Microsoft Defender аналитика безопасности антивирусной программы и обновления продуктов
Область применения:
- Microsoft Defender для конечной точки, планы 1 и 2
- Антивирусная программа в Microsoft Defender
Платформы
- Windows
Важно поддерживать антивирусную программу в Microsoft Defender в актуальном состоянии, чтобы обеспечить наличие на устройствах самых современных технологий и функций для защиты от новых вредоносных программ и методов атак. Обновите антивирусную защиту, даже если Microsoft Defender антивирусная программа работает в пассивном режиме. В этой статье содержатся сведения о двух типах обновлений для поддержания актуальности Microsoft Defender антивирусной программы:
Эта статья также включает:
- Поддержка платформы антивирусной программы в Microsoft Defender
- Откат обновления (при необходимости)
- Версия платформы, входящей в состав выпусков Windows 10
- Обновления для системы обслуживания образов развертывания и управления ими (DISM)
Сведения о самой актуальной дате ядра, платформы и подписи см. в статье Обновления аналитики безопасности для Microsoft Defender антивирусной программы и других антивредоносных программ Майкрософт.
Совет
В качестве компаньона к этой статье ознакомьтесь с руководством по настройке анализатора безопасности , чтобы ознакомиться с рекомендациями и научиться укреплять защиту, повышать соответствие требованиям и уверенно перемещаться по ландшафту кибербезопасности. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке анализатора безопасности в Центр администрирования Microsoft 365.
Обновления механизма обнаружения угроз
антивирусная программа Microsoft Defender использует облачную защиту (также называемую службой Microsoft Advanced Protection Service или MAPS) и периодически скачивает динамические обновления аналитики безопасности, чтобы обеспечить дополнительную защиту. Эти динамические обновления не заменяют обычные обновления системы безопасности с помощью KB2267602.
Примечание.
Обновления выпускаются в следующих статьях базы знаний:
- Антивирусная программа в Microsoft Defender: KB2267602
- System Center Endpoint Protection: KB2461484
Облачная защита всегда включена, для ее работы требуется действующее подключение к Интернету. Обновления механизма обнаружения угроз происходит по расписанию (которое настраивается с помощью политики). Дополнительные сведения см. в статье Использование облачной защиты Майкрософт в антивирусной программе в Microsoft Defender.
Список последних обновлений механизма обнаружения угроз см. в статье Обновления механизма обнаружения угроз для антивирусной программы в Microsoft Defender и других антивредоносных программ Майкрософт.
Обновления обработчика входят в состав обновлений механизма обнаружения угроз и выпускаются ежемесячно.
Обновления продуктов
Для антивирусной программы в Microsoft Defender требуются ежемесячные обновления (KB4052623), которые называются обновлениями платформы.
Можно управлять распространением обновлений, используя один из следующих методов:
- Службы Windows Server Update Services (WSUS)
- Microsoft Configuration Manager
- Обычные методы, используемые для развертывания обновлений Майкрософт и Windows в конечных точках в сети.
Дополнительные сведения см. в статье Управление источниками обновлений антивирусной программы в Microsoft Defender
Важные моменты об обновлениях продуктов
Ежемесячные обновления выпускаются в несколько этапов, поэтому в службах Window Server Update Services отображается несколько пакетов.
В этой статье перечислены изменения, включенные в широкий канал выпуска. Последний выпуск для широкого канала см. здесь.
Дополнительные сведения о процессе постепенного развертывания и о следующем выпуске см. в статье Управление процессом постепенного развертывания обновлений для Microsoft Defender.
Дополнительные сведения об обновлениях механизма обнаружения угроз см. в статье Обновления механизма обнаружения угроз для антивирусной программы в Microsoft Defender и других антивредоносных программ Майкрософт.
Если вам нужен список Microsoft Defender процессов, см. электронную таблицу, приведенную в статье Включение доступа к URL-адресам службы Microsoft Defender для конечной точки на прокси-сервере. На этом листе также перечислены службы и связанные с ними URL-адреса, к которым должна быть возможность подключения вашей сети.
Обновления платформы можно временно отложить, если другие функции защиты, такие как защита от потери данных в конечной точке или управление устройствами , активно отслеживают запущенные процессы. Обновления платформы повторяются после перезагрузки или при остановке всех отслеживаемых служб.
В каталоге Microsoft Endpoint Configuration Manager /Windows Server Update Services (MECM/WSUS) категория Microsoft Defender для конечной точки включает обновления для
MSSenseслужбы в KB5005292. KB5005292 включает обновления и исправления для датчика обнаружения и реагирования на конечные точки Microsoft Defender для конечной точки (EDR). Дополнительные сведения см. в разделах обновление Microsoft Defender для конечной точки для датчика EDR и Новые возможности Microsoft Defender для конечной точки в Windows.
Выпуски платформы и подсистемы
Обновления содержат:
- Повышение производительности
- Улучшения удобства обслуживания
- Улучшения интеграции (облако, Microsoft Defender XDR)
Сентябрь 2024 г. (платформа: 4.18.24090.11 | Engine 1.1.24090.11)
- Версия обновления аналитики безопасности: 1.421.12.0
- Дата выпуска: 30 октября 2024 г. (подсистема и платформа)
- Платформа: 4.18.24090.11
- Обработчик: 1.1.24090.11
- Этап поддержки: обновления для системы безопасности и критические обновления
Новые возможности
- Улучшенная логика обнаружения для уменьшения ложноположительных срабатываний, связанных с правилом ASR, блокирует внедрение кода в приложения Office в другие процессы.
- Устранена проблема, которая могла привести к пометке устройства с Windows как несоответствующего в Intune при запуске антивирусной программы Microsoft Defender.
- Устранена проблема с конфигурацией проверки перехвата, из-за которой параметр политики DaysUntilAggressiveCatchupQuickScan не соблюдался.
- Исправлена
SharedSignatureRootобработка при установке пустого значения. - Исправлена проблема с управлением устройством , когда при определении правила блокировки отображались некоторые файловые системы (например
FAT, ,FAT32),exFATсведения о томе. - Повышена производительность в определенных сценариях, в которых был доступ к сетевым файлам.
- Исправлена проблема с Виртуальным рабочим столом Azure, из-за которой политика Intune не соблюдалась.
- Исправлена потенциальная взаимоблокировка для настраиваемых правил обнаружения в клиенте Windows
- Устранена проблема, из-за которой исключения антивирусной программы не соблюдались с помощью AMSI.
- Исправлена проблема, влияющая на подмножество устройств, из-за которых исключения антивирусной программы, настроенные с помощью SCCM, не соблюдались
Важно!
В Windows Server 2019 и более поздних версиях новый двоичный файл (MpDefenderCoreService.exe) будет включен в пакет обновления для поддержки будущих улучшений службы (дополнительные сведения см. ниже).
Август 2024 г. (платформа: 4.18.24080.9 | Обработчик: 1.1.24080.9)
- Обновление аналитики безопасности: 1.419.1.0
- Дата выпуска: 17 сентября 2024 г . (подсистема и платформа)
- Платформа: 4.18.24080.9
- Обработчик: 1.1.24080.9
- Этап поддержки: обновления для системы безопасности и критические обновления
Новые возможности
- Добавлен новый параметр (
ControlledFolderAccessDefaultProtectedFolders) в командлет Get-MpPreference для отображения защищенных папок по умолчанию для управляемого доступа к папкам. - Исправлена проблема с управлением устройством, связанная с проверками безопасности принтера.
- Устранена проблема с откатом платформы после обновления с Windows 10 до Windows 11.
- Исправлена проблема, из-за которой исключения томов не применялись должным образом в режиме защиты в режиме реального времени после завершения запуска OOBE.
- Удалена поддержка Windows RT устройств, таких как Surface RT, которые используют 32-разрядные процессоры ARM и достигли даты окончания обслуживания.
Июль 2024 г. (платформа: 4.18.24070.5 | Обработчик: 1.1.24070.3)
- Версия обновления аналитики безопасности: 1.417.14.0
- Дата выпуска: 7 августа 2024 г. (подсистема и платформа)
- Платформа: 4.18.24070.5
- Обработчик: 1.1.24070.3
- Этап поддержки: обновления для системы безопасности и критические обновления
Новые возможности
- Об обнаружении ложноположительных результатов больше не сообщается, как
ThreatNotFoundна портале Microsoft Defender. - Оптимизированные вызовы защиты сети к серверной части, возникающие в результате подозрительных проверок подключения.
- Исправлен ключ конфигурации PerformanceModeStatus в CSP Defender , поэтому изменение этого значения в консоли вступает в силу в конечной точке.
- Устранена проблема, из-за которой расположение доказательства файла не всегда записывалось в сценариях, когда удаленное расположение недоступно.
- Добавлен новый журнал событий (
5016) для сообщения о том, Microsoft Defender антивирусная программа самовосстановляется при обнаружении взаимоблокировки во время завершения работы. - Исправлена проблема с определением приоритетов при выполнении полных проверок, инициированных на портале, что приводило к большему, чем ожидалось, полному сканированию.
Обновления предыдущих версий: только техническая поддержка обновления
После выпуска новой версии пакета уровень поддержки для двух предыдущих версий ограничивается лишь технической поддержкой. Дополнительные сведения о предыдущих версиях см. в разделе Microsoft Defender Обновления антивирусной программы: Предыдущие версии для поддержки технического обновления.
поддержка платформы и обработчика антивирусной программы Microsoft Defender
Обновления платформы и обработчика предоставляются ежемесячно. Чтобы обеспечить полную поддержку, следите за последними обновлениями платформы и ядра. Наша структура поддержки динамична и состоит из двух этапов в зависимости от доступности последней платформы и версии подсистемы:
Безопасность и критически важный этап обслуживания Обновления. При запуске последней версии платформы и подсистемы вы можете получать обновления для системы безопасности и критически важные обновления для платформы защиты от вредоносных программ.
Этап технической поддержки (только). После выпуска новой версии платформы и подсистемы поддержка более старых версий (N-2) сводится только к технической поддержке. Версии платформы и обработчика старше N-2 больше не поддерживаются. Техническая поддержка по-прежнему предоставляется для обновлений с версии выпуска Windows 10 (см. раздел Версия платформы, включенная в выпуски Windows 10) до последней версии платформы.
На этапе технической поддержки (только) коммерчески обоснованные инциденты поддержки предоставляются через Службу поддержки клиентов Майкрософт & поддержку и управляемую поддержку Майкрософт (например, поддержку Premier). Если инцидент поддержки требует эскалации до разработки для дальнейшего руководства, требует обновления без безопасности или обновления системы безопасности, клиентам предлагается обновить до последней версии платформы или промежуточного обновления (*).
Примечание.
Если вы развертываете обновление платформы антивирусной программы в Microsoft Defender вручную или развертываете такое обновление платформы с помощью сценария или стороннего продукта для управления, убедитесь, что версия 4.18.2001.10 установлена из Каталога Центра обновления Майкрософт перед установкой последней версии обновления платформы (N-2).
Откат обновления
В случае возникновения проблем после обновления платформы можно выполнить откат до предыдущей версии или версии папки "Входящие" Microsoft Defender платформы.
Чтобы выполнить откат до предыдущей версии, выполните следующую команду:
"%programdata%\Microsoft\Windows Defender\Platform\<version>\MpCmdRun.exe" -RevertPlatformОткат этого обновления до версии, поставляемой с операционной системой ("%ProgramFiles%\Защитник Windows")
"%programdata%\Microsoft\Windows Defender\Platform\<version>\MpCmdRun.exe" -ResetPlatform
Версия платформы, входящей в состав выпусков Windows 10
В следующей таблице перечислены версии платформы антивирусной программы в Microsoft Defender и обработчика, которые входят в состав последних выпусков Windows 10:
| Выпуск Windows 10 | Версия платформы | Версия обработчика | Этап поддержки |
|---|---|---|---|
| 2004 (20H1/20H2) | 4.18.1909.6 |
1.1.17000.2 |
Только техническая поддержка обновления |
| 1909 (19H2) | 4.18.1902.5 |
1.1.16700.3 |
Только техническая поддержка обновления |
| 1903 (19H1) | 4.18.1902.5 |
1.1.15600.4 |
Только техническая поддержка обновления |
| 1809 (RS5) | 4.18.1807.5 |
1.1.15000.2 |
Только техническая поддержка обновления |
| 1803 (RS4) | 4.13.17134.1 |
1.1.14600.4 |
Только техническая поддержка обновления |
| 1709 (RS3) | 4.12.16299.15 |
1.1.14104.0 |
Только техническая поддержка обновления |
| 1703 (RS2) | 4.11.15603.2 |
1.1.13504.0 |
Только техническая поддержка обновления |
| 1607 (RS1) | 4.10.14393.3683 |
1.1.12805.0 |
Только техническая поддержка обновления |
Сведения о выпусках Windows 10 см. в статье Сведения ро жизненном цикле Windows.
Примечание.
Windows Server 2016 поставляется с той же версией платформы, что и RS1, и находится на том же этапе поддержки: поддержка технического обновления (только)
Windows Server 2019 поставляется с той же версией Платформы, что и RS5, и находится на том же этапе поддержки: техническое обновление (только)
Обновления для системы обслуживания образов развертывания и управления ими (DISM)
Чтобы избежать пробелов в защите, обновляйте установочные образы ОС с помощью последних обновлений антивирусной и антивредоносной программы. Обновления доступны для:
- Windows 10 и 11 (выпуски Enterprise, Pro и Home)
- Windows Server 2022, Windows Server 2019, Windows Server 2016 и Windows Server 2012 R2
- ФАЙЛЫ WIM и VHD(x)
Обновления выпущены для архитектуры Windows x86, x64 и ARM64.
Дополнительные сведения см. в статье Обновление антивирусной программы в Microsoft Defender для образов установки операционной системы Windows.
После выпуска новой версии пакета уровень поддержки для двух предыдущих версий ограничивается лишь технической поддержкой. Список предыдущих версий см. в разделе Предыдущие обновления DISM.
1.417.472.0
- Версия пакета Defender:
1.417.472.0 - Версия аналитики безопасности:
1.417.472.0 - Версия обработчика:
1.24080.9
Исправления
- Нет
Дополнительные сведения
- Нет
1.415.295.0
- Версия пакета Defender:
1.415.295.0 - Версия аналитики безопасности:
1.415.295.0 - Версия обработчика:
1.24070.1 - Версия платформы:
4.18.24070.5
Исправления
- Нет
Дополнительные сведения
- Нет
1.415.235.0
- Версия пакета Defender:
1.415.235.0 - Версия аналитики безопасности:
1.415.235.0 - Версия обработчика:
1.24070.1 - Версия платформы:
4.18.24070.5
Исправления
- Нет
Дополнительные сведения
- Нет
Дополнительные ресурсы
| Статья | Описание |
|---|---|
| Обновление антивирусной программы в Microsoft Defender для образов установки операционной системы Windows | Проверьте пакеты обновления антивредоносных программ для образов установки ОС (файлы WIM и VHD). Получение Microsoft Defender обновлений антивирусной программы для Windows 10 (выпуски Enterprise, Pro и Home), Windows Server 2019, Windows Server 2022, Windows Server 2016 и Windows Server 2012 образов R2. |
| Управление скачиванием и применением обновлений защиты | Обновления защиты можно доставлять через множество источников. |
| Управление временем скачивания и применения обновлений защиты | Можно запланировать скачивание обновлений защиты. |
| Управление обновлениями для устаревших конечных точек | Если в конечной точке отсутствует обновление или пропущено запланированное сканирование, можно включить принудительное обновление или принудительное сканирование при следующем входе пользователя в систему. |
| Управление принудительными обновлениями на основе событий | Можно настроить скачивание обновлений защиты при запуске системы или после определенных событий облачной защиты. |
| Управление обновлениями для мобильных устройств и виртуальных машин (ВМ) | Вы можете указать параметры, например, следует ли обновлять питание от батареи, что особенно полезно для мобильных устройств и виртуальных машин. |
| Обновление Microsoft Defender для конечной точки для датчика EDR | Вы можете обновить датчик EDR (MsSense.exe), который входит в новый пакет единого решения Microsoft Defender для конечной точки, выпущенный в 2021 году. |
Совет
Если вам нужны сведения об антивирусной программе для других платформ, см.:
- Установка параметров Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки на Mac
- Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
- Установите параметры Microsoft Defender для конечной точки в Linux.
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.