Beschreibung der Aktualisierungen der Forefront-Endpunktsicherheitsdefinition
EINFÜHRUNG
Die im Abschnitt „Gilt für" aufgeführten Microsoft Forefront-Endpunktsicherheitsprodukte enthalten einen Antimalware-Agenten, der regelmäßig Updates für die Definitionsdateien herunterlädt, die er zur Identifizierung von Viren, Spyware und anderer potenziell unerwünschter Software verwendet. Forefront-Endpoint-Security-Agents können auch regelmäßig Aktualisierungen der Erkennungs-Engine herunterladen. Microsoft stellt diese Updates über Microsoft Update und, sofern verfügbar, auch über den Windows Server Update Service (WSUS) bereit. Um die Updates manuell herunterzuladen, besuchen Sie die folgende Microsoft-Website:
Mehr Informationen
Definitionsdateien
Der Antimalware-Agent von Microsoft verwendet Virendefinitionsmodule (VDMs), um Erkennungsinformationen über Schadsoftware oder potenziell unerwünschte Software zu speichern. Der Antimalware-Agent verwendet während seines regulären Betriebs die folgenden fünf Dateien
Die Datei MpAvBase.vdm enthält das Antivirus-Basisdefinitionsmodul. Diese Datei wird normalerweise nur einmal pro Monat von Microsoft aktualisiert und enthält die Basisvireninformationen, die zum Erstellen der Deltadefinitionen verwendet werden.
Die Datei MpAvDlta.vdm enthält das Antivirus-Delta-Definitionsmodul. Diese Datei wird in der Regel mehrmals täglich von Microsoft aktualisiert und enthält alle Änderungen, die seit der Erstellung der letzten Antiviren-Datenbank vorgenommen wurden.
Die Datei MpAsBase.vdm enthält das Antispyware-Basisdefinitionsmodul. Diese Datei wird in der Regel nur einmal pro Monat von Microsoft aktualisiert und enthält die Basisinformationen zur Spyware-Software sowie andere potenziell unerwünschte Softwareinformationen, die zum Erstellen der Delta-Definitionen verwendet werden.
Die Datei MpAsDlta.vdm enthält das Antispyware-Delta-Definitionsmodul. Diese Datei wird in der Regel mehrmals pro Woche von Microsoft aktualisiert und enthält alle Änderungen, die seit der Erstellung der letzten Antispyware-Datenbank vorgenommen wurden.
Die Datei MpEngine.dll enthält die Malware-Schutz-Engine von Microsoft. Die zuvor erwähnten .vdm-Dateien werden von der Malware-Schutz-Engine referenziert, die die Systemressourcen nach Malware durchsucht. Einige Beispiele für Systemressourcen sind Dateien, Prozesse und Registrierungsschlüssel. Diese Datei wird normalerweise nur einmal pro Monat aktualisiert.
Rebase-Definitionen
Derzeit führt Microsoft die Definitionen nur einmal pro Monat neu durch. Während des Rebase-Vorgangs werden die Deltadefinitionen mit der vorherigen Basisdefinitionsdatei zu einer neuen Basisdatei kombiniert. Der Rebase-Vorgang erfolgt sowohl für die Antivirus-Definitionsdateien als auch für die Antispyware-Definitionsdateien.
Aufgrund des Rebase-Prozesses nimmt die Größe der neuen Basisdateien im Vergleich zum Vormonat normalerweise zu. Die neuen Basisdateien enthalten die Basisdefinitionen des Vormonats und alle Änderungen aus den neuen Deltadefinitionen. Unmittelbar nach dem Rebase-Vorgang verringert sich die Größe der Delta-Definitionsdateien erheblich. Dieses Verhalten tritt auf, weil sich alle Informationen, die sie zuvor enthielten, in ihren jeweiligen Basisdateien befinden.
Wenn neue Malware-Informationen generiert werden, werden diese zu den Delta-Definitionsdateien hinzugefügt, wodurch die Größe der Dateien bis zum nächsten Rebase zunimmt. Die Größe der Basisdefinitionsdateien bleibt zwischen den Rebases gleich.
Microsoft veröffentlicht derzeit Updates für die Malware-Schutz-Engine gleichzeitig mit der Durchführung des Rebases. Das bedeutet, dass der Antimalware-Agent beim Rebase-Vorgang eine neue Version aller fünf Dateien erhält, die im Abschnitt „Definitionsinhalte" erwähnt werden.
Definitionsaktualisierungen abrufen
Ein Kunde kann die Aktualisierungen der Forefront-Endpunktsicherheitsdefinition auf eine der folgenden drei Arten herunterladen:
Microsoft Update
Windows Server-Updatedienste
Manueller Download
Dateifreigabe (nur Forefront Endpoint Protection)
Microsoft Update
Microsoft veröffentlicht Definitionsaktualisierungen für Microsoft Update. Der Forefront-Endpunktsicherheitsagent kann diese Updates direkt von Microsoft herunterladen, indem er eine der folgenden Methoden verwendet:
Systemsteuerungselement für Windows Update.
Stellen Sie sicher, dass im Windows Update-Applet „Sie erhalten Updates für Windows und andere Produkte von Microsoft Updates" angezeigt wird.
Die Microsoft Update-Website.
Automatisch durch Verwendung des Antimalware-Agenten.
Automatisch mithilfe des Prozesses „Automatische Updates".
Mit jedem Update ist eine Erkennungslogik verbunden. Mithilfe dieser Erkennungslogik kann Microsoft Update die aktuellen Definitionsaktualisierungen ermitteln, die auf den Agent angewendet werden. Microsoft Update verwendet diese Informationen, um nur das Definitionsupdatepaket bereitzustellen, das für den Agent am besten geeignet ist. Beispielsweise lädt ein Agent, der über die aktuelle Version des zuvor veröffentlichten Definitionsupdates verfügt, nur ein binäres Differential-Delta-Paket herunter und lädt nicht das vollständige Installationspaket herunter.
Neue Definitionsupdatepakete werden normalerweise dreimal täglich in Microsoft Update veröffentlicht.
Windows Server Update-Dienste
Microsoft veröffentlicht Definitionsaktualisierungen für Microsoft Update und stellt sie den Windows Server Update Services zur Verfügung. Kunden von Forefront Endpoint Security, die Windows Server Update Services implementiert haben, können diese Updates von Microsoft herunterladen, indem sie die Definitionsupdateklassifizierung synchronisieren. Agenten, die diesem Windows Server Update Services-Server Bericht erstatten, können die Definitionen mithilfe einer der folgenden Methoden herunterladen:
Systemsteuerungselement für Windows Update.
Automatisch durch Verwendung des Antimalware-Agenten.
Automatisch mithilfe des Prozesses „Automatische Updates".
Ähnlich wie bei Microsoft Update gibt es eine Erkennungslogik, die jedem Update zugeordnet ist. Diese Erkennungslogik ermöglicht es Windows Server Update Services, nur das Definitionsupdatepaket bereitzustellen, das für den Agent am besten geeignet ist.
Wie im Abschnitt „Rebase-Definitionen" beschrieben, ändern sich der Inhalt der Basisdefinitionen und der Engine zwischen den Rebases nicht. Aus diesem Grund werden den Agenten einmal im Monat die Basisdefinitionen und die Engine angeboten. Beim Windows Server Updates Service (WSUS) wird dadurch sichergestellt, dass bei jeder Definitionsupdateversion weniger doppelte Daten heruntergeladen werden. Beim Anzeigen von Dateiinformationen in der WSUS-Verwaltungskonsole enthält die Liste die im Abschnitt „Zuletzt verwendete Definitionen" unten beschriebenen Pakete.
Neue Definitionsupdatepakete werden normalerweise dreimal täglich in den Windows Server Update Services veröffentlicht. Die Häufigkeit, mit der diese Updates für Computer verfügbar sind, hängt von der Häufigkeit ab, mit der der WSUS-Server mit Microsoft synchronisiert wird, und davon, wie Updates für die Bereitstellung genehmigt werden.
Manueller Download
Einige Definitionsaktualisierungen stehen derzeit an zwei Standorten zum manuellen Download von Microsoft zur Verfügung.
Im folgenden Wissensdatenbankartikel wird beschrieben, wie Sie die veröffentlichten Definitionen manuell herunterladen. Diese Definitionen entsprechen normalerweise den Versionen, die mit Microsoft Update und Windows Server Update Services verfügbar sind. Beachten Sie, dass derzeit nur die vollständigen Installationspakete verfügbar sind.
935934 Anleitung zum manuellen Herunterladen der neuesten Antimalware-Definitionsupdates für Microsoft Forefront Client Security
Im folgenden Wissensdatenbankartikel wird beschrieben, wie Sie die Betadefinitionen manuell herunterladen. Diese Definitionen werden häufiger veröffentlicht und entsprechen möglicherweise nicht den in Microsoft Update veröffentlichten Versionen.
939757 So laden Sie das neueste Beta-Update zur Definition bösartiger Software für Forefront Client Security herunter
UNC-Dateifreigabe
Die Aktualisierung von einer Dateifreigabe erfolgt durch manuelles oder skriptbasiertes Herunterladen von Definitionen aus einer der oben genannten Quellen und deren Platzierung in einer Dateifreigabe.
Definitionsaktualisierungen: Die Art der Definitionsaktualisierung, die ein Agent durchführt, hängt davon ab, wie aktuell er mit den aktuellen, von Microsoft veröffentlichten Definitionen ist. Agenten, die kürzlich aktualisiert wurden, werden nur sehr kleine Änderungen herunterladen und anwenden, wohingegen neue Agenten die vollständige Definitionsinstallation herunterladen müssen, um auf dem neuesten Stand zu sein.
Neue Agenten
Beschreibung
Die vollständige Installation gilt im Allgemeinen nur für neue Antimalware-Agenten oder für Agenten mit Definitionen, die seit mehr als einem Monat nicht aktualisiert wurden. Wenn die Computer nach dem Herunterladen und der Installation auf dem neuesten Stand gehalten werden, sollte es nicht erforderlich sein, die vollständige Installation erneut durchzuführen.
Größe
Im Allgemeinen liegt die Größe zwischen 40 und 70 MB, abhängig von mehreren Faktoren. Zu diesen Faktoren gehören die Dauer seit dem letzten Rebase und die Anzahl der Änderungen seit dem letzten Rebase.
Vorheriger Monat
Beschreibung
Agenten, die Dateien des Vormonats verwenden, erhalten ein binäres Delta-Update der Engine- und Basisdefinitionen. Die binären Delta-Updates enthalten nur die Teile der Basisdateien und der Engine-Dateien, die sich gegenüber der Vorgängerversion geändert haben. Weitere Informationen zur binären Delta-Update-Technologie von Microsoft, die in diesem Paket verwendet wird, finden Sie im folgenden TechNet-Artikel: Delta Compression Application Programming Interface
Größe
Im Allgemeinen liegt die Größe dieser Installation zwischen 1 und 15 MB, abhängig von mehreren Faktoren. Zu diesen Faktoren gehören die Dauer seit dem letzten Rebase und die Anzahl der Änderungen seit dem letzten Rebase. Im Allgemeinen liegt die Größe zwischen 1 und 8 MB, abhängig von mehreren Faktoren. Zu diesen Faktoren gehören die Dauer seit dem letzten Rebase und die Anzahl der Änderungen seit dem letzten Rebase.
Aktuelle Definitionen
Beschreibung
Die überwiegende Mehrheit der Definitionsaktualisierungen sollte auf Agenten angewendet werden, die die Engine- und Basisdateien des aktuellen Monats verwenden. In dieser Situation müssen nur die Deltadateien (MpAvDlta.vdm und MpAsDlta.vdm) aktualisiert werden.
Agenten, die sehr aktuelle Versionen der Antimalware-Definitionen verwenden, erhalten binäre differenzielle Delta-Updates für die Delta-Dateien. Die Delta-Installationspakete verwenden dieselbe zuvor beschriebene binäre Delta-Update-Technologie. Diese Technologie ermöglicht es, dass das Paket nur die Teile der Deltadateien enthält, die sich seit der vorherigen Version geändert haben. Diese binäre Delta-Update-Technologie trägt dazu bei, die Größe der Update-Datei zu reduzieren. Dies liegt daran, dass die Aktualisierungsdatei die Teile der Basisdefinition und der Engine-Dateien, die derzeit vom Agenten verwendet werden, nicht neu verteilt. Microsoft veröffentlicht möglicherweise mehrere Versionen eines binären Delta-Updatepakets. Jedes binäre Delta-Update-Paket enthält unterschiedliche Inhalte. Das Ziel der Veröffentlichung mehrerer Paketversionen besteht darin, sicherzustellen, dass Agenten ein optimiertes Update für ihre aktuelle Update-Stufe erhalten. Agenten, die die Engine und die Basisdateien des aktuellen Monats verwenden, aber nicht kürzlich genug aktualisiert wurden, um für das kleinere Delta-Update berechtigt zu sein, wenden die gesamten Deltadateien (MpAvDlta.vdm und MpAsDlta.vdm) an.
Größe
Im Allgemeinen liegen die Größenbereiche der Delta-Updates zwischen 50 und 2048 KB und die gesamten Delta-Dateien zwischen 1 und 15 MB, abhängig von mehreren Faktoren. Zu diesen Faktoren gehören die Dauer seit dem letzten Rebase und die Anzahl der Änderungen seit dem letzten Rebase.
No comments:
Post a Comment