Como criar e implantar políticas antimalware para Proteção de Ponto de Extremidade no Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Você pode implantar políticas antimalware em coleções de Configuration Manager computadores cliente para especificar como o Endpoint Protection os protege contra malware e outras ameaças. Essas políticas incluem informações sobre o agendamento de verificação, os tipos de arquivos e pastas a serem digitalizados e as ações a serem executadas quando o malware é detectado. Quando você habilita o Endpoint Protection, uma política antimalware padrão é aplicada a computadores cliente. Você também pode usar um dos modelos de política fornecidos ou criar uma política personalizada para atender às necessidades específicas do seu ambiente.
Configuration Manager fornece uma seleção de modelos predefinidos. Elas são otimizadas para vários cenários e podem ser importadas para Configuration Manager. Esses modelos estão disponíveis na pasta <ConfigMgr Install Folder>\AdminConsole\XMLStorage\EPTemplates.
Importante
Se você criar uma nova política antimalware e implantá-la em uma coleção, essa política antimalware substituirá a política antimalware padrão.
Use os procedimentos neste tópico para criar ou importar políticas antimalware e atribuí-las a Configuration Manager computadores cliente em sua hierarquia.
Observação
Antes de executar esses procedimentos, verifique se Configuration Manager está configurada para Proteção de Ponto de Extremidade, conforme descrito em Configurar a Proteção de Ponto de Extremidade.
Modificar a política antimalware padrão
No console Configuration Manager, clique em Ativos e Conformidade.
No workspace Ativos e Conformidade , expanda Proteção de Ponto de Extremidade e clique em Políticas antimalware.
Selecione a política antimalware Política antimalware padrão do cliente e, na guia Página Inicial , no grupo Propriedades , clique em Propriedades.
Na caixa de diálogo Política Antimalware Padrão , configure as configurações necessárias para essa política antimalware e clique em OK.
Observação
Para obter uma lista de configurações que você pode configurar, consulte Lista de Configurações de Política antimalware neste tópico.
Criar uma nova política antimalware
No console Configuration Manager, clique em Ativos e Conformidade.
No workspace Ativos e Conformidade , expanda Proteção de Ponto de Extremidade e clique em Políticas antimalware.
Na guia Página Inicial , no grupo Criar , clique em Criar Política antimalware.
Na seção Geral da caixa de diálogo Criar Política antimalware , insira um nome e uma descrição para a política.
Na caixa de diálogo Criar Política antimalware , configure as configurações necessárias para essa política antimalware e clique em OK. Para obter uma lista de configurações que você pode configurar, consulte Lista de Configurações de Política antimalware.
Verifique se a nova política antimalware é exibida na lista Políticas antimalware .
Importar uma política antimalware
No console Configuration Manager, clique em Ativos e Conformidade.
No workspace Ativos e Conformidade , expanda Proteção de Ponto de Extremidade e clique em Políticas antimalware.
Na guia Página Inicial , no grupo Criar , clique em Importar.
Na caixa de diálogo Abrir , navegue até o arquivo de política para importar e clique em Abrir.
Na caixa de diálogo Criar Política antimalware , examine as configurações a serem usadas e clique em OK.
Verifique se a nova política antimalware é exibida na lista Políticas antimalware .
Implantar uma política antimalware em computadores cliente
No console Configuration Manager, clique em Ativos e Conformidade.
No workspace Ativos e Conformidade , expanda Proteção de Ponto de Extremidade e clique em Políticas antimalware.
Na lista Políticas antimalware , selecione a política antimalware a ser implantada. Em seguida, na guia Página Inicial , no grupo Implantação , clique em Implantar.
Observação
A opção Implantar não pode ser usada com a política de malware do cliente padrão.
Na caixa de diálogo Selecionar Coleção , selecione a coleção de dispositivos na qual você deseja implantar a política antimalware e clique em OK.
Lista de Configurações de Política antimalware
Muitas das configurações antimalware são auto-explicativas. Use as seções a seguir para obter mais informações sobre as configurações que podem exigir mais informações antes de configurá-las.
- Configurações de verificação agendadas
- Configurações de verificação
- Configurações de ações padrão
- Configurações de proteção em tempo real
- Configurações de exclusão
- Configurações avançadas
- Configurações de substituição de ameaças
- Serviço de Proteção de Nuvem
- Definições Atualizações Configurações
Configurações de verificação agendadas
Tipo de verificação – você pode especificar um dos dois tipos de verificação a serem executados em computadores cliente:
Verificação rápida – Esse tipo de verificação verifica os processos e pastas na memória em que o malware normalmente é encontrado. Requer menos recursos do que uma verificação completa.
Verificação completa – Esse tipo de verificação adiciona uma verificação completa de todos os arquivos e pastas locais aos itens verificados na verificação rápida. Essa verificação leva mais tempo do que uma verificação rápida e usa mais recursos de processamento de CPU e memória em computadores cliente.
Na maioria dos casos, use a verificação rápida para minimizar o uso de recursos do sistema em computadores cliente. Se a remoção de malware exigir uma verificação completa, o Endpoint Protection gerará um alerta exibido no console Configuration Manager. O valor padrão é a verificação rápida.
Configurações de verificação
Verificar anexos de email e email – Defina como Sim para ativar a verificação de email.
Verificar dispositivos de armazenamento removíveis, como unidades USB - Defina como Sim para verificar unidades removíveis durante as verificações completas.
Verificar arquivos de rede – Definir como Sim para verificar arquivos de rede.
Verificar unidades de rede mapeadas ao executar uma verificação completa – Defina como Sim para verificar todas as unidades de rede mapeadas em computadores cliente. Habilitar essa configuração pode aumentar significativamente o tempo de verificação em computadores cliente.
A configuração De verificação de arquivos de rede deve ser definida como Sim para que essa configuração esteja disponível para configurar.
Por padrão, essa configuração é definida como No, o que significa que uma verificação completa não acessará unidades de rede mapeadas.
Verificar arquivos arquivados – Defina como Sim para verificar arquivos arquivados, como arquivos .zip ou .rar.
Permitir que os usuários configurem o uso da CPU durante as verificações – Defina como Sim para permitir que os usuários especifiquem o percentual máximo de utilização da CPU durante uma verificação. Nem sempre as verificações usarão a carga máxima definida pelos usuários, mas não podem excedê-la.
Controle do usuário de verificações agendadas – especifique o nível de controle do usuário. Permitir que os usuários definam somente tempo de verificação ou controle total de verificações antivírus em seus dispositivos.
Configurações de ações padrão
Selecione a ação a ser executada quando o malware for detectado em computadores cliente. As ações a seguir podem ser aplicadas, dependendo do nível de ameaça de alerta do malware detectado.
Recomendado – Use a ação recomendada no arquivo de definição de malware.
Quarentena – Coloque em quarentena o malware, mas não o remova.
Remover – remova o malware do computador.
Permitir – Não remova ou coloque em quarentena o malware.
Configurações de proteção em tempo real
| Nome da configuração | Descrição |
|---|---|
| Habilitar proteção em tempo real | Defina como Sim para configurar configurações de proteção em tempo real para computadores cliente. Recomendamos que você habilite essa configuração. |
| Monitorar a atividade do arquivo e do programa em seu computador | Defina como Sim se você quiser que a Proteção de Ponto de Extremidade monitore quando os arquivos e programas começarem a ser executados em computadores cliente e para alertá-lo sobre todas as ações executadas ou ações executadas neles. |
| Examinar arquivos do sistema | Essa configuração permite configurar se os arquivos do sistema de entrada, saída ou entrada e saída são monitorados para malware. Por motivos de desempenho, talvez seja necessário alterar o valor padrão de Verificar arquivos de entrada e saída se um servidor tiver alta atividade de arquivo de entrada ou saída. |
| Habilitar o monitoramento de comportamento | Habilite essa configuração para usar dados de arquivo e atividade do computador para detectar ameaças desconhecidas. Quando essa configuração estiver habilitada, poderá aumentar o tempo necessário para verificar computadores em busca de malware. |
| Habilitar a proteção contra explorações baseadas em rede | Habilite essa configuração para proteger computadores contra explorações de rede conhecidas inspecionando o tráfego de rede e bloqueando qualquer atividade suspeita. |
| Habilitar a verificação de script | Para Configuration Manager sem apenas service pack. Habilite essa configuração se você quiser examinar todos os scripts executados em computadores para atividades suspeitas. |
| Bloquear aplicativos potencialmente indesejados no download e antes da instalação | Aplicativos indesejados potenciais (PUA) é uma classificação de ameaça com base na reputação e na identificação orientada à pesquisa. Mais comumente, eles são empacotadores de aplicativos indesejados ou seus aplicativos empacotados. Microsoft Edge também fornece configurações para bloquear aplicativos potencialmente indesejados. Explore essas opções para proteção completa contra aplicativos indesejados. Essa configuração de política de proteção está disponível e definida como Habilitada por padrão. Quando habilitada, essa configuração bloqueia a PUA na hora do download e da instalação. No entanto, você pode excluir arquivos ou pastas específicos para atender às necessidades específicas de sua empresa ou organização. A partir de Configuration Manager versão 2107, você pode selecionar para Auditar essa configuração. Use a proteção PUA no modo de auditoria para detectar aplicativos potencialmente indesejados sem bloqueá-los. A proteção de PUA no modo de auditoria será útil se sua empresa quiser medir o impacto que a habilitação de proteções PUA terá em seu ambiente. Habilitar a proteção no modo de auditoria permite determinar o impacto nos pontos de extremidade antes de habilitar a proteção no modo de bloco. |
Configurações de exclusão
Para obter informações sobre pastas, arquivos e processos recomendados para exclusão em Configuration Manager 2012 e Branch Atual, consulte Exclusões recomendadas de antivírus para Configuration Manager 2012 e servidores de sites de branch atuais, sistemas de site e clientes.
Arquivos e pastas excluídos:
Clique em Definir para abrir a caixa de diálogo Configurar Exclusões de Arquivos e Pastas e especifique os nomes dos arquivos e pastas a serem excluídos das verificações de Proteção de Ponto de Extremidade.
Se você quiser excluir arquivos e pastas localizados em uma unidade de rede mapeada, especifique o nome de cada pasta na unidade de rede individualmente. Por exemplo, se uma unidade de rede for mapeada como F:\MyFolder e contiver subpastas chamadas Folder1, Folder2 e Pasta 3, especifique as seguintes exclusões:
F:\MyFolder\Folder1
F:\MyFolder\Folder2
F:\MyFolder\Folder3
A partir da versão 1602, a configuração excluir arquivos e pastas existentes na seção Configurações de exclusão de uma política antimalware é aprimorada para permitir exclusões de dispositivo. Por exemplo, agora você pode especificar o seguinte como uma exclusão: \device\mvfs (para Sistema de Arquivos multiversão). A política não valida o caminho do dispositivo; A política proteção do ponto de extremidade é fornecida ao mecanismo antimalware no cliente que deve ser capaz de interpretar a cadeia de caracteres do dispositivo.
Tipos de arquivo excluídos:
Clique em Definir para abrir a caixa de diálogo Configurar Exclusões de Tipo de Arquivo e especifique as extensões de arquivo a serem excluídas das verificações de Proteção de Ponto de Extremidade. Você pode usar curingas ao definir itens na lista de exclusão. Para obter mais informações, consulte Usar curingas nas listas de exclusão de nome do arquivo e caminho de pasta ou extensão.
Processos excluídos:
Clique em Definir para abrir a caixa de diálogo Configurar Exclusões de Processo e especifique os processos a serem excluídos das verificações de Proteção de Ponto de Extremidade. Você pode usar curingas ao definir itens na lista de exclusão, no entanto, há algumas limitações. Para obter mais informações, confira Usar curingas na lista de exclusão do processo
Configurações avançadas
Habilitar a verificação de ponto de reparso – Defina como Sim se você quiser que a Proteção de Ponto de Extremidade examine os pontos de reparso do NTFS.
Para obter mais informações sobre pontos de reparse, consulte Reparse Points no Centro de Desenvolvimento do Windows.
Randomizar os horários de início de verificação agendados (dentro de 30 minutos) – Defina como Sim para ajudar a evitar inundações na rede, o que pode ocorrer se todos os computadores enviarem seus resultados de verificação antimalware para o banco de dados Configuration Manager ao mesmo tempo. Para Windows Defender Antivírus, isso randomiza o tempo de início da verificação para qualquer intervalo de 0 a 4 horas, ou para FEP e SCEP, para qualquer intervalo mais ou menos 30 minutos. Isso pode ser útil em implantações de VM ou VDI. Essa configuração também é útil quando você executa várias máquinas virtuais em um único host. Selecione essa opção para reduzir a quantidade de acesso simultâneo ao disco para verificação antimalware.
A partir da versão 1602 do Configuration Manager, o mecanismo antimalware pode solicitar que exemplos de arquivo sejam enviados para Microsoft para análise posterior. Por padrão, ele sempre solicitará antes de enviar esses exemplos. Os administradores agora podem gerenciar as seguintes configurações para configurar esse comportamento:
Habilite o envio automático de arquivo de exemplo para ajudar Microsoft determinar se determinados itens detectados são mal-intencionados – Defina como Sim para habilitar o envio automático de arquivo de exemplo. Por padrão, essa configuração é Não , o que significa que o envio automático de arquivo de exemplo está desabilitado e os usuários são solicitados antes de enviar exemplos.
Permitir que os usuários modifiquem as configurações automáticas de envio de arquivo de exemplo – isso determina se um usuário com direitos de administrador local em um dispositivo pode alterar a configuração de envio automático de arquivo de exemplo na interface do cliente. Por padrão, essa configuração é "Não", o que significa que ela só pode ser alterada do console Configuration Manager e os administradores locais em um dispositivo não podem alterar essa configuração.
Por exemplo, o seguinte mostra essa configuração definida pelo administrador como habilitada e acinzenada para evitar alterações do usuário.
Configurações de substituição de ameaças
Nome da ameaça e ação de substituição – clique em Definir para personalizar a ação de correção a ser tomada para cada ID de ameaça quando for detectada durante uma verificação.
Observação
A lista de nomes de ameaças pode não estar disponível imediatamente após a configuração da Proteção de Ponto de Extremidade. Aguarde até que o ponto proteção do ponto de extremidade tenha sincronizado as informações de ameaça e tente novamente.
Serviço de Proteção de Nuvem
O Serviço de Proteção na Nuvem permite a coleta de informações sobre malware detectado em sistemas gerenciados e as ações executadas. Essas informações são enviadas para Microsoft.
Associação do Serviço de Proteção na Nuvem
- Não ingressar no Serviço de Proteção de Nuvem – Nenhuma informação é enviada
- Básico – Coletar e enviar listas de malware detectado
- Informações avançadas – básicas, bem como informações mais abrangentes que poderiam conter informações pessoais. Por exemplo, caminhos de arquivo e despejos parciais de memória.
Permitir que os usuários modifiquem as configurações do Serviço de Proteção na Nuvem – alterna o controle do usuário das configurações do Serviço de Proteção na Nuvem.
Nível para bloquear arquivos suspeitos – especifique o nível em que o Serviço de Proteção na Nuvem do Endpoint Protection bloqueará arquivos suspeitos.
- Normal - O nível de bloqueio de Windows Defender padrão
- Alta – bloqueia agressivamente arquivos desconhecidos ao otimizar para o desempenho (maior chance de bloquear arquivos não prejudiciais)
- Alta com proteção extra - bloqueia agressivamente arquivos desconhecidos e aplica medidas de proteção adicionais (pode afetar o desempenho do dispositivo cliente)
- Bloquear programas desconhecidos – bloqueia todos os programas desconhecidos
Permitir que a verificação de nuvem estendida bloqueie e examine até (segundos) – Especifica o número de segundos que o Serviço de Proteção na Nuvem pode bloquear um arquivo enquanto o serviço verifica se o arquivo não é conhecido por ser mal-intencionado.
Observação
O número de segundos selecionados para essa configuração é além de um tempo limite padrão de 10 segundos. Por exemplo, se você inserir 0 segundos, o Serviço de Proteção à Nuvem bloqueará o arquivo por 10 segundos.
Detalhes do relatório do Serviço de Proteção na Nuvem
| Frequency | Dados coletados ou enviados | Uso de dados |
|---|---|---|
| Quando Windows Defender atualiza arquivos de proteção ou definição de vírus e spyware | – Versão das definições de vírus e spyware- Versão de proteção contra vírus e spyware | Microsoft usa essas informações para garantir que as atualizações mais recentes de vírus e spyware estejam presentes nos computadores. Se não estiver presente, Windows Defender atualizará automaticamente para que a proteção do computador permaneça atualizada. |
| Se Windows Defender encontrar software potencialmente prejudicial ou indesejado em computadores | - Nome de software potencialmente prejudicial ou indesejado- Como o software foi encontrado - Todas as ações que Windows Defender foram necessárias para lidar com o software - Arquivos afetados pelo software - Informações sobre o computador do fabricante (Sysconfig, SysModel, SysMarker) | Windows Defender usa essas informações para determinar o tipo e a gravidade do software potencialmente indesejado e a melhor ação a ser tomada. Microsoft também usa essas informações para ajudar a melhorar a precisão da proteção contra vírus e spyware. |
| Uma vez por mês | - Status da atualização de definição de vírus e spyware- Status do monitoramento de vírus e spyware em tempo real (ativado ou desativado) | Windows Defender usa essas informações para verificar se os computadores têm a versão e definições mais recentes de proteção contra vírus e spyware. Microsoft também deseja garantir que o monitoramento de vírus e spyware em tempo real esteja ativado. Essa é uma parte crítica de ajudar a proteger computadores contra softwares potencialmente prejudiciais ou indesejados. |
| Durante a instalação ou sempre que os usuários executam manualmente a verificação de vírus e spyware do computador | Lista de processos em execução na memória do computador | Para identificar todos os processos que possam ter sido comprometidos por software potencialmente prejudicial. |
Microsoft coleta apenas os nomes dos arquivos afetados, não o conteúdo dos arquivos em si. Essas informações ajudam a determinar quais sistemas são especialmente vulneráveis a ameaças específicas.
Definições Atualizações Configurações
Definir fontes e ordem para atualizações de cliente do Endpoint Protection – Clique em Definir Fonte para especificar as fontes para definição e verificação de atualizações do mecanismo. Você também pode especificar a ordem na qual essas fontes são usadas. Se Configuration Manager for especificado como uma das fontes, as outras fontes serão usadas somente se as atualizações de software não baixarem as atualizações do cliente.
Se você usar qualquer um dos métodos a seguir para atualizar as definições em computadores cliente, os computadores cliente devem ser capazes de acessar a Internet.
Atualizações distribuídos do Microsoft Update
Atualizações distribuídos de Centro de Proteção contra Malware da Microsoft
Importante
Os clientes baixam atualizações de definição usando a conta interna do sistema. Você deve configurar um servidor proxy para essa conta para permitir que esses clientes se conectem à Internet.
Se você tiver configurado uma regra de implantação automática de atualizações de software para fornecer atualizações de definição para computadores cliente, essas atualizações serão entregues independentemente das configurações de atualizações de definição.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de