Microsoft Defenderin virustentorjunnan tuotantoringin käyttöönotto ryhmäkäytännön ja verkkoresurssin avulla
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
- Windows Server
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Microsoft Defender for Endpoint on yrityksen päätepisteen suojausympäristö, joka on suunniteltu auttamaan yritysverkkoja ehkäisemään, havaitsemaan, tutkimaan ja vastaamaan kehittyneisiin uhkiin.
Vihje
Microsoft Defender for Endpoint on saatavilla kahdessa palvelupaketissa: Defender for Endpoint Plan 1 ja Plan 2. Uusi Microsoft Defenderin haavoittuvuuden hallinta -lisäosa on nyt saatavilla palvelupakettia 2 varten.
Johdanto
Tässä artikkelissa kuvataan, miten Microsoft Defenderin virustentorjunta otetaan käyttöön renkaissa ryhmäkäytännön ja verkkoresurssin avulla (tunnetaan myös nimellä UNC-polku, SMB, CIFS).
Ennakkovaatimukset
Lue minut -artikkelin tarkistaminen Readme-artikkelissa
Lataa uusimmat Windows Defender .admx- ja .adml-tiedostot.
Kopioi uusimmat .admx- ja .adml-tiedostot toimialueen ohjauskoneen keskitettyun säilöön.
Unc-jaon luominen suojaustietoja ja käyttöympäristöpäivityksiä varten
Pilottiympäristön määrittäminen
Tässä osiossa kuvataan UAT-pilottikokeilun/ testi-/QA-ympäristön määritysprosessi. Noin 10–500* Windows- ja/tai Windows Server -järjestelmissä riippuen siitä, kuinka monta järjestelmää sinulla on yhteensä.
Huomautus
Suojaustietojen päivitys (SIU) vastaa allekirjoituspäivityksiä, mikä on sama kuin määritelmäpäivitykset.
Unc-jaon luominen suojaustietoja varten
Määritä jaettu verkkotiedostoresurssi (UNC/yhdistetty asema) suojaustietojen lataamiseksi MMPC-sivustosta ajoitetun tehtävän avulla.
Luo järjestelmään, jossa haluat valmistella jaetun resurssin ja ladata päivitykset, kansio, johon tallennat komentosarjan.
Start, CMD (Run as admin) MD C:\Tool\PS-Scripts\
Luo kansio, johon allekirjoituspäivitykset tallennetaan.
MD C:\Temp\TempSigs\x64 MD C:\Temp\TempSigs\x86
PowerShell-komentosarjan määrittäminen
CopySignatures.ps1
Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"
Määritä ajoitettu tehtävä komentorivin avulla.
Huomautus
Päivityksiä on kahdenlaisia: full ja delta.
X64 delta:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
X64 täynnä:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
X86 delta:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
X86 täynnä:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Huomautus
Kun ajoitetut tehtävät on luotu, ne löytyvät Tehtävien ajoitus -kohdasta kohdasta
Microsoft\Windows\Windows Defender
.Suorita kukin tehtävä manuaalisesti ja varmista, että seuraavissa kansioissa on tietoja (
mpam-d.exe
,mpam-fe.exe
janis_full.exe
) (olet ehkä valinnut eri sijainteja):C:\Temp\TempSigs\x86
C:\Temp\TempSigs\x64
Jos ajoitettu tehtävä epäonnistuu, suorita seuraavat komennot:
C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
Huomautus
Ongelmat voivat johtua myös suorituskäytännöstä.
Luo jako, joka osoittaa kohteeseen
C:\Temp\TempSigs
(esim.\\server\updates
).Huomautus
Todennetuilla käyttäjillä on oltava vähintään lukuoikeudet. Tämä vaatimus koskee myös toimialuetietokoneita, jakoa ja NTFS:ää (suojaus).
Määritä käytännön jakosijainnin arvoksi jako.
Huomautus
Älä lisää x64 (tai x86) -kansiota polkuun. mpcmdrun.exe lisätään automaattisesti.
Pilottiympäristön (UAT/Test/QA) määrittäminen
Tässä osiossa kuvataan UAT-pilottikokeilun/ testi-/QA-ympäristön määritysprosessi noin 10–500 Windows- ja/tai Windows Server -järjestelmissä sen mukaan, kuinka monta järjestelmää teillä kaikilla on yhteensä.
Huomautus
Jos käytössäsi on Citrix-ympäristö, ota mukaan vähintään 1 Citrix VM (ei-pysyvä) ja/ tai (pysyvä)
Luo ryhmäkäytäntöjen hallintakonsolissa (GPMC, GPMC.msc) Microsoft Defenderin virustentorjuntakäytäntö tai liitä se siihen.
Muokkaa Microsoft Defenderin virustentorjuntakäytäntöä. Voit esimerkiksi muokata MDAV_Settings_Pilot. Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defenderin virustentorjunta. Aiheeseen liittyviä vaihtoehtoja on kolme:
Ominaisuus Pilottijärjestelmiä koskeva suositus Valitse kanava Microsoft Defenderin päivittäisille tietoturvatietopäivityksille Nykyinen kanava (vaiheitettu) Valitse Microsoft Defenderin kuukausittaisten moduulipäivitysten kanava Beetakanava Valitse Microsoft Defenderin kuukausittaisten käyttöympäristöpäivitysten kanava Beetakanava Kolme vaihtoehtoa näytetään seuraavassa kuvassa.
Lisätietoja on artikkelissa Microsoft Defender -päivitysten vaiheittaisten käyttöönottoprosessien hallinta.
Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defenderin virustentorjunta.
Jos kyseessä on tiedustelupäivitys , kaksoisnapsauta Valitse kanava Microsoft Defenderin kuukausittaisille tiedustelupäivityksille.
Valitse Valitse kanava Microsoft Defenderin kuukausittaisille tiedustelupäivityksille -sivulla Käytössä ja valitse Asetukset-kohdastaNykyinen kanava (vaiheittaiset).
Valitse Käytä ja valitse sitten OK.
Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defenderin virustentorjunta.
Jos kyseessä on moduulipäivitys , kaksoisnapsauta Valitse kanava Microsoft Defenderin kuukausittaisille moduulipäivityksille.
Valitse Valitse kanava Microsoft Defenderin kuukausittaisille käyttöympäristöpäivityksille -sivulla Käytössä ja valitse asetukset-kohdastaBeetakanava.
Valitse Käytä ja valitse sitten OK.
Jos kyseessä on käyttöympäristöpäivitys , kaksoisnapsauta Valitse kanava Microsoft Defenderin kuukausittaisille ympäristöpäivityksille.
Valitse Valitse kanava Microsoft Defenderin kuukausittaisille käyttöympäristöpäivityksille -sivulla Käytössä ja valitse asetukset-kohdastaBeetakanava. Nämä kaksi asetusta näkyvät seuraavassa kuvassa:
Valitse Käytä ja valitse sitten OK.
Aiheeseen liittyviä artikkeleita
- Virustentorjuntaprofiilit – Microsoft Intunen hallitsemat laitteet
- Microsoft Defenderin päivitystoiminnan hallinta päätepisteen suojauksen virustentorjuntakäytännön avulla (esikatselu)
- Microsoft Defender -päivitysten vaiheittaisten käyttöönottoprosessien hallinta
Tuotantoympäristön määrittäminen
Siirry ryhmäkäytäntöjen hallintakonsolissa (GPMC, GPMC.msc) kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defenderin virustentorjunta.
Määritä kolme käytäntöä seuraavasti:
Ominaisuus Tuotantojärjestelmiä koskeva suositus Huomautuksia Valitse kanava Microsoft Defenderin päivittäisille tietoturvatietopäivityksille Nykyinen kanava (laaja) Tämän asetuksen avulla löydät FP:n kolmen tunnin ajan ja estät tuotantojärjestelmiä saamasta yhteensopimatonta allekirjoituspäivitystä. Valitse Microsoft Defenderin kuukausittaisten moduulipäivitysten kanava Kriittinen – Viive Päivitykset viivästyvät kahdella päivällä. Valitse Microsoft Defenderin kuukausittaisten käyttöympäristöpäivitysten kanava Kriittinen – Viive Päivitykset viivästyvät kahdella päivällä. Jos kyseessä on tiedustelupäivitys , kaksoisnapsauta Valitse kanava Microsoft Defenderin kuukausittaisille tiedustelupäivityksille.
Valitse Valitse kanava Microsoft Defenderin kuukausittaisille tiedustelupäivityksille -sivulla Käytössä ja valitse Asetukset-kohdastaNykyinen kanava (laaja).
Valitse Käytä ja valitse sitten OK.
Jos kyseessä on moduulipäivitys , kaksoisnapsauta Valitse kanava Microsoft Defenderin kuukausittaisille moduulipäivityksille.
Valitse Valitse kanava Microsoft Defenderin kuukausittaisille käyttöympäristöpäivityksille -sivulla Käytössä ja valitse Asetukset-kohdastaKriittinen – Aikaviive.
Valitse Käytä ja valitse sitten OK.
Jos kyseessä on käyttöympäristöpäivitys , kaksoisnapsauta Valitse kanava Microsoft Defenderin kuukausittaisille ympäristöpäivityksille.
Valitse Valitse kanava Microsoft Defenderin kuukausittaisille käyttöympäristöpäivityksille -sivulla Käytössä ja valitse Asetukset-kohdastaKriittinen – Aikaviive.
Valitse Käytä ja valitse sitten OK.
Jos kohtaat ongelmia
Jos käyttöönotossa ilmenee ongelmia, luo tai liitä Microsoft Defenderin virustentorjuntakäytäntö:
Luo ryhmäkäytäntöjen hallintakonsolissa (GPMC, GPMC.msc) Microsoft Defenderin virustentorjuntakäytäntö tai liitä se seuraavaan asetukseen:
Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defenderin virustentorjunta> (järjestelmänvalvojan määrittämä) PolicySettingName. Voit esimerkiksi MDAV_Settings_Production, napsauttaa hiiren kakkospainiketta ja valita sitten Muokkaa. MDAV_Settings_Production muokkaaminennäkyy seuraavassa kuvassa:
Valitse Määritä lähteiden järjestys suojaustietojen päivitysten lataamista varten.
Valitse Käytössä-valintanappi.
Muuta kohdassa Asetukset:, vaihda merkinnäksi FileShares, valitse Käytä ja valitse sitten OK. Tämä muutos näkyy seuraavassa kuvassa:
Valitse Määritä lähteiden järjestys suojaustietojen päivitysten lataamista varten.
Valitse valintanappi nimeltä Poistettu käytöstä, valitse Käytä ja valitse sitten OK. Käytöstä poistettu -vaihtoehto näkyy seuraavassa kuvassa:
Muutos on aktiivinen ryhmäkäytäntöä päivitettäessä. Ryhmäkäytännön päivittämiseen on kaksi tapaa:
- Suorita komentoriviltä ryhmäkäytännön päivityskomento. Suorita esimerkiksi
gpupdate / force
. Lisätietoja on kohdassa gpupdate - Odota, että ryhmäkäytäntö päivittyy automaattisesti. Ryhmäkäytäntö päivitetään 90 minuutin välein +/- 30 minuutin välein.
Jos sinulla on useita toimialueita, pakota replikointi tai odota 10-15 minuuttia. Pakota sitten ryhmäkäytännön päivitys ryhmäkäytännön hallintakonsolista.
Napsauta hiiren kakkospainikkeella organisaatioyksikköä (OU), joka sisältää koneet (esimerkiksi työpöydät), valitse Ryhmäkäytännön päivitys. Tämä käyttöliittymäkomento vastaa gpupdate.exe /force-toiminnon tekemistä jokaisessa OU:n koneessa. Ominaisuus, joka pakottaa ryhmäkäytännön päivittymään, näkyy seuraavassa kuvassa:
- Suorita komentoriviltä ryhmäkäytännön päivityskomento. Suorita esimerkiksi
Kun ongelma on ratkaistu, aseta allekirjoituksen päivityksen varatilaus takaisin alkuperäiseen asetukseen.
InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare
.
Tutustu myös seuraaviin ohjeartikkeleihin:
Microsoft Defenderin virustentorjuntaringin käyttöönoton yleiskatsaus