Como criar e implementar políticas antimalware para o Endpoint Protection no Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Pode implementar políticas antimalware em coleções de computadores cliente do Configuration Manager para especificar como o Endpoint Protection as protege contra software maligno e outras ameaças. Estas políticas incluem informações sobre o agendamento da análise, os tipos de ficheiros e pastas a analisar e as ações a tomar quando é detetado software maligno. Quando ativa o Endpoint Protection, é aplicada uma política antimalware predefinida aos computadores cliente. Também pode utilizar um dos modelos de política fornecidos ou criar uma política personalizada para satisfazer as necessidades específicas do seu ambiente.

O Configuration Manager fornece uma seleção de modelos predefinidos. Estes estão otimizados para vários cenários e podem ser importados para o Configuration Manager. Estes modelos estão disponíveis na pasta <Pasta de Instalação> do ConfigMgr\AdminConsole\XMLStorage\EPTemplates.

Importante

Se criar uma nova política antimalware e a implementar numa coleção, esta política antimalware substitui a política antimalware predefinida.

Utilize os procedimentos neste tópico para criar ou importar políticas antimalware e atribuí-las a computadores cliente do Configuration Manager na sua hierarquia.

Observação

Antes de efetuar estes procedimentos, certifique-se de que o Configuration Manager está configurado para o Endpoint Protection, conforme descrito em Configurar o Endpoint Protection.

Modificar a política antimalware predefinida

  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.

  2. Na área de trabalho Ativos e Compatibilidade , expanda Endpoint Protection e, em seguida, clique em Políticas antimalware.

  3. Selecione a política antimalware Política Antimalware Predefinida do Cliente e, em seguida, no separador Base , no grupo Propriedades , clique em Propriedades.

  4. Na caixa de diálogo Política Antimalware Predefinida , configure as definições necessárias para esta política antimalware e, em seguida, clique em OK.

    Observação

    Para obter uma lista das definições que pode configurar, veja Lista de Definições de Política Antimalware neste tópico.

Criar uma nova política antimalware

  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.

  2. Na área de trabalho Ativos e Compatibilidade , expanda Endpoint Protection e, em seguida, clique em Políticas antimalware.

  3. No separador Base , no grupo Criar , clique em Criar Política Antimalware.

  4. Na secção Geral da caixa de diálogo Criar Política Antimalware , introduza um nome e uma descrição para a política.

  5. Na caixa de diálogo Criar Política Antimalware , configure as definições necessárias para esta política antimalware e, em seguida, clique em OK. Para obter uma lista das definições que pode configurar, consulte Lista de Definições de Política antimalware.

  6. Verifique se a nova política antimalware é apresentada na lista Políticas Antimalware .

Importar uma política antimalware

  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.

  2. Na área de trabalho Ativos e Compatibilidade , expanda Endpoint Protection e, em seguida, clique em Políticas antimalware.

  3. No separador Base , no grupo Criar , clique em Importar.

  4. Na caixa de diálogo Abrir , navegue até ao ficheiro de política a importar e, em seguida, clique em Abrir.

  5. Na caixa de diálogo Criar Política Antimalware , reveja as definições a utilizar e, em seguida, clique em OK.

  6. Verifique se a nova política antimalware é apresentada na lista Políticas Antimalware .

Implementar uma política antimalware em computadores cliente

  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.

  2. Na área de trabalho Ativos e Compatibilidade , expanda Endpoint Protection e, em seguida, clique em Políticas antimalware.

  3. Na lista Políticas Antimalware , selecione a política antimalware a implementar. Em seguida, no separador Base , no grupo Implementação , clique em Implementar.

    Observação

    Não é possível utilizar a opção Implementar com a política de software maligno de cliente predefinida.

  4. Na caixa de diálogo Selecionar Coleção , selecione a coleção de dispositivos na qual pretende implementar a política antimalware e, em seguida, clique em OK.

Lista de Definições de Política Antimalware

Muitas das definições de antimalware são explicativas. Utilize as secções seguintes para obter mais informações sobre as definições que podem exigir mais informações antes de as configurar.

Definições de Análises Agendadas

Tipo de análise – pode especificar um dos dois tipos de análise a executar em computadores cliente:

  • Análise rápida – este tipo de análise verifica os processos e pastas dentro da memória onde o software maligno é normalmente encontrado. Requer menos recursos do que uma análise completa.

  • Análise Completa – este tipo de análise adiciona uma verificação completa de todos os ficheiros e pastas locais aos itens analisados na análise rápida. Esta análise demora mais do que uma análise rápida e utiliza mais recursos de memória e processamento da CPU em computadores cliente.

    Na maioria dos casos, utilize a Análise rápida para minimizar a utilização de recursos do sistema em computadores cliente. Se a remoção de software maligno exigir uma análise completa, o Endpoint Protection gera um alerta que é apresentado na consola do Configuration Manager. O valor predefinido é Análise rápida.

Observação

Ao agendar análises para horas em que os pontos finais não estão a ser utilizados, é importante ter em atenção que a configuração da limitação da CPU não é respeitada. As análises tirarão o máximo partido dos recursos disponíveis para serem concluídas o mais rapidamente possível.

Definições de Análise

Digitalizar e-mails e anexos de e-mail – defina como Sim para ativar a análise de e-mail.

Analisar dispositivos de armazenamento amovíveis, como unidades USB – defina como Sim para analisar as unidades amovíveis durante as análises completas.

Analisar ficheiros de rede – defina como Sim para analisar ficheiros de rede.

Analisar unidades de rede mapeadas ao executar uma análise completa – defina como Sim para analisar quaisquer unidades de rede mapeadas em computadores cliente. Ativar esta definição pode aumentar significativamente o tempo de análise nos computadores cliente.

  • A definição Analisar ficheiros de rede tem de estar definida como Sim para que esta definição esteja disponível para configuração.

  • Por predefinição, esta definição está definida como Não, o que significa que uma análise completa não acederá a unidades de rede mapeadas.

Analisar ficheiros arquivados – defina como Sim para analisar ficheiros arquivados, como ficheiros .zip ou .rar.

Permitir que os utilizadores configurem a utilização da CPU durante as análises – defina como Sim para permitir que os utilizadores especifiquem a percentagem máxima de utilização da CPU durante uma análise. As análises nem sempre utilizam a carga máxima definida pelos utilizadores, mas não a podem exceder.

Controlo do utilizador das análises agendadas – especifique o nível de controlo do utilizador. Permitir que os utilizadores definam apenas Tempo de análise ou Controlo total das análises antivírus nos respetivos dispositivos.

Predefinições de Ações

Selecione a ação a tomar quando for detetado software maligno em computadores cliente. As seguintes ações podem ser aplicadas, consoante o nível de ameaça de alerta do software maligno detetado.

  • Recomendado – utilize a ação recomendada no ficheiro de definição de software maligno.

  • Quarentena – coloque o software maligno em quarentena, mas não o remova.

  • Remover – remova o software maligno do computador.

  • Permitir – não remova nem coloque o software maligno em quarentena.

Definições de Proteção em Tempo Real

Nome da configuração Descrição
Habilitar proteção em tempo real Defina como Sim para configurar as definições de proteção em tempo real para computadores cliente. Recomendamos que ative esta definição.
Monitorizar a atividade de ficheiros e programas no computador Defina como Sim se quiser que o Endpoint Protection monitorize quando os ficheiros e programas começam a ser executados em computadores cliente e para alertá-lo sobre quaisquer ações efetuadas ou ações executadas nos mesmos.
Analisar ficheiros do sistema Esta definição permite-lhe configurar se os ficheiros de sistema recebidos, enviados ou recebidos e enviados são monitorizados relativamente a software maligno. Por motivos de desempenho, poderá ter de alterar o valor predefinido de Analisar ficheiros recebidos e enviados se um servidor tiver uma atividade de ficheiro de entrada ou saída elevada.
Ativar a monitorização de comportamento Ative esta definição para utilizar a atividade do computador e os dados de ficheiros para detetar ameaças desconhecidas. Quando esta definição está ativada, pode aumentar o tempo necessário para procurar software maligno nos computadores.
Ativar a proteção contra exploits baseados na rede Ative esta definição para proteger os computadores contra exploits de rede conhecidos ao inspecionar o tráfego de rede e bloquear qualquer atividade suspeita.
Ativar a análise de scripts Para o Configuration Manager sem service pack apenas.

Ative esta definição se quiser analisar quaisquer scripts que sejam executados em computadores para atividades suspeitas.
Bloquear Aplicações Potencialmente Indesejadas na transferência e antes da instalação As Potenciais Aplicações Indesejadas (PUA) são uma classificação de ameaças baseada na reputação e na identificação orientada para a investigação. Normalmente, trata-se de pacotes de aplicações indesejados ou das respetivas aplicações agrupadas.

O Microsoft Edge também fornece definições para bloquear aplicações potencialmente indesejadas. Explore estas opções para proteção total contra aplicações indesejadas.

Esta definição de política de proteção está disponível e está definida como Ativada por predefinição. Quando ativada, esta definição bloqueia o PUA na hora de transferência e instalação. No entanto, pode excluir ficheiros ou pastas específicos para satisfazer as necessidades específicas da sua empresa ou organização.

A partir da versão 2107 do Configuration Manager, pode selecionar Auditar esta definição. Utilize a proteção contra PUA no modo de auditoria para detetar aplicações potencialmente indesejadas sem bloqueá-las. A proteção contra PUA no modo de auditoria é útil se a sua empresa quiser avaliar o impacto que a ativação das proteções pua terá no seu ambiente. Ativar a proteção no modo de auditoria permite-lhe determinar o impacto nos pontos finais antes de ativar a proteção no modo de bloqueio.

Definições de Exclusão

Para obter informações sobre pastas, ficheiros e processos recomendados para exclusão no Configuration Manager 2012 e no Current Branch, veja Exclusões antivírus recomendadas para o Configuration Manager 2012 e servidores de sites de ramo atual, sistemas de sites e clientes.

Ficheiros e pastas excluídos:

Clique em Definir para abrir a caixa de diálogo Configurar Exclusões de Ficheiros e Pastas e especifique os nomes dos ficheiros e pastas a excluir das análises do Endpoint Protection.

Se quiser excluir ficheiros e pastas localizados numa unidade de rede mapeada, especifique o nome de cada pasta na unidade de rede individualmente. Por exemplo, se uma unidade de rede estiver mapeada como F:\MyFolder e contiver subpastas denominadas Pasta1, Pasta2 e Pasta 3, especifique as seguintes exclusões:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

A partir da versão 1602, a definição Excluir ficheiros e pastas existente na secção Definições de exclusão de uma política antimalware é melhorada para permitir exclusões de dispositivos. Por exemplo, agora pode especificar o seguinte como uma exclusão: \device\mvfs (para o Sistema de Ficheiros Multiversion). A política não valida o caminho do dispositivo; a política do Endpoint Protection é fornecida ao motor antimalware no cliente, que tem de ser capaz de interpretar a cadeia de dispositivo.

Tipos de ficheiro excluídos:

Clique em Definir para abrir a caixa de diálogo Configurar Exclusões de Tipo de Ficheiro e especifique as extensões de ficheiro a excluir das análises do Endpoint Protection. Pode utilizar carateres universais ao definir itens na lista de exclusão. Para obter mais informações, veja Use wildcards in the file name and folder path or extension exclusion lists (Utilizar carateres universais no nome do ficheiro e no caminho da pasta ou nas listas de exclusão de extensões).

Processos excluídos:

Clique em Definir para abrir a caixa de diálogo Configurar Exclusões de Processos e especifique os processos a excluir das análises do Endpoint Protection. No entanto, pode utilizar carateres universais ao definir itens na lista de exclusão. No entanto, existem algumas limitações. Para obter mais informações, veja Utilizar carateres universais na lista de exclusão de processos

Observação

Quando um dispositivo é visado por duas ou mais Políticas Antimalware, as definições de exclusões antivírus serão intercaladas antes de serem aplicadas ao cliente.

Definições Avançadas

Ativar a análise de pontos de reanálise – defina como Sim se quiser que o Endpoint Protection analise os pontos de reanálise NTFS.

Para obter mais informações sobre pontos de reanálise, consulte Reanálise de Pontos no Windows Dev Center.

Aleatorizar as horas de início da análise agendada (dentro de 30 minutos) – defina como Sim para ajudar a evitar inundar a rede, o que pode ocorrer se todos os computadores enviarem os resultados das análises antimalware para a base de dados do Configuration Manager ao mesmo tempo. Para o Antivírus do Windows Defender, esta ação aleatoriza a hora de início da análise para qualquer intervalo entre 0 e 4 horas ou para FEP e SCEP, para qualquer intervalo mais ou menos 30 minutos. Isto pode ser útil em implementações de VM ou VDI. Esta definição também é útil quando executa várias máquinas virtuais num único anfitrião. Selecione esta opção para reduzir a quantidade de acesso simultâneo ao disco para análise antimalware.

A partir da versão 1602 do Configuration Manager, o motor antimalware pode pedir que os exemplos de ficheiro sejam enviados para a Microsoft para análise adicional. Por predefinição, será sempre solicitado antes de enviar esses exemplos. Os administradores podem agora gerir as seguintes definições para configurar este comportamento:

Ative a submissão automática de ficheiros de exemplo para ajudar a Microsoft a determinar se determinados itens detetados são Maliciosos – Defina como Sim para ativar a submissão automática de ficheiros de exemplo. Por predefinição, esta definição é Não , o que significa que a submissão automática de ficheiros de exemplo está desativada e os utilizadores são solicitados antes de enviarem amostras.

Permitir que os utilizadores modifiquem as definições de submissão automática de ficheiros de exemplo – isto determina se um utilizador com direitos de administrador local num dispositivo pode alterar a definição de submissão automática de ficheiros de exemplo na interface de cliente. Por predefinição, esta definição é "Não", o que significa que só pode ser alterada a partir da consola do Configuration Manager e os administradores locais num dispositivo não podem alterar esta configuração.
Por exemplo, o seguinte mostra esta definição definida pelo administrador como ativada e desativada para impedir alterações por parte do utilizador.

Windows Defender - Submissões automáticas de exemplo

Definições de Substituições de Ameaças

Nome da ameaça e ação de substituição – clique em Definir para personalizar a ação de remediação a executar para cada ID de ameaça quando for detetada durante uma análise.

Observação

A lista de nomes de ameaças pode não estar disponível imediatamente após a configuração do Endpoint Protection. Aguarde até que o ponto do Endpoint Protection sincronize as informações sobre ameaças e, em seguida, tente novamente.

Serviço de Proteção da Cloud

O Serviço de Proteção da Cloud permite a recolha de informações sobre software maligno detetado em sistemas geridos e as ações tomadas. Estas informações são enviadas à Microsoft.

Associação ao Serviço de Proteção cloud

  • Não aderir ao Serviço de Proteção da Cloud – Não são enviadas informações
  • Básico - Recolher e enviar listas de software maligno detetado
  • Avançadas – informações básicas, bem como informações mais abrangentes que podem conter informações pessoais. Por exemplo, caminhos de ficheiros e capturas de memória parciais.

Permitir que os utilizadores modifiquem as definições do Serviço de Proteção da Cloud – ativa o controlo do utilizador das definições do Serviço de Proteção da Cloud.

Nível para bloquear ficheiros suspeitos – especifique o nível no qual o Serviço de Proteção cloud do Endpoint Protection bloqueará ficheiros suspeitos.

  • Normal – o nível de bloqueio predefinido do Windows Defender
  • Alto – bloqueia agressivamente ficheiros desconhecidos ao otimizar o desempenho (maior probabilidade de bloquear ficheiros não prejudiciais)
  • Elevada com proteção adicional – bloqueia agressivamente ficheiros desconhecidos e aplica medidas de proteção adicionais (podem afetar o desempenho do dispositivo cliente)
  • Bloquear programas desconhecidos – bloqueia todos os programas desconhecidos

Permitir que a verificação de nuvem expandida bloqueie e analise até (segundos) – especifica o número de segundos em que o Serviço de Proteção da Cloud pode bloquear um ficheiro enquanto o serviço verifica se o ficheiro não é conhecido como malicioso.

Observação

O número de segundos que selecionar para esta definição é além de um tempo limite predefinido de 10 segundos. Por exemplo, se introduzir 0 segundos, o Serviço de Proteção da Cloud bloqueia o ficheiro durante 10 segundos.

Detalhes dos relatórios do Serviço de Proteção da Cloud

Frequency Dados recolhidos ou enviados Utilização de dados
Quando o Windows Defender atualiza ficheiros de definição ou proteção contra vírus e spyware - Versão das definições
de vírus e spyware – Versão de proteção contra vírus e spyware
A Microsoft utiliza estas informações para garantir que as atualizações de vírus e spyware mais recentes estão presentes nos computadores. Se não estiver presente, o Windows Defender é atualizado automaticamente para que a proteção do computador se mantenha atualizada.
Se o Windows Defender encontrar software potencialmente prejudicial ou indesejável em computadores - Nome de software
potencialmente prejudicial ou indesejável - Como o software foi encontrado
- Quaisquer ações que o Windows Defender tenha tomado para lidar com o software
- Ficheiros afetados pelo software
- Informações sobre o computador do fabricante (Sysconfig, SysModel, SysMarker)
O Windows Defender utiliza estas informações para determinar o tipo e a gravidade do software potencialmente indesejável e a melhor ação a tomar. A Microsoft também utiliza estas informações para ajudar a melhorar a precisão da proteção contra vírus e spyware.
Uma vez por mês - Estado de atualização
da definição de vírus e spyware – Estado da monitorização de vírus e spyware em tempo real (ativado ou desativado)
O Windows Defender utiliza estas informações para verificar se os computadores têm a versão e definições mais recentes da proteção contra vírus e spyware. A Microsoft também quer garantir que a monitorização de vírus e spyware em tempo real está ativada. Esta é uma parte fundamental para ajudar a proteger os computadores contra software potencialmente prejudicial ou indesejável.
Durante a instalação ou sempre que os utilizadores efetuam manualmente a análise de vírus e spyware do seu computador Lista de processos em execução na memória do computador Para identificar quaisquer processos que possam ter sido comprometidos por software potencialmente prejudicial.

A Microsoft recolhe apenas os nomes dos ficheiros afetados e não os conteúdos dos próprios ficheiros. Estas informações ajudam a determinar que sistemas são especialmente vulneráveis a ameaças específicas.

Definições de Atualizações de Definições

Definir origens e ordem para atualizações do cliente do Endpoint Protection – clique em Definir Origem para especificar as origens para atualizações do motor de definição e análise. Também pode especificar a ordem pela qual estas origens são utilizadas. Se o Configuration Manager for especificado como uma das origens, as outras origens são utilizadas apenas se as atualizações de software não conseguirem transferir as atualizações do cliente.

Se utilizar qualquer um dos seguintes métodos para atualizar as definições em computadores cliente, os computadores cliente têm de conseguir aceder à Internet.

  • Atualizações distribuídas a partir do Microsoft Update

  • Atualizações distribuídas a partir do Centro de Proteção Contra Software Maligno da Microsoft

Importante

Os clientes transferem atualizações de definições com a conta de sistema incorporada. Tem de configurar um servidor proxy para esta conta para permitir que estes clientes se liguem à Internet.

Se tiver configurado uma regra de implementação automática de atualizações de software para fornecer atualizações de definições a computadores cliente, estas atualizações serão fornecidas independentemente das definições de atualizações de definição.