Descripción de las actualizaciones de definiciones de Forefront endpoint security

Se aplica a: Forefront Endpoint Protection 2010System Center 2012 Endpoint Protection

 

INTRODUCCIÓN


Los productos de seguridad de Microsoft Forefront endpoint enumerados en la sección Se aplica a contengan a un agente antimalware que descargue periódicamente las actualizaciones a los archivos de definición que se utiliza para identificar los virus, spyware y otro software potencialmente no deseado. Agentes de seguridad de Forefront endpoint también pueden descargar periódicamente las actualizaciones del motor de detección. Microsoft ofrece estas actualizaciones mediante Microsoft Update y Windows Server Update Service (WSUS) si está disponible. Para descargar manualmente las actualizaciones, visite el siguiente sitio Web de Microsoft:

Más información


Archivos de definición

El agente antimalware de Microsoft utiliza módulos de definición de virus (VDMs) para almacenar información de detección sobre software malintencionado o software potencialmente no deseado. El agente antimalware utiliza los cinco archivos siguientes durante su funcionamiento normal

El archivo MpAvBase.vdm contiene el módulo de definición de base de antivirus. Este archivo normalmente se actualiza sólo una vez al mes por Microsoft y contiene la información de la base de virus que se utiliza para generar las definiciones de delta.


El archivo MpAvDlta.vdm contiene el módulo de definición antivirus delta. Este archivo normalmente se actualiza varias veces al día por Microsoft y contiene todos los cambios que se han producido desde que se creó la última base de antivirus.


El archivo MpAsBase.vdm contiene el módulo de definición base de antispyware. Este archivo normalmente se actualiza sólo una vez al mes por Microsoft y contiene la información de software base de spyware y otros software potencialmente no deseado que se utiliza para generar las definiciones de delta.


El archivo MpAsDlta.vdm contiene el módulo de definición de delta de antispyware. Este archivo normalmente se actualiza varias veces por semana por Microsoft y contiene todos los cambios que se han producido desde que se creó la última base de antispyware.


El archivo MpEngine.dll contiene el motor de protección contra malware de Microsoft. El motor de protección contra malware que explora los recursos del sistema buscando malware hace referencia a los archivos .vdm que se han mencionado anteriormente. Algunos ejemplos de los recursos del sistema son claves del registro, procesos y archivos. Este archivo normalmente se actualiza sólo una vez al mes.


Reajustar las definiciones

Actualmente, Microsoft reajusta definiciones sólo una vez al mes. Durante el proceso de reajuste, las definiciones de delta se combinan con el archivo de definición de base anterior para formar un nuevo archivo de base. El proceso de reajuste se produce en los archivos de definición antivirus y en los archivos de definición de antispyware.

Debido al proceso de reajustar el tamaño de los nuevos archivos de bases normalmente aumenta del mes anterior. Los nuevos archivos de bases contienen las definiciones de bases del mes anterior y contienen todos los cambios de las nuevas definiciones de delta. Inmediatamente después del proceso de reajuste, los tamaños de los archivos de definición de delta se reducen significativamente. Este comportamiento se produce porque se encuentra toda la información que contenían anteriormente en sus respectivos archivos bases.

Cuando se genera la nueva información de malware, se agrega a los archivos de definición de delta causando el tamaño de los archivos de crecer hasta el próximo reajuste. El tamaño de los archivos de definición de base sigue siendo el mismo entre la llave.

Actualmente, Microsoft publica actualizaciones para el motor de protección contra malware al mismo tiempo cuando Microsoft realiza el reajuste. Esto significa que cuando se produce el proceso de reajuste, el agente antimalware recibirá una nueva versión de los cinco archivos que se mencionan en la sección "Definición de contenido".

Obtener actualizaciones de definiciones


Un cliente puede descargar las actualizaciones de definiciones de Forefront endpoint security mediante cualquiera de las tres maneras siguientes:
  • Microsoft Update
  • Windows Server Update Services
  • Descarga manual
  • Recurso compartido de archivos (sólo para Forefront Endpoint Protection)
Microsoft Update

Microsoft publica actualizaciones de definiciones a Microsoft Update. El agente de seguridad de Forefront endpoint puede descargar estas actualizaciones directamente de Microsoft mediante uno de los métodos siguientes:
  • Elemento de Panel de control de Windows Update.
    En el subprograma de Windows Update, asegúrese de que es muestra "Recibirá actualizaciones para Windows y otros productos de Microsoft Updates".
  • El sitio Web de Microsoft Update.
  • Automáticamente mediante el agente antimalware.
  • Automáticamente mediante el proceso de actualizaciones automáticas.
No hay asociada con cada actualización de la lógica de detección. Esta lógica de detección permite a Microsoft Update determinar las actualizaciones de definición actual que se aplicarán al agente. Microsoft Update utiliza esta información para proporcionar sólo el paquete de actualización de definición es el más conveniente para el agente. Por ejemplo, un agente que tenga la versión actualizada de la actualización publicada anteriormente definición descarga sólo un paquete de diferencias del código binario diferencial y descargar el paquete de instalación completo.

Nuevos paquetes de actualización de definición suelen publicarse a Microsoft Update tres veces al día.


Windows Server Update Services

Microsoft publica actualizaciones de definiciones a Microsoft Update y pone a su disposición a Windows Server Update Services. Los clientes de Forefront endpoint security que han implementado Windows Server Update Services pueden descargar estas actualizaciones de Microsoft mediante la sincronización de la clasificación de la actualización de las definiciones. Agentes que informan a ese servidor de Windows Server Update Services pueden descargar las definiciones mediante uno de los métodos siguientes:
  • Elemento de Panel de control de Windows Update.
  • Automáticamente mediante el agente antimalware.
  • Automáticamente mediante el proceso de actualizaciones automáticas.


Es similar a Microsoft Update, hay lógica de detección que se asocia con cada actualización. Esta lógica de detección permite a Windows Server Update Services proporcionar sólo el paquete de actualización de definición es el más conveniente para el agente.

Como se describe en la sección de definiciones de reajuste, el contenido de las definiciones de bases y el motor no cambie entre la llave. Por este motivo, las definiciones de bases y el motor se ofrecen a los agentes una vez al mes. Para Windows Server actualizaciones Service (WSUS), esto garantiza que se descargan menos datos duplicados con cada versión de actualización de definición. Al ver la información de archivo en la consola de administración de WSUS la lista contiene los paquetes descritos en la sección de definiciones recientes a continuación.


Nuevos paquetes de actualización de definición suelen publicarse a Windows Server Update Services tres veces al día. La frecuencia a la que estas actualizaciones estén disponibles para los equipos depende de la frecuencia con la que el servidor WSUS sincroniza con Microsoft y cómo se aprueban las actualizaciones para su implementación.


Descarga manual

Algunas actualizaciones de definición están actualmente disponibles para una descarga manual de Microsoft en dos ubicaciones.

El siguiente artículo de knowledge base describe cómo descargar manualmente las definiciones publicadas. Normalmente, estas definiciones se corresponden a las versiones disponibles con Microsoft Update y mediante Windows Server Update Services. Tenga en cuenta que actualmente sólo están disponibles los paquetes de instalación completa.
935934 cómo descargar manualmente las últimas actualizaciones de definiciones de antimalware de Microsoft Forefront Client Security

El siguiente artículo de knowledge base describe cómo descargar manualmente las definiciones de beta. Estas definiciones se publican con más frecuencia y pueden no coincidir con las versiones que se publican en Microsoft Update.
939757 cómo descargar la última actualización de definición de software malintencionado de beta para Forefront Client Security



Recurso compartido UNC

Actualizar desde un recurso compartido de archivos se realiza mediante la descarga manual o secuencias de comandos de definiciones de uno de los orígenes por encima y colocándolos en un recurso compartido de archivos.


Actualizaciones de definiciones

El tipo de actualización de definición que realiza un agente se determina por el grado de actualización es con definiciones actuales publicadas por Microsoft.  Agentes que han actualizado recientemente las descarga y aplica sólo cambios muy pequeños mientras que los nuevos agentes tendrá que descargar la instalación de definición completa esté actualizada.

Nuevos agentes

Descripción

Suele ser la instalación completa sólo para los nuevos agentes de antimalware o para los agentes con las definiciones que no se han actualizado para más de un mes.  Después de la descarga y la instalación, si se mantengan actualizados los equipos ellos no deben aplicar otra vez la instalación completa.

Tamaño

Por lo general, el tamaño es de 40-70 MB, dependiendo de varios factores. Estos factores incluyen la duración desde el último reajuste e incluyen el número de cambios desde el último reajuste.

Mes anterior

Descripción

Los agentes que utilizan archivos del mes anterior recibirán una actualización de diferencias de código binario del motor y las definiciones de bases.  Las actualizaciones de diferencias de código binario contienen sólo las partes de los archivos de bases y de los archivos que han cambiado desde la versión anterior del motor. Para obtener más información acerca de lo Microsoft tecnología de actualización delta binaria utilizada en este paquete, consulte el siguiente artículo de TechNet: Interfaz de programación de aplicaciones de compresión de Delta 


Tamaño

Por lo general, el tamaño de esta instalación es de 1 a 15 MB, dependiendo de varios factores. Estos factores incluyen la duración desde el último reajuste e incluyen el número de cambios desde el último reajuste. Por lo general, el tamaño es de 1 a 8 MB, dependiendo de varios factores. Estos factores incluyen la duración desde el último reajuste e incluyen el número de cambios desde el último reajuste.

Definiciones recientes

Descripción

La mayoría de las actualizaciones de definición debe aplicarse a los agentes que utilizan el motor y los archivos base del mes actual.  En esta situación, sólo los archivos delta (MpAvDlta.vdm y MpAsDlta.vdm) deben actualizarse.

Los agentes que utilizan las versiones muy recientes de las definiciones de antimalware recibirá actualizaciones diferenciales binarias de los archivos delta.  Los paquetes de instalación de delta utilizan la misma tecnología de actualización de diferencias de código binario que se ha descrito anteriormente. Esta tecnología permite que el paquete contenga sólo las partes de los archivos delta que han cambiado desde la versión anterior. Esta tecnología de actualización delta binaria ayuda a reducir el tamaño del archivo de actualización. Esto se produce porque el archivo de actualización no redistribuir las partes de la definición de base y de los archivos de motor utilizados actualmente por el agente. Microsoft puede publicar varias versiones de un paquete de actualización de diferencias de código binario. Cada paquete de actualización de diferencias de código binario contiene contenido diferente. El objetivo de la publicación de varias versiones de paquete es para asegurarse de que los agentes reciben una actualización optimizada para su nivel de actualización actual. Agentes que están utilizando el motor y los archivos base del mes actual, pero no se han actualizado recientemente suficiente para ser elegible para la actualización de delta más pequeña, aplicarán los archivos todo delta (MpAvDlta.vdm y MpAsDlta.vdm).

Tamaño

Generalmente, los intervalos de tamaño de las actualizaciones de delta son de 50-2048 KB y los archivos delta todo son de 1 a 15 MB, dependiendo de varios factores. Estos factores incluyen la duración desde el último reajuste e incluyen el número de cambios desde el último reajuste.