Udostępnij za pośrednictwem


Wdrażanie pierścienia produkcyjnego programu antywirusowego Microsoft Defender przy użyciu zasad grupy i udziału sieciowego

Dotyczy:

Platformy

  • System Windows
  • Serwer z systemem Windows

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Microsoft Defender for Endpoint to platforma zabezpieczeń punktów końcowych przedsiębiorstwa, która pomaga sieciom przedsiębiorstw w zapobieganiu zaawansowanym zagrożeniom, wykrywaniu i badaniu ich oraz reagowaniu na nie.

Porada

Usługa Microsoft Defender dla punktu końcowego jest dostępna w dwóch planach: Defender for Endpoint Plan 1 i Plan 2. Nowy dodatek do zarządzania lukami w zabezpieczeniach usługi Microsoft Defender jest teraz dostępny dla planu 2.

Wprowadzenie

W tym artykule opisano sposób wdrażania programu antywirusowego Microsoft Defender w pierścieniach przy użyciu zasad grupy i udziału sieciowego (znanego również jako ścieżka UNC, SMB, CIFS).

Wymagania wstępne

Zapoznaj się z artykułem read me w readme

  1. Pobierz najnowsze pliki Windows Defender .admx i .adml.

  2. Skopiuj najnowsze pliki .admx i adml do centralnego magazynu kontrolera domeny.

  3. Tworzenie udziału UNC na potrzeby analizy zabezpieczeń i aktualizacji platformy

Konfigurowanie środowiska pilotażowego

W tej sekcji opisano proces konfigurowania pilotażowego środowiska UAT/Test/QA. W systemach windows i/lub Windows Server 10–500* w zależności od liczby wszystkich systemów.

Zrzut ekranu przedstawiający przykładowy harmonogram wdrażania pierścienia programu antywirusowego Microsoft Defender dla zasad grupy i środowisk udziałów sieciowych.

Uwaga

Aktualizacja analizy zabezpieczeń (SIU) jest równoważna aktualizacjom sygnatur, które są takie same jak aktualizacje definicji.

Tworzenie udziału UNC na potrzeby analizy zabezpieczeń

Skonfiguruj udział plików sieciowych (dysk UNC/mapowany), aby pobrać analizę zabezpieczeń z lokacji PROGRAMU MMPC przy użyciu zaplanowanego zadania.

  1. W systemie, w którym chcesz aprowizować udział i pobrać aktualizacje, utwórz folder, w którym zapiszesz skrypt.

    Start, CMD (Run as admin)
    MD C:\Tool\PS-Scripts\
    
  2. Utwórz folder, w którym zostaną zapisane aktualizacje podpisu.

    MD C:\Temp\TempSigs\x64
    MD C:\Temp\TempSigs\x86
    
  3. Konfigurowanie skryptu programu PowerShell, CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. Użyj wiersza polecenia, aby skonfigurować zaplanowane zadanie.

    Uwaga

    Istnieją dwa typy aktualizacji: pełne i różnicowe.

    • W przypadku różnicy x64:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Dla x64 full:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • W przypadku różnicy x86:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Dla x86 full:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      

    Uwaga

    Po utworzeniu zaplanowanych zadań można je znaleźć w harmonogramie zadań w obszarze Microsoft\Windows\Windows Defender.

  5. Uruchom każde zadanie ręcznie i sprawdź, czy masz dane (mpam-d.exe, mpam-fe.exei nis_full.exe) w następujących folderach (być może wybrano różne lokalizacje):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Jeśli zaplanowane zadanie zakończy się niepowodzeniem, uruchom następujące polecenia:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
    

    Uwaga

    Problemy mogą być również spowodowane zasadami wykonywania.

  6. Utwórz udział wskazujący na C:\Temp\TempSigs (np. \\server\updates).

    Uwaga

    Co najmniej uwierzytelnieni użytkownicy muszą mieć dostęp do odczytu. To wymaganie dotyczy również komputerów domeny, udziału i systemu plików NTFS (zabezpieczenia).

  7. Ustaw lokalizację udziału w zasadach na udział.

    Uwaga

    Nie należy dodawać folderu x64 (lub x86) w ścieżce. Proces mpcmdrun.exe dodaje go automatycznie.

Konfigurowanie środowiska pilotażowego (UAT/Test/QA)

W tej sekcji opisano proces konfigurowania pilotażowego środowiska UAT / Test / QA w około 10-500 systemach Windows i/lub Windows Server, w zależności od liczby wszystkich systemów.

Uwaga

Jeśli masz środowisko Citrix, dołącz co najmniej 1 maszynę wirtualną Citrix (nietrwałą) i/lub (trwałą)

W konsoli zarządzania zasadami grupy (GPMC, GPMC.msc) utwórz lub dołącz do zasad programu antywirusowego Microsoft Defender.

  1. Edytuj zasady programu antywirusowego Microsoft Defender. Na przykład edytuj MDAV_Settings_Pilot. Przejdź dopozycji Zasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu WindowsProgram antywirusowy Microsoft Defender. Istnieją trzy powiązane opcje:

    Funkcja Zalecenie dotyczące systemów pilotażowych
    Wybierz kanał codziennych aktualizacji analizy zabezpieczeń usługi Microsoft Defender Bieżący kanał (etapowy)
    Wybieranie kanału dla comiesięcznych aktualizacji aparatu usługi Microsoft Defender Kanał beta
    Wybieranie kanału dla comiesięcznych aktualizacji platformy usługi Microsoft Defender Kanał beta

    Na poniższej ilustracji przedstawiono trzy opcje.

    Zrzut ekranu przedstawiający przechwytywanie ekranu pilotażowych zasad > konfiguracji > komputera Szablony > administracyjne Składniki > systemu Windows Program antywirusowy Microsoft Defender — kanały aktualizacji.

    Aby uzyskać więcej informacji, zobacz Zarządzanie procesem stopniowego wdrażania aktualizacji usługi Microsoft Defender

  2. Przejdź dopozycji Zasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu WindowsProgram antywirusowy Microsoft Defender.

  3. W przypadku aktualizacji analizy kliknij dwukrotnie pozycję Wybierz kanał dla miesięcznych aktualizacji analizy usługi Microsoft Defender.

    Zrzut ekranu przedstawiający zrzut ekranu przedstawiający stronę Wybieranie kanału dla miesięcznych aktualizacji analizy usługi Microsoft Defender z wybraną opcją Włączone i Bieżący kanał (etapowa).

  4. Na stronie Wybieranie kanału dla miesięcznych aktualizacji analizy usługi Microsoft Defender wybierz pozycję Włączone, a następnie w obszarze Opcje wybierz pozycję Bieżący kanał (przygotowany).

  5. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.

  6. Przejdź dopozycji Zasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu WindowsProgram antywirusowy Microsoft Defender.

  7. W przypadku aktualizacji aparatu kliknij dwukrotnie pozycję Wybierz kanał dla comiesięcznych aktualizacji aparatu usługi Microsoft Defender.

  8. Na stronie Wybieranie kanału dla miesięcznych aktualizacji platformy usługi Microsoft Defender wybierz pozycję Włączone, a w obszarze Opcje wybierz pozycję Kanał beta.

  9. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.

  10. W przypadku aktualizacji platformy kliknij dwukrotnie pozycję Wybierz kanał dla miesięcznych aktualizacji platformy usługi Microsoft Defender.

  11. Na stronie Wybieranie kanału dla miesięcznych aktualizacji platformy usługi Microsoft Defender wybierz pozycję Włączone, a w obszarze Opcje wybierz pozycję Kanał beta. Te dwa ustawienia są wyświetlane na poniższej ilustracji:

  12. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.

Konfigurowanie środowiska produkcyjnego

  1. W konsoli zarządzania zasadami grupy (GPMC, GPMC.msc) przejdź dopozycji Zasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemuWindows Microsoft Defender Antivirus.

    Zrzut ekranu przedstawiający zrzut ekranu przedstawiający produkcyjne zasady > konfiguracji > komputera Szablony administracyjne Składniki > systemu Windows Kanały > aktualizacji programu antywirusowego Microsoft Defender.

  2. Ustaw trzy zasady w następujący sposób:

    Funkcja Zalecenie dotyczące systemów produkcyjnych Uwagi
    Wybierz kanał codziennych aktualizacji analizy zabezpieczeń usługi Microsoft Defender Bieżący kanał (szeroki) To ustawienie zapewnia 3 godziny czasu na znalezienie fp i uniemożliwić systemom produkcyjnym uzyskanie niezgodnej aktualizacji podpisu.
    Wybieranie kanału dla comiesięcznych aktualizacji aparatu usługi Microsoft Defender Krytyczne — opóźnienie czasu Aktualizacje są opóźnione o dwa dni.
    Wybieranie kanału dla comiesięcznych aktualizacji platformy usługi Microsoft Defender Krytyczne — opóźnienie czasu Aktualizacje są opóźnione o dwa dni.
  3. W przypadku aktualizacji analizy kliknij dwukrotnie pozycję Wybierz kanał dla miesięcznych aktualizacji analizy usługi Microsoft Defender.

  4. Na stronie Wybieranie kanału dla miesięcznych aktualizacji analizy usługi Microsoft Defender wybierz pozycję Włączone, a w obszarze Opcje wybierz pozycję Bieżący kanał (szeroki).

    Zrzut ekranu przedstawiający zrzut ekranu przedstawiający stronę Wybieranie kanału dla miesięcznych aktualizacji analizy usługi Microsoft Defender z wybraną opcją Włączone i Bieżący kanał (etapowa).

  5. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.

  6. W przypadku aktualizacji aparatu kliknij dwukrotnie pozycję Wybierz kanał dla comiesięcznych aktualizacji aparatu usługi Microsoft Defender.

  7. Na stronie Wybieranie kanału dla miesięcznych aktualizacji platformy usługi Microsoft Defender wybierz pozycję Włączone, a w obszarze Opcje wybierz pozycję Krytyczne — opóźnienie czasu.

  8. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.

  9. W przypadku aktualizacji platformy kliknij dwukrotnie pozycję Wybierz kanał dla miesięcznych aktualizacji platformy usługi Microsoft Defender.

  10. Na stronie Wybieranie kanału dla miesięcznych aktualizacji platformy usługi Microsoft Defender wybierz pozycję Włączone, a w obszarze Opcje wybierz pozycję Krytyczne — opóźnienie czasu.

  11. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK.

Jeśli wystąpią problemy

Jeśli wystąpią problemy z wdrożeniem, utwórz lub dołącz zasady programu antywirusowego Microsoft Defender:

  1. W konsoli zarządzania zasadami grupy (GPMC, GPMC.msc) utwórz lub dołącz do zasad programu antywirusowego Microsoft Defender przy użyciu następującego ustawienia:

    Przejdź do pozycjiZasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu WindowsProgram antywirusowy> Microsoft Defender (zdefiniowany przez administratora) PolicySettingName. Na przykład MDAV_Settings_Production, kliknij prawym przyciskiem myszy, a następnie wybierz pozycję Edytuj. Edytuj dla MDAV_Settings_Production jest wyświetlany na poniższej ilustracji:

    Zrzut ekranu przedstawiający zrzut ekranu przedstawiający zdefiniowaną przez administratora opcję Edycja zasad ochrony antywirusowej Microsoft Defender.

  2. Wybierz pozycję Zdefiniuj kolejność źródeł pobierania aktualizacji analizy zabezpieczeń.

  3. Wybierz przycisk radiowy o nazwie Włączone.

  4. W obszarze Opcje:zmień wpis na FileShares, wybierz pozycję Zastosuj, a następnie wybierz przycisk OK. Ta zmiana jest wyświetlana na poniższej ilustracji:

    Zrzut ekranu przedstawiający zrzut ekranu przedstawiający stronę Definiowanie kolejności źródeł pobierania aktualizacji analizy zabezpieczeń.

  5. Wybierz pozycję Zdefiniuj kolejność źródeł pobierania aktualizacji analizy zabezpieczeń.

  6. Wybierz przycisk radiowy o nazwie Wyłączone, wybierz pozycję Zastosuj, a następnie wybierz przycisk OK. Wyłączona opcja jest wyświetlana na poniższej ilustracji:

    Zrzut ekranu przedstawiający zrzut ekranu przedstawiający stronę Definiowanie kolejności źródeł pobierania aktualizacji analizy zabezpieczeń z wyłączonymi aktualizacjami analizy zabezpieczeń.

  7. Zmiana jest aktywna podczas aktualizacji zasad grupy. Istnieją dwie metody odświeżania zasad grupy:

    • W wierszu polecenia uruchom polecenie aktualizacji zasad grupy. Na przykład uruchom polecenie gpupdate / force. Aby uzyskać więcej informacji, zobacz gpupdate
    • Zaczekaj na automatyczne odświeżenie zasad grupy. Zasady grupy są odświeżane co 90 minut +/- 30 minut.

    Jeśli masz wiele lasów/domen, wymuś replikację lub poczekaj 10–15 minut. Następnie wymuś aktualizację zasad grupy z konsoli zarządzania zasadami grupy.

    • Kliknij prawym przyciskiem myszy jednostkę organizacyjną zawierającą maszyny (na przykład komputery stacjonarne), wybierz pozycję Aktualizacja zasad grupy. To polecenie interfejsu użytkownika jest odpowiednikiem wykonywania gpupdate.exe /force na każdej maszynie w tej jednostce organizacyjnej. Funkcja wymuszenia odświeżania zasad grupy jest wyświetlana na poniższej ilustracji:

      Zrzut ekranu przedstawiający przechwytywanie ekranu konsoli zarządzania zasadami grupy, inicjujące wymuszoną aktualizację.

  8. Po rozwiązaniu problemu ustaw kolejność rezerwowa aktualizacji sygnatury z powrotem na oryginalne ustawienie. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

Zobacz też

Omówienie wdrażania pierścienia programu antywirusowego Microsoft Defender