Share via


Configurar e configurar Microsoft Defender para Ponto de Extremidade Plano 1

Aplica-se a:

Este artigo descreve como configurar e configurar o Plano 1 do Defender para Ponto de Extremidade. Se você tiver assistência ou estiver fazendo isso por conta própria, poderá usar este artigo como um guia durante toda a implantação.

O processo de configuração e configuração

Fluxo de instalação e implantação para Microsoft Defender para Ponto de Extremidade Plano 1

O processo geral de configuração e configuração do Plano 1 do Defender para Ponto de Extremidade é o seguinte:

Número Etapa Descrição
1 Analisar os requisitos Listas requisitos de licenciamento, navegador, sistema operacional e datacenter
2 Planejar sua implantação Listas vários métodos de implantação a serem considerados e inclui links para mais recursos para ajudá-lo a decidir qual método usar
3 Configurar seu ambiente de locatário Listas tarefas para configurar seu ambiente de locatário
4 Atribuir funções e permissões Listas funções e permissões a serem consideradas para sua equipe de segurança

DICA: assim que as funções e permissões forem atribuídas, sua equipe de segurança poderá começar a usar o portal Microsoft Defender. Para saber mais, confira Introdução.
5 Integrar ao Defender para Ponto de Extremidade Listas vários métodos por sistema operacional a bordo do Plano 1 do Defender para Ponto de Extremidade e inclui links para informações mais detalhadas para cada método
6 Configurar a proteção de última geração Descreve como configurar suas configurações de proteção de próxima geração no Microsoft Intune
7 Configurar suas funcionalidades de redução de superfície de ataque Listas os tipos de recursos de redução de superfície de ataque que você pode configurar e inclui procedimentos com links para mais recursos

Analise os requisitos do sistema

A tabela a seguir lista os requisitos básicos do Plano 1 do Defender para Ponto de Extremidade:

Requisito Descrição
Requisitos de licenciamento Plano defender para ponto de extremidade 1 (autônomo ou como parte de Microsoft 365 E3 ou A3)
Requisitos de navegador Microsoft Edge
Internet Explorer versão 11
Google Chrome
Sistemas operacionais (cliente) Windows 11
Windows 10, versão 1709 ou posterior
macOS
iOS
Android OS
Sistemas operacionais (servidor) Windows Server 2022
Windows Server 2019
Windows Server versão 1803 e posterior
Windows Server 2016 e 2012 R2 têm suporte ao usar a solução unificada moderna
Servidor Linux
Datacenter Um dos seguintes locais do datacenter:
- União Europeia
-Reino Unido
- Estados Unidos

Observação

A versão autônoma do Plano 1 do Defender para Ponto de Extremidade não inclui licenças de servidor. Para integrar servidores, você exigirá uma licença adicional, como:

Para saber mais. consulte Defender para Ponto de Extremidade integrando o Windows Server

Planejar sua implantação

Ao planejar sua implantação, você pode escolher entre várias arquiteturas e métodos de implantação diferentes. Cada organização é exclusiva, portanto, você tem várias opções a considerar, conforme listado na tabela a seguir:

Método Descrição
Intune Usar Intune para gerenciar pontos de extremidade em um ambiente nativo de nuvem
Intune e Configuration Manager Use Intune e Configuration Manager para gerenciar pontos de extremidade e cargas de trabalho que abrangem um ambiente local e de nuvem
Gerenciador de Configurações Use Configuration Manager para proteger pontos de extremidade locais com o poder baseado em nuvem do Defender para Ponto de Extremidade
Script local baixado do portal Microsoft Defender Usar scripts locais em pontos de extremidade para executar um piloto ou a bordo de apenas alguns dispositivos

Para saber mais sobre suas opções de implantação, consulte Planejar a implantação do Defender para Ponto de Extremidade. E baixe o seguinte pôster:

Miniatura do pôster da estratégia de implantação

Obter o pôster de implantação

Dica

Para obter informações mais detalhadas sobre como planejar sua implantação, consulte Planejar sua implantação Microsoft Defender para Ponto de Extremidade.

Configurar seu ambiente de locatário

A configuração do seu ambiente de locatário inclui tarefas, como:

  • Verificando suas licenças
  • Configurando seu locatário
  • Configurando suas configurações de proxy (somente se necessário)
  • Certificando-se de que os sensores estão funcionando corretamente e relatando dados ao Defender para Ponto de Extremidade

Essas tarefas são incluídas na fase de instalação do Defender para Ponto de Extremidade. Consulte Configurar o Defender para Ponto de Extremidade.

Atribuir funções e permissões

Para acessar o portal Microsoft Defender, configure as configurações do Defender para Ponto de Extremidade ou execute tarefas, como executar ações de resposta em ameaças detectadas, as permissões apropriadas devem ser atribuídas. O Defender para Ponto de Extremidade usa funções internas no Microsoft Entra ID.

A Microsoft recomenda atribuir aos usuários apenas o nível de permissão necessário para executar suas tarefas. Você pode atribuir permissões usando o gerenciamento de permissões básicas ou usando o RBAC ( controle de acesso baseado em função ).

  • Com o gerenciamento de permissões básicas, administradores globais e administradores de segurança têm acesso completo, enquanto os leitores de segurança acessam somente leitura.
  • Com o RBAC, você pode definir mais permissões granulares por meio de mais funções. Por exemplo, você pode ter leitores de segurança, operadores de segurança, administradores de segurança, administradores de ponto de extremidade e muito mais.

A tabela a seguir descreve as principais funções a serem consideradas para o Defender para Ponto de Extremidade em sua organização:

Role Descrição
Administradores globais (também chamados de administradores globais)

Como prática recomendada, limite o número de administradores globais.
Os administradores globais podem executar todos os tipos de tarefas. A pessoa que inscreveu sua empresa para o Microsoft 365 ou para Microsoft Defender para Ponto de Extremidade Plano 1 é um administrador global por padrão.

Os administradores globais podem acessar/alterar configurações em todos os portais do Microsoft 365, como:
- O Centro de administração do Microsoft 365 (https://admin.microsoft.com)
- Microsoft Defender portal (https://security.microsoft.com)
- Intune centro de administração (https://endpoint.microsoft.com)
Administradores de segurança (também chamados de administradores de segurança) Os administradores de segurança podem executar tarefas do operador de segurança mais as seguintes tarefas:
– Monitorar políticas relacionadas à segurança
– Gerenciar ameaças e alertas de segurança
– Exibir relatórios
Operador de segurança Os operadores de segurança podem executar tarefas de leitor de segurança mais as seguintes tarefas:
- Exibir informações sobre ameaças detectadas
– Investigar e responder a ameaças detectadas
Leitor de segurança Os leitores de segurança podem executar as seguintes tarefas:
- Exibir políticas relacionadas à segurança nos serviços do Microsoft 365
– Exibir ameaças e alertas de segurança
– Exibir relatórios

Dica

Para saber mais sobre funções no Microsoft Entra ID, consulte Atribuir funções de administrador e não administrador a usuários com Microsoft Entra ID. E, mais informações sobre funções para Defender para Ponto de Extremidade, confira Controle de acesso baseado em função.

Integrar ao Defender para Ponto de Extremidade

Quando estiver pronto para integrar os pontos de extremidade da sua organização, você pode escolher entre vários métodos, conforme listado na tabela a seguir:

Ponto de extremidade Ferramenta de implantação
Windows Script local (até 10 dispositivos)
Política de grupo
Microsoft Intune/ Gerenciador de Dispositivos móvel
Gerenciador de Configuração do Microsoft Endpoint
Scripts VDI
macOS Script local
Microsoft Intune
JAMF Pro
Gerenciamento de Dispositivos móvel
Android Microsoft Intune
iOS Microsoft Intune
Gerenciador de Aplicativos Móveis

Em seguida, prossiga para configurar suas funcionalidades de proteção de próxima geração e redução de superfície de ataque.

Configurar a proteção de última geração

Recomendamos usar Intune para gerenciar os dispositivos e as configurações de segurança da sua organização, conforme mostrado na imagem a seguir:

Políticas de segurança de ponto de extremidade no portal Intune

Para configurar sua proteção de próxima geração no Intune, siga estas etapas:

  1. Vá para o centro de administração Intune (https://endpoint.microsoft.com) e entre.

  2. SelecioneAntivírus de segurança> do ponto de extremidade e selecione uma política existente. (Se você não tiver uma política existente, crie uma nova política.)

  3. Defina ou altere as configurações de configuração de antivírus. Precisa de ajuda? Consulte os seguintes recursos:

  4. Quando terminar de especificar suas configurações, escolha Revisar + salvar.

Configurar suas funcionalidades de redução de superfície de ataque

A redução da superfície de ataque se trata de reduzir os locais e as maneiras pelas quais sua organização está aberta a ataques. O Plano 1 do Defender para Ponto de Extremidade inclui vários recursos e recursos para ajudá-lo a reduzir suas superfícies de ataque em seus pontos de extremidade. Esses recursos e recursos estão listados na tabela a seguir:

Recurso/funcionalidade Descrição
Regras da redução da superfície de ataque Configure regras de redução de superfície de ataque para restringir comportamentos de risco baseados em software e ajudar a manter sua organização segura. Regras de redução de superfície de ataque visam determinados comportamentos de software, como
– Iniciar arquivos executáveis e scripts que tentam baixar ou executar arquivos
- Executando scripts ofuscados ou suspeitos
– Executar comportamentos que os aplicativos normalmente não iniciam durante o trabalho normal do dia a dia

Esses comportamentos de software às vezes são vistos em aplicativos legítimos. No entanto, esses comportamentos geralmente são considerados arriscados porque geralmente são abusados por invasores por meio de malware.
Mitigação de ransomware Configure a mitigação de ransomware configurando o acesso controlado à pasta, o que ajuda a proteger os dados valiosos da sua organização contra aplicativos mal-intencionados e ameaças, como ransomware.
Controle de dispositivo Configure as configurações de controle de dispositivo para sua organização para permitir ou bloquear dispositivos removíveis (como unidades USB).
Proteção de rede Configure a proteção de rede para impedir que as pessoas em sua organização usem aplicativos que acessam domínios perigosos ou conteúdo mal-intencionado na Internet.
Proteção na web Configure a proteção contra ameaças da Web para proteger os dispositivos da sua organização contra sites de phishing, sites de exploração e outros sites não confiáveis ou de baixa reputação. Configure a filtragem de conteúdo da Web para controlar e regular o acesso a sites com base em suas categorias de conteúdo (como Lazer, Alta largura de banda, conteúdo adulto ou responsabilidade legal).
Firewall de rede Configure o firewall de rede com regras que determinam em qual tráfego de rede é permitido entrar ou sair dos dispositivos da sua organização.
Controle de aplicativos Configure regras de controle de aplicativo se você quiser permitir que apenas aplicativos e processos confiáveis sejam executados em seus dispositivos Windows.

Regras de redução de superfície de ataque

As regras de redução de superfície de ataque estão disponíveis em dispositivos que executam o Windows. Recomendamos usar Intune, conforme mostrado na imagem a seguir:

Regras de redução de superfície de ataque no portal de Intune

  1. Vá para o centro de administração Intune (https://endpoint.microsoft.com) e entre.

  2. Escolha Política deredução> de superfície de ataque de ponto> de extremidade+ Create.

  3. Em Plataforma, selecione Windows 10 e posteriores.

  4. Para Perfil, selecione Regras de redução de superfície de ataque e escolha Create.

  5. Na guia Noções básicas, especifique um nome e uma descrição para a política e escolha Avançar.

  6. Na guia Configuração de configurações , expanda Regras de Redução de Superfície de Ataque.

  7. Especifique as configurações de cada regra e escolha Avançar. (Para obter mais informações sobre o que cada regra faz, consulte Regras de redução de superfície de ataque.)

  8. Na guia Marcas de escopo , se sua organização estiver usando marcas de escopo, escolha + Selecionar marcas de escopo e selecione as marcas que você deseja usar. Em seguida, escolha Avançar.

    Para saber mais sobre marcas de escopo, consulte Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

  9. Na guia Atribuições, especifique os usuários e grupos a quem sua política deve ser aplicada e escolha Avançar. (Para saber mais sobre atribuições, consulte Atribuir perfis de usuário e dispositivo em Microsoft Intune.)

  10. Na guia Revisar + criar, examine as configurações e escolha Create.

Mitigação de ransomware

Você obtém a mitigação de ransomware por meio do acesso controlado à pasta, o que permite que apenas aplicativos confiáveis acessem pastas protegidas em seus pontos de extremidade.

Recomendamos usar Intune para configurar o acesso controlado à pasta.

políticas de redução de superfície de ataque no portal Intune

  1. Vá para o centro de administração Intune (https://endpoint.microsoft.com) e entre.

  2. Selecione Segurança do Ponto de Extremidade e, em seguida, selecione Redução de Superfície de Ataque.

  3. Escolha + Create Política.

  4. Para Plataforma, selecione Windows 10 e posterior e, para Perfil, selecione Regras de redução de superfície de ataque. Em seguida, escolha Criar.

  5. Na guia Noções básicas , nomeie a política e adicione uma descrição. Selecione Avançar.

  6. Na guia Configuração de configuração , na seção Regras de Redução de Superfície de Ataque , role para baixo até a parte inferior. Na lista suspensa Habilitar proteção de pasta , selecione Habilitar. Opcionalmente, você pode especificar essas outras configurações:

    • Ao lado de Lista de pastas adicionais que precisam ser protegidas, selecione o menu suspenso e adicione pastas que precisam ser protegidas.
    • Ao lado de Lista de aplicativos que têm acesso a pastas protegidas, selecione o menu suspenso e adicione aplicativos que devem ter acesso a pastas protegidas.
    • Ao lado de Excluir arquivos e caminhos de regras de redução de superfície de ataque, selecione o menu suspenso e adicione os arquivos e caminhos que precisam ser excluídos das regras de redução de superfície de ataque.

    Depois clique em Próximo.

  7. Na guia Marcas de escopo , se sua organização estiver usando marcas de escopo, escolha + Selecionar marcas de escopo e selecione as marcas que você deseja usar. Em seguida, escolha Avançar.

    Para saber mais sobre marcas de escopo, consulte Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

  8. Na guia Atribuições , selecione Adicionar todos os usuários e + Adicionar todos os dispositivos e escolha Avançar. (Você pode especificar alternadamente grupos específicos de usuários ou dispositivos.)

  9. Na guia Revisar + criar, examine as configurações da política e escolha Create. A política será aplicada a todos os pontos de extremidade que foram integrados ao Defender para Ponto de Extremidade em breve.

Controle de dispositivos

Você pode configurar o Defender para Ponto de Extremidade para bloquear ou permitir dispositivos e arquivos removíveis em dispositivos removíveis. Recomendamos usar Intune para configurar as configurações de controle do dispositivo.

Intune modelos administrativos

  1. Vá para o centro de administração Intune (https://endpoint.microsoft.com) e entre.

  2. Selecione Dispositivos>Perfis de configuração>Criar perfil.

  3. Para Plataforma, selecione Windows 10 e posterior e, para tipo de perfil, selecione Modelos.

    Em Nome do modelo, selecione Modelos Administrativos e escolha Create.

  4. Na guia Noções básicas , nomeie a política e adicione uma descrição. Selecione Avançar.

  5. Na guia Configuração de configurações , selecione Todas as Configurações. Em seguida, na caixa de pesquisa, digite Removable para ver todas as configurações que pertencem a dispositivos removíveis.

  6. Selecione um item na lista, como Todas as classes de Armazenamento Removível: Negar todo o acesso, para abrir seu painel de sobrevoo. O flyout para cada configuração explica o que acontece quando ele está habilitado, desabilitado ou não configurado. Selecione uma configuração e escolha OK.

  7. Repita a etapa 6 para cada configuração que você deseja configurar. Depois clique em Próximo.

  8. Na guia Marcas de escopo , se sua organização estiver usando marcas de escopo, escolha + Selecionar marcas de escopo e selecione as marcas que você deseja usar. Em seguida, escolha Avançar.

    Para saber mais sobre marcas de escopo, consulte Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

  9. Na guia Atribuições , selecione Adicionar todos os usuários e + Adicionar todos os dispositivos e escolha Avançar. (Você pode especificar alternadamente grupos específicos de usuários ou dispositivos.)

  10. Na guia Revisar + criar, examine as configurações da política e escolha Create. A política será aplicada a todos os pontos de extremidade que foram integrados ao Defender para Ponto de Extremidade em breve.

Proteção de rede

Com a proteção de rede, você pode ajudar a proteger sua organização contra domínios perigosos que podem hospedar golpes de phishing, explorações e outros conteúdos mal-intencionados na Internet. Recomendamos usar Intune para ativar a proteção de rede.

Perfil de proteção de ponto de extremidade no portal Intune

  1. Vá para o centro de administração Intune (https://endpoint.microsoft.com) e entre.

  2. Selecione Dispositivos>Perfis de configuração>Criar perfil.

  3. Para Plataforma, selecione Windows 10 e posterior e, para tipo de perfil, selecione Modelos.

    Em Nome do modelo, selecione Proteção de ponto de extremidade e escolha Create.

  4. Na guia Noções básicas , nomeie a política e adicione uma descrição. Selecione Avançar.

  5. Na guia Configuração de configuração, expanda Microsoft Defender Explore Guard e expanda a filtragem de rede.

    Defina a proteção de rede como Habilitar. (Você pode alternadamente escolher Auditoria para ver como a proteção de rede funcionará em seu ambiente no início.)

    Depois clique em Próximo.

  6. Na guia Atribuições , selecione Adicionar todos os usuários e + Adicionar todos os dispositivos e escolha Avançar. (Você pode especificar alternadamente grupos específicos de usuários ou dispositivos.)

  7. Na guia Regras de Aplicabilidade , configure uma regra. O perfil que você está configurando será aplicado somente a dispositivos que atendam aos critérios combinados especificados.

    Por exemplo, você pode optar por atribuir a política a pontos de extremidade que estão executando apenas uma determinada edição do sistema operacional.

    Depois clique em Próximo.

  8. Na guia Revisar + criar, examine as configurações da política e escolha Create. A política será aplicada a todos os pontos de extremidade que foram integrados ao Defender para Ponto de Extremidade em breve.

Dica

Você pode usar outros métodos, como Windows PowerShell ou Política de Grupo, para habilitar a proteção de rede. Para saber mais, confira Ativar a proteção de rede.

Proteção da Web

Com a proteção da Web, você pode proteger os dispositivos da sua organização contra ameaças da Web e conteúdo indesejado. Sua proteção da Web inclui proteção contra ameaças da Web e filtragem de conteúdo da Web. Configure os dois conjuntos de recursos. Recomendamos usar Intune para configurar suas configurações de proteção da Web.

Configurar a proteção contra ameaças na Web

  1. Vá para o centro de administração Intune (https://endpoint.microsoft.com) e entre.

  2. EscolhaRedução da superfície de ataque de segurança> do ponto de extremidade e escolha + Create política.

  3. Selecione uma plataforma, como Windows 10 e posterior, selecione o perfil de proteção da Web e escolha Create.

  4. Na guia Noções básicas, especifique um nome e uma descrição e escolha Avançar.

  5. Na guia Configuração de configuração , expanda Proteção Web, especifique as configurações na tabela a seguir e escolha Avançar.

    Setting Recomendação
    Habilitar a proteção de rede Defina como Habilitado. Impede que os usuários visitem sites ou domínios mal-intencionados.

    Como alternativa, você pode definir a proteção de rede para o modo Audit para ver como ela funcionará em seu ambiente. No modo de auditoria, a proteção de rede não impede que os usuários visitem sites ou domínios, mas acompanha as detecções como eventos.
    Exigir SmartScreen para Versão Prévia do Microsoft Edge Defina como Sim. Ajuda a proteger os usuários contra possíveis golpes de phishing e software mal-intencionado.
    Bloquear o acesso mal-intencionado ao site Defina como Sim. Impede que os usuários ignorem avisos sobre sites potencialmente mal-intencionados.
    Bloquear o download de arquivo não verificado Defina como Sim. Impede que os usuários ignorem os avisos e baixem arquivos não verificados.
  6. Na guia Marcas de escopo , se sua organização estiver usando marcas de escopo, escolha + Selecionar marcas de escopo e selecione as marcas que você deseja usar. Em seguida, escolha Avançar.

    Para saber mais sobre marcas de escopo, consulte Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

  7. Na guia Atribuições, especifique os usuários e dispositivos para receber a política de proteção da Web e escolha Avançar.

  8. Na guia Revisar + criar, examine suas configurações de política e escolha Create.

Dica

Para saber mais sobre a proteção contra ameaças na Web, consulte Proteger sua organização contra ameaças da Web.

Configurar a filtragem de conteúdo da Web

  1. Acesse o portal Microsoft Defender (https://security.microsoft.com/) e entre.

  2. Escolha Pontos de Extremidade de>Configurações.

  3. Em Regras, escolha Filtragem de conteúdo da Web e escolha + Adicionar política.

  4. No flyout Adicionar política , na guia Geral , especifique um nome para sua política e escolha Avançar.

  5. Nas categorias Bloqueadas, selecione uma ou mais categorias que você deseja bloquear e escolha Avançar.

  6. Na guia Escopo , selecione os grupos de dispositivos que você deseja receber essa política e escolha Avançar.

  7. Na guia Resumo , examine suas configurações de política e escolha Salvar.

Dica

Para saber mais sobre como configurar a filtragem de conteúdo da Web, confira Filtragem de conteúdo da Web.

Firewall de rede

O firewall de rede ajuda a reduzir o risco de ameaças à segurança de rede. Sua equipe de segurança pode definir regras que determinam para qual tráfego é permitido fluir para ou dos dispositivos da sua organização. Recomendamos usar Intune para configurar o firewall de rede.

Política de firewall no portal Intune

Para configurar as configurações básicas de firewall, siga estas etapas:

  1. Vá para o centro de administração Intune (https://endpoint.microsoft.com) e entre.

  2. EscolhaFirewall de segurança> do ponto de extremidade e escolha + Create Política.

  3. Selecione uma plataforma, como Windows 10 e posterior, selecione o perfil Microsoft Defender Firewall e escolha Create.

  4. Na guia Noções básicas, especifique um nome e uma descrição e escolha Avançar.

  5. Expanda Microsoft Defender Firewall e role para baixo até a parte inferior da lista.

  6. Defina cada uma das seguintes configurações como Sim:

    • Ativar Microsoft Defender Firewall para redes de domínio
    • Ativar Microsoft Defender Firewall para redes privadas
    • Ativar Microsoft Defender Firewall para redes públicas

    Examine a lista de configurações em cada uma das redes de domínio, redes privadas e redes públicas. Você pode deixá-los definidos como Não configurados ou alterá-los para atender às necessidades da sua organização.

    Depois clique em Próximo.

  7. Na guia Marcas de escopo , se sua organização estiver usando marcas de escopo, escolha + Selecionar marcas de escopo e selecione as marcas que você deseja usar. Em seguida, escolha Avançar.

    Para saber mais sobre marcas de escopo, consulte Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

  8. Na guia Atribuições , selecione Adicionar todos os usuários e + Adicionar todos os dispositivos e escolha Avançar. (Você pode especificar alternadamente grupos específicos de usuários ou dispositivos.)

  9. Na guia Revisar + criar, examine suas configurações de política e escolha Create.

Dica

As configurações de firewall são detalhadas e podem parecer complexas. Consulte Práticas recomendadas para configurar Windows Defender Firewall.

Controle da aplicação

Windows Defender WDAC (Controle de Aplicativo) ajuda a proteger seus pontos de extremidade do Windows permitindo apenas que aplicativos e processos confiáveis sejam executados. A maioria das organizações usou uma implantação em fases do WDAC. Ou seja, a maioria das organizações não implanta o WDAC em todos os pontos de extremidade do Windows no início. De fato, dependendo se os pontos de extremidade do Windows da sua organização são totalmente gerenciados, levemente gerenciados ou pontos de extremidade "Traga seu próprio dispositivo", você pode implantar o WDAC em todos ou em alguns pontos de extremidade.

Para ajudar no planejamento da implantação do WDAC, confira os seguintes recursos:

Próximas etapas

Agora que você passou pelo processo de configuração e configuração, sua próxima etapa é começar a usar o Defender para Ponto de Extremidade.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.