Partager via

Configurer Microsoft Defender Antivirus sur un environnement d’infrastructure de bureau à distance ou de bureau virtuel

  • Article

S’applique à :

Plateformes

  • Windows

Cet article est conçu pour les clients qui utilisent uniquement les fonctionnalités antivirus Microsoft Defender. Si vous avez Microsoft Defender pour point de terminaison (qui inclut Microsoft Defender Antivirus ainsi que d’autres fonctionnalités de protection des appareils), consultez Intégrer des appareils VDI (Infrastructure de bureau virtuel non persistant) dans Microsoft Defender XDR.

Vous pouvez utiliser Microsoft Defender Antivirus dans un environnement bureau à distance (RDS) ou vDI (Virtual Desktop Infrastructure) non persistant. À l’aide des instructions de cet article, vous pouvez configurer les mises à jour à télécharger directement dans vos environnements RDS ou VDI chaque fois qu’un utilisateur se connecte.

Ce guide explique comment configurer Microsoft Defender Antivirus sur vos machines virtuelles pour une protection et des performances optimales, notamment comment :

Importante

Bien qu’une VDI puisse être hébergée sur Windows Server 2012 ou Windows Server 2016, les machines virtuelles doivent exécuter Windows 10, version 1607 au minimum, en raison des technologies et fonctionnalités de protection accrues qui ne sont pas disponibles dans les versions antérieures de Windows.

Configurer un partage de fichiers VDI dédié pour l’intelligence de sécurité

Dans Windows 10, version 1903, Microsoft a introduit la fonctionnalité de veille de sécurité partagée, qui décharge le déballage des mises à jour de veille de sécurité téléchargées sur un ordinateur hôte. Cette méthode réduit l’utilisation des ressources de processeur, de disque et de mémoire sur des ordinateurs individuels. L’intelligence de sécurité partagée fonctionne désormais sur Windows 10, version 1703 et ultérieure. Vous pouvez configurer cette fonctionnalité à l’aide de stratégie de groupe ou de PowerShell.

Stratégie de groupe

  1. Sur votre ordinateur de gestion stratégie de groupe, ouvrez la console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet stratégie de groupe que vous souhaitez configurer, puis sélectionnez Modifier.

  2. Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur.

  3. Sélectionnez Modèles d’administration. Développez l’arborescence composants> Windows Microsoft Defender Antivirus>Security Intelligence Mises à jour.

  4. Double-cliquez sur Définir l’emplacement security intelligence pour les clients VDI, puis définissez l’option sur Activé. Un champ s’affiche automatiquement.

  5. Dans le champ , tapez \\<File Server shared location\>\wdav-update. (Pour obtenir de l’aide sur cette valeur, consultez Télécharger et annuler le package.)

  6. Sélectionnez OK, puis déployez l’objet stratégie de groupe sur les machines virtuelles que vous souhaitez tester.

PowerShell

  1. Sur chaque appareil RDS ou VDI, utilisez l’applet de commande suivante pour activer la fonctionnalité :

    Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

  2. Envoyez (push) la mise à jour, car vous poussez normalement les stratégies de configuration basées sur PowerShell sur vos machines virtuelles. (Consultez la section Télécharger et annuler le package de cet article. Recherchez l’entrée d’emplacement partagé .)

Télécharger et dépackager les dernières mises à jour

Vous pouvez maintenant commencer à télécharger et installer de nouvelles mises à jour. Cette section contient un exemple de script PowerShell que vous pouvez utiliser. Ce script est le moyen le plus simple de télécharger de nouvelles mises à jour et de les préparer pour vos machines virtuelles. Vous devez ensuite définir le script pour qu’il s’exécute à un moment donné sur l’ordinateur de gestion à l’aide d’une tâche planifiée. Ou, si vous êtes familiarisé avec l’utilisation de scripts PowerShell dans Azure, Intune ou Configuration Manager, vous pouvez utiliser ces scripts à la place.


$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Vous pouvez définir une tâche planifiée pour qu’elle s’exécute une fois par jour afin que chaque fois que le package est téléchargé et décompressé, les machines virtuelles reçoivent la nouvelle mise à jour. Nous vous suggérons de commencer par une fois par jour, mais vous devez essayer d’augmenter ou de diminuer la fréquence pour comprendre l’impact.

Les packages de veille de sécurité sont généralement publiés toutes les trois à quatre heures. Il n’est pas recommandé de définir une fréquence inférieure à quatre heures, car cela augmente la surcharge réseau sur votre machine de gestion sans aucun avantage.

Vous pouvez également configurer votre serveur ou machine unique pour récupérer les mises à jour au nom des machines virtuelles à intervalles et les placer dans le partage de fichiers pour les consommer. Cette configuration est possible lorsque les appareils disposent d’un accès en lecture et de partage (autorisations NTFS) au partage afin qu’ils puissent récupérer les mises à jour. Pour configurer cette configuration, procédez comme suit :

  1. Créez un partage de fichiers SMB/CIFS.

  2. Utilisez l’exemple suivant pour créer un partage de fichiers avec les autorisations de partage suivantes.

    
PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Remarque

    Une autorisation NTFS est ajoutée pour Utilisateurs authentifiés :Lecture :.

    Pour cet exemple, le partage de fichiers est \\FileServer.fqdn\mdatp$\wdav-update.

Définir une tâche planifiée pour exécuter le script PowerShell

  1. Sur l’ordinateur de gestion, ouvrez le menu Démarrer et tapez Task Scheduler. Dans les résultats, sélectionnez Planificateur de tâches, puis Sélectionnez Créer une tâche... dans le panneau latéral.

  2. Spécifiez le nom sous la forme Security intelligence unpacker.

  3. Sous l’onglet Déclencheur , sélectionnez Nouveau...>Tous les jours, puis sélectionnez OK.

  4. Sous l’onglet Actions , sélectionnez Nouveau....

  5. Spécifiez PowerShell dans le champ Programme/Script .

  6. Dans le champ Ajouter des arguments , tapez -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1, puis sélectionnez OK.

  7. Configurez les autres paramètres selon les besoins.

  8. Sélectionnez OK pour enregistrer la tâche planifiée.

Pour lancer la mise à jour manuellement, cliquez avec le bouton droit sur la tâche, puis sélectionnez Exécuter.

Télécharger et dépackager manuellement

Si vous préférez tout faire manuellement, voici ce qu’il faut faire pour répliquer le comportement du script :

  1. Créez un dossier à la racine système appelé wdav_update pour stocker les mises à jour d’intelligence. Par exemple, créez le dossier c:\wdav_update.

  2. Créez un sous-dossier sous avec wdav_update un nom GUID, tel que {00000000-0000-0000-0000-000000000000}

    Voici un exemple : c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Remarque

    Nous définissons le script de sorte que les 12 derniers chiffres du GUID correspondent à l’année, au mois, au jour et à l’heure de téléchargement du fichier afin qu’un dossier soit créé à chaque fois. Vous pouvez modifier ce paramètre afin que le fichier soit téléchargé dans le même dossier à chaque fois.

  3. Téléchargez un package security intelligence à partir de https://www.microsoft.com/wdsi/definitions dans le dossier GUID. Le fichier doit être nommé mpam-fe.exe.

  4. Ouvrez une fenêtre d’invite de commandes et accédez au dossier GUID que vous avez créé. Utilisez la /X commande d’extraction pour extraire les fichiers. Par exemple mpam-fe.exe /X.

    Remarque

    Les machines virtuelles récupèrent le package mis à jour chaque fois qu’un nouveau dossier GUID est créé avec un package de mise à jour extrait ou chaque fois qu’un dossier existant est mis à jour avec un nouveau package extrait.

paramètres de configuration de l’antivirus Microsoft Defender

Il est important de tirer parti des fonctionnalités de protection contre les menaces incluses en les activant avec les paramètres de configuration recommandés suivants.  Il est optimisé pour les environnements VDI.

Conseil

Les derniers modèles d’administration de stratégie de groupe Windows sont disponibles dans Créer et gérer le magasin central.

Racine

  • Configurez la détection pour les applications potentiellement indésirables : Enabled - Block

  • Configurez le comportement de fusion de l’administrateur local pour les listes : Disabled

  • Contrôler si les exclusions sont visibles ou non par les administrateurs locaux : Enabled

  • Désactivez la correction de routine : Disabled

  • Analyses planifiées aléatoires : Enabled

Interface cliente

  • Activer le mode d’interface utilisateur sans tête : Enabled

    Remarque

    Cette stratégie masque l’ensemble de l’interface utilisateur de l’antivirus Microsoft Defender aux utilisateurs finaux de votre organization.

  • Supprimer toutes les notifications : Enabled

Remarque

Parfois, Microsoft Defender notifications antivirus sont envoyées à ou conservées sur plusieurs sessions. Pour éviter toute confusion des utilisateurs, vous pouvez verrouiller l’interface utilisateur Microsoft Defender Antivirus. La suppression des notifications empêche les notifications de Microsoft Defender’antivirus de s’afficher lorsque les analyses sont terminées ou que des actions de correction sont effectuées. Toutefois, votre équipe des opérations de sécurité voit les résultats d’une analyse si une attaque est détectée et arrêtée. Des alertes, telles qu’une alerte d’accès initiale, sont générées et apparaissent dans le portail Microsoft Defender.

CARTES

  • Rejoignez Microsoft MAPS (Activer la protection fournie par le cloud) : Enabled - Advanced MAPS

  • Envoyer des exemples de fichiers quand une analyse supplémentaire est nécessaire : Send all samples (more secure) ou Send safe sample (less secure)

MPEngine

  • Configurez les case activée cloud étendus :20

  • Sélectionnez le niveau de protection cloud : Enabled - High

  • Activer la fonctionnalité de calcul de hachage de fichier : Enabled

Remarque

« Activer la fonctionnalité de calcul de hachage de fichier » n’est nécessaire que si vous utilisez Indicateurs – Hachage de fichier.  Cela peut entraîner une utilisation plus élevée du processeur, car il doit analyser chaque binaire sur le disque pour obtenir le hachage de fichier.

Protection en temps réel

  • Configurez la surveillance de l’activité des fichiers et des programmes entrants et sortants : Enabled – bi-directional (full on-access)

  • Surveillez l’activité des fichiers et des programmes sur votre ordinateur : Enabled

  • Analysez tous les fichiers et pièces jointes téléchargés : Enabled

  • Activer la surveillance du comportement : Enabled

  • Activez l’analyse des processus chaque fois que la protection en temps réel est activée : Enabled

  • Activer les notifications d’écriture de volume brut : Enabled

Scans

  • Recherchez les informations de sécurité les plus récentes sur les virus et les logiciels espions avant d’exécuter une analyse planifiée : Enabled

  • Analyser les fichiers d’archive : Enabled

  • Analyser les fichiers réseau : Not configured

  • Analyser les exécutables compressés : Enabled

  • Analyser les lecteurs amovibles : Enabled

  • Activer l’analyse complète de rattrapage (désactiver l’analyse complète de rattrapage) : Not configured

  • Activer l’analyse rapide de rattrapage (Désactiver l’analyse rapide de rattrapage) : Not configured

    Remarque

    Si vous souhaitez renforcer la sécurité, vous pouvez remplacer « Activer l’analyse rapide de rattrapage » par activé, ce qui vous aidera lorsque les machines virtuelles sont hors connexion et qu’elles ont manqué au moins deux analyses planifiées consécutives.  Mais étant donné qu’il exécute une analyse planifiée, il utilise un processeur supplémentaire.

  • Activer l’analyse des e-mails : Enabled

  • Activez l’heuristique : Enabled

  • Activer l’analyse des points d’analyse : Enabled

Paramètres généraux de l’analyse planifiée

  • Configurer une faible priorité processeur pour les analyses planifiées (utilisez une faible priorité processeur pour les analyses planifiées) : Not configured

  • Spécifiez le pourcentage maximal d’utilisation du processeur pendant une analyse (limite d’utilisation du processeur par analyse) : 50

  • Démarrez l’analyse planifiée uniquement lorsque l’ordinateur est activé, mais pas en cours d’utilisation (ScanOnlyIfIdle) : Not configured

  • Utilisez l’applet de commande suivante pour arrêter une analyse rapide ou planifiée chaque fois que l’appareil devient inactif s’il est en mode passif.

    
Set-MpPreference -ScanOnlyIfIdleEnabled $false

Conseil

Le paramètre « Démarrer l’analyse planifiée uniquement lorsque l’ordinateur est activé, mais qu’il n’est pas utilisé » empêche une contention significative du processeur dans les environnements à haute densité.

Analyse rapide quotidienne

  • Spécifiez l’intervalle d’exécution des analyses rapides par jour : Not configured

  • Spécifiez la durée d’une analyse rapide quotidienne (exécutez l’analyse rapide quotidienne à l’adresse) : 12 PM

Exécuter une analyse planifiée hebdomadaire (rapide ou complète)

  • Spécifiez le type d’analyse à utiliser pour une analyse planifiée (type d’analyse) : Not configured

  • Spécifiez l’heure de la journée pour exécuter une analyse planifiée (jour de la semaine pour exécuter l’analyse planifiée) : Not configured

  • Spécifiez le jour de la semaine pour exécuter une analyse planifiée (heure de la journée pour exécuter une analyse planifiée) : Not configured

Security Intelligence Mises à jour

  • Activer l’analyse après la mise à jour du renseignement de sécurité (Désactiver les analyses après une mise à jour) : Disabled

    Remarque

    La désactivation d’une analyse après une mise à jour du renseignement de sécurité empêche une analyse de se produire après la réception d’une mise à jour. Vous pouvez appliquer ce paramètre lors de la création de l’image de base si vous avez également exécuté une analyse rapide. De cette façon, vous pouvez empêcher la machine virtuelle nouvellement mise à jour d’effectuer une nouvelle analyse (car vous l’avez déjà analysée lors de la création de l’image de base).

    Importante

    L’exécution d’analyses après une mise à jour permet de s’assurer que vos machines virtuelles sont protégées avec les dernières mises à jour de security intelligence. La désactivation de cette option réduit le niveau de protection de vos machines virtuelles et ne doit être utilisée que lors de la création ou du déploiement de l’image de base.

  • Spécifiez l’intervalle à case activée pour les mises à jour du renseignement de sécurité (entrez la fréquence à laquelle case activée pour les mises à jour du renseignement de sécurité) :Enabled - 8

  • Laissez les autres paramètres dans leur état par défaut

Menaces

  • Spécifiez les niveaux d’alerte de menace auxquels l’action par défaut ne doit pas être effectuée lorsqu’elle est détectée : Enabled

  • Définissez Severe (5), High (4), Medium (2)et Low (1) tous Quarantine (2)sur , comme indiqué dans le tableau suivant :

    Nom de la valeur Valeur
    1 (Faible) 2
    2 (Moyen) 2
    4 (Élevé) 2
    5 (Grave) 2

Règles de réduction des surfaces d'attaque

Configurez toutes les règles disponibles sur Audit.

Activer la protection réseau

Empêcher les utilisateurs et les applications d’accéder à des sites web dangereux (activer la protection réseau) : Enabled - Audit mode.

SmartScreen pour Microsoft Edge

  • Exiger SmartScreen pour Microsoft Edge : Yes

  • Bloquer l’accès aux sites malveillants : Yes

  • Bloquer le téléchargement de fichiers non vérifiés : Yes

Exécuter la tâche planifiée maintenance du cache Windows Defender

Optimisez la tâche planifiée « Maintenance du cache Windows Defender » pour les environnements VDI non persistants et/ou persistants. Exécutez cette tâche sur l’image main avant de sceller.

  1. Ouvrez la console mmc du Planificateur de tâches (taskschd.msc).

  2. DéveloppezBibliothèque> du planificateur de tâchesMicrosoft> Windows >Windows Defender, puis cliquez avec le bouton droit sur Maintenance du cache Windows Defender.

  3. Sélectionnez Exécuter et laissez la tâche planifiée se terminer.

    Avertissement

    Si vous ne le faites pas, cela peut entraîner une utilisation plus élevée du processeur pendant que la tâche de maintenance du cache est en cours d’exécution sur chacune des machines virtuelles.

Activer la protection contre les falsifications

Activez la protection contre les falsifications pour empêcher Microsoft Defender Antivirus d’être désactivé dans le portail Microsoft Defender.

Exclusions

Si vous pensez avoir besoin d’ajouter des exclusions, consultez Gérer les exclusions pour Microsoft Defender pour point de terminaison et Microsoft Defender Antivirus.

Étape suivante

Si vous déployez également la détection et la réponse de point de terminaison (EDR) sur vos machines virtuelles VDI Windows, consultez Intégrer des appareils VDI non persistants dans Microsoft Defender XDR.

Voir aussi

Si vous recherchez des informations sur Defender pour point de terminaison sur des plateformes non Windows, consultez les ressources suivantes :

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.