Compartilhar via


Avaliar Microsoft Defender Antivírus com o PowerShell

Aplica-se a:

No Windows 10 ou mais recente e Windows Server 2016 ou mais recente, pode utilizar funcionalidades de proteção de próxima geração oferecidas pelo Antivírus do Microsoft Defender (MDAV) e Microsoft Defender Exploit Guard (Microsoft Defender EG).

Este artigo explica como ativar e testar as principais funcionalidades de proteção no Microsoft Defender AV e Microsoft Defender EG e fornece orientações e ligações para mais informações.

Recomendamos que utilize este script do PowerShell de avaliação para configurar estas funcionalidades, mas pode ativar individualmente cada funcionalidade com os cmdlets descritos no resto deste documento.

Para obter mais informações sobre os nossos produtos EPP, veja as seguintes bibliotecas de documentação de produtos:

Este artigo descreve as opções de configuração em Windows 10 ou mais recentes e Windows Server 2016 ou mais recentes.

Se tiver dúvidas sobre uma deteção que Microsoft Defender AV efetua ou detetar uma deteção perdida, pode submeter-nos um ficheiro no nosso site de ajuda de submissão de exemplo.

Utilizar o PowerShell para ativar as funcionalidades

Este guia fornece os cmdlets do Antivírus Microsoft Defender que configuram as funcionalidades que deve utilizar para avaliar a nossa proteção.

Para utilizar estes cmdlets:

  1. Abra uma instância elevada do PowerShell (escolha Executar como administrador).
  2. Introduza o comando listado neste guia e prima Enter.

Pode marcar a status de todas as definições antes de começar, ou durante a avaliação, com o cmdlet Do PowerShell Get-MpPreference.

Microsoft Defender AV indica uma deteção através de notificações padrão do Windows. Também pode rever as deteções na aplicação Microsoft Defender AV.

O registo de eventos do Windows também regista eventos de deteção e de motor. Veja o artigo Microsoft Defender Eventos antivírus para obter uma lista de IDs de eventos e as ações correspondentes.

Funcionalidades de proteção da cloud

Standard atualizações de definições podem demorar horas a preparar e a fornecer; o nosso serviço de proteção fornecido pela cloud pode fornecer esta proteção em segundos.

Estão disponíveis mais detalhes em Utilizar tecnologias de próxima geração no Antivírus do Microsoft Defender através da proteção fornecida pela cloud.

Descrição Comando do PowerShell
Ative o Microsoft Defender Cloud para proteção quase instantânea e maior proteção Set-MpPreference -MAPSRelatório Avançado
Submeter automaticamente exemplos para aumentar a proteção de grupos Set-MpPreference -SubmitSamplesConsent Always
Utilizar sempre a cloud para bloquear software maligno novo em segundos Set-MpPreference -DisableBlockAtFirstSeen 0
Analisar todos os ficheiros e anexos transferidos Set-MpPreference -DisableIOAVProtection 0
Definir o nível de bloco da cloud como "Alto" Set-MpPreference -CloudBlockLevel High
Tempo limite de bloqueio da cloud definido alto para 1 minuto Set-MpPreference -CloudExtendedTimeout 50

Proteção alwayson (análise em tempo real)

Microsoft Defender AV analisa os ficheiros assim que são vistos pelo Windows e monitoriza os processos em execução de comportamentos maliciosos conhecidos ou suspeitos. Se o motor antivírus detetar modificações maliciosas, irá bloquear imediatamente a execução do processo ou ficheiro.

Para obter mais detalhes sobre estas opções, veja Configurar a proteção comportamental, heurística e em tempo real.

Descrição Comando do PowerShell
Monitorizar constantemente ficheiros e processos para modificações de software maligno conhecidas Set-MpPreference -DisableRealtimeMonitoring 0
Monitorizar constantemente comportamentos de software maligno conhecidos – mesmo em ficheiros 'limpo' e programas em execução Set-MpPreference -DisableBehaviorMonitoring 0
Analisar scripts assim que forem vistos ou executados Set-MpPreference -DisableScriptScanning 0
Analisar unidades amovíveis assim que forem inseridas ou montadas Set-MpPreference -DisableRemovableDriveScanning 0

Proteção de Aplicações Potencialmente Indesejada

As aplicações potencialmente indesejadas são ficheiros e aplicações que não são tradicionalmente classificados como maliciosos. Estes incluem instaladores não Microsoft para software comum, injeção de anúncios e determinados tipos de barras de ferramentas no seu browser.

Descrição Comando do PowerShell
Impedir a instalação de grayware, adware e outras aplicações potencialmente indesejadas Set-MpPreference -PUAProtection Ativado

análise de arquivos e Email

Pode definir Microsoft Defender Antivírus para analisar automaticamente determinados tipos de ficheiros de e-mail e ficheiros de arquivo (como .zip ficheiros) quando são vistos pelo Windows. Pode encontrar mais informações sobre esta funcionalidade no artigo Análises de e-mail geridas no Microsoft Defender.

Descrição Comando do PowerShell
Analisar ficheiros e arquivos de e-mail Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0

Gerir atualizações de produtos e proteção

Normalmente, recebe Microsoft Defender atualizações av do Windows Update uma vez por dia. No entanto, pode aumentar a frequência dessas atualizações ao definir as seguintes opções e garantir que as atualizações são geridas no System Center Configuration Manager, com Política de Grupo ou em Intune.

Descrição Comando do PowerShell
Atualizar assinaturas todos os dias Set-MpPreference -SignatureUpdateInterval
Verificar a atualização de assinaturas antes de executar uma análise agendada Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

Monitorização avançada de ameaças e exploração e prevenção Acesso controlado a pastas

Microsoft Defender Exploit Guard fornece funcionalidades que ajudam a proteger os dispositivos contra comportamentos maliciosos conhecidos e ataques a tecnologias vulneráveis.

Descrição Comando do PowerShell
Impedir que aplicações maliciosas e suspeitas (como ransomware) façam alterações a pastas protegidas com acesso controlado a pastas Set-MpPreference -EnableControlledFolderAccess Ativado
Bloquear ligações a endereços IP incorretos conhecidos e outras ligações de rede com a Proteção de rede Set-MpPreference -EnableNetworkProtection Ativado
Aplicar um conjunto padrão de mitigações com o Exploit Protection
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml
Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
Bloquear vetores de ataque malicioso conhecidos com Redução da superfície de ataque Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado
-AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Ativado
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-2 4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado
-AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Ativado
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A9 57927947596D -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado
-AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Ativado
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e 8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Ativado
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado
-AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Ativado
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Ativado

Algumas regras podem bloquear o comportamento que considerar aceitável na sua organização. Nestes casos, altere a regra de Ativado para Auditoria para impedir blocos indesejados.

Ativar a Proteção contra Adulteração

No portal Microsoft XDR (security.microsoft.com), aceda a Definições Pontos Finais>Funcionalidades avançadas>Proteção>contra Adulteração>Ativada.

Para obter mais informações, veja Como fazer configurar ou gerir a proteção contra adulteração.

Verificar a conectividade de rede do Cloud Protection

É importante marcar que a conectividade de rede da Proteção da Cloud esteja a funcionar durante o teste da caneta.

CMD (Executar como administrador)

cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection

Para obter mais informações, veja Utilizar a ferramenta cmdline para validar a proteção fornecida pela cloud.

Seleção única Microsoft Defender Análise Offline

Microsoft Defender Análise Offline é uma ferramenta especializada fornecida com Windows 10 ou mais recente e permite-lhe arrancar uma máquina num ambiente dedicado fora do sistema operativo normal. É especialmente útil para malware potente, como rootkits.

Consulte Microsoft Defender Offline para obter mais informações sobre como esta funcionalidade funciona.

Descrição Comando do PowerShell
Certifique-se de que as notificações lhe permitem iniciar o PC num ambiente especializado de remoção de software maligno Set-MpPreference -UILockdown 0

Recursos

Esta secção lista muitos recursos que podem ajudá-lo a avaliar Microsoft Defender Antivírus.