Integrando os Windows 10 usando a Política de Grupo

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Observação

Para usar atualizações de Política de Grupo (GP) para implantar o pacote, você deve estar Windows Server 2008 R2 ou posterior.

Para o Windows Server 2019, talvez seja necessário substituir o NT AUTHORITY\Well-Known-System-Account por NT AUTHORITY\SYSTEM do arquivo XML que a preferência de Política de Grupo cria.

Dispositivos integrados usando Política de Grupo

Confira o PDF ou Visio para ver os vários caminhos na implantação do Defender para o Ponto de Extremidade.

  1. Abra o arquivo de pacote de configuração da GP .zip (WindowsDefenderATPOnboardingPackage.zip) que você baixou do assistente de integração do serviço. Você também pode obter o pacote do Microsoft 365 Defender portal:

    1. No painel de navegação, selecione Configurações > Endpoints Gerenciamento de > > dispositivos Integrando.
    2. Selecione Windows 10 como o sistema operacional.
    3. No campo Método de implantação, selecione Política de grupo.
    4. Clique em Baixar pacote e salve o .zip arquivo.
  2. Extraia o conteúdo do arquivo .zip para um local compartilhado somente leitura que pode ser acessado pelo dispositivo. Você deve ter uma pasta chamada OptionalParamsPolicy e o arquivo WindowsDefenderATPOnboardingScript.cmd.

  3. Para criar um novo GPO, abra o Console de Gerenciamento de Política de Grupo (GPMC), clique com o botão direito do mouse em Objetos de Política de Grupo que você deseja configurar e clique em Novo. Insira o nome do novo GPO na caixa de diálogo exibida e clique em OK.

  4. Abra o Console de Gerenciamento de Política de Grupo (GPMC), clique com o botão direito do mouse no Objeto de Política de Grupo (GPO) que você deseja configurar e clique em Editar.

  5. No Editor de Gerenciamento de Política de Grupo, vá para Configuração do computador, Preferências e configurações do painel de controle.

  6. Clique com o botão direito do mouse em Tarefas Agendadas, aponte para Novo e clique em Tarefa Imediata (Pelo menos Windows 7).

  7. Na janela Tarefa aberta, vá para a guia Geral. Em Opções de segurança, clique em Alterar Usuário ou Grupo e digite SISTEMA e clique em Verificar Nomes, em seguida, OK. NT AUTHORITY\SYSTEM aparece como a conta de usuário que a tarefa executará como.

  8. Selecione Executar se o usuário está conectado ou não e marque a caixa de seleção Executar com privilégios mais altos.

  9. No campo Nome, digite um nome apropriado para a tarefa agendada (por exemplo, Defender para Implantação do Ponto de Extremidade).

  10. Vá até a guia Ações e selecione Novo... Verifique se Iniciar um programa está selecionado no campo Ação. Insira o caminho UNC, usando o FQDN (nome de domínio totalmente qualificado) do servidor de arquivos, do arquivo WindowsDefenderATPOnboardingScript.cmd compartilhado.

  11. Selecione OK e feche qualquer janela GPMC aberta.

  12. Para vincular o GPO a uma Unidade de Organização (UO), clique com o botão direito do mouse e selecione Vincular um GPO existente. Na caixa de diálogo exibida, selecione o Objeto de Política de Grupo que você deseja vincular. Clique em OK.

Dica

Após a integração do dispositivo, você pode optar por executar um teste de detecção para verificar se o dispositivo está corretamente conectado ao serviço. Para obter mais informações, consulte Execute a detection test on a newly onboarded Defender for Endpoint device.

Configurações adicionais do Defender para Ponto de Extremidade

Para cada dispositivo, você pode dizer se amostras podem ser coletadas do dispositivo quando uma solicitação é feita por meio de Microsoft 365 Defender enviar um arquivo para análise profunda.

Você pode usar a Política de Grupo (GP) para definir configurações, como configurações para o compartilhamento de exemplo usado no recurso de análise profunda.

Configurar configurações de coleção de exemplos

  1. Em seu dispositivo de gerenciamento de GP, copie os seguintes arquivos do pacote de configuração:

    • Copie AtpConfiguration.admx em C: \ Windows \ PolicyDefinitions

    • Copiar AtpConfiguration.adml em C: \ Windows \ PolicyDefinitions \ en-US

    Se você estiver usando um Armazenamento Central para Modelos Administrativosde Política de Grupo, copie os seguintes arquivos do pacote de configuração:

    • Copiar AtpConfiguration.admx em \ \ <forest.root> \ Políticas SysVol \ <forest.root> \ \ PolicyDefinitions

    • Copiar AtpConfiguration.adml em \ \ <forest.root> \ Políticas SysVol \ <forest.root> \ \ PolicyDefinitions \ en-US

  2. Abra o Console de Gerenciamento de Política de Grupo, clique com o botão direito do mouse no GPO que você deseja configurar e clique em Editar.

  3. No Editor de Gerenciamento de Política de Grupo, acesse Configuração do computador.

  4. Clique em Políticas e, em seguida, modelos administrativos.

  5. Clique Windows componentes e, em seguida, Windows Defender ATP.

  6. Escolha habilitar ou desabilitar o compartilhamento de exemplo de seus dispositivos.

Observação

Se você não definir um valor, o valor padrão será habilitar a coleção de exemplos.

Atualizar a configuração de proteção do ponto de extremidade

Depois de configurar o script de integração, continue editando a mesma política de grupo para adicionar configurações de proteção de ponto de extremidade. Execute as edições de política de grupo de um sistema que Windows 10 ou o Server 2019 para garantir que você tenha todos os recursos de Microsoft Defender Antivírus necessários. Talvez seja necessário fechar e reabrir o objeto de política de grupo para registrar as configurações do Defender ATP.

Todas as políticas estão localizadas em Computer Configuration\Policies\Administrative Templates .

Local da política: \Windows Components\Windows Defender ATP

Política Setting
Enable\Disable Sample collection Habilitado - verificado "Habilitar coleta de exemplo em máquinas"

Local da política: \Windows Components\Microsoft Defender Antivírus

Política Setting
Configurar a detecção para aplicativos potencialmente indesejados Habilitado, Bloqueado

Local da política: \Windows Components\Microsoft Defender Antivírus\MAPS

Política Setting
Ingressar no Microsoft MAPS MAPAs avançados e habilitados
Enviar amostras de arquivo quando uma análise posterior for necessária Habilitado, Enviar amostras seguras

Local da política: \Windows Components\Microsoft Defender Antivírus\Proteção em tempo real

Política Setting
Desativar a proteção em tempo real Desabilitado
Ativar o monitoramento de comportamento Habilitado
Examinar todos os arquivos e anexos baixados Habilitado
Monitorar atividades de arquivo e programa em seu computador Habilitado

Local da política: \Windows Components\Microsoft Defender Antivírus\Scan

Essas configurações configuram verificações periódicas do ponto de extremidade. Recomendamos a realização de uma verificação rápida semanal, permitindo desempenho.

Política Setting
Verifique a inteligência de segurança de vírus e spyware mais recente antes de executar uma verificação agendada Habilitado

Local da política: \Windows Components\Microsoft Defender Antivírus\Microsoft Defender Exploit Guard\Redução de Superfície de Ataque

Obter a lista atual de GUIDs de redução de superfície de ataque de Personalizar regras de redução de superfície de ataque

  1. Abra a política Configurar Redução de Superfície de Ataque.

  2. Selecione Habilitado.

  3. Selecione o botão Mostrar.

  4. Adicione cada GUID no campo Nome do Valor com um Valor de 2.

    Isso configurará cada um deles apenas para auditoria.

    Imagem da configuração de redução de superfície de ataque.

Política Setting
Configurar acesso controlado a pastas Habilitado, Modo de Auditoria

Executar um teste de detecção para verificar a integração

Após a integração do dispositivo, você pode optar por executar um teste de detecção para verificar se um dispositivo está corretamente conectado ao serviço. Para obter mais informações, consulte Execute a detection test on a newly onboarded Microsoft Defender for Endpoint device.

Dispositivos offboard usando a Política de Grupo

Por motivos de segurança, o pacote usado para dispositivos offboard expirará 30 dias após a data em que foi baixado. Os pacotes de offboard expirados enviados para um dispositivo serão rejeitados. Ao baixar um pacote de offboard, você será notificado sobre a data de expiração dos pacotes e ele também será incluído no nome do pacote.

Observação

As políticas de integração e de offboard não devem ser implantadas no mesmo dispositivo ao mesmo tempo, caso contrário, isso causará colisões imprevisíveis.

  1. Obter o pacote de offboard do Microsoft 365 Defender portal:

    1. No painel de navegação, selecione Configurações > Endpoints > Gerenciamento de > dispositivos Offboarding.
    2. Selecione Windows 10 como o sistema operacional.
    3. No campo Método de implantação, selecione Política de grupo.
    4. Clique em Baixar pacote e salve o .zip arquivo.
  2. Extraia o conteúdo do arquivo .zip para um local compartilhado somente leitura que pode ser acessado pelo dispositivo. Você deve ter um arquivo chamado WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Abra o Console de Gerenciamento de Política de Grupo (GPMC), clique com o botão direito do mouse no Objeto de Política de Grupo (GPO) que você deseja configurar e clique em Editar.

  4. No Editor de Gerenciamento de Política de Grupo, vá para Configuração do computador, Preferências e configurações do painel de controle.

  5. Clique com o botão direito do mouse em Tarefas agendadas, aponte para Novo e clique em Tarefa Imediata.

  6. Na janela Tarefa aberta, vá para a guia Geral. Escolha a conta de usuário do SISTEMA local (BUILTIN\SYSTEM) em Opções de segurança.

  7. Selecione Executar se o usuário está conectado ou não e marque a caixa de seleção Executar com privilégios mais altos.

  8. No campo Nome, digite um nome apropriado para a tarefa agendada (por exemplo, Defender para Implantação do Ponto de Extremidade).

  9. Vá até a guia Ações e selecione Novo.... Verifique se Iniciar um programa está selecionado no campo Ação. Insira o caminho UNC, usando o FQDN (nome de domínio totalmente qualificado) do servidor de arquivos, do arquivo WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd compartilhado.

  10. Selecione OK e feche qualquer janela GPMC aberta.

Importante

O offboard faz com que o dispositivo pare de enviar dados do sensor para o portal, mas os dados do dispositivo, incluindo a referência a todos os alertas que ele teve, serão mantidos por até 6 meses.

Monitorar a configuração do dispositivo

Com a Política de Grupo, não há uma opção para monitorar a implantação de políticas nos dispositivos. O monitoramento pode ser feito diretamente no portal ou usando as diferentes ferramentas de implantação.

Monitorar dispositivos usando o portal

  1. Vá para Microsoft 365 Defender portal.
  2. Clique em Inventário de dispositivos.
  3. Verifique se os dispositivos estão aparecendo.

Observação

Pode levar vários dias para que os dispositivos comecem a ser exibidos na lista Dispositivos. Isso inclui o tempo necessário para que as políticas sejam distribuídas para o dispositivo, o tempo necessário para o usuário fazer o login e o tempo necessário para que o ponto de extremidade comece a relatar.

Políticas do Setup Defender AV

Crie uma nova Política de Grupo ou agrupar essas configurações com as outras políticas. Isso depende do ambiente dos clientes e de como eles gostaria de lançar o serviço direcionando diferentes UO 's (Unidades Organizacionais).

  1. Depois de escolher o GP ou criar um novo, edite o GP.

  2. Navegue até Políticas de Configuração > do Computador > Modelos > administrativos Windows componentes > Microsoft Defender Antivírus > Proteção em tempo real. proteção em tempo real.

  3. Na pasta Quarentena, configure a remoção de itens da pasta Quarentena.

    pasta de quarentena de itens de remoção.

    quarentena de remoção de config.

  4. Na pasta Examinar, configure as configurações de verificação.

    verificações gpo.

Monitorar todos os arquivos em proteção em tempo real

Navegue até Políticas de Configuração > do Computador > Modelos > administrativos Windows componentes > Microsoft Defender Antivírus > Proteção em tempo real.

configurar o monitoramento para atividade de arquivo de saída de entrada.

Configurar Windows Defender configurações da Tela Inteligente

  1. Navegue até Políticas de Configuração > do Computador Modelos > > administrativos Windows componentes > Windows Defender SmartScreen > Explorer.

    config windows defender smart screen explorer.

  2. Navegue até Políticas de Configuração do Computador > > Modelos > administrativos Windows componentes > Windows Defender SmartScreen > Microsoft Edge.

    config windows defender smart screen Edge.

Configurar aplicativos potencialmente indesejados

Navegue até Políticas de Configuração > do Computador Modelos > > administrativos Windows componentes > Microsoft Defender Antivírus.

config potencial aplicativo indesejado.

potencial de config.

Configurar a Proteção de Entrega na Nuvem e enviar amostras automaticamente

Navegue até Políticas de Configuração > do Computador > Modelos > administrativos Windows componentes > Microsoft Defender Antivírus > MAPS.

mapas.

bloco à primeira vista.

ingressar nos mapas da Microsoft.

enviar amostra de arquivo quando uma análise posterior for necessária.

Verificar se há atualização de assinatura

Navegue até Políticas de Configuração > do Computador Modelos > > administrativos Windows componentes > Microsoft Defender Antivírus > Atualizações de Assinatura

atualização de assinatura.

atualização de definição de assinatura.

Configurar o tempo de entrega na nuvem e o nível de proteção

Navegue até Políticas de Configuração > do Computador Modelos > > administrativos Windows componentes > Microsoft Defender Antivírus > MpEngine. Quando você configura a política de nível de proteção na nuvem como Política de Microsoft Defender Antivírus de bloqueio padrão, isso desabilitará a política. Isso é o que é necessário para definir o nível de proteção como o padrão do Windows.

config verificação de nuvem estendida.

config nível de proteção de nuvem.