针对Endpoint Protection客户端的 2016 年 3 月反恶意软件平台更新

此反恶意软件平台更新包含以下改进：

• 改进了对 可能不需要的应用程序 (PUA)的检测。 这会阻止通过 Internet Explorer、Firefox 和 Chrome 下载 PUA。 它还在以下情况和位置检测 PUA：
  
  它不会检测到这些文件夹外部，也不会删除已安装的 PU。 必须通过配置以下注册表子项来启用它：
  

  注册表位置： HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Microsoft Antimalware\MpEngine
  DWORD 名称：MpEnablePUS
  DWORD 值：1

  • 具有 Web 标记的文件 (MOTW)

  • 下载文件夹中的文件

  • Temp 文件夹中的文件

• VDI 对 UI 进行了改进，以便更好地处理多个远程会话，并防止任何用户在恶意软件清理需要重启时重新启动计算机。 管理员可以通过使用此 GPO 来控制此操作。
  

  注册表位置： HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Antimalware\UX Configuration
  DWORD 名称：SuppressRebootNotification
  DWORD 值：1

• 虚拟机性能优化涉及内存使用情况和初始 VM 加载时间。 脚本可用于允许在主机服务器上下载签名并由 VM 重用一次。 这会在下载签名时保存网络带宽。 有关脚本的信息，请单击此处。

• 可以将检测到的威胁文件的哈希 (SHA1) 记录在事件日志中，以便进行其他研究并与其他威胁流相关。 若要启用 SHA1 日志记录，请配置以下注册表子项：

  注册表位置： HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Microsoft Antimalware
  DWORD 名称：ThreatFileHashLogging
  DWORD 值：1
  检测到威胁文件并启用哈希日志记录时，会在系统日志中记录 EventID 1120。

• 若要在Windows 10和Windows Defender 防病毒上启用 SHA1 日志记录，请配置以下注册表子项：

  注册表位置： HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  DWORD 名称：ThreatFileHashLogging
  DWORD 值：1

如何获取此更新

先决条件

若要应用此更新，必须安装以下项之一：

• System Center 2012 R2 Configuration Manager

• System Center 2012 Configuration Manager Service Pack 1 的累积更新 4

• 2007 System Center Configuration Manager Service Pack 2 和 Forefront Endpoint Protection 2010 的更新汇总 1

重启信息

应用此更新后可能需要重启计算机。

更新替换信息

此更新将替换 2015 年 5 月 3049560 更新。

版本信息

此更新将反恶意软件客户端版本引入 到 4.9.218.0。 若要查找版本信息，请单击Endpoint Protection客户端用户界面的“帮助”菜单。

文件信息

此修补程序的英文版具有下表中列出的文件属性（或较新的文件属性）。 这些文件的日期和时间以协调世界时 (UTC) 格式列出。 在查看文件信息时，文件时间将转换为本地时间。 要了解 UTC 与本地时间之间的时差，请使用控制面板中“日期和时间”项中的“时区”选项卡。