Správa zdrojů pro aktualizace ochrany aplikace Microsoft Defender Antivirus

  • Článek

Platí pro:

Platformy

  • Windows

Udržování antivirové ochrany v aktualizovaném stavu je velmi důležité. Správa aktualizací ochrany pro Microsoft Defender Antivirus má dvě součásti:

  • Odkud se aktualizace stahují; A
  • Když se aktualizace stáhnou a použijí.

Tento článek popisuje, jak určit, odkud se mají aktualizace stahovat (tato specifikace se označuje také jako pořadí náhradních aktualizací). Přehled o tom, jak aktualizace fungují a jak nakonfigurovat další aspekty aktualizací (například plánování aktualizací), najdete v článku Správa aktualizací Microsoft Defender Antivirus a použití směrných plánů.

Důležité

Microsoft Defender Aktualizace antivirových bezpečnostních informací a aktualizace platforem se doručují prostřednictvím služba Windows Update a od pondělí 21. října 2019 jsou všechny aktualizace bezpečnostních funkcí podepsané výhradně pomocí algoritmu SHA-2. Vaše zařízení musí být aktualizována tak, aby podporovala SHA-2, aby bylo možné aktualizovat vaše bezpečnostní informace. Další informace najdete v tématu Požadavky na podporu podepisování kódu SHA-2 v roce 2019 pro Windows a WSUS.

Pořadí náhradních řešení

Obvykle se koncové body konfigurují tak, aby jednotlivě stahují aktualizace z primárního zdroje následované dalšími zdroji v pořadí podle priority na základě konfigurace sítě. Aktualizace se získávají ze zdrojů v zadaném pořadí. Pokud jsou aktualizace z aktuálního zdroje zastaralé, použije se okamžitě další zdroj v seznamu.

Při publikování aktualizací se použije nějaká logika, která minimalizuje velikost aktualizace. Ve většině případů se na zařízení stáhnou a použijí pouze rozdíly mezi nejnovější aktualizací a aktualizací, která je aktuálně nainstalovaná (sada rozdílů se označuje jako rozdílová). Velikost rozdílu však závisí na dvou hlavních faktorech:

  • Stáří poslední aktualizace na zařízení; A
  • Zdroj použitý ke stažení a instalaci aktualizací.

Čím starší jsou aktualizace koncového bodu, tím větší je stahování. Musíte ale také zvážit frekvenci stahování. Častější plán aktualizací může vést k většímu využití sítě, zatímco méně častý plán může mít za následek větší velikosti souborů při stahování.

Existuje pět umístění, kde můžete určit, kde má koncový bod získávat aktualizace:

Poznámka

  1. Intune interního serveru aktualizace definic. Pokud k získání aktualizací definic pro Microsoft Defender Antivirus používáte SCCM/SUP a potřebujete přístup k služba Windows Update na blokovaných klientských zařízeních, můžete přejít na spolusprávu a přesunout zatížení služby Endpoint Protection na Intune. V antimalwarových zásadách nakonfigurovaných v Intune existuje možnost Interní server aktualizace definic, kterou můžete nastavit tak, aby jako zdroj aktualizací používala místní službu WSUS. Tato konfigurace vám pomůže řídit, které aktualizace z oficiálního serveru WU jsou schválené pro podnik, a také pomáhá proxy a šetří síťový provoz do oficiální sítě Windows Aktualizace.

  2. Vaše zásady a registr můžou mít uvedené informace o zabezpečení Centrum společnosti Microsoft pro ochranu před škodlivým softwarem (MMPC), což je její dřívější název.

Aby byla zajištěna nejlepší úroveň ochrany, microsoft Update umožňuje rychlé vydávání verzí, což znamená časté menší stahování. Služba Windows Server Update Service, Microsoft Endpoint Configuration Manager, aktualizace bezpečnostních funkcí Microsoftu a aktualizace platforem poskytují méně časté aktualizace. Rozdíl tedy může být větší, což vede k většímu stahování.

Aktualizace platformy a aktualizace modulu se vydávají každý měsíc. Aktualizace bezpečnostních informací se doručují několikrát denně, ale tento rozdílový balíček neobsahuje aktualizaci modulu. Viz Microsoft Defender Antivirová ochrana a aktualizace produktů.

Důležité

Pokud jste nastavili aktualizace stránky Microsoft Security Intelligence jako záložní zdroj po aktualizaci Windows Serveru nebo Microsoft Update, aktualizace se stáhnou jenom z aktualizací bezpečnostních funkcí a aktualizací platformy, pokud je aktuální aktualizace považována za za zastaralý. (Ve výchozím nastavení je to sedm po sobě jdoucích dnů, kdy není možné instalovat aktualizace ze služby Windows Server Update nebo služby Microsoft Update.) Můžete ale nastavit počet dní, než se ochrana ohlásí jako za aktuální.

Od pondělí 21. října 2019 jsou aktualizace bezpečnostních funkcí a aktualizace platforem podepsané výhradně pomocí algoritmu SHA-2. Zařízení musí být aktualizovaná tak, aby podporovala SHA-2, aby získala nejnovější aktualizace bezpečnostních funkcí a aktualizace platformy. Další informace najdete v tématu Požadavky na podporu podepisování kódu SHA-2 v roce 2019 pro Windows a WSUS.

Každý zdroj má typické scénáře, které závisí na konfiguraci sítě a také na tom, jak často publikují aktualizace, jak je popsáno v následující tabulce:

Umístění Ukázkový scénář
Windows Server Update Service Ke správě aktualizací pro vaši síť používáte službu Windows Server Update Service.
Microsoft Update Chcete, aby se vaše koncové body připojily přímo ke službě Microsoft Update. Tato možnost je užitečná pro koncové body, které se nepravidelně připojují k podnikové síti, nebo pokud ke správě aktualizací nepoužíváte službu Windows Server Update.
Sdílená složka Máte zařízení, která nejsou připojená k internetu (například virtuální počítače). Pomocí hostitele virtuálního počítače připojeného k internetu můžete stáhnout aktualizace do sdílené síťové složky, ze které můžou virtuální počítače aktualizace získat. Informace o použití sdílených složek v prostředích infrastruktury virtuálních klientských počítačů ( VDI) najdete v průvodci nasazením VDI.
Microsoft Configuration Manager K aktualizaci koncových bodů používáte Microsoft Configuration Manager.
Aktualizace bezpečnostních informací a aktualizace platformy pro Microsoft Defender Antivirus a další antimalwarový software od Microsoftu (dříve označovaný jako MMPC) Ujistěte se, že jsou vaše zařízení aktualizovaná tak, aby podporovala SHA-2. Microsoft Defender Antivirové zabezpečení a aktualizace platforem se dodávají prostřednictvím služba Windows Update a od pondělí 21. října 2019 jsou aktualizace bezpečnostních informací a aktualizace platforem podepsané výhradně pomocí algoritmu SHA-2.
Stáhněte si nejnovější aktualizace ochrany z důvodu nedávné infekce nebo vám pomůžou zřídit silnou základní image pro nasazení VDI. Tato možnost by se obecně měla používat pouze jako konečný záložní zdroj, a ne jako primární zdroj. Použije se pouze v případě, že aktualizace nejde stáhnout ze služby Windows Server Update Service nebo Microsoft Update po zadaný počet dnů.

Můžete spravovat pořadí, v jakém se zdroje aktualizací používají s Zásady skupiny, Configuration Manager Microsoft Endpoint, rutinami PowerShellu a rozhraním WMI.

Důležité

Pokud nastavíte službu Windows Server Update Service jako umístění pro stahování, musíte aktualizace schválit bez ohledu na nástroj pro správu, který použijete k určení umístění. Pomocí služby Windows Server Update Service můžete nastavit pravidlo automatického schvalování, které může být užitečné, protože aktualizace přicházejí alespoň jednou denně. Další informace najdete v tématu synchronizace aktualizací ochrany koncových bodů v samostatné službě Windows Server Update Service.

Postupy v tomto článku nejprve popisují, jak nastavit pořadí a potom jak nastavit možnost Sdílené složky , pokud jste ji povolili.

Použití Zásady skupiny ke správě umístění aktualizace

  1. Na počítači pro správu Zásady skupiny otevřete konzolu pro správu Zásady skupiny, klikněte pravým tlačítkem na Zásady skupiny Objekt, který chcete nakonfigurovat, a pak vyberte Upravit.

  2. V Editor správy Zásady skupiny přejděte na Konfigurace počítače.

  3. Vyberte Zásady a pak Šablony pro správu.

  4. Rozbalte strom na součásti> systému Windows Windows Defender>Aktualizuje se přiřazení a nakonfigurujte následující nastavení:

    1. Upravte nastavení Definovat pořadí zdrojů pro stahování aktualizací bezpečnostních informací . Nastavte možnost na Povoleno.

    2. Zadejte pořadí zdrojů oddělených jedním kanálem, například: InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, jak je znázorněno na následujícím snímku obrazovky.

      Nastavení zásad skupiny se seznamem pořadí zdrojů

    3. Vyberte OK. Tato akce nastaví pořadí zdrojů aktualizací ochrany.

    4. Upravte nastavení Definovat sdílené složky pro stahování aktualizací inteligentních informací zabezpečení a pak nastavte možnost na Povoleno.

    5. Zadejte zdroj sdílené složky. Pokud máte více zdrojů, zadejte každý zdroj v pořadí, v jakém se mají použít, a oddělte je jedním kanálem. K zápisu cesty použijte standardní zápis UNC , například: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name. Pokud nezadáte žádné cesty, tento zdroj se při stahování aktualizací přeskočí.

    6. Vyberte OK. Tato akce nastaví pořadí sdílených složek, když se na tento zdroj odkazuje v nastavení zásad skupiny Definovat pořadí zdrojů .

Poznámka

Pro Windows 10 verze 1703 až 1809 včetně je cesta zásady Součásti > systému Windows Microsoft Defender antivirový > podpis Aktualizace Pro Windows 10 verze 1903 je cesta zásady Součásti systému > Windows Microsoft Defender Antivirová > Aktualizace bezpečnostních informací

Použití Configuration Manager ke správě umístění aktualizace

Podrobnosti o konfiguraci Microsoft Configuration Manager (aktuální větev) najdete v tématu Konfigurace Aktualizace analýzy zabezpečení pro službu Endpoint Protection.

Použití rutin PowerShellu ke správě umístění aktualizace

K nastavení pořadí aktualizací použijte následující rutiny PowerShellu.

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

Další informace najdete v následujících článcích:

Použití WMI (Windows Management Instruction) ke správě umístění aktualizace

Použijte metodu Set třídy MSFT_MpPreference pro následující vlastnosti:

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

Další informace najdete v následujících článcích:

Použití mobilních Správa zařízení (MDM) ke správě umístění aktualizace

Podrobnosti o konfiguraci MDM najdete v tématu CSP zásad – Defender/SignatureUpdateFallbackOrder .

Co když používáme jiného dodavatele?

Tento článek popisuje, jak nakonfigurovat a spravovat aktualizace pro Microsoft Defender Antivirus. K provádění těchto úloh však můžete najmout dodavatele třetích stran.

Předpokládejme například, že společnost Contoso najala společnost Fabrikam na správu svého řešení zabezpečení, které zahrnuje Microsoft Defender Antivirus. Fabrikam obvykle k nasazení oprav a aktualizací používá Windows Management Instrumentation, rutiny PowerShellu nebo příkazový řádek Windows .

Poznámka

Společnost Microsoft netestuje řešení třetích stran pro správu Microsoft Defender Antivirové ochrany.

Create sdílené složky UNC pro aktualizace zabezpečení a platformy

Nastavte sdílenou síťovou složku (UNC/mapovaná jednotka) pro stahování informací o zabezpečení a aktualizací platformy z webu MMPC pomocí naplánované úlohy.

  1. V systému, pro který chcete zřídit sdílenou složku a stáhnout aktualizace, vytvořte složku pro skript.

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. Create složku pro aktualizace podpisu.

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. Stáhněte si skript PowerShellu z www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.

  4. Vyberte Ruční stažení.

  5. Vyberte Stáhnout nezpracovaný soubor nupkg.

  6. Extrahujte soubor.

  7. Zkopírujte soubor SignatureDownloadCustomTask.ps1 do složky, kterou jste vytvořili dříve, C:\Tool\PS-Scripts\ .

  8. Pomocí příkazového řádku nastavte naplánovanou úlohu.

    Poznámka

    Existují dva typy aktualizací: úplná a rozdílová.

    • Pro x64 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Plná verze x64:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Pro x86 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Pro x86 full:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    Poznámka

    Po vytvoření naplánovaných úkolů je najdete v Plánovači úloh v části Microsoft\Windows\Windows Defender.

  9. Spusťte každou úlohu ručně a ověřte, že máte data (mpam-d.exe, mpam-fe.exea nis_full.exe) v následujících složkách (možná jste zvolili jiná umístění):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Pokud naplánovaná úloha selže, spusťte následující příkazy:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

  10. Create sdílenou složku odkazující na C:\Temp\TempSigs (například \\server\updates).

    Poznámka

    Ověření uživatelé musí mít minimálně přístup ke čtení. Tento požadavek platí také pro počítače domény, sdílenou složku a systém souborů NTFS (zabezpečení).

  11. Nastavte umístění sdílené složky v zásadě na sdílenou složku.

    Poznámka

    Do cesty nepřidávejte složku x64 (nebo x86). Proces mpcmdrun.exe ho přidá automaticky.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.