Configurações para Microsoft Defender política antivírus em Microsoft Intune para dispositivos Windows

  • Artigo

Exibir detalhes sobre as configurações de política antivírus de segurança do ponto de extremidade que você pode configurar para o perfil antivírus Microsoft Defender para Windows 10 e posterior em Microsoft Intune.

Observação

Este artigo detalha as configurações que você pode encontrar em Microsoft Defender perfis de exclusões antivírus e antivírus Microsoft Defender criados antes de 5 de abril de 2022 para a plataforma Windows 10 e posterior para a política antivírus de segurança do ponto de extremidade. Em 5 de abril de 2022, a plataforma Windows 10 e posterior foi substituída pela plataforma Windows 10, Windows 11 e Windows Server. Os perfis criados após essa data usam um novo formato de configurações conforme encontrado no Catálogo de Configurações. Com essa alteração, você não pode mais criar novas versões do perfil antigo e elas não estão mais sendo desenvolvidas. Embora você não possa mais criar novas instâncias do perfil mais antigo, você pode continuar editando e usando instâncias dele que você criou anteriormente.

Para perfis que usam o novo formato de configurações, o Intune não mantém mais uma lista de cada configuração por nome. Em vez disso, o nome de cada configuração, suas opções de configuração e seu texto explicativo que você vê no centro de administração Microsoft Intune são retirados diretamente do conteúdo autoritativo das configurações. Esse conteúdo pode fornecer mais informações sobre o uso da configuração em seu contexto apropriado. Ao exibir um texto de informações de configurações, você pode usar o link Saiba mais para abrir esse conteúdo.

Os detalhes das configurações a seguir para perfis do Windows se aplicam a esses perfis preteridos.

Proteção de nuvem

  • Ativar a proteção fornecida pela nuvem
    CSP: AllowCloudProtection

    Por padrão, o Defender em dispositivos de área de trabalho Windows 10/11 envia informações à Microsoft sobre quaisquer problemas encontrados. A Microsoft analisa essas informações para saber mais sobre problemas que afetam você e outros clientes para oferecer soluções aprimoradas.

    • Não configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não – A configuração está desabilitada. Os usuários do dispositivo não podem alterar essa configuração.
    • Sim – a proteção entregue na nuvem está ativada. Os usuários do dispositivo não podem alterar essa configuração.

  • Nível de proteção entregue pela nuvem
    CSP: CloudBlockLevel

    Configure o quão agressivo o Defender Antivírus está no bloqueio e na verificação de arquivos suspeitos.

    • Não configurado (padrão) – nível de bloqueio padrão do Defender.
    • Alto – bloqueia agressivamente as incógnitas ao otimizar o desempenho do cliente, o que inclui uma maior chance de falsos positivos.
    • Alta vantagem – bloqueia agressivamente desconhecidos e aplica medidas de proteção adicionais que podem afetar o desempenho do cliente.
    • Tolerância zero – bloquear todos os arquivos executáveis desconhecidos.

  • Tempo limite estendido da nuvem do Defender em segundos
    CSP: CloudExtendedTimeout

    O Defender Antivírus bloqueia automaticamente arquivos suspeitos por 10 segundos enquanto os examina na nuvem para garantir que eles estejam seguros. Você pode adicionar até 50 segundos adicionais a esse tempo limite.

exclusões antivírus Microsoft Defender

As seguintes configurações estão disponíveis no perfil Microsoft Defender Antivírus:

  • Mesclagem de administrador local do Defender
    CSP: Configuration/DisableLocalAdminMerge

    Essa configuração controla se as configurações da lista de exclusão configuradas por um administrador local se mesclam com as configurações gerenciadas da política do Intune. Essa configuração se aplica a listas como ameaças e exclusões.

    • Não configurados(padrão) – itens exclusivos definidos em configurações de preferência configuradas por um administrador local mesclam na política efetiva resultante. Se houver conflitos, as configurações de gerenciamento da política do Intune substituirão as configurações de preferência local.
    • Não – O comportamento é o mesmo que Não configurado.
    • Sim – somente itens definidos pelo gerenciamento são usados na política efetiva resultante. As configurações gerenciadas substituem as configurações de preferência configuradas pelo administrador local.

As seguintes configurações estão disponíveis nos seguintes perfis:

  • Microsoft Defender Antivírus
  • exclusões antivírus Microsoft Defender

Para cada configuração nesse grupo, você pode expandir a configuração, selecionar Adicionar e especificar um valor para a exclusão.

  • Processos do Defender a serem excluídos
    CSP: ExcluídosProcessos

    Especifique uma lista de arquivos abertos por processos a serem ignorados durante uma verificação. O processo em si não é excluído da verificação.

  • Extensões de arquivo a serem excluídas de verificações e proteção em tempo real
    CSP: ExcluídoExtensions

    Especifique uma lista de extensões de tipo de arquivo a serem ignoradas durante uma verificação.

  • Arquivos e pastas do Defender a serem excluídos
    CSP: ExcludeedPaths

    Especifique uma lista de arquivos e caminhos de diretório a serem ignorados durante uma verificação.

Proteção em tempo real

Essas configurações estão disponíveis nos seguintes perfis:

  • Microsoft Defender Antivírus

Configurações:

  • Ativar a proteção em tempo real
    CSP: AllowRealtimeMonitoring

    Exigir que o Defender em dispositivos de área de trabalho Windows 10/11 use a funcionalidade de Monitoramento em tempo real.

    • Não configurado (padrão) – A configuração é restaurada para o padrão do sistema
    • Não – A configuração está desabilitada. Os usuários do dispositivo não podem alterar essa configuração.
    • Sim – impor o uso do monitoramento em tempo real. Os usuários do dispositivo não podem alterar essa configuração.

  • Habilitar na proteção de acesso
    CSP: AllowOnAccessProtection Configure a proteção contra vírus que está continuamente ativa, em vez de sob demanda.

    • Não Configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não – Bloquear a Proteção de Acesso em dispositivos. Os usuários do dispositivo não podem alterar essa configuração.
    • Sim – a Proteção de Acesso está ativa em dispositivos.

  • Monitoramento para arquivos de entrada e saída
    CSP: Defender/RealTimeScanDirection

    Configure essa configuração para determinar qual atividade de programa e arquivo NTFS é monitorada.

    • Monitorar todos os arquivos (padrão)
    • Monitorar somente arquivos de entrada
    • Monitorar somente arquivos de saída

  • Ativar o monitoramento de comportamento
    CSP: AllowBehaviorMonitoring

    Por padrão, o Defender em dispositivos de área de trabalho Windows 10/11 usa a funcionalidade monitoramento de comportamento.

    • Não configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não – A configuração está desabilitada. Os usuários do dispositivo não podem alterar essa configuração.
    • Sim – impor o uso do monitoramento de comportamento em tempo real. Os usuários do dispositivo não podem alterar essa configuração.

  • Ativar a proteção de rede
    CSP: EnableNetworkProtection

    Proteja os usuários do dispositivo usando qualquer aplicativo contra acessar golpes de phishing, sites de hospedagem de exploração e conteúdo mal-intencionado na Internet. A proteção inclui impedir que navegadores de terceiros se conectem a sites perigosos.

    • Não configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não – A configuração está desabilitada. Os usuários do dispositivo não podem alterar essa configuração.
    • Sim – a proteção de rede está ativada. Os usuários do dispositivo não podem alterar essa configuração.

  • Examinar todos os arquivos e anexos baixados
    CSP: AllowIOAVProtection

    Configure o Defender para examinar todos os arquivos e anexos baixados.

    • Não configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não – A configuração está desabilitada. Os usuários do dispositivo não podem alterar essa configuração.
    • Sim – O Defender verifica todos os arquivos e anexos baixados. Os usuários do dispositivo não podem alterar essa configuração.

  • Examinar scripts usados em navegadores da Microsoft
    CSP: AllowScriptScanning

    Configure o Defender para examinar scripts.

    • Não configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não – A configuração está desabilitada. Os usuários do dispositivo não podem alterar essa configuração.
    • Sim – o Defender verifica scripts. Os usuários do dispositivo não podem alterar essa configuração.

  • Examinar arquivos de rede
    CSP: AllowScanningNetworkFiles

    Configure o Defender para verificar arquivos de rede.

    • Não configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não – A configuração está desabilitada. Os usuários do dispositivo não podem alterar essa configuração.
    • Sim – ativar a verificação de arquivos de rede. Os usuários do dispositivo não podem alterar essa configuração.

  • Examinar emails
    CSP: AllowEmailScanning

    Configure o Defender para verificar o email de entrada.

    • Não configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não – A configuração está desabilitada. Os usuários do dispositivo não podem alterar essa configuração.
    • Sim – ativar a verificação de email. Os usuários do dispositivo não podem alterar essa configuração.

Remediação

Essas configurações estão disponíveis nos seguintes perfis:

  • Microsoft Defender Antivírus

Configurações:

  • Número de dias (0-90) para manter o malware em quarentena
    CSP: DaysToRetainCleanedMalware

    Especifique o número de dias de zero a 90 que o sistema armazena itens em quarentena antes de serem removidos automaticamente. Um valor de zero mantém os itens em quarentena e não os remove automaticamente.

  • Enviar consentimento de exemplos

    • Não configurado (padrão)
    • Enviar amostras seguras automaticamente
    • Sempre solicitar
    • Nunca enviar
    • Enviar todos os exemplos automaticamente

  • Ação para assumir aplicativos potencialmente indesejados
    CSP: PUAProtection

    Especifique o nível de detecção para PUAs (aplicativos potencialmente indesejados). O Defender alerta os usuários quando um software potencialmente indesejado está sendo baixado ou tenta instalar em um dispositivo.

    • Não configurado (padrão) – A configuração é restaurada para o padrão do sistema, que é a Proteção PUA OFF.
    • Disable
    • Habilitar – os itens detectados são bloqueados e são exibidos no histórico junto com outras ameaças.
    • Modo de auditoria – o Defender detecta aplicativos potencialmente indesejados, mas não toma nenhuma ação. Você pode examinar informações sobre os aplicativos que o Defender teria tomado medidas em busca de eventos criados pelo Defender no Visualizador de Eventos.

  • Ações para ameaças detectadas
    CSP: ThreatSeverityDefaultAction

    Especifique a ação que o Defender adota para malware detectado com base no nível de ameaça do malware.

    O Defender classifica o malware que ele detecta como um dos seguintes níveis de gravidade:

    • Baixa gravidade
    • Gravidade moderada
    • Alta gravidade
    • Gravidade grave

    Para cada nível, especifique a ação a ser tomada. O padrão para cada nível de gravidade não está configurado.

    • Não configurado
    • Limpar – o serviço tenta recuperar arquivos e tentar desinfetar.
    • Quarentena – move arquivos para quarentena.
    • Remover – remove arquivos do dispositivo.
    • Permitir – permite o arquivo e não faz outras ações.
    • Definido pelo usuário – O usuário do dispositivo toma a decisão sobre qual ação tomar.
    • Bloquear – bloqueia a execução do arquivo.

Examinar

Essas configurações estão disponíveis nos seguintes perfis:

  • Microsoft Defender Antivírus

Configurações:

  • Examinar arquivos de arquivo
    CSP: AllowArchiveScanning

    Configure o Defender para verificar arquivos de arquivo, como arquivos ZIP ou CAB.

    • Não configurada (padrão) – A configuração retorna ao padrão do cliente, que é verificar arquivos arquivados, no entanto, o usuário pode desabilitar a configuração. Saiba mais
    • Não – arquivos de arquivos não são verificados. Os usuários do dispositivo não podem alterar essa configuração.
    • Sim – habilitar verificações de arquivos de arquivo. Os usuários do dispositivo não podem alterar essa configuração.

  • Usar a baixa prioridade da CPU para verificações agendadas
    CSP: EnableLowCPUPriority

    Configure a prioridade da CPU para verificações agendadas.

    • Não configurada (padrão) – A configuração retorna ao padrão do sistema, no qual nenhuma alteração na prioridade da CPU é feita.
    • Não – A configuração está desabilitada. Os usuários do dispositivo não podem alterar essa configuração.
    • Sim – A baixa prioridade da CPU será usada durante as verificações agendadas. Os usuários do dispositivo não podem alterar essa configuração.

  • Desabilitar a verificação completa de catch-up
    CSP: DisableCatchupFullScan

    Configure verificações de catch-up para verificações completas agendadas. Uma verificação de recuperação é uma verificação que é executada porque uma verificação agendada regularmente foi perdida. Normalmente, essas verificações agendadas são perdidas porque o computador foi desativado na hora agendada.

    • Não configurado (padrão) – A configuração é retornada ao padrão do cliente, que é desabilitar verificações de catch-up para verificações completas.
    • Não – A configuração está desabilitada. Os usuários do dispositivo não podem alterar essa configuração.
    • Sim – Verificações de captura para verificações completas agendadas são impostas e o usuário não pode desabilitar. Se um computador estiver offline para duas verificações agendadas consecutivas, uma verificação de catch-up será iniciada na próxima vez que alguém entrar no computador. Se não houver uma verificação agendada configurada, não haverá execução de verificação de catch-up. Os usuários do dispositivo não podem alterar essa configuração.

  • Desabilitar a verificação rápida de catchup
    CSP: DisableCatchupQuickScan

    Configure verificações de catch-up para verificações rápidas agendadas. Uma verificação de recuperação é uma verificação que é executada porque uma verificação agendada regularmente foi perdida. Normalmente, essas verificações agendadas são perdidas porque o computador foi desativado na hora agendada.

    • Não configurado (padrão) – A configuração é retornada ao padrão do cliente, que é desabilitar verificações de catch-up para verificações completas.
    • Não – A configuração está desabilitada. Os usuários do dispositivo não podem alterar essa configuração.
    • Sim – Verificações de captura para verificações rápidas agendadas são impostas e o usuário não pode desabilitar. Se um computador estiver offline para duas verificações agendadas consecutivas, uma verificação de catch-up será iniciada na próxima vez que alguém entrar no computador. Se não houver uma verificação agendada configurada, não haverá execução de verificação de catch-up. Os usuários do dispositivo não podem alterar essa configuração.

  • Limite de uso da CPU por verificação
    CSP: AvgCPULoadFactor

    Especifique como um percentual de zero a 100, o fator de carga médio da CPU para a verificação do Defender.

  • Examinar unidades de rede mapeadas durante a verificação completa
    CSP: AllowFullScanOnMappedNetworkDrives

    Configure o Defender para verificar unidades de rede mapeadas.

    • Não configurada (padrão) – A configuração é restaurada para o padrão do sistema, o que desabilita a verificação em unidades de rede mapeadas.
    • Não – A configuração está desabilitada. Os usuários do dispositivo não podem alterar a configuração.
    • Sim – habilitar verificações de unidades de rede mapeadas. Os usuários do dispositivo não podem alterar essa configuração.

  • Executar uma verificação rápida diária em
    CSP: ScheduleQuickScanTime

    Selecione a hora do dia em que as verificações rápidas do Defender são executadas. Essa configuração só se aplica quando um dispositivo executa uma verificação rápida e não interage com as três seguintes configurações:

    • Tipo de verificação
    • Dia da semana para executar uma verificação agendada
    • Hora do dia para executar uma verificação agendada

    Por padrão, executar a verificação rápida diária em é definido como Não configurado.

  • Tipo de verificação
    CSP: ScanParameter

    Selecione o tipo de verificação que o Defender executa. Essa configuração interage com as configurações Dia da semana para executar uma verificação agendada e hora do dia para executar uma verificação agendada.

    • Não configurado (padrão)
    • Verificação rápida
    • Verificação completa

  • Dia da semana para executar uma verificação agendada

    • Não configurado (padrão)

  • Hora do dia para executar uma verificação agendada

    • Não configurado (padrão)

  • Verificar se há atualizações de assinatura antes de executar a verificação

    • Não configurado (padrão)
    • Não
    • Sim

Atualizações

Essas configurações estão disponíveis nos seguintes perfis:

  • Microsoft Defender Antivírus

Configurações:

  • Insira com que frequência (de 0 a 24 horas) para marcar para atualizações de inteligência de segurança
    CSP: SignatureUpdateInterval

    Especifique o intervalo de zero a 24 (em horas) que é usado para marcar para assinaturas. Um valor de zero não resulta em marcar para novas assinaturas. Um valor de 2 marcar a cada duas horas e assim por diante.

  • Definir compartilhamentos de arquivos para baixar atualizações de definição
    CSP: SignatureUpdateFallbackOrder

    Gerenciar locais, como um compartilhamento de arquivos UNC, como um local de origem de download para obter atualizações de definição. Depois que as atualizações de definição forem baixadas com êxito de uma fonte especificada, as fontes restantes da lista não serão contatadas.

    Você pode Adicionar locais individuais ou Importar uma lista de locais como um arquivo .csv.

  • Definir a ordem das fontes para baixar atualizações de definição
    CSP: SignatureUpdateFileSharesSources

    Especifique em qual ordem entrar em contato com os locais de origem especificados para obter atualizações de definição. Depois que as atualizações de definição tiverem baixado com êxito de uma fonte especificada, as fontes restantes da lista não serão contatadas.

Experiência do usuário

Essas configurações estão disponíveis nos seguintes perfis:

  • Microsoft Defender Antivírus

Configurações:

  • Permitir acesso do usuário ao aplicativo Microsoft Defender
    CSP: AllowUserUIAccess

  • Não Configurado (padrão) – A configuração retorna ao padrão do cliente no qual a interface do usuário e as notificações são permitidas.

  • Não – a interface do usuário do Defender (interface do usuário) é inacessível e as notificações são suprimidas.

  • Sim