Delen via

Implementatie van Microsoft Defender Antivirus-productiering met groepsbeleid en netwerkshare

  • Artikel

Van toepassing op:

Platforms

  • Windows
  • Windows Server

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Microsoft Defender voor Eindpunt is een beveiligingsplatform voor bedrijfseindpunten dat is ontworpen om bedrijfsnetwerken te helpen geavanceerde bedreigingen te voorkomen, detecteren, onderzoeken en erop te reageren.

Tip

Microsoft Defender voor Eindpunt is beschikbaar in twee abonnementen: Defender voor Eindpunt-Abonnement 1 en Abonnement 2. Er is nu een nieuwe Microsoft Defender Vulnerability Management-invoegtoepassing beschikbaar voor Abonnement 2.

Inleiding

In dit artikel wordt beschreven hoe u Microsoft Defender Antivirus implementeert in ringen met behulp van groepsbeleid en netwerkshare (ook wel bekend als UNC-pad, SMB, CIFS).

Vereisten

Lees het leesmij-artikel op Readme

  1. Download de nieuwste .admx en .adml van Windows Defender.

  2. Kopieer de meest recente .admx en .adml naar het centrale archief van de domeincontroller.

  3. Een UNC-share maken voor beveiligingsinformatie en platformupdates

De testomgeving instellen

In deze sectie wordt het proces beschreven voor het instellen van de testomgeving voor UAT/Test/QA. Op ongeveer 10-500* Windows- en/of Windows Server-systemen, afhankelijk van het totale aantal systemen dat u allemaal hebt.

Schermopname van een voorbeeld van een implementatieschema voor microsoft Defender Antivirus-ring voor groepsbeleid en netwerkshareomgevingen.

Opmerking

Security Intelligence Update (SIU) is gelijk aan handtekeningupdates, wat hetzelfde is als definitie-updates.

Een UNC-share maken voor beveiligingsinformatie

Stel een netwerkbestandsshare (UNC/toegewezen station) in om beveiligingsinformatie te downloaden van de MMPC-site met behulp van een geplande taak.

  1. Maak op het systeem waarop u de share wilt inrichten en de updates wilt downloaden een map waarin u het script opslaat.

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. Maak de map waarin u de handtekeningupdates opslaat.

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. Een PowerShell-script instellen, CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. Gebruik de opdrachtregel om de geplande taak in te stellen.

    Opmerking

    Er zijn twee typen updates: volledig en delta.

    • Voor x64-delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Voor x64 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Voor x86-delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Voor x86 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    Opmerking

    Wanneer de geplande taken zijn gemaakt, vindt u deze in de Taakplanner onder Microsoft\Windows\Windows Defender.

  5. Voer elke taak handmatig uit en controleer of u gegevens (mpam-d.exe, mpam-fe.exeen nis_full.exe) hebt in de volgende mappen (mogelijk hebt u verschillende locaties gekozen):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Als de geplande taak mislukt, voert u de volgende opdrachten uit:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

    Opmerking

    Problemen kunnen ook worden veroorzaakt door uitvoeringsbeleid.

  6. Maak een share die verwijst naar C:\Temp\TempSigs (bijvoorbeeld \\server\updates).

    Opmerking

    Geverifieerde gebruikers moeten minimaal leestoegang hebben. Deze vereiste is ook van toepassing op domeincomputers, de share en NTFS (beveiliging).

  7. Stel de locatie van de share in het beleid in op de share.

    Opmerking

    Voeg de map x64 (of x86) niet toe aan het pad. Het mpcmdrun.exe proces voegt deze automatisch toe.

De testomgeving (UAT/Test/QA) instellen

In deze sectie wordt het proces beschreven voor het instellen van de testomgeving UAT/Test/QA op ongeveer 10-500 Windows- en/of Windows Server-systemen, afhankelijk van het totale aantal systemen dat u allemaal hebt.

Opmerking

Als u een Citrix-omgeving hebt, moet u ten minste 1 Citrix-VM (niet-permanent) en/of (permanent) opnemen

Maak in groepsbeleidsbeheerconsole (GPMC, GPMC.msc) uw Microsoft Defender Antivirus-beleid of voeg deze toe.

  1. Bewerk uw Microsoft Defender Antivirus-beleid. Bewerk bijvoorbeeld MDAV_Settings_Pilot. Ga naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus. Er zijn drie gerelateerde opties:

    Functie Aanbeveling voor de testsystemen
    Selecteer het kanaal voor dagelijkse beveiligingsinformatie-updates van Microsoft Defender Huidig kanaal (gefaseerd)
    Selecteer het kanaal voor maandelijkse engine-updates van Microsoft Defender Bètakanaal
    Selecteer het kanaal voor maandelijkse platformupdates van Microsoft Defender Bètakanaal

    De drie opties worden weergegeven in de volgende afbeelding.

    Schermopname van een schermopname van de testcomputerconfiguratiebeleid >> Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus-updatekanalen.

    Zie Het geleidelijke implementatieproces voor Microsoft Defender-updates beheren voor meer informatie

  2. Ga naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus.

  3. Dubbelklik voor intelligence-updates op Selecteer het kanaal voor maandelijkse intelligence-updates van Microsoft Defender.

    Schermopname van een schermopname van de pagina Selecteer het kanaal voor maandelijkse informatie-updates van Microsoft Defender met Ingeschakeld en Huidig kanaal (gefaseerd) geselecteerd.

  4. Selecteer op de pagina Selecteer het kanaal voor maandelijkse informatie-updates van Microsoft Defenderde optie Ingeschakeld en selecteer bij Optiesde optie Huidig kanaal (gefaseerd).

  5. Selecteer Toepassen en selecteer vervolgens OK.

  6. Ga naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus.

  7. Dubbelklik voor engine-updates op Selecteer het kanaal voor maandelijkse engine-updates van Microsoft Defender.

  8. Selecteer op de pagina Selecteer het kanaal voor maandelijkse platformupdates van Microsoft Defenderde optie Ingeschakeld en selecteer in Optiesde optie Bètakanaal.

  9. Selecteer Toepassen en selecteer vervolgens OK.

  10. Dubbelklik voor platformupdates op Selecteer het kanaal voor maandelijkse Platformupdates van Microsoft Defender.

  11. Selecteer op de pagina Selecteer het kanaal voor maandelijkse platformupdates van Microsoft Defenderde optie Ingeschakeld en selecteer in Optiesde optie Bètakanaal. Deze twee instellingen worden weergegeven in de volgende afbeelding:

  12. Selecteer Toepassen en selecteer vervolgens OK.

De productieomgeving instellen

  1. Ga in groepsbeleidsbeheerconsole (GPMC, GPMC.msc) naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus.

    Schermopname van een schermopname van de productie computerconfiguratiebeleid >> Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus-updatekanalen.

  2. Stel de drie beleidsregels als volgt in:

    Functie Aanbeveling voor de productiesystemen Opmerkingen
    Selecteer het kanaal voor dagelijkse beveiligingsinformatie-updates van Microsoft Defender Huidig kanaal (breed) Deze instelling biedt u drie uur tijd om een FP te vinden en te voorkomen dat de productiesystemen een incompatibele handtekeningupdate ontvangen.
    Selecteer het kanaal voor maandelijkse engine-updates van Microsoft Defender Kritiek : tijdsvertraging Updates worden twee dagen vertraagd.
    Selecteer het kanaal voor maandelijkse platformupdates van Microsoft Defender Kritiek : tijdsvertraging Updates worden twee dagen vertraagd.

  3. Dubbelklik voor intelligence-updates op Selecteer het kanaal voor maandelijkse intelligence-updates van Microsoft Defender.

  4. Selecteer op de pagina Selecteer het kanaal voor maandelijkse informatie-updates van Microsoft Defenderde optie Ingeschakeld en selecteer bij Optiesde optie Huidig kanaal (breed).

    Schermopname van een schermopname van de pagina Selecteer het kanaal voor maandelijkse informatie-updates van Microsoft Defender met Ingeschakeld en Huidig kanaal (gefaseerd) geselecteerd.

  5. Selecteer Toepassen en selecteer vervolgens OK.

  6. Dubbelklik voor engine-updates op Selecteer het kanaal voor maandelijkse engine-updates van Microsoft Defender.

  7. Selecteer op de pagina Selecteer het kanaal voor maandelijkse platformupdates van Microsoft Defenderde optie Ingeschakeld en selecteer bij Optiesde optie Kritiek – Tijdvertraging.

  8. Selecteer Toepassen en selecteer vervolgens OK.

  9. Dubbelklik voor platformupdates op Selecteer het kanaal voor maandelijkse Platformupdates van Microsoft Defender.

  10. Selecteer op de pagina Selecteer het kanaal voor maandelijkse platformupdates van Microsoft Defenderde optie Ingeschakeld en selecteer bij Optiesde optie Kritiek – Tijdvertraging.

  11. Selecteer Toepassen en selecteer vervolgens OK.

Als u problemen ondervindt

Als u problemen ondervindt met uw implementatie, maakt of voegt u uw Microsoft Defender Antivirus-beleid toe:

  1. Maak in groepsbeleidsbeheerconsole (GPMC, GPMC.msc) uw Microsoft Defender Antivirus-beleid of voeg deze toe met behulp van de volgende instelling:

    Ga naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus> (door de beheerder gedefinieerd) PolicySettingName. Klik bijvoorbeeld MDAV_Settings_Production, klik met de rechtermuisknop en selecteer bewerken. Bewerken voor MDAV_Settings_Production wordt weergegeven in de volgende afbeelding:

    Schermopname van een schermopname van de optie Bewerken van het door de beheerder gedefinieerde Microsoft Defender Antivirus-beleid.

  2. Selecteer De volgorde van bronnen definiëren voor het downloaden van updates voor beveiligingsinformatie.

  3. Selecteer het keuzerondje Ingeschakeld.

  4. Wijzig onder Opties: de vermelding in Bestandsshares, selecteer Toepassen en selecteer vervolgens OK. Deze wijziging wordt weergegeven in de volgende afbeelding:

    Schermopname van een schermopname van de pagina De volgorde van bronnen definiëren voor het downloaden van updates voor beveiligingsinformatie.

  5. Selecteer De volgorde van bronnen definiëren voor het downloaden van updates voor beveiligingsinformatie.

  6. Selecteer het keuzerondje Uitgeschakeld, selecteer Toepassen en selecteer vervolgens OK. De uitgeschakelde optie wordt weergegeven in de volgende afbeelding:

    Schermopname van een schermopname van de pagina De volgorde van bronnen voor het downloaden van updates voor beveiligingsinformatie definiëren met Updates voor beveiligingsinformatie uitgeschakeld.

  7. De wijziging is actief wanneer groepsbeleid wordt bijgewerkt. Er zijn twee methoden om groepsbeleid te vernieuwen:

    • Voer vanaf de opdrachtregel de opdracht Groepsbeleid bijwerken uit. Voer bijvoorbeeld uit gpupdate / force. Zie gpupdate voor meer informatie
    • Wacht tot groepsbeleid automatisch wordt vernieuwd. Groepsbeleid wordt elke 90 minuten +/- 30 minuten vernieuwd.

    Als u meerdere forests/domeinen hebt, forceert u replicatie of wacht u 10-15 minuten. Forceer vervolgens een update van groepsbeleid vanuit de console Groepsbeleidsbeheer.

    • Klik met de rechtermuisknop op een organisatie-eenheid (OE) die de computers bevat (bijvoorbeeld Desktops) en selecteer Groepsbeleid bijwerken. Deze UI-opdracht is het equivalent van het uitvoeren van een gpupdate.exe /force op elke computer in die OE. De functie voor het afdwingen van het vernieuwen van groepsbeleid wordt weergegeven in de volgende afbeelding:

      Schermopname van een schermopname van de console Groepsbeleidsbeheer, waarbij een geforceerde update wordt gestart.

  8. Nadat het probleem is opgelost, stelt u de terugvalvolgorde voor handtekeningupdates weer in op de oorspronkelijke instelling. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

Zie ook

Overzicht van implementatie van Microsoft Defender Antivirus-ring