualizzati nel portale di Microsoft Defender.

Disabilitare le analisi dopo un aggiornamento

La disabilitazione di un'analisi dopo un aggiornamento impedisce che si verifichi un'analisi dopo aver ricevuto un aggiornamento. È possibile applicare questa impostazione durante la creazione dell'immagine di base se è stata eseguita anche un'analisi rapida. In questo modo, è possibile impedire che la macchina virtuale appena aggiornata esegua di nuovo un'analisi( come è già stata analizzata al momento della creazione dell'immagine di base).

Importante

L'esecuzione di analisi dopo un aggiornamento consente di garantire che le macchine virtuali siano protette con gli aggiornamenti di security intelligence più recenti. La disabilitazione di questa opzione riduce il livello di protezione delle macchine virtuali e deve essere usata solo durante la prima creazione o distribuzione dell'immagine di base.

  1. Nel Criteri di gruppo Editor passare a Componenti >di WindowsMicrosoft Defender Antivirus>Security Intelligence Aggiornamenti.

  2. Selezionare Attiva analisi dopo l'aggiornamento dell'intelligence per la sicurezza e quindi modificare l'impostazione dei criteri.

  3. Impostare il criterio su Disabilitato.

  4. Selezionare OK.

  5. Distribuire l'oggetto Criteri di gruppo come di consueto.

Questo criterio impedisce l'esecuzione di un'analisi immediatamente dopo un aggiornamento.

Disabilitare l'opzione ScanOnlyIfIdle

Usare il cmdlet seguente per arrestare un'analisi rapida o pianificata ogni volta che il dispositivo diventa inattivo se è in modalità passiva.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

È anche possibile disabilitare l'opzione ScanOnlyIfIdle in Microsoft Defender Antivirus per configurazione tramite criteri di gruppo locali o di dominio. Questa impostazione impedisce una contesa significativa della CPU in ambienti ad alta densità.

Per altre informazioni, vedere Avviare l'analisi pianificata solo quando il computer è acceso ma non in uso.

Analizzare le macchine virtuali che sono state offline

  1. Nel Criteri di gruppo Editor passare a Componenti> di Windows Microsoft Defender Analisi antivirus>.

  2. Selezionare Attiva analisi rapida di recupero e quindi modificare l'impostazione dei criteri.

  3. Impostare il criterio su Abilitato.

  4. Selezionare OK.

  5. Distribuire l'oggetto Criteri di gruppo come in genere.

Questo criterio forza un'analisi se la macchina virtuale ha perso due o più analisi pianificate consecutive.

Abilitare la modalità interfaccia utente headless

  1. Nel Criteri di gruppo Editor passare a Componenti >di WindowsMicrosoft Defender'interfaccia clientantivirus>.

  2. Selezionare Abilita la modalità interfaccia utente headless e modificare i criteri.

  3. Impostare il criterio su Abilitato.

  4. Selezionare OK.

  5. Distribuire l'oggetto Criteri di gruppo come in genere.

Questo criterio nasconde l'intera interfaccia utente Microsoft Defender Antivirus agli utenti finali dell'organizzazione.

Eseguire l'attività pianificata "Windows Defender Cache Maintenance"

Ottimizzare l'attività pianificata "Windows Defender Cache Maintenance" per ambienti VDI non persistenti e/o persistenti. Eseguire questa attività nell'immagine principale prima del sealing.

  1. Aprire il mmc utilità di pianificazione (taskschd.msc).

  2. Espandere Libreria> utilità di pianificazioneMicrosoft>Windows>Defender e quindi fare clic con il pulsante destro del mouse su Manutenzione cache di Windows Defender.

  3. Selezionare Esegui e consentire il completamento dell'attività pianificata.

Esclusioni

Se si ritiene necessario aggiungere esclusioni, vedere Gestire le esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus.

Vedere anche

Se si cercano informazioni su Defender per endpoint su piattaforme non Windows, vedere le risorse seguenti:

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.