Wdrażanie pierścienia produkcyjnego programu antywirusowego Microsoft Defender przy użyciu zasad grupy i udziału sieciowego
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
- Program antywirusowy Microsoft Defender
Platformy
- System Windows
- Serwer z systemem Windows
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Microsoft Defender for Endpoint to platforma zabezpieczeń punktów końcowych przedsiębiorstwa, która pomaga sieciom przedsiębiorstw w zapobieganiu zaawansowanym zagrożeniom, wykrywaniu i badaniu ich oraz reagowaniu na nie.
Porada
Usługa Microsoft Defender dla punktu końcowego jest dostępna w dwóch planach: Defender for Endpoint Plan 1 i Plan 2. Nowy dodatek do zarządzania lukami w zabezpieczeniach usługi Microsoft Defender jest teraz dostępny dla planu 2.
Wprowadzenie
W tym artykule opisano sposób wdrażania programu antywirusowego Microsoft Defender w pierścieniach przy użyciu zasad grupy i udziału sieciowego (znanego również jako ścieżka UNC, SMB, CIFS).
Wymagania wstępne
Zapoznaj się z artykułem read me w readme
Pobierz najnowsze pliki Windows Defender .admx i .adml.
Skopiuj najnowsze pliki .admx i adml do centralnego magazynu kontrolera domeny.
Tworzenie udziału UNC na potrzeby analizy zabezpieczeń i aktualizacji platformy
Konfigurowanie środowiska pilotażowego
W tej sekcji opisano proces konfigurowania pilotażowego środowiska UAT/Test/QA. W systemach windows i/lub Windows Server 10–500* w zależności od liczby wszystkich systemów.
Uwaga
Aktualizacja analizy zabezpieczeń (SIU) jest równoważna aktualizacjom sygnatur, które są takie same jak aktualizacje definicji.
Tworzenie udziału UNC na potrzeby analizy zabezpieczeń
Skonfiguruj udział plików sieciowych (dysk UNC/mapowany), aby pobrać analizę zabezpieczeń z lokacji PROGRAMU MMPC przy użyciu zaplanowanego zadania.
W systemie, w którym chcesz aprowizować udział i pobrać aktualizacje, utwórz folder, w którym zapiszesz skrypt.
Start, CMD (Run as admin) MD C:\Tool\PS-Scripts\
Utwórz folder, w którym zostaną zapisane aktualizacje podpisu.
MD C:\Temp\TempSigs\x64 MD C:\Temp\TempSigs\x86
Konfigurowanie skryptu programu PowerShell,
CopySignatures.ps1
Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"
Użyj wiersza polecenia, aby skonfigurować zaplanowane zadanie.
Uwaga
Istnieją dwa typy aktualizacji: pełne i różnicowe.
W przypadku różnicy x64:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Dla x64 full:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
W przypadku różnicy x86:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Dla x86 full:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Uwaga
Po utworzeniu zaplanowanych zadań można je znaleźć w harmonogramie zadań w obszarze
Microsoft\Windows\Windows Defender
.Uruchom każde zadanie ręcznie i sprawdź, czy masz dane (
mpam-d.exe
,mpam-fe.exe
inis_full.exe
) w następujących folderach (być może wybrano różne lokalizacje):C:\Temp\TempSigs\x86
C:\Temp\TempSigs\x64
Jeśli zaplanowane zadanie zakończy się niepowodzeniem, uruchom następujące polecenia:
C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
Uwaga
Problemy mogą być również spowodowane zasadami wykonywania.
Utwórz udział wskazujący na
C:\Temp\TempSigs
(np.\\server\updates
).Uwaga
Co najmniej uwierzytelnieni użytkownicy muszą mieć dostęp do odczytu. To wymaganie dotyczy również komputerów domeny, udziału i systemu plików NTFS (zabezpieczenia).
Ustaw lokalizację udziału w zasadach na udział.
Uwaga
Nie należy dodawać folderu x64 (lub x86) w ścieżce. Proces mpcmdrun.exe dodaje go automatycznie.
Konfigurowanie środowiska pilotażowego (UAT/Test/QA)
W tej sekcji opisano proces konfigurowania pilotażowego środowiska UAT / Test / QA w około 10-500 systemach Windows i/lub Windows Server, w zależności od liczby wszystkich systemów.
Uwaga
Jeśli masz środowisko Citrix, dołącz co najmniej 1 maszynę wirtualną Citrix (nietrwałą) i/lub (trwałą)
W konsoli zarządzania zasadami grupy (GPMC, GPMC.msc) utwórz lub dołącz do zasad programu antywirusowego Microsoft Defender.
Edytuj zasady programu antywirusowego Microsoft Defender. Na przykład edytuj MDAV_Settings_Pilot. Przejdź dopozycji Zasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu WindowsProgram antywirusowy Microsoft Defender. Istnieją trzy powiązane opcje:
Funkcja Zalecenie dotyczące systemów pilotażowych Wybierz kanał codziennych aktualizacji analizy zabezpieczeń usługi Microsoft Defender Bieżący kanał (etapowy) Wybieranie kanału dla comiesięcznych aktualizacji aparatu usługi Microsoft Defender Kanał beta Wybieranie kanału dla comiesięcznych aktualizacji platformy usługi Microsoft Defender Kanał beta Na poniższej ilustracji przedstawiono trzy opcje.
Aby uzyskać więcej informacji, zobacz Zarządzanie procesem stopniowego wdrażania aktualizacji usługi Microsoft Defender
Przejdź dopozycji Zasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu WindowsProgram antywirusowy Microsoft Defender.
W przypadku aktualizacji analizy kliknij dwukrotnie pozycję Wybierz kanał dla miesięcznych aktualizacji analizy usługi Microsoft Defender.
Na stronie Wybieranie kanału dla miesięcznych aktualizacji analizy usługi Microsoft Defender wybierz pozycję Włączone, a następnie w obszarze Opcje wybierz pozycję Bieżący kanał (przygotowany).
Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.
Przejdź dopozycji Zasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu WindowsProgram antywirusowy Microsoft Defender.
W przypadku aktualizacji aparatu kliknij dwukrotnie pozycję Wybierz kanał dla comiesięcznych aktualizacji aparatu usługi Microsoft Defender.
Na stronie Wybieranie kanału dla miesięcznych aktualizacji platformy usługi Microsoft Defender wybierz pozycję Włączone, a w obszarze Opcje wybierz pozycję Kanał beta.
Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.
W przypadku aktualizacji platformy kliknij dwukrotnie pozycję Wybierz kanał dla miesięcznych aktualizacji platformy usługi Microsoft Defender.
Na stronie Wybieranie kanału dla miesięcznych aktualizacji platformy usługi Microsoft Defender wybierz pozycję Włączone, a w obszarze Opcje wybierz pozycję Kanał beta. Te dwa ustawienia są wyświetlane na poniższej ilustracji:
Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.
Artykuły pokrewne
- Profile antywirusowe — urządzenia zarządzane przez usługę Microsoft Intune
- Zarządzanie zachowaniem aktualizacji usługi Microsoft Defender za pomocą zasad ochrony antywirusowej zabezpieczeń punktu końcowego (wersja zapoznawcza)
- Zarządzanie procesem stopniowego wdrażania aktualizacji usługi Microsoft Defender
Konfigurowanie środowiska produkcyjnego
W konsoli zarządzania zasadami grupy (GPMC, GPMC.msc) przejdź dopozycji Zasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemuWindows Microsoft Defender Antivirus.
Ustaw trzy zasady w następujący sposób:
Funkcja Zalecenie dotyczące systemów produkcyjnych Uwagi Wybierz kanał codziennych aktualizacji analizy zabezpieczeń usługi Microsoft Defender Bieżący kanał (szeroki) To ustawienie zapewnia 3 godziny czasu na znalezienie fp i uniemożliwić systemom produkcyjnym uzyskanie niezgodnej aktualizacji podpisu. Wybieranie kanału dla comiesięcznych aktualizacji aparatu usługi Microsoft Defender Krytyczne — opóźnienie czasu Aktualizacje są opóźnione o dwa dni. Wybieranie kanału dla comiesięcznych aktualizacji platformy usługi Microsoft Defender Krytyczne — opóźnienie czasu Aktualizacje są opóźnione o dwa dni. W przypadku aktualizacji analizy kliknij dwukrotnie pozycję Wybierz kanał dla miesięcznych aktualizacji analizy usługi Microsoft Defender.
Na stronie Wybieranie kanału dla miesięcznych aktualizacji analizy usługi Microsoft Defender wybierz pozycję Włączone, a w obszarze Opcje wybierz pozycję Bieżący kanał (szeroki).
Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.
W przypadku aktualizacji aparatu kliknij dwukrotnie pozycję Wybierz kanał dla comiesięcznych aktualizacji aparatu usługi Microsoft Defender.
Na stronie Wybieranie kanału dla miesięcznych aktualizacji platformy usługi Microsoft Defender wybierz pozycję Włączone, a w obszarze Opcje wybierz pozycję Krytyczne — opóźnienie czasu.
Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.
W przypadku aktualizacji platformy kliknij dwukrotnie pozycję Wybierz kanał dla miesięcznych aktualizacji platformy usługi Microsoft Defender.
Na stronie Wybieranie kanału dla miesięcznych aktualizacji platformy usługi Microsoft Defender wybierz pozycję Włączone, a w obszarze Opcje wybierz pozycję Krytyczne — opóźnienie czasu.
Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.
Jeśli wystąpią problemy
Jeśli wystąpią problemy z wdrożeniem, utwórz lub dołącz zasady programu antywirusowego Microsoft Defender:
W konsoli zarządzania zasadami grupy (GPMC, GPMC.msc) utwórz lub dołącz do zasad programu antywirusowego Microsoft Defender przy użyciu następującego ustawienia:
Przejdź do pozycjiZasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu WindowsProgram antywirusowy> Microsoft Defender (zdefiniowany przez administratora) PolicySettingName. Na przykład MDAV_Settings_Production, kliknij prawym przyciskiem myszy, a następnie wybierz pozycję Edytuj. Edytuj dla MDAV_Settings_Production jest wyświetlany na poniższej ilustracji:
Wybierz pozycję Zdefiniuj kolejność źródeł pobierania aktualizacji analizy zabezpieczeń.
Wybierz przycisk radiowy o nazwie Włączone.
W obszarze Opcje:zmień wpis na FileShares, wybierz pozycję Zastosuj, a następnie wybierz przycisk OK. Ta zmiana jest wyświetlana na poniższej ilustracji:
Wybierz pozycję Zdefiniuj kolejność źródeł pobierania aktualizacji analizy zabezpieczeń.
Wybierz przycisk radiowy o nazwie Wyłączone, wybierz pozycję Zastosuj, a następnie wybierz przycisk OK. Wyłączona opcja jest wyświetlana na poniższej ilustracji:
Zmiana jest aktywna podczas aktualizacji zasad grupy. Istnieją dwie metody odświeżania zasad grupy:
- W wierszu polecenia uruchom polecenie aktualizacji zasad grupy. Na przykład uruchom polecenie
gpupdate / force
. Aby uzyskać więcej informacji, zobacz gpupdate - Zaczekaj na automatyczne odświeżenie zasad grupy. Zasady grupy są odświeżane co 90 minut +/- 30 minut.
Jeśli masz wiele lasów/domen, wymuś replikację lub poczekaj 10–15 minut. Następnie wymuś aktualizację zasad grupy z konsoli zarządzania zasadami grupy.
Kliknij prawym przyciskiem myszy jednostkę organizacyjną zawierającą maszyny (na przykład komputery stacjonarne), wybierz pozycję Aktualizacja zasad grupy. To polecenie interfejsu użytkownika jest odpowiednikiem wykonywania gpupdate.exe /force na każdej maszynie w tej jednostce organizacyjnej. Funkcja wymuszenia odświeżania zasad grupy jest wyświetlana na poniższej ilustracji:
- W wierszu polecenia uruchom polecenie aktualizacji zasad grupy. Na przykład uruchom polecenie
Po rozwiązaniu problemu ustaw kolejność rezerwowa aktualizacji sygnatury z powrotem na oryginalne ustawienie.
InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare
.
Zobacz też
Omówienie wdrażania pierścienia programu antywirusowego Microsoft Defender