Блог did5.ru

Про АйТи и около айтишные темы

[WSUS] Проблемы синхронизации

Возникли проблемы с синхронизацией сервера WSUS с Windows Update, после каждой синхронизации на почту приходит письмо с отчетом, в котором уже несколько недель сообщается о получении одних и тех же обновлений. В моем случае это 6 обновлений Windows Defender – «Обновление определения для Windows Defender – БЗ2267602 (Определение 1.151.2332.0) Install this update to revise the definition files that are used to detect viruses, spyware, and other potentially unwanted software. Once you have installed this item, it cannot be removed.»

По сути, это одно обновление, только разные его редакции, где более новое должно заменять старое. Очень часто выстраиваются достаточно длинные цепочки зависимости редакций обновлений, где одно зависит от другого, и если одно не установилось или установилось с ошибкой, то проблемы возникают со всеми зависимыми обновлениями.

Проследить зависимости обновлений можно с помощью списка обновлений, только нужно добавить дополнительный столбец – Supersedence.

У иконок в столбце есть 4 варианта значений (см. картинку слева, на ней варианты 2-4): 1. Если нет иконки, то это обновление ничего не замещает и ничем не замещается; 2. Обновление является последним и оно замещает предыдущие; 3. Обновление ничего не замещает, но само замещается более новым; 4. Обновление является промежуточным, т.е. оно замещает предыдущие и само замещается более новым.

Более детальную информацию можно получить в описании обновлений, там указано какие обновления оно замещает и каким замещается (см. скриншот ниже).

В моем случае возникла проблема в одной из цепочек зависимости обновлений. Всего в списке 6 обновлений, 3 из них в списке Declined, а остальные в списке Approved. Обновлениям из списка Declined я сделал снова Approve, операция прошла с ошибкой, т.к. они уже имеют статус Expired, но свой статус они поменяли на Unapproved. После этого я запустил Server Cleanup Wizard, в результате чего эти 3 обновления снова получили статус Declined.

Запустил синхронизацию вручную, через несколько минут пришел отчет на почту, но этих 6-ти обновлений, которые мозолили мне глаза несколько недель, в списке не было. Проблема решена.

Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!

Хотите поблагодарить автора за эту заметку? Вы можете это сделать!

Как в Windows 10 обновить Защитник разными способами, в том числе при отключенном Центре обновлений

Встроенный Защитник Windows, если не был отключен или заменен другим антивирусом, обновляется автоматически, но ничто не мешает вам выполнить обновление сигнатур альтернативными путями или даже вручную, скачать их со специальной страницы Microsoft. Второй вариант может пригодится, когда нужно обновить вирусные базы устройства, не подключенного к интернету.

Через Центр обновления

Наиболее очевидным для обновления сигнатур Windows Defender является использование стандартного Центра обновления Windows в приложении Параметры.

Если обновления будут им найдены, из останется только установить.

Из центра управления безопасностью

Еще проще проверить и получить обновления Защитника из контекстного меню его иконки в трее, кликнув по ней ПКМ и выбрав соответствующий пункт.

Откроется окно безопасности, а вам останется только нажать кнопку поиска обновлений и дождаться результата.

Из командной строки

Также для обновления вирусных баз Защитника можно воспользоваться запущенной от имени администратора командной строкой.

Для поиска и установки сигнатур выполните в консоли такую команду:

«%ProgramFiles%\Windows Defender\MpCmdRun.exe» –SignatureUpdate

В случае ошибки бывает полезно очистить кэш определений перед их обновлением такой командой:

«%ProgramFiles%\Windows Defender\MpCmdRun.exe» -removedefinitions –dynamicsignatures

Впрочем, многое зависит от типа ошибки. Если это ошибка с кодом 0х80070422 , скорее всего, у вас принудительно отключен Центр обновления.

Из PowerShell

Вместо классической командной строки можно использовать и PowerShell , выполнив в нём команду Update-MpSignature . Командлет же Get-MpComputerStatus покажет вам текущую версию определения и дату обновления.

Как и в случае с командной строкой, Центр обновления должен быть включен, желательно также проверить активность служб «Установщик модулей Windows» и «WaaSMedicSvc».

В автономном режиме

Наконец, обновить Защитник можно в автономном режиме, запустив на компьютере файл mpam-fe.exe соответствующей разрядности, скачанный с официальной страницы www.microsoft.com/en-us/wdsi/definitions.

Пакет не использует графический режим, не требует прав администратора и включения Центра обновления Windows. Просто запустите его и, выждав минутку, проверьте текущую версию опеределения.

Используйте WSUS для развертывания обновлений определений на компьютерах, на Защитник Windows

В этой статье описывается, как использовать Microsoft cлужбы Windows Server Update Services (WSUS) для развертывания обновлений определений на компьютерах с Microsoft Защитник Windows.

Исходная версия продукта: cлужбы Windows Server Update Services
Исходный номер КБ: 919772

Развертывание Защитник Windows определений

Для этого выполните следующие действия:

Откройте консоль администратора WSUS и выберите «Параметры» в нижней части дерева консоли.

Выберите продукты и классификации и убедитесь, что Защитник Windows на вкладке «Продукты».

Убедитесь, что на вкладке «Классификации» выбрана вкладка «Обновления определений» и выберите «ОК».

Необязательно: утверждение обновлений с помощью правила автоматического утверждения. Для этого выполните следующие действия:

1. В нижней части дерева консоли выберите «Параметры».
2. Выберите «Автоматическое утверждение».
3. В шаге 1 выберите «Новое правило». и выберите «Когда обновление находится в определенном поле классификации» и «Когда обновление находится в определенном продукте».
4. В шаге 2 выберите «Обновления определений >классификации» и нажмите кнопку «ОК».
5. Затем выберите «Любой продукт» и скройте его, прокрутите вниз и выберите Защитник Windows , а затем выберите «ОК».

В нижней части дерева консоли выберите «Синхронизации».

В области действий слева выберите «Синхронизировать сейчас».

В верхней части дерева консоли выберите «Обновления».

Утвердим Защитник Windows обновления, которые должны быть развернуты в WSUS.

Use WSUS to deploy definition updates to computers that are running Windows Defender

This article describes how to use Microsoft Windows Server Update Services (WSUS) to deploy definition updates to computers that are running Microsoft Windows Defender.

Original product version: В Windows Server Update Services
Original KB number: В 919772

Deploy Windows Defender definition updates

To do this, follow these steps:

Open the WSUS Administrator console, and then select Options at the bottom of the console tree.

Select Products and Classifications and verify that the Windows Defender check box is selected under the Products tab.

Verify that the Definition Updates check box is selected under the Classifications tab, and then select OK.

Optional: approve the updates by using an automatic approval rule. To do this, follow these steps:

1. At the bottom of the console tree, select Options.
2. Select Automatic Approvals.
3. Under step 1, select New Rule. , and then select the When an update is in a specific classification check box and the When an update is in a specific product check box.
4. Under step 2, select Any classification >Definition Updates, then click OK.
5. Next, select Any product and clear the All Products check box, then scroll down and select Windows Defender, afterward select OK.

At the bottom of the console tree, select Synchronizations.

On the action pane on the left, select Synchronize now.

At the top of the console tree, select Updates.

Approve any Windows Defender updates that WSUS should deploy.

Защитник windows обновление через wsus

Общие обсуждения

Имеется WSUS-сервер, который по задумке должен раздавать обновления определений Защитника Windows. Для тестирования взят компьютер с Windows 10.0.17134 x64. Компьютер является членом домена и подхватывает групповую политику, в которой прописан WSUS-сервер. По команде rsop.msc видим:
Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows:

Настройка автоматического обновления — Отключена

Указать размещение службы обновлений Майкрософт в интрасети — Включена, http://MyWSUS:8530

Не смотря на это, защитник Windows пытается обновиться напрямую через сервер Microsoft (доступ в интернет отключен в целях эксперимента). Содержимое MpCmdRun.log:

MpCmdRun: Command Line: «C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1806.18062-0\MpCmdRun.exe» SignaturesUpdateService -ScheduleJob -UnmanagedUpdate
Start Time: ‎Пт ‎июл ‎06 ‎2018 10:12:49
MpEnsureProcessMitigationPolicy: hr = 0x1
Start: Signatures Update Service
Update Started
Search Started (MU/WU update) (Path: https://fe2.update.microsoft.com/v6/).
Time Info — ‎Пт ‎июл ‎06 ‎2018 10:16:03 Search Completed
Update failed with hr: 0x80240438
Update completed with hr: 0x80240438
End: Signatures Update Service
MpCmdRun: End Time: ‎Пт ‎июл ‎06 ‎2018 10:16:03

После применения политики, компьютер был перезагружен для чистоты эксперимента.

Компьютер отображается в списке компьютеров в оснастке управления WSUS.

Как заставить защитник обновляться через мой WSUS?