• Artikel

Konfigurieren der Definitionsupdates für Endpoint Protection in Configuration Manager

 

Betrifft: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Mit Endpoint Protection in Microsoft System Center 2012 Configuration Manager, können Sie verschiedene verfügbaren Methoden um Antimalwaredefinitionen auf Client-Computern in Ihrer Hierarchie aktuell zu halten. Die Informationen in diesem Thema können Sie zum auswählen und konfigurieren diese Methoden.

Um Antimalwaredefinitionen aktualisieren, können Sie eine oder mehrere der folgenden Methoden:

  • Updates von verteilt Configuration Manager – bei dieser Methode wird Configuration Manager Softwareupdates zum Übermitteln von Definitions-und Modulupdates auf Computern in Ihrer Hierarchie.

  • Updates, die über die Windows Server Update Services (WSUS) – distributed mithilfe dieser Methode der WSUS-Infrastruktur-Definition und Engine-Updates auf Computern zu installieren.

  • Updates von Microsoft Update – ermöglicht diese Methode eine Verbindung direkt mit Microsoft Update herstellen, um die Definitions-und Modulupdates herunterladen. Diese Methode kann für Computer nützlich sein, die häufig nicht mit dem Firmennetzwerk verbunden sind.

  • Updates von Microsoft Malware Protection Center – diese Methode Definitionsupdates werden von Microsoft Malware Protection Center heruntergeladen.

  • Updates von UNC-Dateien – mit dieser Methode können Sie die neuesten Updates von Definitions- und Modulupdates zu einer Freigabe im Netzwerk speichern. Clients können dann das Netzwerk, um die Installation der Updates zugreifen.

Sie können mehrere Definition-updatequellen konfigurieren und steuern die Reihenfolge, in der sie bewertet und angewendet werden. Dies erfolgt der Definition Update-Quelle konfigurieren (Dialogfeld), wenn Sie eine Richtlinie für Antischadsoftware erstellen.

System_CAPS_importantWichtig

Wenn Sie 10 Technologievorschau des Windows-Computern verwalten, müssen Sie die Endpoint Protection zum Aktualisieren der Malwaredefinitionen für Windows Defender konfigurieren.

So konfigurieren Sie die Definition von Update-Quelle

Verwenden Sie das folgende Verfahren, um die Definition updatequellen, die für jede Richtlinie für Antischadsoftware konfigurieren.

So konfigurieren Sie die Definition von Update-Quelle

  1. Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.

  2. In der Bestand und Kompatibilität Arbeitsbereich, erweitern Sie Endpoint Protection, und klicken Sie dann auf Richtlinien für Antischadsoftware.

  3. Öffnen Sie die Eigenschaftenseite für die Standardrichtlinie für Antischadsoftware oder erstellen Sie eine neue Richtlinie für Antischadsoftware. Weitere Informationen zum Erstellen von Antimalware-Richtlinien finden Sie unter Erstellen und Bereitstellen von Richtlinien für Antischadsoftware für Endpoint Protection in Configuration Manager.

  4. In der Definitionsupdates Abschnitt klicken Sie im Dialogfeld Eigenschaften von Antimalware auf Quelle festgelegt.

  5. In der Definition Update-Quelle konfigurieren Dialogfeld wählen die Quellen für Definitionsupdates verwenden. Klicken Sie auf von oder unten ändern die Reihenfolge, in der folgenden Quellen verwendet werden.

  6. Klicken Sie auf OK zum Schließen der Definition Update-Quelle konfigurieren (Dialogfeld).

Verwenden Configuration Manager-Softwareupdates zum Übermitteln von Definitionsupdates

Sie können konfigurieren, Configuration Manager Softwareupdates zum Übermitteln von Definitionsupdates an Clientcomputer. Dies erfolgt durch Konfigurieren von Regeln zur automatischen Bereitstellung. Bevor Sie beginnen, erstellen Sie Regeln zur automatischen Bereitstellung, stellen Sie sicher, dass Sie konfiguriert haben Configuration Manager von Softwareupdates. Weitere Informationen finden Sie unter Softwareupdates in Configuration Manager.

System_CAPS_noteHinweis

Dieses Verfahren gilt nur für die Elemente, die speziell für konfiguriert werden müssen Endpoint Protection. Weitere Informationen zum Assistenten zum Erstellen automatischer Bereitstellungsregeln finden Sie unter Vorgänge und Wartungstasks für Softwareupdates in Configuration Manager.

So konfigurieren Sie eine automatische Bereitstellungsregel zum Übermitteln von Definitionsupdates

  1. Klicken Sie in der Configuration Manager-Konsole auf Softwarebibliothek.

  2. Erweitern Sie im Arbeitsbereich Softwarebibliothek den Bereich Softwareupdates, und klicken Sie dann auf Automatische Bereitstellungsregeln.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Automatische Bereitstellungsregel erstellen.

  4. Geben Sie im Assistenten zum Erstellen automatischer Bereitstellungsregeln auf der Seite Allgemein die folgenden Informationen an:

    - **Name**: Geben Sie einen eindeutigen Namen für die automatische Bereitstellungsregel ein.

- **Sammlung**: Wählen Sie die Sammlung von Clientcomputern aus, für die die Definitionsupdates bereitgestellt werden sollen.

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>Es können keine Definitionsupdates für Benutzersammlungen bereitgestellt werden.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

  5. Klicken Sie auf Zu einer vorhandenen Softwareupdategruppe hinzufügen.

  6. Stellen Sie sicher, dass die Bereitstellung nach Ausführung dieser Regel aktivieren Kontrollkästchen ausgewählt ist, und klicken Sie dann auf Weiter.

  7. Wählen Sie im Assistenten auf der Seite Bereitstellungseinstellungen in der Liste DetailstufeMinimal aus, und klicken Sie dann auf Weiter.

    System_CAPS_noteHinweis

    Aus der Detailstufe Liste minimale (Configuration Manager ohne Service Pack) oder nur Fehlermeldungen (Configuration Manager SP1). Dies reduziert die Anzahl der Status-Nachrichten definitionsbereitstellung zurückgegeben werden. Durch diese Konfiguration wird die Prozessorauslastung des Configuration Manager-Servers reduziert.

  8. Aktivieren Sie in der Liste Eigenschaftsfilter das Kontrollkästchen Updateklassifizierung.

  9. In der Suchkriterien auf < zu suchende Elemente >. Klicken Sie auf die Suchkriterien Dialogfeld die zur Angabe des zu suchenden Liste Definitionsupdates.

  10. Klicken Sie auf OK, um das Dialogfeld Suchkriterien zu schließen.

  11. In der Eigenschaftsfilter Liste der Produkt Kontrollkästchen.

  12. In der Suchkriterien auf < zu suchende Elemente >. Klicken Sie auf die Suchkriterien Dialogfeld die zur Angabe des zu suchenden Liste Forefront Endpoint Protection 2010 für Windows 8.1 und früher oder Windows Defender für Windows 10 oder höher.

  13. Klicken Sie auf OK, um das Dialogfeld Suchkriterien zu schließen, und dann auf Weiter.

  14. In der Eigenschaftsfilter Liste der abgelöst Kontrollkästchen.

  15. In der Suchkriterien auf < zu suchende Elemente >. Klicken Sie auf die Suchkriterien Dialogfeld die zur Angabe des zu suchenden Liste Nr..

  16. Klicken Sie auf OK, um das Dialogfeld Suchkriterien zu schließen, und dann auf Weiter.

  17. Auf der Zeitplan wählen Sie im Assistenten auf der Seite Enable-Rule nach einem Zeitplan ausführen, und konfigurieren Sie den Zeitplan, um Definitionsupdates herunterladen. Legen Sie mindestens zwei Stunden nach der letzten Synchronisierung des jedes Softwareupdate ausführen die Regel. Klicken Sie auf Weiter.

    System_CAPS_importantWichtig

    Aus Gründen der Leistung in Configuration Manager ohne Service Pack nicht planen Regeln zur automatischen Bereitstellung zum Übermitteln von Definitionsupdates mehr als einmal täglich. In Configuration Manager SP1 nicht zum Übermitteln von Definitionsupdates mehr als dreimal täglich Regeln zur automatischen Bereitstellung planen.

  18. Konfigurieren Sie im Assistenten auf der Seite Bereitstellungszeitplan die folgenden Einstellungen:

    • Zeit basiert auf: Wählen Sie UTC aus, wenn die aktuellsten Definitionen von allen Clients in der Hierarchie zur selben Zeit installiert werden sollen. Zum Zeitpunkt der tatsächlichen Installation variiert innerhalb eines Fensters von zwei Stunden. Diese Einstellung ist eine empfohlene bewährte Methode.

    • Zeitpunkt der Verfügbarkeit der Software: Geben Sie die verfügbare Zeit für die Bereitstellung, die von dieser Regel erstellt wird. Die angegebene Zeit muss mindestens eine Stunde nach der Ausführung der Regel für die automatische Bereitstellung. Dadurch wird sichergestellt, dass der Inhalt ausreichend Zeit auf die Verteilungspunkte in Ihrer Hierarchie repliziert hat. In einigen Definitionsupdates können auch Updates für Antischadsoftware-Engines enthalten sein, für die zum Erreichen der Verteilungspunkte mehr Zeit erforderlich sein kann.

    • Installationsstichtag: Wählen Sie so bald wie möglich.

      System_CAPS_noteHinweis

      Softwareupdatefristen werden über einen Zeitraum von zwei Stunden verhindern, dass alle Clients ein Update zur selben Zeit angefordert variiert.

  19. Klicken Sie auf Weiter.

  20. Auf der Benutzerfunktionalität Seite des Assistenten in der benutzerbenachrichtigungen Liste in Software Center und allen Benachrichtigungen ausblenden. Dadurch wird sichergestellt, dass die Definitionsupdates im Hintergrund installiert. Klicken Sie auf Weiter.

  21. Auf der Warnungen Seite des Assistenten, Sie müssen keine Warnungen konfigurieren.Endpoint Protection in Configuration Manager Alle Warnungen generiert, die möglicherweise erforderlich. Klicken Sie auf Weiter.

  22. Auf der Downloadeinstellungen Seite des Assistenten wählen Sie die erforderlichen Softwareupdates Downloadverhalten, und klicken Sie dann auf Weiter.

  23. Wählen Sie im Assistenten auf der Seite Bereitstellungspaket ein bestehendes Bereitstellungspaket aus, oder erstellen Sie ein neues, in dem die der Regel zugeordneten Softwareupdatedateien enthalten sein werden.

    System_CAPS_noteHinweis

    Sollten Sie Definitionsupdates in einem Paket, das keine anderen Softwareupdates enthält. Diese Strategie verfolgt die Größe des Definition Updatepakets kleiner, schneller Verteilungspunkten replizieren kann.

  24. Auf der Verteilungspunkte Seite Assistenten, wählen einen oder mehrere Verteilungspunkte, der der Inhalt für dieses Paket kopiert werden, und klicken Sie dann auf Weiter.

  25. Auf der Downloadpfad wählen Sie im Assistenten auf der Seite Softwareupdates aus dem Internet herunterladen, und klicken Sie dann auf Weiter.

  26. Auf der Sprachauswahl Seite des Assistenten wählen Sie jede Sprachversion der Updates heruntergeladen werden, und klicken Sie auf Weiter.

  27. Schließen Sie den Assistenten zum Erstellen automatischer Bereitstellungsregeln ab.

  28. Stellen Sie sicher, dass die neue Regel, in angezeigt wird der Regeln für die automatische Bereitstellung Knoten der Configuration Manager Konsole.

Mit Windows Serverupdate Services (WSUS) zum Übermitteln von Definitionen

Wenn Sie WSUS verwenden, um die Antimalwaredefinitionen auf dem neuesten Stand zu halten, können Sie es für die Definitionsupdates automatische Genehmigung konfigurieren. Obwohl mit Configuration Manager Software-Updates ist die empfohlene Methode, Definitionen auf dem neuesten Stand zu halten, können Sie auch die WSUS konfigurieren, als eine Methode, um Benutzer aktualisiert Definition manuell initiieren können. Verwenden Sie die folgenden Verfahren zum Konfigurieren von WSUS als eine definitionsupdatequelle.

Konfigurieren der Updatesynchronisierung

So konfigurieren Sie Configuration Manager Softwareupdates synchronisieren Endpoint Protection Definitionsupdates, gehen Sie folgendermaßen vor.

Synchronisieren von Definitionsupdates für Endpoint Protection in Configuration Manager

  1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Bereich Standortkonfiguration, und klicken Sie dann auf Standorte.

  3. Wählen Sie die Website, die den Softwareupdatepunkt enthält. In der Settings auf Standortkomponenten konfigurieren, und klicken Sie dann auf Softwareupdatepunkt.

  4. Auf der Klassifikationen auf der Registerkarte die Eigenschaften von Softwareupdatepunkt-Komponente wählen Sie im Dialogfeld die Definitionsupdates Kontrollkästchen.

  5. Geben Sie die Produkte mit WSUS aktualisiert:

    - Für Windows 8.1 und früher, auf die **Produkte** auf der Registerkarte die **Eigenschaften von Softwareupdatepunkt-Komponente** wählen Sie im Dialogfeld die **Forefront Endpoint Protection 2010** Kontrollkästchen.

- Für Windows 10 und höher, auf dem **Produkte** auf der Registerkarte die **Eigenschaften von Softwareupdatepunkt-Komponente** wählen Sie im Dialogfeld die **Windows Defender** und **Windows Technical Preview 2** Kontrollkästchen.

  6. Klicken Sie auf OK, um das Dialogfeld Eigenschaften von Softwareupdatepunkt-Komponente zu schließen.

Mithilfe des folgenden Verfahrens konfigurieren Endpoint Protection aktualisiert, wenn der WSUS-Server nicht integriert ist Ihre Configuration Manager Umgebung.

Endpoint Protection-Definitionsupdates in eigenständigen WSUS synchronisieren

  1. Erweitern Sie in der WSUS-Verwaltungskonsole Computer, klicken Sie auf Optionen, und klicken Sie dann auf Produkte und Klassifikationen.

  2. Geben Sie die Produkte mit WSUS aktualisiert:

    - Für Windows 8.1 und früher, auf die **Produkte** auf der Registerkarte die **Eigenschaften von Softwareupdatepunkt-Komponente** wählen Sie im Dialogfeld die **Forefront Endpoint Protection 2010** Kontrollkästchen.

- Für Windows 10 und höher, auf dem **Produkte** auf der Registerkarte die **Eigenschaften von Softwareupdatepunkt-Komponente** wählen Sie im Dialogfeld die **Windows Defender** und **Windows Technical Preview 2** Kontrollkästchen.

  3. Auf der Klassifikationen auf der Registerkarte die Produkte und Klassifikationen wählen Sie im Dialogfeld die Definitionsupdates und Updates Kontrollkästchen.

Genehmigen von Definitionsupdates

Endpoint Protection Definitionsupdates genehmigt und auf den WSUS-Server heruntergeladen werden, bevor sie Clients angeboten werden, die die Liste der verfügbaren Updates anfordern. Clients eine Verbindung zum WSUS-Server nach anwendbaren Updates suchen und fordern dann die aktuellen Definitionsupdates für genehmigte herstellen.

Definitionen und WSUS-Updates genehmigen

  1. Klicken Sie in der WSUS-Verwaltungskonsole auf Updates, und klicken Sie dann auf alle Updates oder die Klassifizierung der Updates, die Sie genehmigen möchten.

  2. In der Liste der Updates, mit der Maustaste das Update oder die Updates zu genehmigen, die für die Installation, und klicken Sie dann auf Genehmigen.

  3. In der Updates genehmigen Dialogfeld wählen die Computergruppe für den sollen Genehmigen der Updates aus, und klicken Sie dann auf für die Installation genehmigt.

Zusätzlich zur manuellen Genehmigung können Sie auch eine Regel automatische Genehmigung für Definitionsupdates festlegen und Endpoint Protection Updates. Dadurch wird auch WSUS für die automatische Genehmigung konfiguriert Endpoint Protection Definitionsupdates Herunterladen von WSUS.

So konfigurieren Sie eine Regel für die automatische Genehmigung

  1. Klicken Sie in der WSUS-Verwaltungskonsole auf Optionen, und klicken Sie dann auf Automatische Genehmigungen.

  2. Auf der Aktualisierungsregeln auf neue Regel.

  3. In der Regel hinzufügen Dialogfeld unter Schritt 1: Wählen Sie Eigenschaften, wählen die Wenn ein Update einer bestimmten Klassifizierung ist Kontrollkästchen.

  4. Klicken Sie unter Schritt 2: Bearbeiten Sie die Eigenschaften, klicken Sie auf Klassifizierung.

  5. Deaktivieren Sie alle Kontrollkästchen außer Definitionsupdates, und klicken Sie dann auf OK.

  6. In der Regel hinzufügen Dialogfeld unter Schritt 1: Wählen Sie Eigenschaften, wählen die Wenn ein Update in einem bestimmten Produkt ist Kontrollkästchen.

  7. Klicken Sie unter Schritt 2: Bearbeiten Sie die Eigenschaften, klicken Sie auf produktabweichungen.

  8. Deaktivieren Sie alle Kontrollkästchen außer Forefront Endpoint Protection für Windows 8.1 und früher oder Windows Defender für Windows, die 10 und höher, und klicken Sie dann auf OK.

  9. Klicken Sie unter Schritt 3: Geben Sie einen Namen, geben Sie einen Namen für die Regel ein, und klicken Sie dann auf OK.

  10. In der Automatische Genehmigungen wählen Sie im Dialogfeld das Kontrollkästchen für die neu erstellte Regel und anschließend auf Regel.

System_CAPS_noteHinweis

Maximieren der Leistung auf dem WSUS-Server und Clientcomputer, die alte Definition ablehnen aktualisiert. Um diese Aufgabe auszuführen, können Sie die automatischen Genehmigung von Revisionen und automatische Ablehnen des abgelaufenen Updates konfigurieren. Weitere Informationen finden Sie unter Microsoft Knowledge Base-Artikel 938947.

Verwenden von Microsoft Update Definitionen herunterladen

Bei der Auswahl Definitionsupdates werden von Microsoft Update herunterladen, werden Clients die Microsoft Update-Website in definierten Intervallen überprüfen die Definitionsupdates Abschnitt des Dialogfelds Antimalware-Richtlinie.

Diese Methode kann nützlich sein, wenn der Client keine Verbindung mit dem Configuration Manager Standort sowie für die Benutzer Definitionsupdates initiieren können.

System_CAPS_importantWichtig

Clients benötigen Zugriff auf Microsoft Update im Internet, um diese Methode verwenden, um Definitionsupdates herunterladen zu können.

Verwenden das Microsoft Malware Protection Center Definitionen herunterladen

Konfigurieren Sie Clients für die Aktualisierung von Microsoft Malware Protection Center herunterladen. Diese Option wird verwendet, indem Endpoint Protection Clients Definitionsupdates herunterladen, wenn sie nicht mehr zum Herunterladen von Updates aus einer anderen Quelle wurden. Diese Aktualisierungsmethode kann nützlich sein, wenn ein Problem mit Ihrer Configuration Manager Infrastruktur, die die Bereitstellung von Updates verhindert.

System_CAPS_importantWichtig

Clients benötigen Zugriff auf Microsoft Update im Internet in der Lage sein, die diese Methode verwenden, um Definitionsupdates herunterladen.

Definitionen werden von einer Netzwerkfreigabe heruntergeladen.

Sie können manuell von Microsoft Herunterladen der aktuellen Definitionsupdates und konfigurieren Sie Clients laden diese Definitionen aus einem freigegebenen Ordner im Netzwerk. Benutzer können auch initiieren Definitionsupdates bei Verwendung dieser Quelle aktualisieren.

System_CAPS_noteHinweis

Clients benötigen Lesezugriff auf den freigegebenen Ordner, um Definitionsupdates herunterladen zu können.

Weitere Informationen zum Herunterladen der Updates Definitions- und Modulupdates auf die Dateifreigabe speichern, finden Sie unter Installieren Sie die aktuellen Definitionsupdates für Microsoft Forefront Security.

So konfigurieren Sie die von definitionsdownloads aus einer Dateifreigabe

  1. Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.

  2. In der Bestand und Kompatibilität Arbeitsbereich, erweitern Sie Endpoint Protection, und klicken Sie dann auf Richtlinien für Antischadsoftware.

  3. Öffnen Sie die Eigenschaftenseite für die Standardrichtlinie für Antischadsoftware oder erstellen Sie eine neue Richtlinie für Antischadsoftware. Weitere Informationen zum Erstellen von Antimalware-Richtlinien finden Sie unter Erstellen und Bereitstellen von Richtlinien für Antischadsoftware für Endpoint Protection in Configuration Manager.

  4. In der Definitionsupdates Abschnitt klicken Sie im Dialogfeld Eigenschaften von Antimalware auf Quelle festgelegt.

  5. In der Definition Update-Quelle konfigurieren wählen Sie im Dialogfeld Updates von UNC-Dateifreigaben.

  6. Klicken Sie auf OK zum Schließen der Definition Update-Quelle konfigurieren (Dialogfeld).

  7. Klicken Sie auf Pfade festlegen. Klicken Sie auf die Definition Update UNC-Pfade konfigurieren Dialogfeld hinzu, eine oder mehrere UNC-Pfade auf den Speicherort der Definition der Dateien auf einer Netzwerkfreigabe aktualisiert.

  8. Klicken Sie auf OK zum Schließen der Definition Update UNC-Pfade konfigurieren (Dialogfeld).