Virustentorjunnan pitäminen ajan tasalla on erittäin tärkeää. Microsoft Defender virustentorjunnan suojauspäivitysten hallintaan on kaksi osaa:
Mistä päivitykset ladataan; ja
Kun päivitykset ladataan ja otetaan käyttöön
Tässä artikkelissa kuvataan, miten määritetään, mistä päivitykset ladataan (tätä määritystä kutsutaan myös varajärjestykseksi). Yleiskatsaus päivitysten toiminnasta ja päivitysten muiden ominaisuuksien (kuten päivitysten ajoittaminen) Microsoft Defender virustentorjuntapäivitysten hallinta ja perusaikataulujen käyttöönotto -artikkelista.
Tärkeä
Microsoft Defender virustentorjuntaOhjelman suojaustietojen päivitykset ja käyttöympäristöpäivitykset toimitetaan Windows Update kautta ja maanantaista 21.10.2019 alkaen kaikki suojaustietojen päivitykset on allekirjoitettu yksinomaan SHA-2:ssa. Laitteet on päivitettävä SHA-2:n tukemiseksi, jotta suojaustiedot voidaan päivittää. Lisätietoja on artikkelissa 2019 SHA-2-koodin allekirjoituksen tukivaatimus Windowsille ja WSUS:lle.
Varajärjestys
Yleensä päätepisteet määritetään lataamaan päivitykset yksitellen ensisijaisesta lähteestä ja muut lähteet tärkeysjärjestyksessä verkkomäärityksen mukaan. Päivitykset haetaan lähteistä määrittämässäsi järjestyksessä. Jos nykyisen lähteen päivitykset ovat vanhentuneita, luettelon seuraavaa lähdettä käytetään heti.
Kun päivitykset julkaistaan, käytetään logiikkaa päivityksen koon minimoimiseksi. Useimmissa tapauksissa vain viimeisimmän päivityksen ja tällä hetkellä asennetun päivityksen väliset erot ladataan ja otetaan käyttöön laitteessa. Eroavaisuusjoukkoa kutsutaan deltaksi. Deltan koko riippuu kahdesta päätekijästä:
Laitteen viimeisimmän päivityksen ikä; ja
Päivitysten lataamiseen ja soveltamiseen käytettävä lähde
Mitä vanhemmat päivitykset päätepisteessä ovat, sitä suurempi lataus on. Sinun on kuitenkin otettava huomioon myös lataustiheys. Yleisempi päivitysaikataulu voi lisätä verkon käyttöä, kun taas harvempi aikataulu voi johtaa suurempiin tiedostokokoihin latausta kohden.
Voit määrittää viidessä sijainnissa, mistä päätepisteen tulisi saada päivitykset:
Intune sisäisen määrityksen päivityspalvelin. Jos käytät SCCM/SUP-sovellusta Microsoft Defender virustentorjunnan määrityspäivitysten saamiseen ja sinun on käytettävä Windows Update estetyissä asiakaslaitteissa, voit siirtyä päätepisteen suojauskuormituksen yhteishallintaan ja poistaa sen käytöstä Intune. Intune määritetyssä haittaohjelmien torjuntakäytännössä on "sisäisen määrityksen päivityspalvelin" -asetus, jonka voit määrittää käyttämään paikallista WSUS:a päivityslähteenä. Tämän määrityksen avulla voit hallita, mitkä virallisen WU-palvelimen päivitykset hyväksytään yritykseen, ja auttaa myös välityspalvelimessa ja tallentamaan verkkoliikennettä windows Päivitykset viralliseen verkkoon.
Käytännöllä ja rekisterillä saattaa olla tämä luettelo Microsoft Malware Protection Centerin (MMPC) suojaustietoina, sen entisenä nimenä.
Parhaan suojaustason varmistamiseksi Microsoft Update mahdollistaa nopeat julkaisut, mikä tarkoittaa pienempiä latauksia usein. Windows Server Update -palvelu, Microsoft-Configuration Manager, Microsoftin tietoturvatietojen päivitykset ja käyttöympäristöpäivitysten lähteet tarjoavat harvemmin päivityksiä. Näin ollen delta voi olla suurempi, mikä aiheuttaa suurempia latauksia.
Jos olet määrittänyt Microsoftin tietoturvatietosivun päivitykset varalähteeksi Windows Server Update Servicen tai Microsoft Updaten jälkeen, päivitykset ladataan tietoturvatietojen päivityksistä ja käyttöympäristön päivityksistä vain, kun nykyistä päivitystä pidetään vanhentuneena. (Oletusarvoisesti tämä on seitsemänä peräkkäisenä päivänä siitä, kun Windows Server Update -palvelun tai Microsoft Update -palveluiden päivityksiä ei voida ottaa käyttöön).
Voit kuitenkin määrittää, kuinka monta päivää ennen kuin suojaus ilmoitetaan vanhentuneeksi.
Maanantaista 21.10.2019 alkaen tietoturvatietojen päivitykset ja käyttöympäristöpäivitykset on allekirjoitettu yksinomaan SHA-2:lla. Laitteet on päivitettävä SHA-2:n tukemiseksi, jotta uusimmat tietoturvatiedot ja käyttöympäristöpäivitykset voidaan saada. Lisätietoja on artikkelissa 2019 SHA-2-koodin allekirjoituksen tukivaatimus Windowsille ja WSUS:lle.
Jokaisessa lähteessä on tyypillisiä skenaarioita, jotka riippuvat verkon kokoonpanosta päivitysten julkaisemisen lisäksi seuraavassa taulukossa kuvatulla tavalla:
Sijainti
Esimerkkiskenaario
Windows Server Update -palvelu
Käytät Windows Server Update -palvelua verkon päivitysten hallintaan.
Microsoft Update
Haluat päätepisteiden muodostavan yhteyden suoraan Microsoft Updateen. Tästä on hyötyä päätepisteissä, jotka muodostavat epäsäännöllisen yhteyden yrityksen verkkoon, tai jos et hallitse päivityksiäsi Windows Server Update Servicen avulla.
Jaettu tiedostoresurssi
Sinulla on laitteita, jotka eivät ole yhteydessä Internetiin (kuten näennäiskoneet tai näennäiskoneet). Internetiin yhdistetyn näennäiskoneen isännän avulla voit ladata päivitykset jaettuun verkkoresurssiin, josta näennäiskoneet voivat hankkia päivitykset.
VDI-käyttöönotto-oppaassa kerrotaan, miten jaettuja tiedostoja käytetään näennäistyöpöydän infrastruktuurin (VDI) ympäristöissä.
Microsoft Configuration Manager
Käytät Microsoft Configuration Manager päätepisteiden päivittämiseen.
Microsoft Defender virustentorjuntaohjelman ja muiden Microsoftin haittaohjelmien torjuntaohjelmien (aiemmin MMPC) suojaustietojen päivitykset ja ympäristöpäivitykset
Varmista, että laitteet on päivitetty tukemaan SHA-2:ta. Microsoft Defender virustentorjunnan suojaustiedot ja ympäristöpäivitykset toimitetaan Windows Update kautta. 21.10.2019 alkaen tietoturvatietojen päivitykset ja käyttöympäristöpäivitykset on allekirjoitettu yksinomaan SHA-2:lla. Lataa uusimmat suojauspäivitykset viimeaikaisen tartunnan vuoksi tai valmistele vahva peruskuva VDI-käyttöönottoa varten. Tätä asetusta tulee käyttää vain viimeisenä varalähteenä, ei ensisijaisena lähteenä. Sitä käytetään vain, jos päivityksiä ei voi ladata Windows Server Update -palvelusta tai Microsoft Updatesta määritettyyn määrään päiviä.
Voit hallita järjestystä, jossa päivityslähteitä käytetään ryhmäkäytäntö, Microsoftin päätepisteen Configuration Manager, PowerShellin cmdlet-komentojen ja WMI:n kanssa.
Tärkeä
Jos määrität Windows Server Update -palvelun lataussijainniksi, sinun on hyväksyttävä päivitykset riippumatta siitä, millä hallintatyökalulla määrität sijainnin. Voit määrittää Windows Server Update -palvelussa automaattisen hyväksyntäsäännön, josta voi olla hyötyä, kun päivitykset saapuvat vähintään kerran päivässä. Lisätietoja on ohjeaiheessa Päätepisteiden suojauspäivitysten synkronointi erillisessä Windows Server Update -palvelussa.
Tämän artikkelin toimintosarjoissa kuvataan ensin, miten määritetään järjestys ja sen jälkeen Windows File Server – File Share -asetus, jos se on käytössä.
Päivityssijainnin hallinta ryhmäkäytäntö avulla
Avaa ryhmäkäytäntö hallintakoneessa ryhmäkäytäntö hallintakonsoli. Napsauta hiiren kakkospainikkeella ryhmäkäytäntö objektia, jonka haluat määrittää, ja valitse sitten Muokkaa.
Siirry ryhmäkäytäntö Management -Kirjoitusavustaja kohtaan Tietokoneen määritykset.
Valitse Käytännöt ja sitten Hallintamallit.
Laajenna puu Windows-osiin>Windows Defenderin>allekirjoituspäivitykset.
Huomautus
Windows 10 versioissa 1703 – ja 1809 käytäntöpolku on Windowsin osat > Microsoft Defender virustentorjunnan > allekirjoitus Päivitykset
Windows 10 versiossa 1903 käytäntöpolku on Windowsin osat > Microsoft Defender virustentorjunnan > suojaustiedot Päivitykset
Muokkaa Määritä lähteiden järjestys suojaustietojen päivitysten lataamista varten -asetusta. Määritä asetuksen arvoksi Käytössä.
Määritä lähteiden järjestys yhdellä putkella erotettuna, esimerkiksi , InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPCseuraavassa näyttökuvassa esitetyllä tavalla.
Valitse OK. Tämä toiminto määrittää suojauspäivityslähteiden järjestyksen.
Muokkaa Määritä tiedostojaetut-asetusta suojaustietojen päivitysten lataamista varten ja määritä sitten asetukseksi Käytössä.
Määritä jaetun tiedostoresurssin lähde Windows Serverissä. Jos sinulla on useita lähteitä, määritä kukin lähde siinä järjestyksessä, jossa niitä tulee käyttää, yhdellä putkella erotettuina. Käytä polun merkintöjä UNC-vakiomerkinnällä . Esimerkki: \\WindowsFileServer\share-name\object-name|\\host-name2\share-name\object-name.
Jos et anna polkuja, tämä lähde ohitetaan, kun näennäiskone lataa päivitykset.
Valitse OK. Tämä toiminto määrittää jaettujen tiedostolähteiden järjestyksen, kun lähteeseen viitataan Määritä lähteiden järjestys... -ryhmäkäytäntöasetuksessa.
Päivityssijainnin hallinta Configuration Manager avulla
Entä jos käytössä on muu kuin Microsoftin toimittaja?
Tässä artikkelissa kerrotaan, miten voit määrittää ja hallita Microsoft Defender virustentorjuntaohjelman päivityksiä. Voit kuitenkin palkata muita kuin Microsoftin toimittajia suorittamaan näitä tehtäviä.
Microsoft ei testaa kolmannen osapuolen ratkaisuja Microsoft Defender virustentorjunnan hallintaan.
Unc-jaon luominen suojaustietoja ja käyttöympäristöpäivityksiä varten
Määritä Windows-tiedostopalvelimessa jaettu verkkotiedostoresurssi (UNC/yhdistetty asema) suojaustietojen ja käyttöympäristöpäivitysten lataamiseksi MMPC-sivustosta ajoitetun tehtävän avulla.
Luo komentosarjalle kansio järjestelmään, jolle haluat valmistella jaetun resurssin ja ladata päivitykset.
Powershell (Run as admin)
C:\Tool\PS-Scripts\
".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
X86 täynnä:
Powershell (Run as admin)
C:\Tool\PS-Scripts\
".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Huomautus
Kun ajoitetut tehtävät on luotu, ne löytyvät Tehtävien ajoitus -kohdasta kohdasta Microsoft\Windows\Windows Defender.
Suorita kukin tehtävä manuaalisesti ja varmista, että seuraavissa kansioissa on tietoja (mpam-d.exe, mpam-fe.exeja nis_full.exe) (voit käyttää eri sijainteja):
C:\Temp\TempSigs\x86
C:\Temp\TempSigs\x64
Jos ajoitettu tehtävä epäonnistuu, suorita seuraavat komennot:
C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
Luo jako, joka osoittaa kohteeseen C:\Temp\TempSigs (esimerkiksi \\server\updates).
Huomautus
Todennetuilla käyttäjillä on oltava vähintään lukuoikeudet. Tämä vaatimus koskee myös toimialuetietokoneita, jakoa ja NTFS:ää (suojaus).
Määritä käytännön jakosijainnin arvoksi jako.
Huomautus
Älä lisää x64 (tai x86) -kansiota polkuun. Prosessi mpcmdrun.exe lisää sen automaattisesti.
Plan and execute an endpoint deployment strategy, using essential elements of modern management, co-management approaches, and Microsoft Intune integration.