Gérer les sources des mises à jour de la protection antivirus Microsoft Defender

S’applique à :

Il est essentiel de maintenir la protection antivirus à jour. Il existe deux composants pour gérer les mises à jour de protection pour Antivirus Microsoft Defender :

  • l’endroit à partir de laquelle les mises à jour sont téléchargées ; et
  • Lorsque les mises à jour sont téléchargées et appliquées.

Cet article explique comment spécifier l’endroit où les mises à jour doivent être téléchargées (c’est également ce qu’on appelle l’ordre de retour). Voir Gérer Antivirus Microsoft Defender mises à jour et appliquer les lignes de base pour une vue d’ensemble sur le fonctionnement des mises à jour et la configuration d’autres aspects des mises à jour (par exemple, la planification des mises à jour).

Important

Antivirus Microsoft Defender Les mises à jour des informations de sécurité sont mises à jour via Windows Update et, à compter du lundi 21 octobre 2019, toutes les mises à jour de l’intelligence de sécurité seront signées exclusivement par SHA-2. Vos appareils doivent être mis à jour pour prendre en charge SHA-2 afin de mettre à jour vos informations de sécurité. Pour plus d’informations, voir 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

Ordre de retour

En règle générale, vous configurez les points de terminaison pour télécharger individuellement les mises à jour à partir d’une source principale suivie d’autres sources par ordre de priorité, en fonction de la configuration de votre réseau. Les mises à jour sont obtenues à partir de sources dans l’ordre que vous spécifiez. Si une source n’est pas disponible, la source suivante de la liste est utilisée immédiatement.

Lorsque des mises à jour sont publiées, une logique est appliquée pour réduire la taille de la mise à jour. Dans la plupart des cas, seules les différences entre la dernière mise à jour et la mise à jour actuellement installée (appelée delta) sur l’appareil sont téléchargées et appliquées. Toutefois, la taille du delta dépend de deux facteurs principaux :

  • L’âge de la dernière mise à jour sur l’appareil ; et
  • Source utilisée pour télécharger et appliquer les mises à jour.

Plus les mises à jour sur un point de terminaison sont anciennes, plus le téléchargement est volumineux. Toutefois, vous devez également prendre en compte la fréquence de téléchargement. Une planification des mises à jour plus fréquente peut entraîner une utilisation plus fréquente du réseau, tandis qu’une planification moins fréquente peut entraîner des tailles de fichiers plus importantes par téléchargement.

Il existe cinq emplacements où vous pouvez spécifier l’emplacement où un point de terminaison doit obtenir des mises à jour :

  • Microsoft Update

  • Windows Server Update Service [1]

  • Microsoft Endpoint Configuration Manager

  • Partage de fichiers réseau

  • Mises à jour de l’intelligence de sécurité pour Antivirus Microsoft Defender logiciel anti-programme malveillant Microsoft [2]

    (1) Serveur de mise à jour des définitions internes Intune : si vous utilisez SCCM/SUP pour obtenir des mises à jour de définition pour Antivirus Microsoft Defender et que vous devez accéder à Windows Update sur les appareils clients bloqués, vous pouvez passer à la cogestion et décharger la charge de travail de protection des points de terminaison vers Intune. Dans la stratégie anti-programme malveillant configurée dans Intune, il existe une option de « serveur de mise à jour de définition interne » qui peut être configurée pour utiliser WSUS local comme source de mise à jour. Cela vous permet de contrôler les mises à jour du serveur WU officiel qui sont approuvées pour l’entreprise, ainsi que de proxy et d’enregistrer le trafic réseau vers le réseau Windows UPdates officiel.

    (2) Il se peut que votre stratégie et votre Registre l’ont répertoriée en tant qu’intelligence Centre de protection Microsoft contre les programmes malveillants (MMPC), son ancien nom.

Pour garantir le meilleur niveau de protection, Microsoft Update permet des mises à jour rapides, ce qui signifie des téléchargements plus petits sur une base fréquente. Les sources Windows de mise à jour du service de mise à jour du serveur, de Microsoft Endpoint Configuration Manager et de l’intelligence de sécurité Microsoft offrent des mises à jour moins fréquentes. Par conséquent, le delta peut être plus grand, ce qui entraîne des téléchargements plus importants.

Important

Si vous avez définie les mises à jour de la page d’aide à la sécurité Microsoft comme source de récupération après le service de mise à jour du serveur Windows ou Microsoft Update, les mises à jour ne sont téléchargées qu’à partir des mises à jour de l’intelligence de sécurité lorsque la mise à jour actuelle est considérée comme non à jour. (Par défaut, cela fait sept jours consécutifs que vous ne pouvez pas appliquer les mises à jour à partir du service de mise à jour du serveur Windows ou des services Microsoft Update). Toutefois, vous pouvez définir le nombre de jours avant que la protection ne soit signalée comme étant hors date.

À compter du lundi 21 octobre 2019, les mises à jour des informations de sécurité seront exclusivement signées SHA-2. Les appareils doivent être mis à jour pour prendre en charge SHA-2 afin d’obtenir les dernières mises à jour de l’intelligence de sécurité. Pour plus d’informations, voir 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

Chaque source présente des scénarios classiques qui dépendent de la façon dont votre réseau est configuré, en plus de la fréquence de publication des mises à jour, comme décrit dans le tableau suivant :



Emplacement Exemple de scénario
Windows Service de mise à jour du serveur Vous utilisez Windows Server Update Service pour gérer les mises à jour de votre réseau.
Microsoft Update Vous souhaitez que vos points de terminaison se connectent directement à Microsoft Update. Cela peut être utile pour les points de terminaison qui se connectent de manière irrégulière à votre réseau d’entreprise, ou si vous n’utilisez pas Windows Server Update Service pour gérer vos mises à jour.
Partage de fichiers Vous avez des appareils non connectés à Internet (tels que des VM). Vous pouvez utiliser votre hôte de vm connecté à Internet pour télécharger les mises à jour sur un partage réseau, à partir duquel les VM peuvent obtenir les mises à jour. Consultez le guide de déploiement VDI pour savoir comment les partages de fichiers peuvent être utilisés dans les environnements d’infrastructure de bureau virtuel (VDI).
Microsoft Endpoint Manager Vous utilisez Microsoft Endpoint Manager pour mettre à jour vos points de terminaison.
Mises à jour des informations de sécurité pour Antivirus Microsoft Defender logiciel anti-programme malveillant Microsoft (anciennement APPELÉ MMPC) Assurez-vous que vos appareils sont mis à jour pour prendre en charge SHA-2. Antivirus Microsoft Defender Les mises à jour de l’intelligence de sécurité sont Windows Update et, à compter du lundi 21 octobre 2019, les mises à jour de l’intelligence de sécurité seront signées exclusivement par SHA-2.
Téléchargez les dernières mises à jour de protection en raison d’une infection récente ou pour mettre en service une image de base forte pour le déploiement VDI. Cette option doit généralement être utilisée uniquement comme source de retour final, et non comme source principale. Elle sera utilisée uniquement si les mises à jour ne peuvent pas être téléchargées depuis Windows Server Update Service ou Microsoft Update pour un nombre de jours spécifié.

Vous pouvez gérer l’ordre dans lequel les sources de mise à jour sont utilisées avec la stratégie de groupe, Microsoft Endpoint Configuration Manager, les cmdlets PowerShell et WMI.

Important

Si vous définissez Windows Server Update Service comme emplacement de téléchargement, vous devez approuver les mises à jour, quel que soit l’outil de gestion que vous utilisez pour spécifier l’emplacement. Vous pouvez configurer une règle d’approbation automatique avec Windows Server Update Service, ce qui peut être utile lorsque les mises à jour arrivent au moins une fois par jour. Pour plus d’informations, voir synchroniser les misesà jour de la protection des points de terminaison dans Windows service de mise à jour du serveur.

Les procédures de cet article décrivent d’abord comment définir la commande, puis comment configurer l’option de partage de fichiers si vous l’avez activée.

Utiliser une stratégie de groupe pour gérer l’emplacement de mise à jour

  1. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez la Consolede gestion des stratégies de groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe à configurer, puis cliquez sur Modifier.

  2. Dans l’Éditeur de gestion des stratégies de groupe, allez à Configuration ordinateur.

  3. Cliquez sur Stratégies puis Modèles d’administration.

  4. Développez l’arborescence Windows composants Windows Defender mises à jour des > > signatures et configurez les paramètres suivants :

    1. Double-cliquez sur le paramètre Définir l’ordre des sources de téléchargement des mises à jour d’informations de sécurité et définissez l’option sur Activé.

    2. Entrez l’ordre des sources, séparés par un seul canal, par exemple : , comme InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC illustré dans la capture d’écran suivante.

      paramètre de stratégie de groupe répertoriant l’ordre des sources.

    3. Sélectionnez OK. Cela définira l’ordre des sources de mise à jour de la protection.

    4. Double-cliquez sur le paramètre Définir les partages de fichiers pour télécharger les mises à jour de l’intelligence de sécurité et définissez l’option sur Activé.

    5. Spécifiez la source de partage de fichiers. Si vous avez plusieurs sources, entrez chaque source dans l’ordre où elles doivent être utilisées, séparées par un seul canal. Utilisez la notation UNC standard pour le chemin d’accès, par exemple : \\host-name1\share-name\object-name|\\host-name2\share-name\object-name . Si vous n’entrez aucun chemin d’accès, cette source est ignorée lorsque l’VM télécharge les mises à jour.

    6. Cliquez sur OK. Cela définit l’ordre des partages de fichiers lorsque cette source est référencé dans le paramètre de stratégie de groupe Définir l’ordre des sources...

Notes

Pour Windows 10, versions 1703 jusqu’à 1809 inclus, le chemin d’accès de stratégie est Windows Components > Antivirus Microsoft Defender > Signature Updates For Windows 10, version 1903, le chemin d’accès de stratégie est Windows Components > Antivirus Microsoft Defender > Security Intelligence Updates

Utiliser Configuration Manager pour gérer l’emplacement de mise à jour

Pour plus d’informations sur la configuration Microsoft Endpoint Manager (branche actuelle), voir Configurer les mises à jour de l’intelligence de sécurité pour Endpoint Protection données.

Utiliser les cmdlets PowerShell pour gérer l’emplacement de mise à jour

Utilisez les cmdlets PowerShell suivantes pour définir l’ordre de mise à jour.

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

Pour plus d’informations, consultez les articles suivants :

Utiliser Windows Management Instruction (WMI) pour gérer l’emplacement de mise à jour

Utilisez la méthode Set de la classe MSFT_MpPreference pour les propriétés suivantes :

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

Pour plus d’informations, consultez les articles suivants :

Utiliser la gestion des périphériques mobiles (MDM) pour gérer l’emplacement de mise à jour

Voir Policy CSP - Defender/SignatureUpdateFallbackOrder pour plus d’informations sur la configuration de mdm.

Que se passe-t-il si nous utilisons un fournisseur tiers ?

Cet article explique comment configurer et gérer les mises à jour pour Antivirus Microsoft Defender. Toutefois, les fournisseurs tiers peuvent être utilisés pour effectuer ces tâches.

Par exemple, supposons que Contoso a embauché Fabrikam pour gérer sa solution de sécurité, qui inclut Antivirus Microsoft Defender. Fabrikam utilise généralement Windows Management Instrumentation,des cmdlets PowerShellou Windows ligne de commande pour déployer des correctifs et des mises à jour.

Notes

Microsoft ne teste pas les solutions tierces pour la gestion des Antivirus Microsoft Defender.

Créer un partage UNC pour les mises à jour d’informations de sécurité

Configurer un partage de fichiers réseau (lecteur UNC/mappé) pour télécharger les mises à jour d’informations de sécurité à partir du site MMPC à l’aide d’une tâche programmée.

  1. Sur le système sur lequel vous souhaitez mettre en service le partage et télécharger les mises à jour, créez un dossier dans lequel vous enregistrerez le script.

    Start, CMD (Run as admin)
    MD C:\Tool\PS-Scripts\
    
  2. Créez le dossier dans lequel vous allez enregistrer les mises à jour de signature.

    MD C:\Temp\TempSigs\x64
    MD C:\Temp\TempSigs\x86
    
  3. Téléchargez le script PowerShell à partir www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.

  4. Cliquez sur Téléchargement manuel.

  5. Cliquez sur Télécharger le fichier nupkg brut.

  6. Extrayons le fichier.

  7. Copiez le fichier SignatureDownloadCustomTask.ps1 dans le dossier que vous avez précédemment créé, C:\Tool\PS-Scripts\ .

  8. Utilisez la ligne de commande pour configurer la tâche programmée.

    Notes

    Il existe deux types de mises à jour : complète et delta.

    • Pour le delta x64 :

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Pour x64 complet :

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Pour le delta x86 :

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Pour x86 complet :

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      

    Notes

    Lorsque les tâches programmées sont créées, vous pouvez les trouver dans le Programmeur des tâches sous Microsoft\Windows\Windows Defender

  9. Exécutez chaque tâche manuellement et vérifiez que vous avez des données (mpam-d.exe, mpam-fe.exe et nis_full.exe) dans les dossiers suivants (vous avez peut-être choisi différents emplacements) :

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Si la tâche programmée échoue, exécutez les commandes suivantes :

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
    

    Notes

    Des problèmes peuvent également être dus à la stratégie d’exécution.

  10. Créez un partage pointant vers C:\Temp\TempSigs (par exemple, \ serveur\mises à jour).

    Notes

    Au minimum, les utilisateurs authentifiés doivent avoir accès en lecture.

  11. Définissez l’emplacement du partage dans la stratégie sur le partage.

    Notes

    N’ajoutez pas le dossier x64 (ou x86) dans le chemin d’accès. Le mpcmdrun.exe processus de création de projet l’ajoute automatiquement.