Správa procesu postupného zavádění aktualizací Microsoft Defender
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Antivirová ochrana v programu Microsoft Defender
Platformy
- Windows
Je důležité zajistit, aby klientské komponenty byly aktuální, aby poskytovaly důležité možnosti ochrany a zabránily útokům.
Funkce jsou poskytovány prostřednictvím několika komponent:
- Odpověď & detekce koncových bodů
- Ochrana nové generace s cloudovou ochranou
- Omezení potenciální oblasti útoku
Aktualizace se vydávají každý měsíc pomocí postupného procesu vydávání. Tento proces pomáhá umožnit včasné zjišťování selhání, aby bylo možné identifikovat problémy, ke kterým dochází, a rychle je vyřešit před rozsáhlejším uvedením.
Poznámka
Další informace o tom, jak řídit každodenní aktualizace bezpečnostních informací, najdete v tématu Plánování aktualizací Microsoft Defender antivirové ochrany. Aktualizace zajistit, aby se ochrana nové generace dokázala bránit před novými hrozbami, i když pro koncový bod není dostupná cloudová ochrana.
Model postupného zavádění Microsoftu
Pro měsíční aktualizace Defenderu se používá následující model postupného zavádění:
První vydání vyšlo předplatitelům beta kanálu.
Po ověření, zpětné vazbě a opravách zahájíme proces postupného zavádění omezeným způsobem a nejprve se podíváme na předplatitele kanálu Preview.
Pak pokračujeme vydáním aktualizace pro zbytek globální populace a horizontálním navýšením kapacity od 10 do 100 %.
Naši technici nepřetržitě monitorují dopad a eskalují případné problémy, aby podle potřeby vytvořili opravu.
Přizpůsobení interního procesu nasazení
Pokud vaše počítače dostávají aktualizace Defenderu z služba Windows Update, může proces postupného zavádění způsobit, že některá zařízení obdrží aktualizace Defenderu dříve než jiná. Následující část vysvětluje, jak definovat strategii, která umožní, aby automatické aktualizace přecházení do konkrétních skupin zařízení odlišně pomocí konfigurace kanálu aktualizací.
Poznámka
Při plánování vlastního postupného vydávání se prosím ujistěte, že máte vždy vybraných zařízení předplacených k odběru kanálů Preview a fázovaných kanálů. To vaší organizaci i Microsoftu umožní zabránit problémům specifickým pro vaše prostředí nebo je najít a opravit.
U počítačů, které dostávají aktualizace například prostřednictvím služby Windows Server Update Services (WSUS) nebo Microsoft Configuration Manager, jsou pro všechny aktualizace Systému Windows k dispozici další možnosti, včetně možností pro Microsoft Defender for Endpoint.
- Další informace o tom, jak používat řešení, jako jsou WSUS a MECM, ke správě distribuce a aplikace aktualizací najdete v tématu Správa aktualizací Microsoft Defender Antivirové ochrany a použití standardních hodnot – zabezpečení Windows.
Aktualizace kanálů pro měsíční aktualizace
Počítač můžete přiřadit k aktualizačnímu kanálu a definovat tak četnost měsíčních aktualizací modulu a platformy.
Další informace o tom, jak nakonfigurovat aktualizace, najdete v tématu Vytvoření vlastního postupného procesu zavádění pro Microsoft Defender aktualizace.
K dispozici jsou následující aktualizační kanály:
Název kanálu | Popis | Application |
---|---|---|
Beta kanál – předběžné vydání | Testování aktualizací před ostatními | Zařízení nastavená na tento kanál jsou první, která obdrží nové měsíční aktualizace. Vyberte Kanál Beta a zapojte se do identifikace a hlášení problémů společnosti Microsoft. Zařízení v programu Windows Insider se ve výchozím nastavení přihlašují k odběru tohoto kanálu. Pro použití pouze v testovacích prostředích. |
Aktuální kanál (Preview) | Získání aktualizací aktuálního kanálu dříve během postupného vydávání | Zařízení nastavená na tento kanál budou nabízet aktualizace nejdříve během postupného cyklu vydávání. Navrženo pro předprodukční nebo ověřovací prostředí. |
Aktuální kanál (fázovaný) | Získání aktualizací aktuálního kanálu později během postupného vydávání | Zařízení budou nabízeny aktualizace později během postupného cyklu vydávání. Navrhuje se použít pro malou reprezentativní část populace zařízení (přibližně 10 %). |
Aktuální kanál (široký) | Získání aktualizací na konci postupného vydání | Zařízení budou nabízet aktualizace až po dokončení postupného cyklu vydávání. Navrhuje se použít pro širokou sadu zařízení v produkční populaci (přibližně 10–100 %). |
Kritické: Časové zpoždění | Pozdržet aktualizace Defenderu | Zařízení se nabízejí aktualizace se 48hodinovým zpožděním. Nejvhodnější pro počítače datacentra, které dostávají jenom omezené aktualizace. Navrženo pouze pro kritická prostředí. |
(výchozí) | Pokud tuto zásadu zakážete nebo nenakonfigurujete, zůstane zařízení v aktuálním kanálu (výchozí): Během cyklu postupného vydávání verzí bude automaticky aktuální. To znamená, že Microsoft přiřadí k zařízení kanál. Kanál vybraný Microsoftem může být kanál, který přijímá aktualizace na začátku cyklu postupného vydávání, což není vhodné pro zařízení v produkčním nebo kritickém prostředí. |
Aktualizační kanály pro aktualizace bezpečnostních informací
Počítač můžete také přiřadit ke kanálu a definovat tak četnost příjmu jednotek SIU (dříve označovaných jako podpis, definice nebo denní aktualizace). Na rozdíl od měsíčního procesu dochází k tomuto postupnému cyklu vydávání několikrát denně.
Název kanálu | Popis | Application |
---|---|---|
Aktuální kanál (fázovaný) | Stejné jako Aktuální kanál (široký) | Stejné jako Aktuální kanál (široký). |
Aktuální kanál (široký) | Získání aktualizací na konci postupného vydání | Po postupném cyklu vydávání budou zařízením nabídnuty aktualizace. Navrhuje se použít pro širokou sadu zařízení ve všech populacích, včetně výroby. Poznámka: Toto nastavení platí pro všechny aktualizace Defenderu. |
(výchozí) | Pokud tuto zásadu zakážete nebo nenakonfigurujete, Microsoft na začátku cyklu postupného vydávání přiřadí zařízení k aktuálnímu kanálu (Broad) nebo beta kanálu. Kanál vybraný společností Microsoft může být kanál, který přijímá aktualizace na začátku cyklu postupného vydávání, což nemusí být vhodné pro zařízení v produkčním nebo kritickém prostředí. |
Poznámka
Pokud chcete místo využití časového zpoždění vynutit aktualizaci nejnovějšího podpisu, budete muset tuto zásadu napřed odebrat.
Pokyny k aktualizaci
Ve většině případů je doporučenou konfigurací při používání služba Windows Update umožnit koncovým bodům přijímat a používat měsíční aktualizace Defenderu hned, jak dorazí. Tato možnost poskytuje nejlepší rovnováhu mezi ochranou a možným dopadem souvisejícím se změnami, které mohou zavést.
V prostředích, kde je potřeba řídit postupné zavádění automatických aktualizací Defenderu, zvažte přístup ke skupinám nasazení:
Zapojte se do programu Windows Insider nebo přiřaďte skupinu zařízení k beta kanálu.
Určete pilotní skupinu, která se přihlásí k kanálu Preview, obvykle ověřovacím prostředím, a bude dostávat nové aktualizace co nejdříve.
Určete skupinu počítačů, které obdrží aktualizace později během postupného zavádění z kanálu Staged. Tato skupina obvykle představuje přibližně 10 % populace.
Určete skupinu počítačů, které obdrží aktualizace po dokončení postupného cyklu vydávání verzí. Obvykle se jedná o důležité produkční systémy.
Pro zbývající zařízení je výchozím nastavením příjem nových aktualizací při jejich doručení během procesu postupného zavádění Microsoftu a nevyžaduje se žádná další konfigurace.
Přechod na tento model:
- Umožňuje otestovat dřívější verze předtím, než se dostanou do produkčního prostředí.
- Zajistěte, aby produkční prostředí stále dostávalo pravidelné aktualizace a zajistěte ochranu před kritickými hrozbami.
Nástroje pro správu
Pokud chcete vytvořit vlastní postup postupného zavádění měsíčních aktualizací, můžete použít následující nástroje:
- Zásady skupiny
- Microsoft Intune
- PowerShell
Podrobnosti o používání těchto nástrojů najdete v tématu Vytvoření vlastního postupného procesu zavádění pro Microsoft Defender aktualizace.
Tip
Pokud hledáte informace související s antivirovou ochranou pro jiné platformy, podívejte se na:
- Nastavení předvoleb pro Microsoft Defender pro koncový bod v macOSu
- Microsoft Defender for Endpoint v systému Mac
- Nastavení zásad antivirové ochrany macOSu pro antivirovou ochranu v Microsoft Defenderu pro Intune
- Nastavení předvoleb pro Microsoft Defender pro koncový bod v Linuxu
- Microsoft Defender for Endpoint v systému Linux
- Konfigurace funkcí Defender for Endpoint v Androidu
- Konfigurace funkcí Microsoft Defender for Endpoint v iOSu
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.