Configurar o Antivírus do Microsoft Defender num ambiente de trabalho remoto ou num ambiente de infraestrutura de ambiente de trabalho virtual

Aplica-se a:

• Microsoft Defender Antivírus
• Plano 1 do Defender para Ponto de Extremidade
• Plano 2 do Defender para Ponto de Extremidade

Plataformas

• Windows

Este artigo foi concebido apenas para clientes que estão a utilizar Microsoft Defender funcionalidades do Antivírus. Se tiver Microsoft Defender para Ponto de Extremidade (que inclui Microsoft Defender Antivírus juntamente com outras capacidades de proteção de dispositivos), veja Integrar dispositivos de infraestrutura de ambiente de trabalho virtual (VDI) não persistentes no Microsoft Defender XDR.

Pode utilizar Microsoft Defender Antivírus num ambiente de trabalho remoto (RDS) ou num ambiente de infraestrutura de ambiente de trabalho virtual (VDI) não persistente. Com a documentação de orientação neste artigo, pode configurar atualizações para transferir diretamente para os seus ambientes RDS ou VDI sempre que um utilizador iniciar sessão.

Este guia descreve como configurar Microsoft Defender Antivírus nas suas VMs para uma proteção e desempenho ideais, incluindo como:

• Configurar uma partilha de ficheiros VDI dedicada para atualizações de informações de segurança
• Transferir e descompactar as atualizações mais recentes
• Configurar as definições do Antivírus do Microsoft Defender
• Executar a tarefa agendada manutenção da Cache do Windows Defender

Importante

Embora um VDI possa ser alojado em Windows Server 2012 ou Windows Server 2016, as máquinas virtuais (VMs) devem executar Windows 10, versão 1607 no mínimo, devido ao aumento das tecnologias e funcionalidades de proteção que não estão disponíveis em versões anteriores do Windows.

Configurar uma partilha de ficheiros VDI dedicada para informações de segurança

No Windows 10, versão 1903, a Microsoft introduziu a funcionalidade de informações de segurança partilhada, que descarrega a desempacotamento de atualizações de informações de segurança transferidas para um computador anfitrião. Este método reduz a utilização de recursos de CPU, disco e memória em máquinas individuais. As informações de segurança partilhadas funcionam agora no Windows 10, versão 1703 e posterior. Pode configurar esta capacidade com o Política de Grupo ou o PowerShell.

Política de grupo

1. No seu computador de gestão de Política de Grupo, abra a Consola de Gestão do Política de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e, em seguida, selecione Editar.

2. No Editor gestão de Política de Grupo, aceda a Configuração do computador.

3. Selecione Modelos administrativos. Expanda a árvore para componentes> do Windows Microsoft DefenderAtualizações de Informações de Segurançaantivírus>.

4. Faça duplo clique em Definir localização de informações de segurança para clientes VDI e, em seguida, defina a opção como Ativado. É apresentado automaticamente um campo.

5. No campo, escreva \\<File Server shared location\>\wdav-update. (Para obter ajuda com este valor, consulte Transferir e desempacotar.)

6. Selecione OK e, em seguida, implemente o Objeto Política de Grupo nas VMs que pretende testar.

PowerShell

1. Em cada dispositivo RDS ou VDI, utilize o seguinte cmdlet para ativar a funcionalidade:

   Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

2. Emita a atualização como normalmente emitiria políticas de configuração baseadas no PowerShell para as suas VMs. (Veja a secção Transferir e desempacotar neste artigo. Procure a entrada de localização partilhada .)

Transferir e descompactar as atualizações mais recentes

Agora, pode começar a transferir e instalar novas atualizações. Esta secção contém um script do PowerShell de exemplo que pode utilizar. Este script é a forma mais fácil de transferir novas atualizações e prepará-las para as suas VMs. Em seguida, deve definir o script para ser executado num determinado momento no computador de gestão através de uma tarefa agendada. Em alternativa, se estiver familiarizado com a utilização de scripts do PowerShell no Azure, Intune ou Configuration Manager, pode utilizar esses scripts.

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Pode definir uma tarefa agendada para ser executada uma vez por dia para que, sempre que o pacote for transferido e desembalado, as VMs recebam a nova atualização. Sugerimos que comece uma vez por dia, mas deve experimentar aumentar ou diminuir a frequência para compreender o impacto.

Normalmente, os pacotes de informações de segurança são publicados uma vez a cada três a quatro horas. Definir uma frequência inferior a quatro horas não é aconselhável porque aumenta a sobrecarga de rede no seu computador de gestão sem qualquer benefício.

Também pode configurar o seu único servidor ou computador para obter as atualizações em nome das VMs num intervalo e colocá-las na partilha de ficheiros para consumo. Esta configuração é possível quando os dispositivos têm acesso de partilha e leitura (permissões NTFS) à partilha para que possam obter as atualizações. Para configurar esta configuração, siga estes passos:

1. Crie uma partilha de ficheiros SMB/CIFS.

2. Utilize o exemplo seguinte para criar uma partilha de ficheiros com as seguintes permissões de partilha.

   
   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   
   

   Observação

   É adicionada uma permissão NTFS para Utilizadores Autenticados:Ler:.

   Para este exemplo, a partilha de ficheiros é \\FileServer.fqdn\mdatp$\wdav-update.

Definir uma tarefa agendada para executar o script do PowerShell

1. No computador de gestão, abra o menu Iniciar e escreva Task Scheduler. Nos resultados, selecione Programador de Tarefas e, em seguida, selecione Criar tarefa... no painel lateral.

2. Especifique o nome como Security intelligence unpacker.

3. No separador Acionador , selecione Novo...>Diariamente e selecione OK.

4. No separador Ações , selecione Novo....

5. Especifique PowerShell no campo Programa/Script .

6. No campo Adicionar argumentos , escreva -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1e, em seguida, selecione OK.

7. Configure quaisquer outras definições conforme adequado.

8. Selecione OK para guardar a tarefa agendada.

Para iniciar a atualização manualmente, clique com o botão direito do rato na tarefa e, em seguida, selecione Executar.

Transferir e desempacotar manualmente

Se preferir fazer tudo manualmente, eis o que fazer para replicar o comportamento do script:

1. Crie uma nova pasta na raiz do sistema chamada wdav_update para armazenar atualizações de inteligência. Por exemplo, crie a pasta c:\wdav_update.

2. Criar uma subpasta wdav_update em com um nome GUID, como {00000000-0000-0000-0000-000000000000}

   Eis um exemplo: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   Observação

   Definimos o script para que os últimos 12 dígitos do GUID sejam o ano, mês, dia e hora em que o ficheiro foi transferido para que seja sempre criada uma nova pasta. Pode alterar esta opção para que o ficheiro seja transferido sempre para a mesma pasta.

3. Transfira um pacote de informações de segurança para https://www.microsoft.com/wdsi/definitions a pasta GUID. O ficheiro deve ter o nome mpam-fe.exe.

4. Abra uma janela da Linha de Comandos e navegue para a pasta GUID que criou. Utilize o /X comando de extração para extrair os ficheiros. Por exemplo, mpam-fe.exe /X.

   Observação

   As VMs irão recolher o pacote atualizado sempre que for criada uma nova pasta GUID com um pacote de atualização extraído ou sempre que uma pasta existente for atualizada com um novo pacote extraído.

definições de configuração do Antivírus do Microsoft Defender

É importante tirar partido das capacidades de proteção contra ameaças incluídas ao ativá-las com as seguintes definições de configuração recomendadas.  Está otimizado para ambientes VDI.

Dica

Os modelos administrativos da política de grupo do Windows mais recentes estão disponíveis em Criar e gerir a Loja Central.

Raiz

• Configurar a deteção para aplicações potencialmente indesejadas: Enabled - Block

• Configurar o comportamento de intercalação de administrador local para listas: Disabled

• Controlar se as exclusões são ou não visíveis para administradores locais: Enabled

• Desativar a remediação de rotina: Disabled

• Aleatorizar análises agendadas: Enabled

Interface de Cliente

• Ativar o modo de IU sem cabeça: Enabled

  Observação

  Esta política oculta toda a Microsoft Defender interface de utilizador antivírus dos utilizadores finais na sua organização.

• Suprimir todas as notificações: Enabled

Observação

Por vezes, Microsoft Defender notificações antivírus são enviadas ou persistem em várias sessões. Para ajudar a evitar confusões do utilizador, pode bloquear a interface de utilizador do Antivírus Microsoft Defender. Suprimir notificações impede que as notificações Microsoft Defender Antivírus apareçam quando as análises são efetuadas ou as ações de remediação são executadas. No entanto, a equipa de operações de segurança vê os resultados de uma análise se um ataque for detetado e parado. Os alertas, como um alerta de acesso inicial, são gerados e aparecem no portal Microsoft Defender.

MAPAS

• Aderir ao Microsoft MAPS (Ativar a proteção fornecida pela cloud): Enabled - Advanced MAPS

• Enviar exemplos de ficheiros quando for necessária uma análise mais aprofundada: Send all samples (more secure) ou Send safe sample (less secure)

MPEngine

• Configurar marcar de cloud expandida:20

• Selecione o nível de proteção da cloud: Enabled - High

• Ativar a funcionalidade de computação hash de ficheiros: Enabled

Observação

A funcionalidade "Ativar computação hash de ficheiros" só é necessária se utilizar Indicadores – Hash de ficheiros.  Pode causar uma maior quantidade de utilização da CPU, uma vez que tem de analisar cada binário no disco para obter o hash do ficheiro.

Proteção em tempo real

• Configurar a monitorização para a atividade de programas e ficheiros de entrada e saída: Enabled – bi-directional (full on-access)

• Monitorizar a atividade de ficheiros e programas no seu computador: Enabled

• Analise todos os ficheiros e anexos transferidos: Enabled

• Ativar a monitorização de comportamento: Enabled

• Ative a análise de processos sempre que a proteção em tempo real estiver ativada: Enabled

• Ative as notificações de escrita em volume não processados: Enabled

Análises

• Verifique as informações de segurança de vírus e spyware mais recentes antes de executar uma análise agendada: Enabled

• Analisar ficheiros de arquivo: Enabled

• Analisar ficheiros de rede: Not configured

• Analisar executáveis embalados: Enabled

• Analisar unidades amovíveis: Enabled

• Ative a análise completa da atualização (Desative a análise completa de recuperação): Not configured

• Ativar a análise rápida de recuperação (Desativar a análise rápida de recuperação): Not configured

  Observação

  Se quiser proteger, pode alterar a opção "Ativar a análise rápida de recuperação" para ativada, o que ajudará quando as VMs estiverem offline e não tiverem sido efetuadas duas ou mais análises agendadas consecutivas.  No entanto, uma vez que está a executar uma análise agendada, irá utilizar CPU adicional.

• Ativar a análise de correio eletrónico: Enabled

• Ative a heurística: Enabled

• Ative a análise de pontos de reparse: Enabled

Definições gerais de análise agendada

• Configurar a baixa prioridade da CPU para análises agendadas (Utilizar baixa prioridade de CPU para análises agendadas): Not configured

• Especifique a percentagem máxima de utilização da CPU durante uma análise (limite de utilização da CPU por análise): 50

• Inicie a análise agendada apenas quando o computador estiver ativado, mas não estiver a ser utilizado (ScanOnlyIfIdle): Not configured

• Utilize o seguinte cmdlet para parar uma análise rápida ou agendada sempre que o dispositivo ficar inativo se estiver no modo passivo.

  
  Set-MpPreference -ScanOnlyIfIdleEnabled $false
  
  

Dica

A definição "Iniciar a análise agendada apenas quando o computador está ligado, mas não está a ser utilizado" impede uma contenção significativa da CPU em ambientes de alta densidade.

Análise rápida diária

• Especifique o intervalo para executar análises rápidas por dia: Not configured

• Especifique a hora de uma análise rápida diária (Execute a análise rápida diária em): 12 PM

Executar uma análise agendada semanal (rápida ou completa)

• Especifique o tipo de análise a utilizar para uma análise agendada (Tipo de análise): Not configured

• Especifique a hora do dia para executar uma análise agendada (Dia da semana para executar a análise agendada): Not configured

• Especifique o dia da semana para executar uma análise agendada (Hora do dia para executar uma análise agendada): Not configured

Atualizações de Informações de Segurança

• Ative a análise após a atualização das informações de segurança (Desativar análises após uma atualização): Disabled

  Observação

  Desativar uma análise após uma atualização de informações de segurança impede que uma análise ocorra após receber uma atualização. Pode aplicar esta definição ao criar a imagem de base se também tiver executado uma análise rápida. Desta forma, pode impedir que a VM recentemente atualizada volte a efetuar uma análise (como já a analisou quando criou a imagem de base).

  Importante

  Executar análises após uma atualização ajuda a garantir que as VMs estão protegidas com as atualizações de informações de segurança mais recentes. Desativar esta opção reduz o nível de proteção das VMs e só deve ser utilizada quando criar ou implementar a imagem de base pela primeira vez.

• Especifique o intervalo para marcar para atualizações de informações de segurança (introduza a frequência com que marcar para atualizações de informações de segurança):Enabled - 8

• Deixe outras definições no estado predefinido

Ameaças

• Especifique os níveis de alerta de ameaças nos quais a ação predefinida não deve ser executada quando detetada: Enabled

• Defina Severe (5), High (4), Medium (2)e Low (1) tudo como Quarantine (2), conforme mostrado na tabela seguinte:

  Nome do valor	Valor
  1 (Baixa)	2
  2 (Médio)	2
  4 (Alto)	2
  5 (Grave)	2

Regras de redução de superfície de ataque

Configure todas as regras disponíveis para Audit.

Ativar a proteção de rede

Impedir que utilizadores e aplicações acedam a sites perigosos (Ativar a proteção de rede): Enabled - Audit mode.

SmartScreen para Microsoft Edge

• Exigir SmartScreen para o Microsoft Edge: Yes

• Bloquear o acesso a sites maliciosos: Yes

• Bloquear a transferência de ficheiros não verificados: Yes

Executar a tarefa agendada manutenção da Cache do Windows Defender

Otimize a tarefa agendada "Manutenção da Cache do Windows Defender" para ambientes VDI não persistentes e/ou persistentes. Execute esta tarefa na imagem main antes de selar.

1. Abra o mmc do Programador de Tarefas (taskschd.msc).

2. Expanda Biblioteca do Programador de Tarefas Microsoft>>Windows>Defender e, em seguida, clique com o botão direito do rato em Manutenção da Cache do Windows Defender.

3. Selecione Executar e deixe a tarefa agendada ser concluída.

   Aviso

   Se não o fizer, poderá causar uma maior utilização da CPU enquanto a tarefa de manutenção da cache estiver em execução em cada uma das VMs.

Ativar a proteção contra adulteração

Ative a proteção contra adulteração para impedir que Microsoft Defender Antivírus seja desativado no portal do Microsoft Defender.

Exclusões

Se acha que precisa de adicionar exclusões, veja Gerir exclusões para Microsoft Defender para Ponto de Extremidade e Microsoft Defender Antivírus.

Próxima etapa

Se também estiver a implementar a deteção e resposta de pontos finais (EDR) nas VMs VDI baseadas no Windows, veja Integrar dispositivos de infraestrutura de ambiente de trabalho virtual (VDI) não persistentes no Microsoft Defender XDR.

Confira também

• Blogue da Comunidade Tecnológica: Configurar o Antivírus do Microsoft Defender para máquinas virtuais VDI não persistentes
• Fóruns do TechNet em Serviços de Ambiente de Trabalho Remoto e VDI
• SignatureDownloadCustomTask Script do PowerShell

Se estiver à procura de informações sobre o Defender para Endpoint em plataformas que não sejam do Windows, consulte os seguintes recursos:

• Microsoft Defender para Ponto de Extremidade no Mac
• Microsoft Defender para Ponto de Extremidade para Linux
• Configurar o Defender para o Ponto de extremidade nos recursos do Android
• Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.