続:Windows Updateは止めたいけれど、Windows Defender を利用しているので、Defender のパターンファイルは適用したい

投稿者: | 2019年1月28日

前回のおさらい

Windows Server 2016 と Windows 10 では、
GPO またはローカルポリシーの設定をすると、Windows Update は止められます。
ダウンロードすらできなくする方法と、ダウンロードをしたいときにボタンを押してダウンロード~インストールとする方法とありました。

どちらにせよ、これとは別に Windows Update で配られている Windows Defender のパターンファイルの更新まで止められたら運用しづらいというケースで、Windows Defender のパターンファイルをコマンドで(Windows Update より新しい MMPC から)ダウンロードするバッチを作って、タスクスケジューラに設定する方法を調べました。

前の記事:Windows Updateは止めたいけれど、Windows Defender を利用しているので、Defender のパターンファイルは適用したい

別の方法でWindows Defenderのパターンファイルを最新にする

まず、Windows Update を止める(ダウンロードを手動にする)方法の部分です。

GPOまたはローカルポリシーで設定します。

以下のように、「ダウンロード」のボタンを押すことになっています。
表示は『 Windows Defender Antivirus の定義の更新 – KB2267602 (定義 1.285.258.0)』が止まっています。

GPOまたはローカルポリシーで設定します。
以下は Windows Server 2016 です。

管理用テンプレート > Windowsコンポーネント > Endpoint Protectin >署名の更新

ここにある、『定義の更新をチェックする間隔を指定する』を有効にして時間を設定します。

Windows Update より MMPC のほうが新しいので『定義の更新をダウンロードするための更新元の順序を定義する』で、{MMPC | MicrosoftUpdateServer} を設定しておきます。

すると、時間で検査されて、アップデートがされています。
これは Windows Defender の設定画面。
先ほどのよりも新しいパターンファイルが適用されていることがわかります。

ログも確認します。
C:\Windows\temp\MpCmdRun.log です。


アップデートされていることと、1時間おきにチェックが入っているように見えます。

なお、 Windows 10 の場合、ポリシーが EndpointProtection ではなくて、Windows Defender になっている点に注意してください。