启用 Endpoint Protection 恶意软件定义以从 WSUS 下载,以便Configuration Manager

适用于: Configuration Manager(current branch)

如果使用 WSUS 使反恶意软件定义保持最新,则可以将其配置为自动批准定义更新。 尽管建议使用Configuration Manager软件更新来使定义保持最新,但你也可以将 WSUS 配置为允许用户手动更新定义的方法。 使用以下过程将 WSUS 配置为定义更新源。

同步Configuration Manager的定义更新

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“站点”。

  2. 选择包含软件更新点的站点。 在功能区的 “设置” 组中,选择“ 配置站点组件”,然后选择“ 软件更新点”。

  3. “软件更新点组件属性”窗口中,切换到“分类”选项卡。选择“定义汇报”。

  4. 若要指定使用 WSUS 更新 的产品 ,请切换到“ 产品 ”选项卡。

    • 对于Windows 10及更高版本:在“ > Microsoft Windows”下,选择“Microsoft Defender防病毒”。

    • 对于Windows 8.1及更早版本:在“ > Microsoft Forefront”下,选择“System Center Endpoint Protection”。

  5. 选择“ 确定” 以关闭 “软件更新点组件属性” 窗口。

批准定义更新

在向请求可用更新列表的客户端提供 Endpoint Protection 定义更新之前,必须先批准这些更新并将其下载到 WSUS 服务器。 客户端连接到 WSUS 服务器以检查适用的更新,然后请求最新批准的定义更新。

批准 WSUS 中的定义和更新

  1. 在 WSUS 管理控制台中,选择“汇报”。 然后选择“所有汇报”或要批准的更新的分类。

  2. 在更新列表中,右键单击要批准安装的更新,然后选择“ 批准”。

  3. “批准汇报”窗口中,选择要批准其更新的计算机组,然后选择“已批准安装”。

配置自动审批规则

还可以为定义更新和 Endpoint Protection 更新设置自动审批规则。 此操作将 WSUS 配置为自动批准 WSUS 下载的 Endpoint Protection 定义更新。

  1. 在 WSUS 管理控制台中,选择“ 选项”,然后选择“ 自动审批”。

  2. 在“ 更新规则 ”选项卡上,选择“ 新建规则”。

  3. “添加规则” 窗口中,在“ 步骤 1:选择属性”下,选择选项: 当更新处于特定分类中时

    1. “步骤 2:编辑属性”下,选择 任何分类

    2. 清除除“定义汇报”之外的所有选项,然后选择“确定”。

  4. “添加规则” 窗口中,在“ 步骤 1:选择属性”下,选择选项:当 更新位于特定产品中时

    1. “步骤 2:编辑属性”下,选择 任何产品

    2. 清除除Windows 8.1和更早版本的System Center Endpoint Protection以外的所有选项,或者Windows 10及更高版本清除Windows Defender。 然后,选择“确定”。

  5. “步骤 3:指定名称”下,输入规则的名称,然后选择“ 确定”。

  6. 在“ 自动审批 ”对话框中,选择新创建的规则,然后选择“ 运行规则”。

注意

若要最大程度地提高 WSUS 服务器和客户端计算机的性能,请拒绝旧定义更新。 若要完成此任务,可以配置自动批准修订和自动拒绝过期更新。 有关详细信息,请参阅Microsoft 支持部门文章938947