נהל את המקורות עבור עדכוני אנטי-וירוס של Microsoft Defender הגנה

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• האנטי-וירוס של Microsoft Defender

פלטפורמות

• Windows

שמירה על העדכניות של הגנת האנטי-וירוס שלך היא קריטית. קיימים שני רכיבים לניהול עדכוני הגנה עבור אנטי Microsoft Defender וירוס:

• מהיכן ההורדה של העדכונים; ו-
• בעת הורדה והחלה של עדכונים.

מאמר זה מתאר כיצד לציין מהיכן יש להוריד עדכונים (מפרט זה נקרא גם סדר החזרה). ראה ניהול Microsoft Defender אנטי-וירוס והחלת מאמר ביצועי בסיס לקבלת מבט כולל על אופן התמיכה של עדכונים, וכיצד לקבוע תצורה של היבטים אחרים של עדכונים (כגון תזמון עדכונים).

חשוב

Microsoft Defender אבטחה של אנטי-וירוס ועדכונים בפלטפורמה מועברים דרך Windows Update החל מיום שני, 21 באוקטובר, 2019, כל עדכוני בינת האבטחה הם SHA-2 חתומים באופן בלעדי. יש לעדכן את המכשירים שלך כדי לתמוך ב- SHA-2 כדי לעדכן את בינת האבטחה שלך. לקבלת מידע נוסף, ראה דרישת תמיכה בחתימה על קוד SHA-2 2 עבור Windows ו- WSUS.

סדר החזרה

בדרך כלל, אתה קובע את התצורה של נקודות קצה להורדת עדכונים בנפרד ממקור ראשי ואחריו מקורות אחרים לפי סדר העדיפות, בהתבסס על תצורת הרשת שלך. עדכונים מתקבלות ממקורות בסדר שתציין. אם עדכונים מהמקור הנוכחי אינם עדכניים, המקור הבא ברשימה נמצא בשימוש באופן מיידי.

בעת פרסום עדכונים, לוגיקה מסוימת מוחלת כדי למזער את גודל העדכון. ברוב המקרים, רק ההבדלים בין העדכון האחרון לבין העדכון המותקן כעת (קבוצת ההבדלים נקראת הדלתא) במכשיר יורדו ויוחלו. עם זאת, גודל הדלתא תלוי בשני גורמים עיקריים:

• גיל העדכון האחרון במכשיר; ו-
• המקור המשמש להורדה ולהחלה של עדכונים.

כך ההורדה גדולה יותר. עם זאת, עליך לשקול גם את תדירות ההורדה. לוח זמנים לעדכון בתדירות גבוהה יותר עלול לגרום לשימוש גדול יותר ברשת, בעוד שלתזמון בתדירות נמוכה יותר עלול לגרום לגודלי קבצים גדולים יותר לכל הורדה.

קיימים חמישה מיקומים שבהם באפשרותך לציין היכן נקודת קצה אמורה לקבל עדכונים:

• Microsoft Update
• Windows Server Update Service (ראה הערה 1 להלן)
• Microsoft Endpoint Configuration Manager
• שיתוף קבצים ברשת
• עדכוני בינת אבטחה עבור Microsoft Defender אנטי-וירוס ותוכנות אחרות של Microsoft למניעת תוכנות זדוניות (ראה הערה 2 להלן)

הערה

1. Intune עדכון הגדרה פנימית. אם אתה משתמש ב- SCCM/SUP כדי לקבל עדכוני הגדרות עבור האנטי-וירוס של Microsoft Defender ועליך לגשת אל Windows Update במכשירי לקוח חסומים, באפשרותך לעבור לניהול משותפת ולהועבר של עומס העבודה של הגנת נקודת הקצה Intune. במדיניות נגד תוכנות זדוניות שתצורתה נקבעה ב- Intune קיימת אפשרות "שרת עדכון הגדרה פנימית" שניתן להגדיר לשימוש ב- WSUS מקומי כמקור העדכון. תצורה זו עוזרת לך לקבוע אילו עדכונים משרת WU הרשמי יאושרו עבור הארגון, וגם עוזרת ל- Proxy ולשמור תעבורת רשת ברשת הרשמית של Windows עדכונים.

2. ייתכן שהרישום והמדיניות שלך מופיעים בתור בינת המרכז של Microsoft להגנה מפני תוכנות זדוניות (MMPC), שמה לשעבר.

כדי להבטיח את רמת ההגנה הטובה ביותר, Microsoft Update מאפשר מהדורות מהירות, כלומר הורדות קטנות יותר על בסיס קבוע. שירות Windows Server Update, Microsoft Endpoint Configuration Manager, עדכוני בינת האבטחה של Microsoft ומקורות עדכוני פלטפורמה מספקים עדכונים תכופים פחות. לכן, הדלתא עשויה להיות גדולה יותר והתוצאה היא הורדות גדולות יותר.

עדכוני פלטפורמה ועדכונים במנוע מופצים בתקדימות חודשית. עדכוני בינת אבטחה מועברים כמה פעמים ביום, אך חבילת דלתא זו אינה מכילה עדכון מנוע. ראה Microsoft Defender אנטי-וירוס עדכוני אבטחה ומוצר.

חשוב

אם הגדרת עדכונים של דף בינת האבטחה של Microsoft כמקור לחזרה לאחר שירות Windows Server Update או Microsoft Update, עדכונים יורדו רק מעדכוני בינת אבטחה ומעדכוני פלטפורמה כאשר העדכון הנוכחי נחשב לא מעודכן. (כברירת מחדל, אלה שבעה ימים רצופים של אי-היכולת להחיל עדכונים מתוך שירות Windows Server Update או שירותי Microsoft Update). עם זאת, באפשרותך להגדיר את מספר הימים לפני שהגנה מדווחת כ'לא עדכנית'.

החל מיום שני, 21 באוקטובר 2019, עדכוני בינת אבטחה ועדכונים בפלטפורמה נחתמו באופן בלעדי. יש לעדכן מכשירים כדי לתמוך ב- SHA-2 כדי לקבל את עדכוני בינת האבטחה ועדכוני הפלטפורמה האחרונים. לקבלת מידע נוסף, ראה דרישת תמיכה בחתימה על קוד SHA-2 2 עבור Windows ו- WSUS.

לכל מקור יש תרחישים אופייניים התלויים באופן התצורה של הרשת שלך, בנוסף לתדירות הפרסום של עדכונים, כמתואר בטבלה הבאה:

מיקום	תרחיש לדוגמה
Windows Server Update Service	אתה משתמש בשירות Windows Server Update כדי לנהל עדכונים עבור הרשת שלך.
Microsoft Update	אתה מעוניין ש נקודות הקצה שלך יתחברו ישירות ל- Microsoft Update. אפשרות זו שימושית עבור נקודות קצה שאינן מתחברות באופן סדיר לרשת הארגונית שלך, או אם אינך משתמש ב- Windows Server Update Service כדי לנהל את העדכונים שלך.
שיתוף קבצים	יש לך מכשירים שאינם מחוברים לאינטרנט (כגון מחשבים וירטואליים). באפשרותך להשתמש במארח ה- VM המחובר לאינטרנט כדי להוריד את העדכונים לשיתוף רשת, ממנו המחשבים הווירטואליים יכולים לקבל את העדכונים. עיין במדריך הפריסה של VDI לגבי אופן השימוש במשותפים של קבצים בסביבות של תשתית שולחן עבודה וירטואלי (VDI).
Microsoft Configuration Manager	אתה משתמש ב- Microsoft Configuration Manager כדי לעדכן את נקודות הקצה שלך.
עדכוני בינת אבטחה ועדכונים בפלטפורמה עבור Microsoft Defender אנטי-וירוס ותוכנות אחרות של Microsoft למניעת תוכנות זדוניות (שנקראו בעבר MMPC)	ודא שהמכשירים שלך מעודכנים כדי לתמוך ב- SHA-2. Microsoft Defender אבטחה ועדכונים בפלטפורמה של אנטי-וירוס מסופקים דרך Windows Update, החל מיום שני 21 באוקטובר, 2019 עדכוני אבטחה ועדכונים בפלטפורמה הם SHA-2 חתומים באופן בלעדי. הורד את עדכוני ההגנה האחרונים עקב הידבקות אחרונה או כדי לסייע בהקצאת תמונת בסיס חזקה עבור פריסת VDI. בדרך כלל יש להשתמש באפשרות זו כמקור לחזרה סופי בלבד, ולא כמקור הראשי. ניתן להשתמש בו רק אם לא ניתן להוריד עדכונים מ- Windows Server Update Service או מ- Microsoft Update למשך מספר ימים שצוין.

באפשרותך לנהל את הסדר שבו נעשה שימוש במקורות עדכון עם מדיניות קבוצתית, רכיבי cmdlet של Microsoft Endpoint Configuration Manager, רכיבי cmdlet של PowerShell ו- WMI.

חשוב

אם תגדיר את שירות Windows Server Update כמיקום הורדה, עליך לאשר את העדכונים, ללא קשר בכלי הניהול שבו אתה משתמש כדי לציין את המיקום. באפשרותך להגדיר כלל אישור אוטומטי באמצעות שירות Windows Server Update, שעשוי להיות שימושי כאשר עדכונים מגיעים לפחות פעם ביום. לקבלת מידע נוסף, ראה סינכרון עדכוני הגנה של נקודות קצה בשירות עצמאי של Windows Server Update.

ההליכים במאמר זה מתארים תחילה כיצד להגדיר את הסדר ולאחר מכן כיצד להגדיר את האפשרות שיתוף קבצים אם הפעלת אותה.

השתמש מדיניות קבוצתית כדי לנהל את מיקום העדכון

1. במחשב הניהול מדיניות קבוצתית, פתח את מסוף הניהול של מדיניות קבוצתית, לחץ באמצעות לחצן העכבר הימני על מדיניות קבוצתית האובייקט שברצונך לקבוע את תצורתו ולאחר מכן בחר ערוך.

2. בתיבת הדו מדיניות קבוצתית ניהול עורך, עבור אל תצורת המחשב.

3. בחר פריטי מדיניות ולאחרמכן תבניות ניהול.

4. הרחב את העץ לרכיבי> Windows Windows Defender>ידיידי חתימות ולאחר מכן קבע את תצורת ההגדרות הבאות:

   1. ערוך את ההגדרה הגדר את סדר המקורות להורדת עדכוני בינת אבטחה. הגדר את האפשרות כזמינה.

   2. ציין את סדר המקורות, כשהם מופרדים באמצעות צינור בודד, לדוגמה: InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, כפי שמוצג בצילום המסך הבא.

      

   3. בחר אישור. פעולה זו מגדירה את הסדר של מקורות עדכון הגנה.

   4. ערוך את ההגדרה הגדר מיקומים משותפים של קבצים להורדת עדכוני בינת אבטחה ולאחר מכן הגדר את האפשרות כזמינה.

   5. ציין את מקור השיתוף של הקבצים. אם יש לך מקורות מרובים, ציין כל מקור בסדר שבו יש להשתמש בהם, כשהם מופרדים באמצעות צינור יחיד. השתמש בסימני UNC סטנדרטיים כדי להוסיף ציון לנתיב, לדוגמה: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name. אם לא תזין נתיבים כלשהם, המערכת תדלג על מקור זה כאשר המחשב הווירטואלי מוריד עדכונים.

   6. בחר אישור. פעולה זו מגדירה את הסדר של מיקומים משותפים של קבצים כאשר מתבצעת הפניה למקור זה בהגדרת המדיניות הקבוצתית הגדר את סדר המקורות....

הערה

עבור Windows 10, גירסאות 1703 עד 1809 כולל 1809, נתיב המדיניות הוא חתימת האנטי-וירוס של רכיבי Windows Microsoft Defender > עדכונים עבור Windows 10, גירסה 1903, נתיב המדיניות הוא Windows Components >> Microsoft Defender Antivirus > אבטחה בינת עדכונים

השתמש Configuration Manager כדי לנהל את מיקום העדכון

ראה קביעת תצורה של עדכונים אבטחה עבור Endpoint Protection לקבלת פרטים אודות קביעת התצורה של Microsoft Configuration Manager (הענף הנוכחי).

שימוש ברכיבי cmdlet של PowerShell לניהול מיקום העדכון

השתמש ברכיבי ה- cmdlet הבאים של PowerShell כדי להגדיר את סדר העדכון.

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

עיין במאמרים הבאים לקבלת מידע נוסף:

• Set-MpPreference -SignatureFallbackOrder
• Set-MpPreference -SignatureDefinitionUpdateFileSharesSource
• השתמש ברכיבי cmdlet של PowerShell כדי לקבוע תצורה ולהפעיל Microsoft Defender אנטי-וירוס
• רכיבי cmdlet של אנטי-וירוס של Defender

השתמש בהדרכה לניהול Windows (WMI) כדי לנהל את מיקום העדכון

השתמש בפעולת השירות Set של MSFT_MpPreference Class עבור המאפיינים הבאים:

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

עיין במאמרים הבאים לקבלת מידע נוסף:

• Windows Defender API של WMIv2

השתמש ב- ניהול מכשירים ניידים (MDM) כדי לנהל את מיקום העדכון

ראה CSP של מדיניות - Defender/SignatureUpdateFallbackOrder לקבלת פרטים אודות קביעת התצורה של MDM.

מה אם אנו משתמשים בספק חיצוני?

מאמר זה מתאר כיצד לקבוע תצורה ולנהל עדכונים עבור Microsoft Defender אנטי-וירוס. עם זאת, באפשרותך להעסיק ספקים חיצוניים כדי לבצע משימות אלה.

לדוגמה, נניח ש- Contoso שכרה את Fabrikam כדי לנהל את פתרון האבטחה שלו, הכולל את Microsoft Defender אנטי-וירוס. Fabrikam משתמש בדרך כלל ב- Windows Management Instrumentation, ברכיבי cmdlet של PowerShell או בשורת הפקודה של Windows כדי לפרוס תיקונים ועדכונים.

הערה

Microsoft אינה בודקת פתרונות של ספקים חיצוניים לניהול Microsoft Defender האנטי-וירוס.

Create UNC עבור עדכוני בינת אבטחה ופלטפורמה

הגדר שיתוף קבצים ברשת (UNC/כונן ממופה) כדי להוריד עדכוני בינת אבטחה ופלטפורמה מאתר ה- MMPC באמצעות משימה מתוזמנת.

1. במערכת שעבורה ברצונך להקצות את השיתוף ולהוריד את העדכונים, צור תיקיה עבור קובץ ה- Script.

   Start, CMD (Run as admin)
   MD C:\Tool\PS-Scripts\
   

2. Create תיקיה עבור עדכוני חתימה.

   MD C:\Temp\TempSigs\x64
   MD C:\Temp\TempSigs\x86
   

3. הורד את קובץ ה- Script של PowerShell www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.

4. בחר הורדה ידנית.

5. בחר הורד את קובץ nupkg הגולמי.

6. חלץ את הקובץ.

7. העתק את הקובץ SignatureDownloadCustomTask.ps1 לתיקיה שיצרת בעבר, C:\Tool\PS-Scripts\ .

8. השתמש בשורת הפקודה כדי להגדיר את הפעילות המתוזמנת.

   הערה

   קיימים שני סוגים של עדכונים: מלאים ודלתא.

   • עבור דלתא x64:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   • עבור x64 מלא:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   • עבור דלתא x86:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   • עבור x86 מלא:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   הערה

   כאשר הפעילויות המתוזמנות נוצרות, באפשרותך למצוא פריטים אלה במתזמן המשימות תחת Microsoft\Windows\Windows Defender.

9. הפעל כל משימה באופן ידני וודא שיש לך נתונים (mpam-d.exe, mpam-fe.exeו nis_full.exe- ) בתיקיות הבאות (ייתכן שבחרת מיקומים שונים):

   • C:\Temp\TempSigs\x86
   • C:\Temp\TempSigs\x64

   אם המשימה המתוזמנת נכשלת, הפעל את הפקודות הבאות:

   C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
   
   C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
   
   C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
   
   C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
   

10. Create שיתוף המצביע על C:\Temp\TempSigs (לדוגמה, \\server\updates).

    הערה

    לכל הפחות, למשתמשים מאומתים חייבת להיות גישת "קריאה". דרישה זו חלה גם על מחשבי תחום, על השיתוף ועל NTFS (אבטחה).

11. הגדר את מיקום השיתוף במדיניות לשיתוף.

    הערה

    אל תוסיף את התיקיה x64 (או x86) בנתיב. תהליך mpcmdrun.exe מוסיף אותו באופן אוטומטי.

מאמרים קשורים

• פרוס Microsoft Defender אנטי-וירוס
• ניהול Microsoft Defender אנטי-וירוס והחל תוכניות בסיסיות
• ניהול עדכונים עבור נקודות קצה שאינם עדכניים
• נהל עדכונים כפויים מבוססים על אירוע
• ניהול עדכונים עבור מכשירים ניידים ומחשבים וירטואליים
• Microsoft Defender אנטי-וירוס ב- Windows 10

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.