Cómo implementar las definiciones de Endpoint Protection mediante un procedimiento de copia de archivos

Se aplica a: Forefront Endpoint Protection 2010System Center 2012 Endpoint Protection

INTRODUCCIÓN


Este artículo describe cómo implementar las definiciones de Endpoint Protection * mediante un procedimiento de copia de archivos. El Antimalware Service supervisa un directorio del sistema de archivos para los nuevos archivos de definición y para los nuevos archivos de motor. Si se agregan actualizaciones válidas en ese directorio, el Antimalware Service utiliza las versiones actualizadas de estos archivos.

* Endpoint Protection es a que se refiere a un grupo de los productos Antivirus de Microsoft e incluye:
  • Forefront Client Security
  • Forefront Endpoint Protection 2010
  • Protección de extremos de System Center 2012



Más información


Si es administrador y desea actualizar los archivos de definición de software malintencionado en un equipo cliente, quizás desee utilizar un equipo cliente actualizadas o extraído los archivos de instalación como una fuente. En esta situación, se utiliza un procedimiento de copia de archivos. Para admitir esta práctica, el Antimalware Service supervisa un directorio del sistema de archivos para los nuevos archivos de definición y para los nuevos archivos de motor.

Si se agregan nuevos archivos de definición a ese directorio, se notifica el Antimalware Service y valida los archivos para asegurarse de que las condiciones siguientes son verdaderas:
  • Los archivos de definición y los archivos del motor son de la arquitectura correcta. (Son compatibles con Forefront Client Security).
  • El motor coincide con los archivos de definición.
  • Las definiciones de bases coincide con las definiciones de delta.
  • Los archivos instalados actualmente no son más recientes que los archivos de actualización.
Si se cumplen estas condiciones, el Antimalware Service utiliza el proceso de actualización estándar para instalar los nuevos archivos.

Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

953523 Cómo las actualizaciones de servicios Antimalware de Forefront Client Security, Forefront Endpoint Protection 2012 y Microsoft System Center 2012 Endpoint Protection actualizan el antimalware engine archivos y los archivos de definiciones de antimalware

El siguiente directorio supervisado en el equipo local por la Antimalware Service:

Forefront Client Security:
%ALLUSERSPROFILE%\APPLICATION DATA\MICROSOFT\MICROSOFT FOREFRONT\CLIENT SECURITY\CLIENT\ANTIMALWARE\DEFINITION UPDATES\UPDATES
En Windows 2000, Windows XP y Windows Server 2003, este directorio se expande normalmente a la siguiente:
C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Forefront\Client Security\Client\Antimalware\Definition Updates\Updates
En Windows Vista y en Windows Server 2008, este directorio se expande normalmente a la siguiente:
C:\ProgramData\Application Data\Microsoft\Microsoft Forefront\Client Security\Client\Antimalware\Definition Updates\Updates

Forefront Endpoint Protection 2010 y protección de extremo de System Center 2012:
%ALLUSERSPROFILE%\MICROSOFT\MICROSOFT ANTIMALWARE\DEFINITION UPDATES\UPDATES
n de Windows XP, y en Windows Server 2003, este directorio se expande normalmente a la siguiente:

C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Updates
En Windows Vista y en Windows Server 2008, este directorio se expande normalmente a la siguiente:

C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\Updates

El cliente de Endpoint Protection admite dos tipos de actualizaciones.
  • Actualización completa

    Una actualización completa incluye un nuevo motor de antimalware y copias de los archivos de definición de delta base para funcionalidad antivirus y antispyware.

    Estos archivos incluyen los siguientes:
    • Mpasbase.vdm
    • Mpasdlta.vdm
    • Mpavbase.vdm
    • Mpavdlta.vdm
    • Mpengine.dll
  • Actualización de Delta

    Una actualización de delta incluye sólo aquellos archivos que son más recientes en el equipo de origen que los archivos correspondientes en el equipo de destino. Esta actualización podrá consistir sólo de los archivos delta de antivirus, o podrá estar compuesto de los archivos delta de antivirus y los archivos de definición de delta de antispyware.
Una actualización de delta se aplica más fácilmente mediante la ejecución de un comando de copia que actualiza los archivos más recientes sólo en el equipo de destino. Por ejemplo, podría aplicar una actualización ejecutando un comando similar al siguiente:
xcopy /d
Nota: Este método depende de la configuración específica del equipo de destino. Por ejemplo, el directorio de actualización en este equipo no puede contener los archivos de definición.

El origen del procedimiento de copia de archivos debe ser una copia descargada y extraída de los archivos de definición o los archivos de definición activa actual en un cliente de Endpoint Protection totalmente funcional. Puede encontrar estos archivos en la siguiente subclave del registro:

Forefront Client Security:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0AM\Signature Updates\SignatureLocation
Normalmente, estos archivos residen en el directorio siguiente de esta subclave:
%ALLUSERSPROFILE%\APPLICATION DATA\MICROSOFT\MICROSOFT FOREFRONT\CLIENT SECURITY\CLIENT\ANTIMALWARE\DEFINITION actualizaciones de productos\{GUID}
Nota: Esta ruta puede ser ligeramente diferente en Windows Vista o en Windows 2008 porque en esos sistemas, se resuelven totalmente los puntos de unión del sistema. El marcador de posición {GUID} representa un identificador único generado.

Forefront Endpoint Protection 2010 y protección de extremo de System Center 2012:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureLocation
Normalmente, estos archivos residen en el directorio siguiente de esta subclave:

%ALLUSERSPROFILE%\MICROSOFT\MICROSOFT ANTIMALWARE\DEFINITION actualizaciones de productos\{GUID}
Nota: Esta ruta puede ser ligeramente diferente en Windows Vista o en Windows 2008 porque en esos sistemas, se resuelven totalmente los puntos de unión del sistema. El marcador de posición {GUID} representa un identificador único generado.


Puede copiar desde un origen local a un destino remoto ejecutando un comando similar al siguiente:

Forefront Client Security:
xcopy "C:\ProgramData\Application Data\Microsoft\Microsoft Forefront\Client Security\Client\Antimalware\Definition Updates\{F2D379FD-8365-43FD-9850-05DDAD4C4FE6}" "\\server2\c$\ProgramData\Application Data\Microsoft\Microsoft Forefront\Client Security\Client\Antimalware\Definition Updates\Updates" /d


Forefront Endpoint Protection 2010 y protección de extremo de System Center 2012:
xcopy "C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{F2D379FD-8365-43FD-9850-05DDAD4C4FE6}" "\\server2\c$\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\Updates" /d