Jaa

Microsoft Defenderin virustentorjunnan tuotantoringin käyttöönotto ryhmäkäytännön ja verkkoresurssin avulla

  • Artikkeli

Koskee seuraavia:

Käyttöympäristöt

  • Windows
  • Windows Server

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Microsoft Defender for Endpoint on yrityksen päätepisteen suojausympäristö, joka on suunniteltu auttamaan yritysverkkoja ehkäisemään, havaitsemaan, tutkimaan ja vastaamaan kehittyneisiin uhkiin.

Vihje

Microsoft Defender for Endpoint on saatavilla kahdessa palvelupaketissa: Defender for Endpoint Plan 1 ja Plan 2. Uusi Microsoft Defenderin haavoittuvuuden hallinta -lisäosa on nyt saatavilla palvelupakettia 2 varten.

Johdanto

Tässä artikkelissa kuvataan, miten Microsoft Defenderin virustentorjunta otetaan käyttöön renkaissa ryhmäkäytännön ja verkkoresurssin avulla (tunnetaan myös nimellä UNC-polku, SMB, CIFS).

Ennakkovaatimukset

Lue minut -artikkelin tarkistaminen Readme-artikkelissa

  1. Lataa uusimmat Windows Defender .admx- ja .adml-tiedostot.

  2. Kopioi uusimmat .admx- ja .adml-tiedostot toimialueen ohjauskoneen keskitettyun säilöön.

  3. Unc-jaon luominen suojaustietoja ja käyttöympäristöpäivityksiä varten

Pilottiympäristön määrittäminen

Tässä osiossa kuvataan UAT-pilottikokeilun/ testi-/QA-ympäristön määritysprosessi. Noin 10–500* Windows- ja/tai Windows Server -järjestelmissä riippuen siitä, kuinka monta järjestelmää sinulla on yhteensä.

Näyttökuva, jossa näkyy esimerkki Microsoft Defenderin virustentorjuntaringin käyttöönottoaikataulusta ryhmäkäytännön ja verkon jakamisympäristöille.

Huomautus

Suojaustietojen päivitys (SIU) vastaa allekirjoituspäivityksiä, mikä on sama kuin määritelmäpäivitykset.

Unc-jaon luominen suojaustietoja varten

Määritä jaettu verkkotiedostoresurssi (UNC/yhdistetty asema) suojaustietojen lataamiseksi MMPC-sivustosta ajoitetun tehtävän avulla.

  1. Luo järjestelmään, jossa haluat valmistella jaetun resurssin ja ladata päivitykset, kansio, johon tallennat komentosarjan.

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. Luo kansio, johon allekirjoituspäivitykset tallennetaan.

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. PowerShell-komentosarjan määrittäminen CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. Määritä ajoitettu tehtävä komentorivin avulla.

    Huomautus

    Päivityksiä on kahdenlaisia: full ja delta.

    • X64 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • X64 täynnä:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • X86 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • X86 täynnä:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    Huomautus

    Kun ajoitetut tehtävät on luotu, ne löytyvät Tehtävien ajoitus -kohdasta kohdasta Microsoft\Windows\Windows Defender.

  5. Suorita kukin tehtävä manuaalisesti ja varmista, että seuraavissa kansioissa on tietoja (mpam-d.exe, mpam-fe.exeja nis_full.exe) (olet ehkä valinnut eri sijainteja):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Jos ajoitettu tehtävä epäonnistuu, suorita seuraavat komennot:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

    Huomautus

    Ongelmat voivat johtua myös suorituskäytännöstä.

  6. Luo jako, joka osoittaa kohteeseen C:\Temp\TempSigs (esim. \\server\updates).

    Huomautus

    Todennetuilla käyttäjillä on oltava vähintään lukuoikeudet. Tämä vaatimus koskee myös toimialuetietokoneita, jakoa ja NTFS:ää (suojaus).

  7. Määritä käytännön jakosijainnin arvoksi jako.

    Huomautus

    Älä lisää x64 (tai x86) -kansiota polkuun. mpcmdrun.exe lisätään automaattisesti.

Pilottiympäristön (UAT/Test/QA) määrittäminen

Tässä osiossa kuvataan UAT-pilottikokeilun/ testi-/QA-ympäristön määritysprosessi noin 10–500 Windows- ja/tai Windows Server -järjestelmissä sen mukaan, kuinka monta järjestelmää teillä kaikilla on yhteensä.

Huomautus

Jos käytössäsi on Citrix-ympäristö, ota mukaan vähintään 1 Citrix VM (ei-pysyvä) ja/ tai (pysyvä)

Luo ryhmäkäytäntöjen hallintakonsolissa (GPMC, GPMC.msc) Microsoft Defenderin virustentorjuntakäytäntö tai liitä se siihen.

  1. Muokkaa Microsoft Defenderin virustentorjuntakäytäntöä. Voit esimerkiksi muokata MDAV_Settings_Pilot. Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defenderin virustentorjunta. Aiheeseen liittyviä vaihtoehtoja on kolme:

    Ominaisuus Pilottijärjestelmiä koskeva suositus
    Valitse kanava Microsoft Defenderin päivittäisille tietoturvatietopäivityksille Nykyinen kanava (vaiheitettu)
    Valitse Microsoft Defenderin kuukausittaisten moduulipäivitysten kanava Beetakanava
    Valitse Microsoft Defenderin kuukausittaisten käyttöympäristöpäivitysten kanava Beetakanava

    Kolme vaihtoehtoa näytetään seuraavassa kuvassa.

    Näyttökuva, joka näyttää näyttökuvan pilottikokeilun Tietokoneasetukset > Käytännöt > Hallintamallit > Windowsin osat > Microsoft Defenderin virustentorjunta virustentorjunta päivityskanavat.

    Lisätietoja on artikkelissa Microsoft Defender -päivitysten vaiheittaisten käyttöönottoprosessien hallinta.

  2. Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defenderin virustentorjunta.

  3. Jos kyseessä on tiedustelupäivitys , kaksoisnapsauta Valitse kanava Microsoft Defenderin kuukausittaisille tiedustelupäivityksille.

    Näyttökuva, jossa näkyy näyttökuva Valitse kanava Microsoft Defenderin kuukausittaisille tiedustelupäivityksille -sivusta, jossa on valittuna Käytössä ja Nykyinen kanava (vaihe).

  4. Valitse Valitse kanava Microsoft Defenderin kuukausittaisille tiedustelupäivityksille -sivulla Käytössä ja valitse Asetukset-kohdastaNykyinen kanava (vaiheittaiset).

  5. Valitse Käytä ja valitse sitten OK.

  6. Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defenderin virustentorjunta.

  7. Jos kyseessä on moduulipäivitys , kaksoisnapsauta Valitse kanava Microsoft Defenderin kuukausittaisille moduulipäivityksille.

  8. Valitse Valitse kanava Microsoft Defenderin kuukausittaisille käyttöympäristöpäivityksille -sivulla Käytössä ja valitse asetukset-kohdastaBeetakanava.

  9. Valitse Käytä ja valitse sitten OK.

  10. Jos kyseessä on käyttöympäristöpäivitys , kaksoisnapsauta Valitse kanava Microsoft Defenderin kuukausittaisille ympäristöpäivityksille.

  11. Valitse Valitse kanava Microsoft Defenderin kuukausittaisille käyttöympäristöpäivityksille -sivulla Käytössä ja valitse asetukset-kohdastaBeetakanava. Nämä kaksi asetusta näkyvät seuraavassa kuvassa:

  12. Valitse Käytä ja valitse sitten OK.

Tuotantoympäristön määrittäminen

  1. Siirry ryhmäkäytäntöjen hallintakonsolissa (GPMC, GPMC.msc) kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defenderin virustentorjunta.

    Näyttökuva, joka näyttää näyttökuvan tuotannon Tietokoneasetukset > Käytännöt > Hallintamallit > Windowsin osat > Microsoft Defenderin virustentorjunta päivityskanavat.

  2. Määritä kolme käytäntöä seuraavasti:

    Ominaisuus Tuotantojärjestelmiä koskeva suositus Huomautuksia
    Valitse kanava Microsoft Defenderin päivittäisille tietoturvatietopäivityksille Nykyinen kanava (laaja) Tämän asetuksen avulla löydät FP:n kolmen tunnin ajan ja estät tuotantojärjestelmiä saamasta yhteensopimatonta allekirjoituspäivitystä.
    Valitse Microsoft Defenderin kuukausittaisten moduulipäivitysten kanava Kriittinen – Viive Päivitykset viivästyvät kahdella päivällä.
    Valitse Microsoft Defenderin kuukausittaisten käyttöympäristöpäivitysten kanava Kriittinen – Viive Päivitykset viivästyvät kahdella päivällä.

  3. Jos kyseessä on tiedustelupäivitys , kaksoisnapsauta Valitse kanava Microsoft Defenderin kuukausittaisille tiedustelupäivityksille.

  4. Valitse Valitse kanava Microsoft Defenderin kuukausittaisille tiedustelupäivityksille -sivulla Käytössä ja valitse Asetukset-kohdastaNykyinen kanava (laaja).

    Näyttökuva, jossa näkyy näyttökuva Valitse kanava Microsoft Defenderin kuukausittaisille tiedustelupäivityksille -sivusta, jossa on valittuna Käytössä ja Nykyinen kanava (vaihe).

  5. Valitse Käytä ja valitse sitten OK.

  6. Jos kyseessä on moduulipäivitys , kaksoisnapsauta Valitse kanava Microsoft Defenderin kuukausittaisille moduulipäivityksille.

  7. Valitse Valitse kanava Microsoft Defenderin kuukausittaisille käyttöympäristöpäivityksille -sivulla Käytössä ja valitse Asetukset-kohdastaKriittinen – Aikaviive.

  8. Valitse Käytä ja valitse sitten OK.

  9. Jos kyseessä on käyttöympäristöpäivitys , kaksoisnapsauta Valitse kanava Microsoft Defenderin kuukausittaisille ympäristöpäivityksille.

  10. Valitse Valitse kanava Microsoft Defenderin kuukausittaisille käyttöympäristöpäivityksille -sivulla Käytössä ja valitse Asetukset-kohdastaKriittinen – Aikaviive.

  11. Valitse Käytä ja valitse sitten OK.

Jos kohtaat ongelmia

Jos käyttöönotossa ilmenee ongelmia, luo tai liitä Microsoft Defenderin virustentorjuntakäytäntö:

  1. Luo ryhmäkäytäntöjen hallintakonsolissa (GPMC, GPMC.msc) Microsoft Defenderin virustentorjuntakäytäntö tai liitä se seuraavaan asetukseen:

    Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defenderin virustentorjunta> (järjestelmänvalvojan määrittämä) PolicySettingName. Voit esimerkiksi MDAV_Settings_Production, napsauttaa hiiren kakkospainiketta ja valita sitten Muokkaa. MDAV_Settings_Production muokkaaminennäkyy seuraavassa kuvassa:

    Näyttökuva, jossa näkyy järjestelmänvalvojan määrittämän Microsoft Defenderin virustentorjuntakäytännön Muokkaa-asetuksen näyttökuva.

  2. Valitse Määritä lähteiden järjestys suojaustietojen päivitysten lataamista varten.

  3. Valitse Käytössä-valintanappi.

  4. Muuta kohdassa Asetukset:, vaihda merkinnäksi FileShares, valitse Käytä ja valitse sitten OK. Tämä muutos näkyy seuraavassa kuvassa:

    Näyttökuva, jossa näkyy näyttökuva Määritä lähteiden järjestys suojaustietojen päivitysten lataamista varten -sivusta.

  5. Valitse Määritä lähteiden järjestys suojaustietojen päivitysten lataamista varten.

  6. Valitse valintanappi nimeltä Poistettu käytöstä, valitse Käytä ja valitse sitten OK. Käytöstä poistettu -vaihtoehto näkyy seuraavassa kuvassa:

    Näyttökuva, jossa näkyy näyttökuva Määritä lähteiden järjestys suojaustietojen päivitysten lataamista varten -sivusta, jossa suojaustietojen päivitykset on poistettu käytöstä.

  7. Muutos on aktiivinen ryhmäkäytäntöä päivitettäessä. Ryhmäkäytännön päivittämiseen on kaksi tapaa:

    • Suorita komentoriviltä ryhmäkäytännön päivityskomento. Suorita esimerkiksi gpupdate / force. Lisätietoja on kohdassa gpupdate
    • Odota, että ryhmäkäytäntö päivittyy automaattisesti. Ryhmäkäytäntö päivitetään 90 minuutin välein +/- 30 minuutin välein.

    Jos sinulla on useita toimialueita, pakota replikointi tai odota 10-15 minuuttia. Pakota sitten ryhmäkäytännön päivitys ryhmäkäytännön hallintakonsolista.

    • Napsauta hiiren kakkospainikkeella organisaatioyksikköä (OU), joka sisältää koneet (esimerkiksi työpöydät), valitse Ryhmäkäytännön päivitys. Tämä käyttöliittymäkomento vastaa gpupdate.exe /force-toiminnon tekemistä jokaisessa OU:n koneessa. Ominaisuus, joka pakottaa ryhmäkäytännön päivittymään, näkyy seuraavassa kuvassa:

      Näyttökuva, jossa näkyy ryhmäkäytännön hallintakonsolin näyttökuva, joka käynnistää pakotetun päivityksen.

  8. Kun ongelma on ratkaistu, aseta allekirjoituksen päivityksen varatilaus takaisin alkuperäiseen asetukseen. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

Tutustu myös seuraaviin ohjeartikkeleihin:

Microsoft Defenderin virustentorjuntaringin käyttöönoton yleiskatsaus