Avaliar o Antivírus do Microsoft Defender com o Powershell
Aplica-se a:
- Antivírus do Microsoft Defender
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
No Windows 10 ou mais recente e no Windows Server 2016 ou mais recente, pode utilizar funcionalidades de proteção de próxima geração oferecidas pelo Antivírus do Microsoft Defender (MDAV) e pelo Microsoft Defender Exploit Guard (Microsoft Defender EG).
Este tópico explica como ativar e testar as principais funcionalidades de proteção no Microsoft Defender AV e no Microsoft Defender EG e fornece orientações e ligações para mais informações.
Recomendamos que utilize este script do PowerShell de avaliação para configurar estas funcionalidades, mas pode ativar individualmente cada funcionalidade com os cmdlets descritos no resto deste documento.
Veja as seguintes bibliotecas de documentação de produtos para obter mais informações sobre os nossos produtos EPP:
Este artigo descreve as opções de configuração no Windows 10 ou mais recente e no Windows Server 2016 ou mais recente.
Se tiver dúvidas sobre uma deteção que o Microsoft Defender AV efetua ou detetar uma deteção perdida, pode submeter-nos um ficheiro no nosso site de ajuda de submissão de exemplo.
Utilizar o PowerShell para ativar as funcionalidades
Este guia fornece os cmdlets do Antivírus do Microsoft Defender que configuram as funcionalidades que deve utilizar para avaliar a nossa proteção.
Para utilizar estes cmdlets:
1. Abra uma instância elevada do PowerShell (escolha Executar como administrador).
2. Introduza o comando listado neste guia e prima Enter.
Pode verificar o estado de todas as definições antes de começar, ou durante a avaliação, com o cmdlet Get-MpPreference do PowerShell.
O Microsoft Defender AV indica uma deteção através de notificações padrão do Windows. Também pode rever as deteções na aplicação Microsoft Defender AV.
O registo de eventos do Windows também regista eventos de deteção e de motor. Veja o artigo Eventos do Antivírus do Microsoft Defender para obter uma lista de IDs de eventos e as ações correspondentes.
Funcionalidades de proteção da cloud
As atualizações de definições padrão podem demorar horas a preparar e entregar; O nosso serviço de proteção fornecido pela cloud pode fornecer esta proteção em segundos.
Estão disponíveis mais detalhes em Utilizar tecnologias de próxima geração no Antivírus do Microsoft Defender através da proteção fornecida pela cloud.
Descrição | Comando do PowerShell |
---|---|
Ativar o Microsoft Defender Cloud para proteção quase instantânea e maior proteção | Set-MpPreference -MAPSRelatório Avançado |
Submeter automaticamente exemplos para aumentar a proteção de grupos | Set-MpPreference -SubmitSamplesConsent Always |
Utilizar sempre a cloud para bloquear software maligno novo em segundos | Set-MpPreference -DisableBlockAtFirstSeen 0 |
Analisar todos os ficheiros e anexos transferidos | Set-MpPreference -DisableIOAVProtection 0 |
Definir o nível de bloco da cloud como "Alto" | Set-MpPreference -CloudBlockLevel High |
Tempo limite de bloqueio da cloud definido alto para 1 minuto | Set-MpPreference -CloudExtendedTimeout 50 |
Proteção alwayson (análise em tempo real)
O Microsoft Defender AV analisa os ficheiros assim que são vistos pelo Windows e monitoriza os processos em execução de comportamentos maliciosos conhecidos ou suspeitos. Se o motor antivírus detetar modificações maliciosas, irá bloquear imediatamente a execução do processo ou ficheiro.
Veja Configurar a proteção comportamental, heurística e em tempo real para obter mais detalhes sobre estas opções.
Descrição | Comando do PowerShell |
---|---|
Monitorizar constantemente ficheiros e processos para modificações de software maligno conhecidas | Set-MpPreference -DisableRealtimeMonitoring 0 |
Monitorizar constantemente comportamentos de software maligno conhecidos – mesmo em ficheiros "limpos" e programas em execução | Set-MpPreference -DisableBehaviorMonitoring 0 |
Analisar scripts assim que forem vistos ou executados | Set-MpPreference -DisableScriptScanning 0 |
Analisar unidades amovíveis assim que forem inseridas ou montadas | Set-MpPreference -DisableRemovableDriveScanning 0 |
Proteção de Aplicações Potencialmente Indesejada
As aplicações potencialmente indesejadas são ficheiros e aplicações que não são tradicionalmente classificados como maliciosos. Estes incluem instaladores de terceiros para software comum, injeção de anúncios e determinados tipos de barras de ferramentas no seu browser.
Descrição | Comando do PowerShell |
---|---|
Impedir a instalação de grayware, adware e outras aplicações potencialmente indesejadas | Set-MpPreference -PUAProtection Ativado |
Análise de e-mail e arquivo
Pode definir o Antivírus do Microsoft Defender para analisar automaticamente determinados tipos de ficheiros de e-mail e ficheiros de arquivo (como .zip ficheiros) quando são vistos pelo Windows. Pode encontrar mais informações sobre esta funcionalidade no artigo Gerir análises de e-mail no Microsoft Defender .
Descrição | Comando do PowerShell |
---|---|
Analisar ficheiros e arquivos de e-mail | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Gerir atualizações de produtos e proteção
Normalmente, recebe atualizações do Microsoft Defender AV a partir do Windows Update uma vez por dia. No entanto, pode aumentar a frequência dessas atualizações ao definir as seguintes opções e garantir que as atualizações são geridas no System Center Configuration Manager, com a Política de Grupo ou no Intune.
Descrição | Comando do PowerShell |
---|---|
Atualizar assinaturas todos os dias | Set-MpPreference -SignatureUpdateInterval |
Verificar a atualização de assinaturas antes de executar uma análise agendada | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Monitorização avançada de ameaças e exploração e prevenção Acesso controlado a pastas
O Microsoft Defender Exploit Guard fornece funcionalidades que ajudam a proteger os dispositivos contra comportamentos maliciosos conhecidos e ataques a tecnologias vulneráveis.
Descrição | Comando do PowerShell |
---|---|
Impedir que aplicações maliciosas e suspeitas (como ransomware) façam alterações a pastas protegidas com acesso controlado a pastas | Set-MpPreference -EnableControlledFolderAccess Ativado |
Bloquear ligações a endereços IP incorretos conhecidos e outras ligações de rede com a Proteção de rede | Set-MpPreference -EnableNetworkProtection Ativado |
Aplicar um conjunto padrão de mitigações com o Exploit Protection |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
Bloquear vetores de ataque malicioso conhecidos com Redução da superfície de ataque | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Ativado Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-2 4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Ativado Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A9 57927947596D -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Ativado Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e 8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Ativado Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Ativado Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Ativado |
Algumas regras podem bloquear o comportamento que considerar aceitável na sua organização. Nestes casos, altere a regra de Ativado para Auditoria para impedir blocos indesejados.
Análise Offline do Microsoft Defender com um clique
A Análise Offline do Microsoft Defender é uma ferramenta especializada fornecida com o Windows 10 ou mais recente e permite-lhe arrancar uma máquina num ambiente dedicado fora do sistema operativo normal. É especialmente útil para malware potente, como rootkits.
Consulte Microsoft Defender Offline para obter mais informações sobre como esta funcionalidade funciona.
Descrição | Comando do PowerShell |
---|---|
Certifique-se de que as notificações lhe permitem iniciar o PC num ambiente especializado de remoção de software maligno | Set-MpPreference -UILockdown 0 |
Recursos
Esta secção lista muitos recursos que podem ajudá-lo a avaliar o Antivírus do Microsoft Defender.
- Biblioteca do Microsoft Defender no Windows 10
- Biblioteca do Microsoft Defender para Windows Server 2016
- Biblioteca de segurança do Windows 10
- Descrição geral da segurança do Windows 10
- Site de Informações de Segurança do Microsoft Defender (Centro de Proteção Contra Software Maligno da Microsoft (MMPC)) – investigação e resposta a ameaças
- Site do Microsoft Security
- Blogue do Microsoft Security