Могу ли я использовать gpo для установки антивирусных патчей или обновления?
Есть ли способ расширить wsus для этого?
Вы можете использовать назначение программного обеспечения GPO для выпуска нового программного обеспечения AV. На самом деле это отличный способ обеспечить защиту всех ваших рабочих станций: если компьютер находится в организационной единице с антивирусной политикой, он воля установить антивирусное программное обеспечение. (Просто убедитесь, что если вы переключаете AV-платформу, что случайно не вынудили одновременно установить более одного продукта на одну и ту же группу рабочих станций.)
Однако, когда дело доходит до обновлений сигнатур, вы не хотите использовать групповую политику. Обновления подписи выпускаются слишком часто, чтобы назначение GPO было практичным вариантом. Вместо этого ваш антивирусный продукт должен обновляться через собственный сервер управления. Любой корпоративный AV-продукт должен иметь встроенную функцию.
Исходя из личного опыта, я не рекомендую ни Symantec, ни McAfee. Среди прочих вы можете рассматривать ESET или Vipre как более эффективные альтернативы.
Редактировать - связанный вопрос: Какой антивирус лучше всего подходит для доменной сети Windows?
При развертывании AV с помощью групповой политики единственный способ «исправить» - это создать полностью новый установочный MSI-файл (обязательно увеличив внутренние номера версий на один пункт), а затем развернуть его так же, как вы делали свой первый пакет. Это приведет к полной установке на всех соответствующих машинах, но они будут исправлены.
Это одно из ограничений системы развертывания программного обеспечения GPO.
По личному опыту я знаю, что SEP имеет обыкновение не увеличивать номера версий для небольших патчей.
Пока Microsoft не расширила WSUS для поддержки пакетов, не одобренных Microsoft.
Microsoft Forefront Client Security использует существующую инфраструктуру WSUS для выпуска обновлений. Это элегантное решение, поскольку вы, вероятно, доставляете исправления WSUS и сигнатуры AV в одни и те же сегменты сети и можете использовать это, чтобы делать все это через один сервер, на одном порту (80 или 443).
Напротив, для развертывания обновлений Sophos клиенты должны иметь возможность отправлять отчеты на центральный сервер отчетов по паре портов и на узлы центральной установки (CI) через порты SMB. С точки зрения брандмауэра в более чем плоской сети база правил для поддержки этого беспорядка.