先说一项关键变化:微软近期宣布,Microsoft Defender for Endpoint 的端点检测与响应(EDR)更新终于不再与每月的补丁星期二捆绑。今后,EDR 更新将通过 Microsoft Update 独立推送——简单来说,安全防护更新能够实现“单飞”,不再受操作系统更新节奏的制约。
以往,EDR 更新一直与 Windows 月度安全更新捆绑发布。企业若想获取最新的威胁检测能力,只能等待每月的补丁星期二,有时甚至需要等上整整一个月。如今改为通过 Microsoft Update 推送后,微软可以跳过操作系统更新周期,更快地部署防护改进与安全增强。换言之,企业无需再苦等下一个月度补丁,即可及时获得最新保护。
这一举措并不陌生——去年微软已将 PowerShell 更新迁移至 Microsoft Update,延续了相同的思路。
具体而言,推送工作已于 5 月底从 Windows 10 设备开始启动。微软计划在未来几个月内逐步扩展到 Windows 11 及其他受支持的 Windows 版本,全面部署预计在 2026 年秋季或第三季度完成。迁移完成后,EDR 更新将以 KB5005292 的标识通过 Microsoft Update 推送,前提是设备已安装必要的先决更新。
与此同时,微软还引入了新的 Defender Update Service。首次更新安装后,设备会在 %ProgramData%MicrosoftMicrosoft DefenderDefender Update 目录下自动创建新文件夹。对于依赖手动部署更新包的管理员而言,需要调整现有流程,确保新的 Defender 更新包被包含在内。万一遇到重大问题,还可以通过 MpCmdRun.exe 命令回滚到内置版本——这条退路为运维人员提供了保障。

