Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
No Windows 10 ou posterior e Windows Server 2016 ou posterior, pode utilizar as funcionalidades de proteção de próxima geração no Antivírus do Microsoft Defender com proteção contra exploits.
Este artigo explica como ativar e testar as principais funcionalidades de proteção no Antivírus do Microsoft Defender com proteção contra exploits.
Recomendamos que utilize o nosso script do PowerShell de avaliação para configurar estas funcionalidades, mas pode ativar individualmente cada funcionalidade, conforme descrito neste artigo.
Para obter mais informações sobre os nossos produtos e serviços do Endpoint Protection, veja os seguintes recursos:
- Visão geral da proteção de última geração
- Microsoft Defender Antivírus no Windows
- Microsoft Defender Antivírus no Windows Server
- Proteger dispositivos contra abusos
Se tiver dúvidas sobre uma deteção por Microsoft Defender Antivírus ou detetar uma deteção perdida, pode submeter-nos o ficheiro. Para saber mais, confira Enviar arquivos para análise.
Utilizar o PowerShell para ativar as funcionalidades
Este guia fornece os cmdlets do Antivírus Microsoft Defender que configuram as funcionalidades que deve utilizar para avaliar a nossa proteção.
Utilize estes cmdlets numa sessão elevada do PowerShell (uma janela do PowerShell que abriu ao selecionar Executar como administrador).
Antes de fazer alterações, deve ver e registar a status atual de todas as definições através de um ou ambos os métodos seguintes:
- Utilize o cmdlet Get-MpPreference .
- Instale o módulo DefenderEval a partir do Galeria do PowerShell e, em seguida, utilize o cmdlet Get-DefenderEvaluationReport.
Microsoft Defender Antivírus utiliza notificações padrão do Windows para deteções. Também pode rever as deteções na aplicação Antivírus Microsoft Defender.
O Registo de Eventos do Windows também regista eventos de deteção e de motor. Para obter mais informações, veja Rever registos de eventos e códigos de erro para resolver problemas com o Antivírus do Microsoft Defender.
Funcionalidades de proteção da cloud
Standard atualizações de definições podem demorar horas a preparar e entregar. O nosso serviço de proteção fornecido pela cloud pode fornecer esta proteção em segundos. Para obter mais informações, veja Proteção da cloud e Antivírus Microsoft Defender.
Ative o Microsoft Defender Cloud para proteção quase instantânea e maior proteção:
Set-MpPreference -MAPSReporting AdvancedSubmeta automaticamente exemplos para aumentar a proteção do grupo:
Set-MpPreference -SubmitSamplesConsent AlwaysUtilize sempre a cloud para bloquear software maligno novo em segundos:
Set-MpPreference -DisableBlockAtFirstSeen 0Analise todos os ficheiros e anexos transferidos:
Set-MpPreference -DisableIOAVProtection 0Defina o nível de bloco da cloud como Alto:
Set-MpPreference -CloudBlockLevel HighDefina o tempo limite do bloco de cloud para 1 minuto:
Set-MpPreference -CloudExtendedTimeout 50
Proteção alwayson (análise em tempo real)
Microsoft Defender o Antivírus analisa ficheiros à medida que o Windows os vê e monitoriza processos em execução de comportamento malicioso (conhecido ou suspeito). Se o motor antivírus detetar atividade maliciosa, o motor bloqueia imediatamente a execução do processo ou ficheiro. Para obter mais informações sobre estas opções, veja Configurar a proteção comportamental, heurística e em tempo real.
Monitorizar constantemente ficheiros e processos para atividades de software maligno conhecidas:
Set-MpPreference -DisableRealtimeMonitoring 0**Monitorize constantemente o comportamento de software maligno conhecido na execução de programas, mesmo em ficheiros que não são considerados uma ameaça:
Set-MpPreference -DisableBehaviorMonitoring 0Analise os scripts assim que forem vistos ou executados:
Set-MpPreference -DisableScriptScanning 0Analise as unidades amovíveis assim que forem inseridas ou montadas:
Set-MpPreference -DisableRemovableDriveScanning 0
Proteção de aplicações potencialmente indesejada
As aplicações potencialmente indesejadas são ficheiros e aplicações que não são tradicionalmente classificados como maliciosos. Estes tipos de aplicações incluem:
- Instaladores não Microsoft.
- Aplicações que fazem injeção de anúncios.
- Alguns tipos de barras de ferramentas do browser.
Impedir a instalação de grayware, adware e outras aplicações potencialmente indesejadas:
Set-MpPreference -PUAProtection Enabled
análise de arquivos e Email
Pode definir Microsoft Defender Antivírus para analisar automaticamente determinados tipos de ficheiros de e-mail e ficheiros de arquivo (como .zip ficheiros) quando o Windows os vir. Para obter mais informações, veja Análises de e-mail geridas no Microsoft Defender.
Analisar ficheiros e arquivos de e-mail:
Set-MpPreference -DisableArchiveScanning 0 -DisableEmailScanning 0
Gerir atualizações de produtos e proteção
Normalmente, obtém Microsoft Defender atualizações do Antivírus a partir do Windows Update uma vez por dia. Pode aumentar a frequência de atualização ao definir as seguintes opções e garantir que Microsoft Configuration Manager, Política de Grupo ou Microsoft Intune gere as suas atualizações.
Atualizar assinaturas todos os dias (predefinição):
Set-MpPreference -SignatureUpdateIntervalAtualize as assinaturas antes de executar uma análise agendada:
Set-MpPreference -CheckForSignaturesBeforeRunningScan 1
Mitigação e prevenção avançadas de ameaças
A proteção contra exploits fornece funcionalidades que ajudam a proteger os dispositivos contra comportamentos maliciosos conhecidos e ataques a tecnologias vulneráveis.
Impedir que aplicações maliciosas e suspeitas (como ransomware) façam alterações a pastas protegidas com pastas controladas:
Set-MpPreference -EnableControlledFolderAccess EnabledBloquear ligações a endereços IP incorretos conhecidos e outras ligações de rede com a Proteção de rede:
Set-MpPreference -EnableNetworkProtection EnabledAplique um conjunto padrão de mitigações com a Proteção contra exploits:
Invoke-WebRequest https://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xmlBloquear vetores de ataque malicioso conhecidos com regras de redução da superfície de ataque (ASR):
Importante
Normalmente, pode ativar as regras de proteção padrão no modo Bloquear ou Avisar sem testar. Deve testar outras regras do ASR no Modo de auditoria antes de as mudar para o modo Bloquear ou Avisar . Para obter mais informações, veja o Guia de implementação de regras do ASR.
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,26190899-1602-49e8-8b27-eb1d0a1ce869 ,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,a8f5898e-1dc8-49a9-9878-85004b8a61e6,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode
Ativar a proteção contra adulteração
Para obter mais informações, veja Como fazer configurar ou gerir a proteção contra adulteração.
Verificar a conectividade de rede do Cloud Protection
É importante verificar se a conectividade de rede do Cloud Protection está a funcionar durante os testes de penetração ao efetuar os seguintes passos:
Numa Linha de Comandos elevada (uma janela da Linha de Comandos que abriu ao selecionar Executar como administrador), execute os seguintes comandos:
Dica
O primeiro comando altera o diretório para a versão mais recente da versão> da <plataforma antimalware no %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Se esse caminho não existir, vai para %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Para obter mais informações, veja Configurar e gerir Microsoft Defender Antivírus com a ferramenta de linha de comandos MpCmdRun.
Seleção única Microsoft Defender Análise Offline
Microsoft Defender Análise Offline é uma ferramenta especializada que lhe permite efetuar o arranque de uma máquina num ambiente dedicado fora do sistema operativo normal. É especialmente útil para malware potente, como rootkits.
Para obter mais informações, consulte Microsoft Defender Offline.
Certifique-se de que as notificações lhe permitem iniciar o dispositivo num ambiente especializado de remoção de software maligno:
Set-MpPreference -UILockdown 0