Avaliar Microsoft Defender Antivírus com Microsoft Defender Endpoint Security Settings Management (Políticas de segurança de ponto final)

No Windows 10 ou posterior, e no Windows Server 2016 ou posterior, pode utilizar funcionalidades de proteção de próxima geração oferecidas pelo Antivírus Microsoft Defender (MDAV) e Microsoft Defender Exploit Guard (Microsoft Defender EG).

Este artigo descreve as opções de configuração disponíveis no Windows 10 e versões posteriores, bem como em versões Windows Server 2016 e posteriores. Fornece orientações passo a passo sobre como ativar e testar as principais funcionalidades de proteção no Antivírus Microsoft Defender (MDAV) e Microsoft Defender para Ponto de Extremidade (EG).

Se tiver dúvidas sobre uma deteção que o MDAV efetua ou detetar uma deteção perdida, pode submeter-nos um ficheiro no nosso site de ajuda de submissão de exemplo.

Utilize Microsoft Defender Endpoint Security Settings Management (Políticas de segurança de ponto final) para ativar as funcionalidades

Esta secção descreve o Microsoft Defender para Ponto de Extremidade Gestão de Definições de Segurança (Políticas de segurança de ponto final) que configura as funcionalidades que deve utilizar para avaliar a nossa proteção.

MDAV indica uma deteção através de notificações padrão do Windows. Também pode rever as deteções na aplicação MDAV. Para tal, veja Rever Microsoft Defender resultados da análise do Antivírus.

O registo de eventos do Windows também regista eventos de deteção e de motor. Veja o artigo Microsoft Defender Eventos antivírus para obter uma lista de IDs de eventos e as ações correspondentes. Para obter informações sobre a lista de IDs de eventos e as ações correspondentes, veja Rever os registos de eventos e os códigos de erro para resolver problemas com o Antivírus Microsoft Defender.

Para configurar as opções que tem de utilizar para testar as funcionalidades de proteção, siga os seguintes passos:

  1. No portal Microsoft Defender em https://security.microsoft.com, aceda a Pontos finaisGestão> de configuração Políticas > desegurança de ponto final. Em alternativa, para aceder diretamente à página Políticas de segurança de ponto final, utilize https://security.microsoft.com/policy-inventory as políticas do Windows.

  2. Na página Políticas de segurança do Ponto final , verifique se o separador Políticas do Windows está selecionado e, em seguida, selecione Criar nova política

  3. Na lista de opções Criar uma nova política que é aberta, configure as seguintes definições:

    • Selecione uma plataforma: selecione Windows.
    • Selecionar modelo: selecione Microsoft Defender Antivírus.

    Selecione Criar política.

  4. É aberto o assistente para criar uma nova política. Na página Noções básicas, defina as seguintes configurações:

    • Nome: introduza um nome exclusivo para a política.
    • Descrição: introduza uma descrição opcional.

    Selecione Avançar

  5. Na página Definições de configuração , configure as definições na secção Defender , conforme descrito nas seguintes tabelas:

    • Proteção em tempo real:

      Configuração Valor
      Permitir Monitorização em Tempo Real Permitido. Ativa e executa o serviço de monitorização em tempo real. (Padrão)
      Direção da Análise em Tempo Real Monitorizar todos os ficheiros (bidirecional). (Padrão)
      Permitir Monitorização de Comportamento Permitido. Ativa a monitorização de comportamento em tempo real (Predefinição).
      Permitir Proteção de Acesso Permitido. (Padrão)
      Proteção contra PUA Proteção contra PUA ativada. Os itens detetados estão bloqueados. Aparecerão na história juntamente com outras ameaças.

    • Funcionalidades de proteção da cloud:

      Configuração Valor
      Permitir Proteção da Cloud Permitido. Ativa a Proteção da Cloud. (Padrão)
      Nível de bloco de nuvem Alto
      Tempo Limite Alargado da Cloud Configurado, 50
      Submeter Consentimento de Exemplos Enviar todos os exemplos automaticamente

      Standard atualizações de informações de segurança podem demorar horas a preparar e entregar. O nosso serviço de proteção fornecido pela cloud pode fornecer esta proteção em segundos. Para obter mais informações, veja Use next-gen technologies in Microsoft Defender Antivirus through cloud-delivered protection (Utilizar tecnologias de próxima geração no Antivírus do Microsoft Defender através da proteção fornecida pela cloud).

    • Análises:

      Configuração Valor
      Permitir Análise de Email Permitido. Ativa a análise de e-mail.
      Permitir a análise de todos os ficheiros e anexos transferidos Permitido. (Padrão)
      Permitir Análise de Scripts Permitido. (Padrão)
      Permitir Análise de Arquivo Permitido. Analisa os ficheiros de arquivo. (Padrão)
      Permitir a Análise de Files de Rede Permitido. Analisa ficheiros de rede. (Padrão)
      Permitir Análise Completa da Unidade Amovível Permitido. Analisa unidades amovíveis.

    • Proteção de Rede:

      Configuração Valor
      Ativar a Proteção de Rede Ativado (modo de bloco)
      Permitir Nível Inferior da Proteção de Rede A proteção de rede será ativada de nível inferior.
      Permitir o Processamento de Datagramas no Servidor Win O processamento de datagramas no Windows Server está ativado.
      Desativar o DNS através da análise de TCP A análise de DNS através de TCP está ativada (Predefinição)
      Desativar a análise HTTP A análise HTTP está ativada (Predefinição)
      Desativar a análise SSH A análise SSH está ativada (Predefinição)
      Desativar a análise do TLS A análise está ativada (Predefinição)

    • Atualizações das Informações de Segurança:

      Configuração Valor
      Intervalo de Atualização da Assinatura Configurado, 4
      Ordem de Contingência da Atualização de Assinatura
      1. Selecione Adicionar para o número de origens de contingência que pretende especificar.
      2. Introduza um dos seguintes valores em cada caixa pela ordem pretendida:
        • InternalDefinitionUpdateServer: o seu próprio servidor WSUS com Microsoft Defender atualizações antivírus permitidas.
        • MicrosoftUpdateServer: Microsoft Update.
        • MMPC: https://www.microsoft.com/wdsi/definitions

      Para remover uma origem de contingência (preenchida ou vazia), selecione a caixa de marcar junto à caixa e, em seguida, selecione Remover.

    • AV do administrador local:

      Desative as definições av do administrador local, tais como exclusões, e defina as políticas do Microsoft Defender para Ponto de Extremidade Gestão de Definições de Segurança, conforme descrito na seguinte tabela:

      Configuração Valor
      Desativar Intercalação de Administração Local Desativar Intercalação de Administração Local

    • Ação predefinida da gravidade da ameaça:

      Configuração Valor
      Ação de remediação para ameaças de gravidade elevada Quarentena. Mover ficheiros para quarentena.
      Ação de remediação para ameaças graves Quarentena. Mover ficheiros para quarentena.
      Ação de remediação para ameaças de baixa gravidade Quarentena. Mover ficheiros para quarentena.
      Ação de remediação para ameaças de gravidade moderada Quarentena. Mover ficheiros para quarentena.

    • Opções de quarentena

      Configuração Valor
      Dias para Reter Software Maligno Limpo Configurado, 60
      Permitir Acesso à IU do Utilizador Permitido. Permitir que os utilizadores acedam à IU. (Padrão)

    Quando terminar na página Definições de configuração , selecione Seguinte.

  6. Na página Atribuições , clique na caixa e selecione a partir dos seguintes valores:

    • Todos os utilizadores ou Todos os dispositivos.
    • Quando localizar e selecionar um ou mais grupos disponíveis, pode utilizar o valor Tipo de destino na entrada de grupo para Incluir ou Excluir os membros do grupo.

    Quando terminar na página Tarefas , selecione Seguinte.

  7. Na página Rever + criar , reveja as suas definições. Selecione Anterior ou selecione o nome da página para efetuar alterações.

    Quando tiver terminado na página Rever + criar , selecione Guardar.

Quando a criação da política estiver concluída, será levado para a página de detalhes da nova política.

Selecione Políticas de segurança de ponto final na parte superior da página para regressar à página Políticas de segurança de ponto final onde a nova política está listada com o valor Tipo de política Microsoft Defender Antivírus.

Regras de redução de superfície de ataque

Para ativar as regras de redução da superfície de ataque (ASR) com as políticas de segurança de ponto final, siga os seguintes passos:

  1. No portal Microsoft Defender em https://security.microsoft.com, aceda a Pontos finaisGestão> de configuração Políticas > desegurança de ponto final. Em alternativa, para aceder diretamente à página Políticas de segurança de ponto final, utilize https://security.microsoft.com/policy-inventory as políticas do Windows.

  2. Na página Políticas de segurança do Ponto final , verifique se o separador Políticas do Windows está selecionado e, em seguida, selecione Criar nova política

  3. Na lista de opções Criar uma nova política que é aberta, configure as seguintes definições:

    • Selecione uma plataforma: selecione Windows.
    • Selecione modelo: selecione Regras de Redução da Superfície de Ataque.

    Selecione Criar política.

  4. É aberto o assistente para criar uma nova política. Na página Noções básicas, defina as seguintes configurações:

    • Nome: introduza um nome exclusivo para a política.
    • Descrição: introduza uma descrição opcional.

    Selecione Avançar

  5. Na página Definições de configuração , configure as definições com base nas seguintes recomendações:

    Configuração Valor
    Bloquear conteúdo executável do cliente de e-mail e do webmail Bloquear
    Impedir o Adobe Reader de criar processos subordinados Bloquear
    Bloquear a execução de scripts potencialmente ocultados Bloquear
    Bloquear o abuso de controladores assinados vulneráveis explorados (Dispositivo) Bloquear
    Bloquear chamadas à API Win32 a partir de macros do Office Bloquear
    Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna Bloquear
    Bloquear a criação de processos subordinados na aplicação de comunicação do Office Bloquear
    Bloquear a criação de processos subordinados em todas as aplicações do Office Bloquear
    Bloquear a utilização de ferramentas de sistema copiadas ou representadas Bloquear
    Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido Bloquear
    Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows Bloquear
    Bloquear a criação de Webshell para Servidores Bloquear
    Impedir que as aplicações do Office criem conteúdos executáveis Bloquear
    Bloquear processos não fidedignos e não assinados executados a partir de USB Bloquear
    Bloquear a injeção de código nas aplicações do Office noutros processos Bloquear
    Bloquear a persistência através da subscrição de eventos WMI Bloquear
    Utilizar proteção avançada contra ransomware Bloquear
    Bloquear criações de processos com origem nos comandos PSExec e WMI Bloquear (se tiver Gerenciador de Configurações (anteriormente SCCM) ou outras ferramentas de gestão que utilizem a WMI, poderá ter de definir esta opção como Auditoria em vez de Bloquear)
    Bloquear o reinício da máquina no Modo de Segurança Bloquear
    Ativar o Acesso Controlado a Pastas Habilitado

Dica

Qualquer uma das regras pode bloquear o comportamento que considerar aceitável na sua organização. Nestes casos, adicione as exclusões por regra denominadas "Exclusões Apenas de Redução da Superfície de Ataque". Além disso, altere a regra de Ativado para Auditoria para impedir blocos indesejados.

  1. Na página Atribuições , clique na caixa e selecione a partir dos seguintes valores:

    • Todos os utilizadores ou Todos os dispositivos.
    • Quando localizar e selecionar um ou mais grupos disponíveis, pode utilizar o valor Tipo de destino na entrada de grupo para Incluir ou Excluir os membros do grupo.

    Quando terminar na página Tarefas , selecione Seguinte.

  2. Na página Rever + criar , reveja as suas definições. Selecione Anterior ou selecione o nome da página para efetuar alterações.

    Quando tiver terminado na página Rever + criar , selecione Guardar.

Quando a criação da política estiver concluída, será levado para a página de detalhes da nova política.

Selecione Políticas de segurança de ponto final na parte superior da página para regressar à página Políticas de segurança de ponto final onde a nova política está listada com o valor Tipo de política Regras de redução da superfície de ataque.

Ativar a Proteção contra Adulteração

  1. Inicie sessão no Microsoft Defender XDR.

  2. Aceda a Endpoints Gestão > de configuração Políticas > de segurança de ponto final Políticas > do > Windows Criar nova política.

  3. Selecione Windows 10, Windows 11 e Windows Server na lista pendente Selecionar Plataforma.

  4. Selecione Experiência de Segurança na lista pendente Selecionar Modelo .

  5. Selecione Criar política. É apresentada a página Criar uma nova política .

  6. Na página Informações básicas , introduza um nome e uma descrição para o perfil nos campos Nome e Descrição , respetivamente.

  7. Selecione Avançar.

  8. Na página Definições de configuração , expanda os grupos de definições.

  9. A partir destes grupos, selecione as definições que pretende gerir com este perfil.

  10. Defina as políticas para os grupos de definições escolhidos ao configurá-las conforme descrito na tabela seguinte:

    Descrição Configuração
    TamperProtection (Dispositivo) Ativado

Verificar a conectividade de rede do Cloud Protection

É importante verificar se a conectividade de rede do Cloud Protection está a funcionar durante os testes de penetração.

Numa Linha de Comandos elevada (uma janela da Linha de Comandos que abriu ao selecionar Executar como administrador), execute os seguintes comandos:

Dica

O primeiro comando altera o diretório para a versão mais recente da versão> da <plataforma antimalware no %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Se esse caminho não existir, vai para %ProgramFiles%\Windows Defender.

(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

MpCmdRun.exe -ValidateMapsConnection

Para obter mais informações, veja Configurar e gerir Microsoft Defender Antivírus com a ferramenta de linha de comandos MpCmdRun.

Verificar a versão de atualização da plataforma

A versão mais recente do canal de produção (GA) "Atualização da Plataforma" está disponível no Catálogo Microsoft Update.

Para marcar a versão "Atualização da Plataforma" que instalou, execute o seguinte comando no PowerShell com os privilégios de um administrador:

Get-MPComputerStatus | Format-Table AMProductVersion

Verificar a versão da Atualização de Informações de Segurança

A versão mais recente da "Atualização de Informações de Segurança" está disponível em Atualizações de informações de segurança mais recentes para Microsoft Defender Antivírus e outros antimalware da Microsoft - Inteligência de Segurança da Microsoft.

Para marcar a versão de "Atualização de Informações de Segurança" que instalou, execute o seguinte comando no PowerShell com os privilégios de um administrador:

Get-MPComputerStatus | Format-Table AntivirusSignatureVersion

Verificar a versão da Atualização do Motor

A versão mais recente da "atualização do motor" de análise está disponível em Atualizações de informações de segurança mais recentes para Microsoft Defender Antivírus e outros antimalware da Microsoft - Inteligência de Segurança da Microsoft.

Para marcar a versão de "Atualização do Motor" que instalou, execute o seguinte comando no PowerShell com os privilégios de um administrador:

Get-MPComputerStatus | Format-Table AMEngineVersion

Se descobrir que as suas definições não estão a entrar em vigor, poderá ter um conflito. Para obter informações sobre como resolve conflitos, veja Resolver problemas das definições do Antivírus do Microsoft Defender.

Para submissões de Falsos Negativos (FNs)

Para obter informações sobre como fazer submissões de Falsos Negativos (FNs), consulte:

  • Last updated on