Microsoft Defender päivitysten vaiheittaisten käyttöönottoprosessien hallinta
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
On tärkeää varmistaa, että asiakaskomponentit ovat ajan tasalla tärkeiden suojausominaisuuksien tarjoamiseksi ja hyökkäysten estämiseksi.
Toiminnot tarjotaan useiden komponenttien kautta:
- Päätepisteen tunnistaminen & vastaus
- Seuraavan sukupolven suojauspilvipalveluun toimitetulla suojauksella
- Hyökkäyspinnan pienentäminen
Päivitykset julkaistaan kuukausittain käyttämällä asteittaista julkaisuprosessia. Tämä prosessi auttaa ottamaan käyttöön varhaisen virheentunnistuksen ja tunnistamaan ongelmat niiden tapahtuessa ja ratkaisemaan ne nopeasti ennen suurempaa käyttöönottoa.
Huomautus
Lisätietoja päivittäisten suojaustietojen päivitysten hallinnasta on kohdassa Ajoita Microsoft Defender virustentorjuntaohjelman suojauspäivitykset. Päivitykset varmistaa, että seuraavan sukupolven suojaus voi puolustautua uusia uhkia vastaan, vaikka pilvipalveluun toimitettu suojaus ei olisikaan päätepisteen käytettävissä.
Microsoftin asteittainen käyttöönottomalli
Kuukausittaisissa Defender-päivityksissä noudatetaan seuraavaa vaiheittaista käyttöönottomallia:
Ensimmäinen julkaisu julkaistaan beetakanavan tilaajille.
Vahvistuksen, palautteen ja korjausten jälkeen aloitamme asteittaisen käyttöönoton rajoitettuna ja esikatselukanavan tilaajien kohdalla ensin.
Sen jälkeen julkaisemme päivityksen muulle maailman väestölle ja siirrymme 10-100 %:sta poispäin.
Insinöörimme seuraavat jatkuvasti vaikutusta ja eskaloivat ongelmia ja luovat korjauksen tarvittaessa.
Sisäisen käyttöönottoprosessin mukauttaminen
Jos laitteesi saavat Defender-päivityksiä Windows Update, vaiheittainen käyttöönottoprosessi voi johtaa siihen, että jotkin laitteesi vastaanottavat Defender-päivityksiä nopeammin kuin toiset. Seuraavassa osiossa kerrotaan, miten määritetään strategia, joka sallii automaattisten päivitysten kulun eri tavalla kuin tietyt laiteryhmät päivityskanavan määrityksen avulla.
Huomautus
Kun suunnittelet omaa asteittaista julkaisuasi, varmista, että sinulla on aina valikoima laitteita, jotka on tilattu esikatselu- ja vaiheittaisille kanaville. Tämä tarjoaa sekä organisaatiollesi että Microsoftille mahdollisuuden estää tai etsiä ja korjata ympäristöösi liittyviä ongelmia.
Tietokoneissa, jotka vastaanottavat päivityksiä esimerkiksi Windows Server Update Services (WSUS) tai Microsoft Configuration Manager kautta, on saatavana lisää vaihtoehtoja kaikille Windows-päivityksille, mukaan lukien Microsoft Defender for Endpoint.
- Lue lisätietoja siitä, miten voit WSUS:n ja MECM:n kaltaisten ratkaisujen avulla hallita päivitysten jakelua ja sovellusta artikkelissa Hallitse Microsoft Defender virustentorjuntapäivityksiä ja ota käyttöön perusaikatauluja – Windowsin suojaus.
Päivitä kuukausittaisten päivitysten kanavat
Voit määrittää päivityskanavalle koneen määrittämään ajan, jolloin kone vastaanottaa kuukausittaisia moduuli- ja käyttöympäristöpäivityksiä.
Lisätietoja päivitysten määrittämisestä on artikkelissa Mukautetun vaiheittaisen käyttöönottoprosessin luominen Microsoft Defender päivityksiä varten.
Seuraavat päivityskanavat ovat käytettävissä:
| Kanavan nimi | Kuvaus | Sovellus |
|---|---|---|
| Beetakanava - esiversio | Testaa päivitykset ennen muita | Tälle kanavalle määritetyt laitteet saavat ensimmäisenä uusia kuukausipäivityksiä. Valitse Beetakanava, jos haluat osallistua ongelmien tunnistamiseen ja raportoimiseen Microsoftille. Windows Insider Program -ohjelman laitteet on oletusarvoisesti tilattu tälle kanavalle. Käytetään vain testiympäristöissä. |
| Nykyinen kanava (esikatselu) | Hae nykyisen kanavan päivitykset aikaisemmin asteittaista julkaisua varten | Tälle kanavalle määritetyille laitteille tarjotaan päivityksiä aikaisintaan asteittainen julkaisujakso. Ehdotetaan esituotanto- ja vahvistusympäristöjä varten. |
| Nykyinen kanava (vaiheitettu) | Hae nykyisen kanavan päivitykset myöhemmin asteittaista julkaisua varten | Laitteille tarjotaan päivityksiä myöhemmin asteittainen julkaisujakso. Suosittelemme, että sovellettaisiin pientä ja edustavaa osaa laitepopulaatiosta (noin 10 %). |
| Nykyinen kanava (laaja) | Hanki päivitykset asteittaisen julkaisun lopussa | Laitteille tarjotaan päivityksiä vasta, kun vaiheittainen julkaisujakso on valmis. Suosittelemme, että sovellettaisiin laajaan laitejoukkoon tuotantoväestössäsi (noin 10–100 %). |
| Kriittinen: Viive | Viivytä Defender-päivityksiä | Laitteille tarjotaan päivityksiä 48 tunnin viiveellä. Sopii parhaiten palvelinkeskuskoneisiin, jotka saavat vain rajoitettuja päivityksiä. Ehdotetaan vain kriittisiin ympäristöihin. |
| (oletus) | Jos poistat tämän käytännön käytöstä tai et määritä sitä, laite pysyy nykyisessä kanavassa (oletus): Pysy ajan tasalla automaattisesti asteittaista julkaisua varten. Tämä tarkoittaa, että Microsoft määrittää laitteelle kanavan. Microsoftin valitsema kanava saattaa vastaanottaa päivitykset aikaisessa vaiheessa asteittaisen julkaisujakson aikana, mikä ei sovi tuotantoympäristön tai kriittisen ympäristön laitteille. |
Päivitä suojaustietojen päivityskanavat
Voit myös määrittää kanavalle koneen, joka määrittää sen ajan, jolloin se vastaanottaa SSU:ita (aiemmin nimi oli allekirjoitus, määritys tai päivittäiset päivitykset). Toisin kuin kuukausittaisessa prosessissa, tämä asteittainen julkaisujakso tapahtuu useita kertoja päivässä.
| Kanavan nimi | Kuvaus | Sovellus |
|---|---|---|
| Nykyinen kanava (vaiheitettu) | Sama kuin nykyinen kanava (laaja) | Sama kuin nykyinen kanava (broad). |
| Nykyinen kanava (laaja) | Hanki päivitykset asteittaisen julkaisun lopussa | Laitteille tarjotaan päivityksiä asteittainen julkaisujakso. Ehdotettiin, että sovellettaisiin laajaa laitejoukkoa kaikissa populaatioissa, myös tuotannossa. Huomautus: tämä asetus koskee kaikkia Defender-päivityksiä. |
| (oletus) | Jos poistat tämän käytännön käytöstä tai et määritä sitä, Microsoft joko määrittää laitteen Nykyiselle kanavalle (Broad) tai beetakanavan asteittaisen julkaisusyklin alussa. Microsoftin valitsema kanava saattaa vastaanottaa päivitykset aikaisessa vaiheessa asteittaisen julkaisujakson aikana, mikä ei välttämättä sovellu tuotantoympäristön tai kriittisen ympäristön laitteille. |
Huomautus
Jos haluat pakottaa päivityksen uusimpaan allekirjoitukseen viiveen sijasta, sinun on ensin poistettava tämä käytäntö.
Päivitysohjeet
Useimmissa tapauksissa suositeltu määritys Windows Update käytettäessä on sallia päätepisteiden vastaanottaa ja ottaa käyttöön kuukausittaisia Defender-päivityksiä niiden saapuessa. Tämä vaihtoehto tarjoaa parhaan tasapainon suojauksen ja niiden mahdollisiin muutoksiin liittyvien vaikutusten välillä.
Ympäristöissä, joissa automaattiset Defender-päivitykset on otettava käyttöön hallitusti asteittain, harkitse käyttöönottoa käyttöönottoryhmien kanssa:
Osallistu Windows Insider -ohjelmaan tai määritä laiteryhmä beetakanavalle.
Määritä pilottiryhmä, joka ottaa käyttöön esikatselukanavan eli yleensä vahvistusympäristöt, jotta uudet päivitykset tulevat käyttöön aikaisessa vaiheessa.
Määritä ryhmä koneita, jotka saavat päivityksiä myöhemmin vaiheittaisen käyttöönoton aikana Vaiheittain-kanavalta. Yleensä tämä ryhmä edustaa noin 10:aa prosenttia väestöstä.
Määritä ryhmä koneita, jotka saavat päivityksiä asteittaisen julkaisujakson päätyttyä. Nämä ovat tyypillisesti tärkeitä tuotantojärjestelmiä.
Muiden laitteiden oletusasetuksena on uusien päivitysten vastaanottaminen niiden saapuessa Microsoftin vaiheittaisen käyttöönottoprosessin aikana, eikä lisämäärityksiä tarvita.
Tämän mallin käyttöönotto:
- Voit testata aikaisia julkaisuja ennen kuin ne saavuttavat tuotantoympäristön
- Varmista, että tuotantoympäristö saa edelleen säännöllisiä päivityksiä ja että se suojaa kriittisiä uhkia vastaan.
Hallintatyökalut
Voit luoda oman vaiheittaisten käyttöönottoprosessien luomisen kuukausittaisille päivityksille seuraavien työkalujen avulla:
- Ryhmäkäytäntö
- Microsoft Intune
- PowerShell
Lisätietoja näiden työkalujen käyttämisestä on artikkelissa Mukautetun vaiheittaisen käyttöönottoprosessin luominen Microsoft Defender päivityksiä varten.
Vihje
Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:
- Asetusten määrittäminen Microsoft Defender for Endpoint Macissa
- Microsoft Defender for Endpoint Macissa
- macOS:n virustentorjuntakäytännön asetukset Microsoft Defenderin virustentorjunta Intunessa
- Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa
- Microsoft Defender for Endpoint Linuxissa
- Defender for Endpointin ominaisuuksien määrittäminen Androidissa
- Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.