前回のおさらい
Windows Server 2016 と Windows 10 では、
GPO またはローカルポリシーの設定をすると、Windows Update は止められます。
ダウンロードすらできなくする方法と、ダウンロードをしたいときにボタンを押してダウンロード~インストールとする方法とありました。
どちらにせよ、これとは別に Windows Update で配られている Windows Defender のパターンファイルの更新まで止められたら運用しづらいというケースで、Windows Defender のパターンファイルをコマンドで(Windows Update より新しい MMPC から)ダウンロードするバッチを作って、タスクスケジューラに設定する方法を調べました。
前の記事:Windows Updateは止めたいけれど、Windows Defender を利用しているので、Defender のパターンファイルは適用したい
別の方法でWindows Defenderのパターンファイルを最新にする
まず、Windows Update を止める(ダウンロードを手動にする)方法の部分です。
GPOまたはローカルポリシーで設定します。
以下のように、「ダウンロード」のボタンを押すことになっています。
表示は『 Windows Defender Antivirus の定義の更新 – KB2267602 (定義 1.285.258.0)』が止まっています。
GPOまたはローカルポリシーで設定します。
以下は Windows Server 2016 です。
管理用テンプレート > Windowsコンポーネント > Endpoint Protectin >署名の更新
ここにある、『定義の更新をチェックする間隔を指定する』を有効にして時間を設定します。
Windows Update より MMPC のほうが新しいので『定義の更新をダウンロードするための更新元の順序を定義する』で、{MMPC | MicrosoftUpdateServer} を設定しておきます。
すると、時間で検査されて、アップデートがされています。
これは Windows Defender の設定画面。
先ほどのよりも新しいパターンファイルが適用されていることがわかります。
ログも確認します。
C:\Windows\temp\MpCmdRun.log です。
アップデートされていることと、1時間おきにチェックが入っているように見えます。
なお、 Windows 10 の場合、ポリシーが EndpointProtection ではなくて、Windows Defender になっている点に注意してください。