Implementação da cadência de produção do Antivírus do Microsoft Defender com a Política de Grupo e a partilha de rede
Aplica-se a:
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
- Antivírus do Microsoft Defender
Plataformas
- Windows
- Windows Server:
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
O Microsoft Defender para Endpoint é uma plataforma de segurança de ponto final empresarial concebida para ajudar as redes empresariais a impedir, detetar, investigar e responder a ameaças avançadas.
Sugestão
O Microsoft Defender para Endpoint está disponível em dois planos: Defender para Endpoint Plano 1 e Plano 2. Está agora disponível um novo suplemento de Gestão de Vulnerabilidades do Microsoft Defender para o Plano 2.
Introdução
Este artigo descreve como implementar o Antivírus do Microsoft Defender em anéis com a Política de Grupo e a Partilha de rede (também conhecida como caminho UNC, SMB, CIFS).
Pré-requisitos
Reveja o artigo Leia-me em Readme
Transfira o .admx e o .adml mais recentes do Windows Defender.
Copie o .admx e o .adml mais recentes para o Arquivo Central do Controlador de Domínio.
Criar uma partilha UNC para atualizações de plataforma e informações de segurança
Configurar o ambiente piloto
Esta secção descreve o processo de configuração do ambiente piloto UAT/Test/QA. Em cerca de 10-500* sistemas Windows e/ou Windows Server, dependendo do número total de sistemas que todos têm.
Nota
A atualização de informações de segurança (SIU) é equivalente a atualizações de assinatura, que são as mesmas que as atualizações de definições.
Criar uma partilha UNC para informações de segurança
Configure uma partilha de ficheiros de rede (UNIDADE UNC/mapeada) para transferir informações de segurança do site MMPC através de uma tarefa agendada.
No sistema no qual pretende aprovisionar a partilha e transferir as atualizações, crie uma pasta para a qual irá guardar o script.
Start, CMD (Run as admin) MD C:\Tool\PS-Scripts\
Crie a pasta para a qual irá guardar as atualizações de assinatura.
MD C:\Temp\TempSigs\x64 MD C:\Temp\TempSigs\x86
Configurar um script do PowerShell,
CopySignatures.ps1
Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"
Utilize a linha de comandos para configurar a tarefa agendada.
Nota
Existem dois tipos de atualizações: completas e delta.
Para x64 delta:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Para x64 cheio:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Para x86 delta:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Para x86 cheio:
Powershell (Run as admin) C:\Tool\PS-Scripts\ ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
Nota
Quando as tarefas agendadas são criadas, pode encontrá-las no Programador
Microsoft\Windows\Windows Defender
de Tarefas em .Execute cada tarefa manualmente e verifique se tem dados (
mpam-d.exe
,mpam-fe.exe
enis_full.exe
) nas seguintes pastas (poderá ter escolhido localizações diferentes):C:\Temp\TempSigs\x86
C:\Temp\TempSigs\x64
Se a tarefa agendada falhar, execute os seguintes comandos:
C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86" C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
Nota
Os problemas também podem dever-se à política de execução.
Crie uma partilha que aponte para
C:\Temp\TempSigs
(por exemplo,\\server\updates
).Nota
No mínimo, os utilizadores autenticados têm de ter acesso de "Leitura". Este requisito também se aplica a computadores de domínio, à partilha e ao NTFS (segurança).
Defina a localização da partilha na política para a partilha.
Nota
Não adicione a pasta x64 (ou x86) no caminho. O processo de mpcmdrun.exe adiciona-o automaticamente.
Configurar o ambiente Piloto (UAT/Teste/QA)
Esta secção descreve o processo de configuração do ambiente piloto UAT/Test/QA, em cerca de 10-500 sistemas Windows e/ou Windows Server, consoante o número total de sistemas que todos têm.
Nota
Se tiver um ambiente Citrix, inclua, pelo menos, 1 VM Citrix (não persistente) e/ou (persistente)
Na Consola de Gestão de Políticas de Grupo (GPMC, GPMC.msc), crie ou acrescente à sua política antivírus do Microsoft Defender.
Edite a política do Antivírus do Microsoft Defender. Por exemplo, edite MDAV_Settings_Pilot. Aceda a Políticas de Configuração> do ComputadorModelos>Administrativos>Componentes> doWindows Antivírus do Microsoft Defender. Existem três opções relacionadas:
Funcionalidade Recomendação para os sistemas piloto Selecione o canal para atualizações diárias de Informações de Segurança do Microsoft Defender Canal Atual (Faseado) Selecione o canal para atualizações mensais do Motor do Microsoft Defender Canal Beta Selecione o canal para atualizações mensais da Plataforma do Microsoft Defender Canal Beta As três opções são apresentadas na figura seguinte.
Para obter mais informações, veja Gerir o processo de implementação gradual das atualizações do Microsoft Defender
Aceda a Políticas de Configuração> do ComputadorModelos>Administrativos>Componentes> doWindows Antivírus do Microsoft Defender.
Para obter atualizações de informações , faça duplo clique em Selecionar o canal para atualizações de informações mensais do Microsoft Defender.
Na página Selecionar o canal para atualizações mensais de informações do Microsoft Defender , selecione Ativado e, em Opções, selecione Canal Atual (Faseada).
Selecione Aplicar e, em seguida, selecione OK.
Aceda a Políticas de Configuração> do ComputadorModelos>Administrativos>Componentes> doWindows Antivírus do Microsoft Defender.
Para atualizações do motor , faça duplo clique em Selecionar o canal para atualizações mensais do motor do Microsoft Defender.
Na página Selecionar o canal para atualizações mensais da Plataforma do Microsoft Defender , selecione Ativado e, em Opções, selecione Canal Beta.
Selecione Aplicar e, em seguida, selecione OK.
Para atualizações da plataforma , faça duplo clique em Selecionar o canal para atualizações mensais da Plataforma do Microsoft Defender.
Na página Selecionar o canal para atualizações mensais da Plataforma do Microsoft Defender , selecione Ativado e, em Opções, selecione Canal Beta. Estas duas definições são apresentadas na seguinte figura:
Selecione Aplicar e, em seguida, selecione OK.
Artigos relacionados
- Perfis antivírus – Dispositivos geridos pelo Microsoft Intune
- Utilizar a política antivírus de segurança de Ponto final para gerir o comportamento de atualização do Microsoft Defender (Pré-visualização)
- Gerir o processo de implementação gradual das atualizações do Microsoft Defender
Configurar o ambiente de produção
Na Consola de Gestão de Políticas de Grupo (GPMC, GPMC.msc), aceda a Políticas de Configuração> do ComputadorModelos>Administrativos Componentes>> doWindows Antivírus do Microsoft Defender.
Defina as três políticas da seguinte forma:
Funcionalidade Recomendação para os sistemas de produção Observações Selecione o canal para atualizações diárias de Informações de Segurança do Microsoft Defender Canal Atual (Broad) Esta definição fornece-lhe 3 horas de tempo para localizar um FP e impedir que os sistemas de produção obtenham uma atualização de assinatura incompatível. Selecione o canal para atualizações mensais do Motor do Microsoft Defender Crítico – Atraso de tempo As atualizações são adiadas por dois dias. Selecione o canal para atualizações mensais da Plataforma do Microsoft Defender Crítico – Atraso de tempo As atualizações são adiadas por dois dias. Para obter atualizações de informações , faça duplo clique em Selecionar o canal para atualizações de informações mensais do Microsoft Defender.
Na página Selecionar o canal para atualizações mensais de informações do Microsoft Defender , selecione Ativado e, em Opções, selecione Canal Atual (Amplo).
Selecione Aplicar e, em seguida, selecione OK.
Para atualizações do motor , faça duplo clique em Selecionar o canal para atualizações mensais do motor do Microsoft Defender.
Na página Selecionar o canal para atualizações mensais da Plataforma do Microsoft Defender , selecione Ativado e, em Opções, selecione Crítico – Atraso de tempo.
Selecione Aplicar e, em seguida, selecione OK.
Para atualizações da plataforma , faça duplo clique em Selecionar o canal para atualizações mensais da Plataforma do Microsoft Defender.
Na página Selecionar o canal para atualizações mensais da Plataforma do Microsoft Defender , selecione Ativado e, em Opções, selecione Crítico – Atraso de tempo.
Selecione Aplicar e, em seguida, selecione OK.
Caso se depare com problemas
Se tiver problemas com a implementação, crie ou acrescente a política do Antivírus do Microsoft Defender:
Na Consola de Gestão de Políticas de Grupo (GPMC, GPMC.msc), crie ou acrescente à sua política antivírus do Microsoft Defender com a seguinte definição:
Aceda a Políticas de Configuração> do ComputadorModelos>Administrativos>Componentes> do WindowsAntivírus> do Microsoft Defender (definido pelo administrador) PolicySettingName. Por exemplo, MDAV_Settings_Production, clique com o botão direito do rato e, em seguida, selecione Editar. Editar para MDAV_Settings_Production é apresentado na seguinte figura:
Selecione Definir a ordem das origens para transferir atualizações de informações de segurança.
Selecione o botão de opção com o nome Ativado.
Em Opções:, altere a entrada para FileShares, selecione Aplicar e, em seguida, selecione OK. Esta alteração é apresentada na seguinte figura:
Selecione Definir a ordem das origens para transferir atualizações de informações de segurança.
Selecione o botão de opção com o nome Desativado, selecione Aplicar e, em seguida, selecione OK. A opção desativada é apresentada na seguinte figura:
A alteração está ativa quando a Política de Grupo é atualizada. Existem dois métodos para atualizar a Política de Grupo:
- Na linha de comandos, execute o comando De atualização da Política de Grupo. Por exemplo, execute
gpupdate / force
. Para obter mais informações, veja gpupdate - Aguarde até que a Política de Grupo seja atualizada automaticamente. A Política de Grupo é atualizada a cada 90 minutos +/- 30 minutos.
Se tiver várias florestas/domínios, force a replicação ou aguarde 10 a 15 minutos. Em seguida, force uma Atualização da Política de Grupo a partir da Consola de Gestão de Políticas de Grupo.
Clique com o botão direito do rato numa unidade organizacional (UO) que contém as máquinas (por exemplo, Ambientes de Trabalho), selecione Atualização da Política de Grupo. Este comando de IU é o equivalente a fazer uma gpupdate.exe /force em todas as máquinas nessa UO. A funcionalidade para forçar a atualização da Política de Grupo é apresentada na seguinte figura:
- Na linha de comandos, execute o comando De atualização da Política de Grupo. Por exemplo, execute
Depois de o problema ser resolvido, defina a Ordem de Contingência da Atualização de Assinatura novamente para a definição original.
InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare
.
Consulte também
Descrição geral da implementação da cadência antivírus do Microsoft Defender
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários