Perguntas mais frequentes (FAQ) sobre a deteção e resposta de pontos finais (EDR) no modo de bloqueio

Posso especificar exclusões para EDR no modo de bloqueio?

Se receber um falso positivo, pode submeter o ficheiro para análise no site de submissão Informações de Segurança da Microsoft.

Também pode definir uma exclusão para Microsoft Defender Antivírus. Veja Configure and validate exclusions for Microsoft Defender Antivirus scans (Configurar e validar exclusões para análises de Antivírus do Microsoft Defender).

Preciso de ativar o EDR no modo de bloqueio se tiver Microsoft Defender Antivírus em execução nos dispositivos?

Sim, a Microsoft recomenda a ativação do EDR no modo de bloqueio, mesmo quando o software antivírus primário no sistema é Microsoft Defender Antivírus. O principal objetivo do EDR no modo de bloqueio é remediar as deteções pós-falha que foram perdidas por um produto antivírus que não seja da Microsoft. No entanto, existem cenários em que o EDR no modo de bloco pode ser vantajoso, como se Microsoft Defender Antivírus estiver configurado incorretamente ou se a proteção contra PUA não estiver ativada. Nestes casos, o EDR no modo de bloqueio pode remediar automaticamente deteções como PUA.

O EDR no modo de bloqueio afetará a proteção antivírus de um utilizador?

O EDR no modo de bloqueio não afeta a proteção antivírus não Microsoft em execução nos dispositivos dos utilizadores. O EDR no modo de bloqueio funciona se a solução antivírus primária não conseguir algo ou se existir uma deteção pós-falha. O EDR no modo de bloqueio funciona tal como Microsoft Defender Antivírus no modo passivo, exceto que o EDR no modo de bloco também bloqueia e remedia artefactos ou comportamentos maliciosos detetados.

Por que motivo preciso de manter Microsoft Defender Antivírus atualizado?

Uma vez que Microsoft Defender Antivírus deteta e remedia itens maliciosos, é importante mantê-lo atualizado. Para que o EDR no modo de bloqueio seja eficaz, utiliza os modelos de aprendizagem de dispositivos mais recentes, deteções comportamentais e heurística. A pilha de capacidades do Defender para Endpoint funciona de forma integrada. Para obter o melhor valor de proteção, deve manter Microsoft Defender Antivírus atualizado. Veja Manage Microsoft Defender Antivirus updates and apply baselines (Gerir atualizações do Antivírus do Microsoft Defender e aplicar linhas de base).

Por que precisamos de proteção da cloud (MAPS) ativada?

A proteção da cloud é necessária para ativar a funcionalidade no dispositivo. A proteção da cloud permite que o Defender para Endpoint forneça a proteção mais recente e maior com base na nossa amplitude e profundidade de inteligência de segurança, juntamente com modelos de aprendizagem comportamental e de dispositivos.

Qual é a diferença entre o modo ativo e passivo?

Para pontos finais com Windows 10, Windows 11, Windows Server, versão 1803 ou posterior, Windows Server 2019 ou Windows Server 2022 quando Microsoft Defender Antivírus está em modo ativo, é utilizado como o antivírus principal no dispositivo. Ao executar no modo passivo, Microsoft Defender Antivírus não é o produto antivírus principal. Neste caso, as ameaças não são remediadas pelo Antivírus Microsoft Defender em tempo real.

Nota

Microsoft Defender o Antivírus só pode ser executado no modo passivo quando o dispositivo está integrado no Microsoft Defender para Endpoint.

Para obter mais informações, veja Microsoft Defender Compatibilidade do Antivírus.

Como devo proceder para confirmar Microsoft Defender Antivírus está no modo ativo ou passivo?

Para confirmar se Microsoft Defender Antivírus está em execução no modo ativo ou passivo, pode utilizar a Linha de Comandos ou o PowerShell num dispositivo com o Windows.

Método Procedimento
PowerShell 1. Selecione o menu Iniciar, comece a PowerShellescrever e, em seguida, abra Windows PowerShell nos resultados.

2. Escreva Get-MpComputerStatus.

3. Na lista de resultados, na linha AMRunningMode , procure um dos seguintes valores:
- Normal
- Passive Mode

Para saber mais, veja Get-MpComputerStatus.
Linha de Comandos
  1. Selecione o menu Iniciar, comece a escrever e, em seguida, abra a Command PromptLinha de Comandos do Windows nos resultados.
  2. Tipo sc query windefend.
  3. Na lista de resultados, na linha ESTADO , confirme que o serviço está em execução.

Como devo proceder para confirmar que o EDR no modo de bloqueio está ativado com Microsoft Defender Antivírus no modo passivo?

Pode utilizar o PowerShell para confirmar que o EDR no modo de bloco está ativado com Microsoft Defender Antivírus em execução no modo passivo.

  1. Selecione o menu Iniciar, comece a PowerShellescrever e, em seguida, abra Windows PowerShell nos resultados.

  2. Tipo Get-MPComputerStatus|select AMRunningMode.

  3. Confirme que o resultado, EDR Block Mode, é apresentado.

Sugestão

Se Microsoft Defender Antivírus estiver no modo ativo, verá Normal em vez de EDR Block Mode. Para saber mais, veja Get-MpComputerStatus.

O EDR está no modo de bloqueio suportado no Windows Server 2016 e Windows Server 2012 R2?

Se Microsoft Defender Antivírus estiver em execução no modo ativo ou passivo, o EDR no modo de bloqueio é suportado pelas seguintes versões do Windows:

  • Windows 11
  • Windows 10 (todas as versões)
  • Windows Server, versão 1803 ou mais recente
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016 e Windows Server 2012 R2 (com a nova solução de cliente unificada)

Com a nova solução de cliente unificada para Windows Server 2016 e Windows Server 2012 R2, pode executar o EDR no modo de bloqueio no modo passivo ou ativo.

Nota

Windows Server 2016 e Windows Server 2012 R2 têm de ser integrados com as instruções em Integrar servidores Windows para que esta funcionalidade funcione.

Quanto tempo demora a desativação do EDR no modo de bloqueio?

Se optar por desativar o EDR no modo de bloqueio, o sistema pode demorar até 30 minutos a desativar esta capacidade.

Consulte também