简介
在适用于部分列出的 Microsoft 前沿端点安全产品包含反恶意软件代理程序定期将更新下载到它使用来标识病毒、 间谍软件和其他可能有害的软件的定义文件。Forefront 安全代理终结点可能还会定期下载检测引擎更新。Microsoft 提供了使用 Microsoft 更新以及 Windows 服务器更新服务 (WSUS),如果有这些更新。若要手动下载这些更新,请访问下面的 Microsoft 网站:
详细信息
定义文件
Microsoft 反恶意软件代理使用病毒定义模块 (Vdm) 来存储有关恶意软件或潜在不需要的软件的检测信息。反恶意软件代理在其常规操作过程中使用下面的五个文件
MpAvBase.vdm文件中包含防病毒的基本定义模块。 此文件通常由 Microsoft 更新一次,每月,包含用于生成增量定义的基病毒信息。
MpAvDlta.vdm文件中包含防病毒增量定义模块。 此文件通常由 Microsoft 更新每日多次并且包含创建的最后一个防病毒基以来发生的所有更改。
MpAsBase.vdm文件中包含间谍软件基本定义模块。 此文件通常由 Microsoft 更新一次,每月,包含基本的间谍软件信息和用于生成增量定义其他可能有害的软件信息。
MpAsDlta.vdm文件中包含反间谍增量定义模块。 此文件通常由 Microsoft 更新每周多次并且包含创建的最后一个反间谍软件基以来发生的所有更改。
MpEngine.dll文件中包含 Microsoft 恶意软件防护引擎。 通过扫描寻找恶意软件的系统资源的恶意软件防护引擎引用前面提到的.vdm 文件。 系统资源的示例包括文件、 进程和注册表项。此文件通常被更新每月一次。
Rebase 定义
目前,Microsoft rebases 定义每个月只有一次。重定基本值过程中,增量定义被结合以前的基本的定义文件,以形成一个新的基本文件。重定基本值过程发生在防病毒定义文件和反间谍软件定义文件。
重定基本值过程中,新的基本文件的大小通常从上个月将增加。新的基本文件包含从上个月的基本定义,并且包含新的增量定义中的所有更改。立即重定基本值过程之后,可以大大减少增量定义文件的大小。出现此现象是因为他们以前包含的所有信息都位于其各自的基本文件。
生成新的恶意软件信息时,它被添加到增量定义文件,导致文件增长直到下一次重定基本值的大小。基定义文件的大小保持不变,rebases 之间。
Microsoft 目前 Microsoft 执行重定基本值时同时发布恶意软件防护引擎更新。这意味着重定基本值过程发生时,反恶意软件代理程序将接收所有"定义内容"一节中提到的五个文件的新版本。
获取定义更新
客户可以下载最前沿端点安全定义更新使用以下三种方法之一:
-
Microsoft 更新
-
窗口服务器更新服务
-
手动下载
-
文件共享 (仅保护前沿终结点)
Microsoft 更新
Microsoft 发布到 Microsoft 更新特征码更新。Forefront 端点安全代理可以直接从 Microsoft 下载这些更新,通过使用以下方法之一:
-
对于 Windows 更新控制面板项。
在 Windows 更新程序,请确保它显示"您收到更新为 Windows 和其他产品从 Microsoft 更新。
-
微软更新网站。
-
自动通过使用的反恶意软件代理。
-
自动通过使用自动更新过程。
没有与每个更新检测逻辑。此检测逻辑允许 Microsoft 更新以确定应用于代理的当前定义更新。Microsoft 更新使用该信息提供只是最适合该代理的定义更新软件包。例如,具有以前发布的定义更新的最新版本的代理下载二进制差异增量软件包并不会下载完整的安装程序包。
每日三次新定义更新程序包通常发布到 Microsoft 更新。
Windows 服务器更新服务
Microsoft 将定义更新发布到 Microsoft 更新,使 Windows 服务器更新服务。实现了 Windows 服务器更新服务的前沿端点安全客户可以通过同步定义更新分类从 Microsoft 下载这些更新。向 Windows 服务器更新服务服务器报告的代理可以下载定义通过使用下列方法之一:
-
对于 Windows 更新控制面板项。
-
自动通过使用的反恶意软件代理。
-
自动通过使用自动更新过程。
类似于 Microsoft 更新,没有与每个更新的检测逻辑。此检测逻辑允许 Windows 服务器更新服务,以提供只是最适合该代理的定义更新软件包。
重定基本值定义部分所述,rebases 之间没有更改内容的基本定义和引擎。 鉴于此,基本定义和引擎提供了向代理一个月一次。针对 Windows 服务器更新服务驱动程序列表,这将确保不重复数据将下载与每个定义更新发行版。 在 WSUS 管理控制台中查看文件信息时列表将包含下面的新的定义一节中所述的软件包。
每日三次新定义更新程序包通常发布到 Windows 服务器更新服务。这些更新计算机可以使用的频率取决于与微软公司以及如何更新已被准许部署 WSUS 服务器同步的频率。
手动下载
一些特征码更新目前的另外两个地点的 Microsoft 的手动下载。
下面的知识库文章描述了如何手动下载已发布的定义。通过使用 Microsoft 更新以及使用 Windows 服务器更新服务,这些定义通常对应于可用的版本。请注意当前只会提供完整的安装包。
935934如何手动下载最新的反恶意软件定义更新 Microsoft Forefront 客户端安全
下面的知识库文章描述了如何手动下载测试版定义。 这些定义更频繁地发布,可能不会对应到 Microsoft 更新已发布的版本。
939757如何下载最新的测试版恶意软件定义更新 Forefront 客户端安全
UNC 文件共享
从文件共享更新是通过手动或脚本下载的定义从一个以上的源并将其放在文件共享上。
特征码更新确定定义更新代理程序执行的类型是包含最新定义由 Microsoft 发布的最新程度如何。 已更新的代理最近将下载并应用最小更改,而新的代理程序将需要下载成为最新的完整定义安装。
新的代理程序
说明
完整的安装通常是仅对新的反恶意软件代理或代理的定义一个多月没有更新了。 在下载和安装之后, 如果计算机保持为最新它们应该不需要应用完整的安装。
大小
通常情况下,大小是从 40-70 MB,这取决于几个因素。这些因素包括自上次重定基本值的持续时间,包括自上一次重定基本值的更改的数目。
上个月
说明
代理程序正在使用文件的前一个月将收到的引擎和基本定义的二进制增量更新。 这些二进制增量更新包含仅部分的基本文件和引擎自上一版本以来更改过的文件。在这个包中使用了二进制增量更新技术有关 Microsoft 更多信息查看以下 TechNet 文章:增量压缩应用程序编程接口
大小
通常情况下,此安装程序的大小是从 1-15 MB,这取决于几个因素。这些因素包括自上次重定基本值的持续时间,包括自上一次重定基本值的更改的数目。通常情况下,大小是从 1 8 MB,这取决于几个因素。这些因素包括自上次重定基本值的持续时间,包括自上一次重定基本值的更改的数目。
新的定义
说明
绝大多数的特征码更新应该应用于代理程序使用的引擎,并从当月的基本文件。 在此情况下,只有 delta 文件 (MpAvDlta.vdm 和 MpAsDlta.vdm) 需要更新。
使用最新版本的反恶意软件定义的代理会接收到增量文件的二进制差异增量更新。 增量的安装包都使用前面所述的相同二进制增量更新技术。此技术允许在包中包含只有自上一版本以来已更改的增量文件的部分。该二进制增量更新技术有助于减少更新文件的大小。这是因为更新文件再和引擎文件当前所使用的代理的基本定义的部分未发行。Microsoft 可能会将几个二进制增量更新软件包的版本发布。每个二进制增量更新软件包中包含不同的内容。发布多个包版本的目标是确保代理收到其当前的更新级别的优化的更新。代理程序使用的引擎和基本文件从当前月份,但尚未更新,最近将有资格获得较小的增量更新,将整个增量文件 (MpAvDlta.vdm 和 MpAsDlta.vdm)。
大小
通常情况下,增量更新的大小范围从 50 2048 KB 而且整个增量文件是从 1-15 MB,这取决于几个因素。这些因素包括自上次重定基本值的持续时间,包括自上一次重定基本值的更改的数目。
