Share via


Microsoft Defender implementación de anillos de producción de Antivirus mediante directiva de grupo y recurso compartido de red

Se aplica a:

Plataformas

  • Windows
  • Windows Server

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Microsoft Defender para punto de conexión es una plataforma empresarial para la seguridad de puntos de conexión concebida para ayudar a impedir, detectar e investigar las amenazas avanzadas, y responder a ellas.

Sugerencia

Microsoft Defender para punto de conexión está disponible en dos planes: Defender para punto de conexión Plan 1 y Plan 2. Ahora hay un complemento nuevo de Administración de vulnerabilidades de Microsoft Defender disponible para el Plan 2.

Introducción

En este artículo se describe cómo implementar Microsoft Defender Antivirus en anillos mediante directiva de grupo y recurso compartido de red (también conocido como ruta de acceso UNC, SMB, CIFS).

Requisitos previos

Revise el artículo Léame en Léame.

  1. Descargue las últimas Windows Defender .admx y .adml.

  2. Copie los archivos .admx y .adml más recientes en el Almacén central del controlador de dominio.

  3. Create un recurso compartido de UNC para la inteligencia de seguridad y las actualizaciones de la plataforma

Configuración del entorno piloto

En esta sección se describe el proceso para configurar el entorno piloto de UAT, prueba y control de calidad. En aproximadamente 10-500* sistemas Windows o Windows Server, dependiendo del número total de sistemas que tengas.

Captura de pantalla que muestra un ejemplo Microsoft Defender programación de implementación en anillo antivirus para entornos de recursos compartidos de red y directiva de grupo.

Nota:

La actualización de inteligencia de seguridad (SIU) es equivalente a las actualizaciones de firma, que es lo mismo que las actualizaciones de definiciones.

Create un recurso compartido de UNC para la inteligencia de seguridad y las actualizaciones de la plataforma

Configure un recurso compartido de archivos de red (unidad UNC/asignada) para descargar la inteligencia de seguridad y las actualizaciones de la plataforma desde el sitio MMPC mediante una tarea programada.

  1. En el sistema en el que desea aprovisionar el recurso compartido y descargar las actualizaciones, cree una carpeta en la que guardará el script.

    Start, CMD (Run as admin)
    MD C:\Tool\PS-Scripts\
    
  2. Create la carpeta en la que guardará las actualizaciones de firma.

    MD C:\Temp\TempSigs\x64
    MD C:\Temp\TempSigs\x86
    
  3. Configurar un script de PowerShell, CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. Use la línea de comandos para configurar la tarea programada.

    Nota:

    Hay dos tipos de actualizaciones: full y delta.

    • Para x64 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Para x64 completo:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Para x86 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Para x86 completo:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      

    Nota:

    Cuando se crean las tareas programadas, puede encontrarlas en el Programador de tareas en Microsoft\Windows\Windows Defender.

  5. Ejecute cada tarea manualmente y compruebe que tiene datos (mpam-d.exe, mpam-fe.exey nis_full.exe) en las carpetas siguientes (es posible que haya elegido ubicaciones diferentes):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Si se produce un error en la tarea programada, ejecute los siguientes comandos:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
    

    Nota:

    Los problemas también pueden deberse a la directiva de ejecución.

  6. Create un recurso compartido que apunte a C:\Temp\TempSigs (por ejemplo, \\server\updates).

    Nota:

    Como mínimo, los usuarios autenticados deben tener acceso de "Lectura". Este requisito también se aplica a los equipos de dominio, el recurso compartido y NTFS (seguridad).

  7. Establezca la ubicación del recurso compartido de la directiva en el recurso compartido.

    Nota:

    No agregue la carpeta x64 (o x86) en la ruta de acceso. El proceso de mpcmdrun.exe lo agrega automáticamente.

Configuración del entorno piloto (UAT/Test/QA)

En esta sección se describe el proceso de configuración del entorno piloto de UAT, prueba o control de calidad, en aproximadamente 10-500 sistemas Windows o Windows Server, en función del número total de sistemas que tengan.

Nota:

Si tiene un entorno de Citrix, incluya al menos 1 máquina virtual citrix (no persistente) o (persistente)

En directiva de grupo Management Console (GPMC, GPMC.msc), cree o anexe a la directiva de antivirus de Microsoft Defender.

  1. Edite la directiva Microsoft Defender Antivirus. Por ejemplo, edite MDAV_Settings_Pilot. Vaya aDirectivas>de configuración> del equipoPlantillas> administrativasComponentes>de Windows Microsoft Defender Antivirus. Hay tres opciones relacionadas:

    Característica Recomendación para los sistemas piloto
    Seleccione el canal para Microsoft Defender actualizaciones diarias de Inteligencia de seguridad Canal actual (preconfigurado)
    Seleccione el canal para Microsoft Defender actualizaciones mensuales del motor Canal beta
    Seleccione el canal para Microsoft Defender actualizaciones mensuales de la plataforma Canal beta

    Las tres opciones se muestran en la ilustración siguiente.

    Captura de pantalla que muestra una captura de pantalla de las directivas > piloto de configuración > del equipo Plantillas > administrativas Componentes > de Windows Microsoft Defender canales de actualización del Antivirus.

    Para obtener más información, consulte Administración del proceso de implementación gradual para las actualizaciones de Microsoft Defender

  2. Vaya aDirectivas>de configuración> del equipoPlantillas> administrativasComponentes>de Windows Microsoft Defender Antivirus.

  3. En el caso de las actualizaciones de inteligencia, haga doble clic en Seleccionar el canal para Microsoft Defender actualizaciones mensuales de inteligencia.

    Captura de pantalla que muestra una captura de pantalla de la página Seleccionar el canal para Microsoft Defender actualizaciones mensuales de inteligencia con Habilitado y Canal actual (preconfigurado) seleccionados.

  4. En la página Seleccionar el canal para Microsoft Defender actualizaciones mensuales de inteligencia, seleccione Habilitado y, en Opciones, seleccione Canal actual (preconfigurado).

  5. Seleccione Aplicar y luego Aceptar.

  6. Vaya aDirectivas>de configuración> del equipoPlantillas> administrativasComponentes>de Windows Microsoft Defender Antivirus.

  7. Para las actualizaciones del motor, haga doble clic en Seleccionar el canal para Microsoft Defender actualizaciones mensuales del motor.

  8. En la página Seleccionar el canal para Microsoft Defender actualizaciones mensuales de la plataforma, seleccione Habilitado y, en Opciones, seleccione Canal beta.

  9. Seleccione Aplicar y luego Aceptar.

  10. En el caso de las actualizaciones de plataforma, haga doble clic en Seleccionar el canal para Microsoft Defender actualizaciones mensuales de la plataforma.

  11. En la página Seleccionar el canal para Microsoft Defender actualizaciones mensuales de la plataforma, seleccione Habilitado y, en Opciones, seleccione Canal beta. Estas dos opciones de configuración se muestran en la ilustración siguiente:

  12. Seleccione Aplicar y luego Aceptar.

Configuración del entorno de producción

  1. En directiva de grupo Management Console (GPMC, GPMC.msc), vaya aDirectivas> de configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft Defender Antivirus.

    Captura de pantalla que muestra una captura de pantalla de las directivas de configuración > del equipo de producción Plantillas > administrativas Componentes > de Windows Microsoft Defender canales de actualización del > Antivirus.

  2. Establezca las tres directivas como se indica a continuación:

    Característica Recomendación para los sistemas de producción Comentarios
    Seleccione el canal para Microsoft Defender actualizaciones diarias de Inteligencia de seguridad Canal actual (amplio) Esta configuración proporciona 3 horas de tiempo para buscar una FP e impedir que los sistemas de producción obtengan una actualización de firma incompatible.
    Seleccione el canal para Microsoft Defender actualizaciones mensuales del motor Crítico: retraso de tiempo Novedades se retrasan dos días.
    Seleccione el canal para Microsoft Defender actualizaciones mensuales de la plataforma Crítico: retraso de tiempo Novedades se retrasan dos días.
  3. En el caso de las actualizaciones de inteligencia, haga doble clic en Seleccionar el canal para Microsoft Defender actualizaciones mensuales de inteligencia.

  4. En la página Seleccionar el canal para Microsoft Defender actualizaciones mensuales de inteligencia, seleccione Habilitado y, en Opciones, seleccione Canal actual (amplio).

    Captura de pantalla que muestra una captura de pantalla de la página Seleccionar el canal para Microsoft Defender actualizaciones mensuales de inteligencia con Habilitado y Canal actual (preconfigurado) seleccionados.

  5. Seleccione Aplicar y luego Aceptar.

  6. Para las actualizaciones del motor, haga doble clic en Seleccionar el canal para Microsoft Defender actualizaciones mensuales del motor.

  7. En la página Seleccionar el canal para Microsoft Defender actualizaciones mensuales de la plataforma, seleccione Habilitado y, en Opciones, seleccione Crítico: retraso de tiempo.

  8. Seleccione Aplicar y luego Aceptar.

  9. En el caso de las actualizaciones de plataforma, haga doble clic en Seleccionar el canal para Microsoft Defender actualizaciones mensuales de la plataforma.

  10. En la página Seleccionar el canal para Microsoft Defender actualizaciones mensuales de la plataforma, seleccione Habilitado y, en Opciones, seleccione Crítico: retraso de tiempo.

  11. Seleccione Aplicar y luego Aceptar.

Si tiene problemas

Si tiene problemas con la implementación, cree o anexe la directiva Microsoft Defender Antivirus:

  1. En directiva de grupo Management Console (GPMC, GPMC.msc), cree o anexe a la directiva de antivirus de Microsoft Defender con la siguiente configuración:

    Vaya aDirectivas>de configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft Defender Directiva del Antivirus> (definido por el administrador) NombreConfiguración. Por ejemplo, MDAV_Settings_Production, haga clic con el botón derecho y, a continuación, seleccione Editar. La edición de MDAV_Settings_Production se muestra en la ilustración siguiente:

    Captura de pantalla que muestra una captura de pantalla de la opción de edición de directiva de antivirus definida por el administrador Microsoft Defender.

  2. Seleccione Definir el orden de los orígenes para descargar las actualizaciones de inteligencia de seguridad.

  3. Seleccione el botón de radio habilitado.

  4. En Opciones:, cambie la entrada a FileShares, seleccione Aplicar y, a continuación, seleccione Aceptar. Este cambio se muestra en la ilustración siguiente:

    Captura de pantalla que muestra una captura de pantalla de la página Definir el orden de los orígenes para descargar las actualizaciones de inteligencia de seguridad.

  5. Seleccione Definir el orden de los orígenes para descargar las actualizaciones de inteligencia de seguridad.

  6. Seleccione el botón de radio denominado Deshabilitado, seleccione Aplicar y, a continuación, seleccione Aceptar. La opción deshabilitada se muestra en la ilustración siguiente:

    Captura de pantalla que muestra una captura de pantalla de la página Definir el orden de los orígenes para descargar actualizaciones de inteligencia de seguridad con las actualizaciones de Inteligencia de seguridad deshabilitadas.

  7. El cambio está activo cuando directiva de grupo actualizaciones. Hay dos métodos para actualizar directiva de grupo:

    • Desde la línea de comandos, ejecute el comando directiva de grupo update. Por ejemplo, ejecute gpupdate / force. Para obtener más información, consulte gpupdate
    • Espere a que directiva de grupo se actualice automáticamente. directiva de grupo se actualiza cada 90 minutos +/- 30 minutos.

    Si tiene varios bosques o dominios, fuerce la replicación o espere entre 10 y 15 minutos. A continuación, fuerce una actualización de directiva de grupo desde la consola de administración de directiva de grupo.

    • Haga clic con el botón derecho en una unidad organizativa (OU) que contenga las máquinas (por ejemplo, Escritorios), seleccione directiva de grupo Actualizar. Este comando de interfaz de usuario es el equivalente de realizar una gpupdate.exe /force en cada máquina de esa unidad organizativa. La característica para forzar la actualización de directiva de grupo se muestra en la ilustración siguiente:

      Captura de pantalla que muestra una captura de pantalla de la consola de administración de directiva de grupo, iniciando una actualización forzada.

  8. Una vez resuelto el problema, vuelva a establecer el pedido de reserva de actualización de firma en la configuración original. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

Consulte también

Introducción a la implementación de anillos de Microsoft Defender Antivirus