Hantera källor för skyddsuppdateringar av Microsoft Defender Antivirus

Gäller för:

Det är viktigt att hålla antivirusskyddet uppdaterat. Det finns två komponenter för hantering av skyddsuppdateringar för Microsoft Defender Antivirus:

  • Var uppdateringarna hämtas från och
  • När uppdateringar laddas ned och tillämpas.

I den här artikeln beskrivs hur du anger varifrån uppdateringar ska laddas ned (detta kallas även reservordningen). I avsnittet Hantera Microsoft Defender Antivirus uppdateringar och använda baslinjer finns en översikt över hur uppdateringar fungerar och hur du konfigurerar andra aspekter av uppdateringar (till exempel schemaläggningsuppdateringar).

Viktigt

Microsoft Defender Antivirus säkerhetsintelligensuppdateringar levereras via Windows-uppdatering och från och med den 21 oktober 2019 är alla säkerhetsintelligensuppdateringar SHA-2 signerade exklusivt. Enheterna måste uppdateras med stöd för SHA-2 för att du ska kunna uppdatera säkerhetsintelligens. Mer information finns i krav för stöd för SHA-2-kodsignering för 2019 Windows och WSUS.

Reservorder

Vanligtvis konfigurerar du slutpunkter att individuellt ladda ned uppdateringar från en primär källa följt av andra källor i prioritetsordning, baserat på din nätverkskonfiguration. Uppdateringar hämtas från källor i den ordning du anger. Om uppdateringar från den aktuella källan är inkommande används nästa källa i listan omedelbart.

När uppdateringar publiceras används en logik för att minimera uppdateringens storlek. I de flesta fall är det bara skillnaderna mellan den senaste uppdateringen och den uppdatering som är installerad (det här kallas för delta) på enheten laddas ned och tillämpas. Storleken på deltat beror emellertid på två huvudfaktorer:

  • Ålder för den senaste uppdateringen på enheten. och
  • Den källa som används för att ladda ned och installera uppdateringar.

Ju äldre uppdateringar på en slutpunkt, desto större blir nedladdningen. Men du måste också överväga nedladdningsfrekvens. Ett uppdateringsschema som ofta används kan leda till större nätverksanvändning, medan ett schema som inte blir så ofta kan leda till större filstorlekar per nedladdning.

Det finns fem platser där du kan ange var en slutpunkt ska hämta uppdateringar:

(1) Intune Internal Definition Update Server – Om du använder SCCM/SUP för att få definitionsuppdateringar för Microsoft Defender Antivirus, och behöver åtkomst till Windows Update på blockerade klientenheter, kan du gå över till samtidig hantering och lägga av arbetsbelastningen för slutpunktsskydd till Intune. I principen mot skadlig programvara som konfigurerats i Intune finns det ett alternativ för "intern definitionuppdateringsserver" som kan konfigureras för att använda lokal WSUS som uppdateringskälla. Det här hjälper dig att styra vilka uppdateringar från den officiella WU-servern som har godkänts för företaget, och hjälper även till att proxy- och spara nätverkstrafik till det officiella Windows UPdates-nätverket.

(2) Din princip och ditt register kan ha följande i Microsoft Malware Protection Center (MMPC)-säkerhetsinformation, dess tidigare namn.

För att säkerställa den bästa skyddsnivån ger Microsoft Update snabba versioner, vilket innebär mindre nedladdningar ofta. Källorna Windows Server Update Service, Microsoft Endpoint Configuration Manager och Microsoft-säkerhetsintelligensuppdateringar ger färre uppdateringar ofta. Delta kan alltså vara större, vilket resulterar i större nedladdningar.

Viktigt

Om du har angett uppdateringar för Microsofts säkerhetsinformationssida som reservkälla efter Windows Serveruppdateringstjänst eller Microsoft Update laddas uppdateringar bara ned från säkerhetsintelligensuppdateringar när den aktuella uppdateringen anses vara in datera. (Som standard är det sju dagar i följd då uppdateringar från serveruppdateringstjänsten eller Microsoft Update-Windows inte kunde installeras på följande dagar). Du kan dock ange antalet dagar innan skyddet rapporteras som inställt.

Från och med måndagen den 21 oktober 2019 kommer säkerhetsintelligensuppdateringar att vara SHA-2-signerade exklusivt. Enheter måste uppdateras med stöd för SHA-2 för att få de senaste säkerhetsintelligensuppdateringarna. Mer information finns i krav för stöd för SHA-2-kodsignering för 2019 Windows och WSUS.

Varje källa har vanliga scenarier som beror på hur nätverket är konfigurerat, utöver hur ofta de publicerar uppdateringar, enligt beskrivningen i följande tabell:



Plats Exempelscenario
Windows Server Update Service Du använder Windows Server Update Service för att hantera uppdateringar för nätverket.
Microsoft Update Du vill att dina slutpunkter ska ansluta direkt till Microsoft Update. Detta kan vara användbart för slutpunkter som oregelbundet ansluter till företagsnätverket eller om du inte använder serveruppdateringstjänsten för Windows för att hantera dina uppdateringar.
Filresurs Du har icke-Internetanslutna enheter (till exempel virtuella maskiner). Du kan använda din Internetanslutna VM-värd för att hämta uppdateringar till en nätverksresurs från vilken de virtuella maskinerna kan hämta uppdateringarna. Se VDI-distributionsguiden för hur filresurser kan användas i VDI-miljöer (Virtual Desktop Infrastructure).
Microsoft Endpoint Manager Du använder Microsoft Endpoint Manager för att uppdatera slutpunkterna.
Säkerhetsintelligensuppdateringar för Microsoft Defender Antivirus och annan microsoft-skadlig programvara (tidigare kallad MMPC) Kontrollera att dina enheter har uppdaterats så att de har stöd för SHA-2. Microsoft Defender Antivirus säkerhetsintelligensuppdateringar levereras via Windows-uppdatering och från och med den 21 oktober 2019 kommer säkerhetsintelligensuppdateringar att vara SHA-2-signerade exklusivt.
Ladda ned de senaste skyddsuppdateringarna på grund av en nyligen genomförd distribution eller för att tillhandahålla en stark, grundläggande bild för VDI-distribution. Det här alternativet bör i allmänhet bara användas som en sista reservkälla, inte den primära källan. Den används endast om uppdateringar inte kan laddas ned från Windows Server Update Service eller Microsoft Update under ett angivet antal dagar.

Du kan hantera i vilken ordning uppdateringskällor används med Grupprincip, Microsoft Endpoint Configuration Manager, PowerShell-cmdlets och WMI.

Viktigt

Om du Windows serveruppdateringstjänsten som en nedladdningsplats måste du godkänna uppdateringarna, oavsett vilket hanteringsverktyg du använder för att ange platsen. Du kan konfigurera en regel för automatiskt godkännande Windows tjänsten Serveruppdatering, vilket kan vara användbart när uppdateringar kommer in minst en gång om dagen. Mer information finns i Synkronisera uppdateringar av slutpunktsskydd i fristående Windows Serveruppdateringstjänst.

Procedurerna i den här artikeln beskriver först hur du anger ordningen och sedan hur du ställer in alternativet Filresurs om du har aktiverat den.

Hantera uppdateringsplatsen med grupprinciper

  1. På hanteringsdatorn för grupprinciper öppnar du Konsolen för grupprinciphantering, högerklickar på det grupprincipobjekt du vill konfigurera och klickar på Redigera.

  2. Gå till Datorkonfiguration i redigeraren för grupprinciphantering.

  3. Klicka på Principer och sedan på Administrativa mallar.

  4. Expandera trädet för att Windows komponenter > Windows Defender > signaturuppdateringar och konfigurera följande inställningar:

    1. Dubbelklicka på inställningen Definiera ordningen på källor för nedladdning av säkerhetsintelligensuppdateringar och ange alternativet Aktiverad.

    2. Ange källordningen, avgränsad med ett enda rör, till exempel: InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, som på följande skärmbild.

      Grupprincipinställning som visar källordningen.

    3. Välj OK. Då anges ordningen för skydd av uppdateringskällor.

    4. Dubbelklicka på inställningen Definiera filresurser för hämtning av säkerhetsintelligensuppdateringar och ange alternativet Aktiverad.

    5. Ange filresurskällan. Om du har flera källor anger du varje källa i den ordning de ska användas, avgränsade med en enda rörledning. Använd standard-UNC-notation för att beteckna sökvägen, till exempel: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name. Om du inte anger några sökvägar hoppas den här källan över när den virtuella maskinerna laddar ned uppdateringar.

    6. Klicka på OK. Då anges ordningen på filresurser när källan refereras i grupprincipinställningen Definiera ordningen på källor....

Anteckning

För Windows 10, version 1703 upp till och med 1809, är principsökvägen Windows Components > Microsoft Defender Antivirus > Signature Updates for Windows 10, version 1903. Principsökvägen är Windows Components > Microsoft Defender Antivirus > säkerhetsintelligensuppdateringar

Hantera uppdateringsplatsen med Konfigurationshanteraren

Mer information om hur du konfigurerar Microsoft Endpoint Manager (current branch) finns i Konfigurera Endpoint Protection säkerhetsintelligensuppdateringar.

Använda PowerShell-cmdlets för att hantera uppdateringsplatsen

Använd följande PowerShell-cmdlets för att ange uppdateringsordningen.

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

Mer information finns i följande artiklar:

Använda Windows (WMI) för att hantera uppdateringsplatsen

Använd metoden Set för MSFT_MpPreference för följande egenskaper:

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

Mer information finns i följande artiklar:

Använda MDM (Mobile Device Management) för att hantera uppdateringsplatsen

Mer information om konfiguration av MDM finns i Policy CSP – Defender/SignatureUpdateFallbackOrder .

Vad händer om vi använder en tredjepartsleverantör?

I den här artikeln beskrivs hur du konfigurerar och hanterar uppdateringar för Microsoft Defender Antivirus. Tredjepartsleverantörer kan emellertid användas för att utföra de här uppgifterna.

Anta till exempel att Contoso har anställt Fabrikam för att hantera sin säkerhetslösning, vilket omfattar Microsoft Defender Antivirus. Fabrikam använder Windows Management Instrumentation, PowerShell-cmdlets eller Windows-kommandoraden för att distribuera korrigeringar och uppdateringar.

Anteckning

Microsoft testar inte tredjepartslösningar för att hantera Microsoft Defender Antivirus.

Skapa en UNC-delning för säkerhetsintelligensuppdateringar

Konfigurera en nätverksresurs (UNC/mappad enhet) för att hämta säkerhetsintelligensuppdateringar från MMPC-webbplatsen med hjälp av en schemalagd aktivitet.

  1. Skapa en mapp där du vill spara skriptet i det system där du vill etablera resursen och ladda ned uppdateringarna.

    Start, CMD (Run as admin)
    MD C:\Tool\PS-Scripts\
    
  2. Skapa den mapp som du ska spara signaturuppdateringarna i.

    MD C:\Temp\TempSigs\x64
    MD C:\Temp\TempSigs\x86
    
  3. Ladda ned PowerShell-skriptet från www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.

  4. Klicka på Manuell nedladdning.

  5. Klicka på Ladda ned den obearbetade nupkg-filen.

  6. Extrahera filen.

  7. Kopiera filen eller SignatureDownloadCustomTask.ps1 till mappen som du skapade tidigare, C:\Tool\PS-Scripts\ .

  8. Använd kommandoraden för att konfigurera den schemalagda aktiviteten.

    Anteckning

    Det finns två typer av uppdateringar: fullständiga och delta.

    • För x64 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • För x64 fullt:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • För x86 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • För x86 fullt:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      

    Anteckning

    När de schemalagda aktiviteterna har skapats hittar du dem i Schemaläggaren under Microsoft\Windows\Windows Defender.

  9. Kör varje uppgift manuellt och kontrollera att du har data (mpam-d.exe, mpam-fe.exe``nis_full.exeoch ) i följande mappar (du kan ha valt olika platser):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Om den schemalagda aktiviteten misslyckas kör du följande kommandon:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
    

    Anteckning

    Problem kan också bero på körningsprincipen.

  10. Skapa en delning som pekar C:\Temp\TempSigs på (t.ex. \\server\updates).

    Anteckning

    Som minst måste autentiserade användare ha läsbehörighet. Det här kravet gäller även för domändatorer, delning och NTFS (säkerhet).

  11. Ställ in delningsplatsen i principen på delningsplatsen.

    Anteckning

    Lägg inte till mappen x64 (eller x86) i sökvägen. Den mpcmdrun.exe lägger till den automatiskt.