• 發行項

如何設定端點保護在中定義更新

 

適用於: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

與 Endpoint Protection 中 Microsoft System Center 2012 Configuration Manager, ,您可以使用任何一種可用的方法來保持反惡意程式碼定義用戶端電腦上您的階層中。 本主題中的資訊可協助您選取及設定這些方法。

若要更新反惡意程式碼定義,您可以使用一或多個下列方法:

  • 從發佈更新 Configuration Manager – 這個方法會使用 Configuration Manager 將定義和引擎的更新提供給您的階層中的電腦的軟體更新。

  • 更新分散式從 Windows Server Update Services (WSUS) – 此方法使用 WSUS 基礎結構為電腦提供定義和引擎的更新。

  • 從 Microsoft Update – 分散式更新此方法可讓電腦與 Microsoft Update 直接連線才能下載定義和引擎的更新。 這個方法可用於不會經常連接到公司網路的電腦。

  • 更新分散式 Microsoft 惡意程式碼防護中心 – 從這個方法會從 Microsoft 惡意程式碼防護中心下載程式碼定義更新。

  • 更新從 UNC 檔案共用 – 使用此方法,您可以儲存的最新的定義和引擎更新到共用網路上。 用戶端可以存取網路安裝的更新。

您可以設定多個定義更新來源及控制它們的評估和套用的順序。 這是 設定定義更新來源 當您建立反惡意程式碼原則] 對話方塊。

System_CAPS_important重要事項

如果您管理 Windows 10 技術預覽電腦,您必須設定來更新 Windows Defender 的惡意程式碼定義的端點保護。

如何設定定義更新來源

您可以使用下列程序來設定要用於反惡意程式碼中的每個原則的定義更新來源。

若要設定定義更新來源

  1. 在 Configuration Manager 主控台中,按一下 資產與相容性

  2. 資產與相容性 工作區中,展開 Endpoint Protection, ,然後按一下 反惡意程式碼原則

  3. 開啟 [屬性] 頁面 預設反惡意程式碼原則 或建立新的反惡意程式碼原則。 如需有關如何建立反惡意程式碼原則的詳細資訊,請參閱 如何建立和部署針對 Endpoint Protection Configuration Manager 中的反惡意程式碼原則

  4. 定義更新檔 區段的反惡意程式碼屬性] 對話方塊中,按一下 設定來源

  5. 設定定義更新來源 ] 對話方塊中,選取要用於定義更新來源。 您可以按一下 向上 來修改這些來源所使用的順序。

  6. 按一下 確定 關閉 設定定義更新來源 對話方塊。

使用 Configuration Manager 軟體更新傳遞定義更新檔

您可以設定 Configuration Manager 將傳遞至用戶端電腦的程式碼定義更新的軟體更新。 這是藉由設定自動部署規則。 開始建立自動部署規則之前,請確定您已設定 Configuration Manager 軟體更新。 如需詳細資訊,請參閱Configuration Manager 中的軟體更新

System_CAPS_note注意事項

此程序只是必須明確地設定為項目 Endpoint Protection。 如需有關建立自動部署規則精靈] 的詳細資訊,請參閱 在 Configuration Manager 中進行軟體更新的操作和維護

若要設定自動部署規則來傳遞定義更新

  1. 在 Configuration Manager 主控台中,按一下 軟體程式庫

  2. 軟體程式庫 工作區中,展開 軟體更新, ,然後按一下 自動部署規則

  3. 在 [首頁] 索引標籤的 [建立] 群組中,按一下 [建立自動部署規則]。

  4. 一般 頁面 建立自動部署規則精靈, ,指定下列資訊:

    - **名稱**:輸入自動部署規則的唯一名稱。

- **集合**:選取您要部署定義更新的用戶端電腦的集合。

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>您無法將定義更新部署到使用者的集合。</p></td>
  </tr>
  </tbody>
  </table>

  </div>

  5. 按一下 加入至現有的軟體更新群組

  6. 請確定 執行這項規則之後啟用部署 核取方塊已選取,並再按 下一步

  7. 部署設定 精靈頁面中 詳細層級 清單中選取 最少, ,然後按一下 下一步

    System_CAPS_note注意事項

    詳細層級 清單中選取 最少 (Configuration Manager 不含 Service Pack) 或 只有錯誤訊息 (Configuration Manager SP1)。 這樣會減少定義部署所傳回的狀態訊息數目。 這種組態有助於減少 CPU 處理能力使用量 Configuration Manager 伺服器。

  8. 內容篩選器 清單中選取 更新分類 核取方塊。

  9. 搜尋準則 清單中,按一下 < 要尋找的項目 >。 然後在 搜尋準則 對話方塊 指定要搜尋的值 清單中選取 定義更新檔

  10. 按一下 確定 關閉 搜尋準則 對話方塊。

  11. 內容篩選器 清單中選取 產品 核取方塊。

  12. 搜尋準則 清單中,按一下 < 要尋找的項目 >。 然後在 搜尋準則 對話方塊 指定要搜尋的值 清單中選取 Forefront Endpoint Protection 2010 Windows 8.1 或更早版本或 Windows Defender Windows 10 和更新版本。

  13. 按一下 確定 關閉 搜尋準則 ] 對話方塊中,然後按一下 下一步

  14. 內容篩選器 清單中選取 Superseded 核取方塊。

  15. 搜尋準則 清單中,按一下 < 要尋找的項目 >。 然後在 搜尋準則 對話方塊 指定要搜尋的值 清單中選取

  16. 按一下 確定 關閉 搜尋準則 ] 對話方塊中,然後按一下 下一步

  17. 評估排程 精靈選取的頁面 依排程執行的規則啟用, ,,然後設定用來下載程式碼定義更新排程。 至少設定每個軟體更新點同步處理之後的兩個小時執行一次的規則。 按一下 [下一步]。

    System_CAPS_important重要事項

    基於效能的考量中 Configuration Manager 不含 Service Pack、 未排程自動部署規則來傳遞定義更新檔每天一次以上。 在 Configuration Manager SP1、 未排程自動部署規則來傳遞定義更新檔一天的三倍以上。

  18. 部署排程 頁面在精靈中設定下列設定:

    • 時間根據:選取 UTC 如果您想要安裝最新的定義在相同的時間階層中的所有用戶端。 實際的安裝時間會在兩小時視窗內而有所不同。 這個設定是建議的最佳作法。

    • 軟體可用時間:指定這個規則所建立的部署可用的時間。 指定的時間必須是至少一個小時之後自動部署規則會執行。 這有助於確保內容有足夠時間複寫至您的階層中的發佈點。 某些定義更新檔也可能包括反惡意程式碼引擎更新可能要花到發佈點。

    • 安裝期限:選取 儘速

      System_CAPS_note注意事項

      軟體更新期限是以防止要求同時更新所有用戶端在兩小時期間內各不相同。

  19. 按一下 [下一步]。

  20. 使用者經驗 精靈頁面中 使用者通知 清單中選取 隱藏在軟體中心和所有通知。 這可確保無訊息安裝定義更新檔。 按一下 [下一步]。

  21. 警示 頁面的精靈,您沒有設定任何警示。Endpoint Protection 在 Configuration Manager 會產生任何可能需要的警示。 按一下 [下一步]。

  22. 下載設定 頁面的精靈、 選取必要的軟體更新下載行為,再按一下 [ 下一步

  23. 部署套件 頁面的精靈選取現有的部署封裝或建立新的部署封裝包含與規則相關聯的軟體更新檔案。

    System_CAPS_note注意事項

    請考慮將程式碼定義更新放在不包含其他軟體更新的封裝中。 此策略會保留定義更新封裝的較小,使其可以複寫到更快速地發佈點的大小。

  24. 發佈點 頁面的精靈、 選取一或多個發佈點的這個封裝的內容將複製然後 下一步

  25. 下載位置 精靈選取的頁面 從網際網路下載軟體更新, ,然後按一下 下一步

  26. 語言選擇 頁面在精靈的選取每個語言版本的更新來下載,然後按一下 下一步

  27. 完成建立自動部署規則精靈 」。

  28. 確認新的規則會顯示在 自動部署規則 節點 Configuration Manager 主控台。

使用 Windows Server Update Services (WSUS) 來傳遞定義

如果您使用 WSUS 來保持最新的反惡意程式碼定義,您可以設定它自動核准定義更新檔。 雖然使用 Configuration Manager 軟體更新將定義保持在最新狀態的建議的方法,您也可以設定 WSUS 做的方法來允許使用者手動起始更新的定義。 您可以使用下列程序將 WSUS 設定為定義更新來源。

設定更新同步處理

若要設定 Configuration Manager 軟體更新同步處理 Endpoint Protection 定義更新檔會使用下列程序。

若要同步處理 Configuration Manager 中的 Endpoint Protection 定義更新

  1. 在 Configuration Manager 主控台中,按一下 管理

  2. 在 [系統管理] 工作區中,展開 [網站設定],然後按一下 [網站]。

  3. 選取包含您的軟體更新點的網站。 在 設定 群組中,按一下 設定網站元件, ,然後按一下 軟體更新點

  4. 分類 ] 索引標籤 軟體更新點元件屬性 對話方塊中選取 定義更新檔 核取方塊。

  5. 指定 產品 wsus 更新:

    - Windows 8.1 及更早版本,在 **產品** \] 索引標籤 **軟體更新點元件屬性** 對話方塊中選取 **Forefront Endpoint Protection 2010** 核取方塊。

- Windows 10 和更新版本上 **產品** \] 索引標籤 **軟體更新點元件屬性** 對話方塊中選取 **Windows Defender** 和 **Windows 技術預覽 2** 核取方塊。

  6. 按一下 確定 關閉 軟體更新點元件屬性 對話方塊。

使用下列程序來設定 Endpoint Protection 時更新 WSUS 伺服器尚未整合至您 Configuration Manager 環境。

若要同步處理中獨立 WSUS 的 Endpoint Protection 定義更新檔

  1. 在 WSUS 管理主控台中展開 電腦, ,按一下 選項, ,然後按一下 產品和分類

  2. 指定 產品 wsus 更新:

    - Windows 8.1 及更早版本,在 **產品** \] 索引標籤 **軟體更新點元件屬性** 對話方塊中選取 **Forefront Endpoint Protection 2010** 核取方塊。

- Windows 10 和更新版本上 **產品** \] 索引標籤 **軟體更新點元件屬性** 對話方塊中選取 **Windows Defender** 和 **Windows 技術預覽 2** 核取方塊。

  3. 分類 ] 索引標籤 產品和分類 對話方塊中選取 定義更新檔更新 核取方塊。

核准定義更新檔

Endpoint Protection 定義更新檔必須核准並下載到 WSUS 伺服器之前將會提供給用戶端要求的可用更新清單。 用戶端連線到 WSUS 伺服器檢查有適用的更新並接著要求最新的已核准的定義更新。

若要定義和 WSUS 中的更新核准

  1. 在 WSUS 管理主控台中按一下 更新, ,然後按一下 所有更新 或您想要核准的更新分類。

  2. 在更新清單中,以滑鼠右鍵按一下更新或更新您要核准安裝,然後按一下 [ 核准

  3. 核准更新 ] 對話方塊中,選取您要核准的更新,然後按一下電腦群組 核准安裝

除了手動核准您也可以設定程式碼定義更新的自動核准規則和 Endpoint Protection 更新。 這會設定為自動核准 WSUS Endpoint Protection 由 WSUS 下載的程式碼定義更新。

若要設定自動核准規則

  1. 在 WSUS 管理主控台中按一下 選項, ,然後按一下 自動核准

  2. 更新規則 索引標籤上按一下 新規則

  3. 加入規則 對話方塊的 [ 步驟 1:選取屬性, 、 選取 有更新時特定分類 核取方塊。

  4. 在下 步驟 2:編輯屬性, ,按一下 任何分類

  5. 清除所有核取方塊以外 定義更新檔, ,然後按一下 確定

  6. 加入規則 對話方塊的 [ 步驟 1:選取屬性, 、 選取 有更新時在特定產品 核取方塊。

  7. 在下 步驟 2:編輯屬性, ,按一下 任何產品

  8. 清除所有核取方塊以外 Forefront Endpoint Protection Windows 8.1 或更早版本或 Windows Defender 為 Windows 10 和更新版本,然後按一下 確定

  9. 在下 步驟 3:指定名稱, 、 輸入規則的名稱,然後按一下 確定

  10. 自動核准 對話方塊中選取核取方塊為新建立的規則,然後按一下 執行規則

System_CAPS_note注意事項

若要在您的 WSUS 伺服器和用戶端電腦上的效能最大化、 拒絕舊的定義更新。 若要完成這項工作中,您可以設定自動核准修訂和自動拒絕的過期的更新。 如需詳細資訊,請參閱 微軟知識庫文件 938947

使用 Microsoft Update 下載定義

當您選擇要從 Microsoft Update 下載定義更新檔時,用戶端會檢查 Microsoft Update 網站中所定義的間隔 定義更新檔 反惡意程式碼原則] 對話方塊中的區段。

當用戶端沒有連線到這個方法就很有用 Configuration Manager 站台或當您想要能夠起始程式碼定義更新的使用者。

System_CAPS_important重要事項

用戶端必須要能夠使用這個方法來下載程式碼定義更新網際網路上存取 Microsoft Update。

若要下載的定義中使用 Microsoft 惡意程式碼防護中心

您可以設定用戶端從 Microsoft 惡意程式碼防護中心下載程式碼定義更新。 此選項由 Endpoint Protection 用戶端如果它們尚無法從其他來源下載更新下載程式碼定義更新。 此更新方法十分有用發生問題時您 Configuration Manager 可防止傳遞更新的基礎結構。

System_CAPS_important重要事項

用戶端必須能夠存取 Microsoft Update 能網際網路上使用這個方法來下載定義更新檔。

從網路共用下載定義

您可以手動從 Microsoft 下載最新的定義更新,然後設定 [用戶端從網路上的共用資料夾下載這些定義。 當您使用這個更新來源使用者也可以啟動定義更新檔。

System_CAPS_note注意事項

用戶端必須要能夠下載定義更新檔共用資料夾的讀取權限。

如需有關如何下載檔案共用上儲存的定義和引擎更新的詳細資訊,請參閱 安裝最新的 Microsoft Forefront Security 定義更新

若要設定從檔案共用的定義檔下載

  1. 在 Configuration Manager 主控台中,按一下 資產與相容性

  2. 資產與相容性 工作區中,展開 Endpoint Protection, ,然後按一下 反惡意程式碼原則

  3. 開啟 [屬性] 頁面 預設反惡意程式碼原則 或建立新的反惡意程式碼原則。 如需有關如何建立反惡意程式碼原則的詳細資訊,請參閱 如何建立和部署針對 Endpoint Protection Configuration Manager 中的反惡意程式碼原則

  4. 定義更新檔 區段的反惡意程式碼屬性] 對話方塊中,按一下 設定來源

  5. 設定定義更新來源 對話方塊中選取 從 UNC 檔案共用更新

  6. 按一下 確定 關閉 設定定義更新來源 對話方塊。

  7. 按一下 設定路徑。 然後在 設定定義更新 UNC 路徑 ] 對話方塊中,新增一或多個定義的位置的 UNC 路徑更新網路共用上的檔案。

  8. 按一下 確定 關閉 設定定義更新 UNC 路徑 對話方塊。