Microsoft Defender: Updates für Viren-Signaturen über Gruppenrichtlinien und PowerShell steuern

Private Anwender und kleinere Umgebungen fahren damit in der Regel gut. Sie erhalten auf diesem Weg die neuen Viren­definitionen am schnellsten, die Update-Intervalle sind dort kürzer als etwa bei WSUS. Wenn man bei Letzteren keine automatische Genehmigung für die Signaturen eingerichtet hat, dann können durch die manuelle Freigabe zusätzliche Verzögerungen entstehen.

Wechselnde Update-Quellen in komplexen Umgebungen

In Unternehmen mit einem großen Netzwerk, mehreren Niederlassungen oder mobilen Mitarbeitern können die Anforderungen jedoch ein differenziertes Management der Defender-Updates verlangen.

So mag es etwa wünschenswert sein, die Viren­signaturen im LAN von den WSUS zu beziehen. Wenn sich Mitarbeiter jedoch länger auswärts aufhalten, dann sollte Defender die Definitionen von Microsoft Update holen.

Denkbar sind auch Konstellationen, wo Rechner keinen Zugang zum Internet haben und zudem kein WSUS-Server verfügbar ist. In diesem Fall wäre es ideal, wenn die Updates von einer Netzfreigabe kommen könnten.

Quellen mit unterschiedlicher Priorität

Eine solche Konfiguration, bei der Defender der Reihe nach verschiedene Quellen kontaktiert, wenn die bevorzugten nicht erreichbar sind, lässt sich über die Signature Fallback Order abbilden.

Sie unterstützt als Quellen WSUS (InternalDefinition­UpdateServer), Microsoft Update (MicrosoftUpdateServer), Netzfreigaben (FileShares) sowie Security Intelligence Updates and Platform Updates for Microsoft Defender Antivirus (MMPC).

Ihre Priorität bestimmt sich durch die Reihenfolge, die man über folgende Syntax festlegt:

InternalDefinition­UpdateServer | MicrosoftUpdateServer | FileShares | MMPC

In diesem Beispiel kämen die WSUS zuerst zum Zug, dann Microsoft Update, die Netzfreigaben und schließlich MMPC.

Konfiguration über PowerShell

Mittels PowerShell kann man sich im ersten Schritt die aktuelle Konfiguration für Signatur-Updates anzeigen lassen:

Get-MpPreference | select SignatureFallbackOrder

Standardmäßig erhält man

MicrosoftUpdateServer | MMPC

als Ergebnis.

Um diese Einstellung zu ändern, geht man nach diesem Muster vor:

Set-MpPreference -SignatureFallbackOrder `
"InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC"

Fallback-Order über Gruppenrichtlinien festlegen

Die Einstellung für diesen Zweck findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Microsoft Defender Antivirus => Aktualisierung der Sicherheits­informationen.

Sie heißt Reihenfolge der Quellen für das Herunterladen von Updates der Sicherheits­informationen festlegen ("Define the order of sources for downloading security intelligence updates").

Wenn man diese aktiviert, kann man die Quellen wie gehabt in das Eingabefeld übernehmen.

Die Gruppenrichtlinien kennen dazu eine ergänzende Einstellung, mit der Microsoft Update als Quelle für mobile Geräte zugelassen werden soll, wenn ein interner Update-Server nicht verfügbar ist.

Sie heißt Updates der Sicherheitsinformationen von Microsoft Update zulassen ("Allow security intelligence updates from Microsoft Update").

Unklar ist jedoch, wann man Microsoft Update explizit zulassen muss. Die Dokumentation spricht davon, dass dies dann notwendig sei, wenn "Sie WSUS so festgelegt haben, dass Microsoft Update außer Kraft gesetzt wird".

Pfad zu Download-Verzeichnis festlegen

Sollen Rechner ihre Definitions-Updates von einer Netzfreigabe beziehen, dann muss man diese separat konfigurieren. Dabei ist es möglich, die UNC-Pfade für mehrere Verzeichnisse anzugeben, und zwar wieder in der oben beschriebenen Syntax:

\\server1\fileshare | \\server2\fileshare

Mit PowerShell kann man auch hier den aktuellen Status einfach abfragen:

Get-MpPreference |
select -Property SignatureDefinitionUpdateFileSharesSources

Standardmäßig sind keine Verzeichnisse hinterlegt. Um solche zu definieren, setzt man einen Befehl nach diesem Muster ab:

Set-MpPreference -SignatureDefinitionUpdateFileSharesSources `
"\\server1\fileshare | \\server2\fileshare"

Wenn man diese Einstellung wieder zurücksetzen möchte, dann führt man dieses Kommando aus:

Remove-MpPreference -SignatureDefinitionUpdateFileSharesSources

Bevorzugt man für diese Aufgabe die Gruppen­richtlinien, dann findet sich die zuständige Einstellung ebenfalls im Ordner Aktualisierung der Sicherheits­informationen und heißt Dateifreigaben für das Herunterladen von Updates der Sicherheitsinformationen festlegen ("Define file shares for downloading security intelligence updates").

Dort kann man ebenfalls mehrere Pfade eingeben, die man mittels '|' voneinander trennt.

Aktualisierung über mobile Netzwerke

Um sicherzustellen, dass Geräte auch dann aktuelle Signaturen erhalten, wenn sie längere Zeit über mobile Netze mit dem Internet verbunden sind, kann man den Download über getaktete Verbindungen zulassen.

In PowerShell verwendet man dafür folgenden Befehl:

Set-MpPreference -MeteredConnectionUpdates $true

Das Pendant dazu in den Gruppen­richtlinien lautet Ermöglicht Microsoft Defender das Aktualisieren und Kommunizieren über eine getaktete Verbindung ("Allows Microsoft Defender Antivirus to update and communicate over a metered connection").

Zusammenfassung

Obwohl es sich bei Microsoft Defender um eine integrierte Komponente von Windows handelt, folgt sie beim Download der Viren-Signaturen einer eigenen Logik. Standardmäßig kommen die Definitionen von Microsoft Update, auch wenn der PC als Client für WSUS konfiguriert ist.

Es besteht jedoch die Möglichkeit, mehrere Quellen in der Reihenfolge ihrer Priorität anzugeben. Ist eine nicht erreichbar, wendet sich Defender an die nächste in der Pipeline. Für Systeme ohne Zugriff auf das Internet kann man die Signaturen auf Fileshares ablegen und diese über PowerShell oder GPO als Quelle eintragen.