kalıcı olmayan sanal masaüstü altyapısı (VDI) cihazlarını Microsoft Defender XDR
Sanal masaüstü altyapısı (VDI), son kullanıcıların neredeyse tüm cihazlardan (kişisel bilgisayarınız, akıllı telefonunuz veya tabletiniz gibi) kurumsal sanal masaüstleri örneklerine erişmesine olanak tanıyan bir BT altyapısı kavramıdır ve bu sayede kullanıcılara fiziksel makineler sağlama gereksinimi ortadan kaldırılır. BT departmanları artık fiziksel uç noktaları yönetmek, onarmak ve değiştirmekle sorumlu olmadığından VDI cihazlarının kullanılması maliyeti düşürür. Yetkili kullanıcılar, güvenli bir masaüstü istemcisi veya tarayıcısı aracılığıyla onaylanan herhangi bir cihazdan aynı şirket sunucularına, dosyalarına, uygulamalarına ve hizmetlerine erişebilir.
Bt ortamındaki diğer sistemlerde olduğu gibi, bunların da gelişmiş tehditlere ve saldırılara karşı koruma sağlamak için bir Uç Nokta Algılama ve Yanıt (EDR) ve Virüsten Koruma çözümü olmalıdır.
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
- Sanal masaüstü altyapısı (VDI) cihazları
- Windows 10, Windows 11, Windows Server 2019, Windows Server 2022, Windows Server 2008R2/2012R2/2016
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Not
Kalıcı VDI'ler - Kalıcı bir VDI makinesini Uç Nokta için Microsoft Defender ekleme işlemi, masaüstü veya dizüstü bilgisayar gibi fiziksel bir makineyi eklediğiniz şekilde işlenir. Kalıcı bir makine eklemek için grup ilkesi, Microsoft Configuration Manager ve diğer yöntemler kullanılabilir. Microsoft Defender portalında, (https://security.microsoft.com) ekleme altında tercih ettiğiniz ekleme yöntemini seçin ve bu türle ilgili yönergeleri izleyin. Daha fazla bilgi için bkz . Windows istemcisini ekleme.
Kalıcı olmayan sanal masaüstü altyapısı (VDI) cihazlarını ekleme
Uç Nokta için Defender kalıcı olmayan VDI oturumu eklemeyi destekler.
VDI örneklerini eklerken ilgili zorluklar olabilir. Bu senaryo için tipik zorluklar şunlardır:
- Gerçek sağlamadan önce Uç Nokta için Defender'a eklenmesi gereken kısa süreli bir oturumun anında erken eklemesi.
- Cihaz adı genellikle yeni oturumlar için yeniden kullanılır.
VDI ortamında, VDI örneklerinin ömrü kısa olabilir. VDI cihazları Microsoft Defender portalında her VDI örneği için tek giriş veya her cihaz için birden çok giriş olarak görünebilir.
Her VDI örneği için tek giriş. VDI örneği zaten Uç Nokta için Microsoft Defender eklendiyse ve bir noktada silindiyse ve sonra aynı ana bilgisayar adıyla yeniden oluşturulduysa, portalda bu VDI örneğini temsil eden yeni bir nesne OLUŞTURULMAZ.
Not
Bu durumda, oturum oluşturulduğunda , örneğin katılımsız yanıt dosyası kullanılarak aynı cihaz adı yapılandırılmalıdır.
Her cihaz için birden çok giriş - her VDI örneği için bir giriş.
Önemli
Kopyalama teknolojisi aracılığıyla kalıcı olmayan VDI'leri dağıtıyorsanız, iç şablon VM'lerinizin Uç Nokta için Defender'a eklenmediğinden emin olun. Bu öneri, kopyalanan VM'lerin şablon VM'lerinizle aynı senseGuid değeriyle eklenmesini önlemektir ve bu da VM'lerin Cihazlar listesinde yeni girdi olarak gösterilmesini engelleyebilir.
Aşağıdaki adımlar, VDI cihazlarını ekleme ve tek ve birden çok giriş için adımları vurgulama konusunda size yol gösterir.
Uyarı
Düşük kaynak yapılandırmalarının olduğu ortamlarda, VDI önyükleme yordamı Uç Nokta için Defender algılayıcısı ekleme işlemini yavaşlatabilir.
Ekleme adımları
Not
Windows Server 2016 ve Windows Server 2012 R2, bu özelliğin çalışması için Windows sunucularını ekleme yönergeleri kullanılarak önce yükleme paketi uygulanarak hazırlanmalıdır.
Hizmet ekleme sihirbazından indirdiğiniz VDI yapılandırma paketini .zip dosyasını (WindowsDefenderATPOnboardingPackage.zip) açın. Paketi Microsoft Defender portalından da alabilirsiniz:
Gezinti bölmesinde Ayarlar>Uç Noktaları>Cihaz yönetimi>Ekleme'yi seçin.
İşletim sistemini seçin.
Dağıtım yöntemi alanında, kalıcı olmayan uç noktalar için VDI ekleme betikleri'ni seçin.
Paketi indir'e tıklayın ve .zip dosyasını kaydedin.
.zip dosyasından ayıklanan WindowsDefenderATPOnboardingPackage klasöründeki dosyaları yolunun
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
altındaki altın/birincil görüntüye kopyalayın.Her cihaz için birden çok giriş uyguluyorsanız (her oturum için bir giriş) WindowsDefenderATPOnboardingScript.cmd kopyalayın.
Her cihaz için tek bir giriş uyguluyorsanız hem Onboard-NonPersistentMachine.ps1 hem de WindowsDefenderATPOnboardingScript.cmd kopyalayın.
Not
Klasörü görmüyorsanız
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
, gizli olabilir. Dosya Gezgini Gizli dosya ve klasörleri göster seçeneğini belirlemeniz gerekir.Bir Yerel grup ilkesi Düzenleyici penceresi açın ve Bilgisayar Yapılandırması>Windows Ayarları>Betikleri>Başlatma'ya gidin.
Not
Etki alanı grup ilkesi, kalıcı olmayan VDI cihazlarının eklenmesi için de kullanılabilir.
Uygulamak istediğiniz yönteme bağlı olarak uygun adımları izleyin:
Her cihaz için tek giriş için:
PowerShell Betikleri sekmesini ve ardından Ekle'yi seçin (Windows Gezgini daha önce ekleme betiğini kopyaladığınız yolda doğrudan açılır). PowerShell betiğini
Onboard-NonPersistentMachine.ps1
ekleme bölümüne gidin. Otomatik olarak tetiklendiğinden diğer dosyayı belirtmeniz gerekmez.Her cihaz için birden çok giriş için:
Betikler sekmesini seçin ve Ekle'ye tıklayın (Windows Gezgini, ekleme betiğini daha önce kopyaladığınız yolda doğrudan açılır). Ekleme bash betiğine
WindowsDefenderATPOnboardingScript.cmd
gidin.
Çözümünüzü test edin:
Tek bir cihazla havuz İçerik Oluşturucu.
Cihazda oturum açın.
Cihazdan oturumu kapatın.
Cihazda başka bir kullanıcıyla oturum açın.
Uygulamak istediğiniz yönteme bağlı olarak uygun adımları izleyin:
- Her cihaz için tek giriş için: Microsoft Defender portalında yalnızca bir girişi denetleyin.
- Her cihaz için birden çok giriş için: Microsoft Defender portalında birden çok girişi denetleyin.
Gezinti bölmesinde Cihazlar listesi'ne tıklayın.
Cihaz adını girerek arama işlevini kullanın ve arama türü olarak Cihaz'ı seçin.
Alt düzey SKU'lar için (Windows Server 2008 R2)
Not
Diğer Windows sunucu sürümleri için bu yönergeler, MMA gerektiren Windows Server 2016 ve Windows Server 2012 R2 için önceki Uç Nokta için Microsoft Defender çalıştırıyorsanız da geçerlidir. Yeni birleştirilmiş çözüme geçiş yönergeleri, Uç Nokta için Microsoft Defender'daki Sunucu geçiş senaryolarında yer alır.
Aşağıdaki kayıt defteri yalnızca amaç 'Her cihaz için tek bir giriş' elde etmek olduğunda geçerlidir.
Kayıt defteri değerini şu şekilde ayarlayın:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging] "VDI"="NonPersistent"
veya komut satırını kullanarak:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
Sunucu ekleme işlemini izleyin.
Sanal masaüstü altyapısı (VDI) görüntülerini güncelleştirme (kalıcı veya kalıcı olmayan)
Güncelleştirmeleri VDI'lerde çalışan VM'lere kolayca dağıtabilme özelliği sayesinde, makinelerinizde güncelleştirmeleri hızlı ve kolay bir şekilde nasıl edinebileceğinize odaklanmak için bu kılavuzu kısaltdık. Güncelleştirmeler konak sunucusundaki bileşen bitlerine genişletildiğinden ve açıldığında doğrudan VM'ye indirildiğinden, artık düzenli aralıklarla altın renkli görüntüler oluşturmanız ve mühürlemeniz gerekmez.
VDI ortamınızın birincil görüntüsünü (SENSE hizmeti çalışıyor) dahil ettiyseniz, görüntüyü üretime geri döndürmeden önce bazı verileri çıkarmanız ve temizlemeniz gerekir.
Bir CMD penceresinde aşağıdaki komutu çalıştırarak algılayıcının durdurulmasını sağlayın:
sc query sense
Bir CMD penceresinde aşağıdaki komutları çalıştırın::
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f exit
VDI'ler için üçüncü taraf mı kullanıyorsunuz?
Kalıcı olmayan VDI'leri VMware anlık kopyalama veya benzer teknolojiler aracılığıyla dağıtıyorsanız, iç şablon VM'lerinizin ve çoğaltma VM'lerinizin Uç Nokta için Defender'a eklenmediğinden emin olun. Cihazları tek giriş yöntemini kullanarak eklerseniz, eklenen VM'lerden sağlanan anlık kopyaların senseGuid değeri aynı olabilir ve bu da yeni bir girişin Cihaz Envanteri görünümünde listelenmesini durdurabilir (Microsoft Defender portalındaVarlıklar>Cihazları'nı seçin).
Birincil görüntü, şablon VM veya çoğaltma VM'si tek giriş yöntemi kullanılarak Uç Nokta için Defender'a eklenirse, Defender'ın Microsoft Defender portalında yeni kalıcı olmayan VDI'ler için girişler oluşturmasını durdurur.
Daha fazla yardım için üçüncü taraf satıcılarınıza ulaşın.
Önerilen diğer yapılandırma ayarları
Cihazları hizmete ekledikten sonra, aşağıdaki önerilen yapılandırma ayarlarıyla etkinleştirerek dahil edilen tehdit koruması özelliklerinden yararlanmak önemlidir.
Yeni nesil koruma yapılandırması
Aşağıdaki yapılandırma ayarları önerilir:
Bulut Koruma Hizmeti
- Bulut tabanlı korumayı açma: Evet
- Bulut tabanlı koruma düzeyi: Yapılandırılmadı
- Saniyeler içinde Defender Bulut Genişletilmiş Zaman Aşımı: 20
Dışlamalar
- Lütfen FXLogix virüsten koruma dışlama önerilerini burada gözden geçirin: FSLogix önkoşulları.
Gerçek Zamanlı Koruma
- Tüm ayarları açın ve tüm dosyaları izleyecek şekilde ayarlayın
Düzeltme
- Karantinaya alınan kötü amaçlı yazılımların tutulacak gün sayısı: 30
- Örnek onayı gönderme: Tüm örnekleri otomatik olarak gönderme
- İstenmeyebilecek uygulamalarda gerçekleştirmeniz gereken eylem: Etkinleştir
- Algılanan tehditler için eylemler:
- Düşük tehdit: Temiz
- Orta tehdit, Yüksek tehdit, Ciddi tehdit: Karantina
Tarama
- Arşivlenen dosyaları tara: Evet
- Zamanlanmış taramalar için düşük CPU önceliği kullanma: Yapılandırılmadı
- Yakalama tam taramayı devre dışı bırakma: Yapılandırılmadı
- Yakalama hızlı taramayı devre dışı bırakma: Yapılandırılmadı
- Tarama başına CPU kullanım sınırı: 50
- Tam tarama sırasında eşlenen ağ sürücülerini tarama: Yapılandırılmadı
- Günlük hızlı taramayı şu saatte çalıştır: 23:00
- Tarama türü: Yapılandırılmadı
- Zamanlanmış taramanın çalıştırıldığı haftanın günü: Yapılandırılmadı
- Zamanlanmış taramanın çalıştırıldığı günün saati: Yapılandırılmadı
- Taramayı çalıştırmadan önce imza güncelleştirmelerini denetleyin: Evet
Güncelleştirmeler
- Güvenlik bilgileri güncelleştirmelerinin ne sıklıkta denetleneceklerini girin: 8
- Diğer ayarları varsayılan durumda bırakın
Kullanıcı deneyimi
- Microsoft Defender uygulamasına kullanıcı erişimine izin ver: Yapılandırılmadı
Kurcalama korumasını etkinleştirme
- Microsoft Defender devre dışı bırakılmasını önlemek için kurcalama korumasını etkinleştirin: Etkinleştir
Saldırı yüzeyini azaltma
- Ağ korumasını etkinleştirme: Test modu
- Microsoft Edge için SmartScreen gerektir: Evet
- Kötü amaçlı site erişimini engelle: Evet
- Doğrulanmamış dosya indirmeyi engelle: Evet
Saldırı yüzeyini azaltma kuralları
- Denetim için tüm kullanılabilir kuralları yapılandırın.
Not
Bu etkinliklerin engellenmesi meşru iş süreçlerini kesintiye uğratabilir. En iyi yaklaşım, her şeyi denetime ayarlamak, hangilerinin güvenli olduğunu belirlemek ve ardından hatalı pozitif algılamaları olmayan uç noktalarda bu ayarları etkinleştirmektir.
İlgili konular
- Windows araçlarını Grup İlkesi kullanarak ekleyin
- Microsoft Configuration Manager kullanarak Windows cihazları ekleme
- Mobil Cihaz Yönetimi araçlarını kullanarak Windows cihazlarını ekleyin
- Windows araçlarını yerel betik kullanarak ekleyin
- Uç Nokta için Microsoft Defender ekleme sorunlarını giderme
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.