Zarządzanie procesem stopniowego wdrażania aktualizacji Microsoft Defender

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Program antywirusowy Microsoft Defender

Platformy

• System Windows

Ważne jest, aby upewnić się, że składniki klienta są aktualne w celu zapewnienia krytycznych możliwości ochrony i zapobiegania atakom.

Możliwości są udostępniane za pośrednictwem kilku składników:

• Odpowiedź & wykrywania punktów końcowych
• Ochrona nowej generacji z ochroną dostarczaną przez chmurę
• Zmniejszanie obszaru podatnego na ataki

Aktualizacje są wydawane co miesiąc przy użyciu stopniowego procesu wydawania. Ten proces pomaga w umożliwieniu wczesnego wykrywania błędów identyfikowania problemów w miarę ich występowania i rozwiązywania ich szybko przed większym wdrożeniem.

Uwaga

Aby uzyskać więcej informacji na temat kontrolowania codziennych aktualizacji analizy zabezpieczeń, zobacz Planowanie aktualizacji ochrony antywirusowej Microsoft Defender. Aktualizacje zapewnić ochronę nowej generacji przed nowymi zagrożeniami, nawet jeśli ochrona dostarczana przez chmurę nie jest dostępna dla punktu końcowego.

Model stopniowego wdrażania firmy Microsoft

W przypadku comiesięcznych aktualizacji usługi Defender jest przestrzegany następujący model stopniowego wdrażania:

1. Pierwsza wersja trafi do subskrybentów kanału beta.

2. Po weryfikacji, opinii i poprawkach rozpoczynamy proces stopniowego wdrażania w ograniczony sposób i najpierw do subskrybentów kanału w wersji zapoznawczej.

3. Następnie przejdziemy do wydania aktualizacji dla pozostałej części populacji globalnej, skalując w poziomie od 10 do 100%.

Nasi inżynierowie stale monitorują wpływ i eskalują wszelkie problemy, aby w razie potrzeby utworzyć poprawkę.

Jak dostosować wewnętrzny proces wdrażania

Jeśli maszyny otrzymują aktualizacje usługi Defender z Windows Update, stopniowy proces wdrażania może spowodować, że niektóre urządzenia będą otrzymywać aktualizacje usługi Defender wcześniej niż inne. W poniższej sekcji wyjaśniono, jak zdefiniować strategię, która umożliwi automatyczne aktualizacje przepływać inaczej do określonych grup urządzeń przy użyciu konfiguracji kanału aktualizacji.

Uwaga

Podczas planowania własnej wersji stopniowej upewnij się, że zawsze masz wybór urządzeń subskrybowanych w wersji zapoznawczej i kanałach etapowych. Zapewni to organizacji, a także firmie Microsoft możliwość zapobiegania lub znajdowania i rozwiązywania problemów specyficznych dla danego środowiska.

W przypadku maszyn odbierających aktualizacje za pośrednictwem, na przykład Windows Server Update Services (WSUS) lub Microsoft Configuration Manager, dostępne są dodatkowe opcje dla wszystkich aktualizacji systemu Windows, w tym opcje dla Ochrona punktu końcowego w usłudze Microsoft Defender.

• Dowiedz się więcej na temat sposobu używania rozwiązań, takich jak WSUS i MECM, do zarządzania dystrybucją i stosowaniem aktualizacji w sekcji Zarządzanie aktualizacjami programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia — zabezpieczenia systemu Windows.

Aktualizowanie kanałów dla aktualizacji miesięcznych

Maszynę można przypisać do kanału aktualizacji w celu zdefiniowania okresu, w którym maszyna otrzymuje miesięczne aktualizacje aparatu i platformy.

Aby uzyskać więcej informacji na temat konfigurowania aktualizacji, zobacz Tworzenie niestandardowego procesu stopniowego wdrażania dla aktualizacji Microsoft Defender.

Dostępne są następujące kanały aktualizacji:

Nazwa kanału	Opis	Aplikacja
Kanał beta — wersja wstępna	Testowanie aktualizacji przed innymi	Urządzenia ustawione na ten kanał są pierwszymi, które otrzymują nowe miesięczne aktualizacje. Wybierz pozycję Beta Channel, aby wziąć udział w identyfikowaniu i zgłaszaniu problemów firmie Microsoft. Urządzenia w programie niejawnych testów systemu Windows są domyślnie subskrybowane w tym kanale. Do użytku tylko w środowiskach testowych.
Bieżący kanał (wersja zapoznawcza)	Pobieranie aktualizacji bieżącego kanału wcześniej podczas stopniowego wydawania	Urządzenia ustawione na ten kanał są oferowane najwcześniej podczas stopniowego cyklu wydawania. Sugerowane dla środowisk przedprodukcyjnych/walidacyjnych.
Bieżący kanał (etapowy)	Pobieranie aktualizacji bieżącego kanału później podczas stopniowego wydawania	Urządzenia są oferowane aktualizacje później podczas stopniowego cyklu wydawania. Sugerowane zastosowanie do niewielkiej, reprezentatywnej części populacji urządzeń (~10%).
Bieżący kanał (szeroki)	Pobieranie aktualizacji po zakończeniu stopniowego wydawania	Urządzenia będą oferowane aktualizacje dopiero po zakończeniu stopniowego cyklu wydawania. Sugerowane zastosowanie do szerokiego zestawu urządzeń w populacji produkcyjnej (~10–100%).
Krytyczne: opóźnienie czasu	Opóźnij aktualizacje usługi Defender	Urządzenia są oferowane aktualizacje z 48-godzinnym opóźnieniem. Najlepiej w przypadku maszyn centrów danych, które otrzymują tylko ograniczone aktualizacje. Sugerowane tylko dla środowisk krytycznych.
(wartość domyślna)		Jeśli te zasady zostaną wyłączone lub nie zostaną skonfigurowane, urządzenie pozostanie w bieżącym kanale (domyślnym): bądź na bieżąco automatycznie podczas stopniowego cyklu wydawania. Oznacza to, że firma Microsoft przypisuje kanał do urządzenia. Kanał wybrany przez firmę Microsoft może być kanałem, który otrzymuje aktualizacje na wczesnym etapie stopniowego cyklu wydawania, co nie jest odpowiednie dla urządzeń w środowisku produkcyjnym lub krytycznym.

Aktualizowanie kanałów na potrzeby aktualizacji analizy zabezpieczeń

Możesz również przypisać maszynę do kanału w celu zdefiniowania kadencji, w której odbiera ona jednostki SIU (wcześniej nazywane sygnaturą, definicją lub codziennymi aktualizacjami). W przeciwieństwie do procesu miesięcznego, nie ma kanału beta i ten stopniowy cykl wydawania występuje wiele razy dziennie.

Nazwa kanału	Opis	Aplikacja
Bieżący kanał (etapowy)	Pobieranie aktualizacji bieżącego kanału później podczas stopniowego wydawania	Urządzenia są oferowane aktualizacje później podczas stopniowego cyklu wydawania. Sugerowane zastosowanie do niewielkiej, reprezentatywnej części populacji urządzeń (~10%).
Bieżący kanał (szeroki)	Pobieranie aktualizacji po zakończeniu stopniowego wydawania	Urządzenia będą oferowane aktualizacje po stopniowej wersji cyklu. Najlepiej w przypadku maszyn centrów danych, które otrzymują tylko ograniczone aktualizacje. Uwaga: to ustawienie dotyczy wszystkich aktualizacji usługi Defender.
(wartość domyślna)		Jeśli te zasady zostaną wyłączone lub nie zostaną skonfigurowane, urządzenie pozostanie w bieżącym kanale (domyślnym): bądź na bieżąco automatycznie podczas stopniowego cyklu wydawania. Oznacza to, że firma Microsoft przypisuje kanał do urządzenia. Kanał wybrany przez firmę Microsoft może być kanałem, który otrzymuje aktualizacje na wczesnym etapie stopniowego cyklu wydawania, co nie jest odpowiednie dla urządzeń w środowisku produkcyjnym lub krytycznym.

Uwaga

Jeśli chcesz wymusić aktualizację najnowszego podpisu, zamiast korzystać z opóźnienia czasu, musisz najpierw usunąć te zasady.

Wskazówki dotyczące aktualizacji

W większości przypadków zalecana konfiguracja podczas korzystania z Windows Update polega na umożliwieniu punktom końcowym otrzymywania i stosowania miesięcznych aktualizacji usługi Defender w miarę ich pojawiania się. Ta opcja zapewnia najlepszą równowagę między ochroną a możliwym wpływem związanym ze zmianami, które mogą wprowadzić.

W przypadku środowisk, w których istnieje potrzeba bardziej kontrolowanego stopniowego wdrażania automatycznych aktualizacji usługi Defender, rozważ podejście do grup wdrożeń:

1. Weź udział w programie testów systemu Windows lub przypisz grupę urządzeń do kanału beta.

2. Wyznaczyć grupę pilotażową, która decyduje się na dostęp do kanału w wersji zapoznawczej, zazwyczaj środowisk walidacji, w celu wczesnego otrzymywania nowych aktualizacji.

3. Wyznaczyć grupę maszyn, które będą otrzymywać aktualizacje później podczas stopniowego wdrażania z kanału etapowego. Zazwyczaj ta grupa będzie reprezentatywna dla około 10% populacji.

4. Wyznaczyć grupę maszyn, które odbierają aktualizacje po zakończeniu stopniowego cyklu wydawania. Są to zazwyczaj ważne systemy produkcyjne.

W przypadku pozostałych urządzeń ustawieniem domyślnym jest otrzymywanie nowych aktualizacji w miarę ich pojawiania się podczas procesu stopniowego wdrażania firmy Microsoft i nie jest wymagana żadna dalsza konfiguracja.

Przyjęcie tego modelu:

• Umożliwia testowanie wczesnych wersji, zanim dotrą one do środowiska produkcyjnego
• Upewnij się, że środowisko produkcyjne nadal otrzymuje regularne aktualizacje i zapewnia ochronę przed zagrożeniami krytycznymi.

Narzędzia do zarządzania

Aby utworzyć własny niestandardowy proces stopniowego wdrażania aktualizacji miesięcznych, możesz użyć następujących narzędzi:

• Zasady grupy
• Microsoft Intune
• PowerShell

Aby uzyskać szczegółowe informacje na temat korzystania z tych narzędzi, zobacz Tworzenie niestandardowego procesu stopniowego wdrażania dla aktualizacji Microsoft Defender.

Porada

Jeśli szukasz informacji dotyczących programu antywirusowego dla innych platform, zobacz:

• Ustaw preferencje dla ochrony punktu końcowego usługi Microsoft Defender w systemie macOS
• Ochrona punktu końcowego w usłudze Microsoft Defender na komputerze Mac
• Ustawienia zasad ochrony antywirusowej systemu macOS dla programu antywirusowego Microsoft Defender dla usługi Intune
• Ustaw preferencje dla ochrony punktu końcowego w usłudze Microsoft Defender w systemie Linux
• Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie
• Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu Android
• Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu iOS

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.