Share via


Microsoft Defender グループ ポリシー と Windows Server Update Services を使用したウイルス対策パイロット リングのデプロイ

適用対象:

プラットフォーム

  • Windows
  • Windows Server

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

EndPoint 向け Microsoft Defender は、エンタープライズネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計されたエンタープライズエンドポイントセキュリティプラットフォームです。

ヒント

Microsoft Defender for Endpoint は、Defender for Endpoint プラン 1 とプラン 2 の 2 つのプランで利用できます。 プラン 2 で新しい Microsoft Defender 脆弱性の管理アドオンが利用可能になりました。

リソース

次のリソースは、Windows Server Update Services (WSUS) の使用と管理に関する情報を提供します。

パイロット環境の設定

このセクションでは、グループ ポリシーとWindows Server Update Services (WSUS) を使用してパイロット (UAT/Test/QA) 環境を設定する方法について説明します。

WSUS 環境でのグループ ポリシーのリング展開スケジュールの例を示すスクリーンショット。

注:

セキュリティ インテリジェンス更新プログラム (SIU) は、定義更新プログラムと同じ署名更新プログラムと同じです。

約 10 から 500* Windows および/または Windows Server システムでは、すべてのシステムの合計数に応じて異なります。

注:

Citrix 環境がある場合は、少なくとも 1 つの Citrix VM (非永続的) または (永続的) を含めます。

  1. Windows Server Update Services構成ウィザードを起動します。

  2. [ 作業を開始する前 に] ページで、予備の情報を確認し、構成または資格情報に関する事項に参加し、[ 次へ] を選択します。

  3. Microsoft Update Improvement Program ページで、プログラムに参加する場合は、[はい、Microsoft Update Improvement Program に参加します] を選択します。 [次へ] を選択します。

  4. [ アップストリーム サーバーの選択] ページで、[ Microsoft Update から同期 ] を選択し、[ 次へ] を選択します。

  5. [ プロキシ サーバーの指定] ページで、[ 次へ] を選択します。

  6. [ 言語の選択] ページで、[ これらの言語でのみ更新プログラムをダウンロードする] を選択します。 ダウンロードする更新プログラムの言語を選択し、[次へ] を選択します。

  7. [製品の選択] ページで、[Forefront] まで下にスクロールし、[Forefront クライアント セキュリティ] を選択し、[次の図に示すSystem Center Endpoint Protectionします。

    WSUS 構成ウィザードの [製品の選択] ページの画面キャプチャを示すスクリーンショット。

    [製品の選択] ページで、Windows まで下にスクロールし、[ウイルス対策のMicrosoft Defender] を選択します。

  8. [次へ] を選択します。 [分類の選択] ページで、[重要なUpdates]、[定義Updates]、[セキュリティ Updates] の順に選択し、[次へ] を選択します。

  9. [ 同期スケジュールの構成] ページで、次の操作を行います。

    インチ: 変更:
    自動的に同期する select (enable)
    最初の同期 時刻を午前 5:00:00 に設定する
    1 日あたりの同期数 1 に設定する
  10. [次へ] を選択します。 [完了] ページ 、[ 次へ] を選択します。

  11. [ 次の 内容] ページで、[完了] を選択 します

Windows Server Update Services構成ウィザードが完了しました。

  1. Update Services スナップイン コンソールを開き、YR2K19 に移動します。 コンソールを次の図に示します。

    YR2K19 が表示された Update Services スナップイン コンソールの画面キャプチャを示すスクリーンショット。

  2. 同期が完了すると、過去 30 日間に追加された製品と分類の数を確認できます。 [ 最後の同期 結果] の状態が [成功] であることを確認します。 "WSUS サーバーは現在、更新プログラムを受信するためにコンピューターが登録されていないことを示す" という警告が表示される場合があります。 この警告は、デプロイ構成プロセスのこの時点では正常です。

更新プログラムの詳細を表示する

  1. Update Services コンソールのナビゲーション ツリーで、[Update Services>YR2K19>Updates>All Updates] に>移動します。

  2. [アクション] 列で、[Search] を選択しますSearchが開きます。 [テキスト] に「defender」と入力し、Enter キーを押します。 [ タイトルの更新] の下の結果フィールドには、タイトルに Defender という単語を含む更新プログラムが一覧表示されます。 たとえばプラットフォームエンジンインテリジェンスWindows DefenderおよびMicrosoft Defenderウイルス対策の更新プログラムなどです。 結果の例を次の図に示します。

    Updatesの表示と管理」を参照してください。

    Update Services for Microsoft Defender ウイルス対策の画面キャプチャを示すスクリーンショット。

  3. [Search] ダイアログの [タイトルの更新] で、表示されている KB 項目のいずれかをダブルクリックします。 次の 2 つのいずれかが発生します。

    • Microsoft Report Viewer 2012 再頒布可能パッケージがインストールされていない場合は、次のエラー メッセージが表示されます。

      Microsoft Report Viewer 2012 再頒布可能パッケージがインストールされていないことを示すエラー メッセージの画面キャプチャを示すスクリーンショット。

      エラー メッセージのリンクに従って、Microsoft Report Viewer 2012 再頒布可能パッケージをインストールしてから、この手順の次の番号付き手順に進みます。

    • 2012 再頒布可能パッケージMicrosoft Report Viewerインストールされている場合、YR2k19 のレポートの更新が開き、以前に選択した KB に関連する情報がレポートに表示されます。 レポートの例を次の図に示します。

    **Update Report for Yr2k19** で報告された KB 更新プログラムの詳細を示すスクリーン キャプチャを示すスクリーンショット。

    さまざまなMicrosoft Defenderウイルス対策更新プログラム チャネルの詳細については、「Microsoft Defender更新プログラムの段階的なロールアウト プロセスを管理する」を参照してください。

現在のチャネル (Broad) のプラットフォーム更新プログラムのバージョンを確認するには

  1. Microsoft Update カタログに移動します。 (このリンクは、KB4052623にフィルター処理された検索を自動的に読み込みます)

  2. 名前で KB をSearchします。 たとえば、検索ボックスに「KB4052623」と入力し、[Search] を選択します。

    たとえば、2023 年 4 月 11 日の最新の運用環境バージョンは 4.18.2302.7 で、23 2023 == 年2 月 22 == .7マイナー リビジョンです。

    Microsoft Update Catalog のKB4052623検索の結果のスクリーン キャプチャを示すスクリーンショット。

更新プログラムが同期されているかどうかを判断するには

  1. Update Services コンソールで、Update Services>YR2K19>Updates>All Updatesに移動>します。

  2. [ 承認] で、[ 拒否以外の任意] を選択し、[更新] を選択 します

    [すべてのUpdates] ビューには、"プラットフォーム Updates" と "セキュリティ インテリジェンス Updates" (署名/定義とも呼ばれます) が一覧表示されます。 たとえば、プラットフォームの更新プログラムKB4052623。 プラットフォーム更新プログラムKB4052623次の図に示します。

    Microsoft Update Catalog 検索によるプラットフォーム更新プログラムの結果のスクリーン キャプチャKB4052623示すスクリーンショット。

  3. 同期 状態KB4052623 表示するには、バージョン 4.18.2302.7 を選択します。

    注:

    "セキュリティ インテリジェンス Updates" については、付録 A を参照してください。「エンジン Updates」については、「付録 B」を参照してください。"プラットフォーム Updates" については、付録 C を参照してください。

WSUS で更新プログラムを承認して展開する

  1. Update Services コンソールで、[Update Services YR2K19ComputersOptions]\(Update Services>YR2K19> コンピューター オプション\>) に移動>します。 [オプション] ウィンドウが開きます

  2. [ 自動承認] を 選択して、 自動承認 構成ウィザードを起動します。

  3. [ 自動承認] ページの [ 更新ルール ] タブで、[ OK] を選択します

  4. [ ルールの追加] ページの [手順 1] で、[ 更新プログラムが特定の分類にある場合 ] と [更新 プログラムが特定の製品にある場合] を選択します。

  5. [ 製品の選択] で、[ Forefront] までスクロールし、[ Forefront クライアント セキュリティ] を選択します。 [Windows] までスクロールし、[ウイルス対策のMicrosoft Defender] を選択し、[OK] を選択します。 ワークフローから [ ルールの追加] ページに戻ります。

  6. [ 規則の追加 ] ページの [手順 1: プロパティの選択] で、次の項目が選択されていることを確認します。

    • 更新プログラムが特定の分類に含まれる場合
    • 更新プログラムが特定の製品に含まれる場合
    • 承認の期限を設定する

    手順 2: プロパティを編集します。

    • [更新プログラムがインストールされている場合はForefront Client Security、System Center Endpoint Protection、Microsoft Defender ウイルス対策] が一覧表示されていることを確認します。
    • [ 期限の設定] で、[ 午前 5 時 00 分の承認と同じ日] を選択します。

    [手順 3: 名前を指定する] で、ルールの名前を入力します。 たとえば、「ウイルス対策の更新プログラムMicrosoft Defender」と入力します。 これらの設定を次の図に示します。

    ルールの名前の例のスクリーン キャプチャを示すスクリーンショット。

  7. [OK] を選択します。 ワークフローが [ ルールの更新] ページに戻ります。 新しいルールを選択します。たとえば、[ウイルス対策の更新プログラムMicrosoft Defender選択します。

  8. [ ルールのプロパティ] で、情報が正しいことを確認し、[ OK] を選択します

セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する

  1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します

  2. [グループ ポリシー管理] エディター[コンピューターの構成] に移動し、[ポリシー] を選択し、[管理用テンプレート] を選択します。

  3. ツリーを Windows コンポーネント>Windows Defender>Signature 更新プログラムに展開します。

    • [セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する] 設定をダブルクリックし、オプションを [有効] に設定します。

    • [オプション]「InternalDefinitionUpdateServer」と入力し、[OK] を選択します。 構成済みの [セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する ] ページを次の図に示します。

    セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する方法のスクリーン キャプチャを示すスクリーンショット。

詳細については、「Microsoft Defenderウイルス対策が更新プログラムを受信する方法と場所を管理する」を参照してください。

関連項目

Microsoft Defender ウイルス対策リングの展開

グループ ポリシーとWindows Server Update Servicesを使用したMicrosoft Defenderウイルス対策の運用リングの展開