развертывание Microsoft Defender рабочей кольцевой антивирусной программы с использованием групповая политика и сетевого ресурса

Область применения:

Платформы

  • Windows
  • Windows Server

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Microsoft Defender для конечной точки — это корпоративная платформа обеспечения безопасности рабочих точек, разработанная для обнаружения, предотвращения и исследования сложных угроз корпоративными сетями, а также для реагирования на них.

Совет

Microsoft Defender для конечной точки доступен в двух планах: Defender для конечной точки, план 1 и план 2. Новая надстройка управления уязвимостями Microsoft Defender теперь доступна для плана 2.

Введение

В этой статье описывается развертывание Microsoft Defender антивирусной программы в кругах с помощью групповая политика и сетевого ресурса (также известного как UNC-путь, SMB, CIFS).

Предварительные условия

Ознакомьтесь со статьей read me на сайте Readme

  1. Скачайте последние Защитник Windows ADMX и ADML.

  2. Скопируйте последние ADMX-файлы и ADML-файлы в центральное хранилище контроллера домена.

  3. Create общий ресурс UNC для аналитики безопасности и обновлений платформы

Настройка пилотной среды

В этом разделе описывается процесс настройки пилотной среды UAT/ Test/QA. На 10–500* системах Windows и (или) Windows Server в зависимости от общего количества систем, которые у вас есть.

Снимок экрана, на котором показан пример Microsoft Defender расписания развертывания круга антивирусной программы для сред групповая политика и сетевых общих сетей.

Примечание.

Обновление аналитики безопасности (SIU) эквивалентно обновлениям сигнатур, что аналогично обновлению определений.

Create общий ресурс UNC для аналитики безопасности и обновлений платформы

Настройте общую сетевую папку (UNC/сопоставленный диск) для скачивания обновлений аналитики безопасности и платформы с сайта MMPC с помощью запланированной задачи.

  1. В системе, в которой вы хотите подготовить общую папку и скачать обновления, создайте папку, в которой будет сохранен скрипт.

    Start, CMD (Run as admin)
    MD C:\Tool\PS-Scripts\
    
  2. Create папку, в которую будут сохраняться обновления подписи.

    MD C:\Temp\TempSigs\x64
    MD C:\Temp\TempSigs\x86
    
  3. Настройка скрипта PowerShell CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. Используйте командную строку для настройки запланированной задачи.

    Примечание.

    Существует два типа обновлений: полный и разностный.

    • Для x64 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Для x64 full:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Для x86 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Для полной версии x86:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      

    Примечание.

    При создании запланированных задач их можно найти в планировщике задач в разделе Microsoft\Windows\Windows Defender.

  5. Запустите каждую задачу вручную и убедитесь, что у вас есть данные (mpam-d.exe, mpam-fe.exeи nis_full.exe) в следующих папках (возможно, вы выбрали разные расположения):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Если запланированная задача завершается сбоем, выполните следующие команды:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
    

    Примечание.

    Проблемы также могут быть вызваны политикой выполнения.

  6. Create общей папке, указывающей на C:\Temp\TempSigs (например, \\server\updates).

    Примечание.

    Как минимум, пользователи, прошедшие проверку подлинности, должны иметь доступ на чтение. Это требование также применяется к компьютерам домена, общей папке и NTFS (безопасность).

  7. Задайте в политике расположение общего ресурса для общей папки.

    Примечание.

    Не добавляйте папку x64 (или x86) в путь. Процесс mpcmdrun.exe добавляет его автоматически.

Настройка пилотной среды (UAT/Test/QA)

В этом разделе описывается процесс настройки пилотной среды UAT/ Test/ QA в примерно 10–500 системах Windows и (или) Windows Server в зависимости от общего количества систем.

Примечание.

Если у вас есть среда Citrix, включите по крайней мере 1 виртуальную машину Citrix (постоянную) и /или (постоянную)

В консоли управления групповая политика (GPMC, GPMC.msc) создайте или добавьте к Microsoft Defender политику антивирусной программы.

  1. Измените политику антивирусной программы Microsoft Defender. Например, изменить MDAV_Settings_Pilot. Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа. Существует три связанных варианта:

    Функция Рекомендации по пилотным системам
    Выберите канал для Microsoft Defender ежедневных обновлений аналитики безопасности Текущий канал (промежуточный)
    Выберите канал для ежемесячных обновлений ядра Microsoft Defender Бета-канал
    Выберите канал для Microsoft Defender ежемесячных обновлений платформы Бета-канал

    Три параметра показаны на следующем рисунке.

    Снимок экрана: снимок экрана с пилотными политиками > конфигурации > компьютера Административные > шаблоны > Компоненты Windows Microsoft Defender каналов обновления антивирусной программы.

    Дополнительные сведения см. в статье Управление процессом постепенного развертывания для Microsoft Defender обновлений.

  2. Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа.

  3. Для обновления аналитики дважды щелкните Выберите канал для Microsoft Defender ежемесячных обновлений аналитики.

    Снимок экрана: снимок экрана страницы Выбор канала для Microsoft Defender ежемесячных обновлений аналитики с выбранным параметром Enabled и Current Channel (Staged).

  4. На странице Выберите канал для Microsoft Defender ежемесячных обновлений аналитики выберите Включено, а в разделе Параметры выберите Текущий канал (промежуточный).

  5. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

  6. Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа.

  7. Для обновления ядра дважды щелкните Выберите канал для Microsoft Defender ежемесячных обновлений ядра.

  8. На странице Выберите канал для Microsoft Defender ежемесячных обновлений платформы выберите Включено, а в разделе Параметры выберите Канал бета-версии.

  9. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

  10. Для обновления платформы дважды щелкните Выберите канал для Microsoft Defender ежемесячных обновлений платформы.

  11. На странице Выберите канал для Microsoft Defender ежемесячных обновлений платформы выберите Включено, а в разделе Параметры выберите Канал бета-версии. Эти два параметра показаны на следующем рисунке:

  12. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

Настройка рабочей среды

  1. В консоли управления групповая политика (GPMC, GPMC.msc) перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа.

    Снимок экрана: снимок экрана рабочих политик конфигурации > компьютера Административные шаблоны > Компоненты > Windows Microsoft Defender каналов обновления антивирусной > программы.

  2. Задайте три политики следующим образом:

    Функция Рекомендации для производственных систем Замечания
    Выберите канал для Microsoft Defender ежедневных обновлений аналитики безопасности Текущий канал (широкий) Этот параметр предоставляет вам 3 часа времени, чтобы найти FP и предотвратить получение в рабочих системах несовместимого обновления сигнатуры.
    Выберите канал для ежемесячных обновлений ядра Microsoft Defender Критический — задержка по времени Обновления задерживаются на два дня.
    Выберите канал для Microsoft Defender ежемесячных обновлений платформы Критический — задержка по времени Обновления задерживаются на два дня.
  3. Для обновления аналитики дважды щелкните Выберите канал для Microsoft Defender ежемесячных обновлений аналитики.

  4. На странице Выберите канал для ежемесячных обновлений аналитики Microsoft Defender выберите Включено, а в разделе Параметры выберите Текущий канал (широкий).

    Снимок экрана: снимок экрана страницы Выбор канала для Microsoft Defender ежемесячных обновлений аналитики с выбранным параметром Enabled и Current Channel (Staged).

  5. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

  6. Для обновления ядра дважды щелкните Выберите канал для Microsoft Defender ежемесячных обновлений ядра.

  7. На странице Выберите канал для Microsoft Defender ежемесячных обновлений платформы выберите Включено, а в разделе Параметры выберите Критический — задержка по времени.

  8. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

  9. Для обновления платформы дважды щелкните Выберите канал для Microsoft Defender ежемесячных обновлений платформы.

  10. На странице Выберите канал для Microsoft Defender ежемесячных обновлений платформы выберите Включено, а в разделе Параметры выберите Критический — задержка по времени.

  11. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

Если у вас возникли проблемы

Если при развертывании возникают проблемы, создайте или добавьте политику антивирусной Microsoft Defender:

  1. В консоли управления групповая политика (GPMC, GPMC.msc) создайте политику антивирусной программы Microsoft Defender или добавьте ее в нее с помощью следующего параметра:

    Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа> (определяемая администратором) PolicySettingName. Например, MDAV_Settings_Production щелкните правой кнопкой мыши и выберите изменить. ИзменениеMDAV_Settings_Production показано на следующем рисунке:

    Снимок экрана: снимок экрана, определенный администратором Microsoft Defender параметр

  2. Выберите Определить порядок источников для скачивания обновлений аналитики безопасности.

  3. Выберите переключатель С именем Включено.

  4. В разделе Параметры: измените запись на FileShares, нажмите кнопку Применить, а затем нажмите кнопку ОК. Это изменение показано на следующем рисунке:

    Снимок экрана: снимок экрана страницы Определение порядка источников для скачивания обновлений аналитики безопасности.

  5. Выберите Определить порядок источников для скачивания обновлений аналитики безопасности.

  6. Установите переключатель Отключено, нажмите кнопку Применить, а затем нажмите кнопку ОК. Отключенный параметр показан на следующем рисунке:

    Снимок экрана: снимок экрана страницы Определение порядка источников для скачивания обновлений аналитики безопасности с отключенными обновлениями аналитики безопасности.

  7. Изменение активно при обновлении групповая политика. Существует два метода обновления групповая политика:

    • В командной строке выполните команду групповая политика update. Например, выполните команду gpupdate / force. Дополнительные сведения см. в разделе gpupdate.
    • Дождитесь автоматического обновления групповая политика. групповая политика обновляется каждые 90 минут +/- 30 минут.

    Если у вас несколько лесов или доменов, выполните принудительную репликацию или подождите 10–15 минут. Затем принудительное обновление групповая политика из консоли управления групповая политика.

    • Щелкните правой кнопкой мыши подразделение, содержащее компьютеры (например, Настольные компьютеры), выберите групповая политика Обновить. Эта команда пользовательского интерфейса эквивалентна выполнению gpupdate.exe /force на каждом компьютере в этом подразделении. Функция принудительного обновления групповая политика показана на следующем рисунке:

      Снимок экрана: снимок экрана консоли управления групповая политика, инициирующей принудительное обновление.

  8. После устранения проблемы задайте для резервного заказа обновления подписи исходное значение. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

См. также

Общие сведения о развертывании круга антивирусной программы Microsoft Defender