Avaliar Microsoft Defender Antivírus com Microsoft Defender Endpoint Security Settings Management (Políticas de segurança de ponto final)
No Windows 10 ou posterior, e no Windows Server 2016 ou posterior, pode utilizar funcionalidades de proteção de próxima geração oferecidas pelo Antivírus Microsoft Defender (MDAV) e Microsoft Defender Exploit Guard (Microsoft Defender EG).
Este artigo descreve as opções de configuração no Windows 10 ou posterior e, em Windows Server 2016 ou posterior, que o orientam para ativar e testar as principais funcionalidades de proteção no MDAV e Microsoft Defender EG; e fornece orientações e ligações para mais informações.
Se tiver dúvidas sobre uma deteção que o MDAV efetua ou detetar uma deteção perdida, pode submeter-nos um ficheiro no nosso site de ajuda de submissão de exemplo.
Utilize Microsoft Defender Endpoint Security Settings Management (Políticas de segurança de ponto final) para ativar as funcionalidades
Esta secção descreve o Microsoft Defender para Endpoint Gestão de Definições de Segurança (Políticas de segurança de ponto final) que configura as funcionalidades que deve utilizar para avaliar a nossa proteção.
MDAV indica uma deteção através de notificações padrão do Windows. Também pode rever as deteções na aplicação MDAV. Para tal, veja Rever Microsoft Defender resultados da análise do Antivírus.
O registo de eventos do Windows também regista eventos de deteção e de motor. Veja o artigo Microsoft Defender Eventos antivírus para obter uma lista de IDs de eventos e as ações correspondentes. Para obter informações sobre a lista de IDs de eventos e as ações correspondentes, veja Rever os registos de eventos e os códigos de erro para resolver problemas com o Antivírus Microsoft Defender.
Para configurar as opções que tem de utilizar para testar as funcionalidades de proteção, execute os seguintes passos:
- Inicie sessão no Microsoft Defender XDR.
- Aceda a Endpoints Gestão > de configuração Políticas > de segurança de ponto final Políticas > do > Windows Criar nova política.
- Selecione Windows 10, Windows 11 e Windows Server na lista pendente Selecionar Plataforma.
- Selecione Microsoft Defender Antivírus na lista pendente Selecionar Modelo.
- Selecione Criar política. É apresentada a página Criar uma nova política .
- Na página Informações básicas , introduza um nome e uma descrição para o perfil nos campos Nome e Descrição , respetivamente.
- Selecione Seguinte.
- Na página Definições de configuração , expanda os grupos de definições.
- A partir destes grupos de definições, selecione as definições que pretende gerir com este perfil.
- Defina as políticas para os grupos de definições escolhidos ao configurar as definições conforme descrito nas seguintes tabelas:
Proteção em tempo real (Proteção always-on, análise em tempo real):
| Descrição | Definições |
|---|---|
| Permitir Monitorização em Tempo Real | Permitido |
| Direção da Análise em Tempo Real | Monitorizar todos os ficheiros (bidirecional) |
| Permitir Monitorização de Comportamento | Permitido |
| Permitir Proteção de Acesso | Permitido |
| Proteção contra PUA | Proteção contra PUA ativada |
Funcionalidades de proteção da cloud:
| Descrição | Definição |
|---|---|
| Permitir Proteção da Cloud | Permitido |
| Nível de Bloco da Cloud | High |
| Tempo Limite Alargado da Cloud | Configurado, 50 |
| Submeter Consentimento de Exemplos | Enviar todos os exemplos automaticamente |
As atualizações de informações de segurança padrão podem demorar horas a preparar e entregar; O nosso serviço de proteção fornecido pela cloud pode fornecer esta proteção em segundos. Para obter mais informações, veja Use next-gen technologies in Microsoft Defender Antivirus through cloud-delivered protection (Utilizar tecnologias de próxima geração no Antivírus do Microsoft Defender através da proteção fornecida pela cloud).
Análises:
| Descrição | Definição |
|---|---|
| Permitir Análise de Email | Permitido |
| Permitir a análise de todos os ficheiros e anexos transferidos | Permitido |
| Permitir Análise de Scripts | Permitido |
| Permitir Análise de Arquivo | Permitido |
| Permitir Análise de Ficheiros de Rede | Permitido |
| Permitir Análise Completa da Unidade Amovível | Permitido |
Proteção de Rede:
| Descrição | Definição |
|---|---|
| Ativar a Proteção de Rede | Ativado (modo de bloco) |
| Permitir Nível Inferior da Proteção de Rede | A proteção de rede será ativada de nível inferior. |
| Permitir o Processamento de Datagramas no Servidor Win | O processamento de datagramas no Windows Server está ativado. |
| Desativar o DNS através da análise de TCP | O DNS através da análise de TCP está ativado. |
| Desativar a análise HTTP | A análise http está ativada. |
| Desativar a análise SSH | A análise SSH está ativada. |
| Desativar a análise do TLS | A análise TLS está ativada. |
| Ativar o DNS Sinkhole | O DNS Sinkhole está ativado. |
Atualizações das Informações de Segurança:
| Descrição | Definição |
|---|---|
| Intervalo de Atualização da Assinatura | Configurado, 4 |
Descrição: Definição da Ordem de Contingência da Atualização da Assinatura: selecione a caixa de verificação para Contingência da Atualização de Assinatura
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, em que "InternalDefinitionUpdateServer" é WSUS com Microsoft Defender atualizações antivírus permitidas; "MicrosoftUpdateServer" = Microsoft Update (anteriormente Windows Update); e MMPC = https://www.microsoft.com/en-us/wdsi/definitions.
AV do administrador local:
Desative as definições av do administrador local, tais como exclusões, e defina as políticas do Microsoft Defender para Endpoint Security Settings Management, conforme descrito na tabela seguinte:
| Descrição | Definição |
|---|---|
| Desativar Intercalação de Administração Local | Desativar Intercalação de Administração Local |
Ação predefinida da gravidade da ameaça:
| Descrição | Definição |
|---|---|
| Ação de remediação para ameaças de gravidade elevada | Quarentena |
| Ação de remediação para ameaças graves | Quarentena |
| Ação de remediação para ameaças de baixa gravidade | Quarentena |
| Ação de remediação para ameaças de gravidade moderada | Quarentena |
| Descrição | Definição |
|---|---|
| Dias a Reter Limpo | Configurado, 60 |
| Permitir Acesso à IU do Utilizador | Permitido. Permitir que os utilizadores acedam à IU. |
- Quando terminar de configurar as definições, selecione Seguinte.
- No separador Atribuições , selecione Grupo de Dispositivos ou Grupo de Utilizadores , Todos os dispositivos ou Todos os Utilizadores.
- Selecione Seguinte.
- No separador Rever + criar , reveja as definições de política e, em seguida, selecione Guardar.
Regras de Redução da Superfície de Ataque
Para ativar as regras de Redução da Superfície de Ataque (ASR) com as políticas de segurança de ponto final, execute os seguintes passos:
Inicie sessão no Microsoft Defender XDR.
Aceda a Endpoints Gestão > de configuração Políticas > de segurança de ponto final Políticas > do > Windows Criar nova política.
Selecione Windows 10, Windows 11 e Windows Server na lista pendente Selecionar Plataforma.
Selecione Regras de Redução da Superfície de Ataque na lista pendente Selecionar Modelo .
Selecione Criar política.
Na página Noções básicas , introduza um nome e uma descrição para o perfil; em seguida, selecione Seguinte.
Na página Definições de configuração , expanda os grupos de definições e configure as definições que pretende gerir com este perfil.
Defina as políticas com base nas seguintes definições recomendadas:
Descrição Definição Bloquear conteúdo executável do cliente de e-mail e do webmail Bloquear Impedir o Adobe Reader de criar processos subordinados Bloquear Bloquear a execução de scripts potencialmente ocultados Bloquear Bloquear o abuso de controladores assinados vulneráveis explorados (Dispositivo) Bloquear Bloquear chamadas à API Win32 a partir de macros do Office Bloquear Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna Bloquear Bloquear a criação de processos subordinados na aplicação de comunicação do Office Bloquear Bloquear a criação de processos subordinados em todas as aplicações do Office Bloquear [PRÉ-VISUALIZAÇÃO] Bloquear a utilização de ferramentas de sistema copiadas ou representadas Bloquear Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido Bloquear Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows Bloquear Bloquear a criação de Webshell para Servidores Bloquear Impedir que as aplicações do Office criem conteúdos executáveis Bloquear Bloquear processos não fidedignos e não assinados executados a partir de USB Bloquear Bloquear a injeção de código nas aplicações do Office noutros processos Bloquear Bloquear a persistência através da subscrição de eventos WMI Bloquear Utilizar proteção avançada contra ransomware Bloquear Bloquear criações de processos com origem nos comandos PSExec e WMI Bloquear
NOTA: se tiver Configuration Manager (anteriormente SCCM) ou outras ferramentas de gestão que utilizem a WMI, poderá ter de definir esta opção como Auditoria em vez de Bloquear.[PRÉ-VISUALIZAÇÃO] Bloquear o reinício da máquina no Modo de Segurança Bloquear Ativar o Acesso Controlado a Pastas Ativado
Sugestão
Qualquer uma das regras pode bloquear o comportamento que considerar aceitável na sua organização. Nestes casos, adicione as exclusões por regra denominadas "Exclusões Apenas de Redução da Superfície de Ataque". Altere a regra de Ativado para Auditoria para impedir blocos indesejados.
- Selecione Seguinte.
- No separador Atribuições , selecione Grupo de Dispositivos ou Grupo de Utilizadores , Todos os dispositivos ou Todos os Utilizadores.
- Selecione Seguinte.
- No separador Rever + criar , reveja as definições de política e, em seguida, selecione Guardar.
Verificar a versão de atualização da plataforma
A versão mais recente do canal de produção (GA) "Atualização da Plataforma" está disponível no Catálogo Microsoft Update.
Para verificar a versão da "Atualização da Plataforma" que instalou, execute o seguinte comando no PowerShell com os privilégios de um administrador:
Get-MPComputerStatus | Format-Table AMProductVersion
Verificar a versão da Atualização de Informações de Segurança
A versão mais recente da "Atualização de Informações de Segurança" está disponível em Atualizações de informações de segurança mais recentes para Microsoft Defender Antivírus e outros antimalware da Microsoft - Informações de Segurança da Microsoft.
Para verificar qual a versão da "Atualização de Informações de Segurança" que instalou, execute o seguinte comando no PowerShell com os privilégios de um administrador:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
Verificar a versão da Atualização do Motor
A versão mais recente da "atualização do motor" de análise está disponível em Atualizações de informações de segurança mais recentes para Microsoft Defender Antivírus e outros antimalware da Microsoft - Informações de Segurança da Microsoft.
Para verificar a versão de "Atualização do Motor" que instalou, execute o seguinte comando no PowerShell com os privilégios de um administrador:
Get-MPComputerStatus | Format-Table AMEngineVersion
Se descobrir que as suas definições não estão a entrar em vigor, poderá ter um conflito. Para obter informações sobre como resolver conflitos, veja Resolução de problemas Microsoft Defender definições do Antivírus.
Para submissões de Falsos Negativos (FNs)
Para obter informações sobre como fazer submissões de Falsos Negativos (FNs), veja:
- Submeta ficheiros no Microsoft Defender para Endpoint se tiver o Microsoft XDR, Microsoft Defender para Endpoint P2/P1 ou Microsoft Defender para Empresas.
- Submeta ficheiros para análise se tiver Microsoft Defender Antivírus.