Share via


Microsoft Defender implementação da cadência de produção do Antivírus com Política de Grupo e partilha de rede

Aplica-se a:

Plataformas

  • Windows
  • Windows Server:

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Microsoft Defender para Endpoint é uma plataforma de segurança de ponto final empresarial concebida para ajudar as redes empresariais a impedir, detetar, investigar e responder a ameaças avançadas.

Sugestão

Microsoft Defender para Endpoint está disponível em dois planos: Defender para Endpoint Plano 1 e Plano 2. Está agora disponível um novo suplemento Gestão de vulnerabilidades do Microsoft Defender para o Plano 2.

Introdução

Este artigo descreve como implementar Microsoft Defender Antivírus em anéis com Política de Grupo e Partilha de rede (também conhecida como caminho UNC, SMB, CIFS).

Pré-requisitos

Reveja o artigo Leia-me em Readme

  1. Transfira as Windows Defender .admx e .adml mais recentes.

  2. Copie o .admx e o .adml mais recentes para o Arquivo Central do Controlador de Domínio.

  3. Create uma partilha UNC para atualizações de plataforma e informações de segurança

Configurar o ambiente piloto

Esta secção descreve o processo de configuração do ambiente piloto UAT/Test/QA. Em cerca de 10-500* sistemas Windows e/ou Windows Server, dependendo do número total de sistemas que todos têm.

Captura de ecrã a mostrar um exemplo Microsoft Defender agenda de implementação de cadências antivírus para ambientes de partilha de rede e Política de Grupo.

Nota

A atualização de informações de segurança (SIU) é equivalente a atualizações de assinatura, que são as mesmas que as atualizações de definições.

Create uma partilha UNC para atualizações de plataforma e informações de segurança

Configure uma partilha de ficheiros de rede (UNIDADE UNC/mapeada) para transferir atualizações de plataforma e informações de segurança a partir do site MMPC através de uma tarefa agendada.

  1. No sistema no qual pretende aprovisionar a partilha e transferir as atualizações, crie uma pasta para a qual irá guardar o script.

    Start, CMD (Run as admin)
    MD C:\Tool\PS-Scripts\
    
  2. Create a pasta na qual irá guardar as atualizações de assinatura.

    MD C:\Temp\TempSigs\x64
    MD C:\Temp\TempSigs\x86
    
  3. Configurar um script do PowerShell, CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. Utilize a linha de comandos para configurar a tarefa agendada.

    Nota

    Existem dois tipos de atualizações: completas e delta.

    • Para x64 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Para x64 cheio:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Para x86 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • Para x86 cheio:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      

    Nota

    Quando as tarefas agendadas são criadas, pode encontrá-las no Programador Microsoft\Windows\Windows Defenderde Tarefas em .

  5. Execute cada tarefa manualmente e verifique se tem dados (mpam-d.exe, mpam-fe.exee nis_full.exe) nas seguintes pastas (poderá ter escolhido localizações diferentes):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Se a tarefa agendada falhar, execute os seguintes comandos:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
    

    Nota

    Os problemas também podem dever-se à política de execução.

  6. Create uma partilha a apontar para C:\Temp\TempSigs (por exemplo, \\server\updates).

    Nota

    No mínimo, os utilizadores autenticados têm de ter acesso de "Leitura". Este requisito também se aplica a computadores de domínio, à partilha e ao NTFS (segurança).

  7. Defina a localização da partilha na política para a partilha.

    Nota

    Não adicione a pasta x64 (ou x86) no caminho. O processo de mpcmdrun.exe adiciona-o automaticamente.

Configurar o ambiente Piloto (UAT/Teste/QA)

Esta secção descreve o processo de configuração do ambiente piloto UAT/Test/QA, em cerca de 10-500 sistemas Windows e/ou Windows Server, consoante o número total de sistemas que todos têm.

Nota

Se tiver um ambiente Citrix, inclua, pelo menos, 1 VM Citrix (não persistente) e/ou (persistente)

Na Consola de Gestão do Política de Grupo (GPMC, GPMC.msc), crie ou acrescente à sua política antivírus Microsoft Defender.

  1. Edite a política antivírus Microsoft Defender. Por exemplo, edite MDAV_Settings_Pilot. Aceda a Políticas de Configuração> do ComputadorModelos>Administrativos Componentes>> doWindowsMicrosoft Defender Antivírus. Existem três opções relacionadas:

    Funcionalidade Recomendação para os sistemas piloto
    Selecione o canal para Microsoft Defender atualizações diárias das Informações de Segurança Canal Atual (Faseado)
    Selecione o canal para Microsoft Defender atualizações mensais do Motor Canal Beta
    Selecione o canal para Microsoft Defender atualizações mensais da Plataforma Canal Beta

    As três opções são apresentadas na figura seguinte.

    Captura de ecrã que mostra uma captura de ecrã das Políticas de Configuração > do Computador piloto Modelos > Administrativos Componentes >> do Windows Microsoft Defender canais de atualização do Antivírus.

    Para obter mais informações, veja Manage the gradual rollout process for Microsoft Defender updates (Gerir o processo de implementação gradual de atualizações Microsoft Defender)

  2. Aceda a Políticas de Configuração> do ComputadorModelos>Administrativos Componentes>> doWindowsMicrosoft Defender Antivírus.

  3. Para obter atualizações de informações, faça duplo clique em Selecionar o canal para Microsoft Defender atualizações mensais de informações.

    Captura de ecrã que mostra uma captura de ecrã da página Selecionar o canal para Microsoft Defender atualizações de inteligência mensal com a opção Ativado e Canal Atual (Faseada) selecionada.

  4. Na página Selecionar o canal para Microsoft Defender atualizações mensais de informações, selecione Ativado e, em Opções, selecione Canal Atual (Faseada).

  5. Selecione Aplicar e, em seguida, selecione OK.

  6. Aceda a Políticas de Configuração> do ComputadorModelos>Administrativos Componentes>> doWindowsMicrosoft Defender Antivírus.

  7. Para atualizações do motor, faça duplo clique em Selecionar o canal para Microsoft Defender atualizações mensais do motor.

  8. Na página Selecionar o canal para Microsoft Defender atualizações mensais da Plataforma, selecione Ativado e, em Opções, selecione Canal Beta.

  9. Selecione Aplicar e, em seguida, selecione OK.

  10. Para atualizações da plataforma, faça duplo clique em Selecionar o canal para Microsoft Defender atualizações mensais da Plataforma.

  11. Na página Selecionar o canal para Microsoft Defender atualizações mensais da Plataforma, selecione Ativado e, em Opções, selecione Canal Beta. Estas duas definições são apresentadas na seguinte figura:

  12. Selecione Aplicar e, em seguida, selecione OK.

Configurar o ambiente de produção

  1. Na Consola de Gestão do Política de Grupo (GPMC, GPMC.msc), aceda a Políticas de Configuração> do ComputadorModelos>Administrativos Componentes>> doWindowsMicrosoft Defender Antivírus.

    Captura de ecrã a mostrar uma captura de ecrã das Políticas de Configuração > do Computador de produção Modelos > Administrativos Componentes >> do Windows Microsoft Defender canais de atualização do Antivírus.

  2. Defina as três políticas da seguinte forma:

    Funcionalidade Recomendação para os sistemas de produção Observações
    Selecione o canal para Microsoft Defender atualizações diárias das Informações de Segurança Canal Atual (Broad) Esta definição fornece-lhe 3 horas de tempo para localizar um FP e impedir que os sistemas de produção obtenham uma atualização de assinatura incompatível.
    Selecione o canal para Microsoft Defender atualizações mensais do Motor Crítico – Atraso de tempo Atualizações são adiadas por dois dias.
    Selecione o canal para Microsoft Defender atualizações mensais da Plataforma Crítico – Atraso de tempo Atualizações são adiadas por dois dias.
  3. Para obter atualizações de informações, faça duplo clique em Selecionar o canal para Microsoft Defender atualizações mensais de informações.

  4. Na página Selecionar o canal para Microsoft Defender atualizações mensais de informações, selecione Ativado e, em Opções, selecione Canal Atual (Largo).

    Captura de ecrã que mostra uma captura de ecrã da página Selecionar o canal para Microsoft Defender atualizações de inteligência mensal com a opção Ativado e Canal Atual (Faseada) selecionada.

  5. Selecione Aplicar e, em seguida, selecione OK.

  6. Para atualizações do motor, faça duplo clique em Selecionar o canal para Microsoft Defender atualizações mensais do motor.

  7. Na página Selecionar o canal para Microsoft Defender mensal Atualizações da plataforma, selecione Ativado e, em Opções, selecione Crítico – Atraso de tempo.

  8. Selecione Aplicar e, em seguida, selecione OK.

  9. Para atualizações da plataforma, faça duplo clique em Selecionar o canal para Microsoft Defender atualizações mensais da Plataforma.

  10. Na página Selecionar o canal para Microsoft Defender mensal Atualizações da plataforma, selecione Ativado e, em Opções, selecione Crítico – Atraso de tempo.

  11. Selecione Aplicar e, em seguida, selecione OK.

Caso se depare com problemas

Se tiver problemas com a implementação, crie ou acrescente a sua política antivírus Microsoft Defender:

  1. Na Consola de Gestão do Política de Grupo (GPMC, GPMC.msc), crie ou acrescente à sua política antivírus Microsoft Defender com a seguinte definição:

    Aceda a Políticas de Configuração> do ComputadorModelos>Administrativos Componentes>> doWindowsMicrosoft Defender Antivírus> (definido pelo administrador) PolicySettingName. Por exemplo, MDAV_Settings_Production, clique com o botão direito do rato e, em seguida, selecione Editar. Editar para MDAV_Settings_Production é apresentado na seguinte figura:

    Captura de ecrã que mostra uma captura de ecrã da opção Editar da política antivírus definida pelo administrador Microsoft Defender.

  2. Selecione Definir a ordem das origens para transferir atualizações de informações de segurança.

  3. Selecione o botão de opção com o nome Ativado.

  4. Em Opções:, altere a entrada para FileShares, selecione Aplicar e, em seguida, selecione OK. Esta alteração é apresentada na seguinte figura:

    Captura de ecrã que mostra uma captura de ecrã da página Definir a ordem das origens para transferir atualizações de informações de segurança.

  5. Selecione Definir a ordem das origens para transferir atualizações de informações de segurança.

  6. Selecione o botão de opção com o nome Desativado, selecione Aplicar e, em seguida, selecione OK. A opção desativada é apresentada na seguinte figura:

    Captura de ecrã que mostra uma captura de ecrã da página Definir a ordem das origens para transferir atualizações de informações de segurança com atualizações de Informações de Segurança desativadas.

  7. A alteração está ativa quando Política de Grupo atualizações. Existem dois métodos para atualizar Política de Grupo:

    • Na linha de comandos, execute o comando Política de Grupo update. Por exemplo, execute gpupdate / force. Para obter mais informações, veja gpupdate
    • Aguarde que Política de Grupo atualizem automaticamente. Política de Grupo atualiza a cada 90 minutos +/- 30 minutos.

    Se tiver várias florestas/domínios, force a replicação ou aguarde 10 a 15 minutos. Em seguida, force uma Atualização de Política de Grupo a partir da Consola de Gestão do Política de Grupo.

    • Clique com o botão direito do rato numa unidade organizacional (UO) que contém as máquinas (por exemplo, Ambientes de Trabalho), selecione Política de Grupo Atualizar. Este comando de IU é o equivalente a fazer uma gpupdate.exe /force em todas as máquinas nessa UO. A funcionalidade para forçar Política de Grupo a atualizar é apresentada na seguinte figura:

      Captura de ecrã que mostra uma captura de ecrã da consola de Gestão de Política de Grupo a iniciar uma atualização forçada.

  8. Depois de o problema ser resolvido, defina a Ordem de Contingência da Atualização de Assinatura novamente para a definição original. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

Consulte também

descrição geral da implementação da cadência antivírus do Microsoft Defender