Migrar para Microsoft Defender para Ponto de Extremidade – Fase 2: Configuração

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Fase 1: Preparar	Fase 2: Configurar	Fase 3: Integrar
	Você está aqui!

Bem-vindo à fase de configuração da migração para o Defender para Ponto de Extremidade. Esta fase inclui as seguintes etapas:

1. Reinstale/habilite Microsoft Defender Antivírus em seus pontos de extremidade.
2. Configurar o Defender para o Plano de Ponto de Extremidade 1 ou Plano 2
3. Adicione o Defender para Ponto de Extremidade à lista de exclusão da solução existente.
4. Adicione sua solução existente à lista de exclusão para Microsoft Defender Antivírus.
5. Configure seus grupos de dispositivos, coleções de dispositivos e unidades organizacionais.

Etapa 1: Reinstalar/habilitar Microsoft Defender Antivírus em seus pontos de extremidade

Em determinadas versões do Windows, Microsoft Defender Antivírus provavelmente foi desinstalado ou desabilitado quando sua solução antivírus/antimalware não Microsoft foi instalada. Quando os pontos de extremidade que executam o Windows são integrados ao Defender para Ponto de Extremidade, Microsoft Defender Antivírus pode ser executado no modo passivo ao lado de uma solução antivírus não Microsoft. Para saber mais, confira Proteção contra antivírus com o Defender para Ponto de Extremidade.

Como você está fazendo a opção para Defender para Ponto de Extremidade, talvez seja necessário tomar determinadas etapas para reinstalar ou habilitar Microsoft Defender Antivírus. A tabela a seguir descreve o que fazer em seus clientes e servidores windows.

Tipo de ponto de extremidade	O que fazer
Clientes Windows (como pontos de extremidade que executam Windows 10 e Windows 11)	Em geral, você não precisa tomar nenhuma ação para clientes Windows (a menos que Microsoft Defender Antivírus tenha sido desinstalado). Em geral, Microsoft Defender Antivírus ainda deve ser instalado, mas provavelmente está desabilitado neste ponto do processo de migração. Quando uma solução antivírus/antimalware não Microsoft é instalada e os clientes ainda não estão integrados ao Defender para Ponto de Extremidade, Microsoft Defender Antivírus é desabilitado automaticamente. Posteriormente, quando os pontos de extremidade do cliente forem integrados ao Defender para Ponto de Extremidade, se esses pontos de extremidade estiverem executando uma solução antivírus não Microsoft, Microsoft Defender Antivírus entrará no modo passivo. Se a solução antivírus não Microsoft estiver desinstalada, Microsoft Defender Antivírus entrará no modo ativo automaticamente.
Servidores Windows	No Windows Server, você precisa reinstalar Microsoft Defender Antivírus e defini-lo como modo passivo manualmente. Em servidores Windows, quando um antivírus/antimalware não microsoft é instalado, Microsoft Defender Antivírus não pode ser executado junto com a solução antivírus não Microsoft. Nesses casos, Microsoft Defender Antivírus é desabilitado ou desinstalado manualmente. Para reinstalar ou habilitar Microsoft Defender Antivírus no Windows Server, execute as seguintes tarefas: - Habilitar novamente o Defender Antivírus no Windows Server se ele estiver desabilitado - Habilitar novamente o Defender Antivírus no Windows Server se ele foi desinstalado - Definir Microsoft Defender Antivírus como modo passivo no Windows Server Se você encontrar problemas para reinstalar ou habilitar novamente Microsoft Defender Antivírus no Windows Server, consulte Solução de problemas: Microsoft Defender Antivírus está sendo desinstalado no Windows Server.

Dica

Para saber mais sobre Microsoft Defender estados antivírus com proteção antivírus não Microsoft, consulte Microsoft Defender compatibilidade antivírus.

Definir Microsoft Defender Antivírus como modo passivo no Windows Server

Dica

Agora você pode executar Microsoft Defender Antivírus no modo passivo no Windows Server 2012 R2 e 2016. Para obter mais informações, consulte Opções para instalar Microsoft Defender para Ponto de Extremidade.

1. Abra Editor de Registro e navegue até Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

2. Edite (ou crie) uma entrada DWORD chamada ForceDefenderPassiveMode e especifique as seguintes configurações:

   • Defina o valor do DWORD como 1.

   • Em Base, selecione Hexadecimal.

Se Microsoft Defender recursos antivírus e arquivos de instalação foram removidos anteriormente do Windows Server 2016, siga as diretrizes em Configurar uma Fonte de Reparo do Windows para restaurar os arquivos de instalação do recurso.

Observação

Depois de integrar o Defender para Ponto de Extremidade, talvez seja necessário definir Microsoft Defender Antivírus como o modo passivo no Windows Server. Para validar que o modo passivo foi definido como esperado, pesquise o Evento 5007 no log operacional Microsoft-Windows-Windows Defender (localizado em C:\Windows\System32\winevt\Logs), e confirme se as chaves de registro ForceDefenderPassiveMode ou PassiveMode foram definidas como 0x1.

Você está usando Windows Server 2012 R2 ou Windows Server 2016?

Agora você pode executar Microsoft Defender Antivírus no modo passivo no Windows Server 2012 R2 e 2016 usando o método descrito na seção anterior. Para obter mais informações, consulte Opções para instalar Microsoft Defender para Ponto de Extremidade.

Etapa 2: configurar o Defender para o Plano de Ponto de Extremidade 1 ou Plano 2

Importante

• Este artigo descreve como configurar seus recursos do Defender para Ponto de Extremidade antes que os dispositivos sejam integrados.
• Se você tiver o Plano 1 do Defender para Ponto de Extremidade, conclua as etapas 1-5 no procedimento a seguir.
• Se você tiver o Plano 2 do Defender para Ponto de Extremidade, conclua as etapas 1-7 no procedimento a seguir.

1. Verifique se o Defender para Ponto de Extremidade está provisionado. Como administrador global, acesse o portal de Microsoft Defender (https://security.microsoft.com) e entre. Em seguida, no painel de navegação, selecione Dispositivos de Ativos>.

   A tabela a seguir mostra como a tela pode ser e o que ela significa.

   Tela	O que significa
   	O Defender para Ponto de Extremidade ainda não terminou o provisionamento. Talvez seja necessário aguardar um pouco para que o processo seja concluído.
   	O Defender para Ponto de Extremidade é provisionado. Nesse caso, prossiga para a próxima etapa.

2. Ative a proteção contra adulteração. Recomendamos ativar a proteção contra adulteração para toda a sua organização. Você pode fazer essa tarefa no portal Microsoft Defender (https://security.microsoft.com).

   1. No portal Microsoft Defender, escolha Configurações>Pontos de Extremidade.

   2. Vá para recursos do General>Advanced e defina o alternância para proteção contra adulteração como Ativado.

   3. Selecione Salvar.

   Saiba mais sobre a proteção contra adulteração.

3. Se você usar Microsoft Intune ou o Microsoft Endpoint Configuration Manager para integrar dispositivos e configurar políticas de dispositivo, configure a integração com o Defender para Ponto de Extremidade seguindo estas etapas:
   

   1. No centro de administração Microsoft Intune (https://endpoint.microsoft.com), vá para a segurança do Ponto de Extremidade.

   2. Em Configuração, escolha Microsoft Defender para Ponto de Extremidade.

   3. Em Configurações de Perfil de Segurança do Ponto de Extremidade, defina o alternância para Permitir Microsoft Defender para Ponto de Extremidade para impor as Configurações de Segurança do Ponto de Extremidade para Ativar.

   4. Perto da parte superior da tela, selecione Salvar.

   5. No portal Microsoft Defender (https://security.microsoft.com), escolha Configurações>Pontos de Extremidade.

   6. Role para baixo até o gerenciamento de configuração e selecione Escopo de imposição.

   7. Defina o alternância para Usar MDPE para impor as configurações de configuração de segurança do MEM para Ativado e selecione as opções para dispositivos cliente Windows e Windows Server.

   8. Se você estiver planejando usar Configuration Manager, defina o alternância para Gerenciar configurações de segurança usando Configuration Manager para Ativado. (Se você precisar de ajuda com esta etapa, consulte Coexistência com o Microsoft Endpoint Configuration Manager.)

   9. Role para baixo e selecione Salvar.

4. Configure suas funcionalidades iniciais de redução de superfície de ataque. No mínimo, habilite as regras de proteção padrão listadas na tabela a seguir imediatamente:

   Regras de proteção padrão

   Métodos de configuração

   Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) Bloquear o abuso de motoristas conectados vulneráveis explorados Bloquear a persistência por meio da assinatura de evento WMI (Instrumentação de Gerenciamento do Windows)

   Intune (perfis de configuração de dispositivo ou políticas de segurança do ponto de extremidade) MDM (mobile Gerenciamento de Dispositivos) (Use o CSP (provedor de serviços de configuração ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules) para habilitar e definir individualmente o modo para cada regra.) Política de Grupo ou PowerShell (somente se você não estiver usando Intune, Configuration Manager ou outra plataforma de gerenciamento de nível empresarial)

   Saiba mais sobre as funcionalidades de redução de superfície de ataque.

5. Configure seus recursos de proteção de próxima geração.

   Recursos	Métodos de configuração
   Intune	1. No centro de administração Intune, selecionePerfis de configuração de dispositivos> e selecione o tipo de perfil que você deseja configurar. Se você ainda não criou um tipo de perfil de restrições de dispositivo ou se quiser criar um novo, consulte Configurar configurações de restrição de dispositivo no Microsoft Intune. 2. Selecione Propriedades e selecione Configurações: Editar 3. Expanda Microsoft Defender Antivírus. 4. Habilitar a proteção fornecida pela nuvem. 5. Na lista suspensa Solicitar usuários antes do envio de exemplo , selecione Enviar todos os exemplos automaticamente. 6. Na lista suspensa Detectar aplicativos potencialmente indesejados , selecione Habilitar ou Auditar. 7. Selecione Examinar + salvar e, em seguida, escolha Salvar. DICA: para obter mais informações sobre Intune perfis de dispositivo, incluindo como criar e configurar suas configurações, consulte O que são Microsoft Intune perfis de dispositivo?.
   Gerenciador de Configurações	Consulte Create e implante políticas antimalware para Proteção de Ponto de Extremidade em Configuration Manager. Ao criar e configurar suas políticas antimalware, examine as configurações de proteção em tempo real e habilite o bloco à primeira vista.
   Gerenciamento avançado de Política de Grupo ou Console de Gerenciamento de Política de Grupo	1. AcesseModelos administrativosde configuração> de computadorComponentes> do Windows Microsoft Defender Antivírus>. 2. Procure uma política chamada Desativar Microsoft Defender Antivírus. 3. Escolha Editar configuração de política e verifique se a política está desabilitada. Essa ação permite Microsoft Defender Antivírus. (Você pode ver Windows Defender Antivírus em vez de Microsoft Defender Antivírus em algumas versões do Windows.)
   Painel de Controle no Windows	Siga as diretrizes aqui: ative Microsoft Defender Antivírus. (Você pode ver Windows Defender Antivírus em vez de Microsoft Defender Antivírus em algumas versões do Windows.)

   Se você tiver o Plano 1 do Defender para Ponto de Extremidade, sua configuração e configuração iniciais serão feitas por enquanto. Se você tiver o Plano 2 do Defender para Ponto de Extremidade, continue nas etapas 6-7.

6. Configure suas políticas de EDR (detecção e resposta) de ponto de extremidade no centro de administração Intune (https://endpoint.microsoft.com). Para obter ajuda com essa tarefa, consulte Create políticas do EDR.

7. Configure seus recursos automatizados de investigação e correção no portal do Microsoft Defender (https://security.microsoft.com). Para obter ajuda com essa tarefa, consulte Configurar recursos automatizados de investigação e correção em Microsoft Defender para Ponto de Extremidade.

   Neste ponto, a configuração inicial e a configuração do Plano 2 do Defender para Ponto de Extremidade estão concluídas.

Etapa 3: Adicionar Microsoft Defender para Ponto de Extremidade à lista de exclusão para sua solução existente

Esta etapa do processo de instalação envolve adicionar o Defender para Ponto de Extremidade à lista de exclusão para sua solução de proteção de ponto de extremidade existente e quaisquer outros produtos de segurança que sua organização esteja usando. Consulte a documentação do provedor de soluções para adicionar exclusões.

As exclusões específicas a serem configuradas dependem de qual versão do Windows seus pontos de extremidade ou dispositivos estão em execução e estão listadas na tabela a seguir.

SO	Exclusões
Windows 11 Windows 10, versão 1803 ou posterior (consulte Windows 10 informações de versão) Windows 10, versão 1703 ou 1709 com KB4493441 instalado	C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseSC.exe C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection C:\Program Files\Windows Defender Advanced Threat Protection\SenseTVM.exe
Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server, versão 1803	No Windows Server 2012 R2 e Windows Server 2016 executando a solução moderna e unificada, as seguintes exclusões são necessárias após atualizar o componente Sense EDR usando KB5005292: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseTVM.exe
Windows 8.1 Windows 7 Windows Server 2008 R2 SP1	C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe OBSERVAÇÃO: Monitorar arquivos temporários do host 6\45 pode ser subpastas numeradas diferentes. C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Importante

Como prática recomendada, mantenha os dispositivos e pontos de extremidade da sua organização atualizados. Certifique-se de obter as atualizações mais recentes para Microsoft Defender para Ponto de Extremidade e Microsoft Defender Antivírus e manter os sistemas operacionais e aplicativos de produtividade da sua organização atualizados.

Etapa 4: adicionar sua solução existente à lista de exclusão para Microsoft Defender Antivírus

Durante esta etapa do processo de instalação, você adiciona sua solução existente à lista de exclusões para Microsoft Defender Antivírus. Você pode escolher entre vários métodos para adicionar suas exclusões a Microsoft Defender Antivírus, conforme listado na tabela a seguir:

Método	O que fazer
Intune	1. Vá para o centro de administração Microsoft Intune e entre. 2. SelecionePerfis de configuração de dispositivos> e selecione o perfil que você deseja configurar. 3. Em Gerenciar, selecione Propriedades. 4. Selecione Configurações: Editar. 5. Expanda Microsoft Defender Antivírus e expanda Microsoft Defender Exclusões antivírus. 6. Especifique os arquivos e pastas, extensões e processos a serem excluídos de Microsoft Defender verificações antivírus. Para obter referência, consulte Microsoft Defender exclusões antivírus. 7. Escolha Examinar + salvar e escolha Salvar.
Gerenciador de Configuração do Microsoft Endpoint	1. Usando o console Configuration Manager, acesse Ativos ePolíticas antimalware deproteção> de ponto de extremidade de conformidade > e selecione a política que você deseja modificar. 2. Especifique as configurações de exclusão para arquivos e pastas, extensões e processos a serem excluídos de Microsoft Defender verificações antivírus.
Objeto de Política de Grupo	1. No computador de gerenciamento Política de Grupo, abra o Console de Gerenciamento Política de Grupo, clique com o botão direito do mouse no objeto Política de Grupo que você deseja configurar e selecione Editar. 2. No Editor de Gerenciamento de Política de Grupo, acesse Configuração do computador e selecione Modelos administrativos. 3. Expanda a árvore para componentes > do Windows Microsoft Defender Exclusões antivírus>. (Você pode ver Windows Defender Antivírus em vez de Microsoft Defender Antivírus em algumas versões do Windows.) 4. Clique duas vezes na configuração Exclusões de Caminho e adicione as exclusões. 5. Defina a opção como Habilitada. 6. Na seção Opções , selecione Mostrar.... 7. Especifique cada pasta em sua própria linha na coluna Nome do valor . Se você especificar um arquivo, insira um caminho totalmente qualificado para o arquivo, incluindo a letra da unidade, o caminho da pasta, o nome do arquivo e a extensão. Insira 0 na coluna Valor . 8. Selecione OK. 9. Clique duas vezes na configuração Exclusões de Extensão e adicione as exclusões. 10. Defina a opção como Habilitada. 11. Na seção Opções , selecione Mostrar.... 12. Insira cada extensão de arquivo em sua própria linha na coluna Nome do valor . Insira 0 na coluna Valor . 13. Selecione OK.
Objeto de política de grupo local	1. No ponto de extremidade ou dispositivo, abra o Política de Grupo Editor Local. 2. AcesseModelos Administrativosde Configuração> do ComputadorComponentes>> do Windows Microsoft Defender Exclusões antivírus>. (Você pode ver Windows Defender Antivírus em vez de Microsoft Defender Antivírus em algumas versões do Windows.) 3. Especifique seu caminho e suas exclusões de processo.
Chave do Registro	1. Exporte a seguinte chave do registro: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions. 2. Importe a chave do registro. Aqui estão dois exemplos: – Caminho local: regedit.exe /s c:\temp\MDAV_Exclusion.reg - Compartilhamento de rede: regedit.exe /s \\FileServer\ShareName\MDAV_Exclusion.reg

Saiba mais sobre exclusões para Microsoft Defender para Ponto de Extremidade e Microsoft Defender Antivírus.

Tenha em mente os pontos a seguir sobre exclusões

Quando você adiciona exclusões a Microsoft Defender verificações antivírus, você deve adicionar exclusões de caminho e processo.

• Exclusões de caminho excluem arquivos específicos e qualquer que seja o acesso a esses arquivos.
• Exclusões de processo excluem o que um processo toca, mas não exclui o processo em si.
• Liste suas exclusões de processo usando o caminho completo e não apenas pelo nome. (O método somente nome é menos seguro.)
• Se você listar cada executável (.exe) como uma exclusão de caminho e uma exclusão de processo, o processo e o que ele tocar serão excluídos.

Etapa 5: configurar seus grupos de dispositivos, coleções de dispositivos e unidades organizacionais

Grupos de dispositivos, coleções de dispositivos e unidades organizacionais permitem que sua equipe de segurança gerencie e atribua políticas de segurança de forma eficiente e eficaz. A tabela a seguir descreve cada um desses grupos e como configurá-los. Sua organização pode não usar todos os três tipos de coleção.

Observação

Há suporte para a criação do grupo de dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.

Tipo de coleção	O que fazer
Grupos de dispositivos (anteriormente chamados de grupos de máquinas) permitem que sua equipe de operações de segurança configure recursos de segurança, como investigação automatizada e correção. Grupos de dispositivos também são úteis para atribuir acesso a esses dispositivos para que sua equipe de operações de segurança possa executar ações de correção, se necessário. Grupos de dispositivos são criados enquanto o ataque foi detectado e interrompido, alertas, como um "alerta de acesso inicial", foram disparados e apareceram no portal Microsoft Defender.	1. Vá para o portal Microsoft Defender (https://security.microsoft.com). 2. No painel de navegação à esquerda, escolha Configurações Grupos> dedispositivos de permissões>>de pontosdeextremidade. 3. Escolha + Adicionar grupo de dispositivos. 4. Especifique um nome e uma descrição para o grupo de dispositivos. 5. Na lista de nível de automação , selecione uma opção. (Recomendamos ameaças completas e corretivas automaticamente.) Para saber mais sobre os vários níveis de automação, confira Como as ameaças são corrigidas. 6. Especifique as condições para uma regra correspondente para determinar quais dispositivos pertencem ao grupo de dispositivos. Por exemplo, você pode escolher um domínio, versões do sistema operacional ou até mesmo usar marcas de dispositivo. 7. Na guia Acesso do usuário , especifique funções que devem ter acesso aos dispositivos incluídos no grupo de dispositivos. 8. Escolha Concluído.
As coleções de dispositivos permitem que sua equipe de operações de segurança gerencie aplicativos, implante configurações de conformidade ou instale atualizações de software nos dispositivos em sua organização. As coleções de dispositivos são criadas usando Configuration Manager.	Siga as etapas em Create uma coleção.
As unidades organizacionais permitem agrupar logicamente objetos como contas de usuário, contas de serviço ou contas de computador. Em seguida, você pode atribuir administradores a unidades organizacionais específicas e aplicar a política de grupo para impor as configurações de configuração de destino. As unidades organizacionais são definidas em Microsoft Entra Domain Services.	Siga as etapas em Create uma Unidade Organizacional em um domínio gerenciado Microsoft Entra Domain Services.

Próxima etapa

Parabéns! Você concluiu a fase de instalação da migração para o Defender para Ponto de Extremidade!

• Continuar para a Fase 3: integrar ao Defender para Ponto de Extremidade

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.