Delen via

Microsoft Defender Implementatie van antivirusproductiering met behulp van groepsbeleid en netwerkshare

  • Artikel

Van toepassing op:

Platforms

  • Windows
  • Windows Server

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Microsoft Defender voor Eindpunt is een beveiligingsplatform voor bedrijfseindpunten dat is ontworpen om bedrijfsnetwerken te helpen geavanceerde bedreigingen te voorkomen, detecteren, onderzoeken en erop te reageren.

Tip

Microsoft Defender voor Eindpunt is beschikbaar in twee abonnementen: Defender voor Eindpunt-Abonnement 1 en Abonnement 2. Er is nu een nieuwe Microsoft Defender Vulnerability Management-invoegtoepassing beschikbaar voor Abonnement 2.

Inleiding

In dit artikel wordt beschreven hoe u Microsoft Defender Antivirus implementeert in ringen met behulp van groepsbeleid en netwerkshare (ook wel bekend als UNC-pad, SMB, CIFS).

Vereisten

Lees het leesmij-artikel op Readme

  1. Download de nieuwste .admx en .adml van Windows Defender.

  2. Kopieer de meest recente .admx en .adml naar het centrale archief van de domeincontroller.

  3. Een UNC-share maken voor beveiligingsinformatie en platformupdates

De testomgeving instellen

In deze sectie wordt het proces beschreven voor het instellen van de testomgeving voor UAT/Test/QA. Op ongeveer 10-500* Windows- en/of Windows Server-systemen, afhankelijk van het totale aantal systemen dat u allemaal hebt.

Schermopname van een voorbeeld Microsoft Defender planning voor de implementatie van antivirusringen voor groepsbeleid- en netwerkshareomgevingen.

Opmerking

Security Intelligence Update (SIU) is gelijk aan handtekeningupdates, wat hetzelfde is als definitie-updates.

Een UNC-share maken voor beveiligingsinformatie

Stel een netwerkbestandsshare (UNC/toegewezen station) in om beveiligingsinformatie te downloaden van de MMPC-site met behulp van een geplande taak.

  1. Maak op het systeem waarop u de share wilt inrichten en de updates wilt downloaden een map waarin u het script opslaat.

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. Maak de map waarin u de handtekeningupdates opslaat.

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. Een PowerShell-script instellen, CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. Gebruik de opdrachtregel om de geplande taak in te stellen.

    Opmerking

    Er zijn twee typen updates: volledig en delta.

    • Voor x64-delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Voor x64 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Voor x86-delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Voor x86 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    Opmerking

    Wanneer de geplande taken zijn gemaakt, vindt u deze in de Taakplanner onder Microsoft\Windows\Windows Defender.

  5. Voer elke taak handmatig uit en controleer of u gegevens (mpam-d.exe, mpam-fe.exeen nis_full.exe) hebt in de volgende mappen (mogelijk hebt u verschillende locaties gekozen):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Als de geplande taak mislukt, voert u de volgende opdrachten uit:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

    Opmerking

    Problemen kunnen ook worden veroorzaakt door uitvoeringsbeleid.

  6. Maak een share die verwijst naar C:\Temp\TempSigs (bijvoorbeeld \\server\updates).

    Opmerking

    Geverifieerde gebruikers moeten minimaal leestoegang hebben. Deze vereiste is ook van toepassing op domeincomputers, de share en NTFS (beveiliging).

  7. Stel de locatie van de share in het beleid in op de share.

    Opmerking

    Voeg de map x64 (of x86) niet toe aan het pad. Het mpcmdrun.exe proces voegt deze automatisch toe.

De testomgeving (UAT/Test/QA) instellen

In deze sectie wordt het proces beschreven voor het instellen van de UAT-/test-/QA-testomgeving op ongeveer 10-500 Windows- en/of Windows Server-systemen, afhankelijk van het totale aantal systemen dat u allemaal hebt.

Opmerking

Als u een Citrix-omgeving hebt, moet u ten minste 1 Citrix-VM (niet-permanent) en/of (permanent) opnemen

Maak in groepsbeleid Beheerconsole (GPMC, GPMC.msc) uw Microsoft Defender Antivirus-beleid.

  1. Bewerk uw Microsoft Defender antivirusbeleid. Bewerk bijvoorbeeld MDAV_Settings_Pilot. Ga naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus. Er zijn drie gerelateerde opties:

    Functie Aanbeveling voor de testsystemen
    Selecteer het kanaal voor Microsoft Defender dagelijkse beveiligingsinformatie-updates Huidig kanaal (gefaseerd)
    Selecteer het kanaal voor Microsoft Defender maandelijkse engine-updates Bètakanaal
    Selecteer het kanaal voor Microsoft Defender maandelijkse platformupdates Bètakanaal

    De drie opties worden weergegeven in de volgende afbeelding.

    Schermopname van een schermopname van de testcomputerconfiguratiebeleid >> Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus-updatekanalen.

    Zie Het geleidelijke implementatieproces voor Microsoft Defender-updates beheren voor meer informatie

  2. Ga naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus.

  3. Dubbelklik voor intelligence-updates op Selecteer het kanaal voor Microsoft Defender maandelijkse intelligence-updates.

    Schermopname van een schermopname van de pagina Selecteer het kanaal voor Microsoft Defender maandelijkse intelligence-updates met Ingeschakeld en Huidig kanaal (gefaseerd) geselecteerd.

  4. Selecteer op de pagina Selecteer het kanaal voor Microsoft Defender maandelijkse intelligence-updatesde optie Ingeschakeld en selecteer bij Optiesde optie Huidig kanaal (gefaseerd).

  5. Selecteer Toepassen en selecteer vervolgens OK.

  6. Ga naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus.

  7. Dubbelklik voor engine-updates op Selecteer het kanaal voor Microsoft Defender maandelijkse engine-updates.

  8. Selecteer op de pagina Selecteer het kanaal voor Microsoft Defender maandelijkse platformupdatesde optie Ingeschakeld en selecteer in Optiesde optie Bètakanaal.

  9. Selecteer Toepassen en selecteer vervolgens OK.

  10. Dubbelklik voor platformupdates op Selecteer het kanaal voor Microsoft Defender maandelijkse Platformupdates.

  11. Selecteer op de pagina Selecteer het kanaal voor Microsoft Defender maandelijkse platformupdatesde optie Ingeschakeld en selecteer in Optiesde optie Bètakanaal. Deze twee instellingen worden weergegeven in de volgende afbeelding:

  12. Selecteer Toepassen en selecteer vervolgens OK.

De productieomgeving instellen

  1. Ga in groepsbeleid Beheerconsole (GPMC, GPMC.msc) naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus.

    Schermopname van een schermopname van de productiecomputerconfiguratiebeleid >> Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus-updatekanalen.

  2. Stel de drie beleidsregels als volgt in:

    Functie Aanbeveling voor de productiesystemen Opmerkingen
    Selecteer het kanaal voor Microsoft Defender dagelijkse beveiligingsinformatie-updates Huidig kanaal (breed) Deze instelling biedt u drie uur tijd om een FP te vinden en te voorkomen dat de productiesystemen een incompatibele handtekeningupdate ontvangen.
    Selecteer het kanaal voor Microsoft Defender maandelijkse engine-updates Kritiek : tijdsvertraging Updates worden twee dagen vertraagd.
    Selecteer het kanaal voor Microsoft Defender maandelijkse platformupdates Kritiek : tijdsvertraging Updates worden twee dagen vertraagd.

  3. Dubbelklik voor intelligence-updates op Selecteer het kanaal voor Microsoft Defender maandelijkse intelligence-updates.

  4. Selecteer op de pagina Selecteer het kanaal voor Microsoft Defender maandelijkse intelligence-updatesde optie Ingeschakeld en selecteer bij Optiesde optie Huidig kanaal (breed).

    Schermopname van een schermopname van de pagina Selecteer het kanaal voor Microsoft Defender maandelijkse intelligence-updates met Ingeschakeld en Huidig kanaal (gefaseerd) geselecteerd.

  5. Selecteer Toepassen en selecteer vervolgens OK.

  6. Dubbelklik voor engine-updates op Selecteer het kanaal voor Microsoft Defender maandelijkse engine-updates.

  7. Selecteer op de pagina Selecteer het kanaal voor Microsoft Defender maandelijkse platformupdatesde optie Ingeschakeld en selecteer in Optiesde optie Kritiek – Tijdvertraging.

  8. Selecteer Toepassen en selecteer vervolgens OK.

  9. Dubbelklik voor platformupdates op Selecteer het kanaal voor Microsoft Defender maandelijkse Platformupdates.

  10. Selecteer op de pagina Selecteer het kanaal voor Microsoft Defender maandelijkse platformupdatesde optie Ingeschakeld en selecteer in Optiesde optie Kritiek – Tijdvertraging.

  11. Selecteer Toepassen en selecteer vervolgens OK.

Als u problemen ondervindt

Als u problemen ondervindt met uw implementatie, maakt of voegt u uw Microsoft Defender antivirusbeleid toe:

  1. Maak in groepsbeleid Beheerconsole (GPMC, GPMC.msc) uw Microsoft Defender Antivirus-beleid of voeg deze toe met behulp van de volgende instelling:

    Ga naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus>(door de beheerder gedefinieerd) PolicySettingName. Klik bijvoorbeeld MDAV_Settings_Production, klik met de rechtermuisknop en selecteer bewerken. Bewerken voor MDAV_Settings_Production wordt weergegeven in de volgende afbeelding:

    Schermopname van een schermopname van de door de beheerder gedefinieerde Microsoft Defender optie Antivirusbeleid bewerken.

  2. Selecteer De volgorde van bronnen definiëren voor het downloaden van updates voor beveiligingsinformatie.

  3. Selecteer het keuzerondje Ingeschakeld.

  4. Wijzig onder Opties: de vermelding in Bestandsshares, selecteer Toepassen en selecteer vervolgens OK. Deze wijziging wordt weergegeven in de volgende afbeelding:

    Schermopname van een schermopname van de pagina De volgorde van bronnen definiëren voor het downloaden van updates voor beveiligingsinformatie.

  5. Selecteer De volgorde van bronnen definiëren voor het downloaden van updates voor beveiligingsinformatie.

  6. Selecteer het keuzerondje Uitgeschakeld, selecteer Toepassen en selecteer vervolgens OK. De uitgeschakelde optie wordt weergegeven in de volgende afbeelding:

    Schermopname van een schermopname van de pagina De volgorde van bronnen voor het downloaden van updates voor beveiligingsinformatie definiëren met Updates voor beveiligingsinformatie uitgeschakeld.

  7. De wijziging is actief wanneer groepsbeleid updates. Er zijn twee methoden om groepsbeleid te vernieuwen:

    • Voer vanaf de opdrachtregel de opdracht groepsbeleid bijwerken uit. Voer bijvoorbeeld uit gpupdate / force. Zie gpupdate voor meer informatie
    • Wacht tot groepsbeleid automatisch wordt vernieuwd. groepsbeleid wordt elke 90 minuten +/- 30 minuten vernieuwd.

    Als u meerdere forests/domeinen hebt, forceert u replicatie of wacht u 10-15 minuten. Forceer vervolgens een groepsbeleid Update vanuit de groepsbeleid-beheerconsole.

    • Klik met de rechtermuisknop op een organisatie-eenheid (OE) die de computers bevat (bijvoorbeeld Desktops) en selecteer groepsbeleid Bijwerken. Deze UI-opdracht is het equivalent van het uitvoeren van een gpupdate.exe /force op elke computer in die OE. De functie om groepsbeleid af te dwingen om te vernieuwen, wordt weergegeven in de volgende afbeelding:

      Schermopname van een schermopname van de groepsbeleid Beheerconsole, waarin een geforceerde update wordt gestart.

  8. Nadat het probleem is opgelost, stelt u de terugvalvolgorde voor handtekeningupdates weer in op de oorspronkelijke instelling. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

Zie ook

Microsoft Defender Overzicht van de implementatie van Microsoft Defender Antivirus-ring