Ativar o bloqueio na primeira ocorrência

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Antivírus do Microsoft Defender

Plataformas

• Windows

Este artigo descreve uma funcionalidade antivírus/antimalware conhecida como "bloquear à primeira vista" e descreve como ativar o bloqueio à primeira vista para a sua organização.

Sugestão

Este artigo destina-se a administradores empresariais e Profissionais de TI que gerem definições de segurança para organizações. Se não for um administrador empresarial ou um profissional de TI, mas tiver dúvidas sobre o bloqueio à primeira vista, consulte a secção Não é um administrador de empresa ou profissional de TI?

O que é "bloquear à primeira vista"?

Bloquear à primeira vista é uma funcionalidade de proteção contra ameaças da proteção de próxima geração que deteta software maligno novo e bloqueia-o em segundos. Bloquear à primeira vista é ativado quando determinadas definições de segurança estão ativadas:

• A proteção da cloud está ativada;
• A submissão de exemplo é configurada para que os exemplos sejam enviados automaticamente; e
• O Antivírus do Microsoft Defender está atualizado em dispositivos.

Na maioria das organizações empresariais, as definições necessárias para ativar o bloco à primeira vista são configuradas com implementações do Antivírus do Microsoft Defender. Consulte Ativar a proteção da cloud no Antivírus do Microsoft Defender.

Como funciona

Quando o Antivírus do Microsoft Defender encontra um ficheiro suspeito, mas não detetado, consulta o nosso back-end de proteção da cloud. O back-end da cloud aplica heurística, machine learning e análise automatizada do ficheiro para determinar se os ficheiros são maliciosos ou não uma ameaça.

O Antivírus do Microsoft Defender utiliza várias tecnologias de deteção e prevenção para fornecer proteção precisa, inteligente e em tempo real.

Sugestão

Para saber mais, consulte (Blogue) Conhecer as tecnologias avançadas no centro da proteção da próxima geração do Microsoft Defender para Endpoint.

Algumas coisas a saber sobre o bloco à primeira vista

• Bloquear à primeira vista pode bloquear ficheiros executáveis não portáteis (como JS, VBS ou macros) e ficheiros executáveis, executando a plataforma antimalware mais recente do Defender no Windows ou Windows Server.

• Bloquear à primeira vista utiliza apenas o back-end de proteção da cloud para ficheiros executáveis e ficheiros executáveis não portáteis que são transferidos a partir da Internet ou que têm origem na zona da Internet. Um valor hash do .exe ficheiro é verificado através do back-end da cloud para determinar se o ficheiro é um ficheiro anteriormente não detetado.

• Se o back-end da cloud não conseguir determinar, o Antivírus do Microsoft Defender bloqueia o ficheiro e carrega uma cópia para a cloud. A cloud efetua mais análises para alcançar uma determinação antes de permitir que o ficheiro seja executado ou bloqueie-o em todos os encontros futuros, dependendo se determina se o ficheiro é malicioso ou não uma ameaça.

• Em muitos casos, este processo pode reduzir o tempo de resposta de novo software maligno de horas para segundos.

• Pode especificar durante quanto tempo um ficheiro deve ser impedido de ser executado enquanto o serviço de proteção baseado na cloud analisa o ficheiro. Além disso, pode personalizar a mensagem apresentada nos ambientes de trabalho dos utilizadores quando um ficheiro é bloqueado. Pode alterar o nome da empresa, as informações de contacto e o URL da mensagem.

Ativar o bloco à primeira vista com o Microsoft Intune

1. No centro de administração do Microsoft Intune (https://intune.microsoft.com), aceda aAntivírus de segurança > de ponto final.

2. Selecione uma política existente ou crie uma nova política com o tipo de perfil Antivírus do Microsoft Defender . No nosso exemplo, selecionámos Windows 10, Windows 11 ou Windows Server para a plataforma.

   

3. Defina Permitir proteção da cloud como Permitido. Ativa a Proteção da Cloud.

   

4. Desloque-se para baixo até Submeter Consentimento de Exemplos e selecione uma das seguintes definições:

   • Enviar todos os exemplos automaticamente
   • Enviar amostras seguras automaticamente

5. Aplique o perfil do Antivírus do Microsoft Defender a um grupo, como Todos os utilizadores, Todos os dispositivos ou Todos os utilizadores e dispositivos.

Ativar o bloco à primeira vista com a Política de Grupo

Nota

Recomendamos que utilize o Intune ou o Microsoft Configuration Manager para ativar o bloqueio à primeira vista.

1. No computador de gestão da Política de Grupo, abra a Consola de Gestão de Políticas de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e selecione Editar.

2. Com o Editor de Gestão de Políticas> de Grupo, aceda a Configuração> do computadorModelos administrativos>Componentes> doWindows Antivírus do Microsoft DefenderMAPS.

3. Na secção MAPAS, faça duplo clique em Configurar a funcionalidade "Bloquear à Primeira Vista", defina-a como Ativada e, em seguida, selecione OK.

   Importante

   Definir como Pedido sempre (0) irá reduzir o estado de proteção do dispositivo. Definir como Nunca enviar (2) significa que bloquear à primeira vista não funcionará.

4. Na secção MAPS, faça duplo clique em Enviar exemplos de ficheiros quando for necessária uma análise mais aprofundada e defina-o como Ativado. Em Enviar exemplos de ficheiros quando for necessária uma análise mais aprofundada, selecione Enviar todos os exemplos e, em seguida, selecione OK.

5. Reimplemente o Objeto de Política de Grupo na sua rede, como normalmente faz.

Confirmar que o bloco à primeira vista está ativado em dispositivos cliente individuais

Pode confirmar que o bloqueio à primeira vista está ativado em dispositivos cliente individuais através da aplicação Segurança do Windows. O bloqueio à primeira vista é ativado automaticamente, desde que a proteção fornecida pela cloud e a Submissão automática de exemplo estejam ativadas.

1. Abrir a aplicação Segurança do Windows.

2. Selecione Vírus & proteção contra ameaças e, em seguida, em Definições de proteção contra ameaças & vírus, selecione Gerir Definições.

   

3. Confirme que a proteção fornecida pela cloud e a Submissão automática de exemplo estão ativadas.

Nota

• Se as definições de pré-requisitos estiverem configuradas e implementadas com a Política de Grupo, as definições descritas nesta secção estarão indisponíveis e indisponíveis para utilização em pontos finais individuais.
• As alterações efetuadas através de um Objeto de Política de Grupo têm primeiro de ser implementadas em pontos finais individuais antes de a definição ser atualizada nas Definições do Windows.

Desativar bloco à primeira vista

Atenção

Desativar o bloqueio à primeira vista reduzirá o estado de proteção dos dispositivos e da rede. Não recomendamos a desativação permanente do bloqueio na proteção à primeira vista.

Desativar o bloqueio à primeira vista com o Microsoft Intune

1. Aceda ao centro de administração do Microsoft Intune (https://intune.microsoft.com) e inicie sessão.

2. Aceda aAntivírus de segurança> de ponto final e, em seguida, selecione a sua política antivírus do Microsoft Defender.

3. Em Gerir, selecionePropriedades.

4. Junto a Definições de configuração, selecione Editar.

5. Defina Permitir proteção da cloud como Não permitido. Desativa a Proteção da Cloud.

6. Reveja e guarde as suas definições.

Desativar o bloqueio à primeira vista com a Política de Grupo

1. No computador de gestão da Política de Grupo, abra a Consola de Gestão de Políticas de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e, em seguida, selecione Editar.

2. Com o Editor de Gestão de Políticas de Grupo , aceda a Configuração do computador e selecione Modelos administrativos.

3. Expanda a árvore através dos componentes> doWindows Antivírus> do Microsoft DefenderMAPS.

4. Faça duplo clique em Configurar a funcionalidade "Bloquear à Primeira Vista" e defina a opção como Desativado.

   Nota

   Desativar o bloco à primeira vista não desativa nem altera as políticas de grupo de pré-requisitos.

Não é um administrador empresarial ou profissional de TI?

Se não for um administrador empresarial ou um Profissional de TI, mas tiver dúvidas sobre o bloqueio à primeira vista, esta secção é para si. Bloquear à primeira vista é uma funcionalidade de proteção contra ameaças que deteta e bloqueia software maligno em segundos. Embora não exista uma definição específica denominada "Bloquear à primeira vista", a funcionalidade é ativada quando determinadas definições são configuradas no seu dispositivo.

Como gerir blocos à primeira vista ativado ou desligado no seu próprio dispositivo

Se tiver um dispositivo pessoal que não é gerido por uma organização, poderá estar a perguntar-se como ativar ou desativar o bloqueio à primeira vista. Pode utilizar a aplicação Segurança do Windows para gerir o bloco à primeira vista.

1. No seu computador Windows 10 ou Windows 11, abra a aplicação Segurança do Windows.

2. Selecione proteção contra vírus e ameaças.

3. Em Definições de proteção contra ameaças & vírus, selecione Gerir definições.

4. Siga um dos seguintes passos:

   • Para ativar o bloco à primeira vista, certifique-se de que a proteção fornecida pela cloud e a Submissão automática de exemplo estão ativadas.

   • Para desativar o bloqueio à primeira vista, desative a proteção fornecida pela cloud ou a Submissão automática de exemplo.

     Atenção

     Desativar o bloco à primeira vista reduz o nível de proteção do dispositivo. Não recomendamos a desativação permanente do bloco à primeira vista.

Consulte também

• Antivírus do Microsoft Defender no Windows 10
• Ativar a proteção fornecida pela cloud
• Manter-se protegido com a Segurança do Windows
• Integração de dispositivos não Windows

Sugestão

Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.