Jaa

Microsoft Defender virustentorjunnan tuotantoringin käyttöönotto ryhmäkäytäntö ja verkkoresurssin avulla

  • Koskee seuraavia:: Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

Microsoft Defender for Endpoint on yrityksen päätepisteen suojausympäristö, joka on suunniteltu auttamaan yritysverkkoja ehkäisemään, havaitsemaan, tutkimaan ja vastaamaan kehittyneisiin uhkiin.

Vihje

Uusi Microsoft Defenderin haavoittuvuuksien hallinta laajennus on nyt saatavilla palvelupakettiin Microsoft Defender for Endpoint 2.

Tässä artikkelissa kuvataan, miten Microsoft Defender virustentorjunta otetaan käyttöön renkaissa, joissa käytetään ryhmäkäytäntö-ja verkkoresurssia (tunnetaan myös nimellä UNC-polku, SMB, CIFS).

Ennakkovaatimukset

Lue minut -artikkelin tarkistaminen Readme-artikkelissa

Tuetut käyttöjärjestelmät

  • Windows
  • Windows Server

  1. Lataa uusimmat Windows Defender .admx- ja .adml-tiedostot.

  2. Kopioi uusimmat .admx- ja .adml-tiedostot toimialueen ohjauskoneen keskitettyun säilöön.

  3. Unc-jaon luominen suojaustietoja ja käyttöympäristöpäivityksiä varten

Pilottiympäristön määrittäminen

Tässä osiossa kuvataan UAT-pilottikokeilun/ testi-/QA-ympäristön määritysprosessi. Noin 10–500* Windows- ja/tai Windows Server-järjestelmissä riippuen siitä, kuinka monta järjestelmää teillä kaikilla on yhteensä.

Näyttökuva, joka näyttää esimerkin Microsoft Defender virustentorjuntaringin käyttöönottoaikataulun ryhmäkäytäntö- ja verkonjakoympäristöille.

Huomautus

Suojaustietojen päivitys (SIU) vastaa allekirjoituspäivityksiä, mikä on sama kuin määritelmäpäivitykset.

Unc-jaon luominen suojaustietoja varten

Määritä jaettu verkkotiedostoresurssi (UNC/yhdistetty asema) suojaustietojen lataamiseksi MMPC-sivustosta ajoitetun tehtävän avulla.

  1. Luo järjestelmään, jossa haluat valmistella jaetun resurssin ja ladata päivitykset, kansio, johon tallennat komentosarjan.

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. Luo kansio, johon allekirjoituspäivitykset tallennetaan.

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. PowerShell-komentosarjan määrittäminen CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. Määritä ajoitettu tehtävä komentorivin avulla.

    Huomautus

    Päivityksiä on kahdenlaisia: full ja delta.

    • X64 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • X64 täynnä:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • X86 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • X86 täynnä:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    Huomautus

    Kun ajoitetut tehtävät on luotu, ne löytyvät Tehtävien ajoitus -kohdasta kohdasta Microsoft\Windows\Windows Defender.

  5. Suorita kukin tehtävä manuaalisesti ja varmista, että seuraavissa kansioissa on tietoja (mpam-d.exe, mpam-fe.exeja nis_full.exe) (olet ehkä valinnut eri sijainteja):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Jos ajoitettu tehtävä epäonnistuu, suorita seuraavat komennot:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

    Huomautus

    Ongelmat voivat johtua myös suorituskäytännöstä.

  6. Luo jako, joka osoittaa kohteeseen C:\Temp\TempSigs (esim. \\server\updates).

    Huomautus

    Todennetuilla käyttäjillä on oltava vähintään lukuoikeudet. Tämä vaatimus koskee myös toimialuetietokoneita, jakoa ja NTFS:ää (suojaus).

  7. Määritä käytännön jakosijainnin arvoksi jako.

    Huomautus

    Älä lisää x64 (tai x86) -kansiota polkuun. mpcmdrun.exe lisätään automaattisesti.

Pilottiympäristön (UAT/Test/QA) määrittäminen

Tässä osiossa kuvataan UAT-pilottikokeilun / testi-/QA-ympäristön määritysprosessi noin 10–500 Windows- ja/tai Windows Server-järjestelmissä sen mukaan, kuinka monta järjestelmää teillä kaikilla on yhteensä.

Huomautus

Jos käytössäsi on Citrix-ympäristö, ota mukaan vähintään 1 Citrix VM (ei-pysyvä) ja/ tai (pysyvä)

Luo tai liitä Microsoft Defender virustentorjuntakäytäntö ryhmäkäytäntö Management Consolessa (GPMC, GPMC.msc).

  1. Muokkaa Microsoft Defender virustentorjuntakäytäntöä. Voit esimerkiksi muokata MDAV_Settings_Pilot. Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defender virustentorjunta. Aiheeseen liittyviä vaihtoehtoja on kolme:

    Ominaisuus Pilottijärjestelmiä koskeva suositus
    Valitse kanava päivittäisten suojaustietojen päivitysten Microsoft Defender Nykyinen kanava (vaiheitettu)
    Valitse kanava Microsoft Defender kuukausittaisille moduulipäivityksille Beetakanava
    Valitse kanava Microsoft Defender kuukausittaisille käyttöympäristöpäivityksille Beetakanava

    Kolme vaihtoehtoa näytetään seuraavassa kuvassa.

    Näyttökuva, joka näyttää näyttökuvan pilottikokeilun Tietokoneasetukset > Käytännöt > Hallintamallit > Windowsin osat > Microsoft Defender virustentorjunnan päivityskanavat.

    Lisätietoja on artikkelissa Microsoft Defender päivitysten vaiheittaisten käyttöönottoprosessien hallinta.

  2. Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defender virustentorjunta.

  3. Jos kyseessä on tiedustelupäivitys, kaksoisnapsauta Valitse kanava Microsoft Defender kuukausittaisille tiedustelupäivityksille.

    Näyttökuva, jossa näkyy Näyttökuva Valitse kanava Microsoft Defender kuukausittaiset tiedustelupäivitykset -sivusta, jossa on valittuna Käytössä ja Nykyinen kanava (vaihe).

  4. Valitse Valitse kanava Microsoft Defender kuukausittaisten tiedustelutietojen päivityksiä varten -sivulla Käytössä ja valitse asetukset-kohdassaNykyinen kanava (vaiheinen).

  5. Valitse Käytä ja valitse sitten OK.

  6. Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defender virustentorjunta.

  7. Jos kyseessä on moduulipäivitys, kaksoisnapsauta Valitse kanava Microsoft Defender kuukausittaisille moduulipäivityksille.

  8. Valitse Valitse kanava Microsoft Defender kuukausittaiselle käyttöympäristöpäivitykselle -sivulla Käytössä ja valitse sitten Asetukset-kohdastaBeetakanava.

  9. Valitse Käytä ja valitse sitten OK.

  10. Jos kyseessä on käyttöympäristöpäivitys, kaksoisnapsauta Valitse kanava Microsoft Defender kuukausittaisia käyttöympäristöpäivityksiä varten.

  11. Valitse Valitse kanava Microsoft Defender kuukausittaiselle käyttöympäristöpäivitykselle -sivulla Käytössä ja valitse sitten Asetukset-kohdastaBeetakanava. Nämä kaksi asetusta näkyvät seuraavassa kuvassa:

  12. Valitse Käytä ja valitse sitten OK.

Tuotantoympäristön määrittäminen

  1. Siirry ryhmäkäytäntö hallintakonsolissa (GPMC, GPMC.msc) kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit>Windowsin osat>Microsoft Defender virustentorjunta.

    Näyttökuva, joka näyttää näyttökuvan tuotannon Tietokoneasetukset > Käytännöt > Hallintamallit > Windowsin osat > Microsoft Defender virustentorjunta päivityskanavat.

  2. Määritä kolme käytäntöä seuraavasti:

    Ominaisuus Tuotantojärjestelmiä koskeva suositus Huomautuksia
    Valitse kanava päivittäisten suojaustietojen päivitysten Microsoft Defender Nykyinen kanava (laaja) Tämän asetuksen avulla löydät FP:n kolmen tunnin ajan ja estät tuotantojärjestelmiä saamasta yhteensopimatonta allekirjoituspäivitystä.
    Valitse kanava Microsoft Defender kuukausittaisille moduulipäivityksille Kriittinen – Viive Päivitykset viivästyy kahdella päivällä.
    Valitse kanava Microsoft Defender kuukausittaisille käyttöympäristöpäivityksille Kriittinen – Viive Päivitykset viivästyy kahdella päivällä.

  3. Jos kyseessä on tiedustelupäivitys, kaksoisnapsauta Valitse kanava Microsoft Defender kuukausittaisille tiedustelupäivityksille.

  4. Valitse Valitse kanava Microsoft Defender kuukausittaiset tiedustelupäivitykset -sivulla Käytössä ja valitse asetukset-kohdastaNykyinen kanava (laaja).

    Näyttökuva, jossa näkyy Näyttökuva Valitse kanava Microsoft Defender kuukausittaiset tiedustelupäivitykset -sivusta, jossa on valittuna Käytössä ja Nykyinen kanava (vaihe).

  5. Valitse Käytä ja valitse sitten OK.

  6. Jos kyseessä on moduulipäivitys, kaksoisnapsauta Valitse kanava Microsoft Defender kuukausittaisille moduulipäivityksille.

  7. Valitse Valitse kanava Microsoft Defender kuukausittaisia käyttöympäristöpäivityksiä varten -sivulla Käytössä ja valitse Asetukset-kohdastaKriittinen – Aikaviive.

  8. Valitse Käytä ja valitse sitten OK.

  9. Jos kyseessä on käyttöympäristöpäivitys, kaksoisnapsauta Valitse kanava Microsoft Defender kuukausittaisia käyttöympäristöpäivityksiä varten.

  10. Valitse Valitse kanava Microsoft Defender kuukausittaisia käyttöympäristöpäivityksiä varten -sivulla Käytössä ja valitse Asetukset-kohdastaKriittinen – Aikaviive.

  11. Valitse Käytä ja valitse sitten OK.

Jos kohtaat ongelmia

Jos käyttöönotossa ilmenee ongelmia, luo Microsoft Defender virustentorjuntakäytäntö tai liitä se siihen:

  1. Luo tai liitä Microsoft Defender virustentorjuntakäytäntö ryhmäkäytäntö hallintakonsolissa (GPMC, GPMC.msc) seuraavalla asetuksella:

    Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjunta> (järjestelmänvalvojan määrittämä) PolicySettingName. Voit esimerkiksi MDAV_Settings_Production, napsauttaa hiiren kakkospainiketta ja valita sitten Muokkaa. MDAV_Settings_Production muokkaaminennäkyy seuraavassa kuvassa:

    Näyttökuva, jossa näkyy järjestelmänvalvojan määrittämän Microsoft Defender Virustentorjuntakäytännön Muokkaa-asetuksen näyttökuva.

  2. Valitse Määritä lähteiden järjestys suojaustietojen päivitysten lataamista varten.

  3. Valitse Käytössä-valintanappi.

  4. Muuta kohdassa Asetukset:, vaihda merkinnäksi FileShares, valitse Käytä ja valitse sitten OK. Tämä muutos näkyy seuraavassa kuvassa:

    Näyttökuva, jossa näkyy näyttökuva Määritä lähteiden järjestys suojaustietojen päivitysten lataamista varten -sivusta.

  5. Valitse Määritä lähteiden järjestys suojaustietojen päivitysten lataamista varten.

  6. Valitse valintanappi nimeltä Poistettu käytöstä, valitse Käytä ja valitse sitten OK. Käytöstä poistettu -vaihtoehto näkyy seuraavassa kuvassa:

    Näyttökuva, jossa näkyy näyttökuva Määritä lähteiden järjestys suojaustietojen päivitysten lataamista varten -sivusta, jossa suojaustietojen päivitykset on poistettu käytöstä.

  7. Muutos on aktiivinen, kun ryhmäkäytäntö päivityksiä. ryhmäkäytäntö voi päivittää kahdella tavalla:

    • Suorita komentoriviltä ryhmäkäytäntö päivityskomento. Suorita esimerkiksi gpupdate / force. Lisätietoja on kohdassa gpupdate
    • Odota, kunnes ryhmäkäytäntö päivittyy automaattisesti. ryhmäkäytäntö päivitetään 90 minuutin välein +/-30 minuuttia.

    Jos sinulla on useita toimialueita, pakota replikointi tai odota 10-15 minuuttia. Pakota sitten ryhmäkäytäntö Päivitys ryhmäkäytäntö -hallintakonsolista.

    • Napsauta hiiren kakkospainikkeella organisaatioyksikköä, joka sisältää koneet (esimerkiksi työpöydät), valitse ryhmäkäytäntö Päivitä. Tämä käyttöliittymäkomento vastaa gpupdate.exe /force-toiminnon tekemistä jokaisessa OU:n koneessa. Ominaisuus, joka pakottaa ryhmäkäytäntö päivittymään, näkyy seuraavassa kuvassa:

      Näyttökuva, jossa näkyy ryhmäkäytäntö hallintakonsolin näyttökuva, joka käynnistää pakotetun päivityksen.

  8. Kun ongelma on ratkaistu, aseta allekirjoituksen päivityksen varatilaus takaisin alkuperäiseen asetukseen. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

Tutustu myös seuraaviin ohjeartikkeleihin:

Microsoft Defender virustentorjuntaringin käyttöönoton yleiskatsaus

  • Last updated on