Partilhar via

Configurar o Antivírus do Microsoft Defender num ambiente de trabalho remoto ou num ambiente de infraestrutura de ambiente de trabalho virtual

  • Artigo

Aplica-se a:

Plataformas

  • Windows

Sugestão

Este artigo foi concebido apenas para clientes que estão a utilizar Microsoft Defender funcionalidades do Antivírus. Se tiver Microsoft Defender para Endpoint (que inclui Microsoft Defender Antivírus juntamente com capacidades adicionais de proteção de dispositivos), ignore este artigo e avance para Integrar dispositivos de infraestrutura de ambiente de trabalho virtual (VDI) não persistentes no Microsoft Defender XDR.

Pode utilizar Microsoft Defender Antivírus num ambiente de trabalho remoto (RDS) ou num ambiente de infraestrutura de ambiente de trabalho virtual (VDI) não persistente. Seguindo a documentação de orientação neste artigo, pode configurar atualizações para transferir diretamente para os seus ambientes RDS ou VDI quando um utilizador iniciar sessão.

Este guia descreve como configurar Microsoft Defender Antivírus nas suas VMs para uma proteção e desempenho ideais, incluindo como:

Importante

Embora um VDI possa ser alojado em Windows Server 2012 ou Windows Server 2016, as máquinas virtuais (VMs) devem executar Windows 10, versão 1607 no mínimo, devido ao aumento das tecnologias e funcionalidades de proteção que não estão disponíveis em versões anteriores do Windows.

Configurar uma partilha de ficheiros VDI dedicada para informações de segurança

No Windows 10, versão 1903, a Microsoft introduziu a funcionalidade de informações de segurança partilhada, que descarrega a desempacotamento de atualizações de informações de segurança transferidas para um computador anfitrião. Este método reduz a utilização de recursos de CPU, disco e memória em máquinas individuais. As informações de segurança partilhadas funcionam agora no Windows 10, versão 1703 e posterior. Pode configurar esta capacidade com o Política de Grupo ou o PowerShell, conforme descrito na tabela seguinte:

Método Procedimento
Política de Grupo 1. No seu computador de gestão de Política de Grupo, abra a Consola de Gestão do Política de Grupo, clique com o botão direito do rato no Objeto Política de Grupo que pretende configurar e, em seguida, selecione Editar.

2. Na Revisor gestão do Política de Grupo, aceda a Configuração do computador.

Selecione Modelos administrativos.

Expanda a árvore para componentes> do Windows Microsoft DefenderAtualizações de Informações de Segurançaantivírus>.

3. Faça duplo clique em Definir localização de informações de segurança para clientes VDI e, em seguida, defina a opção como Ativado. É apresentado automaticamente um campo.

4. Introduza \\<sharedlocation\>\wdav-update (para obter ajuda com este valor, consulte Transferir e descompactar).

5. Selecione OK.

Implemente o GPO nas VMs que pretende testar.
PowerShell 1. Em cada dispositivo RDS ou VDI, utilize o seguinte cmdlet para ativar a funcionalidade: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Emita a atualização como normalmente enviaria as políticas de configuração baseadas no PowerShell para as suas VMs. (Consulte a secção Transferir e desempacotar a <entrada de localização> partilhada.)

Transferir e descompactar as atualizações mais recentes

Agora, pode começar a transferir e instalar novas atualizações. Criámos um script do PowerShell de exemplo para si abaixo. Este script é a forma mais fácil de transferir novas atualizações e prepará-las para as suas VMs. Em seguida, deve definir o script para ser executado num determinado momento no computador de gestão através de uma tarefa agendada (ou, se estiver familiarizado com a utilização de scripts do PowerShell no Azure, Intune ou SCCM, também pode utilizar esses scripts).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Pode definir uma tarefa agendada para ser executada uma vez por dia para que, sempre que o pacote for transferido e desembalado, as VMs recebam a nova atualização. Sugerimos que comece uma vez por dia, mas deve experimentar aumentar ou diminuir a frequência para compreender o impacto.

Normalmente, os pacotes de informações de segurança são publicados uma vez a cada três a quatro horas. A definição de uma frequência inferior a quatro horas não é aconselhável porque irá aumentar a sobrecarga de rede no seu computador de gestão sem qualquer benefício.

Também pode configurar o seu único servidor ou computador para obter as atualizações em nome das VMs num intervalo e colocá-las na partilha de ficheiros para consumo. Esta configuração é possível quando os dispositivos têm acesso de partilha e leitura (permissões NTFS) à partilha para que possam obter as atualizações. Para configurar esta configuração, siga estes passos:

  1. Create uma partilha de ficheiros SMB/CIFS.

  2. Utilize o exemplo seguinte para criar uma partilha de ficheiros com as seguintes permissões de partilha.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Nota

    É adicionada uma permissão NTFS para Utilizadores Autenticados:Ler:.

    Para este exemplo, a partilha de ficheiros é:

    \\fileserver.fqdn\mdatp$\wdav-update

Definir uma tarefa agendada para executar o script do PowerShell

  1. No computador de gestão, abra o menu Iniciar e escreva Programador de Tarefas. Abra-a e selecione Create tarefa... no painel lateral.

  2. Introduza o nome como Desempacotador de informações de segurança. Aceda ao separador Acionador . Selecione Novo...>Diariamente e selecione OK.

  3. Aceda ao separador Ações . Selecione Novo... Introduza PowerShell no campo Programa/Script . Introduza -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 no campo Adicionar argumentos . Selecione OK.

  4. Configure quaisquer outras definições conforme adequado.

  5. Selecione OK para guardar a tarefa agendada.

Pode iniciar a atualização manualmente ao clicar com o botão direito do rato na tarefa e, em seguida, selecionar Executar.

Transferir e desempacotar manualmente

Se preferir fazer tudo manualmente, eis o que fazer para replicar o comportamento do script:

  1. Create uma nova pasta na raiz do sistema chamada wdav_update para armazenar atualizações de inteligência, por exemplo, crie a pasta c:\wdav_update.

  2. Create uma subpasta em wdav_update com um nome GUID, como{00000000-0000-0000-0000-000000000000}

    Eis um exemplo: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Nota

    No script, definimo-lo para que os últimos 12 dígitos do GUID sejam o ano, mês, dia e hora em que o ficheiro foi transferido para que seja sempre criada uma nova pasta. Pode alterar esta opção para que o ficheiro seja transferido sempre para a mesma pasta.

  3. Transfira um pacote de informações de segurança para https://www.microsoft.com/wdsi/definitions a pasta GUID. O ficheiro deve ter o nome mpam-fe.exe.

  4. Abra uma janela de linha de comandos e navegue para a pasta GUID que criou. Utilize o comando de extração /X para extrair os ficheiros, por exemplo mpam-fe.exe /X.

    Nota

    As VMs irão recolher o pacote atualizado sempre que for criada uma nova pasta GUID com um pacote de atualização extraído ou sempre que uma pasta existente for atualizada com um novo pacote extraído.

Aleatorizar análises agendadas

As análises agendadas são executadas para além da proteção e análise em tempo real.

A hora de início da análise em si ainda se baseia na política de análise agendada (ScheduleDay, ScheduleTime e ScheduleQuickScanTime). A aleatoriedade fará com Microsoft Defender Antivírus inicie uma análise em cada máquina num período de quatro horas a partir da hora definida para a análise agendada.

Veja Agendar análises para outras opções de configuração disponíveis para análises agendadas.

Utilizar análises rápidas

Pode especificar o tipo de análise que deve ser efetuado durante uma análise agendada. As análises rápidas são a abordagem preferencial, uma vez que foram concebidas para procurar em todos os locais onde o software maligno precisa de residir para estar ativo. O procedimento seguinte descreve como configurar análises rápidas com Política de Grupo.

  1. Na sua Política de Grupo Revisor, aceda a Modelos administrativos Componentes>> doWindowsMicrosoft Defender Análise de Antivírus>.

  2. Selecione Especificar o tipo de análise a utilizar para uma análise agendada e, em seguida, edite a definição de política.

  3. Defina a política como Ativada e, em seguida, em Opções, selecione Análise rápida.

  4. Selecione OK.

  5. Implemente o objeto de Política de Grupo como habitualmente.

Impedir notificações

Por vezes, Microsoft Defender notificações antivírus são enviadas ou persistem em várias sessões. Para ajudar a evitar confusões do utilizador, pode bloquear a interface de utilizador do Antivírus Microsoft Defender. O procedimento seguinte descreve como suprimir notificações com Política de Grupo.

  1. Na sua Política de Grupo Revisor, aceda a Componentes> do Windows Microsoft DefenderInterface de ClienteAntivírus>.

  2. Selecione Suprimir todas as notificações e, em seguida, edite as definições de política.

  3. Defina a política como Ativada e, em seguida, selecione OK.

  4. Implemente o objeto de Política de Grupo como habitualmente.

Suprimir notificações impede que as notificações Microsoft Defender Antivírus apareçam quando as análises são efetuadas ou as ações de remediação são executadas. No entanto, a equipa de operações de segurança verá os resultados de uma análise se um ataque for detetado e parado. Os alertas, como um alerta de acesso inicial, são gerados e serão apresentados no portal do Microsoft Defender.

Desativar análises após uma atualização

Desativar uma análise após uma atualização impedirá a ocorrência de uma análise após receber uma atualização. Pode aplicar esta definição ao criar a imagem de base se também tiver executado uma análise rápida. Desta forma, pode impedir que a VM recentemente atualizada volte a efetuar uma análise (como já a analisou quando criou a imagem de base).

Importante

Executar análises após uma atualização ajudará a garantir que as VMs estão protegidas com as atualizações de informações de segurança mais recentes. Desativar esta opção irá reduzir o nível de proteção das suas VMs e só deve ser utilizada quando criar ou implementar a imagem de base pela primeira vez.

  1. No seu Política de Grupo Revisor, aceda a Componentes> do Windows Microsoft DefenderAtualizações de Informações de Segurançado Antivírus>.

  2. Selecione Ativar análise após a atualização das informações de segurança e, em seguida, edite a definição de política.

  3. Defina a política como Desativado.

  4. Selecione OK.

  5. Implemente o objeto de Política de Grupo como habitualmente.

Esta política impede que uma análise seja executada imediatamente após uma atualização.

Desativar a opção ScanOnlyIfIdle

Utilize o seguinte cmdlet para parar uma análise rápida ou agendada sempre que o dispositivo ficar inativo se estiver no modo passivo.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Também pode desativar a opção ScanOnlyIfIdle no Antivírus Microsoft Defender por configuração através da política de grupo local ou de domínio. Esta definição impede uma contenção significativa da CPU em ambientes de alta densidade.

Para obter mais informações, consulte Iniciar a análise agendada apenas quando o computador está ativado, mas não está a ser utilizado.

Analisar VMs que tenham estado offline

  1. Na sua Política de Grupo Revisor, aceda a Componentes> do Windows Microsoft Defender Análise de Antivírus>.

  2. Selecione Ativar análise rápida de atualização e, em seguida, edite a definição de política.

  3. Defina a política como Ativado.

  4. Selecione OK.

  5. Implemente o objeto Política de Grupo como costuma fazer.

Esta política força uma análise se a VM tiver perdido duas ou mais análises agendadas consecutivas.

Ativar o modo de IU sem cabeça

  1. Na sua Política de Grupo Revisor, aceda a Componentes> do Windows Microsoft DefenderInterface de ClienteAntivírus>.

  2. Selecione Ativar modo de IU sem cabeça e edite a política.

  3. Defina a política como Ativado.

  4. Selecione OK.

  5. Implemente o objeto Política de Grupo como costuma fazer.

Esta política oculta toda a Microsoft Defender interface de utilizador antivírus dos utilizadores finais na sua organização.

Exclusões

Se acha que precisa de adicionar exclusões, veja Gerir exclusões para Microsoft Defender para Endpoint e Microsoft Defender Antivírus.

Consulte também

Se estiver à procura de informações sobre o Defender para Endpoint em plataformas que não sejam do Windows, consulte os seguintes recursos:

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.