Sdílet prostřednictvím


Microsoft Defender nasazení antivirové ochrany pomocí Configuration Manager a Windows Server Update Services

Platí pro:

Platformy

  • Windows
  • Windows Server

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Microsoft Defender for Endpoint je podniková platforma zabezpečení koncových bodů navržená tak, aby pomáhala podnikovým sítím předcházet pokročilým hrozbám, zjišťovat je, prošetřovat je a reagovat na ně.

Tip

Microsoft Defender for Endpoint je k dispozici ve dvou plánech: Defender for Endpoint Plan 1 a Plan 2. Pro Plán 2 je teď k dispozici nový doplněk Microsoft Defender Správa zranitelností.

Nastavení pilotního prostředí

Tato část popisuje proces nastavení pilotního prostředí UAT/ Test / QA.

Ukazuje příklad Microsoft Defender for Endpoint plánu nasazení okruhu pomocí Configuration Manager a Windows Server Update Services nástroje System Center.

Poznámka

Aktualizace SIU (Security Intelligence Update) je ekvivalentní aktualizacím podpisu, což je stejné jako aktualizace definic.

Přibližně 10 až 500 systémů Windows nebo Windows Server v závislosti na celkovém počtu systémů, které máte.

Poznámka

Pokud máte prostředí Citrix, zahrňte alespoň 1 virtuální počítač Citrix (ne trvalý) a/nebo (trvalý).

  1. Na stránce System Center Configuration Manager>Create Průvodce> pravidlem automatického nasazení– Obecné proveďte v části Zadejte nastavení tohoto pravidla automatického nasazení následující nastavení:

    In: Změnit:
    Název Zadejte název pravidla nasazení. Zadejte například MDE-MDAV_Security_Intelligence_Update_Pilot
    Popis Zadejte stručný popis pilotního nasazení.
    Šablona Vyberte SCEP a Windows Defender Antivirus Aktualizace.
    Kolekce Typ Windows_Security_Intelligence_Pilot
    Pokaždé, když se pravidlo spustí a najde nové aktualizace. Vyberte Create novou skupinu aktualizací softwaru.
    Pokaždé, když se pravidlo spustí a najde nové aktualizace Vyberte Povolit nasazení po spuštění tohoto pravidla.
  2. Vyberte Další. Na stránce Nastavení nasazení v části Zadejte nastavení pro toto pravidlo automatického nasazení udělejte toto:

    In: Změnit:
    Typ nasazení Vyberte Povinné.
    Úroveň podrobností Vyberte Pouze chybové zprávy.
    Některé aktualizace softwaru zahrnují licenční smlouvu. Vyberte Automaticky nasadit všechny aktualizace softwaru zjištěné tímto pravidlem a schvalte všechny licenční smlouvy.
  3. Vyberte Další. Na stránce Software Aktualizace v části Vyberte filtry vlastností a kritéria hledání proveďte následující nastavení:

    In: Změnit:
    Filtry vlastností Vyberte ID článku a datum vydání nebo revize.
    kritéria Search Zadejte následující
    ID = článku2267602
    Datum vydání nebo revize = Poslední 1 měsíc
    Produktu = Windows Defender
    Nahrazené = Ne
    Klasifikace = aktualizací"Kritická Aktualizace" NEBO "Aktualizace definice"

    Tato nastavení jsou znázorněna na následujícím obrázku:

    Zobrazuje doporučené Intune Microsoft Defender nastavení zásad pilotního nasazení antivirové ochrany pro stránku software Aktualizace.

    Tip

    Klikněte na Náhled a ujistěte se, že je v seznamu uvedená aktualizace security intelligence pro Windows Defender Antivirus. Měli byste vidět KB2267602.

    Poznámka

    Datum vydání nebo revize: Poslední 1 měsíc – Pokud vaše služba WSUS/SUP byla v pořádku, můžete ji nastavit na Posledních 1 týden.

    Produkt: "Windows Defender" – odebíráme "System Center Endpoint Protection", protože ho chceme cílit jenom na operační systémy, které mají Microsoft Defender Antivirus.

    Klasifikace aktualizací: Kritické Aktualizace a Aktualizace definice

  4. Vyberte Další. Na stránce Plán vyhodnocení v části Zadejte plán opakování pro toto pravidlo vyberte Spustit pravidlo podle plánu a pak vyberte Přizpůsobit.

  5. Na stránce Plán nasazení v části Konfigurovat podrobnosti plánu pro toto nasazení postupujte takto:

    In: Změnit:
    Naplánovat vyhodnocení>Čas založený na Vyberte UTC.
    Čas dostupnosti softwaru Vyberte Co nejdříve
    Konečný termín instalace Vyberte Co nejdříve
  6. Vyberte Další. Na stránce Uživatelské prostředí v části Zadejte uživatelské prostředí pro toto nasazení zkontrolujte, že jsou vybrané následující možnosti:

    In: Změnit:
    Uživatelské vizuální prostředí>Oznámení uživatelů Výběr možnosti Skrýt v Centru softwaru a všech oznámeních
    Chování konečného termínu Vybrat instalaci aktualizace softwaru
    Chování při restartování zařízení Vybrat servery
    Zpracování filtru zápisu pro zařízení s Windows Embedded Vyberte Potvrdit změny v termínu nebo během časových období údržby (vyžaduje restartování).
  7. Vyberte Další. Na stránce Výstrahy v části Zadat možnosti upozornění na aktualizaci softwaru pro toto nasazení vyberte Vygenerovat upozornění při selhání tohoto pravidla a pak vyberte Další.

  8. Na stránce Balíček nasazení nejvyšší úrovně v části Vybrat balíček nasazení pro toto pravidlo automatického nasazení vyberte Create nový balíček nasazení a pak udělejte toto:

    In: Změnit:
    Název Zadejte název nového balíčku pro nasazení. Zadejte například MDE-MDAV Security Intelligence Update.
    Popis Zadejte stručný popis nového balíčku pro nasazení.
    Zdroj balíčku (příklad): \server_name_folder path_ Zadejte cestu ke zdroji balíčku. Zadejte například \sccm\deployment\MDE-MDAV_Security_Intelligence_Updates_Pilot
    nebo vyberte Procházet a přejděte na a vyberte zdroj balíčku.
    Priorita odesílání: Vyberte Vysoká a vyberte Povolit binární rozdílovou replikaci.
  9. Vyberte Další. Na stránce Distribuční bod v části Zadejte distribuční body nebo skupiny distribučních bodů pro hostování obsahu vyberte Přidat a pak zadejte distribuční bod nebo skupiny distribučních bodů.

  10. Vyberte Další. Na stránce Distribuční umístění v části Zadat umístění pro stažení pro toto pravidlo automatického nasazení vyberte Stáhnout aktualizace softwaru z internetu a pak vyberte Další.

  11. Na stránce Umístění distribuce v části Zadejte jazyky aktualizace pro produkt v části Produkt vyberte služba Windows Update.

  12. Vyberte Další. Na stránce Download Settings (Nastavení stahování ) v části Specify the software updates download behavior for clients on slow site (Určit chování stahování aktualizací softwaru pro klienty v pomalých hranicích lokality) vyberte následující:

    In: Změnit:
    Název V části Možnosti nasazení vyberte Stáhnout aktualizace softwaru z distribučního bodu a nainstalovat.
    Možnosti nasazení Vyberte Stáhnout a nainstalovat aktualizace softwaru z distribučních bodů ve výchozí skupině hranic lokality.
    Možnosti nasazení V nastavení skupiny hranic vyberte Preferovat cloudové zdroje před místními zdroji. Upřednostňovaným zdrojem bude Microsoft Update.
  13. Vyberte Další. Na stránce Souhrn v části Potvrdit nastavení zkontrolujte nastavení. Příklad nastavení je znázorněn na následujícím obrázku.

    Zobrazuje podrobnosti o konfiguraci pro nově nakonfigurované pravidlo automatického nasazení.

  14. Vyberte Další. Počkejte, až se proces dokončí a otevře se stránka Dokončení . Proces dokončete výběrem možnosti Zavřít . Pravidla automatického nasazení se ukládají a dají se spravovat z umístění zobrazeného na následujícím obrázku:

    Zobrazuje knihovnu Configuration Manager Software a nakonfigurovaná pravidla automatického nasazení.

Nastavení produkčního prostředí

  1. Na stránce System Center Configuration Manager >Create Průvodce> pravidlem automatického nasazení– Obecnéproveďte v části Zadejte nastavení pro toto pravidlo automatického nasazení následující nastavení:

    In: Změnit:
    Název Zadejte název pravidla nasazení. Zadejte například MDE-MDAV_Security_Intelligence_Update_Production
    Popis Zadejte stručný popis pilotního nasazení.
    Šablona Vyberte SCEP a Windows Defender Antivirus Aktualizace.
    Kolekce Typ Windows_Security_Intelligence_Production
    Pokaždé, když se pravidlo spustí a najde nové aktualizace. Vyberte Přidat do existující skupiny aktualizací softwaru.
    Pokaždé, když se pravidlo spustí a najde nové aktualizace Vyberte Povolit nasazení po spuštění tohoto pravidla.
  2. Vyberte Další. Na stránce Nastavení nasazení v části Zadejte nastavení pro toto pravidlo automatického nasazení udělejte toto:

    In: Změnit:
    Typ nasazení Vyberte Povinné.
    Úroveň podrobností Vyberte Pouze chybové zprávy.
    Některé aktualizace softwaru zahrnují licenční smlouvu. Vyberte Automaticky nasadit všechny aktualizace softwaru zjištěné tímto pravidlem a schvalte všechny licenční smlouvy.
  3. Vyberte Další. Na stránce Software Aktualizace v části Vyberte filtry vlastností a kritéria hledání zadejte následující:

    In: Změnit:
    Filtry vlastností Výběr klasifikace produktů a aktualizací
    kritéria Search Zadejte následující klasifikace produktů a aktualizací:
    ID = článku2267602
    Datum vydání nebo revize = Poslední 1 měsíc
    Produktu = Windows Defender
    Nahrazené = Ne
    Klasifikace = aktualizacíKritická Aktualizace Aktualizace nebo definice

    Tip

    Klikněte na Náhled a ujistěte se, že je v seznamu uvedená aktualizace security intelligence pro Windows Defender Antivirus. Měli byste vidět KB2267602.

    Poznámka

    Datum vydání nebo revize: Poslední 1 měsíc – Pokud vaše služba WSUS/SUP byla v pořádku, můžete ji nastavit na Posledních 1 týden.

    Produkt: "Windows Defender" – odebíráme "System Center Endpoint Protection", protože ho chceme cílit jenom na operační systémy, které mají Microsoft Defender Antivirus.

    Klasifikace aktualizací: Kritické Aktualizace a Aktualizace definice

  4. Vyberte Další. Na stránce Plán vyhodnocení v části Zadejte plán opakování pro toto pravidlo vyberte Spustit pravidlo podle plánu a pak vyberte Přizpůsobit.

  5. Na stránce Plán nasazení v části **Konfigurovat podrobnosti plánu pro toto nasazení proveďte následující kroky:

    In: Změnit:
    Naplánovat vyhodnocení>Čas založený na Vyberte UTC.
    Čas dostupnosti softwaru Vyberte Co nejdříve
    Konečný termín instalace Vyberte Co nejdříve
  6. Vyberte Další. Na stránce Uživatelské prostředí v části Zadejte uživatelské prostředí pro toto nasazení zkontrolujte, že jsou vybrané následující možnosti:

    In: Změnit:
    Uživatelské vizuální prostředí>Oznámení uživatelů Výběr možnosti Skrýt v Centru softwaru a všech oznámeních
    Chování konečného termínu Vybrat instalaci aktualizace softwaru
    Chování při restartování zařízení Vybrat servery
    Zpracování filtru zápisu pro zařízení s Windows Embedded Vyberte Potvrdit změny v termínu nebo během časových období údržby (vyžaduje restartování).
  7. Vyberte Další. Na stránce Výstrahy v části Zadat možnosti upozornění na aktualizaci softwaru pro toto nasazení vyberte Vygenerovat upozornění při selhání tohoto pravidla, vyberte Procházet, přejděte na, vyberte balíček nasazení a pak vyberte Další.

  8. Na stránce Balíček nasazení nejvyšší úrovně v části Vybrat balíček nasazení pro toto pravidlo automatického nasazení vyberte Vybrat balíček pro nasazení.

  9. Na stránce Umístění pro stažení v části Zadejte umístění pro stažení pro toto pravidlo automatického nasazení vyberte Stáhnout aktualizace softwaru z internetu a pak vyberte Další.

  10. Na stránce Výběr jazyka v části Zadejte jazyky aktualizace pro produkt v části Produkt zadejte potřebné jazyky produktu a aktualizace.

  11. Vyberte Další. Na stránce Download Settings (Nastavení stahování ) v části Specify the software updates download behavior for clients on slow site (Určit chování stahování aktualizací softwaru pro klienty v pomalých hranicích lokality) vyberte následující:

    In: Změnit:
    Možnosti nasazení Vyberte Stáhnout a nainstalovat aktualizace softwaru z distribučních bodů a nainstalovat.
    Možnosti nasazení Vyberte Stáhnout a nainstalovat aktualizace softwaru z výchozí skupiny hranic lokality distribučních bodů.
    Možnosti nasazení V nastavení skupiny hranic vyberte Preferovat cloudové zdroje před místními zdroji. Upřednostňovaným zdrojem bude Microsoft Update.
  12. Vyberte Další. Na stránce Souhrn v části Potvrdit nastavení zkontrolujte nastavení. Příklad nastavení je znázorněn na následujícím obrázku:

    Zobrazuje se jako snímek obrazovky podrobností konfigurace pro nově nakonfigurované pravidlo automatického nasazení pro produkční prostředí.

  13. Vyberte Další. Počkejte, až se proces dokončí a otevře se stránka Dokončení . Proces dokončete výběrem možnosti Zavřít .

Pokud narazíte na problémy

  1. Přejděte do softwarové knihovny.

  2. V části Software Aktualizace vyberte Pravidla automatického nasazení, klikněte pravým tlačítkem na MDE-MDAV_Security_Intelligence_Update_Production a pak vyberte Zakázat. Toto nastavení je znázorněno na následujícím obrázku:

    hows jako snímek obrazovky, jak zakázat pravidla automatického nasazení, pokud narazíte na chyby nebo problémy.

Viz také

nasazení Microsoft Defender for Endpoint okruhu