Distribution av Produktionsring i Microsoft Defender Antivirus med grupprincip och nätverksresurs
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattformar
- Windows
- Windows Server
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Microsoft Defender för Endpoint är en säkerhetsplattform för företagsslutpunkter som utformats för att hjälpa företagsnätverk att förhindra, identifiera, undersöka och reagera på avancerade hot.
Tips
Microsoft Defender för Endpoint finns i två abonnemang: Defender för Endpoint Abonnemang 1 och Abonnemang 2. Ett nytt Microsoft Defender-tillägg Hantering är säkerhetsrisker finns nu tillgängligt för abonnemang 2.
Inledning
Den här artikeln beskriver hur du distribuerar Microsoft Defender Antivirus i ringar med grupprincip och nätverksresurs (kallas även UNC-sökväg, SMB, CIFS).
Förhandskrav
Läs artikeln läs mig på Readme
Ladda ned den senaste Windows Defender .admx och .adml.
Kopiera den senaste .admx och .adml till centrallagret för domänkontrollanten.
Skapa en UNC-resurs för säkerhetsinformation och plattformsuppdateringar
Konfigurera pilotmiljön
I det här avsnittet beskrivs processen för att konfigurera UAT/Test/QA-pilotmiljön. På cirka 10–500* Windows- och/eller Windows Server-system, beroende på hur många system du alla har.
Obs!
SIU (Security Intelligence Update) motsvarar signaturuppdateringar, vilket är samma som definitionsuppdateringar.
Skapa en UNC-resurs för säkerhetsinformation
Konfigurera en nätverksfilresurs (UNC/mappad enhet) för att ladda ned säkerhetsinformation från MMPC-platsen med hjälp av en schemalagd aktivitet.
I systemet där du vill etablera resursen och ladda ned uppdateringarna skapar du en mapp där du sparar skriptet.
Start, CMD (Run as admin) MD C:\Tool\PS-Scripts\
Skapa den mapp där du ska spara signaturuppdateringarna.
MD C:\Temp\TempSigs\x64 MD C:\Temp\TempSigs\x86
Konfigurera ett PowerShell-skript,
CopySignatures.ps1
Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"
Använd kommandoraden för att konfigurera den schemalagda aktiviteten.
Obs!
Det finns två typer av uppdateringar: fullständig och delta.
För x64 delta:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
För x64 full:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
För x86 delta:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
För x86 full:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Obs!
När de schemalagda aktiviteterna har skapats hittar du dessa i Schemaläggaren under
Microsoft\Windows\Windows Defender
.Kör varje uppgift manuellt och kontrollera att du har data (
mpam-d.exe
,mpam-fe.exe
ochnis_full.exe
) i följande mappar (du kanske har valt olika platser):C:\Temp\TempSigs\x86
C:\Temp\TempSigs\x64
Om den schemalagda aktiviteten misslyckas kör du följande kommandon:
C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
Obs!
Problem kan också bero på en körningsprincip.
Skapa en resurs som pekar på
C:\Temp\TempSigs
(t.ex.\\server\updates
).Obs!
Autentiserade användare måste minst ha läsbehörighet. Det här kravet gäller även domändatorer, resursen och NTFS (säkerhet).
Ange resursplatsen i principen till resursen.
Obs!
Lägg inte till mappen x64 (eller x86) i sökvägen. Den mpcmdrun.exe processen lägger till den automatiskt.
Konfigurera pilotmiljön (UAT/Test/QA)
I det här avsnittet beskrivs processen för att konfigurera UAT/Test/QA-pilotmiljön på cirka 10–500 Windows- och/eller Windows Server-system, beroende på hur många system som du alla har.
Obs!
Om du har en Citrix-miljö ska du inkludera minst 1 virtuell Citrix-dator (icke-beständig) och/eller (beständig)
I konsolen grupprinciphantering (GPMC, GPMC.msc) skapar eller lägger du till i din Microsoft Defender Antivirus-princip.
Redigera din Microsoft Defender Antivirus-princip. Du kan till exempel redigera MDAV_Settings_Pilot. Gå till Datorkonfigurationsprinciper>>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus. Det finns tre relaterade alternativ:
Funktion Rekommendation för pilotsystemen Välj kanalen för dagliga uppdateringar av Säkerhetsinformation i Microsoft Defender Aktuell kanal (mellanlagrad) Välj kanalen för månatliga motoruppdateringar för Microsoft Defender Beta kanal Välj kanalen för månatliga uppdateringar av Microsoft Defender-plattformen Beta kanal De tre alternativen visas i följande bild.
Mer information finns i Hantera den gradvisa distributionsprocessen för Microsoft Defender-uppdateringar
Gå till Datorkonfigurationsprinciper>>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus.
För informationsuppdateringar dubbelklickar du på Välj kanalen för månatliga uppdateringar av Microsoft Defender-intelligens.
På sidan Välj kanalen för månatliga uppdateringar av Microsoft Defender väljer du Aktiverad och i Alternativ väljer du Aktuell kanal (mellanlagrad).
Välj Använd och välj sedan OK.
Gå till Datorkonfigurationsprinciper>>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus.
För motoruppdateringar dubbelklickar du på Välj kanalen för månatliga motoruppdateringar för Microsoft Defender.
På sidan Välj kanalen för microsoft defender månatliga plattformsuppdateringar väljer du Aktiverad och i Alternativ väljer du Betakanal.
Välj Använd och välj sedan OK.
För plattformsuppdateringar dubbelklickar du på Välj kanalen för månatliga uppdateringar av Microsoft Defender-plattformen.
På sidan Välj kanalen för microsoft defender månatliga plattformsuppdateringar väljer du Aktiverad och i Alternativ väljer du Betakanal. De här två inställningarna visas i följande bild:
Välj Använd och välj sedan OK.
Relaterade artiklar
- Antivirusprofiler – Enheter som hanteras av Microsoft Intune
- Använd Endpoint Security Antivirus-princip för att hantera Microsoft Defender-uppdateringsbeteende (förhandsversion)
- Hantera den gradvisa distributionsprocessen för Microsoft Defender-uppdateringar
Konfigurera produktionsmiljön
I konsolen Grupprinciphantering (GPMC, GPMC.msc) går du till Datorkonfigurationsprinciper>>Administrativa mallar Windows-komponenter>>Microsoft Defender Antivirus.
Ange följande tre principer:
Funktion Rekommendation för produktionssystemen Anmärkningar Välj kanalen för dagliga uppdateringar av Säkerhetsinformation i Microsoft Defender Aktuell kanal (bred) Den här inställningen ger dig 3 timmars tid för att hitta en FP och förhindra att produktionssystemen får en inkompatibel signaturuppdatering. Välj kanalen för månatliga motoruppdateringar för Microsoft Defender Kritisk – tidsfördröjning Uppdateringarna fördröjs med två dagar. Välj kanalen för månatliga uppdateringar av Microsoft Defender-plattformen Kritisk – tidsfördröjning Uppdateringarna fördröjs med två dagar. För informationsuppdateringar dubbelklickar du på Välj kanalen för månatliga uppdateringar av Microsoft Defender-intelligens.
På sidan Välj kanalen för månatliga uppdateringar av Microsoft Defender väljer du Aktiverad och i Alternativ väljer du Aktuell kanal (bred).
Välj Använd och välj sedan OK.
För motoruppdateringar dubbelklickar du på Välj kanalen för månatliga motoruppdateringar för Microsoft Defender.
På sidan Välj kanalen för microsoft defender månatliga plattformsuppdateringar väljer du Aktiverad och i Alternativ väljer du Kritisk – tidsfördröjning.
Välj Använd och välj sedan OK.
För plattformsuppdateringar dubbelklickar du på Välj kanalen för månatliga uppdateringar av Microsoft Defender-plattformen.
På sidan Välj kanalen för microsoft defender månatliga plattformsuppdateringar väljer du Aktiverad och i Alternativ väljer du Kritisk – tidsfördröjning.
Välj Använd och välj sedan OK.
Om du stöter på problem
Om du stöter på problem med distributionen skapar eller lägger du till din Microsoft Defender Antivirus-princip:
I konsolen Grupprinciphantering (GPMC, GPMC.msc) skapar eller lägger du till i din Microsoft Defender Antivirus-princip med följande inställning:
Gå till Datorkonfigurationsprinciper>>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus-principer> (administratörsdefinierade)InställningarNamn. Du kan till exempel MDAV_Settings_Production, högerklicka och sedan välja Redigera. Redigera för MDAV_Settings_Production visas i följande bild:
Välj Definiera källornas ordning för nedladdning av uppdateringar av säkerhetsinformation.
Välj alternativknappen Med namnet Aktiverad.
Under Alternativ:ändrar du posten till FileShares, väljer Använd och väljer sedan OK. Den här ändringen visas i följande bild:
Välj Definiera källornas ordning för nedladdning av uppdateringar av säkerhetsinformation.
Välj alternativknappen Med namnet Inaktiverad, välj Tillämpa och välj sedan OK. Alternativet inaktiverad visas i följande bild:
Ändringen är aktiv när grupprincipen uppdateras. Det finns två metoder för att uppdatera grupprincipen:
- Kör kommandot Grupprincipuppdatering från kommandoraden. Kör till exempel
gpupdate / force
. Mer information finns i gpupdate - Vänta tills grupprincipen uppdateras automatiskt. Grupprincipen uppdateras var 90:e minut +/- 30 minuter.
Om du har flera skogar/domäner kan du framtvinga replikering eller vänta 10–15 minuter. Framtvinga sedan en grupprincipuppdatering från konsolen grupprinciphantering.
Högerklicka på en organisationsenhet (OU) som innehåller datorerna (till exempel Skrivbord) och välj Grupprincipuppdatering. Det här användargränssnittskommandot motsvarar att göra en gpupdate.exe /force på varje dator i organisationsenheten. Funktionen för att tvinga grupprincipen att uppdatera visas i följande bild:
- Kör kommandot Grupprincipuppdatering från kommandoraden. Kör till exempel
När problemet har lösts anger du återställningsordningen för signaturuppdatering till den ursprungliga inställningen.
InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare
.
Se även
Översikt över distribution av Microsoft Defender Antivirus-ring
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för