Gerir as origens de atualizações de proteção do Antivírus do Microsoft Defender

Importante

Os clientes que aplicaram a atualização do motor do Microsoft Defender de março de 2022 (1.1.19100.5) podem ter encontrado uma utilização elevada de recursos (CPU e/ou memória). A Microsoft lançou uma atualização (1.1.19200.5) que resolve os erros introduzidos na versão anterior. Recomenda-se que os clientes atualizem para esta nova compilação de motor do Motor Antivírus (1.1.19200.5). Para garantir que quaisquer problemas de desempenho são totalmente resolvidos, recomenda-se que as máquinas sejam reiniciadas após a aplicação da atualização. Para obter mais informações, consulte Versões mensais da plataforma e do motor.

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• API do Microsoft Defender para Endpoint 2
• Antivírus do Microsoft Defender

Plataformas

• Windows

Manter a sua proteção antivírus actualizada é essencial. Existem dois componentes para gerir as atualizações de proteção para os Antivírus do Microsoft Defender:

• A partir do qual as atualizações são transferidos; e
• Quando as atualizações são transferida e aplicadas.

Este artigo descreve como especificar a partir do local onde as atualizações devem ser transferidos (também conhecida como ordem de recuo). Consulte Gerir atualizações do Antivírus do Microsoft Defender e aplicar linhas de base para ver uma visão geral sobre como as atualizações funcionam e como configurar outros aspetos das atualizações (como as atualizações de agendamento).

Importante

Antivírus do Microsoft Defender as atualizações da plataforma e atualizações das informações de segurança são fornecidas através do Windows Update e, a partir de segunda-feira, 21 de outubro de 2019, todas as atualizações de informações de segurança serão assinadas exclusivamente SHA-2. Os seus dispositivos têm de ser atualizados para suportar SHA-2 para poder atualizar as suas informações de segurança. Para saber mais, consulte Requisitos de Suporte de Assinatura de Código SHA-2 para o Windows e WSUS de 2019.

Ordem de recuo

Normalmente, configura os pontos finais para transferir individualmente atualizações de uma origem principal seguida de outras origens por ordem de prioridade, com base na sua configuração de rede. As atualizações são obtidas a partir das origens pela ordem que especificar. Se as atualizações da origem atual estiverem desatualizes, a origem seguinte na lista é utilizada imediatamente.

Quando as atualizações são publicadas, alguma lógica é aplicada para minimizar o tamanho da atualização. Na maioria dos casos, apenas as diferenças entre a atualização mais recente e a atualização atualmente instalada (esta é denominada delta) no dispositivo são transferida e aplicadas. No entanto, o tamanho da variação depende de dois fatores principais:

• A idade da última atualização no dispositivo; e
• A origem utilizada para transferir e aplicar atualizações.

Quanto mais antigas são as atualizações num ponto final, maior será a transferência. No entanto, também tem de considerar a frequência de transferências. Uma agenda de atualizações mais frequente pode resultar em mais utilização da rede, enquanto uma agenda menos frequente pode resultar em tamanhos de ficheiro maiores por transferência.

Existem cinco localizações onde pode especificar onde um ponto final deve obter atualizações:

• Microsoft Update
• Windows Serviço de Atualização do Servidor ^[1]
• Microsoft Endpoint Configuration Manager
• Partilha de ficheiros de rede
• Atualizações de informações de segurança Antivírus do Microsoft Defender e outros softwares anti-malware da ^{Microsoft [2]}

(1) servidor de Atualização de Definição Interna de Intune - Se utilizar o SCCM/SUP para obter atualizações de definição para o Antivírus do Microsoft Defender e precisar de aceder ao Windows Update nos dispositivos cliente bloqueados, pode transitar para a cogestão e descarregar a carga de trabalho da proteção de pontos finais para o Intune. Na política anti-software malware configurada no Intune existe uma opção para o "servidor de atualização de definições internas" que pode ser configurado para utilizar o WSUS no local como a origem da atualização. Isto ajuda-o a controlar que atualizações do servidor WU oficial estão aprovadas para a empresa, bem como ajudar o proxy e guardar o tráfego de rede na rede Windows UPdates oficial.

(2) O seu registo e política podem ter esta informação listada como informações Centro Microsoft de Proteção Contra Software Maligno (MMPC), o seu nome anterior.

Para garantir o melhor nível de proteção, o Microsoft Update permite lançamentos rápidos, o que significa transferências mais pequenas frequentemente. As atualizações Windows Atualização do Windows Server, Microsoft Endpoint Configuration Manager, atualizações das informações de segurança da Microsoft e as origens de atualizações da plataforma fornecem atualizações menos frequentes. Desta forma, a delta pode ser maior, o que resulta em transferências maiores.

Nota

As atualizações das informações de segurança contêm atualizações do motor e são lançadas numa cadência mensal. As atualizações de informações de segurança também são entregues várias vezes por dia, mas este pacote não contém um motor.

Importante

Se tiver definido a página das Informações de Segurança da Microsoft como uma origem de fallback após o serviço Windows Server Update ou o Microsoft Update, as atualizações só são transferidos das atualizações das informações de segurança e das atualizações da plataforma quando a atualização atual for considerada desatualizado. (Por predefinição, são sete dias consecutivos em que não é possível aplicar atualizações a partir do serviço Windows Server Update ou dos serviços Microsoft Update). No entanto, pode definir o número de dias antes de a proteção ser comunicada como desajustada.

A partir de segunda-feira, 21 de outubro de 2019, as atualizações das informações de segurança e as atualizações da plataforma serão assinadas exclusivamente SHA-2. Os dispositivos têm de ser atualizados para suportar SHA-2 para obter as atualizações mais recentes das informações de segurança e das atualizações da plataforma. Para saber mais, consulte Requisitos de Suporte de Assinatura de Código SHA-2 para o Windows e WSUS de 2019.

Cada origem tem cenários típicos que dependem da forma como a sua rede está configurada, além da frequência com que publicam atualizações, conforme descrito na seguinte tabela:

Localização	Cenário de exemplo
Windows Serviço de Atualização do Servidor	Está a utilizar o Windows de Atualização do Servidor para gerir as atualizações da sua rede.
Microsoft Update	Pretende que os seus pontos finais se liguem diretamente ao Microsoft Update. Isto pode ser útil para pontos finais que se ligam de forma irregular à rede da sua empresa ou se não utilizar o Windows Server Update Service para gerir as suas atualizações.
Partilha de ficheiros	Tem dispositivos sem ligação à Internet (como VMs). Pode utilizar o seu anfitrião de VM ligado à Internet para transferir as atualizações para uma partilha de rede, a partir da qual as VMs podem obter as atualizações. Consulte o guia de implementação de VDI para saber como as partilhas de ficheiros podem ser utilizadas em ambientes de infraestrutura de ambiente de trabalho virtuais (VDI).
Microsoft Endpoint Manager	Está a utilizar o Microsoft Endpoint Manager para atualizar os pontos finais.
Atualizações de segurança e atualizações da plataforma Antivírus do Microsoft Defender e outros softwares anti-malware da Microsoft (anteriormente conhecidos como MMPC)	Certifique-se de que os seus dispositivos estão atualizados para suportar SHA-2. Antivírus do Microsoft Defender as atualizações das plataformas e informações de segurança são fornecidas através do Windows Update e, a partir de segunda-feira, 21 de outubro de 2019, as atualizações de segurança e atualizações da plataforma serão assinadas exclusivamente SHA-2. Transfira as atualizações de proteção mais recentes devido a uma infeção recente ou para ajudar a aprovisionar uma imagem base forte para a implementação VDI. Geralmente, esta opção só deve ser utilizada como uma origem de contr7ses final e não como a origem principal. Só será utilizada se não for possível transferir atualizações do serviço Windows de atualizações do servidor ou do Microsoft Update durante um número de dias especificado.

Pode gerir a ordem pela qual as origens de atualizações são utilizadas com os cmdlets Política de Grupo, Microsoft Endpoint Configuration Manager, PowerShell e WMI.

Importante

Se definir o Windows de Atualização do Servidor como uma localização de transferência, tem de aprovar as atualizações, independentemente da ferramenta de gestão que utilizar para especificar a localização. Pode configurar uma regra de aprovação automática com o Windows Server Update Service, que pode ser útil à medida que as atualizações chegam pelo menos uma vez por dia. Para saber mais, consulte sincronizar as atualizações da proteção de pontos finais no serviço de atualizações Windows de servidor autónomo.

Os procedimentos neste artigo descrevem primeiro como definir a ordem e, em seguida, como configurar a opção Partilha de ficheiros se a tiver ativado.

Utilizar Política de Grupo para gerir a localização da atualização

1. No seu Política de Grupo de gestão, abra a Consola Política de Grupo Gestão de Ficheiros, clique com o botão direito do Política de Grupo no Objeto que pretende configurar e clique em Editar.

2. No Editor Política de Grupo Gestão, vá para Configuração do computador.

3. Clique em Políticas e , em seguida, em Modelos Administrativos.

4. Expanda a árvore para Windows componentes > Windows Defender > Atualizações de assinatura e configure as seguintes definições:

   1. Faça duplo clique na definição Definir a ordem das origens para transferir atualizações de informações de segurança e defina a opção para Ativado.

   2. Introduza a ordem das fontes, separadas por um único pipe, por exemplo: InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, conforme apresentado na seguinte captura de ecrã.

      

   3. Selecione OK. Esta ação irá definir a ordem das origens de atualização de proteção.

   4. Faça duplo clique na definição Definir partilhas de ficheiros para transferir atualizações de informações de segurança e defina a opção para Ativado.

   5. Especifique a origem de partilha de ficheiros. Se tiver várias origens, introduza cada origem pela ordem em que devem ser utilizadas, separadas por um único tubo. Utilize a notação UNC padrão para indicar o caminho, por exemplo: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name. Se não introduzir caminhos, esta origem será ignorada quando a VM for atualizada.

   6. Clique em OK. Esta ação irá definir a ordem das partilhas de ficheiros quando essa origem for referenciada na definição de política de grupo Definir a ordem das origens ....

Nota

Para o Windows 10, versões 1703 até à versão 1809 e incluindo a 1809, o caminho da política é Windows Components > Antivírus do Microsoft Defender > Signature Updates for Windows 10, versão 1903, o caminho da política é Windows Components > Antivírus do Microsoft Defender > Atualizações das Informações de Segurança

Utilizar Configuration Manager para gerir a localização da atualização

Consulte Configurar Atualizações de Informações de Segurança para a Endpoint Protection para obter detalhes sobre como Microsoft Endpoint Manager (ramo atual).

Utilizar cmdlets do PowerShell para gerir a localização de atualização

Utilize os seguintes cmdlets do PowerShell para definir a ordem de atualização.

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

Consulte os seguintes artigos para obter mais informações:

• Set-MpPreference -SignatureFallbackOrder
• Set-MpPreference -SignatureDefinitionUpdateFileSharesSource
• Utilizar cmdlets do PowerShell para configurar e executar Antivírus do Microsoft Defender
• Cmdlets do Defender Antivírus

Utilizar Windows de Gestão de Dados (WMI) para gerir a localização da atualização

Utilize o método de Definir da turma MSFT_MpPreference para as seguintes propriedades:

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

Consulte os seguintes artigos para obter mais informações:

• Windows Defender APIs WMIv2

Utilizar o Mobile Gestão de Dispositivos (MDM) para gerir a localização de atualização

Consulte Política CSP - Defender/SignatureUpdateFallbackOrder para obter detalhes sobre como configurar a MDM.

E se estivermos a utilizar um fornecedor terceiro?

Este artigo descreve como configurar e gerir atualizações para Antivírus do Microsoft Defender. No entanto, os fornecedores terceiros podem ser utilizados para efetuar estas tarefas.

Por exemplo, suponha que a Contoso contraiu a Fabrikam para gerir a sua solução de segurança, que inclui Antivírus do Microsoft Defender. Normalmente, a Fabrikam utiliza Windows Instrumentação de Gestão, cmdlets do PowerShell ou Windows linha de comandos para implementar patches e atualizações.

Nota

A Microsoft não testa soluções de terceiros para a gestão Antivírus do Microsoft Defender.

Criar uma partilha UNC para atualizações de plataforma e informações de segurança

Configurar uma partilha de ficheiros de rede (UNC/unidade mapeada) para transferir as atualizações das informações de segurança e plataforma a partir do site MMPC através de uma tarefa agendada.

1. No sistema no qual pretende aprovisionar a partilha e transferir as atualizações, crie uma pasta onde irá guardar o script.

   Start, CMD (Run as admin)
   MD C:\Tool\PS-Scripts\
   

2. Crie a pasta onde irá guardar as atualizações da assinatura.

   MD C:\Temp\TempSigs\x64
   MD C:\Temp\TempSigs\x86
   

3. Transfira o script do PowerShell a partir www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.

4. Clique em Transferência Manual.

5. Clique em Transferir o ficheiro nupkg não bruto.

6. Extraia o ficheiro.

7. Copie o ficheiro SignatureDownloadCustomTask.ps1 para a pasta que criou anteriormente, C:\Tool\PS-Scripts\ .

8. Utilize a linha de comandos para configurar a tarefa agendada.

   Nota

   Existem dois tipos de atualizações: full e delta.

   • Para x64 delta:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   • Para x64 completo:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   • Para x86 delta:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   • Para x86 completo:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   Nota

   Quando as tarefas agendadas são criadas, pode encontrá-los no Programador de Tarefas em Microsoft\Windows\Windows Defender.

9. Execute cada tarefa manualmente e verifique se tem dados (mpam-d.exe, mpam-fe.exee nis_full.exe) nas seguintes pastas (poderá ter escolhido localizações diferentes):

   • C:\Temp\TempSigs\x86
   • C:\Temp\TempSigs\x64

   Se a tarefa agendada falhar, execute os seguintes comandos:

   C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
   
   C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
   
   C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
   
   C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
   

   Nota

   Também podem estar relacionados com a política de execução.

10. Criar uma partilha a apontar C:\Temp\TempSigs para (por exemplo, \\server\updates).

    Nota

    No mínimo, os utilizadores autenticados têm de ter acesso de "Leitura". Este requisito também se aplica a computadores de domínio, à partilha e ao NTFS (segurança).

11. Defina a localização da partilha na política para a partilha.

    Nota

    Não adicione a pasta x64 (ou x86) no caminho. O mpcmdrun.exe de atualizações adiciona-o automaticamente.

Dica

Se estiver à procura de informações relacionadas com o Antivírus para outras plataformas, consulte:

• Definir preferências para o Microsoft Defender para Endpoint no macOS
• Microsoft Defender para Endpoint no Mac
• Definições de política de Antivírus do macOS para o Antivírus do Microsoft Defender para Intune
• Definir preferências para o Microsoft Defender para Endpoint no Linux
• Microsoft Defender para Endpoint no Linux
• Configurar o Microsoft Defender para Endpoint em funcionalidades do Android
• Configurar o Microsoft Defender para Endpoint em funcionalidades do iOS

Artigos relacionados

• Implementar Antivírus do Microsoft Defender
• Gerir atualizações do Antivírus do Microsoft Defender e aplicar linhas de base
• Gerir atualizações para pontos finais desatualizados
• Gerir atualizações forçadas baseadas em eventos
• Gerir atualizações para dispositivos móveis e VMs
• Antivírus do Microsoft Defender no Windows 10