嘗試從 UNC 路徑更新 Windows Defender 連續失敗
我正在嘗試使用儲存在 UNC 路徑上的定義來更新 Windows Defender(在 Win 10 上)。
我正在像這樣設置 mpam-fe.exe 文件的路徑
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \\path\to\mpam.exe
然後我執行 Get-MpPreference 來驗證路徑是否已設置(已設置)。一旦我驗證SignatureDefinitionUpdateFileSharesSources的路徑正確,我就會執行
Update-MpSignature -UpdateSource FileShares
我立即得到錯誤
Update-MpSignature : Virus and spyware definitions update was completed with errors. At line:1 char:1 + Update-MpSignature -UpdateSource FileShares + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ObjectNotFound: (MSFT_MpSignature:ROOT\Microsoft\...SFT_MpSignature) [Update-MpSignature], CimException + FullyQualifiedErrorId : HRESULT 0x80070002,Update-MpSignature
這種失敗幾乎是立即發生的。只是為了驗證特定的 powershell 實例可以訪問有問題的文件共享 - 我通過執行 mpam-fe.exe 文件來跟進它並且它工作。
我以前從未這樣做過,但你的問題讓我很好奇,我開始做一些測試。我能夠重現您的問題。很明顯,沒有多少人這樣做,因為網際網路上關於如何做到這一點的連貫資訊為零。所以,你一無所獲也就不足為奇了。
所以,這是我在使用 Process Monitor 時發現的。我能夠成功地讓 Defender 從文件源進行更新。
- 首先,更新包由三個文件組成:
mpam-fe.exe
、mpam-d.exe
和nis_full.exe
. 我嘗試使用justmpam-fe.exe
,但失敗了。- 其次,有 32 位和 64 位版本的更新。當您執行該
Update-MPSignature
命令時,它希望在源路徑中的x64
or文件夾下找到更新。x86
因此,您需要在源路徑下創建其他文件夾並將更新文件放在那裡。- 第三,更新 Windows Defender 的程序是 wmiprvse.exe (WMI) - 它作為本地系統執行。請注意,使用電腦帳戶而不是使用者帳戶與文件源建立連接。我嘗試了幾種不同的方法來嘗試讓它連接到加入域的伺服器上的文件共享。這包括添加電腦帳戶
domain computers
、、、Everyone
和Anonymous
。沒有任何效果。每次都因拒絕訪問而失敗。只有當我將文件放在安全限制為零的 NAS 上時,我才能讓它工作。這是一個可以幫助下載更新包的腳本:https ://www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4/DisplayScript
以下是我用來讓它工作的其他參考資料: https ://technet.microsoft.com/en-us/itpro/powershell/windows/defender/update-mpsignature?f=255&MSPPError=-2147217396
<https://technet.microsoft.com/en-us/itpro/powershell/windows/defender/set-mppreference>
<https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-antivirus/manage-protection-updates-windows-defender-antivirus>
<https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-antivirus/deployment-vdi-windows-defender-antivirus>
<http://ccmexec.com/2016/01/download-and-deploy-windows-defender-definitions-for-windows-10-during-osd/>