Comment configurer les mises à jour de définition pour Endpoint Protection dans Configuration Manager
S'applique à: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1
Avec Endpoint Protection dans Microsoft System Center 2012 Configuration Manager, vous pouvez utiliser une des méthodes disponibles pour maintenir à jour les définitions de logiciels anti-programmes malveillants sur les ordinateurs clients de votre hiérarchie. Les informations contenues dans cette rubrique peuvent vous aider à sélectionner et configurer ces méthodes.
Pour mettre à jour des définitions de logiciels anti-programme malveillant, vous pouvez utiliser une ou plusieurs des méthodes suivantes :
Mises à jour distribuées depuis Configuration Manager – cette méthode utilise Configuration Manager mises à jour logicielles pour fournir des mises à jour de moteur et de définition aux ordinateurs de votre hiérarchie.
Mises à jour distribuées à partir de Windows Server Update Services (WSUS): cette méthode utilise l'infrastructure WSUS pour fournir des mises à jour de moteur et de définition aux ordinateurs.
Mises à jour distribuées depuis Microsoft Update – cette méthode vous permet d'accéder aux ordinateurs pour se connecter directement à Microsoft Update pour télécharger les mises à jour de moteur et de définition. Cette méthode peut être utile pour les ordinateurs qui ne sont pas souvent connectés au réseau d'entreprise.
Mises à jour distribuées depuis Microsoft Malware Protection Center – cette méthode téléchargera les mises à jour de définition à partir de Microsoft Malware Protection Center.
Mises à jour à partir de partages de fichiers UNC – avec cette méthode, vous pouvez enregistrer les dernières mises à jour de moteur et de définition dans un partage sur le réseau. Les clients peuvent accéder ensuite le réseau pour installer les mises à jour.
Vous pouvez configurer plusieurs sources de mise à jour de définition et contrôler l'ordre dans lequel ils sont évaluées et appliquées. Cette opération est effectuée le configurer des Sources de mise à jour de définition boîte de dialogue lorsque vous créez une stratégie anti-programme malveillant.
Important
Si vous gérez des ordinateurs Windows 10 Technical Preview, vous devez configurer Endpoint Protection pour mettre à jour les définitions de programmes malveillants de Windows Defender.
Comment configurer des Sources de mise à jour de définition
Utilisez la procédure suivante pour configurer les sources de mise à jour de définition à utiliser pour chaque stratégie anti-programme malveillant.
Pour configurer des sources de mise à jour de définition
-
Dans la console Configuration Manager, cliquez sur Ressources et Conformité.
-
Dans le biens et conformité espace de travail, développez Endpoint Protection, puis cliquez sur stratégies anti-programme malveillant.
-
Ouvrez la page de propriétés de la stratégie anti-programme malveillant par défaut ou créer une nouvelle stratégie contre les logiciels malveillants. Pour plus d'informations sur la création de stratégies anti-programme malveillant, consultez Comment créer et déployer des stratégies anti-logiciels malveillants pour protéger les points de terminaison dans Configuration Manager.
-
Dans le mises à jour de définition section de la boîte de dialogue Propriétés de logiciel anti-programme malveillant, cliquez sur définir la Source.
-
Dans le configurer des Sources de mise à jour de définition boîte de dialogue, sélectionnez les sources à utiliser pour les mises à jour de définition. Vous pouvez cliquer sur des ou bas pour modifier l'ordre dans lequel ces sources sont utilisés.
-
Cliquez sur OK pour fermer la configurer des Sources de mise à jour de définition boîte de dialogue.
À l'aide des mises à jour logicielles de Configuration Manager pour fournir des mises à jour de définition
Vous pouvez configurer Configuration Manager mises à jour logicielles pour fournir des mises à jour de définition aux ordinateurs clients. Pour cela, vous devez configurer les règles de déploiement automatique. Avant de commencer à créer des règles de déploiement automatique, assurez-vous que vous avez configuré Configuration Manager mises à jour logicielles. Pour plus d'informations, voir Mises à jour logicielles dans Configuration Manager.
Notes
Cette procédure est uniquement pour les éléments qui doivent être spécialement configurés pour Endpoint Protection. Pour plus d'informations sur l'Assistant Création d'une règle de déploiement automatique, consultez Opérations et maintenance pour les mises à jour logicielles dans Configuration Manager.
Pour configurer une règle de déploiement automatique pour fournir des mises à jour de définitions
-
Dans la console Configuration Manager, cliquez sur Bibliothèque de logiciels.
-
Dans l'espace de travail Bibliothèque de logiciels, développez Mises à jour logicielles, puis cliquez sur Règles de déploiement automatique.
-
Dans l'onglet Accueil, dans le groupe Créer, cliquez sur Créer une règle de déploiement automatique.
-
Sur la page Général de l'Assistant Création d'une règle de déploiement automatique, spécifiez les informations suivantes :
- **Nom** : entrez un nom unique pour la règle de déploiement automatique. - **Regroupement** : sélectionnez le regroupement d'ordinateurs clients sur lesquels vous voulez déployer les mises à jour de définitions. <div class="alert"> > [!NOTE] > <P>Vous ne pouvez pas déployer des mises à jour de définitions dans un regroupement d'utilisateurs.</P> </div>
-
Cliquez sur Ajouter à un groupe de mises à jour logicielles existant.
-
Assurez-vous que le Activer le déploiement après l'exécution de cette règle case à cocher est sélectionnée, puis cliquez sur Suivant.
-
Sur la page Paramètres de déploiement de l'Assistant, dans la liste Niveau de détail, sélectionnez Minimal, puis cliquez sur Suivant.
Notes
À partir de la niveau de détail liste, sélectionnez minimale (Configuration Manager sans Service Pack) ou uniquement les messages d'erreur (Configuration Manager SP1). Cela réduira le nombre de messages d'état retourné par le déploiement de la définition. Cette configuration permet de réduire le traitement par le processeur sur les serveurs Configuration Manager.
-
Dans la liste Filtres de propriétés, sélectionnez la case à cocher Classification des mises à jour.
-
Dans le critères de recherche cliquez sur < éléments à rechercher >. Puis, dans le critères de recherche boîte de dialogue du spécifier la valeur à rechercher pour liste, sélectionnez mises à jour de définition de.
-
Cliquez sur OK pour fermer la boîte de dialogue Critères de recherche.
-
Dans le filtres de propriétés liste, sélectionnez le produit case à cocher.
-
Dans le critères de recherche cliquez sur < éléments à rechercher >. Puis, dans le critères de recherche boîte de dialogue du spécifier la valeur à rechercher pour liste, sélectionnez Forefront Endpoint Protection 2010 pour Windows 8.1 et versions antérieures ou Windows Defender pour Windows 10 et versions ultérieures.
-
Cliquez sur OK pour fermer la boîte de dialogue Critères de recherche, puis cliquez sur Suivant.
-
Dans le filtres de propriétés liste, sélectionnez le remplacé case à cocher.
-
Dans le critères de recherche cliquez sur < éléments à rechercher >. Puis, dans le critères de recherche boîte de dialogue du spécifier la valeur à rechercher pour liste, sélectionnez non.
-
Cliquez sur OK pour fermer la boîte de dialogue Critères de recherche, puis cliquez sur Suivant.
-
Sur le calendrier d'évaluation page de l'Assistant, sélectionnez Activer règle s'exécute sur une planification, puis configurez le calendrier selon lequel télécharger les mises à jour de définition. Au minimum, définissez la règle exécute deux heures après chaque mise à jour logicielle point de synchronisation. Cliquez sur Suivant.
Important
Pour des raisons de performances, de Configuration Manager sans Service Pack, ne planifiez pas les règles de déploiement automatique pour fournir des mises à jour des définitions plus d'une fois par jour. Dans Configuration Manager SP1, ne planifiez pas les règles de déploiement automatique pour fournir des mises à jour des définitions plus de trois fois par jour.
-
Sur la page Calendrier de déploiement de l'Assistant, configurez les paramètres suivants :
Heure basée sur : sélectionnez UTC si vous souhaitez que tous les clients dans la hiérarchie installent les dernières définitions simultanément. L'heure d'installation réelle varie dans une fenêtre de deux heures. Il est recommandé de définir ce paramètre.
Temps disponible du logiciel : Spécifiez le temps disponible pour le déploiement est créé par cette règle. L'heure spécifiée doit être au moins une heure après l'exécution de la règle de déploiement automatique. Cela permet de s'assurer que le contenu a suffisamment de temps pour répliquer vers les points de distribution de votre hiérarchie. Certaines mises à jour de définitions peuvent également inclure des mises à jour du moteur anti-programme malveillant et peuvent nécessiter plus de temps pour atteindre les points de distribution.
Échéance d'installation : Sélectionnez dès que possible.
Notes
Des délais de mise à jour logicielles sont différentes sur une période de deux heures pour empêcher tous les clients de demander une mise à jour en même temps.
-
Cliquez sur Suivant.
-
Sur le l'expérience utilisateur page de l'Assistant, dans le notifications utilisateur liste, sélectionnez Masquer dans le centre logiciel et toutes les notifications. Cela garantit que les mises à jour de définition s'installer en mode silencieux. Cliquez sur Suivant.
-
Sur le alertes page de l'Assistant, vous n'avez pas à configurer les alertes.Endpoint Protection dans Configuration Manager génère les alertes qui peuvent être requises. Cliquez sur Suivant.
-
Sur le les paramètres de téléchargement page de l'Assistant, sélectionnez les mises à jour logicielles nécessaires comportement de téléchargement, puis cliquez sur Suivant.
-
Sur la page Package de déploiement de l'Assistant, sélectionnez un package de déploiement existant ou créez un package de déploiement contenant les fichiers de mise à jour logicielle associés à la règle.
Notes
Envisagez de placer des mises à jour de définition dans un package qui ne contient pas d'autres mises à jour logicielles. Cette stratégie permet de conserver la taille de la définition de la mise à jour plus petits, qui lui permet de répliquer vers plus rapidement les points de distribution.
-
Sur le les Points de Distribution page de l'Assistant, sélectionnez un ou plusieurs points de distribution pour lequel le contenu de ce package sera copié, puis cliquez sur Suivant.
-
Sur le emplacement de téléchargement page de l'Assistant, sélectionnez télécharger des mises à jour logicielles à partir d'Internet, puis cliquez sur Suivant.
-
Sur le sélection de la langue page de l'Assistant, sélectionnez chaque version linguistique des mises à jour à télécharger, puis cliquez sur Suivant.
-
Terminez l'Assistant Création d'une règle de déploiement automatique.
-
Vérifiez que la nouvelle règle est affichée dans le règles de déploiement automatique nœud de la Configuration Manager console.
À l'aide de Windows Server Update Services (WSUS) pour fournir des définitions
Si vous utilisez WSUS à jour vos définitions de logiciels anti-programme malveillant, vous pouvez le configurer pour approuver automatiquement les mises à jour de définition. Bien que l'utilisation Configuration Manager mises à jour logicielles est la méthode recommandée pour les définitions de mise à jour, vous pouvez également configurer WSUS comme une méthode pour permettre aux utilisateurs de lancer manuellement la mise à jour de définition. Utilisez les procédures suivantes pour configurer WSUS comme source de mise à jour de définition.
Configuration de la synchronisation de la mise à jour
Pour configurer Configuration Manager mises à jour logicielles à synchroniser Endpoint Protection mises à jour de définitions, utilisez la procédure suivante.
Pour synchroniser les mises à jour de définitions Endpoint Protection dans Configuration Manager
-
Dans la console Configuration Manager, cliquez sur Administration.
-
Dans l'espace de travail Administration, développez Configuration du site, puis cliquez sur Sites.
-
Sélectionnez le site qui contient votre point de mise à jour logicielle. Dans le paramètres cliquez sur configurer les composants de Site, puis cliquez sur Point de mise à jour logicielle.
-
Sur le Classifications onglet de le Propriétés de composant de Point de mise à jour logicielle boîte de dialogue, sélectionnez le mises à jour de définition case à cocher.
-
Spécifiez le produits mis à jour avec WSUS :
- Pour Windows 8.1 et versions antérieures, sur le **produits** onglet de le **Propriétés de composant de Point de mise à jour logicielle** boîte de dialogue, sélectionnez le **Forefront Endpoint Protection 2010** case à cocher. - Pour Windows 10 et versions ultérieures, sur le **produits** onglet de le **Propriétés de composant de Point de mise à jour logicielle** boîte de dialogue, sélectionnez le **Windows Defender** et **2 Aperçu technique de Windows** cases à cocher.
-
Cliquez sur OK pour fermer la boîte de dialogue Propriétés du composant du point de mise à jour logicielle.
Utilisez la procédure suivante pour configurer Endpoint Protection met à jour lorsque votre serveur WSUS n'est pas intégré dans votre Configuration Manager environnement.
Pour synchroniser les mises à jour de définitions Endpoint Protection dans autonome WSUS
-
Dans la console d'administration WSUS, développez ordinateurs, cliquez sur Options, puis cliquez sur produits et Classifications.
-
Spécifiez le produits mis à jour avec WSUS :
- Pour Windows 8.1 et versions antérieures, sur le **produits** onglet de le **Propriétés de composant de Point de mise à jour logicielle** boîte de dialogue, sélectionnez le **Forefront Endpoint Protection 2010** case à cocher. - Pour Windows 10 et versions ultérieures, sur le **produits** onglet de le **Propriétés de composant de Point de mise à jour logicielle** boîte de dialogue, sélectionnez le **Windows Defender** et **2 Aperçu technique de Windows** cases à cocher.
-
Sur le Classifications onglet de le produits et Classifications boîte de dialogue, sélectionnez le mises à jour de définition de et mises à jour cases à cocher.
Approbation des mises à jour de définition
Endpoint Protection définition des mises à jour doivent être approuvées et téléchargés sur le serveur WSUS avant qu'elles sont proposées aux clients qui demandent la liste des mises à jour disponibles. Les clients se connectent au serveur WSUS pour rechercher des mises à jour applicables et ensuite demander les dernières mises à jour de définition approuvées.
Pour approuver les définitions et les mises à jour dans WSUS
-
Dans la console d'administration WSUS, cliquez sur mises à jour, puis cliquez sur toutes les mises à jour ou la classification des mises à jour à approuver.
-
Dans la liste des mises à jour, cliquez sur la mise à jour ou mises à jour à approuver l'installation, puis cliquez sur Approuver.
-
Dans le Approuver les mises à jour boîte de dialogue, sélectionnez le groupe d'ordinateurs pour lesquels vous souhaitez approuver les mises à jour, puis cliquez sur approuvée pour l'installation.
En plus de l'approbation manuelle, vous pouvez également définir une règle d'approbation automatique des mises à jour de définition et Endpoint Protection mises à jour. Cela configure WSUS pour approuver automatiquement Endpoint Protection mises à jour de définition téléchargement par WSUS.
Pour configurer une règle d'approbation automatique
-
Dans la console d'administration WSUS, cliquez sur Options, puis cliquez sur approbations automatiques.
-
Sur le les règles de mise à jour cliquez sur nouvelle règle.
-
Dans le Ajouter une règle boîte de dialogue étape 1: Sélectionnez Propriétés, sélectionnez le lorsqu'une mise à jour est une classification spécifique case à cocher.
-
Sous étape 2: Modifier les propriétés, cliquez sur Aucune classification.
-
Désactivez toutes les cases à cocher sauf mises à jour de définition de, puis cliquez sur OK.
-
Dans le Ajouter une règle boîte de dialogue étape 1: Sélectionnez Propriétés, sélectionnez le lorsqu'une mise à jour est un produit spécifique case à cocher.
-
Sous étape 2: Modifier les propriétés, cliquez sur tous les produits.
-
Désactivez toutes les cases à cocher sauf Forefront Endpoint Protection pour Windows 8.1 et versions antérieures ou Windows Defender de 10 et les versions ultérieures de Windows, puis cliquez sur OK.
-
Sous étape 3: Spécifier un nom de, entrez un nom pour la règle, puis cliquez sur OK.
-
Dans le approbations automatiques boîte de dialogue, sélectionnez le contrôle de zone pour la règle nouvellement créée, puis cliquez sur exécuter règle.
Notes
Pour optimiser les performances sur votre serveur WSUS et les ordinateurs clients, ancienne définition de refuser des mises à jour. Pour accomplir cette tâche, vous pouvez configurer l'approbation automatique pour les révisions et de refus automatique des mises à jour expirées. Pour plus d'informations, consultez l'article de la Base de connaissances Microsoft 938947.
Utiliser Microsoft Update pour télécharger les définitions
Lorsque vous sélectionnez cette option pour télécharger des mises à jour de définition à partir de Microsoft Update, les clients vérifie le site Microsoft Update à l'intervalle défini dans le mises à jour de définition section de la boîte de dialogue Stratégie contre les logiciels malveillants.
Cette méthode peut être utile lorsque le client n'a pas de connectivité à la Configuration Manager site ou lorsque vous souhaitez que les utilisateurs en mesure d'établir des mises à jour de définition.
Important
Les clients doivent accéder à Microsoft Update sur Internet pour pouvoir utiliser cette méthode pour télécharger les mises à jour de définition.
Pour télécharger les définitions à l'aide de Microsoft Malware Protection Center
Vous pouvez configurer les clients pour télécharger les mises à jour de définition à partir de Microsoft Malware Protection Center. Cette option est utilisée par Endpoint Protection aux clients de télécharger des mises à jour de définition si elles n'ont pas été en mesure de télécharger des mises à jour à partir d'une autre source. Cette méthode de mise à jour peut être utile s'il existe un problème avec votre Configuration Manager infrastructure qui empêche la livraison des mises à jour.
Important
Les clients doivent accéder à Microsoft Update sur Internet pour pouvoir utiliser cette méthode pour télécharger les mises à jour de définition.
Téléchargement des définitions à partir d'un partage sur le réseau
Vous pouvez télécharger manuellement les dernières mises à jour de définition de Microsoft et configurer les clients pour télécharger ces définitions à partir d'un dossier partagé sur le réseau. Les utilisateurs peuvent également lancer mise à jour lorsque vous utilisez cette source de mise à jour.
Notes
Clients doivent posséder un accès en lecture au dossier partagé pour pouvoir télécharger des mises à jour de définition.
Pour plus d'informations sur la façon de télécharger les mises à jour de moteur et de définition à stocker sur le partage de fichiers, consultez installer les dernières mises à jour de définition de Microsoft Forefront Security.
Pour configurer des téléchargements des définitions à partir d'un partage de fichiers
-
Dans la console Configuration Manager, cliquez sur Ressources et Conformité.
-
Dans le biens et conformité espace de travail, développez Endpoint Protection, puis cliquez sur stratégies anti-programme malveillant.
-
Ouvrez la page de propriétés de la stratégie anti-programme malveillant par défaut ou créer une nouvelle stratégie contre les logiciels malveillants. Pour plus d'informations sur la création de stratégies anti-programme malveillant, consultez Comment créer et déployer des stratégies anti-logiciels malveillants pour protéger les points de terminaison dans Configuration Manager.
-
Dans le mises à jour de définition section de la boîte de dialogue Propriétés de logiciel anti-programme malveillant, cliquez sur définir la Source.
-
Dans le configurer des Sources de mise à jour de définition boîte de dialogue, sélectionnez mises à jour à partir de partages de fichiers UNC.
-
Cliquez sur OK pour fermer la configurer des Sources de mise à jour de définition boîte de dialogue.
-
Cliquez sur définir les chemins d'accès. Ensuite, dans le configurer les chemins UNC définition mise à jour boîte de dialogue Ajouter un ou plusieurs chemins d'accès UNC vers l'emplacement de la définition de mises à jour des fichiers sur un partage réseau, dans la zone.
-
Cliquez sur OK pour fermer la configurer les chemins UNC définition mise à jour boîte de dialogue.