Configurações para Microsoft Defender política antivírus para dispositivos anexados ao locatário em Microsoft Intune

  • Artigo

Exiba as configurações Microsoft Defender Antivírus que você pode gerenciar com o perfil Microsoft Defender ConfigMgr (Política antivírus) do Intune. O perfil está disponível quando você configura a política antivírus de segurança do Ponto de Extremidade do Intune e a política é implantada em dispositivos que você gerencia com Configuration Manager quando você configurou o cenário de anexação de locatário.

Proteção de nuvem

  • Ativar a proteção fornecida pela nuvem
    CSP: AllowCloudProtection

    Por padrão, o Defender em dispositivos de área de trabalho Windows 10/11 envia informações à Microsoft sobre quaisquer problemas encontrados. A Microsoft analisa essas informações para saber mais sobre problemas que afetam você e outros clientes para oferecer soluções aprimoradas.

    • Não Configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não Desativa o Serviço de Proteção Ativa da Microsoft.
    • Sim Ativa o Serviço de Proteção Ativa da Microsoft.

  • Nível de proteção entregue pela nuvem
    CSP: CloudBlockLevel

    Configure o quão agressivo o Defender Antivírus está no bloqueio e na verificação de arquivos suspeitos.

    • Não configurado (padrão) – nível de bloqueio padrão do Defender.
    • Alto – bloqueia agressivamente as incógnitas ao otimizar o desempenho do cliente, o que inclui uma maior chance de falsos positivos.
    • High Plus – bloquear agressivamente desconhecidos e aplicar medidas de proteção extras que podem afetar o desempenho do cliente.
    • Tolerância zero – bloquear todos os arquivos executáveis desconhecidos.

  • Tempo limite estendido do Defender Cloud em segundos
    CSP: CloudExtendedTimeout

    O Defender Antivírus bloqueia automaticamente arquivos suspeitos por 10 segundos para que ele possa examinar os arquivos na nuvem para garantir que eles estejam seguros. Com essa configuração, você pode adicionar mais 50 segundos a esse tempo limite.

exclusões antivírus Microsoft Defender

Para cada configuração nesse grupo, você pode expandir a configuração, selecionar Adicionar e especificar um valor para a exclusão.

  • Processos do Defender a serem excluídos
    CSP: ExcluídosProcessos

    Especifique uma lista de arquivos abertos por processos a serem ignorados durante uma verificação. O processo em si não é excluído da verificação.

  • Extensões de arquivo a serem excluídas de verificações e proteção em tempo real
    CSP: ExcluídoExtensions

    Especifique uma lista de extensões de tipo de arquivo a serem ignoradas durante uma verificação.

  • Arquivos e pastas do Defender a serem excluídos
    CSP: ExcludeedPaths

    Especifique uma lista de arquivos e caminhos de diretório a serem ignorados durante uma verificação.

Proteção em tempo real

  • Ativar a proteção em tempo real
    CSP: AllowRealtimeMonitoring

    Exigir que o Defender em dispositivos de área de trabalho Windows 10/11 use a funcionalidade de Monitoramento em tempo real.

    • Não Configurado (padrão) – A configuração é restaurada para o padrão do sistema
    • Não Desativa o serviço de monitoramento em tempo real.
    • Sim Ativa e executa o serviço de monitoramento em tempo real.

  • Habilitar na proteção de acesso
    CSP: AllowOnAccessProtection

    Configure a proteção contra vírus continuamente ativa, em vez de sob demanda.

    • Não configurado (padrão) – essa política não altera o estado dessa configuração em um dispositivo. O estado existente no dispositivo permanece inalterado.
    • Não Desativa o serviço de monitoramento em tempo real.
    • Sim

  • Monitoramento para arquivos de entrada e saída
    CSP: Defender/RealTimeScanDirection

    Configure essa configuração para determinar qual atividade de programa e arquivo NTFS é monitorada.

    • Monitorar todos os arquivos (bidirecionais) (padrão)
    • Monitorar arquivos de entrada
    • Monitorar arquivos de saída

  • Ativar o monitoramento de comportamento
    CSP: AllowBehaviorMonitoring

    Por padrão, o Defender em dispositivos de área de trabalho Windows 10/11 usa a funcionalidade monitoramento de comportamento.

    • Não Configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não Desativa o monitoramento de comportamento.
    • Sim Ativa o monitoramento de comportamento em tempo real.

  • Permitir sistema de prevenção de intrusão

    Configure o Defender para permitir ou desautorizar a funcionalidade de Prevenção contra Intrusão.

    • Não Configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não – Sistema de Prevenção contra Intrusões não é permitido.
    • Sim – o Sistema de Prevenção contra Intrusões é permitido.

  • Examinar todos os arquivos e anexos baixados
    CSP: EnableNetworkProtection

    Configure o Defender para examinar todos os arquivos e anexos baixados.

    • Não Configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não
    • Sim

  • Examinar scripts usados em navegadores da Microsoft
    CSP: AllowScriptScanning

    Configure o Defender para examinar scripts.

    • Não Configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não
    • Sim

  • Examinar arquivos de rede
    CSP: AllowScanningNetworkFiles

    Configure o Defender para verificar arquivos de rede.

    • Não Configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não Desativa a verificação de arquivos de rede.
    • Sim Verifica arquivos de rede.

  • Examinar emails
    CSP: AllowEmailScanning

    Configure o Defender para verificar o email de entrada.

    • Não Configurado (padrão) – A configuração é restaurada para o padrão do sistema.
    • Não Desativa a verificação de email.
    • Sim Ativa a verificação de email.

Remediação

  • Número de dias (0-90) para manter o malware em quarentena
    CSP: DaysToRetainCleanedMalware

    Especifique um número de dias de zero a 90 que o sistema armazena itens em quarentena antes de serem removidos automaticamente. Um valor de zero mantém os itens em quarentena e não os remove automaticamente.

  • Enviar consentimento de exemplos

    • Não configurado (padrão)
    • Sempre solicitar
    • Enviar amostras seguras automaticamente
    • Nunca enviar
    • Enviar todos os exemplos automaticamente

  • Ação para assumir aplicativos potencialmente indesejados
    CSP: PUAProtection

    Especifique o nível de detecção para PUAs (aplicativos potencialmente indesejados). O Defender alerta os usuários quando um software potencialmente indesejado está sendo baixado ou tenta instalar em um dispositivo.

    • Não Configurado (padrão) – A configuração é restaurada para o padrão do sistema, que é a Proteção PUA OFF.
    • Desabilitado – Windows Defender não protegerá contra aplicativos potencialmente indesejados.
    • Habilitado – os itens detectados são bloqueados. Eles aparecerão na história junto com outras ameaças.
    • Modo de auditoria – o Defender detecta aplicativos potencialmente indesejados, mas não toma nenhuma ação. Você pode examinar informações sobre os aplicativos que o Defender teria tomado medidas em busca de eventos criados pelo Defender no Visualizador de Eventos.

  • Criar um ponto de restauração do sistema antes que os computadores sejam limpos

    • Não configurado (padrão)
    • Não
    • Sim

  • Ações para ameaças detectadas
    CSP: ThreatSeverityDefaultAction

    Especifique a ação que o Defender adota para malware detectado com base no nível de ameaça do malware.

    O Defender classifica o malware que ele detecta como um dos seguintes níveis de gravidade:

    • Baixa ameaça
    • Ameaça moderada
    • Alta ameaça
    • Grave ameaça

    Para cada nível, especifique a ação a ser tomada. O padrão para cada nível de gravidade não está configurado.

    • Não configurado (padrão)
    • Limpar – o serviço tenta recuperar arquivos e tentar desinfetar.
    • Quarentena – move arquivos para quarentena.
    • Remover – remove arquivos do dispositivo.
    • Permitir – permite o arquivo e não faz outras ações.
    • Definido pelo usuário – O usuário do dispositivo toma a decisão sobre qual ação tomar.
    • Bloquear – bloqueia a execução do arquivo.

Examinar

  • Examinar arquivos de arquivo
    CSP: AllowArchiveScanning

    Configure o Defender para verificar arquivos de arquivo, como arquivos ZIP ou CAB.

    • Não Configurado (padrão) – A configuração retorna ao padrão do cliente, que é verificar arquivos arquivados, no entanto, o usuário pode desabilitar a verificação. Saiba mais
    • Não Desativa a verificação em arquivos arquivados.
    • Sim Verifica os arquivos de arquivo.

  • Habilitar a baixa prioridade da CPU para verificações agendadas
    CSP: EnableLowCPUPriority

    Configure a prioridade da CPU para verificações agendadas.

    • Não Configurado (padrão) – A configuração retorna ao padrão do sistema, no qual nenhuma alteração na prioridade da CPU é feita.
    • Não
    • Sim

  • Desabilitar a verificação completa do catch-up
    CSP: DisableCatchupFullScan

    Configure verificações de catch-up para verificações completas agendadas. Uma verificação de recuperação é uma verificação que começa porque uma verificação agendada regularmente foi perdida. Normalmente, essas verificações agendadas são perdidas porque o computador foi desativado na hora agendada.

    • Não Configurado (padrão) – A configuração é retornada ao padrão do cliente, que é habilitar verificações de catch-up para verificações completas, no entanto, o usuário pode desativá-los.
    • Não
    • Sim

  • Desabilitar a verificação rápida de captura
    CSP: DisableCatchupQuickScan

    Configure verificações de catch-up para verificações rápidas agendadas. Uma verificação de recuperação é uma verificação que começa porque uma verificação agendada regularmente foi perdida. Normalmente, essas verificações agendadas são perdidas porque o computador foi desativado na hora agendada.

    • Não Configurado (padrão) – A configuração é retornada ao padrão do cliente, que é habilitar verificações rápidas de recuperação, no entanto, o usuário pode desativá-los.
    • Não
    • Sim

  • Limite de uso da CPU (0-100 por cento) por verificação
    CSP: AvgCPULoadFactor

    Especifique como um percentual de zero a 100, o fator de carga médio da CPU para a verificação do Defender.

  • Habilitar unidades de rede mapeadas a serem examinadas durante uma verificação completa
    CSP: AllowFullScanOnMappedNetworkDrives

    Configure o Defender para verificar unidades de rede mapeadas.

    • Não Configurado (padrão) – A configuração é restaurada para o padrão do sistema, o que desabilita a verificação em unidades de rede mapeadas.
    • Não permitido Desabilita a verificação em unidades de rede mapeadas.
    • Permitido Verifica unidades de rede mapeadas.

  • Executar uma verificação rápida diária em
    CSP: ScheduleQuickScanTime

    Selecione a hora do dia em que as verificações rápidas do Defender são executadas. Por padrão, essa opção não está configurada

  • Tipo de verificação
    CSP: ScanParameter

    Selecione o tipo de verificação que o Defender executa.

    • Não configurado (padrão)
    • Verificação rápida
    • Verificação completa

  • Dia da semana para executar uma verificação agendada

    • Não configurado (padrão)

  • Hora do dia para executar uma verificação agendada

    • Não configurado (padrão)

  • Verificar se há Atualizações de assinatura antes de executar a verificação

    • Não configurado (padrão)
    • Não
    • Sim

  • Randomizar os horários de início da verificação agendada e da atualização de segurança
    -Não configurado (padrão) -Sim -Não

  • Verificar unidades removíveis durante a verificação completa

    • Não configurado (padrão)
    • Não Desativa a verificação em unidades removíveis.
    • Sim Verifica unidades removíveis.

Atualizações

  • Insira com que frequência (de 0 a 24 horas) para marcar para atualizações de inteligência de segurança
    CSP: SignatureUpdateInterval

    Especifique o intervalo de zero a 24 (em horas) que é usado para marcar para assinaturas. Um valor de zero não resulta em marcar para novas assinaturas. Um valor de 2 marcar a cada duas horas e assim por diante.

  • Ordem de fallback de atualização de assinatura (dispositivo)

  • Fontes de compartilhamento de arquivos de atualização de assinatura (dispositivo)

  • Local de Inteligência de Segurança (Dispositivo)

Experiência do usuário

  • Bloquear o acesso do usuário ao aplicativo Microsoft Defender

    • Não configurado (padrão)
    • Não permitido Impede que os usuários acessem a interface do usuário.
    • Permitido Permite que os usuários acessem a interface do usuário.

  • Mostrar mensagens de notificações no computador cliente quando o usuário precisar executar uma verificação completa, atualizar a inteligência de segurança ou executar Windows Defender Offline

    • Não configurado (padrão)
    • Sim
    • Não

  • Desabilitar a interface do usuário cliente

    • Não configurado (padrão)
    • Sim
    • Não