Partager via

déploiement en anneau de production de l’antivirus Microsoft Defender à l’aide de stratégie de groupe et de Windows Server Update Services

S’applique à :

  • Microsoft Defender pour point de terminaison pour les serveurs
  • Microsoft Defender pour serveurs Plan 1 ou Plan 2
  • Antivirus Microsoft Defender

Plateformes

  • Windows
  • Windows Server

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Microsoft Defender pour point de terminaison est une plate-forme de sécurité de point de terminaison d’entreprise conçue pour aider les réseaux d’entreprise à prévenir, détecter, examiner et répondre aux menaces avancées.

Conseil

Microsoft Defender pour point de terminaison est disponible en deux plans : Defender pour point de terminaison Plan 1 et Plan 2. Un nouveau module complémentaire de Gestion des vulnérabilités de Microsoft Defender est désormais disponible pour le plan 2.

Avant de commencer

Cet article suppose que vous avez de l’expérience avec Windows Server Update Services (WSUS) et/ou que WSUS est déjà installé. Si vous n’êtes pas déjà familiarisé avec WSUS, consultez les articles suivants pour plus d’informations sur la configuration :

  • Configurer WSUS - S’applique à : Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 et Windows Server 2012
  • [Configurer Windows Server Update Services (WSUS) dans Analytics Platform System][/sql/analytics-platform-system/configure-windows-server-update-services-wsus.md] - Analytics Platform System

Configuration de l’environnement de production

Cette section fournit des informations sur la configuration de l’environnement de production à l’aide de stratégie de groupe et Windows Server Update Services (WSUS).

Capture d’écran montrant un exemple de planification de déploiement en anneau pour stratégie de groupe avec des environnements WSUS.

Remarque

La mise à jour de veille de sécurité (SIU) équivaut aux mises à jour de signature, qui sont identiques aux mises à jour de définition.

  1. Dans le volet gauche de Gestionnaire de serveur, sélectionnezOutils>de tableau de bord>Windows Server Update Services.

    Remarque

    Si la boîte de dialogue Terminer l’installation de WSUS s’affiche , sélectionnez Exécuter. Dans la boîte de dialogue Terminer l’installation de WSUS , sélectionnez Fermer une fois l’installation terminée.

  2. L’Assistant Configuration WSUS s’ouvre. Dans la page Avant de commencer, passez en revue les informations, puis sélectionnez Suivant.

  3. Lisez les instructions de la page Rejoindre le programme d’amélioration de Microsoft Update . Conservez la sélection par défaut si vous souhaitez participer au programme, ou décochez la case si ce n’est pas le cas. Ensuite, sélectionnez Suivant.

  4. Dans la page Choisir un serveur en amont, sélectionnez Synchroniser à partir d’un autre serveur Windows Server Update Services.

    • Dans Nom du serveur, entrez le nom du serveur. Par exemple, tapez YR2K19.
    • Dans Numéro de port, entrez le port sur lequel ce serveur communique avec le serveur amont. Par exemple, tapez 8530.

    Cela est illustré dans la figure suivante.

    Capture d’écran montrant une capture d’écran de la console du composant logiciel enfichable Update Services, page Choisir le serveur en amont.

  5. Sélectionnez Suivant.

    Un serveur en aval autonome, comme un serveur réplica, utilise également un autre serveur WSUS comme dépôt master, mais autorise des approbations individuelles pour les mises à jour différentes des approbations du master. Le serveur autonome :

    • Offre une certaine flexibilité dans la création de groupes d’ordinateurs
    • Il n’est pas obligé d’être dans la même forêt Active Directory que le master

  6. (Facultatif, selon la configuration) Dans la page Spécifier le serveur proxy , cochez la case Utiliser un serveur proxy lors de la synchronisation . Entrez ensuite le nom du serveur proxy et le numéro de port (port 80 par défaut) dans les zones correspondantes.

    Importante

    Vous devez effectuer cette étape si vous avez identifié que WSUS a besoin d’un serveur proxy pour avoir accès à Internet.

    • Si vous souhaitez vous connecter au serveur proxy à l’aide d’informations d’identification utilisateur spécifiques, cochez la case Utiliser les informations d’identification de l’utilisateur pour vous connecter au serveur proxy . Entrez ensuite le nom d’utilisateur, le domaine et le mot de passe de l’utilisateur dans les zones correspondantes.
    • Si vous souhaitez activer l’authentification de base pour l’utilisateur qui se connecte au serveur proxy, cochez la case Autoriser l’authentification de base (le mot de passe est envoyé en texte clair).

    Sélectionnez Suivant.

  7. Dans la page Se connecter au serveur en amont , sélectionnez Démarrer la connexion. Lorsque WSUS se connecte au serveur, sélectionnez Suivant.

  8. Dans la page Choisir les langues , vous pouvez sélectionner les langues à partir desquelles WSUS reçoit les mises à jour : toutes les langues ou un sous-ensemble de langues. La sélection d’un sous-ensemble de langues permet d’économiser de l’espace disque, mais il est important de choisir toutes les langues dont tous les clients ont besoin sur ce serveur WSUS.

    Si vous choisissez d’obtenir des mises à jour uniquement pour des langues spécifiques, sélectionnez Télécharger les mises à jour uniquement dans ces langues, puis sélectionnez les langues pour lesquelles vous souhaitez des mises à jour. Sinon, conservez la sélection par défaut.

    Avertissement

    Si vous sélectionnez l’option Télécharger les mises à jour uniquement dans ces langues et qu’un serveur WSUS en aval est connecté au serveur, cette option force le serveur en aval à utiliser uniquement les langues sélectionnées.

    Après avoir sélectionné les options de langue pour votre déploiement, sélectionnez Suivant.

  9. La page Définir la planification de synchronisation s’ouvre. (Les pages Choisir des produits et Choisir des classifications sont grisées et ne peuvent pas être configurées).

    • Sélectionnez Synchroniser automatiquement, le serveur WSUS se synchronise à intervalles définis.
    • Dans Première synchronisation , spécifiez une heure pour la première synchronisation. Par exemple, sélectionnez 17:00:00.
    • Dans Synchronisations par jour, spécifiez le nombre de fois où vous souhaitez que les synchronisations se produisent. Par exemple, sélectionnez 1, puis Suivant.

  10. Dans la page Terminé , sélectionnez Suivant.

  11. Dans la page What’s next ( What’s next ), sélectionnez Next (Suivant ) pour terminer.

Définir l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité

  1. Sur votre ordinateur de gestion stratégie de groupe, ouvrez la console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet stratégie de groupe que vous souhaitez configurer, puis sélectionnez Modifier.

  2. Dans le Rédacteur Gestion des stratégie de groupe, accédez à Configuration de l’ordinateur, sélectionnez Stratégies, puis Modèles d’administration.

  3. Développez l’arborescence des composants Windows Mises>à jour de la signatureWindows Defender>.

    • Double-cliquez sur le paramètre Définir l’ordre des sources pour le téléchargement des mises à jour security intelligence et définissez l’option sur Activé.

    • Dans Options, tapez InternalDefinitionUpdateServer, puis sélectionnez OK. La page configurée Définir l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité est illustrée dans la figure suivante.

      Capture d’écran montrant une capture d’écran des résultats d’une recherche de catalogue Microsoft Update pour KB4052623.

  4. Dans Définir l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité, sélectionnez Activé. Dans Options, entrez l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité. Par exemple, tapez InternalDefinitionUpdateServer.

Si vous rencontrez des problèmes

Si vous rencontrez des problèmes avec votre déploiement, créez ou ajoutez votre stratégie antivirus Microsoft Defender :

  1. Dans stratégie de groupe Console de gestion (GPMC, GPMC.msc), créez ou ajoutez-y votre stratégie antivirus Microsoft Defender à l’aide du paramètre suivant :

    Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus> (défini par l’administrateur) PolicySettingName. Par exemple, MDAV_Settings_Production, cliquez avec le bouton droit, puis sélectionnez Modifier. Modifier pour MDAV_Settings_Production est illustré dans la figure suivante :

    Capture d’écran montrant une capture d’écran de l’option De modification de la stratégie antivirus Microsoft Defender définie par l’administrateur.

  2. Sélectionnez Définir l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité.

  3. Sélectionnez la case d’option nommée Activé.

  4. Sous Options, remplacez l’entrée par Partages de fichiers, sélectionnez Appliquer, puis OK. Cette modification est illustrée dans la figure suivante :

    Capture d’écran montrant une capture d’écran de la page Définir l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité.

  5. Sélectionnez Définir l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité.

  6. Sélectionnez la case d’option désactivée, sélectionnez Appliquer, puis OK. L’option disabled est illustrée dans la figure suivante :

    Capture d’écran montrant une capture d’écran de la page Définir l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité avec les mises à jour security Intelligence désactivées.

  7. La modification est active lorsque stratégie de groupe mises à jour. Il existe deux méthodes pour actualiser stratégie de groupe :

    • À partir de la ligne de commande, exécutez la commande stratégie de groupe update. Par exemple, exécutez gpupdate / force. Pour plus d’informations, consultez gpupdate.
    • Attendez que stratégie de groupe s’actualise automatiquement. stratégie de groupe actualise toutes les 90 minutes +/- 30 minutes.

    Si vous avez plusieurs forêts/domaines, forcez la réplication ou attendez 10 à 15 minutes. Ensuite, forcez une mise à jour stratégie de groupe à partir de la console de gestion stratégie de groupe.

    • Cliquez avec le bouton droit sur une unité d’organisation (UO) qui contient les machines (par exemple, Ordinateurs de bureau), sélectionnez stratégie de groupe Mise à jour. Cette commande d’interface utilisateur équivaut à effectuer une gpupdate.exe /force sur chaque ordinateur de cette unité d’organisation. La fonctionnalité permettant de forcer stratégie de groupe à actualiser est illustrée dans la figure suivante :

      Capture d’écran montrant une capture d’écran de la console de gestion stratégie de groupe, à l’origine d’une mise à jour forcée.

  8. Une fois le problème résolu, définissez l’ordre de secours de mise à jour des signatures sur le paramètre d’origine. InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC|FileShare.

Voir aussi