• 项目

如何配置端点保护在配置管理器中的特征码更新

 

适用对象:System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

与 Endpoint Protection 中 Microsoft System Center 2012 Configuration Manager, ,可以使用任何可用的几种方法来保持反恶意软件定义保持最新客户端计算机上层次结构中。 本主题中的信息可以帮助您选择和配置这些方法。

若要更新反恶意软件定义,可以使用一个或多个以下方法:

  • 从分发更新 配置管理器 – 此方法使用 配置管理器 用于将定义和引擎更新传递到层次结构中的计算机的软件更新。

  • 更新分布式从 Windows Server Update Services (WSUS) – 此方法使用您的 WSUS 基础结构以将定义和引擎更新传递到计算机。

  • 从 Microsoft Update – 分发更新此方法允许计算机直接连接到 Microsoft 更新才能下载定义和引擎更新。 此方法可用于不经常连接到企业网络的计算机。

  • 从 Microsoft 恶意软件防护中心 – 分发更新此方法将从 Microsoft 恶意软件防护中心下载定义更新。

  • 更新从 UNC 文件共享 – 使用此方法,您可以保存最新的定义和引擎更新到共享在网络上。 客户端然后可以访问网络安装更新。

您可以配置多个定义更新源和控制它们进行评估和应用的顺序。 这通过完成 配置定义更新源 对话框中创建的反恶意软件策略时。

System_CAPS_important重要事项

如果您管理 Windows 10 技术预览的计算机,则必须配置 Endpoint Protection 更新 Windows Defender 的恶意软件定义。

如何配置定义更新源

使用以下过程配置要用于每个反恶意软件策略的定义更新源。

若要配置定义更新源

  1. 在 配置管理器 控制台中,单击 资产和符合性

  2. 资产和符合性 工作区中,展开 Endpoint Protection, ,然后单击 反恶意软件策略

  3. 打开属性页的 默认反恶意软件策略 或创建新的反恶意软件策略。 有关如何创建反恶意软件策略的详细信息,请参阅 如何创建和部署 Configuration Manager 中 Endpoint Protection 反恶意软件策略

  4. 定义更新 部分的反恶意软件的属性对话框中,单击 设为源

  5. 配置定义更新源 对话框框中,选择要用于定义更新的源。 您可以单击 向上 来修改这些源将使用的顺序。

  6. 单击 确定 关闭 配置定义更新源 对话框。

使用 Configuration Manager 软件更新将定义更新交付

您可以配置 配置管理器 用于将定义更新交付到客户端计算机的软件更新。 这是通过配置自动部署规则。 在开始创建自动部署规则之前,请确保您已配置了 配置管理器 软件更新。 有关详细信息,请参阅 Configuration Manager 中的软件更新

System_CAPS_note注意

仅为必须专门配置为的项,则此过程 Endpoint Protection。 有关创建自动部署规则向导的详细信息,请参阅 Configuration Manager 中软件更新的操作和维护

若要配置自动部署规则以将定义更新交付

  1. 在 配置管理器 控制台中,单击 软件库

  2. 软件库 工作区中,展开 软件更新, ,然后单击 自动部署规则

  3. 在“主页”选项卡上的“创建”组中,单击“创建自动部署规则”。

  4. 在上 常规创建自动部署规则向导, ,指定以下信息:

    - **名称**:输入用于自动部署规则的唯一名称。

- **集合**:选择要向其部署定义更新的客户端计算机的集合。

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Hh221349.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>您不能将定义更新部署到用户的集合。</p></td>
  </tr>
  </tbody>
  </table>

  </div>

  5. 单击 将添加到现有的软件更新组

  6. 请确保 运行此规则后启用部署 复选框已选中,然后依次 下一步

  7. 在上 部署设置 向导页,请在 详细信息级别 列表中,选择 最小, ,然后单击 下一步

    System_CAPS_note注意

    详细信息级别 列表中,选择 最小 (配置管理器 不带 Service Pack) 或 仅限错误消息 (配置管理器 SP1)。 这将减少返回的定义部署的状态消息数。 此配置有助于减少 CPU 处理使用情况上 配置管理器 服务器。

  8. 属性筛选器 列表中,选择 更新分类 复选框。

  9. 搜索条件 列表中,单击 < 要查找的项 >。 然后,在 搜索条件 对话框中,在 指定要搜索的值 列表中,选择 定义更新

  10. 单击 确定 关闭 搜索条件 对话框。

  11. 属性筛选器 列表中,选择 产品 复选框。

  12. 搜索条件 列表中,单击 < 要查找的项 >。 然后,在 搜索条件 对话框中,在 指定要搜索的值 列表中,选择 Forefront Endpoint Protection 2010 适用于 Windows 8.1 及更早版本或 Windows Defender Windows 10 及更高版本。

  13. 单击 确定 关闭 搜索条件 对话框,然后再单击 下一步

  14. 属性筛选器 列表中,选择 被取代 复选框。

  15. 搜索条件 列表中,单击 < 要查找的项 >。 然后,在 搜索条件 对话框中,在 指定要搜索的值 列表中,选择

  16. 单击 确定 关闭 搜索条件 对话框,然后再单击 下一步

  17. 在上 评估计划 页的向导中,选择 启用规则以按计划运行, ,然后配置进行下载定义更新所依据的计划。 在最低限度上,设置每个软件更新点同步之后的两个小时运行一次的规则。 单击“下一步”。

    System_CAPS_important重要事项

    出于性能原因,在 配置管理器 与任何 Service Pack、 未计划自动部署规则以将定义更新每天一次以上交付。 在 配置管理器 SP1,请不要计划自动部署规则以将定义更新某一天三倍以上交付。

  18. 在上 部署计划 页的向导中,配置下列设置:

    • 时间根据:选择 UTC 如果您想要安装在同一时间的最新定义的层次结构中的所有客户端。 在两小时的时段内而异的实际安装时间。 此设置是建议的最佳做法。

    • 软件可用时间:指定由此规则创建的部署的可用时间。 在指定的时间必须至少在一小时之后运行自动部署规则。 这有助于确保内容具有足够的时间来将复制到您的层次结构中的分发点。 一些定义更新可能还包括反恶意软件引擎更新,这可能要花更长时间才能到达分发点。

    • 安装截止时间:选择 越早越好

      System_CAPS_note注意

      软件更新截止时间在两个小时的时段内以防止所有客户端请求在同一时间更新各不相同。

  19. 单击“下一步”。

  20. 在上 用户体验 向导页,请在 用户通知 列表中,选择 在软件中心和所有通知中隐藏。 这可确保无提示安装定义更新。 单击“下一步”。

  21. 在上 警报 页的向导中,您不需要配置任何警报。Endpoint Protection 在 配置管理器 将生成可能需要的任何警报。 单击“下一步”。

  22. 在上 下载设置 向导页,选择必要的软件更新下载行为,然后依次 下一步

  23. 在上 部署包 页的向导中,选择一个现有的部署包或创建新的部署包包含与规则关联的软件更新文件。

    System_CAPS_note注意

    考虑将定义更新放在不包含其他软件更新包中。 此策略将保留的定义更新包较小,从而使其可以复制到更快地分发点的大小。

  24. 在上 分发点 页面上的向导,选择一个或多个分发点到此包的内容将被复制,然后单击 下一步

  25. 在上 下载位置 页的向导中,选择 从 Internet 下载软件更新, ,然后单击 下一步

  26. 在上 语言选择 页选择该向导中,将在每个语言版本的更新以进行下载,然后单击 下一步

  27. 完成创建自动部署规则向导。

  28. 验证新的规则是否显示在 自动部署规则 节点 配置管理器 控制台。

使用 Windows Server Update Services (WSUS) 以提供定义

如果使用 WSUS 来保持最新反恶意软件定义,您可以将其配置为自动批准的定义更新。 虽然使用 配置管理器 软件更新是保持定义为最新的推荐的方法,您还可以作为一种方法允许用户手动启动定义更新配置 WSUS。 使用以下过程将 WSUS 配置为定义更新源。

配置更新同步

若要配置 配置管理器 要同步软件更新 Endpoint Protection 定义更新,使用以下过程。

若要同步 Configuration Manager 中的 Endpoint Protection 定义更新

  1. 在 配置管理器 控制台中,单击 管理

  2. 在“管理”工作区中,展开“站点配置”,然后单击“站点”。

  3. 选择包含您的软件更新点的站点。 在 设置 组中,单击 配置站点组件, ,然后单击 软件更新点

  4. 在上 分类 选项卡上 软件更新点组件属性 对话框中,选择 定义更新 复选框。

  5. 指定 产品 使用 WSUS 更新:

    - 适用于 Windows 8.1 及更早版本,在 **产品** 选项卡上 **软件更新点组件属性** 对话框中,选择 **Forefront Endpoint Protection 2010** 复选框。

- 有关 Windows 10 及更高版本,在 **产品** 选项卡上 **软件更新点组件属性** 对话框中,选择 **Windows Defender** 和 **Windows 技术预览 2** 复选框。

  6. 单击 确定 关闭 软件更新点组件属性 对话框。

使用以下过程来配置 Endpoint Protection 更新时你的 WSUS 服务器未集成到您 配置管理器 环境。

若要同步在独立的 WSUS 中的 Endpoint Protection 定义更新

  1. 在 WSUS 管理控制台中,展开 计算机, ,单击 选项, ,然后单击 产品和分类

  2. 指定 产品 使用 WSUS 更新:

    - 适用于 Windows 8.1 及更早版本,在 **产品** 选项卡上 **软件更新点组件属性** 对话框中,选择 **Forefront Endpoint Protection 2010** 复选框。

- 有关 Windows 10 及更高版本,在 **产品** 选项卡上 **软件更新点组件属性** 对话框中,选择 **Windows Defender** 和 **Windows 技术预览 2** 复选框。

  3. 在上 分类 选项卡上 产品和分类 对话框中,选择 定义更新更新 复选框。

批准定义更新

Endpoint Protection 必须批准并在它们提供给请求的可用更新列表的客户端之前下载到 WSUS 服务器定义更新。 客户端连接到 WSUS 服务器以检查适用的更新,然后请求最新的已批准的定义更新。

若要定义和 WSUS 中的更新批准

  1. 在 WSUS 管理控制台中,单击 更新, ,然后单击 所有更新 或想要批准的更新的分类。

  2. 在更新列表中,右键单击更新或想要批准以进行安装,然后依次的更新 批准

  3. 批准更新 对话框框中,选择要批准的更新,然后依次的计算机组 批准安装

除了手动批准,您还可以设置定义更新自动批准规则和 Endpoint Protection 更新。 这将配置 WSUS 以自动批准 Endpoint Protection wsus 下载定义更新。

若要配置自动批准规则

  1. 在 WSUS 管理控制台中,单击 选项, ,然后单击 自动审批

  2. 在上 更新规则 选项卡上,单击 新规则

  3. 添加规则 对话框中,在 第 1 步:选择属性, ,选择 更新时在某个特定分类 复选框。

  4. 在下 第 2 步:编辑的属性, ,单击 任何分类

  5. 清除所有复选框除外 定义更新, ,然后单击 确定

  6. 添加规则 对话框中,在 第 1 步:选择属性, ,选择 当更新处于特定产品 复选框。

  7. 在下 第 2 步:编辑的属性, ,单击 任何产品

  8. 清除所有复选框除外 Forefront Endpoint Protection 适用于 Windows 8.1 及更早版本或 Windows Defender 作为 Windows 10 及更高版本,然后单击 确定

  9. 在下 第 3 步:指定一个名称, ,为该规则中,输入一个名称,然后单击 确定

  10. 自动审批 对话框中,选择复选框中为新创建的规则,然后单击 运行规则

System_CAPS_note注意

若要使在 WSUS 服务器和客户端计算机上的性能最大化,拒绝旧定义更新。 若要完成此任务,可以配置自动审批的修订和过期更新的自动拒绝。 有关详细信息,请参阅 Microsoft 知识库文章 938947

使用 Microsoft 更新来下载定义

当您选择从 Microsoft 更新下载定义更新时,客户端将检查中定义的间隔处的 Microsoft Update 网站 定义更新 反恶意软件策略对话框的一节。

如果客户端不具有连接到此方法很有用 配置管理器 站点或当您希望用户能够启动定义更新。

System_CAPS_important重要事项

客户端将无法使用此方法以下载定义更新在 Internet 上必须与 Microsoft 更新的访问。

使用 Microsoft 恶意软件防护中心下载定义

您可以配置客户端以从 Microsoft 恶意软件防护中心下载定义更新。 通过使用此选项 Endpoint Protection 客户端下载定义更新 (如果它们未能够从其他源中下载更新。 此更新方法会很有用的问题是否您 配置管理器 可防止交付的更新的基础结构。

System_CAPS_important重要事项

客户端必须能够访问到能在 Internet 上的 Microsoft 更新使用此方法来下载定义更新。

从网络上共享下载定义

您可以手动从 Microsoft 下载最新定义更新,,然后配置客户端从网络上的共享文件夹下载这些定义。 用户还可以启动定义更新时使用此更新源。

System_CAPS_note注意

客户端必须具有读取访问权限以便能够下载定义更新的共享文件夹。

有关如何下载要将存储在文件共享上的定义和引擎更新的详细信息,请参阅 安装最新的 Microsoft Forefront Security 定义更新

若要配置定义下载的文件共享

  1. 在 配置管理器 控制台中,单击 资产和符合性

  2. 资产和符合性 工作区中,展开 Endpoint Protection, ,然后单击 反恶意软件策略

  3. 打开属性页的 默认反恶意软件策略 或创建新的反恶意软件策略。 有关如何创建反恶意软件策略的详细信息,请参阅 如何创建和部署 Configuration Manager 中 Endpoint Protection 反恶意软件策略

  4. 定义更新 部分的反恶意软件的属性对话框中,单击 设为源

  5. 配置定义更新源 对话框中,选择 UNC 文件共享中的更新

  6. 单击 确定 关闭 配置定义更新源 对话框。

  7. 单击 设置路径。 然后,在 配置定义更新 UNC 路径 对话框框中,添加一个或多个到定义的位置的 UNC 路径更新网络共享上的文件。

  8. 单击 确定 关闭 配置定义更新 UNC 路径 对话框。