Administrer kilderne til Microsoft Defender Antivirus beskyttelsesopdateringer

  • Artikel

Gælder for:

Platforme

  • Windows

Det er vigtigt at holde antivirusbeskyttelsen opdateret. Der er to komponenter til administration af beskyttelsesopdateringer til Microsoft Defender Antivirus:

  • Hvor opdateringerne downloades fra Og
  • Når opdateringer downloades og anvendes.

I denne artikel beskrives det, hvordan du angiver, hvor opdateringer skal downloades fra (denne specifikation kaldes også reserveordren). Se artiklen Administrer Microsoft Defender Antivirus-opdateringer og anvendelse af grundlinjer for at få en oversigt over, hvordan opdateringer fungerer, og hvordan du konfigurerer andre aspekter af opdateringer (f.eks. planlægning af opdateringer).

Vigtigt!

Microsoft Defender Antivirus Security Intelligence-opdateringer og platformopdateringer leveres gennem Windows Update og fra og med mandag den 21. oktober 2019 er alle sikkerhedsintelligensopdateringer SHA-2 signeret med udelt adgang. Dine enheder skal opdateres for at understøtte SHA-2 for at kunne opdatere din sikkerhedsintelligens. Du kan få mere at vide under Supportkrav til sha-2-signering af kode i 2019 for Windows og WSUS.

Reserveordre

Du konfigurerer typisk slutpunkter til individuelt at downloade opdateringer fra en primær kilde efterfulgt af andre kilder i prioriteret rækkefølge baseret på din netværkskonfiguration. Opdateringer hentes fra kilder i den rækkefølge, du angiver. Hvis opdateringer fra den aktuelle kilde er forældede, bruges den næste kilde på listen med det samme.

Når der publiceres opdateringer, anvendes der noget logik for at minimere opdateringens størrelse. I de fleste tilfælde er det kun forskellene mellem den seneste opdatering og den opdatering, der er installeret i øjeblikket (sættet af forskelle kaldes deltaet) på enheden, der downloades og anvendes. Deltaets størrelse afhænger imidlertid af to hovedfaktorer:

  • Alderen på den seneste opdatering på enheden; Og
  • Den kilde, der bruges til at downloade og anvende opdateringer.

Jo ældre opdateringerne på et slutpunkt er, jo større er downloaden. Du skal dog også overveje downloadfrekvens. En tidsplan for hyppigere opdateringer kan resultere i mere netværksbrug, hvorimod en mindre hyppig tidsplan kan resultere i større filstørrelser pr. download.

Der er fem steder, hvor du kan angive, hvor et slutpunkt skal hente opdateringer:

Bemærk!

  1. Intune intern definitionsopdateringsserver. Hvis du bruger SCCM/SUP til at hente definitionsopdateringer til Microsoft Defender Antivirus, og du skal have adgang til Windows Update på blokerede klientenheder, kan du skifte til medadministration og aflaste arbejdsbelastningen for beskyttelse af slutpunkter for at Intune. I den antimalwarepolitik, der er konfigureret i Intune er der en indstilling for "intern definitionsopdateringsserver", som du kan angive til at bruge WSUS i det lokale miljø som opdateringskilde. Denne konfiguration hjælper dig med at styre, hvilke opdateringer fra den officielle WU-server der godkendes til virksomheden, og hjælper dig også med at proxy- og gemme netværkstrafik til det officielle Windows Opdateringer netværk.

  2. Din politik og registreringsdatabase kan have angivet dette som Microsoft Malware Protection Center (MMPC) security intelligence, dens tidligere navn.

For at sikre det bedste beskyttelsesniveau giver Microsoft Update mulighed for hurtige udgivelser, hvilket betyder, at mindre downloads hyppigt downloades. Windows Server Update Service, Microsoft Endpoint Configuration Manager, Microsoft security intelligence-opdateringer og platformopdateringer leverer mindre hyppige opdateringer. Således kan delta være større, hvilket resulterer i større downloads.

Platformopdateringer og programopdateringer udgives månedligt. Sikkerhedsintelligensopdateringer leveres flere gange om dagen, men denne deltapakke indeholder ikke en programopdatering. Se Microsoft Defender Antivirus security intelligence og produktopdateringer.

Vigtigt!

Hvis du har angivet opdateringer af Microsoft Security Intelligence-sider som reservekilde efter Windows Server Update Service eller Microsoft Update, downloades opdateringer kun fra opdateringer til sikkerhedsintelligens og platform, når den aktuelle opdatering anses for at være forældet. (Som standard er det syv dage i træk, hvor opdateringer fra Tjenesten Windows Server Update eller Microsoft Update-tjenesterne ikke kan anvendes). Du kan dog angive antallet af dage, før beskyttelse rapporteres som forældet.

Fra mandag den 21. oktober 2019 underskrives SHA-2 udelukkende for sikkerhedsopdateringer og platformopdateringer. Enheder skal opdateres for at understøtte SHA-2 for at få de nyeste opdateringer til sikkerhedsintelligens og platformopdateringer. Du kan få mere at vide under Supportkrav til sha-2-signering af kode i 2019 for Windows og WSUS.

Hver kilde har typiske scenarier, der afhænger af, hvordan dit netværk er konfigureret, ud over hvor ofte de publicerer opdateringer, som beskrevet i følgende tabel:

Placering Eksempelscenarie
Windows Server Update-tjeneste Du bruger Windows Server Update Service til at administrere opdateringer til dit netværk.
Microsoft Update Dine slutpunkter skal oprette direkte forbindelse til Microsoft Update. Denne indstilling er nyttig til slutpunkter, der uregelmæssigt opretter forbindelse til virksomhedsnetværket, eller hvis du ikke bruger Windows Server Update Service til at administrere dine opdateringer.
Filshare Du har enheder, der ikke har forbindelse til internettet (f.eks. VM'er). Du kan bruge din vm-vært med internetforbindelse til at downloade opdateringerne til et netværksshare, hvorfra VM'erne kan hente opdateringerne. I VDI-installationsvejledningen kan du se, hvordan filshares bruges i VDI-miljøer (Virtual Desktop Infrastructure).
Microsoft Configuration Manager Du bruger Microsoft Configuration Manager til at opdatere dine slutpunkter.
Sikkerhedsintelligensopdateringer og platformopdateringer til Microsoft Defender Antivirus og anden Microsoft antimalware (tidligere kaldet MMPC) Sørg for, at dine enheder opdateres, så de understøtter SHA-2. Microsoft Defender Antivirus Sikkerhedsintelligens og platformopdateringer leveres gennem Windows Update, og fra og med mandag den 21. oktober 2019 underskrives SHA-2 med udelt adgang til sikkerhedsintelligensopdateringer og platformopdateringer.
Download de seneste beskyttelsesopdateringer på grund af en nylig infektion eller for at hjælpe med at klargøre en stærk, grundlæggende afbildning til VDI-udrulning. Denne indstilling bør generelt kun bruges som en endelig reservekilde og ikke som den primære kilde. Den bruges kun, hvis opdateringer ikke kan downloades fra Windows Server Update-tjenesten eller Microsoft Update i et angivet antal dage.

Du kan administrere den rækkefølge, som opdateringskilder bruges i med Gruppepolitik, Microsoft Endpoint Configuration Manager, PowerShell-cmdlet'er og WMI.

Vigtigt!

Hvis du angiver Windows Server Update Service som en downloadplacering, skal du godkende opdateringerne, uanset hvilken administrationsværktøj du bruger til at angive placeringen. Du kan konfigurere en automatisk godkendelsesregel med Windows Server Update Service, hvilket kan være nyttigt, når opdateringer modtages mindst én gang om dagen. Du kan få mere at vide under Synkroniser opdateringer til beskyttelse af slutpunkter i separat Windows Server Update Service.

Procedurerne i denne artikel beskriver først, hvordan du angiver rækkefølgen, og hvordan du derefter konfigurerer indstillingen Filshare , hvis du har aktiveret den.

Brug Gruppepolitik til at administrere opdateringsplaceringen

  1. Åbn administrationskonsollen Gruppepolitik Gruppepolitik, højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg derefter Rediger.

  2. I Editor administration af Gruppepolitik skal du gå til Computerkonfiguration.

  3. Vælg Politikker og derefter Administrative skabeloner.

  4. Udvid træet til Windows-komponenter>Windows Defender>Signature-opdateringer, og konfigurer derefter følgende indstillinger:

    1. Rediger indstillingen Definer rækkefølgen af kilder til download af sikkerhedsintelligensopdateringer . Angiv indstillingen til Aktiveret.

    2. Angiv rækkefølgen af kilder adskilt af en enkelt pipe, f.eks.: InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, som vist på følgende skærmbillede.

      Gruppepolitikindstilling, der viser kilderækkefølgen

    3. Vælg OK. Denne handling angiver rækkefølgen af kilder til beskyttelsesopdatering.

    4. Rediger indstillingen Definer filshares til download af sikkerhedsintelligensopdateringer , og angiv derefter indstillingen til Aktiveret.

    5. Angiv kilden til filsharet. Hvis du har flere kilder, skal du angive hver kilde i den rækkefølge, de skal bruges, adskilt af en enkelt pipe. Brug UNC-standardnotation til at angive stien, f.eks.: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name. Hvis du ikke angiver nogen stier, springes denne kilde over, når VM'en downloader opdateringer.

    6. Vælg OK. Denne handling angiver rækkefølgen af filshares, når der refereres til denne kilde i gruppepolitikindstillingen Definer rækkefølgen af kilder...

Bemærk!

For Windows 10, version 1703 op til og med 1809 er politikstien Windows-komponenter > Microsoft Defender Antivirus > Signature Opdateringer For Windows 10, version 1903 er politikstien Windows-komponenter > Microsoft Defender Antivirus > Security Intelligence-Opdateringer

Brug Configuration Manager til at administrere opdateringsplaceringen

Se Konfigurer Security intelligence-Opdateringer for Endpoint Protection for at få oplysninger om konfiguration af Microsoft Configuration Manager (aktuel forgrening).

Brug PowerShell-cmdlet'er til at administrere opdateringsplaceringen

Brug følgende PowerShell-cmdlet'er til at angive opdateringsrækkefølgen.

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

Du kan få flere oplysninger i følgende artikler:

Brug WMI (Windows Management Instruction) til at administrere opdateringsplaceringen

Brug metoden Set for klassen MSFT_MpPreference til følgende egenskaber:

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

Du kan få flere oplysninger i følgende artikler:

Brug Mobile Enhedshåndtering (MDM) til at administrere opdateringsplaceringen

Se Politik-CSP – Defender/SignatureUpdateFallbackOrder for at få oplysninger om konfiguration af MDM.

Hvad nu, hvis vi bruger en tredjepartsleverandør?

I denne artikel beskrives det, hvordan du konfigurerer og administrerer opdateringer til Microsoft Defender Antivirus. Du kan dog hyre tredjepartsleverandører til at udføre disse opgaver.

Lad os f.eks. antage, at Contoso har hyret Fabrikam til at administrere deres sikkerhedsløsning, hvilket omfatter Microsoft Defender Antivirus. Fabrikam bruger typisk Windows Management Instrumentation, PowerShell-cmdlet'er eller Windows-kommandolinjen til at installere programrettelser og opdateringer.

Bemærk!

Microsoft tester ikke tredjepartsløsninger til administration af Microsoft Defender Antivirus.

Create et UNC-share til sikkerhedsintelligens og platformopdateringer

Konfigurer et netværksfilshare (UNC/tilknyttet drev) for at downloade sikkerhedsintelligens- og platformopdateringer fra MMPC-webstedet ved hjælp af en planlagt opgave.

  1. Opret en mappe til scriptet på det system, hvor du vil klargøre sharet og downloade opdateringerne.

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. Create en mappe til signaturopdateringer.

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. Download PowerShell-scriptet fra www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.

  4. Vælg Manuel download.

  5. Vælg Download den rå nupkg-fil.

  6. Udpak filen.

  7. Kopiér filen SignatureDownloadCustomTask.ps1 til den mappe, du tidligere har oprettet, C:\Tool\PS-Scripts\ .

  8. Brug kommandolinjen til at konfigurere den planlagte opgave.

    Bemærk!

    Der er to typer opdateringer: fuld og delta.

    • For x64 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • For x64 fuld:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • For x86 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • For x86 fuld:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    Bemærk!

    Når de planlagte opgaver oprettes, kan du finde disse i Opgavestyring under Microsoft\Windows\Windows Defender.

  9. Kør hver opgave manuelt, og kontrollér, at du har data (mpam-d.exe, mpam-fe.exeog nis_full.exe) i følgende mapper (du har muligvis valgt forskellige placeringer):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Hvis den planlagte opgave mislykkes, skal du køre følgende kommandoer:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

  10. Create et share, der peger på C:\Temp\TempSigs (f.eks. \\server\updates).

    Bemærk!

    Godkendte brugere skal som minimum have adgang til "Læs". Dette krav gælder også for domænecomputere, sharet og NTFS (sikkerhed).

  11. Angiv delingsplaceringen i politikken til sharet.

    Bemærk!

    Tilføj ikke mappen x64 (eller x86) i stien. Den mpcmdrun.exe proces tilføjer den automatisk.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.