Gerenciar as fontes das atualizações de proteção do Microsoft Defender Antivírus

  • Artigo

Aplica-se a:

Plataformas

  • Windows

Manter a proteção antivírus atualizada é fundamental. Há dois componentes para gerenciar atualizações de proteção para Microsoft Defender Antivírus:

  • De onde as atualizações são baixadas; E
  • Quando as atualizações são baixadas e aplicadas.

Este artigo descreve como especificar de onde as atualizações devem ser baixadas (essa especificação também é conhecida como a ordem de fallback). Consulte Gerenciar atualizações Microsoft Defender Antivírus e aplicar artigo de linhas de base para obter uma visão geral sobre como as atualizações funcionam e como configurar outros aspectos das atualizações (como agendar atualizações).

Importante

Microsoft Defender atualizações de inteligência de segurança antivírus e atualizações de plataforma são entregues por meio de Windows Update e a partir de segunda-feira, 21 de outubro de 2019, todas as atualizações de inteligência de segurança são assinadas exclusivamente pelo SHA-2. Seus dispositivos devem ser atualizados para dar suporte ao SHA-2 para atualizar sua inteligência de segurança. Para saber mais, consulte Requisito de suporte de assinatura de código SHA-2 2019 para Windows e WSUS.

Ordem fallback

Normalmente, você configura pontos de extremidade para baixar individualmente atualizações de uma fonte primária seguidas por outras fontes por ordem de prioridade, com base na configuração de rede. Atualizações são obtidos de fontes na ordem especificada. Se as atualizações da fonte atual estiverem desatualizadas, a próxima fonte da lista será usada imediatamente.

Quando as atualizações são publicadas, alguma lógica é aplicada para minimizar o tamanho da atualização. Na maioria dos casos, apenas as diferenças entre a atualização mais recente e a atualização atualmente instalada (o conjunto de diferenças é chamado de delta) no dispositivo são baixadas e aplicadas. No entanto, o tamanho do delta depende de dois fatores main:

  • A idade da última atualização no dispositivo; E
  • A origem usada para baixar e aplicar atualizações.

Quanto mais antigas as atualizações em um ponto de extremidade, maior será o download. No entanto, você também deve considerar a frequência de download também. Um agendamento de atualização mais frequente pode resultar em mais uso de rede, enquanto um agendamento menos frequente pode resultar em tamanhos de arquivo maiores por download.

Há cinco locais em que você pode especificar onde um ponto de extremidade deve obter atualizações:

Observação

  1. Intune Servidor de Atualização de Definição Interna. Se você usar SCCM/SUP para obter atualizações de definição para Microsoft Defender Antivírus e acessar Windows Update em dispositivos cliente bloqueados, poderá fazer a transição para o cogerenciamento e descarregar a carga de trabalho de proteção do ponto de extremidade para Intune. Na política antimalware configurada no Intune há uma opção "servidor de atualização de definição interna" que você pode definir para usar o WSUS local como a fonte de atualização. Essa configuração ajuda você a controlar quais atualizações do servidor WU oficial são aprovadas para a empresa e também ajuda o proxy e a salvar o tráfego de rede na rede oficial do Windows Atualizações.

  2. Sua política e registro podem ter isso listado como inteligência de segurança Centro de Proteção contra Malware da Microsoft (MMPC), seu nome anterior.

Para garantir o melhor nível de proteção, o Microsoft Update permite versões rápidas, o que significa downloads menores com frequência. O Serviço de Atualização do Windows Server, o Microsoft Endpoint Configuration Manager, as atualizações de inteligência de segurança da Microsoft e as fontes de atualizações de plataforma fornecem atualizações menos frequentes. Assim, o delta pode ser maior, resultando em downloads maiores.

Atualizações de plataforma e atualizações de mecanismo são lançadas em uma cadência mensal. As atualizações de inteligência de segurança são entregues várias vezes por dia, mas esse pacote delta não contém uma atualização do mecanismo. Consulte Microsoft Defender inteligência de segurança antivírus e atualizações de produtos.

Importante

Se você tiver definido as atualizações da página de inteligência de segurança da Microsoft como uma fonte de fallback após o Serviço de Atualização do Windows Server ou o Microsoft Update, as atualizações só serão baixadas de atualizações de inteligência de segurança e atualizações de plataforma quando a atualização atual for considerada desatualizada. (Por padrão, são sete dias consecutivos de não poder aplicar atualizações do Serviço de Atualização do Windows Server ou dos serviços do Microsoft Update). No entanto, você pode definir o número de dias antes que a proteção seja relatada como desatualizada.

A partir de segunda-feira, 21 de outubro de 2019, as atualizações de inteligência de segurança e as atualizações da plataforma são assinadas exclusivamente pelo SHA-2. Os dispositivos devem ser atualizados para dar suporte ao SHA-2 para obter as atualizações de segurança e atualizações de plataforma mais recentes. Para saber mais, consulte Requisito de suporte de assinatura de código SHA-2 2019 para Windows e WSUS.

Cada fonte tem cenários típicos que dependem de como sua rede está configurada, além da frequência com que publicam atualizações, conforme descrito na tabela a seguir:

Local Cenário de exemplo
Serviço de Atualização do Windows Server Você está usando o Serviço de Atualização do Windows Server para gerenciar atualizações para sua rede.
Microsoft Update Você deseja que seus pontos de extremidade se conectem diretamente ao Microsoft Update. Essa opção é útil para pontos de extremidade que se conectam irregularmente à sua rede corporativa ou se você não usar o Serviço de Atualização do Windows Server para gerenciar suas atualizações.
Compartilhamento de arquivos Você tem dispositivos não conectados à Internet (como VMs). Você pode usar seu host de VM conectado à Internet para baixar as atualizações em um compartilhamento de rede, do qual as VMs podem obter as atualizações. Consulte o guia de implantação do VDI para saber como os compartilhamentos de arquivos são usados em ambientes de VDI (infraestrutura de área de trabalho virtual).
Microsoft Configuration Manager Você está usando Microsoft Configuration Manager para atualizar seus pontos de extremidade.
Atualizações de inteligência de segurança e atualizações de plataforma para Microsoft Defender Antivírus e outros anti-malware da Microsoft (anteriormente conhecido como MMPC) Certifique-se de que seus dispositivos sejam atualizados para dar suporte ao SHA-2. Microsoft Defender as atualizações de plataforma e inteligência de segurança antivírus são entregues por meio de Windows Update e, a partir de segunda-feira, 21 de outubro de 2019, as atualizações de inteligência de segurança e as atualizações de plataforma são assinadas exclusivamente pelo SHA-2.
Baixe as atualizações de proteção mais recentes devido a uma infecção recente ou para ajudar a provisionar uma imagem base forte para implantação de VDI. Essa opção geralmente deve ser usada apenas como uma fonte de fallback final e não como fonte primária. Ele só será usado se as atualizações não puderem ser baixadas do Serviço de Atualização do Windows Server ou do Microsoft Update por um número especificado de dias.

Você pode gerenciar a ordem na qual as fontes de atualização são usadas com Política de Grupo, Configuration Manager do Microsoft Endpoint, cmdlets do PowerShell e WMI.

Importante

Se você definir o Serviço de Atualização do Windows Server como um local de download, deverá aprovar as atualizações, independentemente da ferramenta de gerenciamento usada para especificar o local. Você pode configurar uma regra de aprovação automática com o Serviço de Atualização do Windows Server, que pode ser útil à medida que as atualizações chegam pelo menos uma vez por dia. Para saber mais, confira sincronizar atualizações de proteção de ponto de extremidade no Serviço de Atualização autônomo do Windows Server.

Os procedimentos neste artigo primeiro descrevem como definir a ordem e, em seguida, como configurar a opção Compartilhamento de arquivos se você tiver habilitado.

Use Política de Grupo para gerenciar o local de atualização

  1. Em seu computador de gerenciamento Política de Grupo, abra o Console de Gerenciamento Política de Grupo, clique com o botão direito do mouse no objeto Política de Grupo que você deseja configurar e selecione Editar.

  2. No Editor de Gerenciamento de Política de Grupo, acesse Configuração do computador.

  3. Selecione Políticas e modelos administrativos.

  4. Expanda a árvore para componentes> do Windows Windows Defender>Signature atualiza e configure as seguintes configurações:

    1. Edite a configuração Definir a ordem das fontes para baixar as atualizações de inteligência de segurança . Defina a opção como Habilitada.

    2. Especifique a ordem das fontes, separada por um único pipe, por exemplo: InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, conforme mostrado na captura de tela a seguir.

      Configuração de política de grupo listando a ordem das fontes

    3. Clique em OK. Essa ação define a ordem das fontes de atualização de proteção.

    4. Edite a configuração Definir compartilhamentos de arquivos para baixar atualizações de inteligência de segurança e defina a opção como Habilitada.

    5. Especifique a fonte de compartilhamento de arquivos. Se você tiver várias fontes, especifique cada fonte na ordem em que elas devem ser usadas, separadas por um único pipe. Use a notação UNC padrão para denotar o caminho, por exemplo: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name. Se você não inserir nenhum caminho, essa origem será ignorada quando a VM baixar atualizações.

    6. Clique em OK. Essa ação define a ordem dos compartilhamentos de arquivos quando essa origem é referenciada na configuração Definir a ordem das fontes... política de grupo.

Observação

Para Windows 10, versões 1703 até e incluindo 1809, o caminho da política é Componentes do Windows Microsoft Defender Assinatura antivírus >> Atualizações For Windows 10, versão 1903, o caminho da política é Componentes > do Windows Microsoft Defender Atualizações de Inteligência de Segurança antivírus >

Use Configuration Manager para gerenciar o local da atualização

Consulte Configurar Atualizações de inteligência de segurança para Proteção de Ponto de Extremidade para obter detalhes sobre como configurar Microsoft Configuration Manager (branch atual).

Usar cmdlets do PowerShell para gerenciar o local de atualização

Use os seguintes cmdlets do PowerShell para definir a ordem de atualização.

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

Confira os seguintes artigos para obter mais informações:

Usar a WMI (Instrução de Gerenciamento do Windows) para gerenciar o local da atualização

Use o método Set da classe MSFT_MpPreference para as seguintes propriedades:

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

Confira os seguintes artigos para obter mais informações:

Usar o MDM (Mobile Gerenciamento de Dispositivos) para gerenciar o local de atualização

Consulte Política CSP – Defender/SignatureUpdateFallbackOrder para obter detalhes sobre como configurar o MDM.

E se estivermos usando um fornecedor de terceiros?

Este artigo descreve como configurar e gerenciar atualizações para Microsoft Defender Antivírus. No entanto, você pode contratar fornecedores de terceiros para executar essas tarefas.

Por exemplo, suponha que a Contoso tenha contratado a Fabrikam para gerenciar sua solução de segurança, que inclui Microsoft Defender Antivírus. O Fabrikam normalmente usa instrumentação de gerenciamento do Windows, cmdlets do PowerShell ou linha de comando do Windows para implantar patches e atualizações.

Observação

A Microsoft não testa soluções de terceiros para gerenciar Microsoft Defender Antivírus.

Create um compartilhamento UNC para atualizações de plataforma e inteligência de segurança

Configure um compartilhamento de arquivos de rede (UNC/unidade mapeada) para baixar atualizações de plataforma e inteligência de segurança do site do MMPC usando uma tarefa agendada.

  1. No sistema para o qual você deseja provisionar o compartilhamento e baixar as atualizações, crie uma pasta para o script.

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. Create uma pasta para atualizações de assinatura.

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. Baixe o script do PowerShell de www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.

  4. Selecione Download Manual.

  5. Selecione Baixar o arquivo nupkg bruto.

  6. Extraia o arquivo.

  7. Copie o arquivo SignatureDownloadCustomTask.ps1 para a pasta que você criou anteriormente, C:\Tool\PS-Scripts\ .

  8. Use a linha de comando para configurar a tarefa agendada.

    Observação

    Há dois tipos de atualizações: full e delta.

    • Para x64 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Para x64 completo:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Para x86 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Para x86 completo:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    Observação

    Quando as tarefas agendadas são criadas, você pode encontrá-las no Agendador Microsoft\Windows\Windows Defenderde Tarefas em .

  9. Execute cada tarefa manualmente e verifique se você tem dados (mpam-d.exe, mpam-fe.exee nis_full.exe) nas pastas a seguir (talvez você tenha escolhido locais diferentes):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Se a tarefa agendada falhar, execute os seguintes comandos:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

  10. Create um compartilhamento apontando para C:\Temp\TempSigs (por exemplo, \\server\updates).

    Observação

    No mínimo, os usuários autenticados devem ter acesso "Leitura". Esse requisito também se aplica a computadores de domínio, compartilhamento e NTFS (segurança).

  11. Defina o local de compartilhamento na política como o compartilhamento.

    Observação

    Não adicione a pasta x64 (ou x86) no caminho. O processo mpcmdrun.exe adiciona-o automaticamente.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.