次の方法で共有

グループ ポリシーとWindows Server Update Servicesを使用したMicrosoft Defenderウイルス対策の運用リングの展開

  • [アーティクル]

適用対象:

プラットフォーム

  • Windows
  • Windows Server

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

EndPoint 向け Microsoft Defender は、エンタープライズネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計されたエンタープライズエンドポイントセキュリティプラットフォームです。

ヒント

Microsoft Defender for Endpoint は、Defender for Endpoint プラン 1 とプラン 2 の 2 つのプランで利用できます。 プラン 2 で新しい Microsoft Defender 脆弱性の管理アドオンが利用可能になりました。

はじめに

この記事では、Windows Server Update Services (WSUS) の経験がある場合や、WSUS が既にインストールされていることを前提としています。 WSUS にまだ慣れていない場合は、次の記事を参照して、重要な構成の詳細を確認してください。

  • WSUS の構成 - 適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012)
  • [Analytics Platform System でWindows Server Update Services (WSUS) を構成する][/sql/analytics-platform-system/configure-windows-server-update-services-wsus.md] - Analytics Platform System

運用環境の設定

このセクションでは、グループ ポリシーとWindows Server Update Services (WSUS) を使用して運用環境を設定する方法について説明します。

WSUS 環境でのグループ ポリシーのリング展開スケジュールの例を示すスクリーンショット。

注:

セキュリティ インテリジェンス更新プログラム (SIU) は、定義更新プログラムと同じ署名更新プログラムと同じです。

  1. サーバー マネージャーの左側のウィンドウで、[ダッシュボード>ツール>Windows Server Update Services] を選択します。

    注:

    [ WSUS インストールの完了 ] ダイアログ ボックスが表示されたら、[ 実行] を選択します。 [ WSUS インストールの完了 ] ダイアログ ボックスで、 インストールが正常に完了したら [閉じる] を選択します。

  2. WSUS 構成ウィザードが開きます。 [ 開始する前 に] ページで情報を確認し、[ 次へ] を選択します。

  3. 「Microsoft Update Improvement Program に参加する」ページの手順をお読みください。 プログラムに参加する場合は既定の選択のままにするか、そうでない場合はチェック ボックスをオフにします。 [次へ] を選択します。

  4. [アップストリーム サーバーの選択] ページで、別のWindows Server Update Services サーバーから [同期] を選択します。

    • [ サーバー名] に、サーバー名を入力します。 たとえば、「 YR2K19」と入力します。
    • [ ポート番号 ] に、このサーバーがアップストリーム サーバーと通信するポートを入力します。 たとえば、「 8530」と入力します。

    これを次の図に示します。

    Update Services スナップイン コンソールの [アップストリーム サーバーの選択] ページの画面キャプチャを示すスクリーンショット。

  5. [次へ] を選択します。

    レプリカ サーバーのような自律ダウンストリーム サーバーでは、別の WSUS サーバーもマスター リポジトリとして使用されますが、マスターの承認とは異なる更新プログラムの個々の承認を許可します。 自律サーバー:

    • コンピューター グループの作成を柔軟に行うことができます
    • マスターと同じ Active Directory フォレストに存在する必要はありません

  6. (構成に応じて省略可能)[ プロキシ サーバーの指定] ページで、[ 同期時にプロキシ サーバーを使用する ] チェック ボックスをオンにします。 次に、対応するボックスにプロキシ サーバー名とポート番号 (既定ではポート 80) を入力します。

    重要

    WSUS でインターネットにアクセスするためにプロキシ サーバーが必要であることを確認した場合は、この手順を完了する必要があります。

    • 特定のユーザー資格情報を使用してプロキシ サーバーに接続する場合は、[ ユーザー資格情報を使用してプロキシ サーバーに接続する ] チェック ボックスをオンにします。 次に、対応するボックスにユーザーのユーザー名、ドメイン、パスワードを入力します。
    • プロキシ サーバーに接続しているユーザーに対して基本認証を有効にする場合は、[ 基本認証を許可する (パスワードがクリアテキストで送信されます)] チェック ボックスをオンにします。

    [次へ] を選択します。

  7. [ アップストリーム サーバーへの接続 ] ページで、[ 接続の開始] を選択します。 WSUS がサーバーに接続したら、[ 次へ] を選択します。

  8. [ 言語の選択] ページでは、WSUS が更新プログラムを受け取る言語 ( すべての言語 または 言語のサブセット) を選択できます。 言語のサブセットを選択するとディスク領域が節約されますが、すべてのクライアントがこの WSUS サーバーで必要なすべての言語を選択することが重要です。

    特定の言語のみの更新プログラムを取得する場合は、[ これらの言語でのみ更新プログラムをダウンロードする] を選択し、更新する言語を選択します。 それ以外の場合は、既定の選択のままにします。

    警告

    [ これらの言語でのみ更新プログラムをダウンロードする] オプションを選択し、サーバーにダウンストリーム WSUS サーバーが接続されている場合、このオプションを選択すると、ダウンストリーム サーバーも選択した言語のみを使用するように強制されます。

    デプロイの言語オプションを選択したら、[ 次へ] を選択します。

  9. [ 同期スケジュールの設定] ページが開きます。 ( [製品の選択] ページと [分類の選択] ページは淡色表示され、構成できません)。

    • [ 自動的に同期する] を選択すると、WSUS サーバーは設定された間隔で同期されます。
    • [ 最初の同期] で、最初の同期の時刻を指定します。 たとえば、 午後 5:00:00 を選択します。
    • [ 1 日あたりの同期数] で、同期を実行する回数を指定します。 たとえば、[ 1] を選択し、[ 次へ] を選択します。

  10. [完了] ページ 、[ 次へ] を選択します。

  11. [ 次の内容 ] ページで、[ 次へ ] を選択して完了します。

セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する

  1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します

  2. [グループ ポリシー管理] エディター[コンピューターの構成] に移動し、[ポリシー] を選択し、[管理用テンプレート] を選択します。

  3. ツリーを Windows コンポーネント>Windows Defender>Signature 更新プログラムに展開します。

    • [セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する] 設定をダブルクリックし、オプションを [有効] に設定します。

    • [オプション]「InternalDefinitionUpdateServer」と入力し、[OK] を選択します。 構成済みの [セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する ] ページを次の図に示します。

      Microsoft Update Catalog のKB4052623検索の結果のスクリーン キャプチャを示すスクリーンショット。

  4. [ セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する] で、[有効] を選択 します[オプション] で、セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を入力します。 たとえば、「 InternalDefinitionUpdateServer」と入力します。

問題が発生した場合

デプロイで問題が発生した場合は、Microsoft Defenderウイルス対策ポリシーを作成または追加します。

  1. グループ ポリシー管理コンソール (GPMC、GPMC.msc) で、次の設定を使用して、Microsoft Defender ウイルス対策ポリシーを作成または追加します。

    [コンピューター構成>ポリシー>] [管理用テンプレート>] [Windows コンポーネント>Microsoft Defenderウイルス対策> (管理者定義) PolicySettingName] に移動します。 たとえば、 MDAV_Settings_Productionして右クリックし、[編集] を選択 しますMDAV_Settings_Production編集を次の図に示します。

    管理者が定義した [ウイルス対策ポリシーの編集] オプションの画面キャプチャMicrosoft Defender示すスクリーンショット。

  2. [ セキュリティ インテリジェンスの更新プログラムをダウンロードするためのソースの順序を定義する] を選択します。

  3. [有効] という名前のラジオ ボタンを 選択します

  4. [ オプション] で、エントリを FileShares に変更し、[ 適用] を選択し、[ OK] を選択します。 この変更を次の図に示します。

    [セキュリティ インテリジェンスの更新プログラムをダウンロードするためのソースの順序を定義する] ページの画面キャプチャを示すスクリーンショット。

  5. [ セキュリティ インテリジェンスの更新プログラムをダウンロードするためのソースの順序を定義する] を選択します。

  6. [ 無効] という名前のラジオ ボタンを選択し、[ 適用] を選択し、[ OK] を選択します。 無効なオプションを次の図に示します。

    セキュリティ インテリジェンス更新プログラムが無効になっている [セキュリティ インテリジェンスの更新プログラムをダウンロードするためのソースの順序を定義する] ページの画面キャプチャを示すスクリーンショット。

  7. 変更は、グループ ポリシー更新時にアクティブになります。 グループ ポリシーを更新するには、次の 2 つの方法があります。

    • コマンド ラインから、グループ ポリシー update コマンドを実行します。 たとえば、 を実行 gpupdate / forceします。 詳細については、「gpupdate」を参照してください。
    • グループ ポリシーが自動的に更新されるまで待ちます。 グループ ポリシーは 90 分ごとに更新 +/- 30 分ごとに更新されます。

    複数のフォレスト/ドメインがある場合は、強制的にレプリケーションするか、10 分から 15 分待ちます。 次に、グループ ポリシー管理コンソールから グループ ポリシー Update を強制します。

    • マシン (デスクトップなど) を含む組織単位 (OU) を右クリックし、[更新] グループ ポリシー選択します。 この UI コマンドは、その OU 内のすべてのコンピューターで gpupdate.exe /force を実行するのと同じです。 グループ ポリシーを強制的に更新する機能を次の図に示します。

      強制更新を開始するグループ ポリシー管理コンソールの画面キャプチャを示すスクリーンショット。

  8. 問題が解決したら、 署名更新フォールバック順序 を元の設定に戻します。 InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC|FileShare.

関連項目: