In regulierten Umgebungen ist ein automatisches Installieren von Windows Updates oft nicht erwünscht, damit werden aber auch die Windows Defender Updates nicht automatisch ausgeliefert.
Dies lässt sich aber mittels PowerShell-Script realisieren.
#Signaturen updaten:
Update-MpSignature -UpdateSource InternalDefinitionUpdateServer
#WSUS Status aktualisieren:
wuauclt.exe /detectnow /reportnow
Das Update lässt sich auch mittels „Scheduled Task“ automatisieren:
- starte „Task Scheduler“
- „Create Task“
- General
- Name: Update_AV
- User Account: NT AUTHORITY\LOCAL SERVICE
- Run with highest privileges
- Configure for: Windows Server 2016
- Trigger
- Begin the task: On a schedule
- Daily, Recur every: 1 days
- Repeat task every: 1 hour for a duration of: 1 day
- Stop all running tasks at end of repetition duration
- Enable
- Action
- Start a program (1.)
- Program:
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe - Agruments:
- für WSUS:
Update-MpSignature -UpdateSource InternalDefinitionUpdateServer - für Microsoft Update:
Update-MpSignature -UpdateSource MicrosoftUpdateServer
- für WSUS:
- Program:
- Start a program (2.)
- Program:
%SystemRoot%\system32\wuauclt.exe - Arguments:
/detectnow /reportnow
- Program:
- Start a program (1.)
- Conditions & Settings on default
- General
- Speichern/Bestätigen und erstmalig den Task starten, um die Funktion zu überprüfen (in der Task History sollten die zum letzten Task-Run zwei „Action completed“-Einträge auftauchen, die jeweils mit „return code 0“ enden – dann ist alles ordentlich durchgelaufen)
Da dieser Post bei entsprechender Google-Suche immer noch recht hoch im Kurs steht, eine kurze Ergänzung: Ab Windows 10/Windows Server 2016 muss der zweite Befehl anstelle des wuauclt… wie folgt lauten:
Command: %SystemRoot%\system32\usoclient.exe
Arguments: StartScan
Das StartScan-Argument sorgt üblicherweise auch dafür, dass der Windows Update/Update Service Orchestrator-Dienst einigermaßen zuverlässig seinen Status an WSUS übermittelt.