Dela via

Distribution av Produktionsring i Microsoft Defender Antivirus med grupprincip och nätverksresurs

  • Artikel

Gäller för:

Plattformar

  • Windows
  • Windows Server

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Microsoft Defender för Endpoint är en säkerhetsplattform för företagsslutpunkter som utformats för att hjälpa företagsnätverk att förhindra, identifiera, undersöka och reagera på avancerade hot.

Tips

Microsoft Defender för Endpoint finns i två abonnemang: Defender för Endpoint Abonnemang 1 och Abonnemang 2. Ett nytt Microsoft Defender-tillägg Hantering är säkerhetsrisker finns nu tillgängligt för abonnemang 2.

Inledning

Den här artikeln beskriver hur du distribuerar Microsoft Defender Antivirus i ringar med grupprincip och nätverksresurs (kallas även UNC-sökväg, SMB, CIFS).

Förhandskrav

Läs artikeln läs migReadme

  1. Ladda ned den senaste Windows Defender .admx och .adml.

  2. Kopiera den senaste .admx och .adml till centrallagret för domänkontrollanten.

  3. Skapa en UNC-resurs för säkerhetsinformation och plattformsuppdateringar

Konfigurera pilotmiljön

I det här avsnittet beskrivs processen för att konfigurera UAT/Test/QA-pilotmiljön. På cirka 10–500* Windows- och/eller Windows Server-system, beroende på hur många system du alla har.

Skärmbild som visar ett exempel på microsoft Defender Antivirus-ringdistributionsschema för grupprincip- och nätverksresursmiljöer.

Obs!

SIU (Security Intelligence Update) motsvarar signaturuppdateringar, vilket är samma som definitionsuppdateringar.

Skapa en UNC-resurs för säkerhetsinformation

Konfigurera en nätverksfilresurs (UNC/mappad enhet) för att ladda ned säkerhetsinformation från MMPC-platsen med hjälp av en schemalagd aktivitet.

  1. I systemet där du vill etablera resursen och ladda ned uppdateringarna skapar du en mapp där du sparar skriptet.

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. Skapa den mapp där du ska spara signaturuppdateringarna.

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. Konfigurera ett PowerShell-skript, CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. Använd kommandoraden för att konfigurera den schemalagda aktiviteten.

    Obs!

    Det finns två typer av uppdateringar: fullständig och delta.

    • För x64 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • För x64 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • För x86 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • För x86 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    Obs!

    När de schemalagda aktiviteterna har skapats hittar du dessa i Schemaläggaren under Microsoft\Windows\Windows Defender.

  5. Kör varje uppgift manuellt och kontrollera att du har data (mpam-d.exe, mpam-fe.exeoch nis_full.exe) i följande mappar (du kanske har valt olika platser):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Om den schemalagda aktiviteten misslyckas kör du följande kommandon:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

    Obs!

    Problem kan också bero på en körningsprincip.

  6. Skapa en resurs som pekar på C:\Temp\TempSigs (t.ex. \\server\updates).

    Obs!

    Autentiserade användare måste minst ha läsbehörighet. Det här kravet gäller även domändatorer, resursen och NTFS (säkerhet).

  7. Ange resursplatsen i principen till resursen.

    Obs!

    Lägg inte till mappen x64 (eller x86) i sökvägen. Den mpcmdrun.exe processen lägger till den automatiskt.

Konfigurera pilotmiljön (UAT/Test/QA)

I det här avsnittet beskrivs processen för att konfigurera UAT/Test/QA-pilotmiljön på cirka 10–500 Windows- och/eller Windows Server-system, beroende på hur många system som du alla har.

Obs!

Om du har en Citrix-miljö ska du inkludera minst 1 virtuell Citrix-dator (icke-beständig) och/eller (beständig)

I konsolen grupprinciphantering (GPMC, GPMC.msc) skapar eller lägger du till i din Microsoft Defender Antivirus-princip.

  1. Redigera din Microsoft Defender Antivirus-princip. Du kan till exempel redigera MDAV_Settings_Pilot. Gå till Datorkonfigurationsprinciper>>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus. Det finns tre relaterade alternativ:

    Funktion Rekommendation för pilotsystemen
    Välj kanalen för dagliga uppdateringar av Säkerhetsinformation i Microsoft Defender Aktuell kanal (mellanlagrad)
    Välj kanalen för månatliga motoruppdateringar för Microsoft Defender Beta kanal
    Välj kanalen för månatliga uppdateringar av Microsoft Defender-plattformen Beta kanal

    De tre alternativen visas i följande bild.

    Skärmbild som visar en skärmbild av pilotdatorernas konfigurationsprinciper >> Administrativa mallar Windows-komponenter > Microsoft Defender Antivirus uppdateringskanaler>.

    Mer information finns i Hantera den gradvisa distributionsprocessen för Microsoft Defender-uppdateringar

  2. Gå till Datorkonfigurationsprinciper>>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus.

  3. För informationsuppdateringar dubbelklickar du på Välj kanalen för månatliga uppdateringar av Microsoft Defender-intelligens.

    Skärmbild som visar en skärmdump av sidan Välj kanalen för månatliga uppdateringar för Microsoft Defender med Aktiverad och Aktuell kanal (mellanlagrad) markerad.

  4. På sidan Välj kanalen för månatliga uppdateringar av Microsoft Defender väljer du Aktiverad och i Alternativ väljer du Aktuell kanal (mellanlagrad).

  5. Välj Använd och välj sedan OK.

  6. Gå till Datorkonfigurationsprinciper>>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus.

  7. För motoruppdateringar dubbelklickar du på Välj kanalen för månatliga motoruppdateringar för Microsoft Defender.

  8. På sidan Välj kanalen för microsoft defender månatliga plattformsuppdateringar väljer du Aktiverad och i Alternativ väljer du Betakanal.

  9. Välj Använd och välj sedan OK.

  10. För plattformsuppdateringar dubbelklickar du på Välj kanalen för månatliga uppdateringar av Microsoft Defender-plattformen.

  11. På sidan Välj kanalen för microsoft defender månatliga plattformsuppdateringar väljer du Aktiverad och i Alternativ väljer du Betakanal. De här två inställningarna visas i följande bild:

  12. Välj Använd och välj sedan OK.

Konfigurera produktionsmiljön

  1. I konsolen Grupprinciphantering (GPMC, GPMC.msc) går du till Datorkonfigurationsprinciper>>Administrativa mallar Windows-komponenter>>Microsoft Defender Antivirus.

    Skärmbild som visar en skärmbild av produktionsdatorernas konfigurationsprinciper >> Administrativa mallar Windows-komponenter > Microsoft Defender Antivirus uppdateringskanaler>.

  2. Ange följande tre principer:

    Funktion Rekommendation för produktionssystemen Anmärkningar
    Välj kanalen för dagliga uppdateringar av Säkerhetsinformation i Microsoft Defender Aktuell kanal (bred) Den här inställningen ger dig 3 timmars tid för att hitta en FP och förhindra att produktionssystemen får en inkompatibel signaturuppdatering.
    Välj kanalen för månatliga motoruppdateringar för Microsoft Defender Kritisk – tidsfördröjning Uppdateringarna fördröjs med två dagar.
    Välj kanalen för månatliga uppdateringar av Microsoft Defender-plattformen Kritisk – tidsfördröjning Uppdateringarna fördröjs med två dagar.

  3. För informationsuppdateringar dubbelklickar du på Välj kanalen för månatliga uppdateringar av Microsoft Defender-intelligens.

  4. På sidan Välj kanalen för månatliga uppdateringar av Microsoft Defender väljer du Aktiverad och i Alternativ väljer du Aktuell kanal (bred).

    Skärmbild som visar en skärmdump av sidan Välj kanalen för månatliga uppdateringar för Microsoft Defender med Aktiverad och Aktuell kanal (mellanlagrad) markerad.

  5. Välj Använd och välj sedan OK.

  6. För motoruppdateringar dubbelklickar du på Välj kanalen för månatliga motoruppdateringar för Microsoft Defender.

  7. På sidan Välj kanalen för microsoft defender månatliga plattformsuppdateringar väljer du Aktiverad och i Alternativ väljer du Kritisk – tidsfördröjning.

  8. Välj Använd och välj sedan OK.

  9. För plattformsuppdateringar dubbelklickar du på Välj kanalen för månatliga uppdateringar av Microsoft Defender-plattformen.

  10. På sidan Välj kanalen för microsoft defender månatliga plattformsuppdateringar väljer du Aktiverad och i Alternativ väljer du Kritisk – tidsfördröjning.

  11. Välj Använd och välj sedan OK.

Om du stöter på problem

Om du stöter på problem med distributionen skapar eller lägger du till din Microsoft Defender Antivirus-princip:

  1. I konsolen Grupprinciphantering (GPMC, GPMC.msc) skapar eller lägger du till i din Microsoft Defender Antivirus-princip med följande inställning:

    Gå till Datorkonfigurationsprinciper>>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus-principer> (administratörsdefinierade)InställningarNamn. Du kan till exempel MDAV_Settings_Production, högerklicka och sedan välja Redigera. Redigera för MDAV_Settings_Production visas i följande bild:

    Skärmbild som visar en skärmdump av alternativet Redigera administratörsdefinierad Microsoft Defender Antivirus-princip.

  2. Välj Definiera källornas ordning för nedladdning av uppdateringar av säkerhetsinformation.

  3. Välj alternativknappen Med namnet Aktiverad.

  4. Under Alternativ:ändrar du posten till FileShares, väljer Använd och väljer sedan OK. Den här ändringen visas i följande bild:

    Skärmbild som visar en skärmdump av sidan Definiera källornas ordning för nedladdning av säkerhetsinformationsuppdateringar.

  5. Välj Definiera källornas ordning för nedladdning av uppdateringar av säkerhetsinformation.

  6. Välj alternativknappen Med namnet Inaktiverad, välj Tillämpa och välj sedan OK. Alternativet inaktiverad visas i följande bild:

    Skärmbild som visar en skärmdump av sidan Definiera ordningen på källor för nedladdning av säkerhetsinformationsuppdateringar med säkerhetsinformationsuppdateringar inaktiverade.

  7. Ändringen är aktiv när grupprincipen uppdateras. Det finns två metoder för att uppdatera grupprincipen:

    • Kör kommandot Grupprincipuppdatering från kommandoraden. Kör till exempel gpupdate / force. Mer information finns i gpupdate
    • Vänta tills grupprincipen uppdateras automatiskt. Grupprincipen uppdateras var 90:e minut +/- 30 minuter.

    Om du har flera skogar/domäner kan du framtvinga replikering eller vänta 10–15 minuter. Framtvinga sedan en grupprincipuppdatering från konsolen grupprinciphantering.

    • Högerklicka på en organisationsenhet (OU) som innehåller datorerna (till exempel Skrivbord) och välj Grupprincipuppdatering. Det här användargränssnittskommandot motsvarar att göra en gpupdate.exe /force på varje dator i organisationsenheten. Funktionen för att tvinga grupprincipen att uppdatera visas i följande bild:

      Skärmbild som visar en skärmdump av konsolen Grupprinciphantering som initierar en framtvingad uppdatering.

  8. När problemet har lösts anger du återställningsordningen för signaturuppdatering till den ursprungliga inställningen. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

Se även

Översikt över distribution av Microsoft Defender Antivirus-ring