管理 Microsoft Defender 防病毒更新并扫描过期的终结点

适用于:

平台

  • Windows

使用 Microsoft Defender 防病毒,安全团队可以定义终结点可以避免更新的时间,或者它可能需要在接收更新并运行扫描之前错过多少次扫描。 在设备不经常连接到公司或外部网络的环境中,或者对于不每天使用的设备,此功能特别有用。

例如,使用特定计算机的员工需要休息三天,在此期间不会登录其计算机。 当员工返回工作并登录到其计算机时,Microsoft Defender防病毒将立即检查并下载最新的保护更新,然后运行扫描。

为一段时间未更新的终结点设置追赶保护更新

如果Microsoft Defender防病毒在指定时间段内未下载保护更新,则可以将其设置为自动检查并在下次有人登录终结点时下载最新更新。 如果在 启动时全局禁用自动更新下载,则此配置非常有用。

可以使用以下方法之一来设置追赶保护更新:

使用Configuration Manager配置追赶保护更新

  1. 在Microsoft Configuration Manager控制台上,打开要更改的反恶意软件策略 (在左侧导航窗格中选择“资产和符合性”,然后将树展开到“概述>终结点保护>反恶意软件策略)

  2. 转到 “安全智能更新 ”部分并配置以下设置:

    • 将“如果客户端计算机针对两个以上的连续计划更新脱机,则强制安全智能更新”设置为“是”。
    • 对于“如果Configuration Manager用作安全智能更新的源...”,请指定Configuration Manager提供的保护更新应被视为过期之前的几个小时。 此设置会导致根据定义的 回退源顺序使用下一个更新位置。
  3. 选择“确定”

  4. 照常部署更新的策略

使用 组策略 启用和配置追赶更新功能

  1. 在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。

  2. “组策略管理”编辑器转到“计算机配置”。

  3. 依次选择“ 策略 ”和“ 管理模板”。

  4. 将树展开到 Windows 组件>Microsoft Defender防病毒>签名汇报

  5. 双击“ 定义需要跟进安全智能更新的天数 ”设置,并将选项设置为 “已启用”。 输入要Microsoft Defender防病毒检查并下载最新保护更新的天数。

  6. 选择“确定”

使用 PowerShell cmdlet 配置追赶保护更新

使用以下 cmdlet:

Set-MpPreference -SignatureUpdateCatchupInterval

有关将 PowerShell 与 Microsoft Defender 防病毒配合使用的详细信息,请参阅以下文章:

使用 Windows 管理说明 (WMI) 配置追赶保护更新

对以下属性使用 MSFT_MpPreference 类的 Set 方法

SignatureUpdateCatchupInterval

有关详细信息和允许的参数,请参阅以下文章:

设置保护报告为过期之前的天数

还可以指定Microsoft Defender防病毒保护被视为过时或过期的天数。 指定天数后,客户端将自行报告为“过期”,并向终结点用户显示错误。 当终结点被视为过期时,Microsoft Defender防病毒可能会根据定义的回退源顺序) 尝试从其他源 (下载更新。

可以使用 组策略 指定终结点保护被视为过期的天数。

使用组策略指定保护被视为过期之前的天数

  1. 在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。

  2. “组策略管理”编辑器转到“计算机配置”。

  3. 依次选择“ 策略 ”和“ 管理模板”。

  4. 将树展开到 Windows 组件>Microsoft Defender防病毒>签名汇报并配置以下设置:

    1. 双击“ 定义间谍软件定义被视为过期之前的天数 ”,并将选项设置为 “已启用”。 输入希望Microsoft Defender防病毒将间谍软件安全情报视为过期的天数。

    2. 选择“确定”

    3. 双击“ 定义病毒定义被视为过期之前的天数 ”,并将选项设置为 “已启用”。 输入希望Microsoft Defender防病毒将病毒安全智能视为过期的天数。

    4. 选择“确定”

为一段时间未扫描的终结点设置跟进扫描

可以设置在防病毒将强制扫描之前可能错过的连续计划扫描数Microsoft Defender。

启用此功能的过程是:

  1. 设置至少一个计划扫描 (请参阅 计划扫描 一文) 。

  2. 启用追赶扫描功能。

  3. 定义在进行追赶扫描之前可以跳过的扫描数。

可以为完整扫描和快速扫描启用此功能。

提示

建议在大多数情况下使用快速扫描。 若要了解详细信息,请参阅 快速扫描、完全扫描和自定义扫描

可以使用以下方法之一来设置追赶扫描:

使用组策略启用和配置追赶扫描功能

  1. 确保已设置至少一次计划扫描。

  2. 在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。

  3. “组策略管理”编辑器转到“计算机配置”。

  4. 依次选择“ 策略 ”和“ 管理模板”。

  5. 将树展开到 Windows 组件>Microsoft Defender防病毒>扫描并配置以下设置:

    • 如果已设置计划的快速扫描,请双击“ 启用赶上快速扫描 ”设置,并将选项设置为 “已启用”。
    • 如果已设置计划的完整扫描,请双击“ 启用追赶完整扫描 ”设置,并将选项设置为 “已启用”。 选择“确定”
    • 双击“ 定义强制执行赶超扫描的天数 ”设置,并将选项设置为 “已启用”。
    • 输入在用户下次登录终结点时,扫描将自动运行之前可能错过的扫描数。 运行的扫描类型由 指定用于计划扫描的扫描类型 确定 (请参阅 计划扫描 一文) 。 选择“确定”

注意

组策略设置标题是指天数。 但是,此设置应用于扫描的次数 (而不是在运行追赶扫描之前) 天数。

使用 PowerShell cmdlet 配置跟进扫描

使用以下 cmdlet:

Set-MpPreference -DisableCatchupFullScan
Set-MpPreference -DisableCatchupQuickScan

有关将 PowerShell 与 Microsoft Defender 防病毒配合使用的详细信息,请参阅以下文章:

使用 Windows 管理指令 (WMI) 配置追赶扫描

对以下属性使用 MSFT_MpPreference 类的 Set 方法

DisableCatchupFullScan
DisableCatchupQuickScan

有关详细信息和允许的参数,请参阅以下文章:

使用Configuration Manager配置追赶扫描

  1. 在Microsoft Configuration Manager控制台上,打开要更改的反恶意软件策略 (在左侧导航窗格中选择“资产和符合性”,然后将树展开到“概述>终结点保护>反恶意软件策略)

  2. 转到“计划的扫描”部分,如果客户端计算机处于脱机状态...,则强制扫描所选扫描类型

  3. 选择“确定”

  4. 照常部署更新的策略

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区