Hantera källor för skyddsuppdateringar av Microsoft Defender Antivirus
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender Antivirus
Plattformar
- Windows
Det är viktigt att hålla antivirusskyddet uppdaterat. Det finns två komponenter för att hantera skyddsuppdateringar för Microsoft Defender Antivirus:
- Varifrån uppdateringarna laddas ned; och
- När uppdateringar laddas ned och tillämpas
Den här artikeln beskriver hur du anger varifrån uppdateringar ska laddas ned (den här specifikationen kallas även återställningsordning). Se artikeln Hantera Microsoft Defender Antivirus-uppdateringar och tillämpa baslinjer för en översikt över hur uppdateringar fungerar och hur du konfigurerar andra aspekter av uppdateringar (till exempel schemaläggning av uppdateringar).
Viktigt
Microsoft Defender uppdateringar av antivirussäkerhetsinformation och plattformsuppdateringar levereras via Windows Update och från och med måndagen den 21 oktober 2019 är alla uppdateringar av säkerhetsinformation SHA-2 signerade exklusivt. Dina enheter måste uppdateras för att stödja SHA-2 för att kunna uppdatera din säkerhetsinformation. Mer information finns i 2019 SHA-2 Code Signing Support requirement for Windows and WSUS (2019 SHA-2 Code Signing Support requirement for Windows and WSUS).
Reservordning
Vanligtvis konfigurerar du slutpunkter för att separat ladda ned uppdateringar från en primär källa följt av andra källor i prioritetsordning, baserat på din nätverkskonfiguration. Uppdateringar hämtas från källor i den ordning du anger. Om uppdateringar från den aktuella källan är inaktuella används nästa källa i listan omedelbart.
När uppdateringar publiceras används logik för att minimera storleken på uppdateringen. I de flesta fall laddas endast skillnaderna mellan den senaste uppdateringen och uppdateringen som är installerad ned och tillämpas på enheten. Uppsättningen skillnader kallas delta. Deltats storlek beror på två huvudfaktorer:
- Åldern för den senaste uppdateringen på enheten. och
- Källan som används för att ladda ned och tillämpa uppdateringar
Ju äldre uppdateringar på en slutpunkt, desto större är nedladdningen. Men du måste också överväga nedladdningsfrekvens. Ett mer frekvent uppdateringsschema kan resultera i mer nätverksanvändning, medan ett mindre vanligt schema kan resultera i större filstorlekar per nedladdning.
Det finns fem platser där du kan ange var en slutpunkt ska hämta uppdateringar:
- Microsoft Update
- Windows Server Update Service (se anmärkning 1 nedan)
- Microsoft Endpoint Configuration Manager
- Nätverksfilresurs
- Uppdateringar av säkerhetsinformation för Microsoft Defender Antivirus och andra Microsoft-program mot skadlig kod (se anmärkning 2 nedan)
Obs!
Intune intern definitionsuppdateringsserver. Om du använder SCCM/SUP för att hämta definitionsuppdateringar för Microsoft Defender Antivirus, och du måste komma åt Windows Update på blockerade klientenheter, kan du övergå till samhantering och avlasta arbetsbelastningen för slutpunktsskydd till Intune. I principen för program mot skadlig kod som konfigurerats i Intune finns det ett alternativ för "intern definitionsuppdateringsserver" som du kan ange för att använda lokal WSUS som uppdateringskälla. Den här konfigurationen hjälper dig att styra vilka uppdateringar från den officiella WU-servern som är godkända för företaget och hjälper även proxy och spara nätverkstrafik till det officiella Windows Uppdateringar-nätverket.
Din princip och ditt register kan ha detta listat som Microsoft Malware Protection Center (MMPC) säkerhetsinformation, dess tidigare namn.
För att säkerställa den bästa skyddsnivån tillåter Microsoft Update snabba versioner, vilket innebär mindre nedladdningar ofta. Windows Server Update Service, Microsoft Endpoint Configuration Manager, Microsofts säkerhetsinformationsuppdateringar och plattformsuppdateringskällor ger mindre frekventa uppdateringar. Deltat kan därför vara större, vilket resulterar i större nedladdningar.
Plattformsuppdateringar och motoruppdateringar släpps varje månad. Uppdateringar av säkerhetsinformation levereras flera gånger om dagen, men det här deltapaketet innehåller ingen motoruppdatering. Se Microsoft Defender Säkerhetsinformation för antivirusprogram och produktuppdateringar.
Viktigt
Om du har angett uppdateringar av Microsoft Security Intelligence-sidan som reservkälla efter Windows Server Update Service eller Microsoft Update, laddas uppdateringar endast ned från uppdateringar av säkerhetsinformation och plattformsuppdateringar när den aktuella uppdateringen anses vara inaktuell. (Som standard är det här sju dagar i rad då uppdateringar från Windows Server Update-tjänsten eller Microsoft Update-tjänsterna inte kan tillämpas. Du kan dock ange antalet dagar innan skyddet rapporteras som inaktuellt.
Från och med måndagen den 21 oktober 2019 är uppdateringar av säkerhetsinformation och plattformsuppdateringar SHA-2 signerade exklusivt. Enheter måste uppdateras för att stödja SHA-2 för att få de senaste uppdateringarna av säkerhetsinformation och plattformsuppdateringar. Mer information finns i 2019 SHA-2 Code Signing Support requirement for Windows and WSUS (2019 SHA-2 Code Signing Support requirement for Windows and WSUS).
Varje källa har typiska scenarier som beror på hur nätverket konfigureras, förutom hur ofta de publicerar uppdateringar, enligt beskrivningen i följande tabell:
Plats | Exempelscenario |
---|---|
Windows Server Update Service | Du använder Windows Server Update Service för att hantera uppdateringar för nätverket. |
Microsoft Update | Du vill att dina slutpunkter ska ansluta direkt till Microsoft Update. Det här alternativet är användbart för slutpunkter som oregelbundet ansluter till företagsnätverket eller om du inte använder Windows Server Update Service för att hantera dina uppdateringar. |
Filresurs | Du har enheter som inte är anslutna till Internet (till exempel virtuella datorer eller virtuella datorer). Du kan använda din Internetanslutna vm-värd för att ladda ned uppdateringarna till en nätverksresurs, från vilken de virtuella datorerna kan hämta uppdateringarna. Se VDI-distributionsguiden för hur filresurser används i VDI-miljöer (Virtual Desktop Infrastructure). |
Microsoft Configuration Manager | Du använder Microsoft Configuration Manager för att uppdatera dina slutpunkter. |
Uppdateringar av säkerhetsinformation och plattformsuppdateringar för Microsoft Defender Antivirus och andra Microsoft-program mot skadlig kod (kallades tidigare MMPC) |
Kontrollera att enheterna har uppdaterats för att stödja SHA-2. Microsoft Defender antivirussäkerhetsinformation och plattformsuppdateringar levereras via Windows Update. Från och med den 21 oktober 2019 är uppdateringar av säkerhetsinformation och plattformsuppdateringar SHA-2 signerade exklusivt. Ladda ned de senaste skyddsuppdateringarna på grund av en infektion nyligen eller för att etablera en stark basavbildning för VDI-distribution. Det här alternativet bör endast användas som en slutlig återställningskälla och inte som primär källa. Den används bara om uppdateringar inte kan laddas ned från Windows Server Update Service eller Microsoft Update under ett angivet antal dagar. |
Du kan hantera i vilken ordning uppdateringskällor används med grupprincip, Microsoft Endpoint Configuration Manager, PowerShell-cmdletar och WMI.
Viktigt
Om du anger Windows Server Update Service som en nedladdningsplats måste du godkänna uppdateringarna, oavsett vilket hanteringsverktyg du använder för att ange platsen. Du kan konfigurera en regel för automatiskt godkännande med Windows Server Update Service, vilket kan vara användbart när uppdateringar anländer minst en gång om dagen. Mer information finns i Synkronisera uppdateringar av slutpunktsskydd i fristående Windows Server Update Service.
Procedurerna i den här artikeln beskriver först hur du ställer in ordningen och sedan hur du konfigurerar alternativet Windows-filserver – filresurs om det är aktiverat.
Använd grupprincip för att hantera uppdateringsplatsen
Öppna grupprincip-hanteringskonsolen på grupprincip-hanteringsdatorn. Högerklicka på det grupprincip objekt som du vill konfigurera och välj sedan Redigera.
I grupprincip Management Editor går du till Datorkonfiguration.
Välj Principer och sedan Administrativa mallar.
Expandera trädet till Windows-komponenter>Windows Defender>Signaturuppdateringar.
Obs!
- För Windows 10, version 1703 fram till och med 1809, är principsökvägen Windows-komponenter > Microsoft Defender antivirussignatur > Uppdateringar
- För Windows 10 version 1903 är principsökvägen Windows-komponenter > Microsoft Defender Antivirus > Security Intelligence Uppdateringar
Redigera inställningen Definiera källornas ordning för nedladdning av uppdateringar av säkerhetsinformation . Ange alternativet till Aktiverad.
Ange källornas ordning, avgränsade med ett enda rör, till exempel:
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC
, enligt följande skärmbild.Välj OK. Den här åtgärden anger ordningen för skyddsuppdateringskällor.
Redigera inställningen Definiera filresurser för att ladda ned uppdateringar av säkerhetsinformation och ange sedan alternativet till Aktiverad.
Ange filresurskällan på en Windows Server. Om du har flera källor anger du varje källa i den ordning de ska användas, avgränsade med ett enda rör. Använd UNC-standardnotation för att ange sökvägen. Till exempel:
\\WindowsFileServer\share-name\object-name|\\host-name2\share-name\object-name
.Om du inte anger några sökvägar hoppas den här källan över när den virtuella datorn hämtar uppdateringar.
Välj OK. Den här åtgärden anger ordningen på filresurser när källan refereras till i grupprincipinställningen Definiera ordningen på källor...
Använd Configuration Manager för att hantera uppdateringsplatsen
Mer information om hur du konfigurerar Microsoft Configuration Manager (aktuell gren) finns i Konfigurera Uppdateringar för Endpoint Protection.
Använda PowerShell-cmdletar för att hantera uppdateringsplatsen
Använd följande PowerShell-cmdletar för att ange uppdateringsordningen.
Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}
Mer information finns i följande artiklar:
- Set-MpPreference -SignatureFallbackOrder
- Set-MpPreference -SignatureDefinitionUpdateFileSharesSource
- Använda PowerShell-cmdletar för att konfigurera och köra Microsoft Defender Antivirus
- Defender Antivirus cmdletar
Använd Windows Management Instruction (WMI) för att hantera uppdateringsplatsen
Använd metoden Set för klassen MSFT_MpPreference för följande egenskaper:
SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource
Mer information finns i följande artiklar:
Använd Mobile Enhetshantering (MDM) för att hantera uppdateringsplatsen
Mer information om hur du konfigurerar MDM finns i CSP-princip – Defender/SignatureUpdateFallbackOrder .
Vad händer om vi använder en icke-Microsoft-leverantör?
I den här artikeln beskrivs hur du konfigurerar och hanterar uppdateringar för Microsoft Defender Antivirus. Du kan dock anlita icke-Microsoft-leverantörer för att utföra dessa uppgifter.
Anta till exempel att Contoso har anlitat Fabrikam för att hantera sin säkerhetslösning, som omfattar Microsoft Defender Antivirus. Fabrikam använder vanligtvis Windows Management Instrumentation, PowerShell-cmdletar eller Windows-kommandorad för att distribuera korrigeringar och uppdateringar.
Obs!
Microsoft testar inte lösningar från tredje part för att hantera Microsoft Defender Antivirus.
Skapa en UNC-resurs för säkerhetsinformation och plattformsuppdateringar
På en Windows-filserver konfigurerar du en nätverksfilresurs (UNC/mappad enhet) för att ladda ned säkerhetsinformations- och plattformsuppdateringar från MMPC-platsen med hjälp av en schemalagd aktivitet.
Skapa en mapp för skriptet i det system där du vill etablera resursen och ladda ned uppdateringarna.
Start, CMD (Run as admin) MD C:\Tool\PS-Scripts\
Skapa en mapp för signaturuppdateringar.
MD C:\Temp\TempSigs\x64 MD C:\Temp\TempSigs\x86
Ladda ned PowerShell-skriptet från www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.
Välj Manuell nedladdning.
Välj Ladda ned nupkg-råfilen.
Extrahera filen.
Kopiera filen
SignatureDownloadCustomTask.ps1
till mappen som du skapade tidigare,C:\Tool\PS-Scripts\
.Använd kommandoraden för att konfigurera den schemalagda aktiviteten.
Obs!
Det finns två typer av uppdateringar: fullständig och delta.
För x64 delta:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
För x64 full:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
För x86 delta:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
För x86 full:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Obs!
När de schemalagda aktiviteterna har skapats hittar du dessa i Schemaläggaren under
Microsoft\Windows\Windows Defender
.Kör varje uppgift manuellt och kontrollera att du har data (
mpam-d.exe
,mpam-fe.exe
ochnis_full.exe
) i följande mappar (du kan använda olika platser):C:\Temp\TempSigs\x86
C:\Temp\TempSigs\x64
Om den schemalagda aktiviteten misslyckas kör du följande kommandon:
C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
Skapa en resurs som pekar på (till
C:\Temp\TempSigs
exempel\\server\updates
).Obs!
Autentiserade användare måste minst ha läsbehörighet. Det här kravet gäller även domändatorer, resursen och NTFS (säkerhet).
Ange resursplatsen i principen till resursen.
Obs!
Lägg inte till mappen x64 (eller x86) i sökvägen. Processen
mpcmdrun.exe
lägger till den automatiskt.
Relaterade artiklar
- Distribuera Microsoft Defender Antivirus
- Hantera uppdateringar för Microsoft Defender Antivirus och tillämpa baslinjer
- Hantera uppdateringar för slutpunkter som är inaktuella
- Hantera händelsebaserade uppdateringar
- Hantera uppdateringar för mobila enheter och virtuella datorer
- Microsoft Defender Antivirus i Windows 10
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.