Configurar Microsoft Defender Antivírus em um ambiente de infraestrutura de área de trabalho remota ou área de trabalho virtual
Aplica-se a:
- Microsoft Defender Antivírus
- Plano 1 do Defender para Ponto de Extremidade
- Plano 2 do Defender para Ponto de Extremidade
Plataformas
- Windows
Dica
Este artigo foi projetado apenas para clientes que estão usando recursos Microsoft Defender Antivírus. Se você tiver Microsoft Defender para Ponto de Extremidade (que inclui Microsoft Defender Antivírus ao lado de recursos adicionais de proteção de dispositivo), ignore este artigo e prossiga para dispositivos VDI (infraestrutura de área de trabalho virtual) não persistentes no Microsoft Defender XDR.
Você pode usar Microsoft Defender Ambiente de VDI (área de trabalho remota) ou VDI (área de trabalho virtual não persistente). Seguindo as diretrizes deste artigo, você pode configurar atualizações para baixar diretamente em seus ambientes RDS ou VDI quando um usuário entra.
Este guia descreve como configurar Microsoft Defender Antivírus em suas VMs para uma proteção e desempenho ideais, incluindo como:
- Configurar um compartilhamento de arquivos VDI dedicado para atualizações de inteligência de segurança
- Randomizar verificações agendadas
- Usar verificações rápidas
- Impedir notificações
- Desabilitar exames após cada atualização
- Examinar computadores ou computadores desatualizados que estão offline há algum tempo
- Aplicar exclusões
Importante
Embora uma VDI possa ser hospedada em Windows Server 2012 ou Windows Server 2016, as VMs (máquinas virtuais) devem estar executando Windows 10, versão 1607 no mínimo, devido ao aumento das tecnologias de proteção e recursos que não estão disponíveis em versões anteriores do Windows.
Configurar um compartilhamento de arquivos VDI dedicado para inteligência de segurança
Em Windows 10, versão 1903, a Microsoft introduziu o recurso de inteligência de segurança compartilhada, que descarrega a descompactação de atualizações de inteligência de segurança baixadas em um computador host. Esse método reduz o uso de recursos de CPU, disco e memória em computadores individuais. A inteligência de segurança compartilhada agora funciona em Windows 10, versão 1703 e posterior. Você pode configurar esse recurso usando Política de Grupo ou PowerShell, conforme descrito na tabela a seguir:
Método | Procedimento |
---|---|
Política de grupo | 1. No computador de gerenciamento Política de Grupo, abra o Console de Gerenciamento Política de Grupo, clique com o botão direito do mouse no objeto Política de Grupo que você deseja configurar e selecione Editar. 2. No Editor de Gerenciamento de Política de Grupo, acesse Configuração do computador. Selecione Modelos administrativos. Expanda a árvore para componentes> do Windows Microsoft Defender Atualizações do Antivírus>Security Intelligence. 3. Clique duas vezes em Definir local de inteligência de segurança para clientes VDI e defina a opção como Habilitada. Um campo é exibido automaticamente. 4. Insira \\<sharedlocation\>\wdav-update (para obter ajuda com esse valor, consulte Baixar e descompactar).5. Selecione OK. Implante o GPO nas VMs que você deseja testar. |
PowerShell | 1. Em cada dispositivo RDS ou VDI, use o seguinte cmdlet para habilitar o recurso: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update . 2. Pressione a atualização como normalmente você enviaria políticas de configuração baseadas no PowerShell para suas VMs. (Confira a seção Baixar e desempacotar a entrada de <local> compartilhado.) |
Baixar e desempacotar as atualizações mais recentes
Agora você pode começar a baixar e instalar novas atualizações. Criamos um script de exemplo do PowerShell para você abaixo. Esse script é a maneira mais fácil de baixar novas atualizações e prepará-las para suas VMs. Em seguida, você deve definir o script para ser executado em um determinado momento no computador de gerenciamento usando uma tarefa agendada (ou, se estiver familiarizado com o uso de scripts do PowerShell no Azure, Intune ou SCCM, você também poderá usar esses scripts).
$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'
New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null
Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage
Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"
Você pode definir uma tarefa agendada para ser executada uma vez por dia para que sempre que o pacote for baixado e descompactado, as VMs receberão a nova atualização. Sugerimos começar uma vez por dia, mas você deve experimentar aumentar ou diminuir a frequência para entender o impacto.
Pacotes de inteligência de segurança normalmente são publicados uma vez a cada três ou quatro horas. A configuração de uma frequência menor que quatro horas não é aconselhável porque aumentará a sobrecarga de rede em seu computador de gerenciamento sem nenhum benefício.
Você também pode configurar seu servidor ou computador único para buscar as atualizações em nome das VMs em um intervalo e colocá-las no compartilhamento de arquivos para consumo. Essa configuração é possível quando os dispositivos têm o compartilhamento e o acesso de leitura (permissões NTFS) ao compartilhamento para que eles possam obter as atualizações. Para configurar essa configuração, siga estas etapas:
Create um compartilhamento de arquivo SMB/CIFS.
Use o exemplo a seguir para criar um compartilhamento de arquivos com as seguintes permissões de compartilhamento.
PS c:\> Get-SmbShareAccess -Name mdatp$ Name ScopeName AccountName AccessControlType AccessRight ---- --------- ----------- ----------------- ----------- mdatp$ * Everyone Allow Read
Observação
Uma permissão NTFS é adicionada para Usuários Autenticados:Leitura:.
Para este exemplo, o compartilhamento de arquivos é:
\\fileserver.fqdn\mdatp$\wdav-update
Definir uma tarefa agendada para executar o script do PowerShell
No computador de gerenciamento, abra o menu Iniciar e digite Agendador de Tarefas. Abra-a e selecione Create tarefa... no painel lateral.
Insira o nome como descompactador de inteligência de segurança. Acesse a guia Gatilho . Selecione Novo...>Diariamente e selecione OK.
Acesse a guia Ações . Selecione Novo... Insira o PowerShell no campo Programa/Script . Insira
-ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1
no campo Adicionar argumentos . Clique em OK.Configure qualquer outra configuração conforme apropriado.
Selecione OK para salvar a tarefa agendada.
Você pode iniciar a atualização manualmente clicando com o botão direito do mouse na tarefa e selecionando Executar.
Baixar e desempacotar manualmente
Se preferir fazer tudo manualmente, veja o que fazer para replicar o comportamento do script:
Create uma nova pasta na raiz do sistema chamada
wdav_update
para armazenar atualizações de inteligência, por exemplo, crie a pastac:\wdav_update
.Create uma subpasta em wdav_update com um nome GUID, como
{00000000-0000-0000-0000-000000000000}
Aqui está um exemplo:
c:\wdav_update\{00000000-0000-0000-0000-000000000000}
Observação
No script, definimos-o para que os últimos 12 dígitos do GUID sejam o ano, mês, dia e hora em que o arquivo foi baixado para que uma nova pasta seja criada sempre. Você pode alterar isso para que o arquivo seja baixado para a mesma pasta sempre.
Baixe um pacote de inteligência de segurança da https://www.microsoft.com/wdsi/definitions pasta GUID. O arquivo deve ser nomeado
mpam-fe.exe
.Abra uma janela de prompt cmd e navegue até a pasta GUID que você criou. Use o comando de extração /X para extrair os arquivos, por exemplo
mpam-fe.exe /X
.Observação
As VMs pegarão o pacote atualizado sempre que uma nova pasta GUID for criada com um pacote de atualização extraído ou sempre que uma pasta existente for atualizada com um novo pacote extraído.
Randomizar verificações agendadas
As verificações agendadas são executadas além da proteção e verificação em tempo real.
A hora de início da verificação em si ainda é baseada na política de verificação agendada (ScheduleDay, ScheduleTime e ScheduleQuickScanTime). A randomização fará com que Microsoft Defender Antivírus inicie uma verificação em cada computador dentro de uma janela de quatro horas a partir do tempo definido para a verificação agendada.
Consulte Agendar verificações de outras opções de configuração disponíveis para verificações agendadas.
Usar verificações rápidas
Você pode especificar o tipo de verificação que deve ser executada durante uma verificação agendada. As verificações rápidas são a abordagem preferida, pois são projetadas para procurar em todos os lugares onde o malware precisa residir para estar ativo. O procedimento a seguir descreve como configurar exames rápidos usando Política de Grupo.
Em seu Política de Grupo Editor, acesse Modelos administrativos Componentes>do WindowsMicrosoft Defender Verificação antivírus>>.
Selecione Especificar o tipo de verificação a ser usado para uma verificação agendada e edite a configuração da política.
Defina a política como Habilitada e, em Opções, selecione Verificação rápida.
Selecione OK.
Implante seu objeto de Política de Grupo como de costume.
Impedir notificações
Às vezes, Microsoft Defender notificações antivírus são enviadas ou persistem em várias sessões. Para ajudar a evitar a confusão do usuário, você pode bloquear a interface do usuário Microsoft Defender Antivírus. O procedimento a seguir descreve como suprimir notificações usando Política de Grupo.
No Política de Grupo Editor, acesse componentes do Windows Microsoft DefenderInterface do ClienteAntivírus>>.
Selecione Suprimir todas as notificações e edite as configurações da política.
Defina a política como Habilitada e selecione OK.
Implante seu objeto de Política de Grupo como de costume.
A supressão de notificações impede que as notificações Microsoft Defender Antivírus apareceram quando as verificações são feitas ou ações de correção são tomadas. No entanto, sua equipe de operações de segurança verá os resultados de uma verificação se um ataque for detectado e interrompido. Alertas, como um alerta de acesso inicial, são gerados e serão exibidos no portal Microsoft Defender.
Desabilitar verificações após uma atualização
Desabilitar uma verificação após uma atualização impedirá que uma verificação ocorra após receber uma atualização. Você pode aplicar essa configuração ao criar a imagem base se você também tiver executado uma verificação rápida. Dessa forma, você pode impedir que a VM recém-atualizada realize uma verificação novamente (já que você já a examinou quando criou a imagem base).
Importante
Executar verificações após uma atualização ajudará a garantir que suas VMs estejam protegidas com as atualizações mais recentes de inteligência de segurança. Desabilitar essa opção reduzirá o nível de proteção de suas VMs e só deve ser usado ao criar ou implantar a imagem base pela primeira vez.
Em seu Política de Grupo Editor, acesse componentes do Windows Microsoft Defender Atualizações de Inteligência deSegurançaAntivírus>>.
Selecione Ativar a verificação após a atualização de inteligência de segurança e edite a configuração da política.
Defina a política como Desabilitada.
Selecione OK.
Implante seu objeto de Política de Grupo como de costume.
Essa política impede que uma verificação seja executada imediatamente após uma atualização.
Desabilitar a opção ScanOnlyIfIdle
Use o cmdlet a seguir para interromper uma verificação rápida ou agendada sempre que o dispositivo ficar ocioso se estiver no modo passivo.
Set-MpPreference -ScanOnlyIfIdleEnabled $false
Você também pode desabilitar a opção ScanOnlyIfIdle
no Microsoft Defender Antivírus por configuração por meio da política local ou de grupo de domínio. Essa configuração impede uma contenção significativa da CPU em ambientes de alta densidade.
Para obter mais informações, consulte Iniciar a verificação agendada somente quando o computador estiver ativado, mas não em uso.
Verificar VMs que foram offline
Em seu Política de Grupo Editor, acesse componentes do WindowsMicrosoft Defender Verificação antivírus>>.
Selecione Ativar a verificação rápida de catch-up e edite a configuração da política.
Defina a política como Habilitada.
Clique em OK.
Implante seu objeto Política de Grupo como normalmente faz.
Essa política força uma verificação se a VM perdeu duas ou mais verificações agendadas consecutivas.
Habilitar o modo de interface do usuário sem cabeça
No Política de Grupo Editor, acesse componentes do Windows Microsoft DefenderInterface do ClienteAntivírus>>.
Selecione Habilitar modo de interface do usuário sem cabeça e edite a política.
Defina a política como Habilitada.
Clique em OK.
Implante seu objeto Política de Grupo como normalmente faz.
Essa política oculta toda a interface do usuário Microsoft Defender Antivírus de usuários finais em sua organização.
Exclusões
Se você achar que precisa adicionar exclusões, consulte Gerenciar exclusões para Microsoft Defender para Ponto de Extremidade e Microsoft Defender Antivírus.
Confira também
- Blog da Comunidade Tecnológica: Configurando Microsoft Defender Antivírus para computadores VDI não persistentes
- Fóruns do TechNet em Serviços de Área de Trabalho Remota e VDI
- Script signatureDownloadCustomTask PowerShell
Se você estiver procurando informações sobre o Defender para Ponto de Extremidade em plataformas que não são do Windows, confira os seguintes recursos:
- Microsoft Defender para Ponto de Extremidade no Mac
- Microsoft Defender para Ponto de Extremidade para Linux
- Configurar o Defender para o Ponto de extremidade nos recursos do Android
- Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de