Configurando o Microsoft Defender Antivírus em Ambientes Corporativos

Configurando o Microsoft Defender Antivírus em Ambientes Corporativos

08/09/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na configuração e gerenciamento eficaz do Microsoft Defender Antivírus (MDAV) em ambientes corporativos. O MDAV, que é parte integrante do sistema operacional Windows, evoluiu de uma solução básica para um componente robusto e fundamental da estratégia de segurança da Microsoft, oferecendo proteção de endpoint de próxima geração contra uma ampla gama de ameaças, incluindo malware, ransomware e ataques sem arquivo [1].

Introdução

Em um cenário de ameaças cibernéticas em constante evolução, ter uma solução antivírus confiável e bem configurada é a primeira linha de defesa para qualquer organização. O Microsoft Defender Antivírus, quando gerenciado centralmente, oferece uma proteção poderosa que se integra perfeitamente ao ecossistema da Microsoft, fornecendo visibilidade e controle unificados. Este guia abordará os métodos mais comuns para configurar o Defender AV em ambientes corporativos, garantindo que sua organização esteja protegida de forma consistente e eficaz.

Ferramentas de Gerenciamento

Existem várias maneiras de gerenciar o Microsoft Defender AV em um ambiente corporativo. As mais comuns são:

  • Microsoft Intune (Recomendado): Para organizações que utilizam gerenciamento moderno baseado em nuvem. Oferece uma interface centralizada no portal Microsoft Endpoint Manager para criar e implantar políticas de segurança.
  • Política de Grupo (GPO): Para organizações com uma infraestrutura de Active Directory local. Permite a configuração através de Objetos de Política de Grupo.
  • Microsoft Endpoint Configuration Manager (MECM/SCCM): Para gerenciamento em larga escala, muitas vezes em ambientes híbridos.
  • PowerShell: Para automação e configurações granulares ou em massa.

Este guia focará nos dois métodos mais populares: Intune e GPO.

Pré-requisitos

  • Sistema Operacional: Windows 10, Windows 11 ou Windows Server 2016 e posterior.
  • Acesso Administrativo: Permissões de Administrador de Intune (para Intune) ou Administrador de Domínio (para GPO).
  • Licenciamento: O Defender AV é incluído no Windows. Recursos avançados (como o Microsoft Defender para Ponto de Extremidade) exigem licenciamento adicional (ex: Microsoft 365 E5).

Configurando o Defender AV com Microsoft Intune

Esta é a abordagem moderna e recomendada para dispositivos gerenciados em nuvem.

  1. Acesse o portal Microsoft Intune: https://intune.microsoft.com.
  2. Navegue até Segurança de ponto de extremidade > Antivírus.
  3. Clique em Criar Política.
  4. Selecione:
    • Plataforma: Windows 10 e posterior
    • Perfil: Microsoft Defender Antivirus
  5. Clique em Criar.
  6. Básico: Dê um nome à política (ex: Windows - Política Padrão do Defender AV) e uma descrição. Clique em Avançar.
  7. Definições de configuração: Esta é a etapa mais importante. Configure as seguintes seções com as melhores práticas:
    • Proteção na Nuvem:
      • Ativar a proteção fornecida na nuvem: Sim. Essencial para obter inteligência de ameaças em tempo real.
      • Nível de proteção fornecida na nuvem: Alto. Oferece uma detecção mais agressiva.
      • Tempo limite estendido da nuvem do Defender: 50 segundos. Dá mais tempo para o serviço em nuvem analisar arquivos suspeitos.
    • Proteção em Tempo Real:
      • Ativar a proteção em tempo real: Sim. O núcleo da proteção do Defender.
      • Ativar o monitoramento de comportamento: Sim.
      • Verificar todos os arquivos baixados e anexos: Sim.
    • Verificação:
      • Agendar uma verificação rápida diária: Defina um horário de baixa utilização (ex: 12:00).
      • Tipo de verificação agendada: Verificação rápida.
    • Exclusões: Configure exclusões com cuidado para evitar brechas de segurança. Use a política de Exclusões do Microsoft Defender Antivirus para gerenciar isso de forma centralizada.
  8. Atribuições: Atribua a política a um grupo de dispositivos do Azure AD.
  9. Revisar + criar: Revise e crie a política.

Configurando o Defender AV com Política de Grupo (GPO)

Para ambientes com Active Directory local.

  1. Abra o Editor de Gerenciamento de Política de Grupo.
  2. Crie um novo GPO ou edite um existente e vincule-o à UO (Unidade Organizacional) desejada.
  3. Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Microsoft Defender Antivirus.
  4. Configure as seguintes políticas (defina como Habilitado e ajuste as opções):
    • Desativar o Microsoft Defender Antivirus: Defina como Desabilitado para garantir que ele esteja sempre ativo.
    • Proteção em Tempo Real:
      • Ativar o monitoramento de comportamento
      • Verificar todos os arquivos e anexos baixados
      • Monitorar a atividade de arquivos e programas no seu computador
    • MAPS (equivalente à Proteção na Nuvem):
      • Ingressar no Microsoft MAPS: Selecione MAPS Avançado.
      • Configurar o recurso 'Bloquear à Primeira Vista': Habilitado.
    • Verificação:
      • Configure as opções de verificação agendada, como Tipo de Verificação e Dia da Verificação.

Validação e Monitoramento

  • Localmente: Em um dispositivo cliente, abra o aplicativo Segurança do Windows para verificar se as configurações de "Proteção contra vírus e ameaças" são gerenciadas pela sua organização.
  • Via PowerShell: Execute o comando Get-MpComputerStatus para ver o status do antivírus, incluindo AMRunningMode (deve ser "Normal") e as datas das assinaturas.
  • Portal Microsoft 365 Defender: Se você tiver o Defender para Ponto de Extremidade, o portal (security.microsoft.com) oferece relatórios detalhados sobre a integridade do antivírus em todos os seus dispositivos em Relatórios > Integridade do dispositivo.

Conclusão

Configurar corretamente o Microsoft Defender Antivírus é um passo fundamental para proteger os endpoints de uma organização. Seja através do gerenciamento moderno com o Microsoft Intune ou do tradicional com GPOs, a aplicação consistente de políticas de segurança garante que a primeira linha de defesa da sua empresa seja robusta, resiliente e sempre atualizada contra as ameaças mais recentes. O monitoramento contínuo através dos portais da Microsoft fecha o ciclo, fornecendo a visibilidade necessária para garantir a conformidade e a segurança do ambiente.

Referências

[1] Microsoft. (2023). Microsoft Defender Antivirus in Windows. [2] Microsoft. (2023). Manage Microsoft Defender Antivirus with Microsoft Intune. [3] Microsoft. (2023). Use Group Policy settings to configure and manage Microsoft Defender Antivirus.