Table of contents
TOC
折叠目录
展开目录

在 Windows 10 中配置 Windows Defender

Jasmine|上次更新日期: 2016/12/2
|
1 参与者

适用于

  • Windows 10

你可以通过 Microsoft Active Directory 和 Windows Server Update Services (WSUS) 在 Windows 10 的 Windows Defender 中配置定义更新和基于云的保护。

你还可以启用和配置 Microsoft 主动保护服务以确保终结点受到基于云的保护技术的保护。

配置定义更新

定期更新定义以确保你的终结点受到保护很重要。 可配置定义更新来满足组织的要求。

Windows Defender 支持相同的更新选项(例如使用多个定义源)作为其他 Microsoft Endpoint Protection 产品;有关详细信息,请参阅配置定义更新

当你在 Windows Defender 中配置多个定义源时,你可以通过组策略设置使用以下值配置回调顺序:

请阅读文章 Windows Defender 组策略管理模板设置的说明中有关为 Windows Defender 部署管理模板文件的信息。

你还可以通过 System Center Configuration Manager 来管理你的 Windows Defender 更新配置设置。 有关详细信息,请参阅如何在配置管理器中为 Endpoint Protection 配置定义更新

定义更新逻辑

你可以使用四种方法更新 Windows Defender 定义,具体取决于你的业务要求:

  • WSUS,托管服务器。 你可以管理通过 Microsoft 更新发布到企业环境中计算机的更新的分发;可在 Windows Server Update Services 网站上阅读详细信息。
  • Microsoft 更新,非托管服务器。 你可以使用此方法从 Microsoft 更新获取定期更新。
  • Microsoft 恶意软件防护中心定义页,作为备用下载位置。 如果你希望下载最新的定义,你可以使用此方法。
  • 文件共享,其中下载定义程序包。 你可以从文件共享检索定义更新。 必须使用更新文件定期预配文件共享。

通过 Active Directory 和 WSUS 更新 Windows Defender 定义

本部分详细介绍了如何通过 Active Directory 和 WSUS 为 Windows 10 终结点更新 Windows Defender 定义。

方法说明

WSUS

请参阅同样适用于 Windows Defender 的配置定义更新主题中的软件更新和 Windows Server Update Services 定义更新

Microsoft 更新

设置以下回调顺序 组策略 来启用 Microsoft 更新:

  1. 打开“组策略编辑器”
  2. 在“本地计算机策略” 树中,依次展开“计算机配置” 、“管理模板” 、“Windows 组件” 和“Windows Defender”
  3. 单击“签名更新”
  4. 双击“定义下载定义更新的源的顺序”

    这将打开“定义下载定义更新的源的顺序”窗口:

  5. 单击“启用”
  6. 在“选项” 窗格中,定义以下 组策略 来启用 Microsoft 更新:

    {MicrosoftUpdateServer}

    "Define the order of sources for downloading definition updates" field

  7. 单击“确定”

    窗口将自动关闭。

Microsoft 恶意软件防护中心定义页

设置以下回调顺序 组策略 来启用 Windows Defender 下载更新的签名:

  1. 打开“组策略编辑器”
  2. 在“本地计算机策略” 树中,依次展开“计算机配置” 、“管理模板” 、“Windows 组件” 和“Windows Defender”
  3. 单击“签名更新”
  4. 双击“定义下载定义更新的源的顺序”

    这将打开“定义下载定义更新的源的顺序”窗口:

  5. 单击“启用”
  6. 在“选项” 窗格中,定义以下 组策略 来启用 Windows Defender 下载更新的签名:

    {MMPC}

    "Define the order of sources for downloading definition updates" field

  7. 单击“确定”

    窗口将自动关闭。

文件共享

  1. 打开“组策略编辑器”
  2. 在“本地计算机策略” 树中,依次展开“计算机配置” 、“管理模板” 、“Windows 组件” 和“Windows Defender”
  3. 单击“签名更新”
  4. 双击“定义用于下载定义更新的源的顺序

    这将打开“定义用于下载定义更新的源的顺序” 窗口:

  5. 单击“启用”
  6. 在“选项” 窗格中,定义以下 组策略 来启用 Windows Defender 下载更新的签名:

    {FileShares}

    "Define the order of sources for downloading definition updates" field

  7. 单击“确定”

    窗口将自动关闭。

  8. 双击“定义用于下载定义更新的文件共享”

    这将打开“定义用于下载定义更新的文件共享”窗口:

  9. 单击“启用”
  10. 在“选项”窗格中,定义以下组策略来指定通用命名约定 (UNC) 共享来源:

    {\unc1\unc2} -,其中你将 [unc] 定义为 UNC 共享。

    "Define the file shares for downloading definition updates" field

  11. 单击“确定”

    窗口将自动关闭。

管理基于云的保护

Windows Defender 使用 Microsoft 主动保护服务提供经改进的基于云的保护和终结点保护客户端的威胁智能。 阅读加入 Microsoft 主动保护服务社区中有关 Microsoft 主动保护服务社区的详细信息。

你可以使用组策略设置和管理模板文件启用或禁用 Microsoft 主动保护服务。

Windows Defender 组策略管理模板设置的说明文章中提供了有关为 Windows Defender 部署管理模板文件的详细信息。

可以使用以下组策略设置配置 Microsoft 主动保护服务:

  1. 打开“组策略编辑器”****。
  2. 在“本地计算机策略”*树中,依次展开“计算机配置”、“管理模板”、“Windows 组件”和“Windows Defender”***。
  3. 单击“MAPS”****。
  4. 双击“加入 Microsoft MAPS”****。
  5. 从“加入 Microsoft MAPS”****列表中选择你的配置选项。

    注意: 在终结点上修改的任何设置都可以由管理员的策略设置覆盖。

使用 Windowsdefender.adm 组策略模板文件为 Windows 10 中的 Windows Defender 控制策略设置:

策略设置:配置 Microsoft SpyNet 报告

注册表项名称:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SpyNetReporting

策略说明:调整 Microsoft 主动保护服务中的成员身份

你还可以使用以下 PowerShell 参数配置首选项:

  • 关闭 Microsoft 主动保护服务:Set-MpPreference -MAPSReporting 0
  • 打开 Microsoft 主动保护服务:Set-MpPreference -MAPSReporting 2

在以下位置阅读相关详细信息:

注意: Windows Defender 所收集的任何信息都会在传输到我们的服务器时进行加密,然后存储在安全的设备中。 Microsoft 采用几个步骤来避免收集任何直接标识你的信息,例如你的姓名、电子邮件地址或帐户 ID。

阅读为 Windows 10 服务设置首选项中有关如何管理你的隐私设置的详细信息。

选择加入 Microsoft 更新

使用 Microsoft 更新,可使运行 Windows 10 中的 Windows Defender 的移动计算机在未连接到公司网络时其上的定义也能保持最新状态。 如果移动计算机不具有 Windows Server Update Service (WSUS) 连接,Microsoft 更新仍然会提供签名。 这意味着签名可以向下推送(通过 Microsoft 更新),即使 WSUS 替代 Windows 更新也是如此。

在从 Microsoft 更新检索定义更新之前,你需要在移动计算机上选择加入 Microsoft 更新。

可以通过两种方式选择加入适用于 Windows 10 的 Windows Defender 中的 Microsoft 更新:

  1. 使用 VBScript 来创建脚本,然后在网络中的每台计算机上运行它。
  2. 可通过“设置”****菜单手动选择加入网络上的每台计算机。

你可以创建 VBScript 并在网络中的每台计算机上运行它;这是选择加入 Microsoft 更新的一个有效方式。

使用 VBScript 选择加入 Microsoft 更新

  1. 使用 MSDN 文章 选择加入 Microsoft 更新 中的说明来创建 VBScript。
  2. 在网络中的每台计算机上运行已创建的 VBScript。

可通过手动选择加入网络中的每台计算机来接收 Microsoft 更新。

手动选择加入 Microsoft 更新

  1. 在要选择加入的计算机上打开“更新和安全”*设置中的“Windows 更新”*。
  2. 单击“高级”****选项。
  3. 选中“更新 Windows 时提供其他 Microsoft 产品的更新”****复选框。

计划 Microsoft 更新的更新

选择加入 Microsoft 更新即表示你的系统管理员可以计划你的移动计算机的更新,这样一来,即使在旅途中也可使你的计算机保持最新,并具有最新的软件版本和安全定义。

有关计划更新的详细信息,请参阅配置定义更新

相关主题

© 2017 Microsoft