Поделиться через

Развертывание рабочей группы антивирусной программы в Microsoft Defender с использованием групповой политики и сетевого ресурса

  • Статья

Область применения:

Платформы

  • Windows
  • Windows Server

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Microsoft Defender для конечной точки — это корпоративная платформа обеспечения безопасности рабочих точек, разработанная для обнаружения, предотвращения и исследования сложных угроз корпоративными сетями, а также для реагирования на них.

Совет

Microsoft Defender для конечной точки доступен в двух планах: Defender для конечной точки, план 1 и план 2. Новая надстройка управления уязвимостями Microsoft Defender теперь доступна для плана 2.

Введение

В этой статье описывается развертывание антивирусной программы Microsoft Defender в кругах с помощью групповой политики и сетевого ресурса (также известного как UNC-путь, SMB, CIFS).

Предварительные условия

Ознакомьтесь со статьей read me на сайте Readme

  1. Скачайте последнюю версию ADMX и ADML в Защитнике Windows.

  2. Скопируйте последние ADMX-файлы и ADML-файлы в центральное хранилище контроллера домена.

  3. Создание UNC-ресурса для аналитики безопасности и обновлений платформы

Настройка пилотной среды

В этом разделе описывается процесс настройки пилотной среды UAT/ Test/QA. На 10–500* системах Windows и (или) Windows Server в зависимости от общего количества систем, которые у вас есть.

Снимок экрана, на котором показан пример расписания развертывания круга антивирусной программы в Microsoft Defender для сред групповой политики и сетевых общих ресурсов.

Примечание.

Обновление аналитики безопасности (SIU) эквивалентно обновлениям сигнатур, что аналогично обновлению определений.

Создание UNC-ресурса для аналитики безопасности

Настройте сетевую общую папку (UNC/сопоставленный диск) для скачивания аналитики безопасности с сайта MMPC с помощью запланированной задачи.

  1. В системе, в которой вы хотите подготовить общую папку и скачать обновления, создайте папку, в которой будет сохранен скрипт.

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. Создайте папку, в которой будут сохраняться обновления подписи.

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. Настройка скрипта PowerShell CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. Используйте командную строку для настройки запланированной задачи.

    Примечание.

    Существует два типа обновлений: полный и разностный.

    • Для x64 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Для x64 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Для x86 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Для полной версии x86:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    Примечание.

    При создании запланированных задач их можно найти в планировщике задач в разделе Microsoft\Windows\Windows Defender.

  5. Запустите каждую задачу вручную и убедитесь, что у вас есть данные (mpam-d.exe, mpam-fe.exeи nis_full.exe) в следующих папках (возможно, вы выбрали разные расположения):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Если запланированная задача завершается сбоем, выполните следующие команды:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

    Примечание.

    Проблемы также могут быть вызваны политикой выполнения.

  6. Создайте общую папку, указывающую на C:\Temp\TempSigs (например, \\server\updates).

    Примечание.

    Как минимум, пользователи, прошедшие проверку подлинности, должны иметь доступ на чтение. Это требование также применяется к компьютерам домена, общей папке и NTFS (безопасность).

  7. Задайте в политике расположение общего ресурса для общей папки.

    Примечание.

    Не добавляйте папку x64 (или x86) в путь. Процесс mpcmdrun.exe добавляет его автоматически.

Настройка пилотной среды (UAT/Test/QA)

В этом разделе описывается процесс настройки пилотной среды UAT/ Test/ QA в примерно 10–500 системах Windows и (или) Windows Server в зависимости от общего количества систем.

Примечание.

Если у вас есть среда Citrix, включите по крайней мере 1 виртуальную машину Citrix (постоянную) и /или (постоянную)

В консоли управления групповыми политиками (GPMC, GPMC.msc) создайте или добавьте в политику антивирусной программы в Microsoft Defender.

  1. Измените политику антивирусной программы в Microsoft Defender. Например, изменить MDAV_Settings_Pilot. Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsАнтивирусная программа Microsoft Defender. Существует три связанных варианта:

    Функция Рекомендации по пилотным системам
    Выбор канала для ежедневных обновлений аналитики безопасности в Microsoft Defender Текущий канал (промежуточный)
    Выберите канал для ежемесячных обновлений обработчика Microsoft Defender Бета-канал
    Выберите канал для ежемесячных обновлений платформы в Microsoft Defender Бета-канал

    Три параметра показаны на следующем рисунке.

    Снимок экрана: снимок экрана с пилотными каналами обновления антивирусной программы

    Дополнительные сведения см. в статье Управление процессом постепенного развертывания обновлений Microsoft Defender.

  2. Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsАнтивирусная программа Microsoft Defender.

  3. Для обновления аналитики дважды щелкните Выберите канал для ежемесячных обновлений аналитики Microsoft Defender.

    Снимок экрана: снимок экрана страницы

  4. На странице Выберите канал для ежемесячных обновлений аналитики Microsoft Defender выберите Включено, а в разделе Параметры выберите Текущий канал (промежуточный).

  5. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

  6. Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsАнтивирусная программа Microsoft Defender.

  7. Для обновления ядра дважды щелкните Выберите канал ежемесячных обновлений ядра Microsoft Defender.

  8. На странице Выберите канал для ежемесячных обновлений платформы в Microsoft Defender выберите Включено, а в разделе Параметры выберите Канал бета-версии.

  9. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

  10. Для обновления платформы дважды щелкните Выберите канал для ежемесячных обновлений платформы в Microsoft Defender.

  11. На странице Выберите канал для ежемесячных обновлений платформы в Microsoft Defender выберите Включено, а в разделе Параметры выберите Канал бета-версии. Эти два параметра показаны на следующем рисунке:

  12. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

Настройка рабочей среды

  1. В консоли управления групповыми политиками (GPMC, GPMC.msc) перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты>Антивирусная программа Microsoft Defender Для Windows.

    Снимок экрана, на котором показан снимок экрана рабочих политик конфигурации > компьютера Административные шаблоны > Компоненты Windows— каналы > обновления антивирусной программы в Microsoft > Defender.

  2. Задайте три политики следующим образом:

    Функция Рекомендации для производственных систем Замечания
    Выбор канала для ежедневных обновлений аналитики безопасности в Microsoft Defender Текущий канал (широкий) Этот параметр предоставляет вам 3 часа времени, чтобы найти FP и предотвратить получение в рабочих системах несовместимого обновления сигнатуры.
    Выберите канал для ежемесячных обновлений обработчика Microsoft Defender Критический — задержка по времени Обновления задерживаются на два дня.
    Выберите канал для ежемесячных обновлений платформы в Microsoft Defender Критический — задержка по времени Обновления задерживаются на два дня.

  3. Для обновления аналитики дважды щелкните Выберите канал для ежемесячных обновлений аналитики Microsoft Defender.

  4. На странице Выберите канал для ежемесячных обновлений аналитики в Microsoft Defender выберите Включено, а в разделе Параметры выберите Текущий канал (широкий) .

    Снимок экрана: снимок экрана страницы

  5. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

  6. Для обновления ядра дважды щелкните Выберите канал ежемесячных обновлений ядра Microsoft Defender.

  7. На странице Выберите канал для ежемесячных обновлений платформы в Microsoft Defender выберите Включено, а в разделе Параметры выберите Критический — Задержка по времени.

  8. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

  9. Для обновления платформы дважды щелкните Выберите канал для ежемесячных обновлений платформы в Microsoft Defender.

  10. На странице Выберите канал для ежемесячных обновлений платформы в Microsoft Defender выберите Включено, а в разделе Параметры выберите Критический — Задержка по времени.

  11. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

Если у вас возникли проблемы

Если у вас возникли проблемы с развертыванием, создайте или добавьте политику антивирусной программы Microsoft Defender:

  1. В консоли управления групповыми политиками (GPMC, GPMC.msc) создайте или добавьте в политику антивирусной программы Microsoft Defender, используя следующий параметр:

    Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты>Microsoft Defender Антивирусная программа> (определяемый администратором) PolicySettingName. Например, MDAV_Settings_Production щелкните правой кнопкой мыши и выберите изменить. ИзменениеMDAV_Settings_Production показано на следующем рисунке:

    Снимок экрана: снимок экрана с заданным администратором параметром

  2. Выберите Определить порядок источников для скачивания обновлений аналитики безопасности.

  3. Выберите переключатель С именем Включено.

  4. В разделе Параметры: измените запись на FileShares, нажмите кнопку Применить, а затем нажмите кнопку ОК. Это изменение показано на следующем рисунке:

    Снимок экрана: снимок экрана страницы Определение порядка источников для скачивания обновлений аналитики безопасности.

  5. Выберите Определить порядок источников для скачивания обновлений аналитики безопасности.

  6. Установите переключатель Отключено, нажмите кнопку Применить, а затем нажмите кнопку ОК. Отключенный параметр показан на следующем рисунке:

    Снимок экрана: снимок экрана страницы Определение порядка источников для скачивания обновлений аналитики безопасности с отключенными обновлениями аналитики безопасности.

  7. Изменение активно при обновлении групповой политики. Существует два метода обновления групповой политики:

    • В командной строке выполните команду обновления групповой политики. Например, выполните команду gpupdate / force. Дополнительные сведения см. в разделе gpupdate.
    • Дождитесь автоматического обновления групповой политики. Групповая политика обновляется каждые 90 минут +/- 30 минут.

    Если у вас несколько лесов или доменов, выполните принудительную репликацию или подождите 10–15 минут. Затем принудительное обновление групповой политики из консоли управления групповыми политиками.

    • Щелкните правой кнопкой мыши подразделение, содержащее компьютеры (например, Настольные компьютеры), выберите Пункт Обновление групповой политики. Эта команда пользовательского интерфейса эквивалентна выполнению gpupdate.exe /force на каждом компьютере в этом подразделении. Функция принудительного обновления групповой политики показана на следующем рисунке:

      Снимок экрана: снимок экрана консоли управления групповыми политиками, инициирующий принудительное обновление.

  8. После устранения проблемы задайте для резервного заказа обновления подписи исходное значение. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

См. также

Общие сведения о развертывании круга антивирусной программы в Microsoft Defender