问题:带有 Windows 10 工作站的 Windows 域环境无法可靠地更新 Windows Defender。
我每周使用 ACAS 扫描我的环境,每周至少有几个工作站会报告它们超过一天没有更新定义或签名(插件会检查超过一天)。有时定义可能已经过期一周或更长时间!它通常是随机分类的机器,所有机器都在线,其中一些在扫描期间使用过,但有些是持久的 - 我保留的一台作为故障排除的演示机器已经过期两周以上。
我设置了 GPO 来告诉它从哪里获取更新(MicrosoftUpdateServer|InternalDefinitionUpdateServer|WindowsServerUpdateService|MMPC)、更新频率(启动时,这是默认设置,以及每天凌晨 3 点(根据策略)手动检查(默认设置)),以及在需要“补齐”更新之前强制执行 1 天的限制。还有一个单独的策略说“使用 Windows 更新”,但无论是否启用它都没有影响。这些都没有给我提供可靠的更新,尽管所有机器都获得了该策略,而且显然有些机器的更新足够可靠,以至于 ACAS 不会每次都标记它们。
如果我通过命令行手动运行更新程序,它非常可靠 - 该命令是
MpCmdRun.exe-删除定义-动态签名
其次是
MpCmdRun.exe-签名更新
这告诉我,它确实可以在收到命令时获取更新(一些机器获取了更新就是证据)。我尝试设置 GPO 来将此安排为任务,但步骤 1 在凌晨 1 点完成,而步骤 2 总是在预定时间失败(通常是凌晨 1:15,代码为 0x2,但没有任何结果 - 仍然无法弄清楚)。
我确实也尝试过通过 WSUS 推送这些更新,每天进行一次拉取并自动批准,但工作站从未下载更新 - Windows 更新控制台会注意到它们,但它会永远挂在 0% 下载状态,甚至有时显然可以阻止其他更新也被拉到该工作站上。
有人遇到过这种不可靠的 Windows Defender 更新计划吗?你是如何克服它的?