Hantera källor för skyddsuppdateringar av Microsoft Defender Antivirus

Gäller för:

Plattformar

  • Windows

Det är viktigt att hålla antivirusskyddet uppdaterat. Det finns två komponenter för att hantera skyddsuppdateringar för Microsoft Defender Antivirus:

  • Varifrån uppdateringarna laddas ned; Och
  • När uppdateringar laddas ned och tillämpas.

Den här artikeln beskriver hur du anger varifrån uppdateringar ska laddas ned (den här specifikationen kallas även återställningsordning). Se artikeln Hantera Microsoft Defender Antivirus-uppdateringar och tillämpa baslinjer för en översikt över hur uppdateringar fungerar och hur du konfigurerar andra aspekter av uppdateringar (till exempel schemaläggning av uppdateringar).

Viktigt

Microsoft Defender uppdateringar av antivirussäkerhetsinformation och plattformsuppdateringar levereras via Windows Update och från och med måndagen den 21 oktober 2019 är alla uppdateringar av säkerhetsinformation SHA-2 signerade exklusivt. Dina enheter måste uppdateras för att stödja SHA-2 för att kunna uppdatera din säkerhetsinformation. Mer information finns i 2019 SHA-2 Code Signing Support requirement for Windows and WSUS (2019 SHA-2 Code Signing Support requirement for Windows and WSUS).

Reservordning

Vanligtvis konfigurerar du slutpunkter för att separat ladda ned uppdateringar från en primär källa följt av andra källor i prioritetsordning, baserat på din nätverkskonfiguration. Uppdateringar hämtas från källor i den ordning du anger. Om uppdateringar från den aktuella källan är inaktuella används nästa källa i listan omedelbart.

När uppdateringar publiceras används viss logik för att minimera storleken på uppdateringen. I de flesta fall laddas endast skillnaderna mellan den senaste uppdateringen och uppdateringen som för närvarande är installerad (den uppsättning skillnader som kallas delta) på enheten ned och tillämpas. Deltats storlek beror dock på två huvudfaktorer:

  • Åldern för den senaste uppdateringen på enheten. Och
  • Källan som används för att ladda ned och tillämpa uppdateringar.

Ju äldre uppdateringar på en slutpunkt, desto större är nedladdningen. Men du måste också överväga nedladdningsfrekvens. Ett mer frekvent uppdateringsschema kan resultera i mer nätverksanvändning, medan ett mindre vanligt schema kan resultera i större filstorlekar per nedladdning.

Det finns fem platser där du kan ange var en slutpunkt ska hämta uppdateringar:

Obs!

  1. Intune intern definitionsuppdateringsserver. Om du använder SCCM/SUP för att hämta definitionsuppdateringar för Microsoft Defender Antivirus, och du måste komma åt Windows Update på blockerade klientenheter, kan du övergå till samhantering och avlasta arbetsbelastningen för slutpunktsskydd till Intune. I principen för program mot skadlig kod som konfigurerats i Intune finns det ett alternativ för "intern definitionsuppdateringsserver" som du kan ange för att använda lokal WSUS som uppdateringskälla. Den här konfigurationen hjälper dig att styra vilka uppdateringar från den officiella WU-servern som är godkända för företaget och hjälper även proxy och spara nätverkstrafik till det officiella Windows Uppdateringar-nätverket.

  2. Din princip och ditt register kan ha detta listat som Säkerhetsinformation för Microsoft Malware Protection Center (MMPC), dess tidigare namn.

För att säkerställa den bästa skyddsnivån tillåter Microsoft Update snabba versioner, vilket innebär mindre nedladdningar ofta. Windows Server Update Service, Microsoft Endpoint Configuration Manager, Microsofts säkerhetsinformationsuppdateringar och plattformsuppdateringskällor ger mindre frekventa uppdateringar. Deltat kan därför vara större, vilket resulterar i större nedladdningar.

Plattformsuppdateringar innehåller motoruppdateringar och släpps varje månad. Uppdateringar av säkerhetsinformation levereras också flera gånger om dagen, men det här paketet innehåller ingen motor. Se Microsoft Defender Säkerhetsinformation för antivirusprogram och produktuppdateringar.

Viktigt

Om du har angett uppdateringar av Microsoft Security Intelligence-sidan som reservkälla efter Windows Server Update Service eller Microsoft Update, laddas uppdateringar endast ned från uppdateringar av säkerhetsinformation och plattformsuppdateringar när den aktuella uppdateringen anses vara inaktuell. (Som standard är det här sju dagar i rad då uppdateringar från Windows Server Update-tjänsten eller Microsoft Update-tjänsterna inte kan tillämpas. Du kan dock ange antalet dagar innan skyddet rapporteras som inaktuellt.

Från och med måndagen den 21 oktober 2019 är uppdateringar av säkerhetsinformation och plattformsuppdateringar SHA-2 signerade exklusivt. Enheter måste uppdateras för att stödja SHA-2 för att få de senaste uppdateringarna av säkerhetsinformation och plattformsuppdateringar. Mer information finns i 2019 SHA-2 Code Signing Support requirement for Windows and WSUS (2019 SHA-2 Code Signing Support requirement for Windows and WSUS).

Varje källa har typiska scenarier som beror på hur nätverket konfigureras, förutom hur ofta de publicerar uppdateringar, enligt beskrivningen i följande tabell:

Plats Exempelscenario
Windows Server Update Service Du använder Windows Server Update Service för att hantera uppdateringar för nätverket.
Microsoft Update Du vill att dina slutpunkter ska ansluta direkt till Microsoft Update. Det här alternativet är användbart för slutpunkter som oregelbundet ansluter till företagsnätverket eller om du inte använder Windows Server Update Service för att hantera dina uppdateringar.
Filresurs Du har icke-Internetanslutna enheter (till exempel virtuella datorer). Du kan använda din Internetanslutna vm-värd för att ladda ned uppdateringarna till en nätverksresurs, från vilken de virtuella datorerna kan hämta uppdateringarna. Se VDI-distributionsguiden för hur filresurser används i VDI-miljöer (Virtual Desktop Infrastructure).
Microsoft Configuration Manager Du använder Microsoft Configuration Manager för att uppdatera dina slutpunkter.
Uppdateringar av säkerhetsinformation och plattformsuppdateringar för Microsoft Defender Antivirus och andra Microsoft-program mot skadlig kod (kallades tidigare MMPC) Kontrollera att dina enheter har uppdaterats för att stödja SHA-2. Microsoft Defender antivirussäkerhetsinformation och plattformsuppdateringar levereras via Windows Update, och från och med måndagen den 21 oktober 2019 är uppdateringar av säkerhetsinformation och plattformsuppdateringar SHA-2 signerade exklusivt.
Ladda ned de senaste skyddsuppdateringarna på grund av en infektion nyligen eller för att etablera en stark basavbildning för VDI-distribution. Det här alternativet bör vanligtvis endast användas som en slutlig återställningskälla och inte som primär källa. Den används bara om uppdateringar inte kan laddas ned från Windows Server Update Service eller Microsoft Update under ett angivet antal dagar.

Du kan hantera i vilken ordning uppdateringskällor används med grupprincip, Microsoft Endpoint Configuration Manager, PowerShell-cmdletar och WMI.

Viktigt

Om du anger Windows Server Update Service som en nedladdningsplats måste du godkänna uppdateringarna, oavsett vilket hanteringsverktyg du använder för att ange platsen. Du kan konfigurera en regel för automatiskt godkännande med Windows Server Update Service, vilket kan vara användbart när uppdateringar anländer minst en gång om dagen. Mer information finns i Synkronisera uppdateringar av slutpunktsskydd i fristående Windows Server Update Service.

Procedurerna i den här artikeln beskriver först hur du ställer in ordningen och sedan hur du konfigurerar alternativet Filresurs om du har aktiverat den.

Använd grupprincip för att hantera uppdateringsplatsen

  1. Öppna grupprincip-hanteringskonsolen på grupprincip-hanteringsdatorn, högerklicka på det grupprincip objekt som du vill konfigurera och välj sedan Redigera.

  2. I grupprincip-hanteringsredigeraren går du till Datorkonfiguration.

  3. Välj Principer och sedan Administrativa mallar.

  4. Expandera trädet till Windows-komponenter>Windows Defender>Signaturuppdateringar och konfigurera sedan följande inställningar:

    1. Redigera inställningen Definiera källornas ordning för nedladdning av uppdateringar av säkerhetsinformation . Ange alternativet till Aktiverad.

    2. Ange källornas ordning, avgränsade med ett enda rör, till exempel: InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, enligt följande skärmbild.

      Grupprincipinställning som visar källornas ordning

    3. Välj OK. Den här åtgärden anger ordningen för skyddsuppdateringskällor.

    4. Redigera inställningen Definiera filresurser för att ladda ned uppdateringar av säkerhetsinformation och ange sedan alternativet till Aktiverad.

    5. Ange filresurskällan. Om du har flera källor anger du varje källa i den ordning de ska användas, avgränsade med ett enda rör. Använd UNC-standardnotation för att ange sökvägen, till exempel: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name. Om du inte anger några sökvägar hoppas den här källan över när den virtuella datorn hämtar uppdateringar.

    6. Välj OK. Den här åtgärden anger ordningen på filresurser när källan refereras till i grupprincipinställningen Definiera ordningen på källor...

Obs!

För Windows 10 version 1703 fram till och med 1809 är principsökvägen Windows-komponenter > Microsoft Defender antivirussignatur > Uppdateringar För Windows 10 version 1903 är principsökvägen Windows-komponenter > Microsoft Defender Antivirus > Security Intelligence Uppdateringar

Använd Configuration Manager för att hantera uppdateringsplatsen

Mer information om hur du konfigurerar Microsoft Configuration Manager (aktuell gren) finns i Konfigurera Uppdateringar för Endpoint Protection.

Använda PowerShell-cmdletar för att hantera uppdateringsplatsen

Använd följande PowerShell-cmdletar för att ange uppdateringsordningen.

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

Mer information finns i följande artiklar:

Använd Windows Management Instruction (WMI) för att hantera uppdateringsplatsen

Använd metoden Set för klassen MSFT_MpPreference för följande egenskaper:

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

Mer information finns i följande artiklar:

Använd Mobile Enhetshantering (MDM) för att hantera uppdateringsplatsen

Mer information om hur du konfigurerar MDM finns i CSP-princip – Defender/SignatureUpdateFallbackOrder .

Vad händer om vi använder en tredjepartsleverantör?

I den här artikeln beskrivs hur du konfigurerar och hanterar uppdateringar för Microsoft Defender Antivirus. Du kan dock anlita tredjepartsleverantörer för att utföra dessa uppgifter.

Anta till exempel att Contoso har anlitat Fabrikam för att hantera sin säkerhetslösning, som omfattar Microsoft Defender Antivirus. Fabrikam använder vanligtvis Windows Management Instrumentation, PowerShell-cmdletar eller Windows-kommandorad för att distribuera korrigeringar och uppdateringar.

Obs!

Microsoft testar inte lösningar från tredje part för att hantera Microsoft Defender Antivirus.

Skapa en UNC-resurs för säkerhetsinformation och plattformsuppdateringar

Konfigurera en nätverksfilresurs (UNC/mappad enhet) för att ladda ned säkerhetsinformations- och plattformsuppdateringar från MMPC-platsen med hjälp av en schemalagd aktivitet.

  1. Skapa en mapp för skriptet i det system där du vill etablera resursen och ladda ned uppdateringarna.

    Start, CMD (Run as admin)
    MD C:\Tool\PS-Scripts\
    
  2. Skapa en mapp för signaturuppdateringar.

    MD C:\Temp\TempSigs\x64
    MD C:\Temp\TempSigs\x86
    
  3. Ladda ned PowerShell-skriptet från www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.

  4. Välj Manuell nedladdning.

  5. Välj Ladda ned nupkg-råfilen.

  6. Extrahera filen.

  7. Kopiera filen SignatureDownloadCustomTask.ps1 till mappen som du skapade tidigare, C:\Tool\PS-Scripts\ .

  8. Använd kommandoraden för att konfigurera den schemalagda aktiviteten.

    Obs!

    Det finns två typer av uppdateringar: fullständig och delta.

    • För x64 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • För x64 full:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • För x86 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • För x86 full:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      

    Obs!

    När de schemalagda aktiviteterna har skapats hittar du dessa i Schemaläggaren under Microsoft\Windows\Windows Defender.

  9. Kör varje uppgift manuellt och kontrollera att du har data (mpam-d.exe, mpam-fe.exeoch nis_full.exe) i följande mappar (du kanske har valt olika platser):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Om den schemalagda aktiviteten misslyckas kör du följande kommandon:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
    
  10. Skapa en resurs som pekar på (till C:\Temp\TempSigs exempel \\server\updates).

    Obs!

    Autentiserade användare måste minst ha läsbehörighet. Det här kravet gäller även domändatorer, resursen och NTFS (säkerhet).

  11. Ange resursplatsen i principen till resursen.

    Obs!

    Lägg inte till mappen x64 (eller x86) i sökvägen. Den mpcmdrun.exe processen lägger till den automatiskt.

Tips

Vill du lära dig mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.