使用 组策略 和网络共享Microsoft Defender防病毒生产环部署

适用于:

平台

  • Windows
  • Windows Server

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

Microsoft Defender for Endpoint 是企业终结点安全平台,旨在帮助企业网络阻止、检测、调查和响应高级威胁。

提示

Microsoft Defender for Endpoint 通过两个计划提供:Defender for Endpoint 计划 1 和计划 2。 计划 2 现在提供了一个新的 Microsoft Defender 漏洞管理 加载项。

简介

本文介绍如何使用 组策略 和网络共享 (也称为 UNC 路径、SMB、CIFS) 在环中部署Microsoft Defender防病毒。

先决条件

述文件上查看自述文章

  1. 下载最新的 Windows Defender .admx 和 .adml。

  2. 将最新的 .admx 和 .adml 复制到 域控制器中央存储

  3. 为安全智能和平台更新Create UNC 共享

设置试点环境

本部分介绍设置试点 UAT/测试/QA 环境的过程。 在大约 10-500* 个 Windows 和/或 Windows Server 系统上,具体取决于你拥有的总系统数。

显示组策略和网络共享环境Microsoft Defender防病毒圈部署计划示例的屏幕截图。

注意

安全智能更新 (SIU) 等效于签名更新,与定义更新相同。

为安全智能和平台更新Create UNC 共享

(UNC/映射驱动器) 设置网络文件共享,以便使用计划任务从 MMPC 站点下载安全智能和平台更新。

  1. 在要预配共享并下载更新的系统上,创建一个将脚本保存到的文件夹。

    Start, CMD (Run as admin)
    MD C:\Tool\PS-Scripts\
    
  2. Create将签名更新保存到的文件夹。

    MD C:\Temp\TempSigs\x64
    MD C:\Temp\TempSigs\x86
    
  3. 设置 PowerShell 脚本, CopySignatures.ps1

    Copy-Item -Path “\SourceServer\Sourcefolder” -Destination “\TargetServer\Targetfolder”

  4. 使用命令行设置计划任务。

    注意

    有两种类型的更新:完整更新和增量更新。

    • 对于 x64 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • 对于 x64 full:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • 对于 x86 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • 对于 x86 full:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      

    注意

    创建计划任务后,可以在 下 Microsoft\Windows\Windows Defender的任务计划程序中找到这些任务。

  5. 手动运行每个任务,并验证以下文件夹中的数据 (mpam-d.exempam-fe.exenis_full.exe) , (可能已选择不同的位置) :

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    如果计划的任务失败,请运行以下命令:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
    

    注意

    问题也可能由执行策略导致。

  6. Create指向 C:\Temp\TempSigs (的共享, \\server\updates 例如) 。

    注意

    经过身份验证的用户必须至少具有“读取”访问权限。 此要求也适用于域计算机、共享和 NTFS (安全) 。

  7. 将策略中的共享位置设置为共享。

    注意

    不要在路径中添加 x64 (或 x86) 文件夹。 mpcmdrun.exe 进程会自动添加它。

设置试点 (UAT/Test/QA) 环境

本部分介绍在大约 10-500 个 Windows 和/或 Windows Server 系统上设置试点 UAT/测试/QA 环境的过程,具体取决于你拥有的总系统数。

注意

如果有 Citrix 环境,请至少包括 1 个 Citrix VM (非持久性) 和/或 (持久)

组策略 管理控制台 (GPMC、GPMC.msc) 中创建或追加到Microsoft Defender防病毒策略。

  1. 编辑Microsoft Defender防病毒策略。 例如,编辑 MDAV_Settings_Pilot。 转到计算机配置>策略>管理模板>Windows 组件>Microsoft Defender防病毒。 有三个相关选项:

    功能 试点系统的建议
    选择每日Microsoft Defender安全智能更新的通道 当前频道 (暂存)
    选择Microsoft Defender每月引擎更新的频道 Beta 版频道
    选择Microsoft Defender每月平台更新的频道 Beta 版频道

    下图显示了这三个选项。

    显示试点计算机配置>策略>管理模板 > Windows 组件>Microsoft Defender防病毒更新通道的屏幕截图。

    有关详细信息,请参阅管理Microsoft Defender更新的逐步推出过程

  2. 转到计算机配置>策略>管理模板>Windows 组件>Microsoft Defender防病毒

  3. 对于智能更新,请双击“选择Microsoft Defender每月智能更新的通道”。

    屏幕截图显示“选择Microsoft Defender每月智能更新频道”页的屏幕截图,其中选中了“已启用和当前频道 (暂存) 。

  4. “选择每月智能更新Microsoft Defender频道”页上,选择“已启用”,然后在“选项”中选择“当前频道 (暂存) ”。

  5. 选择“ 应用”,然后选择“ 确定”。

  6. 转到计算机配置>策略>管理模板>Windows 组件>Microsoft Defender防病毒

  7. 对于引擎更新,请双击“选择每月引擎更新Microsoft Defender通道”。

  8. “选择每月平台更新Microsoft Defender频道”页上,选择“已启用”,然后在“选项”中选择“Beta 频道”。

  9. 选择“ 应用”,然后选择“ 确定”。

  10. 对于平台更新,双击“选择每月平台更新Microsoft Defender频道”。

  11. “选择每月平台更新Microsoft Defender频道”页上,选择“已启用”,然后在“选项”中选择“Beta 频道”。 下图显示了这两个设置:

  12. 选择“ 应用”,然后选择“ 确定”。

设置生产环境

  1. 组策略管理控制台 (GPMC、GPMC.msc) 中,转到“计算机配置>策略>”“管理模板>”“Windows 组件>Microsoft Defender防病毒”。

    显示生产计算机配置>策略>管理模板 > Windows 组件>Microsoft Defender防病毒更新通道的屏幕截图。

  2. 按如下所示设置三个策略:

    功能 针对生产系统的建议 备注
    选择每日Microsoft Defender安全智能更新的通道 当前频道 (广泛) 此设置提供 3 小时的时间来查找 FP,并防止生产系统获取不兼容的签名更新。
    选择Microsoft Defender每月引擎更新的频道 严重 – 时间延迟 汇报延迟两天。
    选择Microsoft Defender每月平台更新的频道 严重 – 时间延迟 汇报延迟两天。
  3. 对于智能更新,请双击“选择Microsoft Defender每月智能更新的通道”。

  4. “选择每月智能更新Microsoft Defender频道”页上,选择“已启用”,然后在“选项”中选择“当前频道” (“广泛) ”。

    屏幕截图显示“选择Microsoft Defender每月智能更新频道”页的屏幕截图,其中选中了“已启用和当前频道 (暂存) 。

  5. 选择“ 应用”,然后选择“ 确定”。

  6. 对于引擎更新,请双击“选择每月引擎更新Microsoft Defender通道”。

  7. “选择每月平台更新Microsoft Defender频道”页上,选择“已启用”,然后在“选项”中选择“关键 - 时间延迟”。

  8. 选择“ 应用”,然后选择“ 确定”。

  9. 对于平台更新,双击“选择每月平台更新Microsoft Defender频道”。

  10. “选择每月平台更新Microsoft Defender频道”页上,选择“已启用”,然后在“选项”中选择“关键 - 时间延迟”。

  11. 选择“ 应用”,然后选择“ 确定”。

如果遇到问题

如果部署时遇到问题,请创建或追加Microsoft Defender防病毒策略:

  1. 组策略 管理控制台 (GPMC、GPMC.msc) 中,使用以下设置创建或追加到 Microsoft Defender 防病毒策略:

    转到计算机配置>策略>管理模板>Windows 组件>Microsoft Defender防病毒> (管理员定义的) PolicySettingName。 例如, MDAV_Settings_Production,右键单击,然后选择 “编辑”。 下图显示了编辑MDAV_Settings_Production

    显示管理员定义的Microsoft Defender防病毒策略“编辑”选项的屏幕截图。

  2. 选择“ 定义下载安全智能更新的源顺序”。

  3. 选择名为 “已启用”的单选按钮。

  4. “选项:”下,将条目更改为 “文件共享”,选择“ 应用”,然后选择“ 确定”。 下图显示了此更改:

    显示“定义下载安全智能更新的源顺序”页的屏幕截图。

  5. 选择“ 定义下载安全智能更新的源顺序”。

  6. 选择名为 “已禁用”的单选按钮,选择“ 应用”,然后选择“ 确定”。 下图显示了“禁用”选项:

    屏幕截图显示“定义下载安全智能更新的源顺序”页的屏幕截图,其中禁用了安全智能更新。

  7. 组策略更新时,更改处于活动状态。 有两种方法可以刷新组策略:

    • 在命令行中,运行 组策略 update 命令。 例如,运行 gpupdate / force。 有关详细信息,请参阅 gpupdate
    • 等待组策略自动刷新。 组策略每 90 分钟 +/- 30 分钟刷新一次。

    如果有多个林/域,请强制复制或等待 10-15 分钟。 然后,从 组策略 管理控制台强制组策略更新。

    • 右键单击包含计算机(例如桌面) ) (OU () 的组织单位,选择“组策略更新”。 此 UI 命令相当于在该 OU 中的每台计算机上执行 gpupdate.exe /force。 用于强制刷新组策略的功能如下图所示:

      显示启动强制更新的组策略管理控制台的屏幕截图。

  8. 解决问题后,将 “签名更新回退顺序 ”设置为原始设置。 InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

另请参阅

Microsoft Defender防病毒圈部署概述