Sdílet prostřednictvím


Microsoft Defender Nasazení produkčního okruhu antivirové ochrany s využitím Zásady skupiny a sdílené síťové složky

Platí pro:

Platformy

  • Windows
  • Windows Server

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Microsoft Defender for Endpoint je podniková platforma zabezpečení koncových bodů navržená tak, aby pomáhala podnikovým sítím předcházet pokročilým hrozbám, zjišťovat je, prošetřovat je a reagovat na ně.

Tip

Microsoft Defender for Endpoint je k dispozici ve dvou plánech: Defender for Endpoint Plan 1 a Plan 2. Pro Plán 2 je teď k dispozici nový doplněk Microsoft Defender Správa zranitelností.

Úvod

Tento článek popisuje, jak nasadit Microsoft Defender Antivirus v okruhech pomocí Zásady skupiny a sdílené síťové složky (označované také jako cesta UNC, SMB, CIFS).

Požadavky

Přečtěte si článek Read me v Readme.

  1. Stáhněte si nejnovější Windows Defender .admx a .adml.

  2. Zkopírujte nejnovější soubory .admx a .adml do centrálního úložiště řadiče domény.

  3. Create sdílené složky UNC pro aktualizace zabezpečení a platformy

Nastavení pilotního prostředí

Tato část popisuje proces nastavení pilotního prostředí UAT/ Test / QA. Přibližně 10–500* systémů Windows nebo Windows Server v závislosti na celkovém počtu systémů, které máte.

Snímek obrazovky znázorňující příklad Microsoft Defender plánu nasazení antivirového okruhu pro prostředí Zásady skupiny a sdílené síťové složky

Poznámka

Aktualizace SIU (Security Intelligence Update) je ekvivalentní aktualizacím podpisu, což je stejné jako aktualizace definic.

Create sdílené složky UNC pro aktualizace zabezpečení a platformy

Nastavte sdílenou síťovou složku (UNC/mapovaná jednotka) pro stahování informací o zabezpečení a aktualizací platformy z webu MMPC pomocí naplánované úlohy.

  1. V systému, ve kterém chcete zřídit sdílenou složku a stáhnout aktualizace, vytvořte složku, do které uložíte skript.

    Start, CMD (Run as admin)
    MD C:\Tool\PS-Scripts\
    
  2. Create složku, do které uložíte aktualizace podpisu.

    MD C:\Temp\TempSigs\x64
    MD C:\Temp\TempSigs\x86
    
  3. Nastavení skriptu PowerShellu CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. Pomocí příkazového řádku nastavte naplánovanou úlohu.

    Poznámka

    Existují dva typy aktualizací: úplná a rozdílová.

    • Pro x64 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Plná verze x64:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Pro x86 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Pro x86 full:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      

    Poznámka

    Po vytvoření naplánovaných úkolů je najdete v Plánovači úloh v části Microsoft\Windows\Windows Defender.

  5. Spusťte každou úlohu ručně a ověřte, že máte data (mpam-d.exe, mpam-fe.exea nis_full.exe) v následujících složkách (možná jste zvolili jiná umístění):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Pokud naplánovaná úloha selže, spusťte následující příkazy:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
    

    Poznámka

    Příčinou problémů můžou být také zásady spouštění.

  6. Create sdílenou složku odkazující na C:\Temp\TempSigs (např. \\server\updates).

    Poznámka

    Ověření uživatelé musí mít minimálně přístup ke čtení. Tento požadavek platí také pro počítače domény, sdílenou složku a systém souborů NTFS (zabezpečení).

  7. Nastavte umístění sdílené složky v zásadě na sdílenou složku.

    Poznámka

    Do cesty nepřidávejte složku x64 (nebo x86). Proces mpcmdrun.exe ho přidá automaticky.

Nastavení pilotního prostředí (UAT/Test/QA)

Tato část popisuje proces nastavení pilotního prostředí UAT/ Test / QA na přibližně 10–500 systémech Windows nebo Windows Server v závislosti na celkovém počtu systémů, které máte.

Poznámka

Pokud máte prostředí Citrix, zahrňte alespoň 1 virtuální počítač Citrix (ne trvalý) a/nebo (trvalý).

V konzole pro správu Zásady skupiny (GPMC, GPMC.msc) vytvořte nebo připojte zásady Microsoft Defender Antivirus.

  1. Upravte zásady Microsoft Defender Antivirové ochrany. Můžete například upravit MDAV_Settings_Pilot. Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Microsoft Defender Antivirus. Existují tři související možnosti:

    Funkce Doporučení pro pilotní systémy
    Vyberte kanál pro Microsoft Defender denní aktualizace security intelligence. Aktuální kanál (fázovaný)
    Vyberte kanál pro Microsoft Defender měsíčních aktualizací modulu. Beta kanál
    Vyberte kanál pro Microsoft Defender měsíční aktualizace platformy. Beta kanál

    Tři možnosti jsou znázorněny na následujícím obrázku.

    Snímek obrazovky znázorňující pilotní nastavení Zásady > konfigurace > počítače Šablony pro > správu Součásti > systému Windows Microsoft Defender aktualizačních kanálů antivirové ochrany

    Další informace najdete v tématu Správa postupného procesu zavádění aktualizací Microsoft Defender.

  2. Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Microsoft Defender Antivirus.

  3. Pokud chcete aktualizovat inteligentní funkce, poklikejte na Vybrat kanál pro Microsoft Defender měsíční aktualizace inteligentních informací.

    Snímek obrazovky znázorňující snímek obrazovky se stránkou Vyberte kanál pro Microsoft Defender měsíčních aktualizací inteligentních informací s vybranými možnostmi Povoleno a Aktuální kanál (fázovaný)

  4. Na stránce Vyberte kanál pro Microsoft Defender měsíčních aktualizací inteligentních informací vyberte Povoleno a v části Možnosti vyberte Aktuální kanál (fázované).

  5. Vyberte Použít a pak vyberte OK.

  6. Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Microsoft Defender Antivirus.

  7. U aktualizací modulu poklikejte na Vybrat kanál pro Microsoft Defender měsíčních aktualizací modulu.

  8. Na stránce Vyberte kanál pro Microsoft Defender měsíční aktualizace platformy vyberte Povoleno a v části Možnosti vyberte Kanál Beta.

  9. Vyberte Použít a pak vyberte OK.

  10. U aktualizací platformy poklikejte na Vybrat kanál pro Microsoft Defender měsíční aktualizace platformy.

  11. Na stránce Vyberte kanál pro Microsoft Defender měsíční aktualizace platformy vyberte Povoleno a v části Možnosti vyberte Kanál Beta. Tato dvě nastavení jsou znázorněna na následujícím obrázku:

  12. Vyberte Použít a pak vyberte OK.

Nastavení produkčního prostředí

  1. V konzole pro správu Zásady skupiny (GPMC, GPMC.msc) přejděte naZásady>konfigurace> počítačeŠablony pro> správuSoučásti>systému Windows Microsoft Defender Antivirová ochrana.

    Snímek obrazovky s produkčními zásadami > konfigurace > počítače Šablony pro > správu Součásti systému > Windows Microsoft Defender aktualizačních kanálů antivirové ochrany

  2. Nastavte tyto tři zásady takto:

    Funkce Doporučení pro produkční systémy Poznámky
    Vyberte kanál pro Microsoft Defender denní aktualizace security intelligence. Aktuální kanál (široký) Toto nastavení poskytuje 3 hodiny času na vyhledání pomůcek a zabránění tomu, aby produkční systémy získaly nekompatibilní aktualizaci podpisu.
    Vyberte kanál pro Microsoft Defender měsíčních aktualizací modulu. Kritické – časové zpoždění Aktualizace se zpozdí o dva dny.
    Vyberte kanál pro Microsoft Defender měsíční aktualizace platformy. Kritické – časové zpoždění Aktualizace se zpozdí o dva dny.
  3. Pokud chcete aktualizovat inteligentní funkce, poklikejte na Vybrat kanál pro Microsoft Defender měsíční aktualizace inteligentních informací.

  4. Na stránce Vyberte kanál pro Microsoft Defender měsíčních aktualizací inteligentních informací vyberte Povoleno a v části Možnosti vyberte Aktuální kanál (široký).

    Snímek obrazovky znázorňující snímek obrazovky se stránkou Vyberte kanál pro Microsoft Defender měsíčních aktualizací inteligentních informací s vybranými možnostmi Povoleno a Aktuální kanál (fázovaný)

  5. Vyberte Použít a pak vyberte OK.

  6. U aktualizací modulu poklikejte na Vybrat kanál pro Microsoft Defender měsíčních aktualizací modulu.

  7. Na stránce Vyberte kanál pro Microsoft Defender měsíční aktualizace platformy vyberte Povoleno a v části Možnosti vyberte Kritické – časové zpoždění.

  8. Vyberte Použít a pak vyberte OK.

  9. U aktualizací platformy poklikejte na Vybrat kanál pro Microsoft Defender měsíční aktualizace platformy.

  10. Na stránce Vyberte kanál pro Microsoft Defender měsíční aktualizace platformy vyberte Povoleno a v části Možnosti vyberte Kritické – časové zpoždění.

  11. Vyberte Použít a pak vyberte OK.

Pokud narazíte na problémy

Pokud narazíte na problémy s nasazením, vytvořte nebo připojte zásady Microsoft Defender Antivirové ochrany:

  1. V konzole pro správu Zásady skupiny (GPMC, GPMC.msc) vytvořte nebo připojte zásady Microsoft Defender Antivirové ochrany pomocí následujícího nastavení:

    Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Microsoft Defender Antivirová ochrana> (definované správcem) PolicySettingName. Například MDAV_Settings_Production klikněte pravým tlačítkem myši a pak vyberte Upravit. Upravitpro MDAV_Settings_Production je znázorněno na následujícím obrázku:

    Snímek obrazovky znázorňující snímek obrazovky s možností upravit Microsoft Defender zásady antivirové ochrany definované správcem

  2. Vyberte Definovat pořadí zdrojů pro stahování aktualizací bezpečnostních informací.

  3. Vyberte přepínač Povoleno.

  4. V části Možnosti změňte položku na Sdílené složky, vyberte Použít a pak vyberte OK. Tato změna je znázorněna na následujícím obrázku:

    Snímek obrazovky znázorňující snímek obrazovky se stránkou Definovat pořadí zdrojů pro stahování aktualizací bezpečnostních informací

  5. Vyberte Definovat pořadí zdrojů pro stahování aktualizací bezpečnostních informací.

  6. Vyberte přepínač s názvem Zakázáno, vyberte Použít a pak vyberte OK. Možnost zakázáno je znázorněna na následujícím obrázku:

    Snímek obrazovky znázorňující snímek obrazovky se stránkou Definovat pořadí zdrojů pro stahování aktualizací inteligentních informací zabezpečení se zakázanými aktualizacemi bezpečnostních informací

  7. Změna je aktivní při Zásady skupiny aktualizacích. Existují dvě metody aktualizace Zásady skupiny:

    • Z příkazového řádku spusťte příkaz Zásady skupiny update. Spusťte například příkaz gpupdate / force. Další informace najdete v tématu gpupdate.
    • Počkejte, až se Zásady skupiny automaticky aktualizuje. Zásady skupiny aktualizuje každých 90 minut +/- 30 minut.

    Pokud máte více doménových struktur nebo domén, vynuťte replikaci nebo počkejte 10 až 15 minut. Potom vynuťte aktualizaci Zásady skupiny z konzoly pro správu Zásady skupiny.

    • Klikněte pravým tlačítkem na organizační jednotku( OU), která obsahuje počítače (například Plochy), vyberte Zásady skupiny Aktualizovat. Tento příkaz uživatelského rozhraní je ekvivalentem provedení gpupdate.exe /force na každém počítači v dané organizační jednotky. Funkce vynucení aktualizace Zásady skupiny je znázorněna na následujícím obrázku:

      Snímek obrazovky, který znázorňuje snímek obrazovky konzoly pro správu Zásady skupiny a inicializuje vynucenou aktualizaci

  8. Po vyřešení problému nastavte pořadí náhradních aktualizací podpisu zpět na původní nastavení. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

Viz také

přehled nasazení Microsoft Defender Antivirová ochrana