Configurar o Antivírus do Microsoft Defender num ambiente de trabalho remoto ou num ambiente de infraestrutura de ambiente de trabalho virtual

Aplica-se a:

Plataformas

  • Windows

Este artigo foi concebido apenas para clientes que estão a utilizar Microsoft Defender funcionalidades do Antivírus. Se tiver Microsoft Defender para Ponto de Extremidade (que inclui Microsoft Defender Antivírus juntamente com outras funcionalidades de proteção de dispositivos), também pode utilizar dispositivos VDI (Onboard non-persistent virtual desktop infrastructure) no Microsoft Defender XDR.

Pode utilizar Microsoft Defender Antivírus num ambiente de trabalho remoto (RDS) ou num ambiente de infraestrutura de ambiente de trabalho virtual (VDI) não persistente. Seguindo a documentação de orientação neste artigo, pode configurar atualizações para transferir diretamente para os seus ambientes RDS ou VDI quando um utilizador iniciar sessão.

Este guia descreve como configurar Microsoft Defender Antivírus nas suas VMs para uma proteção e desempenho ideais, incluindo como:

Importante

Embora um VDI possa ser alojado em Windows Server 2012 ou Windows Server 2016, as máquinas virtuais (VMs) devem executar Windows 10, versão 1607 no mínimo, devido ao aumento das tecnologias e funcionalidades de proteção que não estão disponíveis em versões anteriores do Windows.

Configurar uma partilha de ficheiros VDI dedicada para informações de segurança

No Windows 10, versão 1903, a Microsoft introduziu a funcionalidade de informações de segurança partilhada, que descarrega a desempacotamento de atualizações de informações de segurança transferidas para um computador anfitrião. Este método reduz a utilização de recursos de CPU, disco e memória em máquinas individuais. As informações de segurança partilhadas funcionam agora no Windows 10, versão 1703 e posterior. Pode configurar esta capacidade com o Política de Grupo ou o PowerShell.

Política de grupo

  1. No seu computador de gestão de Política de Grupo, abra a Consola de Gestão do Política de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e, em seguida, selecione Editar.

  2. No Editor gestão de Política de Grupo, aceda a Configuração do computador.

  3. Selecione Modelos administrativos. Expanda a árvore para componentes> do Windows Microsoft DefenderAtualizações de Informações de Segurançaantivírus>.

  4. Faça duplo clique em Definir localização de informações de segurança para clientes VDI e, em seguida, defina a opção como Ativado.

    É apresentado automaticamente um campo.

  5. Introduza \\<Windows File Server shared location\>\wdav-update (para obter ajuda com este valor, consulte Transferir e desempacotar).

  6. Selecione OK e, em seguida, implemente o Objeto Política de Grupo nas VMs que pretende testar.

PowerShell

  1. Em cada dispositivo RDS ou VDI, utilize o seguinte cmdlet para ativar a funcionalidade:

    Set-MpPreference -SharedSignaturesPath \\<Windows File Server shared location>\wdav-update

  2. Emita a atualização como normalmente emitiria políticas de configuração baseadas no PowerShell para as suas VMs. (Veja a secção Transferir e desempacotar neste artigo. Procure a entrada de localização partilhada .)

Transferir e descompactar as atualizações mais recentes

Agora, pode começar a transferir e instalar novas atualizações. Criámos um script do PowerShell de exemplo para si abaixo. Este script é a forma mais fácil de transferir novas atualizações e prepará-las para as suas VMs. Em seguida, deve definir o script para ser executado num determinado momento no computador de gestão através de uma tarefa agendada (ou, se estiver familiarizado com a utilização de scripts do PowerShell no Azure, Intune ou SCCM, também pode utilizar esses scripts).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Pode definir uma tarefa agendada para ser executada uma vez por dia para que, sempre que o pacote for transferido e desembalado, as VMs recebam a nova atualização. Sugerimos que comece uma vez por dia, mas deve experimentar aumentar ou diminuir a frequência para compreender o impacto.

Normalmente, os pacotes de informações de segurança são publicados uma vez a cada três a quatro horas. Definir uma frequência inferior a quatro horas não é aconselhável porque aumenta a sobrecarga de rede no seu computador de gestão sem qualquer benefício.

Também pode configurar o seu único servidor ou computador para obter as atualizações em nome das VMs num intervalo e colocá-las na partilha de ficheiros para consumo. Esta configuração é possível quando os dispositivos têm acesso de partilha e leitura (permissões NTFS) à partilha para que possam obter as atualizações. Para configurar esta configuração, siga estes passos:

  1. Crie uma partilha de ficheiros SMB/CIFS.

  2. Utilize o exemplo seguinte para criar uma partilha de ficheiros com as seguintes permissões de partilha.

    
    PS c:\> Get-SmbShareAccess -Name mdatp$
    
    Name   ScopeName AccountName AccessControlType AccessRight
    ----   --------- ----------- ----------------- -----------
    mdatp$ *         Everyone    Allow             Read
    
    

    Observação

    É adicionada uma permissão NTFS para Utilizadores Autenticados:Ler:.

    Para este exemplo, a partilha de ficheiros é \\WindowsFileServer.fqdn\mdatp$\wdav-update.

Definir uma tarefa agendada para executar o script do PowerShell

  1. No computador de gestão, abra o menu Iniciar e escreva Task Scheduler. Nos resultados, selecione Programador de Tarefas e, em seguida, selecione Criar tarefa... no painel lateral.

  2. Especifique o nome como Security intelligence unpacker.

  3. No separador Acionador , selecione Novo...>Diariamente e selecione OK.

  4. No separador Ações , selecione Novo....

  5. Especifique PowerShell no campo Programa/Script .

  6. No campo Adicionar argumentos , escreva -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1e, em seguida, selecione OK.

  7. Configure quaisquer outras definições conforme adequado.

  8. Selecione OK para guardar a tarefa agendada.

Para iniciar a atualização manualmente, clique com o botão direito do rato na tarefa e, em seguida, selecione Executar.

Transferir e desempacotar manualmente

Se preferir fazer tudo manualmente, eis o que fazer para replicar o comportamento do script:

  1. Crie uma nova pasta na raiz do sistema chamada wdav_update para armazenar atualizações de inteligência. Por exemplo, crie a pasta c:\wdav_update.

  2. Criar uma subpasta wdav_update em com um nome GUID, como {00000000-0000-0000-0000-000000000000}

    Eis um exemplo: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Observação

    Definimos o script para que os últimos 12 dígitos do GUID sejam o ano, mês, dia e hora em que o ficheiro foi transferido para que seja sempre criada uma nova pasta. Pode alterar esta opção para que o ficheiro seja transferido sempre para a mesma pasta.

  3. Transfira um pacote de informações de segurança para https://www.microsoft.com/wdsi/definitions a pasta GUID. O ficheiro deve ter o nome mpam-fe.exe.

  4. Abra uma janela da Linha de Comandos e navegue para a pasta GUID que criou. Utilize o /X comando de extração para extrair os ficheiros. Por exemplo, mpam-fe.exe /X.

    Observação

    As VMs irão recolher o pacote atualizado sempre que for criada uma nova pasta GUID com um pacote de atualização extraído ou sempre que uma pasta existente for atualizada com um novo pacote extraído.

Aleatorizar análises agendadas

As análises agendadas são executadas para além da proteção e análise em tempo real.

A hora de início da análise em si ainda se baseia na política de análise agendada (ScheduleDay, ScheduleTime e ScheduleQuickScanTime). A aleatoriedade faz com que Microsoft Defender Antivírus inicie uma análise em cada máquina num período de quatro horas a partir da hora definida para a análise agendada.

Veja Agendar análises para outras opções de configuração disponíveis para análises agendadas.

Utilizar análises rápidas

Pode especificar o tipo de análise que deve ser efetuado durante uma análise agendada. As análises rápidas são a abordagem preferencial, uma vez que foram concebidas para procurar em todos os locais onde o software maligno precisa de residir para estar ativo. O procedimento seguinte descreve como configurar análises rápidas com Política de Grupo.

  1. No seu Política de Grupo Editor, aceda a Modelos administrativos Componentes>> doWindowsMicrosoft Defender Análise de Antivírus>.

  2. Selecione Especificar o tipo de análise a utilizar para uma análise agendada e, em seguida, edite a definição de política.

  3. Defina a política como Ativada e, em seguida, em Opções, selecione Análise rápida.

  4. Selecione OK.

  5. Implante seu objeto de Política de Grupo como de costume.

Impedir notificações

Por vezes, Microsoft Defender notificações antivírus são enviadas ou persistem em várias sessões. Para ajudar a evitar confusões do utilizador, pode bloquear a interface de utilizador do Antivírus Microsoft Defender. O procedimento seguinte descreve como suprimir notificações com Política de Grupo.

  1. No seu Política de Grupo Editor, aceda a Componentes> do Windows Microsoft DefenderInterface de ClienteAntivírus>.

  2. Selecione Suprimir todas as notificações e, em seguida, edite as definições de política.

  3. Defina a política como Ativada e, em seguida, selecione OK.

  4. Implante seu objeto de Política de Grupo como de costume.

Suprimir notificações impede que as notificações Microsoft Defender Antivírus apareçam quando as análises são efetuadas ou as ações de remediação são executadas. No entanto, a equipa de operações de segurança vê os resultados de uma análise se um ataque for detetado e parado. Os alertas, como um alerta de acesso inicial, são gerados e aparecem no portal Microsoft Defender.

Desativar análises após uma atualização

Desativar uma análise após uma atualização impede que uma análise ocorra após receber uma atualização. Pode aplicar esta definição ao criar a imagem de base se também tiver executado uma análise rápida. Desta forma, pode impedir que a VM recentemente atualizada volte a efetuar uma análise (como já a analisou quando criou a imagem de base).

Importante

Executar análises após uma atualização ajuda a garantir que as VMs estão protegidas com as atualizações de informações de segurança mais recentes. Desativar esta opção reduz o nível de proteção das VMs e só deve ser utilizada quando criar ou implementar a imagem de base pela primeira vez.

  1. No seu Política de Grupo Editor, aceda a Componentes> do Windows Microsoft DefenderAtualizações de Informações de Segurançaantivírus>.

  2. Selecione Ativar análise após a atualização das informações de segurança e, em seguida, edite a definição de política.

  3. Defina a política como Desativado.

  4. Selecione OK.

  5. Implante seu objeto de Política de Grupo como de costume.

Esta política impede que uma análise seja executada imediatamente após uma atualização.

Desativar a opção ScanOnlyIfIdle

Utilize o seguinte cmdlet para parar uma análise rápida ou agendada sempre que o dispositivo ficar inativo se estiver no modo passivo.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

Também pode desativar a opção ScanOnlyIfIdle no Antivírus Microsoft Defender por configuração através da política de grupo local ou de domínio. Esta definição impede uma contenção significativa da CPU em ambientes de alta densidade.

Para obter mais informações, consulte Iniciar a análise agendada apenas quando o computador está ativado, mas não está a ser utilizado.

Analisar VMs que tenham estado offline

  1. No seu Política de Grupo Editor, aceda a Componentes> do Windows Microsoft Defender Análise de Antivírus>.

  2. Selecione Ativar análise rápida de atualização e, em seguida, edite a definição de política.

  3. Defina a política como Ativado.

  4. Selecione OK.

  5. Implemente o objeto Política de Grupo como costuma fazer.

Esta política força uma análise se a VM não tiver perdido duas ou mais análises agendadas consecutivas.

Ativar o modo de IU sem cabeça

  1. No seu Política de Grupo Editor, aceda a Componentes> do Windows Microsoft DefenderInterface de ClienteAntivírus>.

  2. Selecione Ativar modo de IU sem cabeça e edite a política.

  3. Defina a política como Ativado.

  4. Selecione OK.

  5. Implemente o objeto Política de Grupo como costuma fazer.

Esta política oculta toda a Microsoft Defender interface de utilizador antivírus dos utilizadores finais na sua organização.

Executar a tarefa agendada "Manutenção da Cache do Windows Defender"

Otimize a tarefa agendada "Manutenção da Cache do Windows Defender" para ambientes VDI não persistentes e/ou persistentes. Execute esta tarefa na imagem main antes de selar.

  1. Abra o mmc do Programador de Tarefas (taskschd.msc).

  2. Expanda Biblioteca do Programador de Tarefas Microsoft>>Windows>Defender e, em seguida, clique com o botão direito do rato em Manutenção da Cache do Windows Defender.

  3. Selecione Executar e deixe a tarefa agendada ser concluída.

Exclusões

Se acha que precisa de adicionar exclusões, veja Gerir exclusões para Microsoft Defender para Ponto de Extremidade e Microsoft Defender Antivírus.

Confira também

Se estiver à procura de informações sobre o Defender para Endpoint em plataformas que não sejam do Windows, consulte os seguintes recursos:

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.