グループ ポリシーとWindows Server Update Servicesを使用したMicrosoft Defenderウイルス対策の運用リングの展開
適用対象:
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender ウイルス対策
プラットフォーム
- Windows
- Windows Server
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
EndPoint 向け Microsoft Defender は、エンタープライズネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計されたエンタープライズエンドポイントセキュリティプラットフォームです。
ヒント
Microsoft Defender for Endpoint は、Defender for Endpoint プラン 1 とプラン 2 の 2 つのプランで利用できます。 プラン 2 で新しい Microsoft Defender 脆弱性の管理アドオンが利用可能になりました。
はじめに
この記事では、Windows Server Update Services (WSUS) の経験がある場合や、WSUS が既にインストールされていることを前提としています。 WSUS にまだ慣れていない場合は、次の記事を参照して、重要な構成の詳細を確認してください。
- WSUS の構成 - 適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012)
- [Analytics Platform System でWindows Server Update Services (WSUS) を構成する][/sql/analytics-platform-system/configure-windows-server-update-services-wsus.md] - Analytics Platform System
運用環境の設定
このセクションでは、グループ ポリシーとWindows Server Update Services (WSUS) を使用して運用環境を設定する方法について説明します。
注:
セキュリティ インテリジェンス更新プログラム (SIU) は、定義更新プログラムと同じ署名更新プログラムと同じです。
サーバー マネージャーの左側のウィンドウで、[ダッシュボード>ツール>Windows Server Update Services] を選択します。
注:
[ WSUS インストールの完了 ] ダイアログ ボックスが表示されたら、[ 実行] を選択します。 [ WSUS インストールの完了 ] ダイアログ ボックスで、 インストールが正常に完了したら [閉じる] を選択します。
WSUS 構成ウィザードが開きます。 [ 開始する前 に] ページで情報を確認し、[ 次へ] を選択します。
「Microsoft Update Improvement Program に参加する」ページの手順をお読みください。 プログラムに参加する場合は既定の選択のままにするか、そうでない場合はチェック ボックスをオフにします。 [次へ] を選択します。
[アップストリーム サーバーの選択] ページで、別のWindows Server Update Services サーバーから [同期] を選択します。
- [ サーバー名] に、サーバー名を入力します。 たとえば、「 YR2K19」と入力します。
- [ ポート番号 ] に、このサーバーがアップストリーム サーバーと通信するポートを入力します。 たとえば、「 8530」と入力します。
これを次の図に示します。
[次へ] を選択します。
レプリカ サーバーのような自律ダウンストリーム サーバーでは、別の WSUS サーバーもマスター リポジトリとして使用されますが、マスターの承認とは異なる更新プログラムの個々の承認を許可します。 自律サーバー:
- コンピューター グループの作成を柔軟に行うことができます
- マスターと同じ Active Directory フォレストに存在する必要はありません
(構成に応じて省略可能)[ プロキシ サーバーの指定] ページで、[ 同期時にプロキシ サーバーを使用する ] チェック ボックスをオンにします。 次に、対応するボックスにプロキシ サーバー名とポート番号 (既定ではポート 80) を入力します。
重要
WSUS でインターネットにアクセスするためにプロキシ サーバーが必要であることを確認した場合は、この手順を完了する必要があります。
- 特定のユーザー資格情報を使用してプロキシ サーバーに接続する場合は、[ ユーザー資格情報を使用してプロキシ サーバーに接続する ] チェック ボックスをオンにします。 次に、対応するボックスにユーザーのユーザー名、ドメイン、パスワードを入力します。
- プロキシ サーバーに接続しているユーザーに対して基本認証を有効にする場合は、[ 基本認証を許可する (パスワードがクリアテキストで送信されます)] チェック ボックスをオンにします。
[次へ] を選択します。
[ アップストリーム サーバーへの接続 ] ページで、[ 接続の開始] を選択します。 WSUS がサーバーに接続したら、[ 次へ] を選択します。
[ 言語の選択] ページでは、WSUS が更新プログラムを受け取る言語 ( すべての言語 または 言語のサブセット) を選択できます。 言語のサブセットを選択するとディスク領域が節約されますが、すべてのクライアントがこの WSUS サーバーで必要なすべての言語を選択することが重要です。
特定の言語のみの更新プログラムを取得する場合は、[ これらの言語でのみ更新プログラムをダウンロードする] を選択し、更新する言語を選択します。 それ以外の場合は、既定の選択のままにします。
警告
[ これらの言語でのみ更新プログラムをダウンロードする] オプションを選択し、サーバーにダウンストリーム WSUS サーバーが接続されている場合、このオプションを選択すると、ダウンストリーム サーバーも選択した言語のみを使用するように強制されます。
デプロイの言語オプションを選択したら、[ 次へ] を選択します。
[ 同期スケジュールの設定] ページが開きます。 ( [製品の選択] ページと [分類の選択] ページは淡色表示され、構成できません)。
- [ 自動的に同期する] を選択すると、WSUS サーバーは設定された間隔で同期されます。
- [ 最初の同期] で、最初の同期の時刻を指定します。 たとえば、 午後 5:00:00 を選択します。
- [ 1 日あたりの同期数] で、同期を実行する回数を指定します。 たとえば、[ 1] を選択し、[ 次へ] を選択します。
[完了] ページ で 、[ 次へ] を選択します。
[ 次の内容 ] ページで、[ 次へ ] を選択して完了します。
セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する
グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します。
[グループ ポリシー管理] エディター[コンピューターの構成] に移動し、[ポリシー] を選択し、[管理用テンプレート] を選択します。
ツリーを Windows コンポーネント>Windows Defender>Signature 更新プログラムに展開します。
[ セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を定義する] で、[有効] を選択 します。 [オプション] で、セキュリティ インテリジェンス更新プログラムをダウンロードするためのソースの順序を入力します。 たとえば、「 InternalDefinitionUpdateServer」と入力します。
問題が発生した場合
デプロイで問題が発生した場合は、Microsoft Defenderウイルス対策ポリシーを作成または追加します。
グループ ポリシー管理コンソール (GPMC、GPMC.msc) で、次の設定を使用して、Microsoft Defender ウイルス対策ポリシーを作成または追加します。
[コンピューター構成>ポリシー>] [管理用テンプレート>] [Windows コンポーネント>Microsoft Defenderウイルス対策> (管理者定義) PolicySettingName] に移動します。 たとえば、 MDAV_Settings_Productionして右クリックし、[編集] を選択 します。 MDAV_Settings_Productionの編集を次の図に示します。
[ セキュリティ インテリジェンスの更新プログラムをダウンロードするためのソースの順序を定義する] を選択します。
[有効] という名前のラジオ ボタンを 選択します。
[ オプション] で、エントリを FileShares に変更し、[ 適用] を選択し、[ OK] を選択します。 この変更を次の図に示します。
[ セキュリティ インテリジェンスの更新プログラムをダウンロードするためのソースの順序を定義する] を選択します。
[ 無効] という名前のラジオ ボタンを選択し、[ 適用] を選択し、[ OK] を選択します。 無効なオプションを次の図に示します。
変更は、グループ ポリシー更新時にアクティブになります。 グループ ポリシーを更新するには、次の 2 つの方法があります。
- コマンド ラインから、グループ ポリシー update コマンドを実行します。 たとえば、 を実行
gpupdate / force
します。 詳細については、「gpupdate」を参照してください。 - グループ ポリシーが自動的に更新されるまで待ちます。 グループ ポリシーは 90 分ごとに更新 +/- 30 分ごとに更新されます。
複数のフォレスト/ドメインがある場合は、強制的にレプリケーションするか、10 分から 15 分待ちます。 次に、グループ ポリシー管理コンソールから グループ ポリシー Update を強制します。
- コマンド ラインから、グループ ポリシー update コマンドを実行します。 たとえば、 を実行
問題が解決したら、 署名更新フォールバック順序 を元の設定に戻します。
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC|FileShare
.
関連項目:
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示