Partilhar via

Implementação da cadência de produção do Antivírus do Microsoft Defender com a Política de Grupo e a partilha de rede

  • Artigo

Aplica-se a:

Plataformas

  • Windows
  • Windows Server:

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

O Microsoft Defender para Endpoint é uma plataforma de segurança de ponto final empresarial concebida para ajudar as redes empresariais a impedir, detetar, investigar e responder a ameaças avançadas.

Sugestão

O Microsoft Defender para Endpoint está disponível em dois planos: Defender para Endpoint Plano 1 e Plano 2. Está agora disponível um novo suplemento de Gestão de Vulnerabilidades do Microsoft Defender para o Plano 2.

Introdução

Este artigo descreve como implementar o Antivírus do Microsoft Defender em anéis com a Política de Grupo e a Partilha de rede (também conhecida como caminho UNC, SMB, CIFS).

Pré-requisitos

Reveja o artigo Leia-me em Readme

  1. Transfira o .admx e o .adml mais recentes do Windows Defender.

  2. Copie o .admx e o .adml mais recentes para o Arquivo Central do Controlador de Domínio.

  3. Criar uma partilha UNC para atualizações de plataforma e informações de segurança

Configurar o ambiente piloto

Esta secção descreve o processo de configuração do ambiente piloto UAT/Test/QA. Em cerca de 10-500* sistemas Windows e/ou Windows Server, dependendo do número total de sistemas que todos têm.

Captura de ecrã que mostra um exemplo de agenda de implementação de cadências antivírus do Microsoft Defender para ambientes de partilha de rede e Política de Grupo.

Nota

A atualização de informações de segurança (SIU) é equivalente a atualizações de assinatura, que são as mesmas que as atualizações de definições.

Criar uma partilha UNC para informações de segurança

Configure uma partilha de ficheiros de rede (UNIDADE UNC/mapeada) para transferir informações de segurança do site MMPC através de uma tarefa agendada.

  1. No sistema no qual pretende aprovisionar a partilha e transferir as atualizações, crie uma pasta para a qual irá guardar o script.

    Start, CMD (Run as admin)
MD C:\Tool\PS-Scripts\

  2. Crie a pasta para a qual irá guardar as atualizações de assinatura.

    MD C:\Temp\TempSigs\x64
MD C:\Temp\TempSigs\x86

  3. Configurar um script do PowerShell, CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. Utilize a linha de comandos para configurar a tarefa agendada.

    Nota

    Existem dois tipos de atualizações: completas e delta.

    • Para x64 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Para x64 cheio:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Para x86 delta:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    • Para x86 cheio:

      Powershell (Run as admin)

C:\Tool\PS-Scripts\

".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"

    Nota

    Quando as tarefas agendadas são criadas, pode encontrá-las no Programador Microsoft\Windows\Windows Defenderde Tarefas em .

  5. Execute cada tarefa manualmente e verifique se tem dados (mpam-d.exe, mpam-fe.exee nis_full.exe) nas seguintes pastas (poderá ter escolhido localizações diferentes):

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    Se a tarefa agendada falhar, execute os seguintes comandos:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"

C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"

    Nota

    Os problemas também podem dever-se à política de execução.

  6. Crie uma partilha que aponte para C:\Temp\TempSigs (por exemplo, \\server\updates).

    Nota

    No mínimo, os utilizadores autenticados têm de ter acesso de "Leitura". Este requisito também se aplica a computadores de domínio, à partilha e ao NTFS (segurança).

  7. Defina a localização da partilha na política para a partilha.

    Nota

    Não adicione a pasta x64 (ou x86) no caminho. O processo de mpcmdrun.exe adiciona-o automaticamente.

Configurar o ambiente Piloto (UAT/Teste/QA)

Esta secção descreve o processo de configuração do ambiente piloto UAT/Test/QA, em cerca de 10-500 sistemas Windows e/ou Windows Server, consoante o número total de sistemas que todos têm.

Nota

Se tiver um ambiente Citrix, inclua, pelo menos, 1 VM Citrix (não persistente) e/ou (persistente)

Na Consola de Gestão de Políticas de Grupo (GPMC, GPMC.msc), crie ou acrescente à sua política antivírus do Microsoft Defender.

  1. Edite a política do Antivírus do Microsoft Defender. Por exemplo, edite MDAV_Settings_Pilot. Aceda a Políticas de Configuração> do ComputadorModelos>Administrativos>Componentes> doWindows Antivírus do Microsoft Defender. Existem três opções relacionadas:

    Funcionalidade Recomendação para os sistemas piloto
    Selecione o canal para atualizações diárias de Informações de Segurança do Microsoft Defender Canal Atual (Faseado)
    Selecione o canal para atualizações mensais do Motor do Microsoft Defender Canal Beta
    Selecione o canal para atualizações mensais da Plataforma do Microsoft Defender Canal Beta

    As três opções são apresentadas na figura seguinte.

    Captura de ecrã que mostra uma captura de ecrã das Políticas de Configuração > do Computador piloto Modelos > Administrativos Componentes > do Windows Canais > de atualização do Antivírus do Microsoft Defender.

    Para obter mais informações, veja Gerir o processo de implementação gradual das atualizações do Microsoft Defender

  2. Aceda a Políticas de Configuração> do ComputadorModelos>Administrativos>Componentes> doWindows Antivírus do Microsoft Defender.

  3. Para obter atualizações de informações , faça duplo clique em Selecionar o canal para atualizações de informações mensais do Microsoft Defender.

    Captura de ecrã a mostrar uma captura de ecrã da página Selecionar o canal para atualizações de informações mensais do Microsoft Defender com a opção Ativado e Canal Atual (Faseada) selecionada.

  4. Na página Selecionar o canal para atualizações mensais de informações do Microsoft Defender , selecione Ativado e, em Opções, selecione Canal Atual (Faseada).

  5. Selecione Aplicar e, em seguida, selecione OK.

  6. Aceda a Políticas de Configuração> do ComputadorModelos>Administrativos>Componentes> doWindows Antivírus do Microsoft Defender.

  7. Para atualizações do motor , faça duplo clique em Selecionar o canal para atualizações mensais do motor do Microsoft Defender.

  8. Na página Selecionar o canal para atualizações mensais da Plataforma do Microsoft Defender , selecione Ativado e, em Opções, selecione Canal Beta.

  9. Selecione Aplicar e, em seguida, selecione OK.

  10. Para atualizações da plataforma , faça duplo clique em Selecionar o canal para atualizações mensais da Plataforma do Microsoft Defender.

  11. Na página Selecionar o canal para atualizações mensais da Plataforma do Microsoft Defender , selecione Ativado e, em Opções, selecione Canal Beta. Estas duas definições são apresentadas na seguinte figura:

  12. Selecione Aplicar e, em seguida, selecione OK.

Configurar o ambiente de produção

  1. Na Consola de Gestão de Políticas de Grupo (GPMC, GPMC.msc), aceda a Políticas de Configuração> do ComputadorModelos>Administrativos Componentes>> doWindows Antivírus do Microsoft Defender.

    Captura de ecrã que mostra uma captura de ecrã das Políticas de Configuração > do Computador de produção Modelos > Administrativos Componentes > do Windows Canais > de atualização do Antivírus do Microsoft Defender.

  2. Defina as três políticas da seguinte forma:

    Funcionalidade Recomendação para os sistemas de produção Observações
    Selecione o canal para atualizações diárias de Informações de Segurança do Microsoft Defender Canal Atual (Broad) Esta definição fornece-lhe 3 horas de tempo para localizar um FP e impedir que os sistemas de produção obtenham uma atualização de assinatura incompatível.
    Selecione o canal para atualizações mensais do Motor do Microsoft Defender Crítico – Atraso de tempo As atualizações são adiadas por dois dias.
    Selecione o canal para atualizações mensais da Plataforma do Microsoft Defender Crítico – Atraso de tempo As atualizações são adiadas por dois dias.

  3. Para obter atualizações de informações , faça duplo clique em Selecionar o canal para atualizações de informações mensais do Microsoft Defender.

  4. Na página Selecionar o canal para atualizações mensais de informações do Microsoft Defender , selecione Ativado e, em Opções, selecione Canal Atual (Amplo).

    Captura de ecrã a mostrar uma captura de ecrã da página Selecionar o canal para atualizações de informações mensais do Microsoft Defender com a opção Ativado e Canal Atual (Faseada) selecionada.

  5. Selecione Aplicar e, em seguida, selecione OK.

  6. Para atualizações do motor , faça duplo clique em Selecionar o canal para atualizações mensais do motor do Microsoft Defender.

  7. Na página Selecionar o canal para atualizações mensais da Plataforma do Microsoft Defender , selecione Ativado e, em Opções, selecione Crítico – Atraso de tempo.

  8. Selecione Aplicar e, em seguida, selecione OK.

  9. Para atualizações da plataforma , faça duplo clique em Selecionar o canal para atualizações mensais da Plataforma do Microsoft Defender.

  10. Na página Selecionar o canal para atualizações mensais da Plataforma do Microsoft Defender , selecione Ativado e, em Opções, selecione Crítico – Atraso de tempo.

  11. Selecione Aplicar e, em seguida, selecione OK.

Caso se depare com problemas

Se tiver problemas com a implementação, crie ou acrescente a política do Antivírus do Microsoft Defender:

  1. Na Consola de Gestão de Políticas de Grupo (GPMC, GPMC.msc), crie ou acrescente à sua política antivírus do Microsoft Defender com a seguinte definição:

    Aceda a Políticas de Configuração> do ComputadorModelos>Administrativos>Componentes> do WindowsAntivírus> do Microsoft Defender (definido pelo administrador) PolicySettingName. Por exemplo, MDAV_Settings_Production, clique com o botão direito do rato e, em seguida, selecione Editar. Editar para MDAV_Settings_Production é apresentado na seguinte figura:

    Captura de ecrã que mostra uma captura de ecrã da opção editar da política de Antivírus do Microsoft Defender definida pelo administrador.

  2. Selecione Definir a ordem das origens para transferir atualizações de informações de segurança.

  3. Selecione o botão de opção com o nome Ativado.

  4. Em Opções:, altere a entrada para FileShares, selecione Aplicar e, em seguida, selecione OK. Esta alteração é apresentada na seguinte figura:

    Captura de ecrã que mostra uma captura de ecrã da página Definir a ordem das origens para transferir atualizações de informações de segurança.

  5. Selecione Definir a ordem das origens para transferir atualizações de informações de segurança.

  6. Selecione o botão de opção com o nome Desativado, selecione Aplicar e, em seguida, selecione OK. A opção desativada é apresentada na seguinte figura:

    Captura de ecrã que mostra uma captura de ecrã da página Definir a ordem das origens para transferir atualizações de informações de segurança com atualizações de Informações de Segurança desativadas.

  7. A alteração está ativa quando a Política de Grupo é atualizada. Existem dois métodos para atualizar a Política de Grupo:

    • Na linha de comandos, execute o comando De atualização da Política de Grupo. Por exemplo, execute gpupdate / force. Para obter mais informações, veja gpupdate
    • Aguarde até que a Política de Grupo seja atualizada automaticamente. A Política de Grupo é atualizada a cada 90 minutos +/- 30 minutos.

    Se tiver várias florestas/domínios, force a replicação ou aguarde 10 a 15 minutos. Em seguida, force uma Atualização da Política de Grupo a partir da Consola de Gestão de Políticas de Grupo.

    • Clique com o botão direito do rato numa unidade organizacional (UO) que contém as máquinas (por exemplo, Ambientes de Trabalho), selecione Atualização da Política de Grupo. Este comando de IU é o equivalente a fazer uma gpupdate.exe /force em todas as máquinas nessa UO. A funcionalidade para forçar a atualização da Política de Grupo é apresentada na seguinte figura:

      Captura de ecrã que mostra uma captura de ecrã da consola de Gestão de Políticas de Grupo a iniciar uma atualização forçada.

  8. Depois de o problema ser resolvido, defina a Ordem de Contingência da Atualização de Assinatura novamente para a definição original. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

Consulte também

Descrição geral da implementação da cadência antivírus do Microsoft Defender