Microsoft Defenderin virustentorjunnan suojauspäivitysten lähteiden hallinta

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defenderin virustentorjunta

Käyttöympäristöt

• Windows

Virustentorjunnan pitäminen ajan tasalla on erittäin tärkeää. Microsoft Defender virustentorjunnan suojauspäivitysten hallintaan on kaksi osaa:

• Mistä päivitykset ladataan; Ja
• Kun päivitykset ladataan ja otetaan käyttöön.

Tässä artikkelissa kuvataan, miten määritetään, mistä päivitykset ladataan (tätä määritystä kutsutaan myös varajärjestykseksi). Yleiskatsaus päivitysten toiminnasta ja päivitysten muiden ominaisuuksien (kuten päivitysten ajoittaminen) Microsoft Defender virustentorjuntapäivitysten hallinta ja perusaikataulujen käyttöönotto -artikkelista.

Tärkeää

Microsoft Defender virustentorjuntaOhjelman suojaustietojen päivitykset ja käyttöympäristöpäivitykset toimitetaan Windows Update kautta ja maanantaista 21.10.2019 alkaen kaikki suojaustietojen päivitykset on allekirjoitettu yksinomaan SHA-2:ssa. Laitteet on päivitettävä SHA-2:n tukemiseksi, jotta suojaustiedot voidaan päivittää. Lisätietoja on artikkelissa 2019 SHA-2-koodin allekirjoituksen tukivaatimus Windowsille ja WSUS:lle.

Varajärjestys

Yleensä päätepisteet määritetään lataamaan päivitykset yksitellen ensisijaisesta lähteestä ja muut lähteet tärkeysjärjestyksessä verkkomäärityksen mukaan. Päivitykset haetaan lähteistä määrittämässäsi järjestyksessä. Jos nykyisen lähteen päivitykset ovat vanhentuneita, luettelon seuraavaa lähdettä käytetään heti.

Kun päivitykset julkaistaan, jotkin logiikat otetaan käyttöön päivityksen koon minimoimiseksi. Useimmissa tapauksissa vain viimeisimmän päivityksen ja tällä hetkellä asennetun päivityksen väliset erot (eroavaisuuksia kutsutaan deltaksi) laitteessa ladataan ja otetaan käyttöön. Deltan koko riippuu kuitenkin kahdesta päätekijästä:

• Laitteen viimeisimmän päivityksen ikä; Ja
• Päivitysten lataamiseen ja soveltamiseen käytettävä lähde.

Mitä vanhemmat päivitykset päätepisteessä ovat, sitä suurempi lataus on. Sinun on kuitenkin otettava huomioon myös lataustiheys. Yleisempi päivitysaikataulu voi lisätä verkon käyttöä, kun taas harvempi aikataulu voi johtaa suurempiin tiedostokokoihin latausta kohden.

Voit määrittää viidessä sijainnissa, mistä päätepisteen tulisi saada päivitykset:

• Microsoft Update
• Windows Server Update -palvelu (katso alla oleva huomautus 1)
• Microsoft Endpoint Configuration Manager
• Jaettu verkkotiedostoresurssi
• Microsoft Defender virustentorjunnan ja muiden Microsoftin haittaohjelmien torjuntatietojen päivitykset (katso alla oleva huomautus 2)

Huomautus

1. Intune sisäisen määrityksen päivityspalvelin. Jos käytät SCCM/SUP-sovellusta Microsoft Defender virustentorjunnan määrityspäivitysten saamiseen ja sinun on käytettävä Windows Update estetyissä asiakaslaitteissa, voit siirtyä päätepisteen suojauskuormituksen yhteishallintaan ja poistaa sen käytöstä Intune. Intune määritetyssä haittaohjelmien torjuntakäytännössä on "sisäisen määrityksen päivityspalvelin" -asetus, jonka voit määrittää käyttämään paikallista WSUS:a päivityslähteenä. Tämän määrityksen avulla voit hallita, mitkä virallisen WU-palvelimen päivitykset hyväksytään yritykseen, ja auttaa myös välityspalvelimessa ja tallentamaan verkkoliikennettä windows Päivitykset viralliseen verkkoon.

2. Käytännöllä ja rekisterillä saattaa olla tämä luettelo Microsoft Malware Protection Centerin (MMPC) suojaustietoina, sen entisenä nimenä.

Parhaan suojaustason varmistamiseksi Microsoft Update mahdollistaa nopeat julkaisut, mikä tarkoittaa pienempiä latauksia usein. Windows Server Update -palvelu, Microsoft-Configuration Manager, Microsoftin tietoturvatietojen päivitykset ja käyttöympäristöpäivitysten lähteet tarjoavat harvemmin päivityksiä. Näin ollen delta voi olla suurempi, mikä aiheuttaa suurempia latauksia.

Ympäristöpäivitykset ja moduulipäivitykset julkaistaan kuukausittain. Tietoturvatietojen päivitykset toimitetaan useita kertoja päivässä, mutta tämä deltapaketti ei sisällä moduulipäivitystä. Katso Microsoft Defender virustentorjunnan suojaustiedot ja tuotepäivitykset.

Tärkeää

Jos olet määrittänyt Microsoftin tietoturvatietosivun päivitykset varalähteeksi Windows Server Update Servicen tai Microsoft Updaten jälkeen, päivitykset ladataan tietoturvatietojen päivityksistä ja käyttöympäristön päivityksistä vain, kun nykyistä päivitystä pidetään vanhentuneena. (Oletusarvoisesti tämä on seitsemänä peräkkäisenä päivänä siitä, kun Windows Server Update -palvelun tai Microsoft Update -palveluiden päivityksiä ei voida ottaa käyttöön). Voit kuitenkin määrittää, kuinka monta päivää ennen kuin suojaus ilmoitetaan vanhentuneeksi.

Maanantaista 21.10.2019 alkaen tietoturvatietojen päivitykset ja käyttöympäristöpäivitykset on allekirjoitettu yksinomaan SHA-2:lla. Laitteet on päivitettävä SHA-2:n tukemiseksi, jotta uusimmat tietoturvatiedot ja käyttöympäristöpäivitykset voidaan saada. Lisätietoja on artikkelissa 2019 SHA-2-koodin allekirjoituksen tukivaatimus Windowsille ja WSUS:lle.

Jokaisessa lähteessä on tyypillisiä skenaarioita, jotka riippuvat verkon kokoonpanosta päivitysten julkaisemisen lisäksi seuraavassa taulukossa kuvatulla tavalla:

Sijainti	Esimerkkiskenaario
Windows Server Update -palvelu	Käytät Windows Server Update -palvelua verkon päivitysten hallintaan.
Microsoft Update	Haluat päätepisteiden muodostavan yhteyden suoraan Microsoft Updateen. Tästä on hyötyä päätepisteissä, jotka muodostavat epäsäännöllisen yhteyden yrityksen verkkoon, tai jos et hallitse päivityksiäsi Windows Server Update Servicen avulla.
Jaettu tiedostoresurssi	Sinulla on ei-Internetiin yhdistettyjä laitteita (kuten näennäiskoneita). Internetiin yhdistetyn näennäiskoneen isännän avulla voit ladata päivitykset jaettuun verkkoresurssiin, josta näennäiskoneet voivat hankkia päivitykset. VDI-käyttöönotto-oppaassa kerrotaan, miten jaettuja tiedostoja käytetään näennäistyöpöydän infrastruktuurin (VDI) ympäristöissä.
Microsoft Configuration Manager	Käytät Microsoft Configuration Manager päätepisteiden päivittämiseen.
Microsoft Defender virustentorjuntaohjelman ja muiden Microsoftin haittaohjelmien torjuntaohjelmien (aiemmin MMPC) suojaustietojen päivitykset ja ympäristöpäivitykset	Varmista, että laitteesi on päivitetty tukemaan SHA-2:ta. Microsoft Defender virustentorjunnan suojaustiedot ja käyttöympäristöpäivitykset toimitetaan Windows Update kautta, ja maanantaista 21.10.2019 alkaen tietoturvatietojen päivitykset ja käyttöympäristöpäivitykset on allekirjoitettu yksinomaan SHA-2:lla. Lataa uusimmat suojauspäivitykset viimeaikaisen tartunnan vuoksi tai valmistele vahva peruskuva VDI-käyttöönottoa varten. Tätä asetusta tulisi yleensä käyttää vain viimeisenä varalähteenä, ei ensisijaisena lähteenä. Sitä käytetään vain, jos päivityksiä ei voida ladata Windows Server Update -palvelusta tai Microsoft Updatesta määritettyyn määrään päiviä.

Voit hallita järjestystä, jossa päivityslähteitä käytetään ryhmäkäytäntö, Microsoftin päätepisteen Configuration Manager, PowerShellin cmdlet-komentojen ja WMI:n kanssa.

Tärkeää

Jos määrität Windows Server Update -palvelun lataussijainniksi, sinun on hyväksyttävä päivitykset riippumatta siitä, millä hallintatyökalulla määrität sijainnin. Voit määrittää Windows Server Update -palvelussa automaattisen hyväksyntäsäännön, josta voi olla hyötyä, kun päivitykset saapuvat vähintään kerran päivässä. Lisätietoja on ohjeaiheessa Päätepisteiden suojauspäivitysten synkronointi erillisessä Windows Server Update -palvelussa.

Tämän artikkelin toimintosarjoissa kuvataan ensin, miten määritetään järjestys ja miten tiedostoresurssiasetus määritetään, jos olet ottanut sen käyttöön.

Päivityssijainnin hallinta ryhmäkäytäntö avulla

1. Avaa ryhmäkäytäntö hallintakoneessa ryhmäkäytäntö hallintakonsoli, napsauta hiiren kakkospainikkeella ryhmäkäytäntö Objekti, jonka haluat määrittää, ja valitse sitten Muokkaa.

2. Siirry ryhmäkäytäntö Management -Kirjoitusavustaja kohtaan Tietokoneen määritykset.

3. Valitse Käytännöt ja sitten Hallintamallit.

4. Laajenna puu Windows-osiin>Windows Defender>Määritä päivitykset ja määritä sitten seuraavat asetukset:

   1. Muokkaa Määritä lähteiden järjestys suojaustietojen päivitysten lataamista varten -asetusta. Määritä asetuksen arvoksi Käytössä.

   2. Määritä lähteiden järjestys yhdellä putkella erotettuna, esimerkiksi , InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPCseuraavassa näyttökuvassa esitetyllä tavalla.

      

   3. Valitse OK. Tämä toiminto määrittää suojauspäivityslähteiden järjestyksen.

   4. Muokkaa Määritä tiedostojaetut-asetusta suojaustietojen päivitysten lataamista varten ja määritä sitten asetukseksi Käytössä.

   5. Määritä jaetun tiedostoresurssin lähde. Jos sinulla on useita lähteitä, määritä kukin lähde siinä järjestyksessä, jossa niitä tulee käyttää, yhdellä putkella erotettuina. Käytä tavallista UNC-merkintätapaa polun merkintöjä varten, esimerkiksi: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name. Jos et anna polkuja, tämä lähde ohitetaan, kun näennäiskone lataa päivitykset.

   6. Valitse OK. Tämä toiminto määrittää jaettujen tiedostolähteiden järjestyksen, kun lähteeseen viitataan Määritä lähteiden järjestys... -ryhmäkäytäntöasetuksessa.

Huomautus

Windows 10 versiossa 1703 – ja 1809 käytäntöpolku on Windowsin osat > Microsoft Defender virustentorjunta > Allekirjoitus Päivitykset Windows 10 versiossa 1903 käytäntöpolku on Windowsin osat > Microsoft Defender Virustentorjunnan > suojaustietojen Päivitykset

Päivityssijainnin hallinta Configuration Manager avulla

Lisätietoja Microsoft Configuration Manager (nykyisen haaran) määrittämisestä on kohdassa Suojaustietojen Päivitykset määrittäminen Endpoint Protectionille.

Päivityssijainnin hallinta PowerShellin cmdlet-komentojen avulla

Määritä päivitysjärjestys seuraavien PowerShellin cmdlet-komentojen avulla.

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

Lisätietoja on seuraavissa artikkeleissa:

• Set-MpPreference –SignatureFallbackOrder
• Set-MpPreference -SignatureDefinitionUpdateFileSharesSource
• Määritä ja suorita Microsoft Defender virustentorjunta PowerShellin cmdlet-komentojen avulla
• Defenderin virustentorjunnan cmdlet-komennot

Päivityssijainnin hallinta Windowsin hallintaohjeiden (WMI) avulla

Käytä MSFT_MpPreference luokan Set-menetelmää seuraavissa ominaisuuksissa:

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

Lisätietoja on seuraavissa artikkeleissa:

• Windows Defender WMIv2-ohjelmointirajapinnat

Päivityssijainnin hallinta mobiilikäytön Laitteiden hallinta (MDM) avulla

Lisätietoja MDM:n määrittämisestä on artikkelissa Käytäntöjen CSP – Defender/SignatureUpdateFallbackOrder .

Entä jos käytössä on kolmannen osapuolen toimittaja?

Tässä artikkelissa kerrotaan, miten voit määrittää ja hallita Microsoft Defender virustentorjuntaohjelman päivityksiä. Voit kuitenkin palkata kolmannen osapuolen toimittajia suorittamaan näitä tehtäviä.

Oletetaan esimerkiksi, että Contoso on palkannut Fabrikamin hallitsemaan suojausratkaisuaan, joka sisältää Microsoft Defender virustentorjuntaa. Fabrikam käyttää yleensä Windows Management Instrumentationia, PowerShellin cmdlet-komentoja tai Windowsin komentoriviä korjaustiedostojen ja päivitysten käyttöönottoon.

Huomautus

Microsoft ei testaa kolmannen osapuolen ratkaisuja Microsoft Defender virustentorjunnan hallintaan.

Unc-jaon luominen suojaustietoja ja käyttöympäristöpäivityksiä varten

Määritä verkkotiedostoresurssi (UNC/yhdistetty asema) suojaustietojen ja käyttöympäristöpäivitysten lataamiseksi MMPC-sivustosta ajoitetun tehtävän avulla.

1. Luo komentosarjalle kansio järjestelmään, jolle haluat valmistella jaetun resurssin ja ladata päivitykset.

   Start, CMD (Run as admin)
   MD C:\Tool\PS-Scripts\
   

2. Luo kansio allekirjoituspäivityksiä varten.

   MD C:\Temp\TempSigs\x64
   MD C:\Temp\TempSigs\x86
   

3. Lataa PowerShell-komentosarja www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.

4. Valitse Manuaalinen lataaminen.

5. Valitse Lataa raaka nupkg-tiedosto.

6. Pura tiedosto.

7. Kopioi tiedosto SignatureDownloadCustomTask.ps1 aiemmin luomaasi kansioon. C:\Tool\PS-Scripts\

8. Määritä ajoitettu tehtävä komentorivin avulla.

   Huomautus

   Päivityksiä on kahdenlaisia: full ja delta.

   • X64 delta:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   • X64 täynnä:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   • X86 delta:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   • X86 täynnä:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   Huomautus

   Kun ajoitetut tehtävät on luotu, ne löytyvät Tehtävien ajoitus -kohdasta kohdasta Microsoft\Windows\Windows Defender.

9. Suorita kukin tehtävä manuaalisesti ja varmista, että seuraavissa kansioissa on tietoja (mpam-d.exe, mpam-fe.exeja nis_full.exe) (olet ehkä valinnut eri sijainteja):

   • C:\Temp\TempSigs\x86
   • C:\Temp\TempSigs\x64

   Jos ajoitettu tehtävä epäonnistuu, suorita seuraavat komennot:

   C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
   
   C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
   
   C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
   
   C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
   

10. Luo jako, joka osoittaa kohteeseen C:\Temp\TempSigs (esimerkiksi \\server\updates).

    Huomautus

    Todennetuilla käyttäjillä on oltava vähintään lukuoikeudet. Tämä vaatimus koskee myös toimialuetietokoneita, jakoa ja NTFS:ää (suojaus).

11. Määritä käytännön jakosijainnin arvoksi jako.

    Huomautus

    Älä lisää x64 (tai x86) -kansiota polkuun. mpcmdrun.exe lisätään automaattisesti.

Aiheeseen liittyviä artikkeleita

• Ota Microsoft Defender virustentorjunta käyttöön
• Microsoft Defender virustentorjuntapäivitysten hallinta ja perusaikataulujen käyttäminen
• Vanhentuneiden päätepisteiden päivitysten hallinta
• Hallitse tapahtumapohjaisia pakotettuja päivityksiä
• Mobiililaitteiden ja näennäiskoneiden päivitysten hallinta
• Microsoft Defender virustentorjuntaohjelma Windows 10

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.