Partilhar via


Avaliar o Antivírus do Microsoft Defender com o Powershell

Aplica-se a:

No Windows 10 ou mais recente e no Windows Server 2016 ou mais recente, pode utilizar funcionalidades de proteção de próxima geração oferecidas pelo Antivírus do Microsoft Defender (MDAV) e pelo Microsoft Defender Exploit Guard (Microsoft Defender EG).

Este tópico explica como ativar e testar as principais funcionalidades de proteção no Microsoft Defender AV e no Microsoft Defender EG e fornece orientações e ligações para mais informações.

Recomendamos que utilize este script do PowerShell de avaliação para configurar estas funcionalidades, mas pode ativar individualmente cada funcionalidade com os cmdlets descritos no resto deste documento.

Veja as seguintes bibliotecas de documentação de produtos para obter mais informações sobre os nossos produtos EPP:

Este artigo descreve as opções de configuração no Windows 10 ou mais recente e no Windows Server 2016 ou mais recente.

Se tiver dúvidas sobre uma deteção que o Microsoft Defender AV efetua ou detetar uma deteção perdida, pode submeter-nos um ficheiro no nosso site de ajuda de submissão de exemplo.

Utilizar o PowerShell para ativar as funcionalidades

Este guia fornece os cmdlets do Antivírus do Microsoft Defender que configuram as funcionalidades que deve utilizar para avaliar a nossa proteção.

Para utilizar estes cmdlets:

1. Abra uma instância elevada do PowerShell (escolha Executar como administrador).

2. Introduza o comando listado neste guia e prima Enter.

Pode verificar o estado de todas as definições antes de começar, ou durante a avaliação, com o cmdlet Get-MpPreference do PowerShell.

O Microsoft Defender AV indica uma deteção através de notificações padrão do Windows. Também pode rever as deteções na aplicação Microsoft Defender AV.

O registo de eventos do Windows também regista eventos de deteção e de motor. Veja o artigo Eventos do Antivírus do Microsoft Defender para obter uma lista de IDs de eventos e as ações correspondentes.

Funcionalidades de proteção da cloud

As atualizações de definições padrão podem demorar horas a preparar e entregar; O nosso serviço de proteção fornecido pela cloud pode fornecer esta proteção em segundos.

Estão disponíveis mais detalhes em Utilizar tecnologias de próxima geração no Antivírus do Microsoft Defender através da proteção fornecida pela cloud.

Descrição Comando do PowerShell
Ativar o Microsoft Defender Cloud para proteção quase instantânea e maior proteção Set-MpPreference -MAPSRelatório Avançado
Submeter automaticamente exemplos para aumentar a proteção de grupos Set-MpPreference -SubmitSamplesConsent Always
Utilizar sempre a cloud para bloquear software maligno novo em segundos Set-MpPreference -DisableBlockAtFirstSeen 0
Analisar todos os ficheiros e anexos transferidos Set-MpPreference -DisableIOAVProtection 0
Definir o nível de bloco da cloud como "Alto" Set-MpPreference -CloudBlockLevel High
Tempo limite de bloqueio da cloud definido alto para 1 minuto Set-MpPreference -CloudExtendedTimeout 50

Proteção alwayson (análise em tempo real)

O Microsoft Defender AV analisa os ficheiros assim que são vistos pelo Windows e monitoriza os processos em execução de comportamentos maliciosos conhecidos ou suspeitos. Se o motor antivírus detetar modificações maliciosas, irá bloquear imediatamente a execução do processo ou ficheiro.

Veja Configurar a proteção comportamental, heurística e em tempo real para obter mais detalhes sobre estas opções.

Descrição Comando do PowerShell
Monitorizar constantemente ficheiros e processos para modificações de software maligno conhecidas Set-MpPreference -DisableRealtimeMonitoring 0
Monitorizar constantemente comportamentos de software maligno conhecidos – mesmo em ficheiros "limpos" e programas em execução Set-MpPreference -DisableBehaviorMonitoring 0
Analisar scripts assim que forem vistos ou executados Set-MpPreference -DisableScriptScanning 0
Analisar unidades amovíveis assim que forem inseridas ou montadas Set-MpPreference -DisableRemovableDriveScanning 0

Proteção de Aplicações Potencialmente Indesejada

As aplicações potencialmente indesejadas são ficheiros e aplicações que não são tradicionalmente classificados como maliciosos. Estes incluem instaladores de terceiros para software comum, injeção de anúncios e determinados tipos de barras de ferramentas no seu browser.

Descrição Comando do PowerShell
Impedir a instalação de grayware, adware e outras aplicações potencialmente indesejadas Set-MpPreference -PUAProtection Ativado

Análise de e-mail e arquivo

Pode definir o Antivírus do Microsoft Defender para analisar automaticamente determinados tipos de ficheiros de e-mail e ficheiros de arquivo (como .zip ficheiros) quando são vistos pelo Windows. Pode encontrar mais informações sobre esta funcionalidade no artigo Gerir análises de e-mail no Microsoft Defender .

Descrição Comando do PowerShell
Analisar ficheiros e arquivos de e-mail Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0

Gerir atualizações de produtos e proteção

Normalmente, recebe atualizações do Microsoft Defender AV a partir do Windows Update uma vez por dia. No entanto, pode aumentar a frequência dessas atualizações ao definir as seguintes opções e garantir que as atualizações são geridas no System Center Configuration Manager, com a Política de Grupo ou no Intune.

Descrição Comando do PowerShell
Atualizar assinaturas todos os dias Set-MpPreference -SignatureUpdateInterval
Verificar a atualização de assinaturas antes de executar uma análise agendada Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

Monitorização avançada de ameaças e exploração e prevenção Acesso controlado a pastas

O Microsoft Defender Exploit Guard fornece funcionalidades que ajudam a proteger os dispositivos contra comportamentos maliciosos conhecidos e ataques a tecnologias vulneráveis.

Descrição Comando do PowerShell
Impedir que aplicações maliciosas e suspeitas (como ransomware) façam alterações a pastas protegidas com acesso controlado a pastas Set-MpPreference -EnableControlledFolderAccess Ativado
Bloquear ligações a endereços IP incorretos conhecidos e outras ligações de rede com a Proteção de rede Set-MpPreference -EnableNetworkProtection Ativado
Aplicar um conjunto padrão de mitigações com o Exploit Protection
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml
Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
Bloquear vetores de ataque malicioso conhecidos com Redução da superfície de ataque Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado
-AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Ativado
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-2 4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado
-AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Ativado
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A9 57927947596D -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado
-AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Ativado
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e 8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Ativado
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Add-MpPreference Ativado
-AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Ativado
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Ativado

Algumas regras podem bloquear o comportamento que considerar aceitável na sua organização. Nestes casos, altere a regra de Ativado para Auditoria para impedir blocos indesejados.

Análise Offline do Microsoft Defender com um clique

A Análise Offline do Microsoft Defender é uma ferramenta especializada fornecida com o Windows 10 ou mais recente e permite-lhe arrancar uma máquina num ambiente dedicado fora do sistema operativo normal. É especialmente útil para malware potente, como rootkits.

Consulte Microsoft Defender Offline para obter mais informações sobre como esta funcionalidade funciona.

Descrição Comando do PowerShell
Certifique-se de que as notificações lhe permitem iniciar o PC num ambiente especializado de remoção de software maligno Set-MpPreference -UILockdown 0

Recursos

Esta secção lista muitos recursos que podem ajudá-lo a avaliar o Antivírus do Microsoft Defender.