Freigeben über

Microsoft Defender Bereitstellung des Antivirus-Produktionsrings mithilfe von Gruppenrichtlinie und Windows Server Update Services

Gilt für:

  • Microsoft Defender for Endpoint für Server
  • Microsoft Defender für Server Plan 1 oder Plan 2
  • Microsoft Defender Antivirus

Plattformen

  • Windows
  • Windows Server

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Microsoft Defender für Endpunkt ist eine Endpunkt-Sicherheitsplattform für Unternehmen, die Unternehmensnetzwerken dabei helfen soll, erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und auf Sie zu reagieren.

Tipp

Microsoft Defender für Endpunkt ist in zwei Plänen verfügbar: Defender für Endpunkt Plan 1 und Plan 2. Ein neues Add-On für das Microsoft Defender Sicherheitsrisikomanagement von Microsoft Defender ist jetzt für Plan 2 verfügbar.

Bevor Sie beginnen

In diesem Artikel wird davon ausgegangen, dass Sie Erfahrung mit Windows Server Update Services (WSUS) haben und/oder WSUS bereits installiert haben. Wenn Sie noch nicht mit WSUS vertraut sind, finden Sie in den folgenden Artikeln wichtige Konfigurationsdetails:

  • Konfigurieren von WSUS : Gilt für: Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 und Windows Server 2012
  • [Konfigurieren von Windows Server Update Services (WSUS) in Analytics Platform System][/sql/analytics-platform-system/configure-windows-server-update-services-wsus.md] – Analytics Platform System

Einrichten der Produktionsumgebung

Dieser Abschnitt enthält Informationen zum Einrichten der Produktionsumgebung mithilfe von Gruppenrichtlinie und Windows Server Update Services (WSUS).

Screenshot eines Beispiels für einen Ringbereitstellungszeitplan für Gruppenrichtlinie mit WSUS-Umgebungen

Hinweis

Das Security Intelligence-Update (SIU) entspricht Signaturupdates, die mit Definitionsupdates identisch sind.

  1. Wählen Sie im linken Bereich von Server-ManagerDashboardtools>>aus Windows Server Update Services.

    Hinweis

    Wenn das Dialogfeld WSUS-Installation abschließen angezeigt wird, wählen Sie Ausführen aus. Wählen Sie im Dialogfeld WSUS-Installation abschließen die Option Schließen aus, wenn die Installation erfolgreich abgeschlossen wurde.

  2. Der WSUS-Konfigurations-Assistent wird geöffnet. Überprüfen Sie auf der Seite Vorab beginnen die Informationen, und wählen Sie dann Weiter aus.

  3. Lesen Sie die Anweisungen auf der Seite Am Microsoft Update-Verbesserungsprogramm teilnehmen . Behalten Sie die Standardauswahl bei, wenn Sie am Programm teilnehmen möchten, oder deaktivieren Sie das Kontrollkästchen, falls dies nicht der Fall ist. Wählen Sie dann Weiter aus.

  4. Wählen Sie auf der Seite Upstreamserver auswählen die Option Von einem anderen Windows Server Update Services Server synchronisieren aus.

    • Geben Sie unter Servername den Servernamen ein. Geben Sie beispielsweise YR2K19 ein.
    • Geben Sie unter Portnummer den Port ein, über den dieser Server mit dem Upstream Server kommuniziert. Geben Sie beispielsweise 8530 ein.

    Dies ist in der folgenden Abbildung dargestellt.

    Screenshot: Bildschirmaufnahme der Update Services-Snap-In-Konsole, Seite

  5. Wählen Sie Weiter aus.

    Ein autonomer Downstreamserver wie ein Replikatserver verwendet auch einen anderen WSUS-Server als master Repository, ermöglicht aber individuelle Genehmigungen für Updates, die sich von genehmigungen der master unterscheiden. Der autonome Server:

    • Ermöglicht flexibilität beim Erstellen von Computergruppen
    • Muss sich nicht in derselben Active Directory-Gesamtstruktur wie die master

  6. (Optional, je nach Konfiguration) Aktivieren Sie auf der Seite Proxyserver angeben das Kontrollkästchen Proxyserver bei der Synchronisierung verwenden . Geben Sie dann den Proxyservernamen und die Portnummer (standardmäßig Port 80) in die entsprechenden Felder ein.

    Wichtig

    Sie müssen diesen Schritt ausführen, wenn Sie ermittelt haben, dass WSUS einen Proxyserver für Internetzugriff benötigt.

    • Wenn Sie mithilfe bestimmter Benutzeranmeldeinformationen eine Verbindung mit dem Proxyserver herstellen möchten, aktivieren Sie das Kontrollkästchen Benutzeranmeldeinformationen zum Herstellen einer Verbindung mit dem Proxyserver verwenden . Geben Sie dann den Benutzernamen, die Domäne und das Kennwort des Benutzers in die entsprechenden Felder ein.
    • Wenn Sie die Standardauthentifizierung für den Benutzer aktivieren möchten, der eine Verbindung mit dem Proxyserver herstellt, aktivieren Sie das Kontrollkästchen Standardauthentifizierung zulassen (Kennwort wird in Klartext gesendet).

    Wählen Sie Weiter aus.

  7. Wählen Sie auf der Seite Verbindung mit Upstreamserver herstellen die Option Verbinden starten aus. Wenn WSUS eine Verbindung mit dem Server herstellt, wählen Sie Weiter aus.

  8. Auf der Seite Sprachen auswählen können Sie die Sprachen auswählen, von denen WSUS Updates erhält: alle Sprachen oder eine Teilmenge der Sprachen. Die Auswahl einer Teilmenge der Sprachen spart Speicherplatz, aber es ist wichtig, alle Sprachen auszuwählen, die alle Clients auf diesem WSUS-Server benötigen.

    Wenn Sie Updates nur für bestimmte Sprachen erhalten möchten, wählen Sie Updates nur in diesen Sprachen herunterladen und dann die Sprachen aus, für die Updates gewünscht werden sollen. Behalten Sie andernfalls die Standardauswahl bei.

    Warnung

    Wenn Sie die Option Updates nur in diesen Sprachen herunterladen auswählen und auf dem Server ein nachgeschalteter WSUS-Server verbunden ist, erzwingt die Auswahl dieser Option, dass der Downstreamserver auch nur die ausgewählten Sprachen verwendet.

    Nachdem Sie die Sprachoptionen für Ihre Bereitstellung ausgewählt haben, wählen Sie Weiter aus.

  9. Die Seite Synchronisierungszeitplan festlegen wird geöffnet. (Die Seiten Produkte auswählen und Klassifizierungen auswählen sind abgeblendet und können nicht konfiguriert werden.)

    • Wählen Sie Automatisch synchronisieren aus. Der WSUS-Server synchronisiert in festgelegten Intervallen.
    • Geben Sie unter Erste Synchronisierung einen Zeitpunkt für die erste Synchronisierung an. Wählen Sie beispielsweise 17:00:00 PM aus.
    • Geben Sie unter Synchronisierungen pro Tag an, wie oft Synchronisierungen ausgeführt werden sollen. Wählen Sie beispielsweise 1 und dann Weiter aus.

  10. Wählen Sie auf der Seite Fertig gestelltdie Option Weiter aus.

  11. Wählen Sie auf der Seite Nächste Schritte die Option Weiter aus, um den Vorgang abzuschließen.

Definieren der Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates

  1. Öffnen Sie auf Ihrem Gruppenrichtlinie Verwaltungscomputer die Gruppenrichtlinie Management Console, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und wählen Sie Bearbeiten aus.

  2. Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration, wählen Sie Richtlinien und dann Administrative Vorlagen aus.

  3. Erweitern Sie die Struktur zu Windows-Komponenten>Windows Defender>Signature-Updates.

    • Doppelklicken Sie auf die Einstellung Die Reihenfolge der Quellen für das Herunterladen von Security Intelligence-Updates definieren , und legen Sie die Option auf Aktiviert fest.

    • Geben Sie unter Optionen den Namen InternalDefinitionUpdateServer ein, und wählen Sie dann OK aus. Die konfigurierte Seite Definieren der Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates ist in der folgenden Abbildung dargestellt.

      Screenshot: Bildschirmaufnahme der Ergebnisse einer Suche im Microsoft Update-Katalog nach KB4052623.

  4. Wählen Sie unter Definieren der Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updatesdie Option Aktiviert aus. Geben Sie unter Optionen die Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates ein. Geben Sie beispielsweise InternalDefinitionUpdateServer ein.

Wenn Probleme auftreten

Wenn Probleme mit der Bereitstellung auftreten, erstellen oder fügen Sie die Microsoft Defender Antivirus-Richtlinie an:

  1. Erstellen Sie in Gruppenrichtlinie Management Console (GPMC, GPMC.msc) ihre Microsoft Defender Antivirus-Richtlinie, indem Sie die folgende Einstellung verwenden:

    Wechseln Sie zu Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus> (vom Administrator definiert) PolicySettingName. Beispielsweise MDAV_Settings_Production, klicken Sie mit der rechten Maustaste, und wählen Sie dann Bearbeiten aus. Bearbeiten für MDAV_Settings_Production ist in der folgenden Abbildung dargestellt:

    Screenshot, der eine Bildschirmaufnahme der vom Administrator definierten Microsoft Defender Option

  2. Wählen Sie Die Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates definieren aus.

  3. Wählen Sie das Optionsfeld mit dem Namen Aktiviert aus.

  4. Ändern Sie unter Optionen den Eintrag in Dateifreigaben, wählen Sie Übernehmen und dann OK aus. Diese Änderung ist in der folgenden Abbildung dargestellt:

    Screenshot: Bildschirmaufnahme der Seite Definieren der Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates

  5. Wählen Sie Die Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates definieren aus.

  6. Wählen Sie das Optionsfeld Deaktiviert aus, wählen Sie Übernehmen und dann OK aus. Die Option deaktiviert ist in der folgenden Abbildung dargestellt:

    Screenshot: Bildschirmaufnahme der Seite Definieren der Reihenfolge der Quellen für das Herunterladen von Security Intelligence-Updates mit deaktivierten Security Intelligence-Updates

  7. Die Änderung ist aktiv, wenn Gruppenrichtlinie aktualisiert wird. Es gibt zwei Methoden zum Aktualisieren Gruppenrichtlinie:

    • Führen Sie über die Befehlszeile den Befehl Gruppenrichtlinie update aus. Führen Sie beispielsweise aus gpupdate / force. Weitere Informationen finden Sie unter gpupdate.
    • Warten Sie, bis Gruppenrichtlinie automatisch aktualisiert wird. Gruppenrichtlinie wird alle 90 Minuten +/- 30 Minuten aktualisiert.

    Wenn Sie über mehrere Gesamtstrukturen/Domänen verfügen, erzwingen Sie die Replikation, oder warten Sie 10 bis 15 Minuten. Erzwingen Sie dann ein Gruppenrichtlinie Update über die Gruppenrichtlinie Management Console.

    • Klicken Sie mit der rechten Maustaste auf eine Organisationseinheit (OE), die die Computer enthält (z. B. Desktops), und wählen Sie Gruppenrichtlinie Update aus. Dieser Ui-Befehl entspricht dem Ausführen einer gpupdate.exe /force auf jedem Computer in dieser Organisationseinheit. Das Feature zum Erzwingen der Aktualisierung von Gruppenrichtlinie ist in der folgenden Abbildung dargestellt:

      Screenshot: Screenshot der Gruppenrichtlinie-Verwaltungskonsole, in der ein erzwungenes Update initiiert wird

  8. Nachdem das Problem behoben wurde, legen Sie die Signaturaktualisierungs-Fallbackreihenfolge wieder auf die ursprüngliche Einstellung fest. InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC|FileShare.

Siehe auch