kalıcı olmayan sanal masaüstü altyapısı (VDI) cihazlarını Microsoft Defender XDR

  • Makale

Sanal masaüstü altyapısı (VDI), son kullanıcıların neredeyse tüm cihazlardan (kişisel bilgisayarınız, akıllı telefonunuz veya tabletiniz gibi) kurumsal sanal masaüstleri örneklerine erişmesine olanak tanıyan bir BT altyapısı kavramıdır ve bu sayede kullanıcılara fiziksel makineler sağlama gereksinimi ortadan kaldırılır. BT departmanları artık fiziksel uç noktaları yönetmek, onarmak ve değiştirmekle sorumlu olmadığından VDI cihazlarının kullanılması maliyeti düşürür. Yetkili kullanıcılar, güvenli bir masaüstü istemcisi veya tarayıcısı aracılığıyla onaylanan herhangi bir cihazdan aynı şirket sunucularına, dosyalarına, uygulamalarına ve hizmetlerine erişebilir.

Bt ortamındaki diğer sistemlerde olduğu gibi, bunların da gelişmiş tehditlere ve saldırılara karşı koruma sağlamak için bir Uç Nokta Algılama ve Yanıt (EDR) ve Virüsten Koruma çözümü olmalıdır.

Şunlar için geçerlidir:

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Not

Kalıcı VDI'ler - Kalıcı bir VDI makinesini Uç Nokta için Microsoft Defender ekleme işlemi, masaüstü veya dizüstü bilgisayar gibi fiziksel bir makineyi eklediğiniz şekilde işlenir. Kalıcı bir makine eklemek için grup ilkesi, Microsoft Configuration Manager ve diğer yöntemler kullanılabilir. Microsoft Defender portalında, (https://security.microsoft.com) ekleme altında tercih ettiğiniz ekleme yöntemini seçin ve bu türle ilgili yönergeleri izleyin. Daha fazla bilgi için bkz . Windows istemcisini ekleme.

Kalıcı olmayan sanal masaüstü altyapısı (VDI) cihazlarını ekleme

Uç Nokta için Defender kalıcı olmayan VDI oturumu eklemeyi destekler.

VDI örneklerini eklerken ilgili zorluklar olabilir. Bu senaryo için tipik zorluklar şunlardır:

  • Gerçek sağlamadan önce Uç Nokta için Defender'a eklenmesi gereken kısa süreli bir oturumun anında erken eklemesi.
  • Cihaz adı genellikle yeni oturumlar için yeniden kullanılır.

VDI ortamında, VDI örneklerinin ömrü kısa olabilir. VDI cihazları Microsoft Defender portalında her VDI örneği için tek giriş veya her cihaz için birden çok giriş olarak görünebilir.

  • Her VDI örneği için tek giriş. VDI örneği zaten Uç Nokta için Microsoft Defender eklendiyse ve bir noktada silindiyse ve sonra aynı ana bilgisayar adıyla yeniden oluşturulduysa, portalda bu VDI örneğini temsil eden yeni bir nesne OLUŞTURULMAZ.

    Not

    Bu durumda, oturum oluşturulduğunda , örneğin katılımsız yanıt dosyası kullanılarak aynı cihaz adı yapılandırılmalıdır.

  • Her cihaz için birden çok giriş - her VDI örneği için bir giriş.

Önemli

Kopyalama teknolojisi aracılığıyla kalıcı olmayan VDI'leri dağıtıyorsanız, iç şablon VM'lerinizin Uç Nokta için Defender'a eklenmediğinden emin olun. Bu öneri, kopyalanan VM'lerin şablon VM'lerinizle aynı senseGuid değeriyle eklenmesini önlemektir ve bu da VM'lerin Cihazlar listesinde yeni girdi olarak gösterilmesini engelleyebilir.

Aşağıdaki adımlar, VDI cihazlarını ekleme ve tek ve birden çok giriş için adımları vurgulama konusunda size yol gösterir.

Uyarı

Düşük kaynak yapılandırmalarının olduğu ortamlarda, VDI önyükleme yordamı Uç Nokta için Defender algılayıcısı ekleme işlemini yavaşlatabilir.

Ekleme adımları

Not

Windows Server 2016 ve Windows Server 2012 R2, bu özelliğin çalışması için Windows sunucularını ekleme yönergeleri kullanılarak önce yükleme paketi uygulanarak hazırlanmalıdır.

  1. Hizmet ekleme sihirbazından indirdiğiniz VDI yapılandırma paketini .zip dosyasını (WindowsDefenderATPOnboardingPackage.zip) açın. Paketi Microsoft Defender portalından da alabilirsiniz:

    1. Gezinti bölmesinde Ayarlar>Uç Noktaları>Cihaz yönetimi>Ekleme'yi seçin.

    2. İşletim sistemini seçin.

    3. Dağıtım yöntemi alanında, kalıcı olmayan uç noktalar için VDI ekleme betikleri'ni seçin.

    4. Paketi indir'e tıklayın ve .zip dosyasını kaydedin.

  2. .zip dosyasından ayıklanan WindowsDefenderATPOnboardingPackage klasöründeki dosyaları yolunun C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupaltındaki altın/birincil görüntüye kopyalayın.

    1. Her cihaz için birden çok giriş uyguluyorsanız (her oturum için bir giriş) WindowsDefenderATPOnboardingScript.cmd kopyalayın.

    2. Her cihaz için tek bir giriş uyguluyorsanız hem Onboard-NonPersistentMachine.ps1 hem de WindowsDefenderATPOnboardingScript.cmd kopyalayın.

    Not

    Klasörü görmüyorsanız C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , gizli olabilir. Dosya Gezgini Gizli dosya ve klasörleri göster seçeneğini belirlemeniz gerekir.

  3. Bir Yerel grup ilkesi Düzenleyici penceresi açın ve Bilgisayar Yapılandırması>Windows Ayarları>Betikleri>Başlatma'ya gidin.

    Not

    Etki alanı grup ilkesi, kalıcı olmayan VDI cihazlarının eklenmesi için de kullanılabilir.

  4. Uygulamak istediğiniz yönteme bağlı olarak uygun adımları izleyin:

    • Her cihaz için tek giriş için:

      PowerShell Betikleri sekmesini ve ardından Ekle'yi seçin (Windows Gezgini daha önce ekleme betiğini kopyaladığınız yolda doğrudan açılır). PowerShell betiğini Onboard-NonPersistentMachine.ps1ekleme bölümüne gidin. Otomatik olarak tetiklendiğinden diğer dosyayı belirtmeniz gerekmez.

    • Her cihaz için birden çok giriş için:

      Betikler sekmesini seçin ve Ekle'ye tıklayın (Windows Gezgini, ekleme betiğini daha önce kopyaladığınız yolda doğrudan açılır). Ekleme bash betiğine WindowsDefenderATPOnboardingScript.cmdgidin.

  5. Çözümünüzü test edin:

    1. Tek bir cihazla havuz İçerik Oluşturucu.

    2. Cihazda oturum açın.

    3. Cihazdan oturumu kapatın.

    4. Cihazda başka bir kullanıcıyla oturum açın.

    5. Uygulamak istediğiniz yönteme bağlı olarak uygun adımları izleyin:

      • Her cihaz için tek giriş için: Microsoft Defender portalında yalnızca bir girişi denetleyin.
      • Her cihaz için birden çok giriş için: Microsoft Defender portalında birden çok girişi denetleyin.

  6. Gezinti bölmesinde Cihazlar listesi'ne tıklayın.

  7. Cihaz adını girerek arama işlevini kullanın ve arama türü olarak Cihaz'ı seçin.

Alt düzey SKU'lar için (Windows Server 2008 R2)

Not

Diğer Windows sunucu sürümleri için bu yönergeler, MMA gerektiren Windows Server 2016 ve Windows Server 2012 R2 için önceki Uç Nokta için Microsoft Defender çalıştırıyorsanız da geçerlidir. Yeni birleştirilmiş çözüme geçiş yönergeleri, Uç Nokta için Microsoft Defender'daki Sunucu geçiş senaryolarında yer alır.

Aşağıdaki kayıt defteri yalnızca amaç 'Her cihaz için tek bir giriş' elde etmek olduğunda geçerlidir.

  1. Kayıt defteri değerini şu şekilde ayarlayın:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"

    veya komut satırını kullanarak:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Sunucu ekleme işlemini izleyin.

Sanal masaüstü altyapısı (VDI) görüntülerini güncelleştirme (kalıcı veya kalıcı olmayan)

Güncelleştirmeleri VDI'lerde çalışan VM'lere kolayca dağıtabilme özelliği sayesinde, makinelerinizde güncelleştirmeleri hızlı ve kolay bir şekilde nasıl edinebileceğinize odaklanmak için bu kılavuzu kısaltdık. Güncelleştirmeler konak sunucusundaki bileşen bitlerine genişletildiğinden ve açıldığında doğrudan VM'ye indirildiğinden, artık düzenli aralıklarla altın renkli görüntüler oluşturmanız ve mühürlemeniz gerekmez.

VDI ortamınızın birincil görüntüsünü (SENSE hizmeti çalışıyor) dahil ettiyseniz, görüntüyü üretime geri döndürmeden önce bazı verileri çıkarmanız ve temizlemeniz gerekir.

  1. Makineyi boşaltın.

  2. Bir CMD penceresinde aşağıdaki komutu çalıştırarak algılayıcının durdurulmasını sağlayın:

    sc query sense

  3. Bir CMD penceresinde aşağıdaki komutları çalıştırın::

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

VDI'ler için üçüncü taraf mı kullanıyorsunuz?

Kalıcı olmayan VDI'leri VMware anlık kopyalama veya benzer teknolojiler aracılığıyla dağıtıyorsanız, iç şablon VM'lerinizin ve çoğaltma VM'lerinizin Uç Nokta için Defender'a eklenmediğinden emin olun. Cihazları tek giriş yöntemini kullanarak eklerseniz, eklenen VM'lerden sağlanan anlık kopyaların senseGuid değeri aynı olabilir ve bu da yeni bir girişin Cihaz Envanteri görünümünde listelenmesini durdurabilir (Microsoft Defender portalındaVarlıklar>Cihazları'nı seçin).

Birincil görüntü, şablon VM veya çoğaltma VM'si tek giriş yöntemi kullanılarak Uç Nokta için Defender'a eklenirse, Defender'ın Microsoft Defender portalında yeni kalıcı olmayan VDI'ler için girişler oluşturmasını durdurur.

Daha fazla yardım için üçüncü taraf satıcılarınıza ulaşın.

Cihazları hizmete ekledikten sonra, aşağıdaki önerilen yapılandırma ayarlarıyla etkinleştirerek dahil edilen tehdit koruması özelliklerinden yararlanmak önemlidir.

Yeni nesil koruma yapılandırması

Aşağıdaki yapılandırma ayarları önerilir:

Bulut Koruma Hizmeti

  • Bulut tabanlı korumayı açma: Evet
  • Bulut tabanlı koruma düzeyi: Yapılandırılmadı
  • Saniyeler içinde Defender Bulut Genişletilmiş Zaman Aşımı: 20

Dışlamalar

Gerçek Zamanlı Koruma

  • Tüm ayarları açın ve tüm dosyaları izleyecek şekilde ayarlayın

Düzeltme

  • Karantinaya alınan kötü amaçlı yazılımların tutulacak gün sayısı: 30
  • Örnek onayı gönderme: Tüm örnekleri otomatik olarak gönderme
  • İstenmeyebilecek uygulamalarda gerçekleştirmeniz gereken eylem: Etkinleştir
  • Algılanan tehditler için eylemler:
    • Düşük tehdit: Temiz
    • Orta tehdit, Yüksek tehdit, Ciddi tehdit: Karantina

Tarama

  • Arşivlenen dosyaları tara: Evet
  • Zamanlanmış taramalar için düşük CPU önceliği kullanma: Yapılandırılmadı
  • Yakalama tam taramayı devre dışı bırakma: Yapılandırılmadı
  • Yakalama hızlı taramayı devre dışı bırakma: Yapılandırılmadı
  • Tarama başına CPU kullanım sınırı: 50
  • Tam tarama sırasında eşlenen ağ sürücülerini tarama: Yapılandırılmadı
  • Günlük hızlı taramayı şu saatte çalıştır: 23:00
  • Tarama türü: Yapılandırılmadı
  • Zamanlanmış taramanın çalıştırıldığı haftanın günü: Yapılandırılmadı
  • Zamanlanmış taramanın çalıştırıldığı günün saati: Yapılandırılmadı
  • Taramayı çalıştırmadan önce imza güncelleştirmelerini denetleyin: Evet

Güncelleştirmeler

  • Güvenlik bilgileri güncelleştirmelerinin ne sıklıkta denetleneceklerini girin: 8
  • Diğer ayarları varsayılan durumda bırakın

Kullanıcı deneyimi

  • Microsoft Defender uygulamasına kullanıcı erişimine izin ver: Yapılandırılmadı

Kurcalama korumasını etkinleştirme

  • Microsoft Defender devre dışı bırakılmasını önlemek için kurcalama korumasını etkinleştirin: Etkinleştir

Saldırı yüzeyini azaltma

  • Ağ korumasını etkinleştirme: Test modu
  • Microsoft Edge için SmartScreen gerektir: Evet
  • Kötü amaçlı site erişimini engelle: Evet
  • Doğrulanmamış dosya indirmeyi engelle: Evet

Saldırı yüzeyini azaltma kuralları

  • Denetim için tüm kullanılabilir kuralları yapılandırın.

Not

Bu etkinliklerin engellenmesi meşru iş süreçlerini kesintiye uğratabilir. En iyi yaklaşım, her şeyi denetime ayarlamak, hangilerinin güvenli olduğunu belirlemek ve ardından hatalı pozitif algılamaları olmayan uç noktalarda bu ayarları etkinleştirmektir.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.