Avaliar Microsoft Defender Antivírus com Política de Grupo
Aplica-se a:
- Microsoft Defender Antivírus
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
Plataformas:
- Windows
No Windows 10 ou mais recente e Windows Server 2016 ou mais recente, pode utilizar funcionalidades de proteção de próxima geração oferecidas pelo Antivírus do Microsoft Defender (MDAV) e Microsoft Defender Exploit Guard (Microsoft Defender EG).
Este tópico explica como ativar e testar as principais funcionalidades de proteção no Microsoft Defender AV e Microsoft Defender EG e fornece orientações e ligações para mais informações.
Este artigo descreve as opções de configuração em Windows 10 ou mais recentes e Windows Server 2016 ou mais recentes.
Utilizar o Antivírus Microsoft Defender com Política de Grupo para ativar as funcionalidades
Este guia fornece o Política de Grupo antivírus Microsoft Defender que configura as funcionalidades que deve utilizar para avaliar a nossa proteção.
Utilize os mais recentes "Modelos Administrativos do Windows Política de Grupo".
Para obter mais informações, consulte Criar e gerir a Loja Central – Cliente Windows.
Dica
O Windows funciona com os Windows Servers.
Mesmo que esteja a executar um Windows 10 ou Windows Server 2016, obtenha os modelos administrativos mais recentes para Windows 11 ou mais recentes.
Crie um "Arquivo Central" para alojar os modelos .admx e .adml mais recentes.
Para obter mais informações, consulte Criar e gerir a Loja Central – Cliente Windows.
Se estiver associado a um domínio:
Crie uma nova herança de políticas de bloqueio de UO.
Abra a Consola de Gestão de Políticas de Grupo (GPMC.msc).
Aceda a Política de Grupo Objetos e crie uma nova Política de Grupo.
Clique com o botão direito do rato na nova política criada e selecione Editar.
Navegue para Políticas de Configuração> do ComputadorModelos>Administrativos Componentes>> doWindowsMicrosoft Defender Antivírus.
ou
Se estiver associado a um grupo de trabalho
Abra Política de Grupo Editor MMC (GPEdit.msc).
Navegue para Configuração>do Computador Modelos Administrativos Componentes>> doWindowsMicrosoft Defender Antivírus.
MDAV e Aplicações Potencialmente Indesejadas (PUA)
Raiz:
| Descrição | Setting |
|---|---|
| Desativar o Antivírus Microsoft Defender | Desabilitado |
| Configurar a deteção para aplicações potencialmente indesejadas | Ativado - Bloquear |
Proteção em tempo real (proteção sempre ativada, análise em tempo real)
\ Proteção em tempo real:
| Descrição | Setting |
|---|---|
| Desativar a proteção em tempo real | Desabilitado |
| Configurar a monitorização para a atividade de programas e ficheiros de entrada e saída | Ativado, bidirecional (acesso total) |
| Ativar a Monitorização de Comportamento | Habilitado |
| Monitorizar a atividade de ficheiros e programas no computador | Habilitado |
Funcionalidades de proteção da cloud
Standard atualizações de informações de segurança podem demorar horas a preparar e a fornecer; o nosso serviço de proteção fornecido pela cloud pode fornecer esta proteção em segundos.
Para obter mais informações, veja Use next-gen technologies in Microsoft Defender Antivirus through cloud-delivered protection (Utilizar tecnologias de próxima geração no Antivírus do Microsoft Defender através da proteção fornecida pela cloud).
\ MAPAS:
| Descrição | Setting |
|---|---|
| Aderir ao Microsoft MAPS | Mapas Avançados ativados |
| Configurar a funcionalidade "Bloquear à Primeira Vista" | Habilitado |
| Enviar exemplos de ficheiros quando for necessária uma análise mais aprofundada | Ativado, Enviar todos os exemplos |
\ MpEngine:
| Descrição | Setting |
|---|---|
| Selecione o nível de proteção da cloud | Ativado, Nível de bloqueio elevado |
| Configurar marcar de cloud expandida | Ativado, 50 |
Análises
| Descrição | Setting |
|---|---|
| Ativar a Heurística | Habilitado |
| Ativar a análise de correio eletrónico | Habilitado |
| Analisar todos os ficheiros e anexos transferidos | Habilitado |
| Ativar a análise de scripts | Habilitado |
| Analisar ficheiros de arquivo | Habilitado |
| Analisar executáveis embalados | Habilitado |
| Configurar a análise de ficheiros de rede (Analisar Ficheiros de Rede) | Habilitado |
| Analisar unidades amovíveis | Habilitado |
| Ativar a análise de pontos de reparse | Habilitado |
Atualizações das Informações de Segurança
| Descrição | Setting |
|---|---|
| Especificar o intervalo para marcar para atualizações de informações de segurança | Ativado, 4 |
| Definir a ordem das origens para transferir atualizações de informações de segurança | Ativado, em "Definir a ordem das origens para transferir atualizações de informações de segurança" InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Nota: Em que InternalDefinitionUpdateServer é WSUS com Microsoft Defender atualizações antivírus permitidas. MicrosoftUpdateServer == Microsoft Update (anteriormente Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Desativar as definições av do administrador local
Desative as definições av do administrador local, como exclusões, e aplique as políticas da Gestão de Definições de Segurança do Microsoft Defender para Ponto de Extremidade.
Raiz:
| Descrição | Setting |
|---|---|
| Configurar o comportamento de intercalação de administrador local para listas | Desabilitado |
| Controlar se as exclusões são ou não visíveis para os administradores locais | Habilitado |
Ação Predefinida de Gravidade de Ameaças
\ Ameaças
| Descrição | Setting | Nível de alerta | Ação |
|---|---|---|---|
| Especificar níveis de alerta de ameaças nos quais a ação predefinida não deve ser tomada quando detetada | Habilitado | ||
| 5 (Grave) | 2 (Quarentena) | ||
| 4 (Alto) | 2 (Quarentena) | ||
| 2 (Médio) | 2 (Quarentena) | ||
| 1 (Baixo) | 2 (Quarentena) |
\ Quarentena
| Descrição | Setting |
|---|---|
| Configurar a remoção de itens da pasta Quarentena | Ativado, 60 |
\ Interface de Cliente
| Descrição | Setting |
|---|---|
| Ativar o modo de IU sem cabeça | Desabilitado |
Proteção de Rede
\ Microsoft Defender Exploit Guard\Proteção de Rede:
| Descrição | Setting |
|---|---|
| Impedir que utilizadores e aplicações acedam a sites perigosos | Ativado, Bloquear |
| Estas definições controlam se a Proteção de Rede tem permissão para ser configurada no modo de bloqueio ou auditoria no Windows Server | Habilitado |
Para ativar a Proteção de Rede para Servidores Windows, por agora, utilize o Powershell:
| SO | Cmdlet do Powershell |
|---|---|
| Windows Server 2012 R2Windows Server 2022 e posterior | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016 e Windows Server 2012 cliente de MDPE unificado R2 | set-MpPreference -AllowNetworkProtectionOnWinServer $true e set-MpPreference -AllowNetworkProtectionDownLevel $true |
Regras de Redução da Superfície de Ataque
Navegue para Configuração>do Computador Modelos Administrativos Componentes>> doWindowsMicrosoft Defender Antivírus> Microsoft DefenderRedução da Superfície de Ataquedo Exploit Guard>.
Selecione Avançar.
| Descrição | Setting |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Nota: (Bloquear conteúdo executável do cliente de e-mail e do webmail) |
1 (Bloco) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Nota: (Impedir o Adobe Reader de criar processos subordinados) |
1 (Bloco) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Nota: (Bloquear a execução de scripts potencialmente ocultados) |
1 (Bloco) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Nota: (Bloquear o abuso de controladores assinados vulneráveis explorados) |
1 (Bloco) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Nota: (Bloquear chamadas à API Win32 a partir de macros do Office) |
1 (Bloco) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Nota: (Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna) |
1 (Bloco) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Nota: (Bloquear a aplicação de comunicação do Office de criar processos subordinados) |
1 (Bloco) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Nota: (Bloquear a criação de processos subordinados em todas as aplicações do Office) |
1 (Bloco) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Nota: ( [PRÉ-VISUALIZAÇÃO] Bloquear a utilização de ferramentas de sistema copiadas ou representadas) |
1 (Bloco) |
| d3e037e1-3eb8-44c8-a917-57927947596d Nota: (Impedir que JavaScript ou VBScript iniciem conteúdo executável transferido) |
1 (Bloco) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Nota: (Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows) |
1 (Bloco) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Nota: (Bloquear a criação da shell Web para Servidores) |
1 (Bloco) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Nota: (Impedir que as aplicações do Office criem conteúdos executáveis) |
1 (Bloco) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Nota: (Bloquear processos não fidedignos e não assinados executados a partir de USB) |
1 (Bloco) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Nota: (Impedir que as aplicações do Office injetem código noutros processos) |
1 (Bloco) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Nota: (Bloquear a persistência através da subscrição de eventos WMI) |
1 (Bloco) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Nota: (Utilizar proteção avançada contra ransomware) |
1 (Bloco) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Nota: (Bloquear criações de processos com origem nos comandos PSExec e WMI) |
1 (Bloco) Nota: Se tiver Configuration Manager (anteriormente SCCM) ou outras ferramentas de gestão que utilizem a WMI, poderá ter de definir esta opção como 2 ('audit') em vez de 1('block'). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Nota: ( [PRÉ-VISUALIZAÇÃO] Bloquear o reinício da máquina no Modo de Segurança) |
1 (Bloco) |
Dica
Algumas regras podem bloquear o comportamento que considerar aceitável na sua organização. Nestes casos, altere a regra de "Ativado" para "Auditoria" para impedir blocos indesejados.
Acesso Controlado a Pastas
Navegue para Configuração>do Computador Modelos Administrativos Componentes>> doWindowsMicrosoft Defender Antivírus> Microsoft DefenderRedução da Superfície de Ataquedo Exploit Guard>.
| Descrição | Setting |
|---|---|
| Configurar o Acesso Controlado a Pastas | Ativado, Bloquear |
Atribua as políticas à UO onde estão localizadas as máquinas de teste.
Verificar a versão da Atualização da Plataforma
A versão mais recente do canal de produção (GA) "Atualização da Plataforma" está disponível aqui:
Para marcar a versão "Atualização da Plataforma" que instalou, utilize o seguinte comando do PowerShell (Executar como administrador):
get-mpComputerStatus | ft AMProductVersion
Verificar a versão da Atualização de Informações de Segurança
A versão mais recente da "Atualização de Informações de Segurança" está disponível aqui:
Para marcar a versão da "Atualização de Informações de Segurança" que instalou, utilize o seguinte comando do PowerShell (Executar como administrador):
get-mpComputerStatus | ft AntivirusSignatureVersion
Verificar a versão da Atualização do Motor
A versão mais recente da análise "atualização do motor" está disponível aqui:
Para marcar a versão "Atualização do Motor" que instalou, utilize o seguinte comando do PowerShell (Executar como administrador):
get-mpComputerStatus | ft AMEngineVersion
Se estiver a descobrir que as suas definições não estão a entrar em vigor, poderá ter um conflito. Para resolve conflitos, veja: Resolver problemas Microsoft Defender definições do Antivírus.
Para submissões de Falsos Negativos (FNs)
Se tiver dúvidas sobre uma deteção que Microsoft Defender AV efetuar ou detetar uma deteção perdida, pode submeter-nos um ficheiro.
Se tiver o Microsoft XDR, Microsoft Defender para Ponto de Extremidade P2/P1 ou Microsoft Defender para Empresas: consulte Submeter ficheiros no Microsoft Defender para Ponto de Extremidade.
Se tiver Microsoft Defender Antivírus, veja:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV indica uma deteção através de notificações padrão do Windows. Também pode rever as deteções na aplicação Microsoft Defender AV.
O registo de eventos do Windows também regista eventos de deteção e de motor. Veja o artigo Microsoft Defender Eventos antivírus para obter uma lista de IDs de eventos e as ações correspondentes.
Se as suas definições não forem aplicadas corretamente, descubra se existem políticas em conflito ativadas no seu ambiente. Para obter mais informações, veja Resolução de problemas Microsoft Defender definições do Antivírus.
Se precisar de abrir um pedido de suporte da Microsoft: Contacte Microsoft Defender para Ponto de Extremidade suporte.