Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Defender para Endpoint suporta sistemas operativos de nível inferior, fornecendo capacidades avançadas de deteção e investigação de ataques em versões suportadas do Windows.
Para integrar pontos finais de cliente Windows de nível inferior na solução de segurança defender para ponto final:
Utilize a ferramenta de implementação do Defender se o cliente Windows de nível inferior estiver a executar um dos seguintes sistemas operativos:
- Windows 7 SP1 Pro
- Windows 7 SP1 Enterprise
- Windows Server 2008 R2 SP1
A ferramenta de implementação do Defender irá instalar a solução de segurança de ponto final do Defender adequada. Para obter mais informações sobre esta solução, veja Utilizar a ferramenta de implementação do Defender para implementar a segurança do ponto final do Defender. Se os seus dispositivos já tiverem sido integrados anteriormente com o Microsoft Monitoring Agent (MMA), pode utilizar esta ferramenta para efetuar uma atualização.
Instale e configure o Microsoft Monitoring Agent (MMA) se o cliente Windows de nível inferior estiver a executar Windows 8.1 ou Windows 8.1 Pro.
Sugestão
Depois de integrar o dispositivo, pode optar por executar um teste de deteção para verificar se está corretamente integrado no serviço. Para obter mais informações, veja Executar um teste de deteção num ponto final do Defender para Ponto Final recentemente integrado.
Utilizar a ferramenta de implementação do Defender para implementar a segurança do ponto final do Defender
Está disponível um Microsoft Defender para soluções de segurança de ponto final para dispositivos Windows 7 SP1 e Windows Server 2008 R2 SP1. A solução fornece capacidades de proteção avançadas e funcionalidades melhoradas para esses dispositivos em comparação com outras soluções. A tabela seguinte descreve a funcionalidade atualmente suportada da solução.
| Funcionalidade | Funcionalidade |
|---|---|
| Investigação Avançada | Investigar eventos com Linguagem de Pesquisa Kusto |
| Antivírus no Modo Passivo | Permite a coexistência com soluções antimalware que não sejam da Microsoft. |
| Indicadores de ficheiro personalizados | Permitir, bloquear, colocar ficheiros em quarentena com base em informações de hash ou certificado |
| Capacidades de resposta de dispositivos e ficheiros | Isolar dispositivos, bloquear e obter ficheiros, recolher pacotes de investigação, executar análise antivírus Nota: não são suportadas outras capacidades de resposta |
| Proteção de próxima geração | Antivírus do Defender com monitorização de comportamento em tempo real, software maligno fornecido na cloud e bloqueio e remediação de software maligno baseado na definição. Análises agendadas e acionadas manualmente. Nota: a Proteção de Rede, as Regras de Redução da Superfície de Ataque, o Acesso Controlado a Pastas e as funcionalidades relacionadas, incluindo os indicadores de IP e URL, não são suportadas. |
| Avaliações de vulnerabilidades de software e sistema operativo | Gestão de vulnerabilidades do Defender fornece informações sobre vulnerabilidades do Windows e software instalado. Nota: a seguinte funcionalidade não está disponível para o Windows 7 SP1 e Windows Server 2008 R2: - Avaliação da configuração de segurança - Experiência de "Reinício pendente" - Capacidades Premium: avaliação da linha de base de segurança, extensões do browser, bloqueio de certificados e aplicações |
| Gestão de Definições de Segurança | Imposição de políticas para capacidades de Antivírus do Defender. Tenha em atenção que apenas as definições das funcionalidades disponíveis entrarão em vigor. |
| Sensor de deteção de sensor | Eventos de deteção avançados para utilização na linha cronológica do dispositivo, investigação e para gerar alertas com base em indicadores de compromisso e ataque. |
| Interrupção do Ataque: contenha o dispositivo/IP | Interrupção automatizada do ataque para encerrar ataques que tiram partido do movimento lateral. |
| Atualizações (automáticas) | Atualizações regulares para componentes antimalware e deteção. |
A solução pode ser transferida e instalada com a ferramenta de implementação do Defender, uma aplicação leve e de atualização automática que simplifica a integração para todas as versões do Windows suportadas pelo Defender para Endpoint. A ferramenta de implementação trata dos pré-requisitos, automatiza as migrações de soluções mais antigas e elimina a necessidade de scripts de inclusão complexos, transferências separadas e instalações manuais. Para obter informações sobre a ferramenta e como utilizá-la, consulte Implementar Microsoft Defender segurança de ponto final em dispositivos Windows com a ferramenta de implementação do Defender.
Instalar e configurar o Microsoft Monitoring Agent (apenas Windows 8.1)
É recomendado integrar clientes Windows de nível inferior através de MMA e SCEP apenas se o cliente estiver a executar Windows 8.1 ou 8.1 Pro. Para todos os outros sistemas operativos Windows, utilize a ferramenta de implementação defender.
Antes de começar
Veja os seguintes detalhes para verificar os requisitos mínimos de sistema:
Instale o update rollup mensal de fevereiro de 2018 - A ligação transferência direta a partir do catálogo de Windows Update está disponível aqui
Instale a atualização da pilha de manutenção de 12 de março de 2019 (ou posterior) – a ligação Transferência direta a partir do catálogo Windows Update está disponível aqui
Instalar a Atualização para a experiência do cliente e a telemetria de diagnóstico
Instalar o Microsoft .NET Framework 4.5.2 ou posterior
Nota
A instalação do .NET 4.5 poderá exigir que reinicie o computador após a instalação.
Cumprir os requisitos mínimos de sistema do agente do Log Analytics Azure. Para obter mais informações, veja Recolher dados de computadores no seu ambiente com o Log Analytics
Passos de instalação
Transfira o ficheiro de configuração do agente: agente de 64 bits do Windows ou agente de 32 bits do Windows.
Nota
Devido à descontinuação do suporte SHA-1 pelo agente MMA, o agente MMA tem de ser a versão 10.20.18029 ou mais recente.
Obtenha o ID da área de trabalho:
- No painel de navegação defender para ponto final, selecione Definições Gestão > de dispositivos > Integração.
- Selecione o sistema operativo.
- Copie o ID da área de trabalho e a chave da área de trabalho.
Com o ID da Área de Trabalho e a Chave de Área de Trabalho, escolha qualquer um dos seguintes métodos de instalação para instalar o agente:
Instale manualmente o agente com a configuração.
Na página Opções de Configuração do Agente, selecione Ligar o agente ao Azure Log Analytics (OMS)
Nota
Se for um cliente do Us Government, em "Azure Cloud", tem de escolher "Azure US Government" se estiver a utilizar o assistente de configuração ou se estiver a utilizar uma linha de comandos ou um script, defina o parâmetro "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" como 1.
Se estiver a utilizar um proxy para ligar à Internet, veja a secção Configurar definições de proxy e conectividade à Internet.
Depois de concluído, deverá ver os pontos finais integrados no portal dentro de uma hora.
Configurar e atualizar clientes System Center Endpoint Protection
O Defender para Endpoint integra-se com System Center Endpoint Protection para fornecer visibilidade às deteções de software maligno e parar a propagação de um ataque na sua organização ao proibir ficheiros potencialmente maliciosos ou software maligno suspeito.
São necessários os seguintes passos para ativar esta integração:
- Instalar a atualização da plataforma antimalware de janeiro de 2017 para clientes do Endpoint Protection
- Configurar a associação do Serviço de Proteção da Cloud do cliente SCEP à definição Avançadas
- Configure a sua rede para permitir ligações à cloud antivírus Microsoft Defender. Para obter mais informações, veja Configurar e validar Microsoft Defender ligações de rede antivírus
Configurar definições de proxy e de conectividade à Internet
Se os servidores precisarem de utilizar um proxy para comunicar com o Defender para Endpoint, utilize um dos seguintes métodos para configurar o MMA para utilizar o servidor proxy:
Se um proxy ou firewall estiver a ser utilizado, certifique-se de que os servidores podem aceder a todos os URLs do serviço Microsoft Defender para Endpoint diretamente e sem intercepção SSL. Para obter mais informações, veja Ativar o acesso aos URLs do serviço Microsoft Defender para Endpoint. A utilização da intercepção SSL impede que o sistema comunique com o serviço Defender para Endpoint.
Depois de concluído, deverá ver os servidores Windows integrados no portal dentro de uma hora.
Pontos finais offboard
Tem duas opções para eliminar pontos finais do Windows do serviço:
- Desinstalar o agente MMA
- Remover a configuração da área de trabalho do Defender para Endpoint
Nota
A exclusão faz com que o ponto final do Windows deixe de enviar dados do sensor para o portal, mas os dados do ponto final, incluindo a referência a quaisquer alertas que tenha tido, serão retidos até seis meses.
Opção 1: Desinstalar o agente MMA
Para remover o ponto final do Windows, pode desinstalar o agente MMA ou desanexá-lo dos relatórios para a área de trabalho do Defender para Endpoint. Após a exclusão do agente, o ponto final deixará de enviar dados do sensor para o Defender para Endpoint. Para obter mais informações, veja Para desativar um agente.
Opção 2: Remover a configuração da área de trabalho do Defender para Endpoint
Pode utilizar qualquer um dos seguintes métodos:
- Remover a configuração da área de trabalho do Defender para Endpoint do agente MMA
- Executar um comando do PowerShell para remover a configuração
Remover a configuração da área de trabalho do Defender para Endpoint do agente MMA
Nas Propriedades do Agente de Monitorização da Microsoft, selecione o separador Azure Log Analytics (OMS).
Selecione a área de trabalho Defender para Ponto Final e selecione Remover.
Executar um comando do PowerShell para remover a configuração
Obtenha o ID da Área de Trabalho:
- No painel de navegação, selecione Definições>Inclusão.
- Selecione o sistema operativo relevante e obtenha o ID da Área de Trabalho.
Abra um PowerShell elevado e execute o seguinte comando. Utilize o ID da Área de Trabalho que obteve e substitua
WorkspaceID:$AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg # Remove OMS Workspace $AgentCfg.RemoveCloudWorkspace("WorkspaceID") # Reload the configuration and apply changes $AgentCfg.ReloadConfiguration()