Aracılığıyla paylaş


grup ilkesi ve ağ paylaşımı kullanarak virüsten koruma üretim halkası dağıtımını Microsoft Defender

Şunlar için geçerlidir:

Platform

  • Windows
  • Windows Server

Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Uç Nokta için Microsoft Defender, kurumsal ağların gelişmiş tehditleri engellemesine, algılamasına, araştırmasına ve yanıtlamasına yardımcı olmak için tasarlanmış bir kurumsal uç nokta güvenlik platformudur.

İpucu

Uç Nokta için Microsoft Defender, Uç Nokta için Defender Plan 1 ve Plan 2 şeklinde iki planda kullanılabilir. Plan 2 için yeni bir Microsoft Defender Güvenlik Açığı Yönetimi eklentisi kullanıma sunuldu.

Giriş

Bu makalede, grup ilkesi ve Ağ paylaşımı (UNC yolu, SMB, CIFS olarak da bilinir) kullanılarak Microsoft Defender Virüsten Koruma'nın halkalar halinde nasıl dağıtılacağı açıklanır.

Önkoşullar

Benioku makalesini gözden geçirin

  1. En son Windows Defender .admx ve .adml dosyasını indirin.

  2. En son .admx ve .adml dosyalarını Domain Controller Central Store'a kopyalayın.

  3. Güvenlik bilgileri ve platform güncelleştirmeleri için unc paylaşımı İçerik Oluşturucu

Pilot ortamı ayarlama

Bu bölümde pilot UAT / Test / QA ortamını ayarlama işlemi açıklanmaktadır. Toplam kaç sisteminiz olduğuna bağlı olarak yaklaşık 10-500* Windows ve/veya Windows Server sistemlerinde.

grup ilkesi ve ağ paylaşımı ortamları için virüsten koruma kademesi dağıtım zamanlaması Microsoft Defender bir örnek gösteren ekran görüntüsü.

Not

Güvenlik bilgileri güncelleştirmesi (SIU), tanım güncelleştirmeleri ile aynı olan imza güncelleştirmelerine eşdeğerdir.

Güvenlik bilgileri ve platform güncelleştirmeleri için unc paylaşımı İçerik Oluşturucu

Zamanlanmış bir görev kullanarak MMPC sitesinden güvenlik zekası ve platform güncelleştirmelerini indirmek için bir ağ dosya paylaşımı (UNC/eşlenmiş sürücü) ayarlayın.

  1. Paylaşımı sağlamak ve güncelleştirmeleri indirmek istediğiniz sistemde, betiği kaydedebileceğiniz bir klasör oluşturun.

    Start, CMD (Run as admin)
    MD C:\Tool\PS-Scripts\
    
  2. İmza güncelleştirmelerini kaydedebileceğiniz klasörü İçerik Oluşturucu.

    MD C:\Temp\TempSigs\x64
    MD C:\Temp\TempSigs\x86
    
  3. PowerShell betiği ayarlama, CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. Zamanlanmış görevi ayarlamak için komut satırını kullanın.

    Not

    İki tür güncelleştirme vardır: tam ve delta.

    • x64 delta için:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • x64 tam için:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • x86 delta için:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • x86 tam için:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      

    Not

    Zamanlanmış görevler oluşturulduğunda, bunları altındaki Microsoft\Windows\Windows DefenderGörev Zamanlayıcı'da bulabilirsiniz.

  5. Her görevi el ile çalıştırın ve aşağıdaki klasörlerde (mpam-d.exe, mpam-fe.exeve nis_full.exe) veriniz olduğunu doğrulayın (farklı konumlar seçmiş olabilirsiniz):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Zamanlanan görev başarısız olursa aşağıdaki komutları çalıştırın:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
    

    Not

    Sorunlar yürütme ilkesinden de kaynaklanıyor olabilir.

  6. öğesini işaret eden C:\Temp\TempSigs bir paylaşım İçerik Oluşturucu (ör. \\server\updates).

    Not

    Kimliği doğrulanmış kullanıcıların en azından "Okuma" erişimi olmalıdır. Bu gereksinim etki alanı bilgisayarları, paylaşım ve NTFS (güvenlik) için de geçerlidir.

  7. İlkedeki paylaşım konumunu paylaşım olarak ayarlayın.

    Not

    Yola x64 (veya x86) klasörünü eklemeyin. mpcmdrun.exe işlemi otomatik olarak ekler.

Pilot (UAT/Test/QA) ortamını ayarlama

Bu bölümde, toplam kaç sisteminiz olduğuna bağlı olarak, yaklaşık 10-500 Windows ve/veya Windows Server sisteminde pilot UAT / Test / QA ortamını ayarlama işlemi açıklanmaktadır.

Not

Citrix ortamınız varsa en az 1 Citrix VM (kalıcı olmayan) ve/veya (kalıcı) ekleyin

grup ilkesi Yönetim Konsolu'nda (GPMC, GPMC.msc), Microsoft Defender Virüsten Koruma ilkenizi oluşturun veya buna ekin.

  1. Microsoft Defender Virüsten Koruma ilkenizi düzenleyin. Örneğin, MDAV_Settings_Pilot düzenleyin. Bilgisayar Yapılandırma>İlkeleri>Yönetim Şablonları>Windows Bileşenleri>Microsoft Defender Virüsten Koruma'ya gidin. İlgili üç seçenek vardır:

    Özellik Pilot sistemler için öneri
    Microsoft Defender günlük Güvenlik Bilgileri güncelleştirmeleri için kanalı seçin Geçerli Kanal (Aşamalı)
    Aylık Microsoft Defender Altyapı güncelleştirmeleri için kanalı seçin Beta Kanalı
    Aylık Microsoft Defender Platform güncelleştirmeleri için kanalı seçin Beta Kanalı

    Üç seçenek aşağıdaki şekilde gösterilmiştir.

    Pilot Bilgisayar Yapılandırma > İlkeleri > Yönetim Şablonları > Windows Bileşenleri > Microsoft Defender Virüsten Koruma güncelleştirme kanallarının ekran görüntüsünü gösteren ekran görüntüsü.

    Daha fazla bilgi için bkz. Microsoft Defender güncelleştirmeleri için aşamalı dağıtım işlemini yönetme

  2. Bilgisayar Yapılandırma>İlkeleri>Yönetim Şablonları>Windows Bileşenleri>Microsoft Defender Virüsten Koruma'ya gidin.

  3. Akıllı bilgi güncelleştirmeleri için aylık Microsoft Defender yönetim bilgileri güncelleştirmeleri için kanalı seçin'e çift tıklayın.

    Etkin ve Geçerli Kanal (Aşamalı) seçili Microsoft Defender aylık zeka güncelleştirmeleri için kanalı seçin sayfasının ekran görüntüsünü gösteren ekran görüntüsü.

  4. Aylık Microsoft Defender yönetim bilgileri güncelleştirmeleri için kanalı seçin sayfasında Etkin'i seçin ve Seçenekler'deGeçerli Kanal (Aşamalı) seçeneğini belirleyin.

  5. Uygula'yı ve ardından Tamam'ı seçin.

  6. Bilgisayar Yapılandırma>İlkeleri>Yönetim Şablonları>Windows Bileşenleri>Microsoft Defender Virüsten Koruma'ya gidin.

  7. Altyapı güncelleştirmeleri için Aylık Microsoft Defender altyapı güncelleştirmeleri için kanalı seçin'e çift tıklayın.

  8. Aylık Microsoft Defender Platform güncelleştirmeleri için kanalı seçin sayfasında Etkin'i seçin ve Seçenekler'deBeta Kanal'ı seçin.

  9. Uygula'yı ve ardından Tamam'ı seçin.

  10. Platform güncelleştirmeleri için Aylık Microsoft Defender Platform güncelleştirmeleri için kanalı seçin'e çift tıklayın.

  11. Aylık Microsoft Defender Platform güncelleştirmeleri için kanalı seçin sayfasında Etkin'i seçin ve Seçenekler'deBeta Kanal'ı seçin. Bu iki ayar aşağıdaki şekilde gösterilmiştir:

  12. Uygula'yı ve ardından Tamam'ı seçin.

Üretim ortamını ayarlama

  1. grup ilkesi Yönetim Konsolu'nda (GPMC, GPMC.msc), Bilgisayar Yapılandırma>İlkeleri>Yönetim Şablonları>Windows Bileşenleri>Microsoft Defender Virüsten Koruma'ya gidin.

    Üretim Bilgisayar Yapılandırma > İlkeleri > Yönetim Şablonları > Windows Bileşenleri > Microsoft Defender Virüsten Koruma güncelleştirme kanallarının ekran görüntüsünü gösteren ekran görüntüsü.

  2. Üç ilkeyi aşağıdaki gibi ayarlayın:

    Özellik Üretim sistemleri için öneri Açıklamalar
    Microsoft Defender günlük Güvenlik Bilgileri güncelleştirmeleri için kanalı seçin Geçerli Kanal (Geniş) Bu ayar, bir FP bulmanız ve üretim sistemlerinin uyumsuz bir imza güncelleştirmesi almasını önlemek için size 3 saat süre sağlar.
    Aylık Microsoft Defender Altyapı güncelleştirmeleri için kanalı seçin Kritik – Gecikme süresi Güncelleştirmeler iki gün gecikir.
    Aylık Microsoft Defender Platform güncelleştirmeleri için kanalı seçin Kritik – Gecikme süresi Güncelleştirmeler iki gün gecikir.
  3. Akıllı bilgi güncelleştirmeleri için aylık Microsoft Defender yönetim bilgileri güncelleştirmeleri için kanalı seçin'e çift tıklayın.

  4. Aylık Microsoft Defender yönetim bilgileri güncelleştirmeleri için kanalı seçin sayfasında Etkin'i seçin ve Seçenekler'deGeçerli Kanal (Geniş)'i seçin.

    Etkin ve Geçerli Kanal (Aşamalı) seçili Microsoft Defender aylık zeka güncelleştirmeleri için kanalı seçin sayfasının ekran görüntüsünü gösteren ekran görüntüsü.

  5. Uygula'yı ve ardından Tamam'ı seçin.

  6. Altyapı güncelleştirmeleri için Aylık Microsoft Defender altyapı güncelleştirmeleri için kanalı seçin'e çift tıklayın.

  7. Aylık Microsoft Defender Platform güncelleştirmeleri için kanalı seçin sayfasında Etkin'i seçin ve Seçenekler'deKritik – Gecikme süresi'ni seçin.

  8. Uygula'yı ve ardından Tamam'ı seçin.

  9. Platform güncelleştirmeleri için Aylık Microsoft Defender Platform güncelleştirmeleri için kanalı seçin'e çift tıklayın.

  10. Aylık Microsoft Defender Platform güncelleştirmeleri için kanalı seçin sayfasında Etkin'i seçin ve Seçenekler'deKritik – Gecikme süresi'ni seçin.

  11. Uygula'yı ve ardından Tamam'ı seçin.

Sorunlarla karşılaşırsanız

Dağıtımınızla ilgili sorunlarla karşılaşırsanız Microsoft Defender Virüsten Koruma ilkenizi oluşturun veya ekleyin:

  1. grup ilkesi Yönetim Konsolu'nda (GPMC, GPMC.msc), aşağıdaki ayarı kullanarak Microsoft Defender Virüsten Koruma ilkenizi oluşturun veya ekleyin:

    Bilgisayar Yapılandırma>İlkeleri>Yönetim Şablonları>Windows Bileşenleri>Microsoft Defender Virüsten Koruma> (yönetici tanımlı) PolicySettingName'e gidin. Örneğin , MDAV_Settings_Production sağ tıklayın ve düzenle'yi seçin. MDAV_Settings_Production için düzenle aşağıdaki şekilde gösterilmiştir:

    Yönetici tanımlı Microsoft Defender Virüsten Koruma ilkesi Düzenle seçeneğinin ekran görüntüsünü gösteren ekran görüntüsü.

  2. Güvenlik bilgileri güncelleştirmelerini indirmek için kaynakların sırasını tanımla'ya tıklayın.

  3. Etkin adlı radyo düğmesini seçin.

  4. Seçenekler: altında, girdiyi Dosya Paylaşımları olarak değiştirin, Uygula'yı ve ardından Tamam'ı seçin. Bu değişiklik aşağıdaki şekilde gösterilmiştir:

    Güvenlik bilgileri güncelleştirmelerini indirmek için kaynakların sırasını tanımla sayfasının ekran görüntüsünü gösteren ekran görüntüsü.

  5. Güvenlik bilgileri güncelleştirmelerini indirmek için kaynakların sırasını tanımla'ya tıklayın.

  6. Devre Dışı adlı radyo düğmesini seçin, Uygula'yı ve ardından Tamam'ı seçin. Devre dışı seçeneği aşağıdaki şekilde gösterilmiştir:

    Güvenlik Zekası güncelleştirmelerinin devre dışı bırakıldığını belirten Güvenlik bilgileri güncelleştirmelerini indirmek için kaynakların sırasını tanımla sayfasının ekran görüntüsünü gösteren ekran görüntüsü.

  7. grup ilkesi güncelleştirildiğinde değişiklik etkindir. grup ilkesi yenilemek için iki yöntem vardır:

    • Komut satırından grup ilkesi update komutunu çalıştırın. Örneğin komutunu çalıştırın gpupdate / force. Daha fazla bilgi için bkz. gpupdate
    • grup ilkesi otomatik olarak yenilenmesini bekleyin. grup ilkesi 90 dakikada bir +/- 30 dakikada bir yenilenir.

    Birden çok ormanınız/etki alanınız varsa çoğaltmayı zorunlu tutun veya 10-15 dakika bekleyin. Ardından grup ilkesi Yönetim Konsolu'ndan bir grup ilkesi Güncelleştirmesi'ni zorlayın.

    • Makineleri (örneğin, Masaüstleri) içeren bir kuruluş birimine (OU) sağ tıklayın, Güncelleştir'i grup ilkesi seçin. Bu kullanıcı arabirimi komutu, o OU'daki her makinede gpupdate.exe /force işlemi yapmakla eşdeğerdir. grup ilkesi yenilemeye zorlama özelliği aşağıdaki şekilde gösterilmiştir:

      grup ilkesi Yönetim konsolunun ekran görüntüsünü gösteren ve zorunlu güncelleştirme başlatan ekran görüntüsü.

  8. Sorun çözüldükten sonra İmza Güncelleştirme Geri Dönüş Sırası'nı özgün ayara geri ayarlayın. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

Ayrıca bkz.

Microsoft Defender Virüsten Koruma halkası dağıtımına genel bakış