Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como ativar e testar as principais funcionalidades de proteção no Antivírus Microsoft Defender e Microsoft Defender Exploit Guard nas versões atuais do Microsoft Windows e Windows Server.
Pré-requisitos
Sistemas operacionais com suporte
- Windows 10 ou posterior
- Windows Server 2016 ou posterior
Utilizar o Antivírus Microsoft Defender com Política de Grupo para ativar as funcionalidades
Esta secção descreve como utilizar um Arquivo Central Política de Grupo para configurar Microsoft Defender Antivírus para avaliação.
Transfira os ficheiros de Modelo Administrativo mais recentes a partir de Ligações para transferir os ficheiros de Modelos Administrativos com base na versão do sistema operativo.
Dica
Verifique a secção Requisitos de Sistema nas páginas de transferência individuais:
- A maioria das transferências suporta clientes Windows e servidores Windows.
- Obtenha a transferência mais recente disponível e aplicável.
Efetue um dos seguintes procedimentos para criar um Arquivo Central para alojar os modelos .admx e .adml mais recentes:
Domínios:
- Crie uma nova UO para bloquear a herança de políticas.
- Abra a Consola de Gestão da política de grupo (gpmc.msc).
- Aceda a Política de Grupo Objetos e crie uma nova política de grupo.
- Clique com o botão direito do rato na nova política de grupo e, em seguida, selecione Editar.
- Aceda a Políticas de Configuração> do ComputadorModelos>Administrativos Componentes>> doWindowsMicrosoft Defender Antivírus.
Grupos de trabalho:
- Abra o editor de Política de Grupo Local (gpedit.msc).
- Aceda a Configuração>do Computador Modelos Administrativos Componentes>> doWindowsMicrosoft Defender Antivírus.
Para obter mais informações, consulte Criar e gerir a Loja Central – Cliente Windows.
MDAV e aplicações potencialmente indesejadas (PUA)
Raiz:
| Descrição | Configuração |
|---|---|
| Desativar o Antivírus Microsoft Defender | Desabilitado |
| Configurar a deteção para aplicações potencialmente indesejadas | Ativado - Bloquear |
Proteção em tempo real (proteção sempre ativada, análise em tempo real)
Proteção em tempo real:
| Descrição | Configuração |
|---|---|
| Desativar a proteção em tempo real | Desabilitado |
| Configurar a monitorização para a atividade de programas e ficheiros de entrada e saída | Ativado, bidirecional (acesso total) |
| Ativar a Monitorização de Comportamento | Habilitado |
| Monitorizar a atividade de ficheiros e programas no computador | Habilitado |
Funcionalidades de proteção da cloud
Standard atualizações de informações de segurança podem demorar horas a preparar e a fornecer; o nosso serviço de proteção fornecido pela cloud pode fornecer esta proteção em segundos.
Para obter mais informações, veja Use next-gen technologies in Microsoft Defender Antivirus through cloud-delivered protection (Utilizar tecnologias de próxima geração no Antivírus do Microsoft Defender através da proteção fornecida pela cloud).
MAPAS:
| Descrição | Configuração |
|---|---|
| Aderir ao Microsoft MAPS | Mapas Avançados ativados |
| Configurar a funcionalidade "Bloquear à Primeira Vista" | Habilitado |
| Enviar exemplos de ficheiros quando for necessária uma análise mais aprofundada | Ativado, Enviar todos os exemplos |
MpEngine:
| Descrição | Configuração |
|---|---|
| Selecione o nível de proteção da cloud | Ativado, Nível de bloqueio elevado |
| Configurar marcar de cloud expandida | Ativado, 50 |
Análises
| Descrição | Configuração |
|---|---|
| Ativar a Heurística | Habilitado |
| Ativar a análise de correio eletrónico | Habilitado |
| Analisar todos os ficheiros e anexos transferidos | Habilitado |
| Ativar a análise de scripts | Habilitado |
| Analisar ficheiros de arquivo | Habilitado |
| Analisar executáveis embalados | Habilitado |
| Configurar a análise de ficheiros de rede (Analisar Files de Rede) | Habilitado |
| Analisar unidades amovíveis | Habilitado |
| Ativar a análise de pontos de reparse | Habilitado |
Atualizações das Informações de Segurança
| Descrição | Configuração |
|---|---|
| Especificar o intervalo para marcar para atualizações de informações de segurança | Ativado, 4 |
| Definir a ordem das origens para transferir atualizações de informações de segurança | Ativado, em "Definir a ordem das origens para transferir atualizações de informações de segurança"
|
Desativar as definições av do administrador local
Desative as definições av do administrador local, como exclusões, e aplique as políticas da Gestão de Definições de Segurança do Microsoft Defender para Ponto de Extremidade.
Raiz:
| Descrição | Configuração |
|---|---|
| Configurar o comportamento de intercalação de administrador local para listas | Desabilitado |
| Controlar se as exclusões são ou não visíveis para os administradores locais | Habilitado |
Ação Predefinida de Gravidade de Ameaças
Ameaças:
| Descrição | Configuração | Nível de alerta | Ação |
|---|---|---|---|
| Especificar níveis de alerta de ameaças nos quais a ação predefinida não deve ser tomada quando detetada | Habilitado | ||
| 5 (Grave) | 2 (Quarentena) | ||
| 4 (Alto) | 2 (Quarentena) | ||
| 2 (Médio) | 2 (Quarentena) | ||
| 1 (Baixo) | 2 (Quarentena) |
Quarentena:
| Descrição | Configuração |
|---|---|
| Configurar a remoção de itens da pasta Quarentena | Ativado, 60 |
Interface de Cliente:
| Descrição | Configuração |
|---|---|
| Ativar o modo de IU sem cabeça | Desabilitado |
Proteção de Rede
Microsoft Defender Exploit Guard\Proteção de Rede:
| Descrição | Configuração |
|---|---|
| Impedir que utilizadores e aplicações acedam a sites perigosos | Ativado, Bloquear |
| Estas definições controlam se a Proteção de Rede pode ser configurada no modo de bloqueio ou auditoria no Windows Server | Habilitado |
Para ativar a Proteção de Rede para Windows Servers, por agora, utilize o PowerShell:
| SO | Comando do PowerShell |
|---|---|
| Windows Server 2012 R2 e posterior | Set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016 e Windows Server 2012 cliente de MDPE unificado R2 | Set-MpPreference -AllowNetworkProtectionOnWinServer $true -AllowNetworkProtectionDownLevel $true |
Regras de redução de superfície de ataque
Aceda a Configuração>do Computador Modelos Administrativos Componentes>> doWindowsMicrosoft Defender Antivírus> Microsoft DefenderRedução da Superfície de Ataquedo Exploit Guard>.
Selecione Avançar.
*Se utilizar Microsoft Configuration Manager (anteriormente conhecido como Microsoft Endpoint Configuration Manager e Microsoft System Center Configuration Manager) ou outras ferramentas de gestão que utilizem o WMI, utilize o valor 2 (Auditoria). O cliente Gerenciador de Configurações depende fortemente da WMI.
Dica
Algumas regras podem bloquear o comportamento que considerar aceitável na sua organização. Nestes casos, altere a regra de 1 (Bloco) para 2 (Auditoria) para impedir blocos indesejados.
Acesso Controlado a Pastas
Navegue para Configuração>do Computador Modelos Administrativos Componentes>> doWindowsMicrosoft Defender Antivírus> Microsoft DefenderRedução da Superfície de Ataquedo Exploit Guard>.
| Descrição | Configuração |
|---|---|
| Configurar o Acesso Controlado a Pastas | Ativado, Bloquear |
Atribua as políticas à UO onde estão localizadas as máquinas de teste.
Ativar a Proteção contra Adulteração
No portal Microsoft Defender em https://security.microsoft.com, aceda a Definições>Pontos Finais Funcionalidades>avançadas>Proteção contra Adulteração>Ativada.
Para obter mais informações, consulte Como fazer configurar ou gerir a proteção contra adulteração?.
Verificar a conectividade de rede do Cloud Protection
É importante verificar se a conectividade de rede do Cloud Protection está a funcionar durante os testes de penetração.
Numa Linha de Comandos elevada (uma janela da Linha de Comandos que abriu ao selecionar Executar como administrador), execute os seguintes comandos:
Dica
O primeiro comando altera o diretório para a versão mais recente da versão> da <plataforma antimalware no %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Se esse caminho não existir, vai para %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Para obter mais informações, veja Configurar e gerir Microsoft Defender Antivírus com a ferramenta de linha de comandos MpCmdRun.
Verificar a versão da Atualização da Plataforma
A versão mais recente do canal de produção (GA) "Atualização da Plataforma" está disponível aqui:
Para ver a versão instalada da "Atualização da Plataforma", execute o seguinte comando numa sessão elevada do PowerShell (uma janela do PowerShell que abriu ao selecionar Executar como administrador):
Get-MpComputerStatus | Format-Table AMProductVersion
Verificar a versão da Atualização de Informações de Segurança
A versão mais recente da "Atualização de Informações de Segurança" está disponível aqui:
Para ver a versão instalada de "Atualização de Informações de Segurança", execute o seguinte comando numa sessão elevada do PowerShell:
Get-MpComputerStatus | Format-Table AntivirusSignatureVersion
Verificar a versão da Atualização do Motor
A versão mais recente da análise "atualização do motor" está disponível aqui:
Para ver a versão instalada da "Atualização do Motor", execute o seguinte comando numa sessão elevada do PowerShell:
Get-MpComputerStatus | Format-Table AMEngineVersion
Se as suas definições não entrarem em vigor, poderá ter um conflito. Para resolve conflitos, veja Resolver problemas Microsoft Defender definições do Antivírus.
Para submissões de Falsos Negativos (FNs)
Se tiver dúvidas sobre uma deteção que Microsoft Defender AV efetuar ou detetar uma deteção perdida, pode submeter-nos um ficheiro.
Se tiver o Microsoft XDR, Microsoft Defender para Ponto de Extremidade P2/P1 ou Microsoft Defender para Empresas: consulte Submeter ficheiros no Microsoft Defender para Ponto de Extremidade.
Se tiver Microsoft Defender Antivírus, veja Submeter ficheiros para análise.
Microsoft Defender AV indica uma deteção através de notificações padrão do Windows. Também pode rever as deteções na aplicação Microsoft Defender AV.
O registo de eventos do Windows também regista eventos de deteção e de motor. Veja o artigo Microsoft Defender Eventos antivírus para obter uma lista de IDs de eventos e as ações correspondentes.
Se as suas definições não forem aplicadas corretamente, descubra se existem políticas em conflito ativadas no seu ambiente. Para obter mais informações, veja Resolução de problemas Microsoft Defender definições do Antivírus.
Se precisar de abrir um pedido de suporte da Microsoft: Contacte Microsoft Defender para Ponto de Extremidade suporte.