Proteger as definições de segurança com proteção contra adulteração

Aplica-se a:

Plataformas

O que é a proteção contra adulteração?

A proteção contra adulteração é uma capacidade no Microsoft Defender para Endpoint que ajuda a proteger determinadas definições de segurança, como proteção contra vírus e ameaças, contra a desativação ou alteração. Durante alguns tipos de ciberataques, os maus atores tentam desativar as funcionalidades de segurança nos dispositivos. A desativação das funcionalidades de segurança proporciona atores incorretos com acesso mais fácil aos seus dados, a capacidade de instalar software maligno e a capacidade de explorar os seus dados, identidades e dispositivos. A proteção contra adulteração ajuda a proteger-se contra estes tipos de atividades.

A proteção contra adulteração faz parte das capacidades anti-adulteração que incluem regras padrão de redução da superfície de ataque de proteção. A proteção contra adulteração é uma parte importante da proteção incorporada.

O que acontece quando a proteção contra adulteração está ativada?

Quando a proteção contra adulteração está ativada, estas definições protegidas por adulteração não podem ser alteradas:

  • A proteção contra vírus e ameaças permanece ativada.
  • A proteção em tempo real permanece ativada.
  • A monitorização de comportamento permanece ativada.
  • A proteção antivírus, incluindo IOfficeAntivirus (IOAV) permanece ativada.
  • A proteção da cloud permanece ativada.
  • Ocorrem atualizações de informações de segurança.
  • São efetuadas ações automáticas em ameaças detetadas.
  • As notificações são visíveis na aplicação Segurança do Windows em dispositivos Windows.
  • Os ficheiros arquivados são analisados.
  • Não é possível modificar ou adicionar exclusões

A partir da versão 1.383.1159.0de assinatura , devido a confusão em torno do valor predefinido de "Permitir Análise de Ficheiros de Rede", a proteção contra adulteração já não bloqueia esta definição para o valor predefinido. Em ambientes geridos, o valor predefinido é enabled.

Importante

Quando a proteção contra adulteração está ativada, as definições protegidas por adulteração não podem ser alteradas. Para evitar experiências de gestão interruptivas, incluindo o Intune e Configuration Manager, tenha em atenção que as alterações efetuadas às definições protegidas por adulteração podem parecer ter êxito, mas estão realmente bloqueadas pela proteção contra adulteração. Consoante o seu cenário específico, tem várias opções disponíveis:

  • Se tiver de fazer alterações a um dispositivo e essas alterações forem bloqueadas pela proteção contra adulteração, pode utilizar o modo de resolução de problemas para desativar temporariamente a proteção contra adulteração no dispositivo.
  • Pode utilizar o Intune ou Configuration Manager para excluir dispositivos da proteção contra adulteração.

A proteção contra adulteração não o impede de ver as definições de segurança. Além disso, a proteção contra adulteração não afeta a forma como as aplicações antivírus não microsoft se registam na aplicação Segurança do Windows. Se a sua organização estiver a utilizar o Defender para Endpoint, os utilizadores individuais não poderão alterar a definição de proteção contra adulteração; nesses casos, a sua equipa de segurança gere a proteção contra adulteração. Para obter mais informações, consulte Como devo proceder para configurar ou gerir a proteção contra adulteração?

Em que dispositivos pode ativar a proteção contra adulteração?

A proteção contra adulteração está disponível para dispositivos com uma das seguintes versões do Windows:

  • Windows 10 e 11 (incluindo várias sessões empresariais)
  • Windows Server 2022, Windows Server 2019 e Windows Server, versão 1803 ou posterior
  • Windows Server 2016 e Windows Server 2012 R2 (com a solução moderna e unificada)

A proteção contra adulteração também está disponível para Mac, embora funcione de forma ligeiramente diferente da do Windows. Para obter mais informações, veja Proteger as definições de segurança do macOS com proteção contra adulteração.

Sugestão

A proteção incorporada inclui ativar a proteção contra adulteração por predefinição. Para mais informações, consulte:

Proteção contra adulteração no Windows Server 2012 R2, 2016 ou Windows versão 1709, 1803 ou 1809

Se estiver a utilizar o Windows Server 2012 R2 com a solução unificada moderna, Windows Server 2016, Windows 10 versão 1709, 1803 ou 1809, não verá a Proteção contra Adulteração na aplicação Segurança do Windows. Em vez disso, pode utilizar o PowerShell para determinar se a proteção contra adulteração está ativada.

Importante

No Windows Server 2016, a aplicação Definições não reflete com precisão o estado da proteção em tempo real quando a proteção contra adulteração está ativada.

Utilizar o PowerShell para determinar se a proteção contra adulteração e a proteção em tempo real estão ativadas

  1. Abra a aplicação Windows PowerShell.

  2. Utilize o cmdlet do PowerShell Get-MpComputerStatus .

  3. Na lista de resultados, procure IsTamperProtected ou RealTimeProtectionEnabled. (Um valor de verdadeiro significa que a proteção contra adulteração está ativada.)

Como devo proceder para configurar ou gerir a proteção contra adulteração?

Pode utilizar Microsoft Intune e outros métodos para configurar ou gerir a proteção contra adulteração, conforme listado na seguinte tabela:

Método O que pode fazer
Utilize o portal Microsoft Defender. Ativar (ou desativar) a proteção contra adulteração, inquilino largo. Veja Gerir a proteção contra adulteração para a sua organização com Microsoft Defender XDR.

Este método não substitui as definições geridas em Microsoft Intune ou Configuration Manager.
Utilize o centro de administração do Microsoft Intune ou o Configuration Manager. Ative (ou desative a proteção contra adulteração), o inquilino em largura ou aplique a proteção contra adulteração a alguns utilizadores/dispositivos. Pode excluir determinados dispositivos da proteção contra adulteração. Veja Gerir a proteção contra adulteração para a sua organização com o Intune.

Proteja Microsoft Defender exclusões do Antivírus contra adulteração se estiver a utilizar apenas o Intune ou apenas Configuration Manager. Veja Proteção contra adulteração para exclusões antivírus.
Utilize Configuration Manager com a anexação do inquilino. Ative (ou desative a proteção contra adulteração), o inquilino em largura ou aplique a proteção contra adulteração a alguns utilizadores/dispositivos. Pode excluir determinados dispositivos da proteção contra adulteração. Consulte Gerir a proteção contra adulteração para a sua organização através da anexação do inquilino com Configuration Manager, versão 2006.
Utilize a aplicação Segurança do Windows. Ative (ou desative) a proteção contra adulteração num dispositivo individual que não seja gerido por uma equipa de segurança (como dispositivos para utilização doméstica). Veja Gerir a proteção contra adulteração num dispositivo individual.

Este método não substitui as definições de proteção contra adulteração definidas no portal do Microsoft Defender, intune ou Configuration Manager e não se destina a ser utilizado por organizações.

Sugestão

Se estiver a utilizar Política de Grupo para gerir as definições do Antivírus Microsoft Defender, tenha em atenção que quaisquer alterações efetuadas às definições protegidas por adulteração são ignoradas. Se tiver de efetuar alterações a um dispositivo e essas alterações forem bloqueadas pela proteção contra adulteração, utilize o modo de resolução de problemas para desativar temporariamente a proteção contra adulteração no dispositivo. Após o fim do modo de resolução de problemas, todas as alterações efetuadas às definições protegidas por adulteração são revertidas para o estado configurado.

Proteger exclusões do Antivírus do Microsoft Defender

Em determinadas condições, a proteção contra adulteração pode proteger as exclusões definidas para Microsoft Defender Antivírus. Para obter mais informações, veja Proteção contra adulteração para exclusões.

Ver informações sobre tentativas de adulteração

Normalmente, as tentativas de adulteração indicam que ocorreu um ciberataque maior. Os maus atores tentam alterar as definições de segurança como uma forma de manter e não ser detectado. Se fizer parte da equipa de segurança da sua organização, pode ver informações sobre essas tentativas e, em seguida, tomar as medidas adequadas para mitigar ameaças.

Sempre que é detetada uma tentativa de adulteração, é gerado um alerta no portal Microsoft Defender (https://security.microsoft.com).

Com a deteção e resposta de pontos finais e capacidades avançadas de investigação no Microsoft Defender para Endpoint, a sua equipa de operações de segurança pode investigar e resolver essas tentativas.

Rever as recomendações de segurança

A proteção contra adulteração integra-se com capacidades de Gestão de vulnerabilidades do Microsoft Defender. As recomendações de segurança incluem garantir que a proteção contra adulteração está ativada. Por exemplo, no dashboard de Gestão de Vulnerabilidades, pode procurar adulteração. Nos resultados, pode selecionar Ativar a Proteção contra Adulteração para saber mais e ativá-la.

Para saber mais sobre Gestão de vulnerabilidades do Microsoft Defender, veja Informações do dashboard – Gestão de Vulnerabilidades do Defender.

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.