使用 组策略 和 Windows Server Update Services Microsoft Defender防病毒生产环部署

适用于：

• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• Microsoft Defender 防病毒

平台

• Windows
• Windows Server

希望体验 Microsoft Defender for Endpoint？ 注册免费试用版。

Microsoft Defender for Endpoint 是企业终结点安全平台，旨在帮助企业网络阻止、检测、调查和响应高级威胁。

提示

Microsoft Defender for Endpoint 通过两个计划提供：Defender for Endpoint 计划 1 和计划 2。 计划 2 现在提供了一个新的 Microsoft Defender 漏洞管理 加载项。

开始之前

本文假设你具有Windows Server Update Services (WSUS) 的经验和/或已安装 WSUS。 如果还不熟悉 WSUS，请参阅以下文章，了解重要的配置详细信息：

• 配置 WSUS - 适用于：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012)
• [在 Analytics Platform System 中配置 Windows Server Update Services (WSUS) ][/sql/analytics-platform-system/configure-windows-server-update-services-wsus.md] - Analytics Platform System

设置生产环境

本部分提供有关使用 组策略 和 Windows Server Update Services (WSUS) 设置生产环境的信息。

注意

安全智能更新 (SIU) 等效于签名更新，与定义更新相同。

1. 在服务器管理器的左窗格中，选择“仪表板>工具Windows Server Update Services>”。

   注意

   如果出现“ 完成 WSUS 安装 ”对话框，请选择“ 运行”。 在“ 完成 WSUS 安装 ”对话框中，选择“ 成功完成安装后关闭”。

2. WSUS 配置向导随即打开。 在 “开始之前” 页上，查看信息，然后选择“ 下一步”。

3. 阅读“ 加入 Microsoft 更新改进计划 ”页上的说明。 如果要参与该计划，请保留默认选择;如果不想参加，请清除复选框。 然后选择“下一步”。

4. 在“选择上游服务器”页上，选择“从另一台Windows Server Update Services服务器同步”。

   • 在 “服务器名称”中，输入服务器名称。 例如，键入 YR2K19。
   • 在“端口号”中，输入此服务器与上游服务器通信的端口。 例如，键入 8530。

   下图显示了这一点。

   

5. 选择“下一步”。

   自治下游服务器（如副本 (replica) 服务器）也使用另一个 WSUS 服务器作为其主存储库，但允许对与主服务器审批不同的更新进行单独审批。 自治服务器：

   • 允许灵活地创建计算机组
   • 不必与主目录位于同一 Active Directory 林中

6. (可选，具体取决于配置) 在 “指定代理服务器 ”页上，选中“ 同步时使用代理服务器 ”复选框。 然后，在相应的框中输入代理服务器名称和端口号 (端口 80，默认) 。

   重要

   如果确定 WSUS 需要代理服务器才能访问 Internet，则必须完成此步骤。

   • 如果要使用特定的用户凭据连接到代理服务器，请选中“ 使用用户凭据连接到代理服务器 ”复选框。 然后在相应的框中输入用户的用户名、域和密码。
   • 如果要为连接到代理服务器的用户启用基本身份验证，请选中“ 允许以明文形式发送基本身份验证 (密码) 复选框。

   选择“下一步”。

7. 在 “连接到上游服务器 ”页上，选择 “启动连接”。 当 WSUS 连接到服务器时，选择“ 下一步”。

8. 在 “选择语言 ”页上，可以选择 WSUS 从中接收更新的语言： 所有语言 或 语言子集。 选择一部分语言可节省磁盘空间，但请务必选择所有客户端在此 WSUS 服务器上所需的所有语言。

   如果选择仅获取特定语言的更新，请选择“ 仅下载这些语言的更新”，然后选择需要更新的语言。 否则，保留默认选择。

   警告

   如果选择选项 “仅下载这些语言的更新”，并且服务器有一个连接到该服务器的下游 WSUS 服务器，则选择此选项将强制下游服务器也仅使用所选语言。

   选择部署的语言选项后，选择“ 下一步”。

9. 此时会打开 “设置同步计划” 页。 (“选择产品”和“选择分类”页灰显，无法配置) 。

   • 选择“ 自动同步”，WSUS 服务器按设置的间隔进行同步。
   • 在 “首次同步” 中，指定第一次同步的时间。 例如，选择“ 下午 5：00：00”。
   • 在 “每天同步数”中，指定希望同步发生的次数。 例如，选择 “1”，然后选择“ 下一步”。

10. 在 “已完成 ”页上，选择“ 下一步”。

11. 在“ 下一步” 页上，选择“ 下一步 ”完成操作。

定义下载安全智能更新的源顺序

1. 在组策略管理计算机上，打开组策略管理控制台，右键单击要配置的组策略对象，然后选择“编辑”。

2. 在“组策略管理”编辑器转到“计算机配置”，选择“策略”，然后选择“管理模板”。

3. 将树展开到 Windows 组件>Windows Defender>签名更新。

   • 双击“ 定义下载安全智能更新的源顺序 ”设置，并将选项设置为 “已启用”。

   • 在 “选项”中，键入 InternalDefinitionUpdateServer，然后选择“ 确定”。 下图显示了配置的 “定义下载安全智能更新的源顺序 ”页。

     

4. 在 “定义下载安全智能更新的源顺序”中，选择“ 已启用”。 在 “选项”中，输入用于下载安全智能更新的源顺序。 例如，键入 InternalDefinitionUpdateServer。

如果遇到问题

如果部署时遇到问题，请创建或追加Microsoft Defender防病毒策略：

1. 在 组策略 管理控制台 (GPMC、GPMC.msc) 中，使用以下设置创建或追加到 Microsoft Defender 防病毒策略：

   转到计算机配置>策略>管理模板>Windows 组件>Microsoft Defender防病毒> (管理员定义的) PolicySettingName。 例如， MDAV_Settings_Production，右键单击，然后选择 “编辑”。 下图显示了编辑MDAV_Settings_Production：

   

2. 选择“ 定义下载安全智能更新的源顺序”。

3. 选择名为 “已启用”的单选按钮。

4. 在 “选项”下，将条目更改为 “文件共享”，选择“ 应用”，然后选择“ 确定”。 下图显示了此更改：

   

5. 选择“ 定义下载安全智能更新的源顺序”。

6. 选择名为 “已禁用”的单选按钮，选择“ 应用”，然后选择“ 确定”。 下图显示了“禁用”选项：

   

7. 组策略更新时，更改处于活动状态。 有两种方法可以刷新组策略：

   • 在命令行中，运行 组策略 update 命令。 例如，运行 gpupdate / force。 有关详细信息，请参阅 gpupdate
   • 等待组策略自动刷新。 组策略每 90 分钟 +/- 30 分钟刷新一次。

   如果有多个林/域，请强制复制或等待 10-15 分钟。 然后，从 组策略 管理控制台强制组策略更新。

   • 右键单击包含计算机（例如桌面) ） (OU () 的组织单位，选择“组策略更新”。 此 UI 命令相当于在该 OU 中的每台计算机上执行 gpupdate.exe /force。 用于强制刷新组策略的功能如下图所示：

     

8. 解决问题后，将 “签名更新回退顺序 ”设置为原始设置。 InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC|FileShare.

另请参阅：

• 步骤 3：配置 WSUS |Microsoft Learn
• 步骤 4：批准和部署 WSUS 汇报 |Microsoft Learn
• 步骤 5：为自动汇报配置组策略设置 |Microsoft Learn
• 使用 组策略 和 Windows Server Update Services Microsoft Defender防病毒试点环部署