管理基于事件的强制更新

适用于：

• Microsoft Defender for Endpoint 计划 1

• Microsoft Defender for Endpoint 计划 2

• Microsoft Defender 商业版

• Microsoft Defender 防病毒

平台

• Windows

使用防病毒Microsoft Defender，可以确定某些事件（例如启动时或从云提供的保护服务收到特定报告）后，更新是否应 (或不应) 发生。

在运行扫描之前检查保护更新

可以使用Microsoft Defender for Endpoint安全设置管理、Microsoft Intune、Microsoft Configuration Manager、组策略、PowerShell cmdlet 和 WMI 强制在运行计划扫描之前，Microsoft Defender防病毒以检查和下载保护更新。

在运行扫描之前，使用Microsoft Defender for Endpoint安全设置管理检查保护更新

1. 在Microsoft Defender for Endpoint控制台 (https://security.microsoft.com) 上，转到“终结点配置管理>”>“终结点安全策略>Create新策略”。

   • 在“平台”列表中，选择“Windows 10”、“Windows 11”和“Windows Server”。
   • 在“选择模板”列表中，选择“Microsoft Defender防病毒”。

2. 填写名称和说明，然后选择“下一步”>

3. 转到 “计划的扫描 ”部分，并将 “运行扫描前检查签名 ”设置为 “启用”。

4. 照常部署更新的策略。

在运行扫描之前，使用Microsoft Intune检查保护更新

1. 在Microsoft Intune管理中心，转到“终结点>配置管理>终结点安全策略”，然后选择“Create新策略”。

   • 在“平台”列表中，选择“Windows 10”、“Windows 11”和“Windows Server”。
   • 在“选择模板”列表中，选择“Microsoft Defender防病毒”。

2. 填写名称和说明，然后选择“ 下一步”。

3. 转到 “计划的扫描 ”部分，并将 “运行扫描前检查签名” 设置为 “启用”。

4. 保存并部署策略。

在运行扫描之前，使用Configuration Manager检查保护更新

1. 在Microsoft Configuration Manager控制台上，打开要更改的反恶意软件策略 (在导航窗格中选择“资产和符合性”，然后将树展开到“概述>Endpoint Protection>反恶意软件策略”) 。

2. 转到 “计划的扫描 ”部分，并将 “在运行扫描之前检查最新的安全智能更新 ”设置为 “是”。

3. 选择“确定”。

4. 照常部署更新的策略。

在运行扫描之前，使用组策略检查保护更新

1. 在组策略管理计算机上，打开组策略管理控制台。

2. 右键单击要配置的组策略对象，然后选择“编辑”。

3. 使用组策略管理编辑器转到“计算机配置”。

4. 依次选择“ 策略 ”和“ 管理模板”。

5. 将树展开到 Windows 组件>Microsoft Defender防病毒>扫描。

6. 在运行计划扫描之前，双击“检查最新的病毒和间谍软件定义”，并将选项设置为“已启用”。

7. 选择“确定”。

在运行扫描之前，使用 PowerShell cmdlet 检查保护更新

使用以下 cmdlet：

Set-MpPreference -CheckForSignaturesBeforeRunningScan

有关详细信息，请参阅使用 PowerShell cmdlet 配置并运行 Microsoft Defender 防病毒软件和 Defender for Cloud cmdlet。

在运行扫描之前，使用 Windows 管理指令 (WMI) 检查保护更新

对以下属性使用 MSFT_MpPreference 类的 Set 方法：

CheckForSignaturesBeforeRunningScan

有关详细信息，请参阅 Windows Defender WMIv2 API。

在启动时检查保护更新

可以使用组策略强制Microsoft Defender防病毒在计算机启动时检查和下载保护更新。

1. 在组策略管理计算机上，打开组策略管理控制台，右键单击要配置的组策略对象，然后选择编辑。

2. 使用组策略管理编辑器转到“计算机配置”。

3. 依次选择“ 策略 ”和“ 管理模板”。

4. 将树展开到 Windows 组件>Microsoft Defender防病毒>安全智能汇报。

5. 在启动时双击“检查最新的病毒和间谍软件定义”，并将选项设置为“已启用”。

6. 选择“确定”。

还可以使用 组策略、PowerShell 或 WMI 将 Microsoft Defender 防病毒配置为在启动时检查更新，即使它未运行也是如此。

当不存在Microsoft Defender防病毒时，使用组策略下载更新

1. 在组策略管理计算机上，打开组策略管理控制台，右键单击要配置的组策略对象，然后选择“编辑”。

2. 使用组策略管理编辑器，转到“计算机配置”。

3. 依次选择“ 策略 ”和“ 管理模板”。

4. 将树展开到 Windows 组件>Microsoft Defender防病毒>安全智能汇报。

5. 双击“ 启动时启动安全智能更新 ”，并将选项设置为 “已启用”。

6. 选择“确定”。

Microsoft Defender防病毒不存在时，使用 PowerShell cmdlet 下载更新

使用以下 cmdlet：

Set-MpPreference -SignatureDisableUpdateOnStartupWithoutEngine

有关详细信息，请参阅使用 PowerShell cmdlet 管理Microsoft Defender防病毒和 Defender 防病毒 cmdlet，详细了解如何将 PowerShell 与 Microsoft Defender 防病毒配合使用。

在不存在Microsoft Defender防病毒时，使用 Windows 管理指令 (WMI) 下载更新

对以下属性使用 MSFT_MpPreference 类的 Set 方法：

SignatureDisableUpdateOnStartupWithoutEngine

有关详细信息，请参阅 Windows Defender WMIv2 API。

允许基于云提供的保护进行临时保护更改

Microsoft Defender防病毒可以根据云提供的保护对其保护进行更改。 此类更改可能发生在正常保护更新或计划的保护更新之外。

如果已启用云提供的保护，Microsoft Defender防病毒会将可疑文件发送到Windows Defender云。 如果云服务报告该文件是恶意文件，并且该文件在最近的保护更新中检测到，则可以使用 组策略 配置Microsoft Defender防病毒，以自动接收该保护更新。 还可以应用其他重要的保护更新。

使用组策略根据云提供的保护自动下载最近的更新

1. 在组策略管理计算机上，打开组策略管理控制台，右键单击要配置的组策略对象，然后选择“编辑”。

2. 使用组策略管理编辑器转到“计算机配置”。

3. 依次选择“ 策略 ”和“ 管理模板”。

4. 将树展开到 Windows 组件>Microsoft Defender防病毒>安全智能汇报。

5. 双击“ 允许基于 Microsoft MAPS 的报告进行实时安全智能更新 ”，并将选项设置为 “已启用”。 然后，选择“确定”。

6. 允许通知禁用 Microsoft MAPS 的基于定义的报表 ，并将选项设置为 “已启用”。 然后，选择“确定”。

另请参阅

• 部署Microsoft Defender防病毒
• 管理 Microsoft Defender 防病毒更新并应用基线
• 管理何时应下载和应用保护更新
• 管理过期终结点的更新
• 管理移动设备和虚拟机 （VM） 的更新
• Windows 10 中的 Microsoft Defender 防病毒