管理基于事件的强制更新
适用于:
Microsoft Defender 商业版
Microsoft Defender 防病毒
平台
- Windows
使用防病毒Microsoft Defender,可以确定某些事件(例如启动时或从云提供的保护服务收到特定报告)后,更新是否应 (或不应) 发生。
在运行扫描之前检查保护更新
可以使用Microsoft Defender for Endpoint安全设置管理、Microsoft Intune、Microsoft Configuration Manager、组策略、PowerShell cmdlet 和 WMI 强制在运行计划扫描之前,Microsoft Defender防病毒以检查和下载保护更新。
在运行扫描之前,使用Microsoft Defender for Endpoint安全设置管理检查保护更新
在Microsoft Defender for Endpoint控制台 (https://security.microsoft.com) 上,转到“终结点配置管理>”>“终结点安全策略>Create新策略”。
- 在“平台”列表中,选择“Windows 10”、“Windows 11”和“Windows Server”。
- 在“选择模板”列表中,选择“Microsoft Defender防病毒”。
填写名称和说明,然后选择“下一步”>
转到 “计划的扫描 ”部分,并将 “运行扫描前检查签名 ”设置为 “启用”。
照常部署更新的策略。
在运行扫描之前,使用Microsoft Intune检查保护更新
在Microsoft Intune管理中心,转到“终结点>配置管理>终结点安全策略”,然后选择“Create新策略”。
- 在“平台”列表中,选择“Windows 10”、“Windows 11”和“Windows Server”。
- 在“选择模板”列表中,选择“Microsoft Defender防病毒”。
填写名称和说明,然后选择“ 下一步”。
转到 “计划的扫描 ”部分,并将 “运行扫描前检查签名” 设置为 “启用”。
保存并部署策略。
在运行扫描之前,使用Configuration Manager检查保护更新
在Microsoft Configuration Manager控制台上,打开要更改的反恶意软件策略 (在导航窗格中选择“资产和符合性”,然后将树展开到“概述>Endpoint Protection>反恶意软件策略”) 。
转到 “计划的扫描 ”部分,并将 “在运行扫描之前检查最新的安全智能更新 ”设置为 “是”。
选择“确定”。
在运行扫描之前,使用组策略检查保护更新
在组策略管理计算机上,打开组策略管理控制台。
右键单击要配置的组策略对象,然后选择“编辑”。
使用组策略管理编辑器转到“计算机配置”。
依次选择“ 策略 ”和“ 管理模板”。
将树展开到 Windows 组件>Microsoft Defender防病毒>扫描。
在运行计划扫描之前,双击“检查最新的病毒和间谍软件定义”,并将选项设置为“已启用”。
选择“确定”。
在运行扫描之前,使用 PowerShell cmdlet 检查保护更新
使用以下 cmdlet:
Set-MpPreference -CheckForSignaturesBeforeRunningScan
有关详细信息,请参阅使用 PowerShell cmdlet 配置并运行 Microsoft Defender 防病毒软件和 Defender for Cloud cmdlet。
在运行扫描之前,使用 Windows 管理指令 (WMI) 检查保护更新
对以下属性使用 MSFT_MpPreference 类的 Set 方法:
CheckForSignaturesBeforeRunningScan
有关详细信息,请参阅 Windows Defender WMIv2 API。
在启动时检查保护更新
可以使用组策略强制Microsoft Defender防病毒在计算机启动时检查和下载保护更新。
在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择编辑。
使用组策略管理编辑器转到“计算机配置”。
依次选择“ 策略 ”和“ 管理模板”。
将树展开到 Windows 组件>Microsoft Defender防病毒>安全智能汇报。
在启动时双击“检查最新的病毒和间谍软件定义”,并将选项设置为“已启用”。
选择“确定”。
还可以使用 组策略、PowerShell 或 WMI 将 Microsoft Defender 防病毒配置为在启动时检查更新,即使它未运行也是如此。
当不存在Microsoft Defender防病毒时,使用组策略下载更新
在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。
使用组策略管理编辑器,转到“计算机配置”。
依次选择“ 策略 ”和“ 管理模板”。
将树展开到 Windows 组件>Microsoft Defender防病毒>安全智能汇报。
双击“ 启动时启动安全智能更新 ”,并将选项设置为 “已启用”。
选择“确定”。
Microsoft Defender防病毒不存在时,使用 PowerShell cmdlet 下载更新
使用以下 cmdlet:
Set-MpPreference -SignatureDisableUpdateOnStartupWithoutEngine
有关详细信息,请参阅使用 PowerShell cmdlet 管理Microsoft Defender防病毒和 Defender 防病毒 cmdlet,详细了解如何将 PowerShell 与 Microsoft Defender 防病毒配合使用。
在不存在Microsoft Defender防病毒时,使用 Windows 管理指令 (WMI) 下载更新
对以下属性使用 MSFT_MpPreference 类的 Set 方法:
SignatureDisableUpdateOnStartupWithoutEngine
有关详细信息,请参阅 Windows Defender WMIv2 API。
允许基于云提供的保护进行临时保护更改
Microsoft Defender防病毒可以根据云提供的保护对其保护进行更改。 此类更改可能发生在正常保护更新或计划的保护更新之外。
如果已启用云提供的保护,Microsoft Defender防病毒会将可疑文件发送到Windows Defender云。 如果云服务报告该文件是恶意文件,并且该文件在最近的保护更新中检测到,则可以使用 组策略 配置Microsoft Defender防病毒,以自动接收该保护更新。 还可以应用其他重要的保护更新。
使用组策略根据云提供的保护自动下载最近的更新
在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。
使用组策略管理编辑器转到“计算机配置”。
依次选择“ 策略 ”和“ 管理模板”。
将树展开到 Windows 组件>Microsoft Defender防病毒>安全智能汇报。
双击“ 允许基于 Microsoft MAPS 的报告进行实时安全智能更新 ”,并将选项设置为 “已启用”。 然后,选择“确定”。
允许通知禁用 Microsoft MAPS 的基于定义的报表 ,并将选项设置为 “已启用”。 然后,选择“确定”。
注意
允许通知禁用基于定义的报表 使 Microsoft MAPS 能够禁用那些已知会导致误报的定义。 必须将计算机配置为加入 Microsoft MAPS,此函数才能正常工作。
提示
如果要查找其他平台的防病毒相关信息,请参阅:
- 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
- Mac 上的 Microsoft Defender for Endpoint
- 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
- 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint
另请参阅
- 部署Microsoft Defender防病毒
- 管理 Microsoft Defender 防病毒更新并应用基线
- 管理何时应下载和应用保护更新
- 管理过期终结点的更新
- 管理移动设备和虚拟机 (VM) 的更新
- Windows 10 中的 Microsoft Defender 防病毒
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈