管理 Microsoft Defender 防毒軟體保護更新的來源

  • 發行項

適用於:

平台

  • Windows

將防病毒軟體保護保持在最新狀態非常重要。 管理 Microsoft Defender 防病毒軟體的保護更新有兩個元件:

  • 中下載更新的位置;和
  • 下載 並套用更新時。

本文說明如何指定應從何處下載更新, (此規格也稱為後援順序) 。 如需更新運作方式的概觀,以及如何設定更新的其他層面 (例如排程更新) ,請參閱管理 Microsoft Defender 防病毒軟體更新和套用基準一文。

重要事項

Microsoft Defender 防病毒軟體安全情報更新和平臺更新是透過 Windows Update 傳遞,從 2019 年 10 月 21 日星期一開始,所有安全情報更新都是以 SHA-2 獨佔方式簽署。 您的裝置必須更新以支援SHA-2,才能更新您的安全情報。 若要深入了解,請參閱 2019 年 Windows 和 WSUS 的 SHA-2 程式碼簽署支援需求 (機器翻譯)。

後援順序

一般而言,您會根據網路組態,將端點設定為從主要來源個別下載更新,再依優先順序從其他來源下載更新。 匯報 是以您指定的順序從來源取得。 如果來自目前來源的更新已過期,則會立即使用清單中的下一個來源。

發佈更新時,會套用一些邏輯以將更新的大小降至最低。 在大部分情況下,只會下載並套用裝置上的差異) , (目前安裝的最新更新與目前安裝的更新之間的差異。 不過,差異的大小取決於兩個主要因素:

  • 裝置上上次更新的存留期;和
  • 用來下載和套用更新的來源。

端點上的更新越舊,下載越大。 不過,您也必須考慮下載頻率。 較頻繁的更新排程可能會導致更多網路使用量,而較不頻繁的排程可能會導致每次下載的檔案大小較大。

有五個位置可讓您指定端點應該取得更新的位置:

注意事項

  1. Intune 內部定義更新伺服器。 如果您使用 SCCM/SUP 來取得 Microsoft Defender 防病毒軟體的定義更新,而且您必須在封鎖的用戶端裝置上存取 Windows Update,您可以轉換為共同管理,並將 Endpoint Protection 工作負載卸除至 Intune。 在 Intune 中設定的反惡意代碼原則中有一個 [內部定義更新伺服器] 選項,您可以將此選項設定為使用內部部署 WSUS 作為更新來源。 此設定可協助您控制哪些來自官方 WU 伺服器的更新已核准給企業,也有助於 Proxy 並儲存官方 Windows 匯報 網路的網路流量。

  2. 您的原則和登錄可能會將此專案列為 #D4303DD5B84C143D99B27776D504A061F (MMPC) 安全性情報,其先前的名稱。

為了確保最佳的保護層級,Microsoft Update 允許快速發行,這表示經常進行較小的下載。 Windows Server Update Service、Microsoft 端點 Configuration Manager、Microsoft 安全性情報更新和平臺更新來源提供較不頻繁的更新。 因此,差異可能較大,導致下載量較大。

平臺更新和引擎更新會以每月頻率發行。 安全性情報更新一天傳遞多次,但此差異套件不包含引擎更新。 請參閱 Microsoft Defender 防病毒軟體安全情報和產品更新

重要事項

如果您已將 Microsoft 安全性情報頁面 更新設定為 Windows Server Update Service 或 Microsoft Update 之後的後援來源,則只有在將目前的更新視為過期時,才會從安全性情報更新和平臺更新下載更新。 (根據預設,這是連續七天無法從 Windows Server Update Service 或 Microsoft Update 服務套用更新) 。 不過,您可以 將保護報告為過期之前的天數

從 2019 年 10 月 21 日星期一開始,安全性情報更新和平臺更新都是以 SHA-2 獨佔方式簽署。 裝置必須更新以支援SHA-2,才能取得最新的安全情報更新和平臺更新。 若要深入了解,請參閱 2019 年 Windows 和 WSUS 的 SHA-2 程式碼簽署支援需求 (機器翻譯)。

除了發佈更新的頻率之外,每個來源都有相依於網路設定方式的一般案例,如下表所述:

位置 範例案例
Windows Server Update Service 您使用 Windows Server Update Service 來管理網路的更新。
Microsoft Update 您想要讓端點直接連線到 Microsoft Update。 此選項適用於不規則地連線到企業網路的端點,或如果您未使用 Windows Server Update Service 來管理更新。
檔案共用 您有非因特網連線的裝置 (例如 VM) 。 您可以使用連線到因特網的 VM 主機,將更新下載到網路共用,讓 VM 可以從中取得更新。 請參閱 VDI 部署指南 ,瞭解如何在虛擬桌面基礎結構 (VDI) 環境中使用檔案共用。
Microsoft Configuration Manager 您使用 Microsoft Configuration Manager 來更新端點。
Microsoft Defender 防病毒軟體和其他 Microsoft 反惡意代碼 (先前稱為 MMPC) 的安全性情報更新和平臺更新 請確定您的裝置已更新為支援SHA-2。 Microsoft Defender 防病毒軟體安全情報和平臺更新是透過 Windows Update 傳遞,而且從 2019 年 10 月 21 日星期一起,安全性情報更新和平臺更新都是以 SHA-2 獨佔方式簽署。
下載因為最近感染而的最新保護更新,或協助布建強式基本映像以進行 VDI 部署。 此選項通常只能作為最終的後援來源,而非主要來源。 只有當更新無法從 Windows Server Update Service 或 Microsoft Update 下載 指定的天數時,才會使用。

您可以管理更新來源與 群組原則、Microsoft 端點 Configuration Manager、PowerShell Cmdlet 和 WMI 搭配使用的順序。

重要事項

如果您將 Windows Server Update Service 設定為下載位置,則不論您用來指定位置的管理工具為何,都必須核准更新。 您可以使用 Windows Server Update 服務設定自動核准規則,這在更新一天至少送達一次時可能會很有用。 若要深入瞭解,請 參閱同步處理獨立 Windows Server Update Service 中的 Endpoint Protection 更新

本文中的程式會先說明如何設定訂單,然後說明如果您已啟用 [檔案分享 ] 選項,則會如何設定該選項。

使用 群組原則 來管理更新位置

  1. 在您的 群組原則 管理計算機上,開啟 [群組原則 管理控制台],以滑鼠右鍵按兩下您要設定的 群組原則 物件,然後選取 [編輯]

  2. [群組原則 管理] 編輯器 中,移至 [計算機設定]

  3. 選取 [原則] 和 [ 系統管理範本]

  4. 將樹狀結構展開至 Windows 元件>Windows Defender> 符號更新,然後設定下列設定:

    1. 編輯 [定義下載安全性情報更新的來源順序 ] 設定。 將選項設定為 [已啟用]

    2. 指定來源的順序,以單一管道分隔,例如: InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC,如下列螢幕快照所示。

      列出來源順序的組策略設定

    3. 選取 [確定]。 此動作會設定保護更新來源的順序。

    4. 編輯 [定義檔案共用以下載安全性情報更新 ] 設定,然後將選項設定為 [ 已啟用]

    5. 指定檔案共享來源。 如果您有多個來源,請依照應該使用的順序指定每個來源,並以單一管道分隔。 使用 標準 UNC 表示法 來表示路徑,例如: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name。 如果您未輸入任何路徑,則會在 VM 下載更新時略過此來源。

    6. 選取 [確定]。 此動作會在定義來源順序組策略設定中參考該來源時,設定檔案共享 的順序

注意事項

針對 Windows 10 1703 版到 1809 版,原則路徑為 Windows 元件 > Microsoft Defender 防病毒軟體>簽章 匯報 針對 Windows 10 版本 1903,原則路徑為 Windows 元件 > Microsoft Defender 防病毒軟體>安全性智慧 匯報

使用 Configuration Manager 來管理更新位置

如需設定最新分支) Microsoft Configuration Manager (詳細資訊,請參閱 Configure Security Intelligence 匯報 for Endpoint Protection。

使用 PowerShell Cmdlet 管理更新位置

使用下列 PowerShell Cmdlet 來設定更新順序。

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

如需詳細資訊,請參閱下列文章:

使用 Windows 管理指示 (WMI) 來管理更新位置

針對下列屬性,請使用 MSFT_MpPreference 類別的 Set 方法

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

如需詳細資訊,請參閱下列文章:

使用行動裝置 裝置管理 (MDM) 來管理更新位置

如需設定 MDM 的詳細資訊,請參閱原則 CSP - Defender/SignatureUpdateFallbackOrder

如果我們使用第三方廠商,該怎麼辦?

本文說明如何設定和管理 Microsoft Defender 防病毒軟體的更新。 不過,您可以僱用第三方廠商來執行這些工作。

例如,假設 Contoso 已雇用 Fabrikam 來管理其安全性解決方案,其中包括 Microsoft Defender 防病毒軟體。 Fabrikam 通常會使用 Windows Management InstrumentationPowerShell CmdletWindows 命令行 來部署修補程式和更新。

注意事項

Microsoft 不會測試管理 Microsoft Defender 防病毒軟體的第三方解決方案。

Create 安全性情報和平臺更新的 UNC 共用

設定網路檔案共享 (UNC/對應磁碟驅動器) ,以使用排程工作從 MMPC 網站下載安全性情報和平臺更新。

  1. 在您要佈建共用並下載更新的系統上,建立腳本的資料夾。

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. Create 簽章更新的資料夾。

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. 從 www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4 下載PowerShell腳本。

  4. 取 [手動下載]

  5. 取 [下載原始 nupkg 檔案]

  6. 擷取檔案。

  7. 將檔案SignatureDownloadCustomTask.ps1複製到您先前建立的資料夾 C:\Tool\PS-Scripts\

  8. 使用命令行來設定排程的工作。

    注意事項

    有兩種類型的更新:完整和差異。

    • 針對 x64 差異:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • 針對 x64 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • 針對 x86 差異:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • 若為 x86 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    注意事項

    建立排程工作時,您可以在 下方的 [工作排程器 Microsoft\Windows\Windows Defender] 中找到這些工作。

  9. 手動執行每個工作,並確認您在下列資料夾中具有資料 (mpam-d.exempam-fe.exenis_full.exe) , (您可能已選擇不同的位置) :

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    如果排程的工作失敗,請執行下列命令:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

  10. Create 指向 C:\Temp\TempSigs (的共用,例如, \\server\updates) 。

    注意事項

    已驗證的使用者至少必須具有「讀取」存取權。 這項需求也適用於網域計算機、共用和NTFS (安全性) 。

  11. 將原則中的共用位置設定為共用。

    注意事項

    請勿在路徑中新增 x64 (或 x86) 資料夾。 mpcmdrun.exe 程式會自動新增它。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。