Uzak masaüstü veya sanal masaüstü altyapısı ortamında Microsoft Defender Virüsten Koruma'yi yapılandırma

  • Makale

Şunlar için geçerlidir:

Platform

  • Windows

Bu makale, yalnızca Microsoft Defender Virüsten Koruma özelliklerini kullanan müşteriler için tasarlanmıştır. Uç Nokta için Microsoft Defender (diğer cihaz koruma özelliklerinin yanı sıra Microsoft Defender Virüsten Koruma'ya da sahipseniz, Microsoft Defender XDR'da kalıcı olmayan sanal masaüstü altyapısı (VDI) cihazlarını ekleme bölümüne de gidin.

Microsoft Defender Virüsten Koruma'yi uzak masaüstü (RDS) veya kalıcı olmayan sanal masaüstü altyapısı (VDI) ortamında kullanabilirsiniz. Bu makaledeki yönergeleri izleyerek, kullanıcı oturum açtığında güncelleştirmeleri doğrudan RDS veya VDI ortamlarınıza indirecek şekilde yapılandırabilirsiniz.

Bu kılavuzda, en iyi koruma ve performans için VM'lerinizde Microsoft Defender Virüsten Koruma'nın nasıl yapılandırıldığı açıklanır. Bunun nasıl yapılacağını da içerir:

Önemli

VDI, Windows Server 2012 veya Windows Server 2016 üzerinde barındırılsa da, windows'un önceki sürümlerinde kullanılamayan artan koruma teknolojileri ve özellikleri nedeniyle sanal makinelerin (VM) en az sürüm 1607 olan Windows 10 çalıştırıyor olması gerekir.

Güvenlik zekası için ayrılmış bir VDI dosya paylaşımı ayarlama

Windows 10, sürüm 1903'te Microsoft, indirilen güvenlik zekası güncelleştirmelerinin paketten çıkarılma işlemini bir konak makineye boşaltan paylaşılan güvenlik zekası özelliğini kullanıma sunulmuştur. Bu yöntem, tek tek makinelerde CPU, disk ve bellek kaynaklarının kullanımını azaltır. Paylaşılan güvenlik bilgileri artık Windows 10, sürüm 1703 ve sonraki sürümlerde çalışır. grup ilkesi veya PowerShell kullanarak bu özelliği ayarlayabilirsiniz.

Grup İlkesi

  1. grup ilkesi yönetim bilgisayarınızda grup ilkesi Yönetim Konsolu'nu açın, yapılandırmak istediğiniz grup ilkesi Nesnesi'ne sağ tıklayın ve düzenle'yi seçin.

  2. grup ilkesi Yönetimi Düzenleyici Bilgisayar yapılandırması'na gidin.

  3. Yönetim şablonları'nı seçin. Ağacı Windows bileşenlerine>genişletin Microsoft Defender Virüsten Koruma>Güvenlik Bilgileri Güncelleştirmeler.

  4. VDI istemcileri için güvenlik zekası konumunu tanımla'ya çift tıklayın ve seçeneği Etkin olarak ayarlayın.

    Otomatik olarak bir alan görüntülenir.

  5. Girin \\<Windows File Server shared location\>\wdav-update (bu değerle ilgili yardım için bkz . İndirme ve paketi açma).

  6. Tamam'ı seçin ve grup ilkesi Nesnesini test etmek istediğiniz VM'lere dağıtın.

PowerShell

  1. Her RDS veya VDI cihazında, özelliği etkinleştirmek için aşağıdaki cmdlet'i kullanın:

    Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update

  2. Normalde PowerShell tabanlı yapılandırma ilkelerini VM'lerinize göndereceğinden güncelleştirmeyi gönderebilirsiniz. (Bu makaledeki İndirme ve paketi açma bölümüne bakın. Paylaşılan konum girdisini arayın.)

En son güncelleştirmeleri indirme ve paketten çıkarma

Artık yeni güncelleştirmeleri indirmeye ve yüklemeye başlayabilirsiniz. Aşağıda sizin için örnek bir PowerShell betiği oluşturduk. Bu betik, yeni güncelleştirmeleri indirmenin ve vm'leriniz için hazır hale getirmenin en kolay yoludur. Daha sonra zamanlanmış bir görev kullanarak betiği yönetim makinesinde belirli bir zamanda çalışacak şekilde ayarlamanız gerekir (veya Azure, Intune veya SCCM PowerShell betiklerini kullanmayı biliyorsanız, bu betikleri de kullanabilirsiniz).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Zamanlanmış bir görevi günde bir kez çalıştırılacak şekilde ayarlayabilirsiniz, böylece paket her indirildiğinde ve paketten çıkarıldığında VM'ler yeni güncelleştirmeyi alır. Günde bir kez ile başlamanızı öneririz, ancak etkiyi anlamak için sıklığı artırma veya azaltma denemeleri yapmalısınız.

Güvenlik bilgileri paketleri genellikle her üç-dört saatte bir yayımlanır. Bir frekansın dört saatten kısa ayarlanması önerilmez çünkü bu, yönetim makinenizdeki ağ ek yükünü hiçbir fayda sağlamadan artırır.

Ayrıca tek sunucunuzu veya makinenizi vm'ler adına belirli bir aralıkta güncelleştirmeleri getirecek ve bunları kullanım için dosya paylaşımına yerleştirecek şekilde ayarlayabilirsiniz. Bu yapılandırma, cihazların güncelleştirmeleri alabilmesi için paylaşıma paylaşım ve okuma erişimine (NTFS izinleri) sahip olduğunda mümkündür. Bu yapılandırmayı ayarlamak için şu adımları izleyin:

  1. SMB/CIFS dosya paylaşımı oluşturun.

  2. Aşağıdaki paylaşım izinlerine sahip bir dosya paylaşımı oluşturmak için aşağıdaki örneği kullanın.

    
PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Not

    Kimliği Doğrulanmış Kullanıcılar:Okuma: için bir NTFS izni eklenir.

    Bu örnekte dosya paylaşımı şeklindedir \\WindowsFileServer.fqdn\mdatp$\wdav-update.

PowerShell betiğini çalıştırmak için zamanlanmış görev ayarlama

  1. Yönetim makinesinde Başlat menüsünü açın ve yazın Task Scheduler. Sonuçlardan Görev Zamanlayıcı'yı ve ardından yan panelde Görev oluştur... öğesini seçin.

  2. Adı olarak Security intelligence unpackerbelirtin.

  3. Tetikleyici sekmesinde Yeni... öğesini seçin.>Günlük'e gidin ve Tamam'ı seçin.

  4. Eylemler sekmesinde Yeni... öğesini seçin.

  5. Program/Betik alanında belirtinPowerShell.

  6. Bağımsız değişken ekle alanına yazın -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1ve Tamam'ı seçin.

  7. Diğer ayarları uygun şekilde yapılandırın.

  8. Zamanlanmış görevi kaydetmek için Tamam'ı seçin.

Güncelleştirmeyi el ile başlatmak için göreve sağ tıklayın ve çalıştır'ı seçin.

El ile indirme ve paketlemeyi açma

Her şeyi el ile yapmayı tercih ederseniz betiğin davranışını çoğaltmak için yapmanız gerekenler şunlardır:

  1. Sistem kökünde akıllı güncelleştirmeleri depolamak için adlı wdav_update yeni bir klasör oluşturun. Örneğin, klasörünü c:\wdav_updateoluşturun.

  2. altında wdav_update GUID adıyla alt klasör oluşturma, örneğin {00000000-0000-0000-0000-000000000000}

    İşte bir örnek: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Not

    Betiği, GUID'nin son 12 basamağını dosyanın indirildiği yıl, ay, gün ve saat olacak şekilde ayarlarız, böylece her seferinde yeni bir klasör oluşturulur. Dosyayı her seferinde aynı klasöre indirecek şekilde bunu değiştirebilirsiniz.

  3. adresinden https://www.microsoft.com/wdsi/definitions GUID klasörüne bir güvenlik zekası paketi indirin. Dosya olarak adlandırılmalıdır mpam-fe.exe.

  4. Bir Komut İstemi penceresi açın ve oluşturduğunuz GUID klasörüne gidin. /X Dosyaları ayıklamak için ayıklama komutunu kullanın. Örneğin mpam-fe.exe /X, .

    Not

    Vm'ler, ayıklanmış bir güncelleştirme paketiyle yeni bir GUID klasörü oluşturulduğunda veya mevcut bir klasör yeni ayıklanmış paketle güncelleştirildiğinde güncelleştirilmiş paketi alır.

Zamanlanmış taramaları rastgele belirleme

Zamanlanmış taramalar , gerçek zamanlı koruma ve taramaya ek olarak çalışır.

Taramanın başlangıç zamanı hala zamanlanmış tarama ilkesini (ScheduleDay, ScheduleTime ve ScheduleQuickScanTime) temel alır. Rastgele hale getirme, Microsoft Defender Virüsten Koruma'nın zamanlanan tarama için ayarlanan süreden dört saatlik bir süre içinde her makinede tarama başlatmasına neden olur.

Bkz . Zamanlanmış taramalar için kullanılabilen diğer yapılandırma seçenekleri için taramaları zamanlama.

Hızlı taramaları kullanma

Zamanlanmış tarama sırasında gerçekleştirilecek tarama türünü belirtebilirsiniz. Hızlı taramalar, kötü amaçlı yazılımların etkin olması için bulunması gereken tüm yerlere bakmak üzere tasarlandıklarından tercih edilen yaklaşımdır. Aşağıdaki yordamda grup ilkesi kullanarak hızlı taramaların nasıl ayarlanacağı açıklanmaktadır.

  1. grup ilkesi Düzenleyici Yönetim şablonları>Windows bileşenleri>Microsoft Defender Virüsten Koruma>Taraması'na gidin.

  2. Zamanlanmış tarama için kullanılacak tarama türünü belirtin'i seçin ve ilke ayarını düzenleyin.

  3. İlkeyi Etkin olarak ayarlayın ve Seçenekler'in altında Hızlı tarama'yı seçin.

  4. Tamam'ı seçin.

  5. grup ilkesi nesnenizi her zamanki gibi dağıtın.

Bildirimleri engelleme

Bazen Microsoft Defender Virüsten Koruma bildirimleri birden çok oturuma gönderilir veya bu bildirimler kalıcı hale gelir. Kullanıcı karışıklığını önlemeye yardımcı olmak için virüsten koruma Microsoft Defender kullanıcı arabirimini kilitleyebilirsiniz. Aşağıdaki yordamda, grup ilkesi kullanılarak bildirimlerin nasıl gizlendiği açıklanır.

  1. grup ilkesi Düzenleyici Windows bileşenleri>Microsoft Defender Virüsten Koruma>İstemci Arabirimi'ne gidin.

  2. Tüm bildirimleri gizle'yi seçin ve ilke ayarlarını düzenleyin.

  3. İlkeyi Etkin olarak ayarlayın ve ardından Tamam'ı seçin.

  4. grup ilkesi nesnenizi her zamanki gibi dağıtın.

Bildirimlerin gizlenmesi, taramalar yapıldığında veya düzeltme eylemleri gerçekleştirildiğinde virüsten koruma Microsoft Defender bildirimlerin gösterilmesini engeller. Ancak, güvenlik operasyonları ekibiniz bir saldırı algılanıp durdurulursa taramanın sonuçlarını görür. İlk erişim uyarısı gibi uyarılar oluşturulur ve Microsoft Defender portalında görüntülenir.

Güncelleştirmeden sonra taramaları devre dışı bırakma

Güncelleştirmeden sonra taramanın devre dışı bırakılması, bir güncelleştirme alındıktan sonra taramanın gerçekleşmesini engeller. Ayrıca hızlı bir tarama çalıştırdıysanız, temel görüntüyü oluştururken bu ayarı uygulayabilirsiniz. Bu şekilde, yeni güncelleştirilen VM'nin yeniden tarama gerçekleştirmesini engelleyebilirsiniz (temel görüntüyü oluştururken zaten taradığınız gibi).

Önemli

Bir güncelleştirmeden sonra taramaların çalıştırılması, VM'lerinizin en son güvenlik bilgileri güncelleştirmeleriyle korunmasına yardımcı olur. Bu seçeneği devre dışı bırakmak VM'lerinizin koruma düzeyini azaltır ve yalnızca temel görüntüyü ilk oluştururken veya dağıtırken kullanılmalıdır.

  1. grup ilkesi Düzenleyici Windows bileşenleri>Microsoft Defender Virüsten Koruma>Güvenlik Bilgileri Güncelleştirmeler gidin.

  2. Güvenlik bilgileri güncelleştirmesinin ardından taramayı aç'ı seçin ve ilke ayarını düzenleyin.

  3. İlkeyi Devre Dışı olarak ayarlayın.

  4. Tamam'ı seçin.

  5. grup ilkesi nesnenizi her zamanki gibi dağıtın.

Bu ilke, bir güncelleştirmeden hemen sonra taramanın çalışmasını engeller.

ScanOnlyIfIdle Seçeneği devre dışı bırakma

Pasif moddaysa cihaz boşta kaldığında hızlı veya zamanlanmış taramayı durdurmak için aşağıdaki cmdlet'i kullanın.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Ayrıca, Microsoft Defender Virüsten ScanOnlyIfIdle Koruma'daki seçeneği yerel veya etki alanı grup ilkesi aracılığıyla yapılandırmaya göre devre dışı bırakabilirsiniz. Bu ayar, yüksek yoğunluklu ortamlarda önemli CPU çekişmesini önler.

Daha fazla bilgi için bkz. Zamanlanmış taramayı yalnızca bilgisayar açıkken ancak kullanımda değilken başlatma.

Çevrimdışı olan VM'leri tarama

  1. grup ilkesi Düzenleyici Windows bileşenleri>Microsoft Defender Virüsten Koruma>Taraması'na gidin.

  2. Yakalama hızlı taramasını aç'ı seçin ve ilke ayarını düzenleyin.

  3. İlkeyi Etkin olarak ayarlayın.

  4. Tamam'ı seçin.

  5. grup ilkesi Nesnenizi genellikle yaptığınız gibi dağıtın.

Bu ilke, VM ardışık olarak zamanlanmış iki veya daha fazla taramayı kaçırdıysa taramayı zorlar.

Başsız kullanıcı arabirimi modunu etkinleştirme

  1. grup ilkesi Düzenleyici Windows bileşenleri>Microsoft Defender Virüsten Koruma>İstemci Arabirimi'ne gidin.

  2. Başsız kullanıcı arabirimi modunu etkinleştir'i seçin ve ilkeyi düzenleyin.

  3. İlkeyi Etkin olarak ayarlayın.

  4. Tamam'ı seçin.

  5. grup ilkesi Nesnenizi genellikle yaptığınız gibi dağıtın.

Bu ilke, Microsoft Defender Virüsten Koruma kullanıcı arabiriminin tamamını kuruluşunuzdaki son kullanıcılardan gizler.

"Windows Defender Önbellek Bakımı" zamanlanmış görevini çalıştırma

Kalıcı olmayan ve/veya kalıcı VDI ortamları için "Windows Defender Önbellek Bakımı" zamanlanmış görevini iyileştirin. Bu görevi mühürlemeden önce ana görüntüde çalıştırın.

  1. Görev Zamanlayıcı mmc'sini (taskschd.msc) açın.

  2. Görev Zamanlayıcı Kitaplığı>Microsoft>Windows Windows>Defender'ı genişletin ve ardından Windows Defender Önbellek Bakımı'nı sağ tıklatın.

  3. Çalıştır'ı seçin ve zamanlanmış görevin bitmesine izin verin.

Dışlamalar

Dışlama eklemeniz gerektiğini düşünüyorsanız bkz. Uç Nokta için Microsoft Defender için dışlamaları yönetme ve Virüsten Koruma'yı Microsoft Defender.

Ayrıca bkz.

Windows dışı platformlarda Uç Nokta için Defender hakkında bilgi arıyorsanız aşağıdaki kaynaklara bakın:

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.