使用 组策略 和 Windows Server Update Services Microsoft Defender防病毒生产环部署
适用于:
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender 防病毒
平台
- Windows
- Windows Server
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
Microsoft Defender for Endpoint 是企业终结点安全平台,旨在帮助企业网络阻止、检测、调查和响应高级威胁。
提示
Microsoft Defender for Endpoint 通过两个计划提供:Defender for Endpoint 计划 1 和计划 2。 计划 2 现在提供了一个新的 Microsoft Defender 漏洞管理 加载项。
开始之前
本文假设你具有Windows Server Update Services (WSUS) 的经验和/或已安装 WSUS。 如果还不熟悉 WSUS,请参阅以下文章,了解重要的配置详细信息:
- 配置 WSUS - 适用于:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012)
- [在 Analytics Platform System 中配置 Windows Server Update Services (WSUS) ][/sql/analytics-platform-system/configure-windows-server-update-services-wsus.md] - Analytics Platform System
设置生产环境
本部分提供有关使用 组策略 和 Windows Server Update Services (WSUS) 设置生产环境的信息。
注意
安全智能更新 (SIU) 等效于签名更新,与定义更新相同。
在服务器管理器的左窗格中,选择“仪表板>工具Windows Server Update Services>”。
注意
如果出现“ 完成 WSUS 安装 ”对话框,请选择“ 运行”。 在“ 完成 WSUS 安装 ”对话框中,选择“ 成功完成安装后关闭”。
WSUS 配置向导随即打开。 在 “开始之前” 页上,查看信息,然后选择“ 下一步”。
阅读“ 加入 Microsoft 更新改进计划 ”页上的说明。 如果要参与该计划,请保留默认选择;如果不想参加,请清除复选框。 然后选择“下一步”。
在“选择上游服务器”页上,选择“从另一台Windows Server Update Services服务器同步”。
- 在 “服务器名称”中,输入服务器名称。 例如,键入 YR2K19。
- 在“端口号”中,输入此服务器与上游服务器通信的端口。 例如,键入 8530。
下图显示了这一点。
选择“下一步”。
自治下游服务器(如副本 (replica) 服务器)也使用另一个 WSUS 服务器作为其主存储库,但允许对与主服务器审批不同的更新进行单独审批。 自治服务器:
- 允许灵活地创建计算机组
- 不必与主目录位于同一 Active Directory 林中
(可选,具体取决于配置) 在 “指定代理服务器 ”页上,选中“ 同步时使用代理服务器 ”复选框。 然后,在相应的框中输入代理服务器名称和端口号 (端口 80,默认) 。
重要
如果确定 WSUS 需要代理服务器才能访问 Internet,则必须完成此步骤。
- 如果要使用特定的用户凭据连接到代理服务器,请选中“ 使用用户凭据连接到代理服务器 ”复选框。 然后在相应的框中输入用户的用户名、域和密码。
- 如果要为连接到代理服务器的用户启用基本身份验证,请选中“ 允许以明文形式发送基本身份验证 (密码) 复选框。
选择“下一步”。
在 “连接到上游服务器 ”页上,选择 “启动连接”。 当 WSUS 连接到服务器时,选择“ 下一步”。
在 “选择语言 ”页上,可以选择 WSUS 从中接收更新的语言: 所有语言 或 语言子集。 选择一部分语言可节省磁盘空间,但请务必选择所有客户端在此 WSUS 服务器上所需的所有语言。
如果选择仅获取特定语言的更新,请选择“ 仅下载这些语言的更新”,然后选择需要更新的语言。 否则,保留默认选择。
警告
如果选择选项 “仅下载这些语言的更新”,并且服务器有一个连接到该服务器的下游 WSUS 服务器,则选择此选项将强制下游服务器也仅使用所选语言。
选择部署的语言选项后,选择“ 下一步”。
此时会打开 “设置同步计划” 页。 (“选择产品”和“选择分类”页灰显,无法配置) 。
- 选择“ 自动同步”,WSUS 服务器按设置的间隔进行同步。
- 在 “首次同步” 中,指定第一次同步的时间。 例如,选择“ 下午 5:00:00”。
- 在 “每天同步数”中,指定希望同步发生的次数。 例如,选择 “1”,然后选择“ 下一步”。
在 “已完成 ”页上,选择“ 下一步”。
在“ 下一步” 页上,选择“ 下一步 ”完成操作。
定义下载安全智能更新的源顺序
在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。
在“组策略管理”编辑器转到“计算机配置”,选择“策略”,然后选择“管理模板”。
将树展开到 Windows 组件>Windows Defender>签名更新。
在 “定义下载安全智能更新的源顺序”中,选择“ 已启用”。 在 “选项”中,输入用于下载安全智能更新的源顺序。 例如,键入 InternalDefinitionUpdateServer。
如果遇到问题
如果部署时遇到问题,请创建或追加Microsoft Defender防病毒策略:
在 组策略 管理控制台 (GPMC、GPMC.msc) 中,使用以下设置创建或追加到 Microsoft Defender 防病毒策略:
转到计算机配置>策略>管理模板>Windows 组件>Microsoft Defender防病毒> (管理员定义的) PolicySettingName。 例如, MDAV_Settings_Production,右键单击,然后选择 “编辑”。 下图显示了编辑MDAV_Settings_Production:
选择“ 定义下载安全智能更新的源顺序”。
选择名为 “已启用”的单选按钮。
在 “选项”下,将条目更改为 “文件共享”,选择“ 应用”,然后选择“ 确定”。 下图显示了此更改:
选择“ 定义下载安全智能更新的源顺序”。
选择名为 “已禁用”的单选按钮,选择“ 应用”,然后选择“ 确定”。 下图显示了“禁用”选项:
组策略更新时,更改处于活动状态。 有两种方法可以刷新组策略:
- 在命令行中,运行 组策略 update 命令。 例如,运行
gpupdate / force
。 有关详细信息,请参阅 gpupdate - 等待组策略自动刷新。 组策略每 90 分钟 +/- 30 分钟刷新一次。
如果有多个林/域,请强制复制或等待 10-15 分钟。 然后,从 组策略 管理控制台强制组策略更新。
- 在命令行中,运行 组策略 update 命令。 例如,运行
解决问题后,将 “签名更新回退顺序 ”设置为原始设置。
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC|FileShare
.
另请参阅:
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈