Nasazení produkčního okruhu Antivirová ochrana v programu Microsoft Defender pomocí zásad skupiny a sdílené síťové složky
Platí pro:
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
- Antivirová ochrana v Microsoft Defenderu
Platformy
- Windows
- Windows Server
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Microsoft Defender for Endpoint je podniková platforma zabezpečení koncových bodů navržená tak, aby pomáhala podnikovým sítím předcházet pokročilým hrozbám, zjišťovat je, prošetřovat je a reagovat na ně.
Tip
Microsoft Defender for Endpoint je k dispozici ve dvou plánech: Defender for Endpoint Plan 1 a Plan 2. Pro plán 2 je teď k dispozici nový doplněk Správa ohrožení zabezpečení v programu Microsoft Defender.
Úvod
Tento článek popisuje, jak nasadit Antivirovou ochranu v programu Microsoft Defender v okruhech pomocí zásad skupiny a sdílené síťové složky (označované také jako cesta UNC, SMB, CIFS).
Požadavky
Přečtěte si článek Read me v Readme.
Stáhněte si nejnovější verze .admx a .adml v programu Windows Defender.
Zkopírujte nejnovější soubory .admx a .adml do centrálního úložiště řadiče domény.
Vytvoření sdílené složky UNC pro informace o zabezpečení a aktualizace platforem
Nastavení pilotního prostředí
Tato část popisuje proces nastavení pilotního prostředí UAT/ Test / QA. Přibližně 10–500* systémů Windows nebo Windows Server v závislosti na celkovém počtu systémů, které máte.
Poznámka
Aktualizace SIU (Security Intelligence Update) je ekvivalentní aktualizacím podpisu, což je stejné jako aktualizace definic.
Vytvoření sdílené složky UNC pro informace o zabezpečení
Nastavte sdílenou síťovou složku (UNC/mapovaná jednotka) pro stahování informací o zabezpečení z webu MMPC pomocí naplánované úlohy.
V systému, ve kterém chcete zřídit sdílenou složku a stáhnout aktualizace, vytvořte složku, do které uložíte skript.
Start, CMD (Run as admin) MD C:\Tool\PS-Scripts\
Vytvořte složku, do které budete ukládat aktualizace podpisů.
MD C:\Temp\TempSigs\x64 MD C:\Temp\TempSigs\x86
Nastavení skriptu PowerShellu
CopySignatures.ps1
Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"
Pomocí příkazového řádku nastavte naplánovanou úlohu.
Poznámka
Existují dva typy aktualizací: úplná a rozdílová.
Pro x64 delta:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Plná verze x64:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Pro x86 delta:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Pro x86 full:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Poznámka
Po vytvoření naplánovaných úkolů je najdete v Plánovači úloh v části
Microsoft\Windows\Windows Defender
.Spusťte každou úlohu ručně a ověřte, že máte data (
mpam-d.exe
,mpam-fe.exe
anis_full.exe
) v následujících složkách (možná jste zvolili jiná umístění):C:\Temp\TempSigs\x86
C:\Temp\TempSigs\x64
Pokud naplánovaná úloha selže, spusťte následující příkazy:
C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
Poznámka
Příčinou problémů můžou být také zásady spouštění.
Vytvořte sdílenou složku odkazující na
C:\Temp\TempSigs
(např.\\server\updates
).Poznámka
Ověření uživatelé musí mít minimálně přístup ke čtení. Tento požadavek platí také pro počítače domény, sdílenou složku a systém souborů NTFS (zabezpečení).
Nastavte umístění sdílené složky v zásadě na sdílenou složku.
Poznámka
Do cesty nepřidávejte složku x64 (nebo x86). Proces mpcmdrun.exe ho přidá automaticky.
Nastavení pilotního prostředí (UAT/Test/QA)
Tato část popisuje proces nastavení pilotního prostředí UAT/ Test / QA na přibližně 10–500 systémech Windows nebo Windows Server v závislosti na celkovém počtu systémů, které máte.
Poznámka
Pokud máte prostředí Citrix, zahrňte alespoň 1 virtuální počítač Citrix (ne trvalý) a/nebo (trvalý).
V Konzole pro správu zásad skupiny (GPMC, GPMC.msc) vytvořte nebo připojte zásady antivirové ochrany v programu Microsoft Defender.
Upravte zásady antivirové ochrany v programu Microsoft Defender. Můžete například upravit MDAV_Settings_Pilot. Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému>Windows Antivirová ochrana v programu Microsoft Defender. Existují tři související možnosti:
Funkce Doporučení pro pilotní systémy Vyberte kanál pro denní aktualizace bezpečnostních informací v programu Microsoft Defender. Aktuální kanál (fázovaný) Vyberte kanál pro měsíční aktualizace modulu Microsoft Defenderu. Beta kanál Vyberte kanál pro měsíční aktualizace platformy Microsoft Defenderu. Beta kanál Tři možnosti jsou znázorněny na následujícím obrázku.
Další informace najdete v tématu Správa procesu postupného zavádění aktualizací programu Microsoft Defender.
Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému>Windows Antivirová ochrana v programu Microsoft Defender.
Pokud chcete aktualizovat inteligentní funkce , poklikejte na Vybrat kanál pro měsíční aktualizace inteligentních informací v programu Microsoft Defender.
Na stránce Vyberte kanál pro aktualizace měsíčních analytických informací v programu Microsoft Defender vyberte Povoleno a v části Možnosti vyberte Aktuální kanál (fázované) .
Vyberte Použít a pak vyberte OK.
Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému>Windows Antivirová ochrana v programu Microsoft Defender.
U aktualizací modulu poklikejte na Vybrat kanál pro měsíční aktualizace modulu Microsoft Defenderu.
Na stránce Vyberte kanál pro měsíční aktualizace platformy Microsoft Defenderu vyberte Povoleno a v části Možnosti vyberte Beta kanál.
Vyberte Použít a pak vyberte OK.
V případě aktualizací platformy poklikejte na Vybrat kanál pro měsíční aktualizace platformy v programu Microsoft Defender.
Na stránce Vyberte kanál pro měsíční aktualizace platformy Microsoft Defenderu vyberte Povoleno a v části Možnosti vyberte Beta kanál. Tato dvě nastavení jsou znázorněna na následujícím obrázku:
Vyberte Použít a pak vyberte OK.
Související články
- Antivirové profily – Zařízení spravovaná v Microsoft Intune
- Použití zásad antivirové ochrany zabezpečení koncového bodu ke správě chování při aktualizaci v programu Microsoft Defender (Preview)
- Správa procesu postupného zavádění aktualizací Microsoft Defenderu
Nastavení produkčního prostředí
V Konzole pro správu zásad skupiny (GPMC, GPMC.msc) přejděte naZásady>konfigurace> počítačeŠablony pro> správuSoučásti systému> WindowsAntivirová ochrana v programu Microsoft Defender.
Nastavte tyto tři zásady takto:
Funkce Doporučení pro produkční systémy Poznámky Vyberte kanál pro denní aktualizace bezpečnostních informací v programu Microsoft Defender. Aktuální kanál (široký) Toto nastavení poskytuje 3 hodiny času na vyhledání pomůcek a zabránění tomu, aby produkční systémy získaly nekompatibilní aktualizaci podpisu. Vyberte kanál pro měsíční aktualizace modulu Microsoft Defenderu. Kritické – časové zpoždění Aktualizace se zpozdí o dva dny. Vyberte kanál pro měsíční aktualizace platformy Microsoft Defenderu. Kritické – časové zpoždění Aktualizace se zpozdí o dva dny. Pokud chcete aktualizovat inteligentní funkce , poklikejte na Vybrat kanál pro měsíční aktualizace inteligentních informací v programu Microsoft Defender.
Na stránce Vyberte kanál pro aktualizace měsíčních analytických informací v programu Microsoft Defender vyberte Povoleno a v části Možnosti vyberte Aktuální kanál (široký).
Vyberte Použít a pak vyberte OK.
U aktualizací modulu poklikejte na Vybrat kanál pro měsíční aktualizace modulu Microsoft Defenderu.
Na stránce Vyberte kanál pro měsíční aktualizace platformy Microsoft Defenderu vyberte Povoleno a v části Možnosti vyberte Kritické – časové zpoždění.
Vyberte Použít a pak vyberte OK.
V případě aktualizací platformy poklikejte na Vybrat kanál pro měsíční aktualizace platformy v programu Microsoft Defender.
Na stránce Vyberte kanál pro měsíční aktualizace platformy Microsoft Defenderu vyberte Povoleno a v části Možnosti vyberte Kritické – časové zpoždění.
Vyberte Použít a pak vyberte OK.
Pokud narazíte na problémy
Pokud narazíte na problémy s nasazením, vytvořte nebo připojte zásady Antivirové ochrany v programu Microsoft Defender:
V Konzole pro správu zásad skupiny (GPMC, GPMC.msc) vytvořte nebo připojte zásady antivirové ochrany v programu Microsoft Defender pomocí následujícího nastavení:
Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému>Windows Antivirová ochrana v> programu Microsoft Defender (definovaná správcem) PolicySettingName. Například MDAV_Settings_Production klikněte pravým tlačítkem myši a pak vyberte Upravit. Upravitpro MDAV_Settings_Production je znázorněno na následujícím obrázku:
Vyberte Definovat pořadí zdrojů pro stahování aktualizací bezpečnostních informací.
Vyberte přepínač Povoleno.
V části Možnosti změňte položku na Sdílené složky, vyberte Použít a pak vyberte OK. Tato změna je znázorněna na následujícím obrázku:
Vyberte Definovat pořadí zdrojů pro stahování aktualizací bezpečnostních informací.
Vyberte přepínač s názvem Zakázáno, vyberte Použít a pak vyberte OK. Možnost zakázáno je znázorněna na následujícím obrázku:
Změna je aktivní při aktualizaci zásad skupiny. Zásady skupiny můžete aktualizovat dvěma způsoby:
- Z příkazového řádku spusťte příkaz Pro aktualizaci zásad skupiny. Spusťte například příkaz
gpupdate / force
. Další informace najdete v tématu gpupdate. - Počkejte, až se zásady skupiny automaticky aktualizují. Zásady skupiny se aktualizují každých 90 minut +/- 30 minut.
Pokud máte více doménových struktur nebo domén, vynuťte replikaci nebo počkejte 10 až 15 minut. Potom vynuťte aktualizaci zásad skupiny z konzoly pro správu zásad skupiny.
Klikněte pravým tlačítkem na organizační jednotku(OU), která obsahuje počítače (například Plochy), a vyberte Aktualizace zásad skupiny. Tento příkaz uživatelského rozhraní je ekvivalentem provedení gpupdate.exe /force na každém počítači v dané organizační jednotky. Funkce vynucení aktualizace zásad skupiny je znázorněna na následujícím obrázku:
- Z příkazového řádku spusťte příkaz Pro aktualizaci zásad skupiny. Spusťte například příkaz
Po vyřešení problému nastavte pořadí náhradních aktualizací podpisu zpět na původní nastavení.
InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare
.
Viz také
Přehled nasazení antivirová ochrana v programu Microsoft Defender
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro