Správa zdrojů pro aktualizace ochrany aplikace Microsoft Defender Antivirus
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Antivirová ochrana v programu Microsoft Defender
Platformy
- Windows
Udržování antivirové ochrany v aktualizovaném stavu je velmi důležité. Správa aktualizací ochrany pro Microsoft Defender Antivirus má dvě součásti:
- Odkud se aktualizace stahují; a
- Při stahování a použití aktualizací
Tento článek popisuje, jak určit, odkud se mají aktualizace stahovat (tato specifikace se označuje také jako pořadí náhradních aktualizací). Přehled o tom, jak aktualizace fungují a jak nakonfigurovat další aspekty aktualizací (například plánování aktualizací), najdete v článku Správa aktualizací Microsoft Defender Antivirus a použití směrných plánů.
Důležité
Microsoft Defender Aktualizace antivirových bezpečnostních informací a aktualizace platforem se doručují prostřednictvím služba Windows Update a od pondělí 21. října 2019 jsou všechny aktualizace bezpečnostních funkcí podepsané výhradně pomocí algoritmu SHA-2. Vaše zařízení musí být aktualizována tak, aby podporovala SHA-2, aby bylo možné aktualizovat vaše bezpečnostní informace. Další informace najdete v tématu Požadavky na podporu podepisování kódu SHA-2 v roce 2019 pro Windows a WSUS.
Pořadí náhradních řešení
Obvykle se koncové body konfigurují tak, aby jednotlivě stahují aktualizace z primárního zdroje následované dalšími zdroji v pořadí podle priority na základě konfigurace sítě. Aktualizace se získávají ze zdrojů v zadaném pořadí. Pokud jsou aktualizace z aktuálního zdroje zastaralé, použije se okamžitě další zdroj v seznamu.
Při publikování aktualizací se použije logika, která minimalizuje velikost aktualizace. Ve většině případů se na zařízení stáhnou a použijí pouze rozdíly mezi nejnovější aktualizací a aktuálně nainstalovanou aktualizací. Sada rozdílů se označuje jako delta. Velikost rozdílu závisí na dvou hlavních faktorech:
- Stáří poslední aktualizace na zařízení; a
- Zdroj použitý ke stažení a instalaci aktualizací
Čím starší jsou aktualizace koncového bodu, tím větší je stahování. Musíte ale také zvážit frekvenci stahování. Častější plán aktualizací může vést k většímu využití sítě, zatímco méně častý plán může mít za následek větší velikosti souborů při stahování.
Existuje pět umístění, kde můžete určit, kde má koncový bod získávat aktualizace:
- Microsoft Update
- Windows Server Update Service (viz poznámka 1 níže)
- Microsoft Endpoint Configuration Manager
- Síťová sdílená složka
- Aktualizace bezpečnostních informací pro Microsoft Defender Antivirovou ochranu a další antimalwarovou ochranu společnosti Microsoft (viz poznámka 2 níže)
Poznámka
Intune interního serveru aktualizace definic. Pokud k získání aktualizací definic pro Microsoft Defender Antivirus používáte SCCM/SUP a potřebujete přístup k služba Windows Update na blokovaných klientských zařízeních, můžete přejít na spolusprávu a přesunout zatížení služby Endpoint Protection na Intune. V antimalwarových zásadách nakonfigurovaných v Intune existuje možnost Interní server aktualizace definic, kterou můžete nastavit tak, aby jako zdroj aktualizací používala místní službu WSUS. Tato konfigurace vám pomůže řídit, které aktualizace z oficiálního serveru WU jsou schválené pro podnik, a také pomáhá proxy a šetří síťový provoz do oficiální sítě Windows Aktualizace.
Vaše zásady a registr můžou mít uvedené informace o zabezpečení Centrum společnosti Microsoft pro ochranu před škodlivým softwarem (MMPC), což je její dřívější název.
Aby byla zajištěna nejlepší úroveň ochrany, microsoft Update umožňuje rychlé vydávání verzí, což znamená časté menší stahování. Služba Windows Server Update Service, Microsoft Endpoint Configuration Manager, aktualizace bezpečnostních funkcí Microsoftu a aktualizace platforem poskytují méně časté aktualizace. Rozdíl tedy může být větší, což vede k většímu stahování.
Aktualizace platformy a aktualizace modulu se vydávají každý měsíc. Aktualizace bezpečnostních informací se doručují několikrát denně, ale tento rozdílový balíček neobsahuje aktualizaci modulu. Viz Microsoft Defender Antivirová ochrana a aktualizace produktů.
Důležité
Pokud jste nastavili aktualizace stránky Microsoft Security Intelligence jako záložní zdroj po aktualizaci Windows Serveru nebo Microsoft Update, aktualizace se stáhnou jenom z aktualizací bezpečnostních funkcí a aktualizací platformy, pokud je aktuální aktualizace považována za za zastaralý. (Ve výchozím nastavení je to sedm po sobě jdoucích dnů, kdy není možné instalovat aktualizace ze služby Windows Server Update nebo služby Microsoft Update.) Můžete ale nastavit počet dní, než se ochrana ohlásí jako za aktuální.
Od pondělí 21. října 2019 jsou aktualizace bezpečnostních funkcí a aktualizace platforem podepsané výhradně pomocí algoritmu SHA-2. Zařízení musí být aktualizovaná tak, aby podporovala SHA-2, aby získala nejnovější aktualizace bezpečnostních funkcí a aktualizace platformy. Další informace najdete v tématu Požadavky na podporu podepisování kódu SHA-2 v roce 2019 pro Windows a WSUS.
Každý zdroj má typické scénáře, které závisí na konfiguraci sítě a také na tom, jak často publikují aktualizace, jak je popsáno v následující tabulce:
Umístění | Ukázkový scénář |
---|---|
Windows Server Update Service | Ke správě aktualizací pro vaši síť používáte službu Windows Server Update Service. |
Microsoft Update | Chcete, aby se vaše koncové body připojily přímo ke službě Microsoft Update. Tato možnost je užitečná pro koncové body, které se nepravidelně připojují k podnikové síti, nebo pokud ke správě aktualizací nepoužíváte službu Windows Server Update. |
Sdílená složka | Máte zařízení, která nejsou připojená k internetu (například virtuální počítače nebo virtuální počítače). Pomocí hostitele virtuálního počítače připojeného k internetu můžete stáhnout aktualizace do sdílené síťové složky, ze které můžou virtuální počítače aktualizace získat. Informace o použití sdílených složek v prostředích infrastruktury virtuálních klientských počítačů ( VDI) najdete v průvodci nasazením VDI. |
Microsoft Configuration Manager | K aktualizaci koncových bodů používáte Microsoft Configuration Manager. |
Aktualizace bezpečnostních informací a aktualizace platformy pro Microsoft Defender Antivirus a další antimalwarový software od Microsoftu (dříve označovaný jako MMPC) |
Ujistěte se, že jsou zařízení aktualizovaná tak, aby podporovala SHA-2. Microsoft Defender Antivirové zabezpečení a aktualizace platformy se dodávají prostřednictvím služba Windows Update. Od 21. října 2019 jsou aktualizace bezpečnostních funkcí a aktualizace platforem podepsané výhradně pomocí algoritmu SHA-2. Stáhněte si nejnovější aktualizace ochrany z důvodu nedávné infekce nebo vám pomůžou zřídit silnou základní image pro nasazení VDI. Tato možnost by se měla používat jenom jako konečný záložní zdroj, a ne jako primární zdroj. Použije se jenom v případě, že aktualizace nejde stáhnout ze služby Windows Server Update Nebo Microsoft Update po zadaný počet dnů. |
Můžete spravovat pořadí, v jakém se zdroje aktualizací používají s Zásady skupiny, Configuration Manager Microsoft Endpoint, rutinami PowerShellu a rozhraním WMI.
Důležité
Pokud nastavíte službu Windows Server Update Service jako umístění pro stahování, musíte aktualizace schválit bez ohledu na nástroj pro správu, který použijete k určení umístění. Pomocí služby Windows Server Update Service můžete nastavit pravidlo automatického schvalování, které může být užitečné, protože aktualizace přicházejí alespoň jednou denně. Další informace najdete v tématu synchronizace aktualizací ochrany koncových bodů v samostatné službě Windows Server Update Service.
Postupy v tomto článku nejprve popisují, jak nastavit pořadí a pak nastavit možnost Souborový server Systému Windows – sdílená složka, pokud je povolená.
Použití Zásady skupiny ke správě umístění aktualizace
Na počítači pro správu Zásady skupiny otevřete konzolu pro správu Zásady skupiny. Klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a pak vyberte Upravit.
V Editor správy Zásady skupiny přejděte na Konfigurace počítače.
Vyberte Zásady a pak Šablony pro správu.
Rozbalte strom na součásti systému> WindowsAktualizace podpisů vprogramu Windows Defender>.
Poznámka
- Pro Windows 10 verze 1703 až do verze 1809 včetně je cesta zásady Součásti > systému Windows Microsoft Defender antivirový > podpis Aktualizace
- Pro Windows 10 verze 1903 je cesta zásady Součásti > systému Windows Microsoft Defender Antivirus > Security Intelligence Aktualizace
Upravte nastavení Definovat pořadí zdrojů pro stahování aktualizací bezpečnostních informací . Nastavte možnost na Povoleno.
Zadejte pořadí zdrojů oddělených jedním kanálem, například:
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC
, jak je znázorněno na následujícím snímku obrazovky.Vyberte OK. Tato akce nastaví pořadí zdrojů aktualizací ochrany.
Upravte nastavení Definovat sdílené složky pro stahování aktualizací inteligentních informací zabezpečení a pak nastavte možnost na Povoleno.
Na Windows Serveru zadejte zdroj sdílené složky. Pokud máte více zdrojů, zadejte každý zdroj v pořadí, v jakém se mají použít, a oddělte je jedním kanálem. K zápisu cesty použijte standardní zápis UNC . Příklad:
\\WindowsFileServer\share-name\object-name|\\host-name2\share-name\object-name
.Pokud nezadáte žádné cesty, tento zdroj se při stahování aktualizací přeskočí.
Vyberte OK. Tato akce nastaví pořadí sdílených složek, když se na tento zdroj odkazuje v nastavení zásad skupiny Definovat pořadí zdrojů .
Použití Configuration Manager ke správě umístění aktualizace
Podrobnosti o konfiguraci Microsoft Configuration Manager (aktuální větev) najdete v tématu Konfigurace Aktualizace analýzy zabezpečení pro službu Endpoint Protection.
Použití rutin PowerShellu ke správě umístění aktualizace
K nastavení pořadí aktualizací použijte následující rutiny PowerShellu.
Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}
Další informace najdete v následujících článcích:
- Set-MpPreference -SignatureFallbackOrder
- Set-MpPreference -SignatureDefinitionUpdateFileSharesSource
- Konfigurace a spuštění Microsoft Defender Antivirové ochrany pomocí rutin PowerShellu
- rutiny Antivirová ochrana v programu Defender
Použití WMI (Windows Management Instruction) ke správě umístění aktualizace
Použijte metodu Set třídy MSFT_MpPreference pro následující vlastnosti:
SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource
Další informace najdete v následujících článcích:
Použití mobilních Správa zařízení (MDM) ke správě umístění aktualizace
Podrobnosti o konfiguraci MDM najdete v tématu CSP zásad – Defender/SignatureUpdateFallbackOrder .
Co když používáme jiného dodavatele než Microsoft?
Tento článek popisuje, jak nakonfigurovat a spravovat aktualizace pro Microsoft Defender Antivirus. K provádění těchto úloh ale můžete najmout jiné dodavatele než Microsoft.
Předpokládejme například, že společnost Contoso najala společnost Fabrikam na správu svého řešení zabezpečení, které zahrnuje Microsoft Defender Antivirus. Fabrikam obvykle k nasazení oprav a aktualizací používá Windows Management Instrumentation, rutiny PowerShellu nebo příkazový řádek Windows .
Poznámka
Společnost Microsoft netestuje řešení třetích stran pro správu Microsoft Defender Antivirové ochrany.
Vytvoření sdílené složky UNC pro informace o zabezpečení a aktualizace platforem
Na souborovém serveru Windows nastavte síťovou sdílenou složku (UNC/mapovaná jednotka) pro stahování informací o zabezpečení a aktualizací platformy z webu MMPC pomocí naplánované úlohy.
V systému, pro který chcete zřídit sdílenou složku a stáhnout aktualizace, vytvořte složku pro skript.
Start, CMD (Run as admin) MD C:\Tool\PS-Scripts\
Vytvořte složku pro aktualizace podpisů.
MD C:\Temp\TempSigs\x64 MD C:\Temp\TempSigs\x86
Stáhněte si skript PowerShellu z www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.
Vyberte Ruční stažení.
Vyberte Stáhnout nezpracovaný soubor nupkg.
Extrahujte soubor.
Zkopírujte soubor
SignatureDownloadCustomTask.ps1
do složky, kterou jste vytvořili dříve,C:\Tool\PS-Scripts\
.Pomocí příkazového řádku nastavte naplánovanou úlohu.
Poznámka
Existují dva typy aktualizací: úplná a rozdílová.
Pro x64 delta:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Plná verze x64:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Pro x86 delta:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Pro x86 full:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Poznámka
Po vytvoření naplánovaných úkolů je najdete v Plánovači úloh v části
Microsoft\Windows\Windows Defender
.Spusťte každou úlohu ručně a ověřte, že máte data (
mpam-d.exe
,mpam-fe.exe
anis_full.exe
) v následujících složkách (můžete použít různá umístění):C:\Temp\TempSigs\x86
C:\Temp\TempSigs\x64
Pokud naplánovaná úloha selže, spusťte následující příkazy:
C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
Vytvořte sdílenou složku odkazující na
C:\Temp\TempSigs
(například\\server\updates
).Poznámka
Ověření uživatelé musí mít minimálně přístup ke čtení. Tento požadavek platí také pro počítače domény, sdílenou složku a systém souborů NTFS (zabezpečení).
Nastavte umístění sdílené složky v zásadě na sdílenou složku.
Poznámka
Do cesty nepřidávejte složku x64 (nebo x86). Proces
mpcmdrun.exe
ho přidá automaticky.
Související články
- Nasazení Microsoft Defender Antivirové ochrany
- Správa aktualizací Microsoft Defender Antivirus a použití směrných plánů
- Správa aktualizací pro koncové body, které jsou zastaralé
- Správa vynucených aktualizací založených na událostech
- Správa aktualizací pro mobilní zařízení a virtuální počítače
- Microsoft Defender Antivirus v Windows 10
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.