Partilhar via


Definições para Microsoft Defender política antivírus no Microsoft Intune para dispositivos Windows

Veja detalhes sobre as definições de política antivírus de segurança de ponto final que pode configurar para o perfil antivírus Microsoft Defender para Windows 10 e posteriormente no Microsoft Intune.

Observação

Este artigo detalha as definições que pode encontrar nos perfis Microsoft Defender Antivírus e Exclusões do Antivírus Microsoft Defender criados antes de 5 de abril de 2022 para a plataforma Windows 10 e posterior para a política antivírus de segurança de pontos finais. A 5 de abril de 2022, a plataforma Windows 10 e posterior foi substituída pela plataforma Windows 10, Windows 11 e Windows Server. Os perfis criados após essa data utilizam um novo formato de definições, conforme encontrado no Catálogo de Definições. Com esta alteração, já não pode criar novas versões do perfil antigo e estas já não estão a ser desenvolvidas. Embora já não possa criar novas instâncias do perfil mais antigo, pode continuar a editar e utilizar instâncias do mesmo que criou anteriormente.

Para perfis que utilizam o novo formato de definições, Intune já não mantém uma lista de cada definição por nome. Em vez disso, o nome de cada definição, as opções de configuração e o texto explicativo que vê no centro de administração do Microsoft Intune são retirados diretamente do conteúdo autoritativo das definições. Esse conteúdo pode fornecer mais informações sobre a utilização da definição no contexto adequado. Ao visualizar um texto de informações sobre definições, pode utilizar a respetiva ligação Saiba mais para abrir esse conteúdo.

Os detalhes das definições seguintes para perfis do Windows aplicam-se a esses perfis preteridos.

Proteção da cloud

  • Ativar a proteção fornecida pela nuvem
    CSP: AllowCloudProtection

    Por predefinição, o Defender em dispositivos de ambiente de trabalho Windows 10/11 envia informações à Microsoft sobre quaisquer problemas que encontre. A Microsoft analisa essas informações para saber mais sobre os problemas que afetam o utilizador e outros clientes, para oferecer soluções melhoradas.

    • Não configurado (predefinição) – a definição é restaurada para a predefinição do sistema.
    • Não - A definição está desativada. Os utilizadores do dispositivo não podem alterar esta definição.
    • Sim – a proteção fornecida pela cloud está ativada. Os utilizadores do dispositivo não podem alterar esta definição.
  • Nível de proteção fornecido pela cloud
    CSP: CloudBlockLevel

    Configure o quão agressiva é a Defender Antivírus em bloquear e analisar ficheiros suspeitos.

    • Não configurado (predefinição) – nível de bloqueio do Defender Predefinido.
    • Alto – bloquear agressivamente desconhecidos ao otimizar o desempenho do cliente, o que inclui uma maior probabilidade de falsos positivos.
    • Mais alta – bloqueie agressivamente desconhecidos e aplique medidas de proteção adicionais que possam afetar o desempenho do cliente.
    • Tolerância zero – bloqueie todos os ficheiros executáveis desconhecidos.
  • Tempo limite prolongado do Defender Cloud em segundos
    CSP: CloudExtendedTimeout

    Defender Antivírus bloqueia automaticamente ficheiros suspeitos durante 10 segundos enquanto os analisa na nuvem para se certificar de que estão seguros. Pode somar até 50 segundos adicionais a este tempo limite.

Exclusões do Antivírus do Microsoft Defender

Aviso

Definir exclusões reduz a proteção oferecida pelo Antivírus Microsoft Defender. Avalie sempre os riscos associados à implementação de exclusões. Exclua apenas os ficheiros que sabe que não são maliciosos.

Para obter mais informações, veja Descrição geral das exclusões na documentação do Microsoft Defender.

As seguintes definições estão disponíveis no perfil antivírus do Microsoft Defender:

  • Intercalação de administrador local do Defender
    CSP: Configuration/DisableLocalAdminMerge

    Esta definição controla se as definições da lista de exclusão configuradas por um administrador local intercalam com definições geridas de Intune política. Esta definição aplica-se a listas como ameaças e exclusões.

    • Não configurado(predefinição) – Itens exclusivos definidos nas definições de preferência que são configurados por um administrador local intercalam na política efetiva resultante. Se existirem conflitos, as definições de gestão de Intune política substituem as definições de preferência local.
    • Não – o comportamento é o mesmo que Não configurado.
    • Sim – apenas os itens definidos pela gestão são utilizados na política efetiva resultante. As definições geridas substituem as definições de preferência configuradas pelo administrador local.

As seguintes definições estão disponíveis nos seguintes perfis:

  • Microsoft Defender Antivírus
  • Exclusões do Antivírus do Microsoft Defender

Para cada definição neste grupo, pode expandir a definição, selecionar Adicionar e, em seguida, especificar um valor para a exclusão.

  • Processos do Defender a excluir
    CSP: ExcludedProcesses

    Especifique uma lista de ficheiros abertos pelos processos a ignorar durante uma análise. O processo em si não é excluído da análise.

  • Extensões de ficheiro a excluir de análises e proteção em tempo real
    CSP: ExcludedExtensions

    Especifique uma lista de extensões de tipo de ficheiro a ignorar durante uma análise.

  • Ficheiros e pastas do Defender a excluir
    CSP: ExcludedPaths

    Especifique uma lista de ficheiros e caminhos de diretório a ignorar durante uma análise.

Proteção em tempo real

Estas definições estão disponíveis nos seguintes perfis:

  • Microsoft Defender Antivírus

Definições:

  • Ativar a proteção em tempo real
    CSP: AllowRealtimeMonitoring

    Exigir que o Defender em dispositivos de ambiente de trabalho Windows 10/11 utilize a funcionalidade de Monitorização em tempo real.

    • Não configurado (predefinição) – a definição é restaurada para a predefinição do sistema
    • Não - A definição está desativada. Os utilizadores do dispositivo não podem alterar esta definição.
    • Sim – impor a utilização da monitorização em tempo real. Os utilizadores do dispositivo não podem alterar esta definição.
  • Ativar na proteção de acesso
    CSP: AllowOnAccessProtection Configure a proteção contra vírus que está continuamente ativa, em oposição a pedido.

    • Não Configurado (predefinição) – a definição é restaurada para a predefinição do sistema.
    • Não - Bloquear a Proteção contra Acesso nos dispositivos. Os utilizadores do dispositivo não podem alterar esta definição.
    • Sim - A Proteção de Acesso está ativa em dispositivos.
  • Monitorização de ficheiros recebidos e enviados
    CSP: Defender/RealTimeScanDirection

    Configure esta definição para determinar que atividade de programas e ficheiros NTFS é monitorizada.

    • Monitorizar todos os ficheiros (predefinição)
    • Monitorizar apenas ficheiros recebidos
    • Monitorizar apenas ficheiros de saída
  • Ativar a monitorização de comportamento
    CSP: AllowBehaviorMonitoring

    Por predefinição, o Defender em dispositivos de ambiente de trabalho Windows 10/11 utiliza a funcionalidade Monitorização de Comportamento.

    • Não configurado (predefinição) – a definição é restaurada para a predefinição do sistema.
    • Não - A definição está desativada. Os utilizadores do dispositivo não podem alterar esta definição.
    • Sim – impor a utilização da monitorização de comportamento em tempo real. Os utilizadores do dispositivo não podem alterar esta definição.
  • Ativar a proteção de rede
    CSP: EnableNetworkProtection

    Proteja os utilizadores de dispositivos através de qualquer aplicação contra esquemas de phishing, sites de exploração e conteúdo malicioso na Internet. A proteção inclui impedir que browsers de terceiros se liguem a sites perigosos.

    • Não configurado (predefinição) – a definição é restaurada para a predefinição do sistema.
    • Não - A definição está desativada. Os utilizadores do dispositivo não podem alterar esta definição.
    • Sim – a proteção de rede está ativada. Os utilizadores do dispositivo não podem alterar esta definição.
  • Analisar todos os ficheiros e anexos transferidos
    CSP: AllowIOAVProtection

    Configure o Defender para analisar todos os ficheiros e anexos transferidos.

    • Não configurado (predefinição) – a definição é restaurada para a predefinição do sistema.
    • Não - A definição está desativada. Os utilizadores do dispositivo não podem alterar esta definição.
    • Sim - O Defender analisa todos os ficheiros e anexos transferidos. Os utilizadores do dispositivo não podem alterar esta definição.
  • Analisar scripts que são utilizados nos browsers da Microsoft
    CSP: AllowScriptScanning

    Configurar o Defender para analisar scripts.

    • Não configurado (predefinição) – a definição é restaurada para a predefinição do sistema.
    • Não - A definição está desativada. Os utilizadores do dispositivo não podem alterar esta definição.
    • Sim – o Defender analisa os scripts. Os utilizadores do dispositivo não podem alterar esta definição.
  • Analisar ficheiros de rede
    CSP: AllowScanningNetworkFiles

    Configure o Defender para analisar ficheiros de rede.

    • Não configurado (predefinição) – a definição é restaurada para a predefinição do sistema.
    • Não - A definição está desativada. Os utilizadores do dispositivo não podem alterar esta definição.
    • Sim - Ativar a análise de ficheiros de rede. Os utilizadores do dispositivo não podem alterar esta definição.
  • Analisar e-mails
    CSP: AllowEmailScanning

    Configure o Defender para analisar o e-mail recebido.

    • Não configurado (predefinição) – a definição é restaurada para a predefinição do sistema.
    • Não - A definição está desativada. Os utilizadores do dispositivo não podem alterar esta definição.
    • Sim - Ative a análise de e-mail. Os utilizadores do dispositivo não podem alterar esta definição.

Remediação

Estas definições estão disponíveis nos seguintes perfis:

  • Microsoft Defender Antivírus

Definições:

  • Número de dias (0-90) para manter o software maligno em quarentena
    CSP: DaysToRetainCleanedMalware

    Especifique o número de dias entre zero e 90 que o sistema armazena itens em quarentena antes de serem removidos automaticamente. Um valor de zero mantém os itens em quarentena e não os remove automaticamente.

  • Submeter consentimento de exemplos

    • Não configurado (predefinição)
    • Enviar amostras seguras automaticamente
    • Perguntar sempre
    • Nunca enviar
    • Enviar todos os exemplos automaticamente
  • Ação a tomar em aplicações potencialmente indesejadas
    CSP: PUAProtection

    Especifique o nível de deteção para aplicações potencialmente indesejadas (PUAs). O Defender alerta os utilizadores quando está a ser transferido software potencialmente indesejável ou tenta instalar num dispositivo.

    • Não configurado (predefinição) – a definição é restaurada para a predefinição do sistema, que é a Proteção CONTRA PUA DESATIVADA.
    • Disable
    • Ativar – os itens detetados são bloqueados e são apresentados no histórico juntamente com outras ameaças.
    • Modo de auditoria – o Defender deteta aplicações potencialmente indesejadas, mas não efetua qualquer ação. Pode rever as informações sobre as aplicações em que o Defender teria tomado medidas ao procurar eventos criados pelo Defender no Visualizador de Eventos.
  • Ações para ameaças detetadas
    CSP: ThreatSeverityDefaultAction

    Especifique a ação que o Defender executa para software maligno detetado com base no nível de ameaça do software maligno.

    O Defender classifica software maligno que deteta como um dos seguintes níveis de gravidade:

    • Gravidade baixa
    • Gravidade moderada
    • Gravidade elevada
    • Gravidade grave

    Para cada nível, especifique a ação a tomar. A predefinição para cada nível de gravidade não está configurada.

    • Não configurado
    • Limpar – o serviço tenta recuperar ficheiros e tenta desinfetar.
    • Quarentena – move os ficheiros para a quarentena.
    • Remover – remove ficheiros do dispositivo.
    • Permitir – permite o ficheiro e não efetua outras ações.
    • Definido pelo utilizador – o utilizador do dispositivo toma a decisão sobre a ação a tomar.
    • Bloquear – bloqueia a execução de ficheiros.

Examinar

Estas definições estão disponíveis nos seguintes perfis:

  • Microsoft Defender Antivírus

Definições:

  • Analisar ficheiros de arquivo
    CSP: AllowArchiveScanning

    Configure o Defender para analisar ficheiros de arquivo, como ficheiros ZIP ou CAB.

    • Não configurado (predefinição) – a definição regressa à predefinição do cliente, que consiste em analisar ficheiros arquivados, no entanto, o utilizador pode desativar a definição. Saiba mais
    • Não - Os arquivos de ficheiros não são analisados. Os utilizadores do dispositivo não podem alterar esta definição.
    • Sim - Ativar análises de ficheiros de arquivo. Os utilizadores do dispositivo não podem alterar esta definição.
  • Utilizar prioridade de CPU baixa para análises agendadas
    CSP: EnableLowCPUPriority

    Configure a prioridade da CPU para análises agendadas.

    • Não configurado (predefinição) – a definição regressa à predefinição do sistema, na qual não são efetuadas alterações à prioridade da CPU.
    • Não - A definição está desativada. Os utilizadores do dispositivo não podem alterar esta definição.
    • Sim – será utilizada uma prioridade de CPU baixa durante as análises agendadas. Os utilizadores do dispositivo não podem alterar esta definição.
  • Desativar a análise completa de recuperação
    CSP: DisableCatchupFullScan

    Configure as análises de atualização para análises completas agendadas. Uma análise de recuperação é uma análise que é executada porque não foi efetuada uma análise agendada regularmente. Normalmente, estas análises agendadas não são atendidas porque o computador foi desativado na hora agendada.

    • Não configurado (predefinição) – a definição é devolvida à predefinição do cliente, que consiste em desativar as análises de recuperação para análises completas.
    • Não - A definição está desativada. Os utilizadores do dispositivo não podem alterar esta definição.
    • Sim – são impostas análises de atualização para análises completas agendadas e o utilizador não pode desativá-las. Se um computador estiver offline para duas análises agendadas consecutivas, será iniciada uma análise de recuperação da próxima vez que alguém iniciar sessão no computador. Se não existir nenhuma análise agendada configurada, não haverá execução da análise de recuperação. Os utilizadores do dispositivo não podem alterar esta definição.
  • Desativar a análise rápida de recuperação
    CSP: DisableCatchupQuickScan

    Configure as análises de atualização para análises rápidas agendadas. Uma análise de recuperação é uma análise que é executada porque não foi efetuada uma análise agendada regularmente. Normalmente, estas análises agendadas não são atendidas porque o computador foi desativado na hora agendada.

    • Não configurado (predefinição) – a definição é devolvida à predefinição do cliente, que consiste em desativar as análises de recuperação para análises completas.
    • Não - A definição está desativada. Os utilizadores do dispositivo não podem alterar esta definição.
    • Sim – são impostas análises de atualização para análises rápidas agendadas e o utilizador não pode desativá-las. Se um computador estiver offline para duas análises agendadas consecutivas, será iniciada uma análise de recuperação da próxima vez que alguém iniciar sessão no computador. Se não existir nenhuma análise agendada configurada, não haverá execução da análise de recuperação. Os utilizadores do dispositivo não podem alterar esta definição.
  • Limite de utilização da CPU por análise
    CSP: AvgCPULoadFactor

    Especifique como percentagem de zero a 100, o fator de carga médio da CPU para a análise do Defender.

  • Analisar unidades de rede mapeadas durante a análise completa
    CSP: AllowFullScanOnMappedNetworkDrives

    Configure o Defender para analisar unidades de rede mapeadas.

    • Não configurado (predefinição) – a definição é restaurada para a predefinição do sistema, o que desativa a análise em unidades de rede mapeadas.
    • Não - A definição está desativada. Os utilizadores do dispositivo não podem alterar a definição.
    • Sim - Ativar análises de unidades de rede mapeadas. Os utilizadores do dispositivo não podem alterar esta definição.
  • Executar análise rápida diária em
    CSP: ScheduleQuickScanTime

    Selecione a hora do dia em que as análises rápidas do Defender são executadas. Esta definição aplica-se apenas quando um dispositivo executa uma análise rápida e não interage com as três definições seguintes:

    • Tipo de análise
    • Dia da semana para executar uma análise agendada
    • Hora do dia para executar uma análise agendada

    Por predefinição, a opção Executar análise rápida diária em está definida como Não configurado.

  • Tipo de análise
    CSP: ScanParameter

    Selecione o tipo de análise que o Defender executa. Esta definição interage com as definições Dia da semana para executar uma análise agendada e Hora do dia para executar uma análise agendada.

    • Não Configurado (predefinição)
    • Análise rápida
    • Análise completa
  • Dia da semana para executar uma análise agendada

    • Não Configurado (predefinição)
  • Hora do dia para executar uma análise agendada

    • Não Configurado (predefinição)
  • Procurar atualizações de assinatura antes de executar a análise

    • Não Configurado (predefinição)
    • Não
    • Sim

Atualizações

Estas definições estão disponíveis nos seguintes perfis:

  • Microsoft Defender Antivírus

Definições:

  • Introduza com que frequência (0-24 horas) marcar para atualizações de informações de segurança
    CSP: SignatureUpdateInterval

    Especifique o intervalo entre zero e 24 (em horas) que é utilizado para marcar para assinaturas. Um valor de zero resulta em nenhuma marcar para novas assinaturas. Um valor de 2 marcar a cada duas horas e assim sucessivamente.

  • Definir partilhas de ficheiros para transferir atualizações de definições
    CSP: SignatureUpdateFallbackOrder

    Faça a gestão de localizações, como uma partilha de ficheiros UNC, como uma localização de origem de transferência para obter atualizações de definições. Depois de as atualizações de definições serem transferidas com êxito a partir de uma origem especificada, as restantes origens na lista não serão contactadas.

    Pode Adicionar localizações individuais ou Importar uma lista de localizações como um ficheiro de .csv.

  • Definir a ordem das origens para transferir atualizações de definições
    CSP: SignatureUpdateFileSharesSources

    Especifique por que ordem contactar as localizações de origem que especificou para obter atualizações de definições. Depois de as atualizações de definições terem sido transferidas com êxito a partir de uma origem especificada, as restantes origens na lista não serão contactadas.

Experiência do usuário

Estas definições estão disponíveis nos seguintes perfis:

  • Microsoft Defender Antivírus

Definições:

  • Permitir o acesso do utilizador à aplicação Microsoft Defender
    CSP: AllowUserUIAccess

  • Não Configurado (predefinição) – a definição regressa à predefinição do cliente na qual a IU e as notificações são permitidas.

  • Não - A Interface de Utilizador (IU) do Defender está inacessível e o ware de notificações foi suprimido.

  • Sim