Avaliar Microsoft Defender Antivírus com o PowerShell
Aplica-se a:
- Microsoft Defender Antivírus
- Microsoft Defender para Ponto de Extremidade Plano 1 e Plano 2
No Windows 10 ou mais recente e Windows Server 2016 ou mais recente, pode utilizar funcionalidades de proteção de próxima geração oferecidas pelo Antivírus do Microsoft Defender (MDAV) e Microsoft Defender Exploit Guard (Microsoft Defender EG).
Este artigo explica como ativar e testar as principais funcionalidades de proteção no Microsoft Defender AV e Microsoft Defender EG e fornece orientações e ligações para mais informações.
Recomendamos que utilize este script do PowerShell de avaliação para configurar estas funcionalidades, mas pode ativar individualmente cada funcionalidade com os cmdlets descritos no resto deste documento.
Para obter mais informações sobre os nossos produtos EPP, veja as seguintes bibliotecas de documentação de produtos:
Este artigo descreve as opções de configuração em Windows 10 ou mais recentes e Windows Server 2016 ou mais recentes.
Se tiver dúvidas sobre uma deteção que Microsoft Defender AV efetua ou detetar uma deteção perdida, pode submeter-nos um ficheiro no nosso site de ajuda de submissão de exemplo.
Utilizar o PowerShell para ativar as funcionalidades
Este guia fornece os cmdlets do Antivírus Microsoft Defender que configuram as funcionalidades que deve utilizar para avaliar a nossa proteção.
Para utilizar estes cmdlets:
- Abra uma instância elevada do PowerShell (escolha Executar como administrador).
- Introduza o comando listado neste guia e prima Enter.
Pode marcar a status de todas as definições antes de começar, ou durante a avaliação, com o cmdlet Do PowerShell Get-MpPreference.
Microsoft Defender AV indica uma deteção através de notificações padrão do Windows. Também pode rever as deteções na aplicação Microsoft Defender AV.
O registo de eventos do Windows também regista eventos de deteção e de motor. Veja o artigo Microsoft Defender Eventos antivírus para obter uma lista de IDs de eventos e as ações correspondentes.
Funcionalidades de proteção da cloud
Standard atualizações de definições podem demorar horas a preparar e a fornecer; o nosso serviço de proteção fornecido pela cloud pode fornecer esta proteção em segundos.
Estão disponíveis mais detalhes em Utilizar tecnologias de próxima geração no Antivírus do Microsoft Defender através da proteção fornecida pela cloud.
| Descrição | Comando do PowerShell |
|---|---|
| Ative o Microsoft Defender Cloud para proteção quase instantânea e maior proteção | Set-MpPreference -MAPSRelatório Avançado |
| Submeter automaticamente exemplos para aumentar a proteção de grupos | Set-MpPreference -SubmitSamplesConsent Always |
| Utilizar sempre a cloud para bloquear software maligno novo em segundos | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Analisar todos os ficheiros e anexos transferidos | Set-MpPreference -DisableIOAVProtection 0 |
| Definir o nível de bloco da cloud como "Alto" | Set-MpPreference -CloudBlockLevel High |
| Tempo limite de bloqueio da cloud definido alto para 1 minuto | Set-MpPreference -CloudExtendedTimeout 50 |
Proteção alwayson (análise em tempo real)
Microsoft Defender AV analisa os ficheiros assim que são vistos pelo Windows e monitoriza os processos em execução de comportamentos maliciosos conhecidos ou suspeitos. Se o motor antivírus detetar modificações maliciosas, irá bloquear imediatamente a execução do processo ou ficheiro.
Para obter mais detalhes sobre estas opções, veja Configurar a proteção comportamental, heurística e em tempo real.
| Descrição | Comando do PowerShell |
|---|---|
| Monitorizar constantemente ficheiros e processos para modificações de software maligno conhecidas | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Monitorizar constantemente comportamentos de software maligno conhecidos – mesmo em ficheiros 'limpo' e programas em execução | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Analisar scripts assim que forem vistos ou executados | Set-MpPreference -DisableScriptScanning 0 |
| Analisar unidades amovíveis assim que forem inseridas ou montadas | Set-MpPreference -DisableRemovableDriveScanning 0 |
Proteção de Aplicações Potencialmente Indesejada
As aplicações potencialmente indesejadas são ficheiros e aplicações que não são tradicionalmente classificados como maliciosos. Estes incluem instaladores não Microsoft para software comum, injeção de anúncios e determinados tipos de barras de ferramentas no seu browser.
| Descrição | Comando do PowerShell |
|---|---|
| Impedir a instalação de grayware, adware e outras aplicações potencialmente indesejadas | Set-MpPreference -PUAProtection Ativado |
análise de arquivos e Email
Pode definir Microsoft Defender Antivírus para analisar automaticamente determinados tipos de ficheiros de e-mail e ficheiros de arquivo (como .zip ficheiros) quando são vistos pelo Windows. Pode encontrar mais informações sobre esta funcionalidade no artigo Análises de e-mail geridas no Microsoft Defender.
| Descrição | Comando do PowerShell |
|---|---|
| Analisar ficheiros e arquivos de e-mail | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Gerir atualizações de produtos e proteção
Normalmente, recebe Microsoft Defender atualizações av do Windows Update uma vez por dia. No entanto, pode aumentar a frequência dessas atualizações ao definir as seguintes opções e garantir que as atualizações são geridas no System Center Configuration Manager, com Política de Grupo ou em Intune.
| Descrição | Comando do PowerShell |
|---|---|
| Atualizar assinaturas todos os dias | Set-MpPreference -SignatureUpdateInterval |
| Verificar a atualização de assinaturas antes de executar uma análise agendada | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Monitorização avançada de ameaças e exploração e prevenção Acesso controlado a pastas
Microsoft Defender Exploit Guard fornece funcionalidades que ajudam a proteger os dispositivos contra comportamentos maliciosos conhecidos e ataques a tecnologias vulneráveis.
| Descrição | Comando do PowerShell |
|---|---|
| Impedir que aplicações maliciosas e suspeitas (como ransomware) façam alterações a pastas protegidas com acesso controlado a pastas | Set-MpPreference -EnableControlledFolderAccess Ativado |
| Bloquear ligações a endereços IP incorretos conhecidos e outras ligações de rede com a Proteção de rede | Set-MpPreference -EnableNetworkProtection Ativado |
| Aplicar um conjunto padrão de mitigações com o Exploit Protection |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Bloquear vetores de ataque malicioso conhecidos com Redução da superfície de ataque | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Ativado Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-2 4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Ativado Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A9 57927947596D -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Ativado Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e 8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Ativado Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Ativado Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Ativado |
Algumas regras podem bloquear o comportamento que considerar aceitável na sua organização. Nestes casos, altere a regra de Ativado para Auditoria para impedir blocos indesejados.
Ativar a Proteção contra Adulteração
No portal Microsoft XDR (security.microsoft.com), aceda a Definições Pontos Finais>Funcionalidades avançadas>Proteção>contra Adulteração>Ativada.
Para obter mais informações, veja Como fazer configurar ou gerir a proteção contra adulteração.
Verificar a conectividade de rede do Cloud Protection
É importante marcar que a conectividade de rede da Proteção da Cloud esteja a funcionar durante o teste da caneta.
CMD (Executar como administrador)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Para obter mais informações, veja Utilizar a ferramenta cmdline para validar a proteção fornecida pela cloud.
Seleção única Microsoft Defender Análise Offline
Microsoft Defender Análise Offline é uma ferramenta especializada fornecida com Windows 10 ou mais recente e permite-lhe arrancar uma máquina num ambiente dedicado fora do sistema operativo normal. É especialmente útil para malware potente, como rootkits.
Consulte Microsoft Defender Offline para obter mais informações sobre como esta funcionalidade funciona.
| Descrição | Comando do PowerShell |
|---|---|
| Certifique-se de que as notificações lhe permitem iniciar o PC num ambiente especializado de remoção de software maligno | Set-MpPreference -UILockdown 0 |
Recursos
Esta secção lista muitos recursos que podem ajudá-lo a avaliar Microsoft Defender Antivírus.
- Microsoft Defender na biblioteca Windows 10
- Microsoft Defender para biblioteca de Windows Server 2016
- biblioteca de segurança do Windows 10
- descrição geral da segurança do Windows 10
- site das Informações de Segurança do Microsoft Defender (Centro de Proteção contra Malware da Microsoft (MMPC)) – investigação e resposta a ameaças
- Site do Microsoft Security
- Blogue do Microsoft Security