Description des mises à jour de définition de sécurité Forefront endpoint

S’applique à : Forefront Endpoint Protection 2010System Center 2012 Endpoint Protection

 

INTRODUCTION


Les produits de sécurité Microsoft Forefront endpoint répertoriés dans la section S’applique à contient un agent contre les logiciels malveillants qui téléchargent régulièrement des mises à jour pour les fichiers de définition qu’il utilise pour identifier les virus, les logiciels espions et autres logiciels potentiellement indésirables. Agents de sécurité Forefront endpoint télécharge aussi périodiquement des mises à jour du moteur de détection. Microsoft fournit ces mises à jour à l’aide de Microsoft Update et Windows Server Update Service (WSUS) si elle est disponible. Pour télécharger manuellement les mises à jour, visitez le site Web de Microsoft à l’adresse suivante :

Plus d'informations


Fichiers de définition de

L’agent logiciel anti-programme malveillant de Microsoft utilise des modules de définition de virus (VDM) pour stocker les informations de détection des logiciels malveillants ou de logiciels potentiellement indésirables. L’agent logiciel anti-programme malveillant utilise les cinq fichiers suivants au cours de son fonctionnement normal

Le fichier MpAvBase.vdm contient le module de définition antivirus de base. Ce fichier est généralement mis à jour qu’une seule fois par mois par Microsoft et contient les informations de la base de virus qui sont utilisées pour générer les définitions de delta.


Le fichier MpAvDlta.vdm contient le module de définition antivirus delta. Ce fichier est généralement mis à jour plusieurs fois par jour par Microsoft et contient toutes les modifications qui ont eu lieu depuis la dernière base antivirue a été créée.


Le fichier MpAsBase.vdm contient le module de définition de base d’antispyware. Ce fichier est généralement mis à jour qu’une seule fois par mois par Microsoft et contient les informations de logiciels de base contre les logiciels espions et d’autres informations de logiciels potentiellement indésirables qui sont utilisées pour générer les définitions de delta.


Le fichier MpAsDlta.vdm contient le module de définition delta antispyware. Ce fichier est généralement mis à jour plusieurs fois par semaine par Microsoft et contient toutes les modifications qui ont eu lieu depuis la dernière base d’antispyware a été créée.


Le fichier MpEngine.dll contient le moteur de protection contre les programmes malveillants Microsoft. Les fichiers .vdm qui ont été mentionnées précédemment sont référencés par le moteur de protection contre les logiciels malveillants qui analyse les ressources système à la recherche de logiciels malveillants. Voici quelques exemples des ressources du système sont les clés de Registre, les processus et les fichiers. Ce fichier est généralement mis à jour qu’une seule fois par mois.


Définitions de relocaliser

Microsoft relocalise actuellement les définitions qu’une seule fois par mois. Au cours du processus de relocalisation, les définitions de delta sont combinées avec le fichier de définition de base précédent pour former un nouveau fichier de base. Le processus de relocalisation se produit à la fois les fichiers de définition antivirus et les fichiers de définition d’antispyware.

En raison du processus de relocalisation, la taille des nouveaux fichiers de base augmente généralement du mois précédent. Les nouveaux fichiers de base contiennent les définitions de base depuis le mois précédent et contient toutes les modifications dans les nouvelles définitions de delta. Immédiatement après le processus de relocalisation, les tailles des fichiers de définition de delta de réduisent de manière significative. Ce problème se produit parce que toutes les informations qu’elles contenaient se trouve dans leurs fichiers de base respectifs.

Que de nouvelles informations de logiciels malveillants sont générées, il est ajouté dans les fichiers de définition de delta à l’origine de la taille des fichiers à croître jusqu'à ce que la relocalisation suivante. La taille des fichiers de définition de base reste le même entre rebases.

Microsoft publie actuellement des mises à jour pour le moteur de protection contre les logiciels malveillants en même temps lorsque Microsoft exécute l’utilitaire rebase. Cela signifie que lorsque le processus de relocalisation se produit, l’agent anti-programme malveillant recevra une nouvelle version de tous les cinq fichiers mentionnés dans la section « Définition de contenu ».

Obtention des mises à jour de définition


Un client peut télécharger les mises à jour de la définition de la sécurité Forefront endpoint à l’aide d’une des trois façons suivantes :
  • Mise à jour de Microsoft
  • Windows Server Update Services
  • Téléchargement manuel
  • Partage de fichiers (Forefront Endpoint Protection uniquement)
Mise à jour de Microsoft

Microsoft publie des mises à jour de définition pour Microsoft Update. L’agent de sécurité de point de terminaison Forefront peut télécharger ces mises à jour directement à partir de Microsoft à l’aide de l’une des méthodes suivantes :
  • Élément de panneau de contrôle de mise à jour de Windows.
    Dans Panneau de configuration Windows Update, assurez-vous qu’il est indique « Vous recevez mises à jour pour Windows et d’autres produits Microsoft Updates ».
  • Le site Web Microsoft Update.
  • Automatiquement, en utilisant l’agent contre les logiciels malveillants.
  • Automatiquement, en utilisant le processus de mises à jour automatiques.
Il est associée à chaque mise à jour de la logique de détection. Cette logique de détection permet à Microsoft Update déterminer les mises à jour de définition en cours qui sont appliquées à l’agent. Microsoft Update utilise ces informations pour fournir uniquement le package de mise à jour de définition qui convient le mieux pour l’agent. Par exemple, un agent qui a la version actualisée de la mise à jour précédemment publiées définition télécharge uniquement un package delta différentielle binaire et ne télécharge pas le package d’installation complet.

Nouveaux packages de mise à jour de définition sont généralement publiées sur Microsoft Update trois fois par jour.


Windows Server Update Services

Microsoft publie des mises à jour de définition pour Microsoft Update et les rend disponibles pour Windows Server Update Services. Forefront endpoint security clients qui ont implémenté Windows Server Update Services peuvent télécharger ces mises à jour auprès de Microsoft en synchronisant la classification de la mise à jour de définition. Agents qui rendent compte à ce serveur Windows Server Update Services peuvent télécharger les définitions à l’aide de l’une des méthodes suivantes :
  • Élément de panneau de contrôle de mise à jour de Windows.
  • Automatiquement, en utilisant l’agent contre les logiciels malveillants.
  • Automatiquement, en utilisant le processus de mises à jour automatiques.


Similaire à Microsoft Update, il est logique de détection qui est associée à chaque mise à jour. Cette logique de détection permet à Windows Server Update Services fournir uniquement le package de mise à jour de définition qui convient le mieux pour l’agent.

Comme décrit dans la section Définition de relocalisation, le contenu, les définitions de base et le moteur ne modifiez pas entre relocalise. Pour cette raison, les définitions de base et le moteur sont offerts aux agents une fois par mois. Pour Windows Server mises à jour de Service (WSUS), ainsi que les moins les données en double sont téléchargées avec chaque mise à jour de définition. Lorsque vous affichez des informations sur les fichiers dans la console d’administration WSUS la liste contient les packages décrits dans la section récentes définitions ci-dessous.


Nouveaux packages de mise à jour de définition sont généralement publiées sur Windows Server Update Services trois fois par jour. La fréquence à laquelle ces mises à jour sont disponibles pour les ordinateurs dépend de la fréquence à laquelle le serveur WSUS synchronise avec Microsoft et comment les mises à jour sont approuvées pour le déploiement.


Téléchargement manuel

Certaines mises à jour de définition sont actuellement disponibles pour un téléchargement manuel à partir de Microsoft dans deux emplacements.

L’article suivant de la base de connaissances décrit comment télécharger manuellement les définitions lancées. Ces définitions correspondent généralement aux versions disponibles à l’aide de Microsoft Update et à l’aide de Windows Server Update Services. Sachez qui est actuellement uniquement les packages d’installation complète sont disponibles.
935934 comment télécharger manuellement les dernières mises à jour de définition contre les logiciels malveillants de Microsoft Forefront Client Security

L’article suivant de la base de connaissances décrit comment télécharger manuellement les définitions de la version bêta. Ces définitions sont publiées plus fréquemment et peuvent ne pas correspondant aux versions publiées sur Microsoft Update.
939757 comment télécharger la dernière version bêta des logiciels malveillants définition mise à jour de Forefront Client Security



Partage de fichiers UNC

Mise à jour à partir d’un partage de fichiers est effectuée par téléchargement manuel ou script de définitions d’une des sources ci-dessus et en les plaçant sur un partage de fichiers.


Mises à jour de définition

Le type de mise à jour de définition qu'un agent effectue est déterminé par la mise à jour, c’est avec les définitions en cours publiées par Microsoft.  Les agents qui ont mis à jour récemment télécharge et s’appliquent uniquement à très petites modifications que nouveaux agents doivent télécharger l’installation complète de définition à jour.

Nouveaux Agents

Description

L’installation complète est généralement uniquement pour les nouveaux agents contre les logiciels malveillants ou pour les agents avec des définitions qui n’ont pas été mis à jour pour plus d’un mois.  Après le téléchargement et l’installation, si les ordinateurs sont mis à jour qu’ils ne doivent pas tenus d’appliquer à nouveau l’installation complète.

Taille

En règle générale, la taille est de 40 à 70 Mo, en fonction de plusieurs facteurs. Ces facteurs incluent la durée depuis la dernière rebase et incluent le nombre de modifications depuis la dernière rebase.

Mois précédent

Description

Les agents qui utilisent des fichiers du mois précédent recevront une mise à jour delta binaire du moteur et définitions de base.  Les mises à jour delta binaire contient uniquement les parties des fichiers de base et des fichiers moteur qui ont changé depuis la version précédente. Pour plus d’informations sur Microsoft technologie de mise à jour delta binaire utilisée dans ce package, consulter l’article TechNet suivant : Interface de programmation d’Application Delta Compression 


Taille

En règle générale, la taille de cette installation est de 1 à 15 Mo, en fonction de plusieurs facteurs. Ces facteurs incluent la durée depuis la dernière rebase et incluent le nombre de modifications depuis la dernière rebase. En règle générale, la taille est de 1 à 8 Mo, en fonction de plusieurs facteurs. Ces facteurs incluent la durée depuis la dernière rebase et incluent le nombre de modifications depuis la dernière rebase.

Définitions récentes

Description

La grande majorité de mise à jour doit être appliquée aux agents qui utilisent le moteur et les fichiers de base à partir du mois en cours.  Dans ce cas, seuls les fichiers delta (MpAvDlta.vdm et MpAsDlta.vdm) doivent être mis à jour.

Agents qui utilisent des versions très récentes des définitions de logiciels anti-programmes malveillants recevront les mises à jour les fichiers delta binaires différentielle.  Les packages d’installation delta utilisent la même technologie de mise à jour delta binaire décrite précédemment. Cette technologie permet au package de contenir uniquement les parties des fichiers delta qui ont changé depuis la version précédente. Cette technologie de mise à jour delta binaire permet de réduire la taille du fichier de mise à jour. Cela se produit car le fichier de mise à jour ne redistribue pas les parties de la définition de base et des fichiers moteur qui sont actuellement utilisés par l’agent. Microsoft peut publier plusieurs versions d’un package de mise à jour delta binaire. Chaque package de mise à jour delta binaire contient un contenu différent. L’objectif de la publication de plusieurs versions d’un lot est pour vous assurer que les agents reçoivent une mise à jour optimisée pour leur niveau de mise à jour en cours. Les agents qui utilisent le moteur et les fichiers de base à partir du mois en cours, mais ont assez récemment pas mis à jour pour pouvoir bénéficier de la mise à jour delta plus petit, appliquera les fichiers de l’ensemble delta (MpAvDlta.vdm et MpAsDlta.vdm).

Taille

En règle générale, les plages de la taille de la mise à jour delta sont de 50-2048 Ko et les fichiers de l’ensemble delta sont de 1 à 15 Mo, en fonction de plusieurs facteurs. Ces facteurs incluent la durée depuis la dernière rebase et incluent le nombre de modifications depuis la dernière rebase.