De bronnen beheren voor updates voor de Microsoft Defender Antivirus-beveiliging

  • Artikel

Van toepassing op:

Platforms

  • Windows

Het is essentieel om uw antivirusbeveiliging up-to-date te houden. Er zijn twee onderdelen voor het beheren van beveiligingsupdates voor Microsoft Defender Antivirus:

  • Waar de updates worden gedownload; En
  • Wanneer updates worden gedownload en toegepast.

In dit artikel wordt beschreven hoe u opgeeft van waaruit updates moeten worden gedownload (deze specificatie wordt ook wel de terugvalvolgorde genoemd). Zie het artikel Antivirusupdates Microsoft Defender beheren en basislijnen toepassen voor een overzicht van hoe updates werken en hoe u andere aspecten van updates configureert (zoals het plannen van updates).

Belangrijk

Microsoft Defender Antivirus Updates voor beveiligingsinformatie en platformupdates worden geleverd via Windows Update en vanaf maandag 21 oktober 2019 worden alle updates voor beveiligingsinformatie exclusief door SHA-2 ondertekend. Uw apparaten moeten worden bijgewerkt om SHA-2 te ondersteunen om uw beveiligingsinformatie bij te werken. Zie Ondersteuningsvereiste voor 2019 SHA-2-codeondertekening voor Windows en WSUS voor meer informatie.

Terugvalvolgorde

Doorgaans configureert u eindpunten om updates afzonderlijk te downloaden van een primaire bron, gevolgd door andere bronnen in volgorde van prioriteit, op basis van uw netwerkconfiguratie. Updates worden verkregen uit bronnen in de volgorde die u opgeeft. Als updates van de huidige bron verouderd zijn, wordt de volgende bron in de lijst onmiddellijk gebruikt.

Wanneer updates worden gepubliceerd, wordt enige logica toegepast om de grootte van de update te minimaliseren. In de meeste gevallen worden alleen de verschillen tussen de meest recente update en de update die momenteel is geïnstalleerd (de set verschillen wordt de delta genoemd) op het apparaat gedownload en toegepast. De grootte van de delta is echter afhankelijk van twee belangrijke factoren:

  • De leeftijd van de laatste update op het apparaat; En
  • De bron die wordt gebruikt om updates te downloaden en toe te passen.

Hoe ouder de updates op een eindpunt, hoe groter de download is. U moet echter ook rekening houden met de downloadfrequentie. Een frequenter updateschema kan leiden tot meer netwerkgebruik, terwijl een minder frequente planning kan leiden tot grotere bestandsgrootten per download.

Er zijn vijf locaties waar u kunt opgeven waar een eindpunt updates moet verkrijgen:

Opmerking

  1. Intune Interne definitie-updateserver. Als u SCCM/SUP gebruikt om definitie-updates voor Microsoft Defender Antivirus op te halen en u toegang moet hebben tot Windows Update op geblokkeerde clientapparaten, kunt u overstappen op co-beheer en de endpoint protection-workload offloaden naar Intune. In het antimalwarebeleid dat is geconfigureerd in Intune is er een optie 'updateserver voor interne definitie' die u kunt instellen om on-premises WSUS als de updatebron te gebruiken. Met deze configuratie kunt u bepalen welke updates van de officiële WU-server zijn goedgekeurd voor de onderneming, en helpt u ook bij het proxyn en opslaan van netwerkverkeer naar het officiële Windows Updates-netwerk.

  2. Uw beleid en register hebben dit mogelijk vermeld als Microsoft Centrum voor beveiliging tegen schadelijke software (MMPC)-beveiligingsinformatie, de voormalige naam.

Om het beste beveiligingsniveau te garanderen, maakt Microsoft Update snelle releases mogelijk, wat betekent dat er regelmatig kleinere downloads zijn. De Windows Server Update-service, Microsoft Endpoint Configuration Manager, Microsoft-beveiligingsupdates en platformupdates bieden minder frequente updates. De delta kan dus groter zijn, wat resulteert in grotere downloads.

Platformupdates en engine-updates worden maandelijks uitgebracht. Updates voor beveiligingsinformatie worden meerdere keren per dag geleverd, maar dit deltapakket bevat geen engine-update. Zie Microsoft Defender Antivirus-beveiligingsinformatie en productupdates.

Belangrijk

Als u pagina-updates van Microsoft Beveiligingsinformatie hebt ingesteld als terugvalbron na Windows Server Update Service of Microsoft Update, worden updates alleen gedownload van updates voor beveiligingsupdates en platformupdates wanneer de huidige update als verouderd wordt beschouwd. (Standaard is dit zeven opeenvolgende dagen waarop geen updates van de Windows Server Update-service of Microsoft Update-services kunnen worden toegepast). U kunt echter het aantal dagen instellen voordat de beveiliging als verouderd wordt gerapporteerd.

Vanaf maandag 21 oktober 2019 worden updates voor beveiligingsupdates en platformupdates exclusief door SHA-2 ondertekend. Apparaten moeten worden bijgewerkt om SHA-2 te ondersteunen om de nieuwste updates voor beveiligingsinformatie en platformupdates te ontvangen. Zie Ondersteuningsvereiste voor 2019 SHA-2-codeondertekening voor Windows en WSUS voor meer informatie.

Elke bron heeft typische scenario's die afhankelijk zijn van hoe uw netwerk is geconfigureerd, naast hoe vaak ze updates publiceren, zoals beschreven in de volgende tabel:

Locatie Voorbeeldscenario
Windows Server Update-service U gebruikt de Windows Server Update-service om updates voor uw netwerk te beheren.
Microsoft Update U wilt dat uw eindpunten rechtstreeks verbinding maken met Microsoft Update. Deze optie is handig voor eindpunten die onregelmatig verbinding maken met uw bedrijfsnetwerk of als u de Windows Server Update-service niet gebruikt om uw updates te beheren.
Bestandsshare U hebt apparaten zonder internetverbinding (zoals VM's). U kunt uw met internet verbonden VM-host gebruiken om de updates te downloaden naar een netwerkshare, van waaruit de VM's de updates kunnen verkrijgen. Zie de VDI-implementatiehandleiding voor het gebruik van bestandsshares in VDI-omgevingen (Virtual Desktop Infrastructure).
Microsoft Configuration Manager U gebruikt Microsoft Configuration Manager om uw eindpunten bij te werken.
Updates voor beveiligingsinformatie en platformupdates voor Microsoft Defender Antivirus en andere Microsoft-antimalware (voorheen AANGEDUID als MMPC) Zorg ervoor dat uw apparaten zijn bijgewerkt om SHA-2 te ondersteunen. Microsoft Defender Antivirus Beveiligingsinformatie en platformupdates worden geleverd via Windows Update en vanaf maandag 21 oktober 2019 worden updates voor beveiligingsinformatie en platformupdates uitsluitend door SHA-2 ondertekend.
Download de meest recente beveiligingsupdates vanwege een recente infectie of om een sterke, basisinstallatiekopieën in te richten voor VDI-implementatie. Deze optie moet over het algemeen alleen worden gebruikt als een laatste terugvalbron en niet als primaire bron. Deze wordt alleen gebruikt als updates gedurende een bepaald aantal dagen niet kunnen worden gedownload van De Windows Server Update-service of Microsoft Update.

U kunt de volgorde beheren waarin updatebronnen worden gebruikt met groepsbeleid, Microsoft Endpoint Configuration Manager, PowerShell-cmdlets en WMI.

Belangrijk

Als u Windows Server Update-service instelt als downloadlocatie, moet u de updates goedkeuren, ongeacht het beheerprogramma dat u gebruikt om de locatie op te geven. U kunt een regel voor automatische goedkeuring instellen met De Windows Server Update-service, wat handig kan zijn als er ten minste eenmaal per dag updates binnenkomen. Zie Updates voor eindpuntbeveiliging synchroniseren in zelfstandige Windows Server Update-service voor meer informatie.

In de procedures in dit artikel wordt eerst beschreven hoe u de volgorde instelt en vervolgens hoe u de optie Bestandsshare instelt als u deze hebt ingeschakeld.

Gebruik groepsbeleid om de updatelocatie te beheren

  1. Open op uw groepsbeleid beheercomputer de groepsbeleid-beheerconsole, klik met de rechtermuisknop op het groepsbeleid-object dat u wilt configureren en selecteer bewerken.

  2. Ga in de Editor groepsbeleid Management naar Computerconfiguratie.

  3. Selecteer Beleid en vervolgens Beheersjablonen.

  4. Vouw de structuur uit naar Windows-onderdelen>Windows Defender>Aantekenupdates en configureer vervolgens de volgende instellingen:

    1. Bewerk de instelling De volgorde van bronnen voor het downloaden van updates voor beveiligingsinformatie definiëren . Stel de optie in op Ingeschakeld.

    2. Geef de volgorde van de bronnen op, gescheiden door één pijp, bijvoorbeeld: InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, zoals wordt weergegeven in de volgende schermopname.

      Groepsbeleidsinstelling met de volgorde van bronnen

    3. Selecteer OK. Met deze actie stelt u de volgorde van de beveiliging van updatebronnen in.

    4. Bewerk de instelling Bestandsshares definiëren voor het downloaden van updates voor beveiligingsinformatie en stel de optie vervolgens in op Ingeschakeld.

    5. Geef de bron van de bestandsshare op. Als u meerdere bronnen hebt, geeft u elke bron op in de volgorde waarin ze moeten worden gebruikt, gescheiden door één pijp. Gebruik standaard UNC-notatie voor het aandukken van het pad, bijvoorbeeld: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name. Als u geen paden invoert, wordt deze bron overgeslagen wanneer de VM updates downloadt.

    6. Selecteer OK. Met deze actie stelt u de volgorde van bestandsshares in wanneer naar die bron wordt verwezen in de groepsbeleidsinstelling De volgorde van bronnen definiëren... .

Opmerking

Voor Windows 10 versie 1703 tot en met 1809 is het beleidspad Windows-onderdelen > Microsoft Defender Antivirus > Signature Updates Voor Windows 10 versie 1903 is het beleidspad Windows Components > Microsoft Defender Antivirus > Security Intelligence-Updates

Gebruik Configuration Manager om de updatelocatie te beheren

Zie Beveiligingsinformatie configureren Updates voor Endpoint Protection voor meer informatie over het configureren van Microsoft Configuration Manager (current branch).

PowerShell-cmdlets gebruiken om de updatelocatie te beheren

Gebruik de volgende PowerShell-cmdlets om de updatevolgorde in te stellen.

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

Zie de volgende artikelen voor meer informatie:

Windows Management Instruction (WMI) gebruiken om de updatelocatie te beheren

Gebruik de methode Set van de klasse MSFT_MpPreference voor de volgende eigenschappen:

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

Zie de volgende artikelen voor meer informatie:

Mobile Apparaatbeheer (MDM) gebruiken om de updatelocatie te beheren

Zie Beleids-CSP - Defender/SignatureUpdateFallbackOrder voor meer informatie over het configureren van MDM.

Wat gebeurt er als we een externe leverancier gebruiken?

In dit artikel wordt beschreven hoe u updates voor Microsoft Defender Antivirus configureert en beheert. U kunt echter externe leveranciers inhuren om deze taken uit te voeren.

Stel dat Contoso Fabrikam heeft ingehuurd om hun beveiligingsoplossing te beheren, waaronder Microsoft Defender Antivirus. Fabrikam gebruikt doorgaans Windows Management Instrumentation, PowerShell-cmdlets of Windows-opdrachtregel om patches en updates te implementeren.

Opmerking

Microsoft test geen oplossingen van derden voor het beheren van Microsoft Defender Antivirus.

een UNC-share Creatie voor beveiligingsinformatie en platformupdates

Stel een netwerkbestandsshare (UNC/toegewezen station) in om beveiligingsinformatie en platformupdates te downloaden van de MMPC-site met behulp van een geplande taak.

  1. Maak een map voor het script op het systeem waarvoor u de share wilt inrichten en de updates wilt downloaden.

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. Creatie een map voor handtekeningupdates.

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. Download het PowerShell-script van www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.

  4. Selecteer Handmatig downloaden.

  5. Selecteer Het onbewerkte nupkg-bestand downloaden.

  6. Pak het bestand uit.

  7. Kopieer het bestand SignatureDownloadCustomTask.ps1 naar de map die u eerder hebt gemaakt, C:\Tool\PS-Scripts\ .

  8. Gebruik de opdrachtregel om de geplande taak in te stellen.

    Opmerking

    Er zijn twee typen updates: volledig en delta.

    • Voor x64-delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Voor x64 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Voor x86-delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Voor x86 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    Opmerking

    Wanneer de geplande taken zijn gemaakt, vindt u deze in de Taakplanner onder Microsoft\Windows\Windows Defender.

  9. Voer elke taak handmatig uit en controleer of u gegevens (mpam-d.exe, mpam-fe.exeen nis_full.exe) hebt in de volgende mappen (mogelijk hebt u verschillende locaties gekozen):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Als de geplande taak mislukt, voert u de volgende opdrachten uit:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

  10. Creatie een share die verwijst naar C:\Temp\TempSigs (bijvoorbeeld \\server\updates).

    Opmerking

    Geverifieerde gebruikers moeten minimaal leestoegang hebben. Deze vereiste is ook van toepassing op domeincomputers, de share en NTFS (beveiliging).

  11. Stel de locatie van de share in het beleid in op de share.

    Opmerking

    Voeg de map x64 (of x86) niet toe aan het pad. Het mpcmdrun.exe proces voegt deze automatisch toe.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.