Microsoft Defender: Updates für Viren-Signaturen über Gruppenrichtlinien und PowerShell steuern


    Tags: , , ,

    Defender-Update App EinstellungenEin effektiver Schutz durch Viren­scanner hängt davon ab, dass diese stets auf die neuesten Defini­tionen zugreifen können. Daher kann Microsoft Defender seine Signatur-Updates nicht nur von der Standard­quelle für OS-Updates beziehen. Vielmehr kann man gleich mehrere angeben, und zwar in der Reihenfolge ihrer Priorität.

    Microsoft räumt dem regelmäßigen Download der Definitions­dateien für den Virenscanner eine so große Bedeutung ein, dass es dafür eigene Update-Einstellungen vorsieht. Wenn man die Patches für Windows von einem WSUS-Server bezieht, dann holt Defender standardmäßig seine Signaturen trotzdem von Microsoft Update.

    Private Anwender und kleinere Umgebungen fahren damit in der Regel gut. Sie erhalten auf diesem Weg die neuen Viren­definitionen am schnellsten, die Update-Intervalle sind dort kürzer als etwa bei WSUS. Wenn man bei Letzteren keine automatische Genehmigung für die Signaturen eingerichtet hat, dann können durch die manuelle Freigabe zusätzliche Verzögerungen entstehen.

    Wechselnde Update-Quellen in komplexen Umgebungen

    In Unternehmen mit einem großen Netzwerk, mehreren Niederlassungen oder mobilen Mitarbeitern können die Anforderungen jedoch ein differenziertes Management der Defender-Updates verlangen.

    So mag es etwa wünschenswert sein, die Viren­signaturen im LAN von den WSUS zu beziehen. Wenn sich Mitarbeiter jedoch länger auswärts sind, dann sollte Defender die Definitionen von Microsoft Update holen.

    Denkbar sind auch Konstellationen, wo Rechner keinen Zugang zum Internet haben und zudem kein WSUS-Server verfügbar ist. In diesem Fall wäre es ideal, wenn die Updates von einer Netzfreigabe kommen könnten.

    Quellen mit unterschiedlicher Priorität

    Eine solche Konfiguration, bei der Defender der Reihe nach verschiedene Quellen kontaktiert, wenn die bevorzugten nicht erreichbar sind, lässt sich über die Signature Fallback Order abbilden.

    Sie unterstützt als Quellen WSUS (InternalDefinition­UpdateServer),  Microsoft Update (MicrosoftUpdateServer), Netzfreigaben (FileShares) sowie Security Intelligence Updates and Platform Updates for Microsoft Defender Antivirus (MMPC).

    Ihre Priorität bestimmt sich durch die Reihenfolge, die man über folgende Syntax festlegt:

    InternalDefinition­UpdateServer | MicrosoftUpdateServer | FileShares | MMPC

    In diesem Beispiel kämen die WSUS zuerst zum Zug, dann Microsoft Update, die Netzfreigaben und schließlich MMPC.

    Konfiguration über PowerShell

    Mittels PowerShell kann man sich im ersten Schritt die aktuelle Konfiguration für Signatur-Updates anzeigen lassen:

    Get-MpPreference | select SignatureFallbackOrder

    Standardmäßig erhält man

    MicrosoftUpdateServer | MMPC

    als Ergebnis.

    Um diese Einstellung zu ändern, geht man nach diesem Muster vor:

    Set-MpPreference -SignatureFallbackOrder `
    "InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC"

    Reihenfolge der Update-Quellen für die Virendefinitionen über PowerShell festlegen

    Fallback-Order über Gruppenrichtlinien festlegen

    Die Einstellung für diesen Zweck findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Microsoft Defender Antivirus => Aktualisierung der Sicherheits­informationen.

    Sie heißt Reihenfolge der Quellen für das Herunterladen von Updates der Sicherheits­informationen festlegen ("Define the order of sources for downloading security intelligence updates").

    Wenn man diese aktiviert, kann man die Quellen wie gehabt in das Eingabefeld übernehmen.

    Reihenfolge der Update-Quellen für Microsoft Defender über Gruppenrichtlinien steuern

    Die Gruppenrichtlinien kennen dazu eine ergänzende Einstellung, mit der Microsoft Update als Quelle für mobile Geräte zugelassen werden soll, wenn ein interner Update-Server nicht verfügbar ist.

    Sie heißt Updates der Sicherheitsinformationen von Microsoft Update zulassen ("Allow security intelligence updates from Microsoft Update").

    Einstellung für das Opt-in zu Microsoft Update

    Unklar ist jedoch, wann man Microsoft Update explizit zulassen muss. Die Dokumentation spricht davon, dass dies dann notwendig sei, wenn "Sie WSUS so festgelegt haben, dass Microsoft Update außer Kraft gesetzt wird".

    Pfad zu Download-Verzeichnis festlegen

    Sollen Rechner ihre Definitions-Updates von einer Netzfreigabe beziehen, dann muss man diese separat konfigurieren. Dabei ist es möglich, die UNC-Pfade für mehrere Verzeichnisse anzugeben, und zwar wieder in der oben beschriebenen Syntax:

    \\server1\fileshare | \\server2\fileshare

    Mit PowerShell kann man auch hier den aktuellen Status einfach abfragen:

    Get-MpPreference |
    select -Property SignatureDefinitionUpdateFileSharesSources

    Standardmäßig sind keine Verzeichnisse hinterlegt. Um solche zu definieren, setzt man einen Befehl nach diesem Muster ab:

    Set-MpPreference -SignatureDefinitionUpdateFileSharesSources `
    "\\server1\fileshare | \\server2\fileshare"

    Wenn man diese Einstellung wieder zurücksetzen möchte, dann führt man dieses Kommando aus:

    Remove-MpPreference -SignatureDefinitionUpdateFileSharesSources

    Freigegebene Verzeichnisse für den Download der Viren-Signaturen mit PowerShell festlegen

    Bevorzugt man für diese Aufgabe die Gruppen­richtlinien, dann findet sich die zuständige Einstellung ebenfalls im Ordner Aktualisierung der Sicherheits­informationen und heißt Dateifreigaben für das Herunterladen von Updates der Sicherheitsinformationen festlegen ("Define file shares for downloading security intelligence updates").

    Dort kann man ebenfalls mehrere Pfade eingeben, die man mittels '|' voneinander trennt.

    Festlegen von Fileshares für das Herunterladen der Viren-Signaturen

    Aktualisierung über mobile Netzwerke

    Um sicherzustellen, dass Geräte auch dann aktuelle Signaturen erhalten, wenn sie längere Zeit über mobile Netze mit dem Internet verbunden sind, kann man den Download über getaktete Verbindungen zulassen.

    In PowerShell verwendet man dafür folgenden Befehl:

    Set-MpPreference -MeteredConnectionUpdates $true

    Download der Definitions-Updates über getaktete Verbindungen zulassen

    Das Pendant dazu in den Gruppen­richtlinien lautet Ermöglicht Microsoft Defender das Aktualisieren und Kommunizieren über eine getaktete Verbindung ("Allows Microsoft Defender Antivirus to update and communicate over a metered connection").

    Zusammenfassung

    Obwohl es sich bei Microsoft Defender um eine integrierte Komponente von Windows handelt, folgt sie beim Download der Viren-Signaturen einer eigenen Logik. Standardmäßig kommen die Definitionen von Microsoft Update, auch wenn der PC als Client für WSUS konfiguriert ist.

    Es besteht jedoch die Möglichkeit, mehrere Quellen in der Reihenfolge ihrer Priorität anzugeben. Ist eine nicht erreichbar, wendet sich Defender an die nächste in der Pipeline. Für Systeme ohne Zugriff auf das Internet kann man die Signaturen auf Fileshares ablegen und diese über PowerShell oder GPO als Quelle eintragen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links