Microsoft Defender for Endpoint: Guia de Implementação e Configuração para PME
Microsoft Defender for Endpoint · EDR · Attack Surface Reduction · Exploit Protection · PME · Segurança | ✎ Duarte Spínola | 2026-06-27
Microsoft Defender for Endpoint · EDR · Attack Surface Reduction · Exploit Protection · PME · Segurança
O Microsoft Defender for Endpoint (MDE) é a plataforma de detecção e resposta de endpoints (EDR) incluída nos planos Microsoft 365 E3/E5 e disponível como standalone. Para uma PME portuguesa, o MDE oferece protecção avançada contra ransomware, phishing, exploits e comportamentos anómalos sem necessidade de instalar agentes third-party. A implementação correcta envolve: verificar requisitos, fazer onboarding dos dispositivos (Windows, macOS, Linux), configurar attack surface reduction (ASR), ativar controlled folder access contra ransomware, e configurar exploit protection. Este guia percorre cada passo com comandos PowerShell reais e referências às fontes oficiais. Para o artigo sobre ransomware e backup imutável, consultar o Ransomware: Backup 3-2-1 Imutável; para Zero Trust, o artigo 03 (Zero Trust).
Neste artigo
- O Que É o Defender for Endpoint
- Requisitos e Licenciamento
- Onboarding via Script Local
- Onboarding via GPO
- Verificar Onboarding e Detecção
- Attack Surface Reduction (ASR)
- Controlled Folder Access: Protecção contra Ransomware
- Exploit Protection
- Configuração de Exclusões
- Alertas e Resposta Automática
- Erros Comuns na Implementação
- Checklist de Implementação
1. O Que É o Defender for Endpoint
O Defender for Endpoint é uma plataforma unificada de segurança de endpoints que combina antivirus de próxima geração (NGAV), EDR, investigação e resposta automatizadas (AIR), threat hunting e gestão de vulnerabilidades. Corre nativamente em Windows 10/11, Windows Server 2016+, macOS e Linux. A documentação oficial completa está em Microsoft Defender for Endpoint e a visão geral do antivirus em Microsoft Defender Antivirus.
ℹ️ Nota: O Defender for Endpoint é diferente do Windows Defender Antivirus que vem pré-instalado em todos os Windows. O antivirus básico oferece protecção em tempo real; o MDE adiciona EDR, telemetria na nuvem, portal centralizado (Microsoft Defender portal), e resposta automática. Para PME com 10+ dispositivos, o MDE é fortemente recomendado face a antivirus tradicionais. Para visão geral da protecção avançada, consultar Microsoft Defender ATP. Para protecção de próxima geração, consultar Next-generation protection.
2. Requisitos e Licenciamento
Antes de implementar, verificar os requisitos descritos em Minimum requirements:
| Requisito | Detalhe |
|---|---|
| Licença | Microsoft 365 E5, E3 + MDE Plan 2, ou MDE standalone |
| Sistema operativo | Windows 10/11 (Pro/Enterprise), Windows Server 2016/2019/2022/2025 |
| Conectividade | Acesso aos endpoints do MDE (ver lista de URLs) |
| Espaço em disco | Mínimo 1 GB para dados do sensor |
| Memória RAM | Mínimo 1 GB (recomendado 2 GB+) |
| Windows Defender Antivirus | Deve estar ativo (modo passivo ou ativo) |
⚠️ Atenção: O MDE requer conectividade à internet para enviar telemetria e receber actualizações de inteligência de ameaças. Em PME com proxy, configurar as URLs do MDE no allowlist do proxy. A lista de URLs está na documentação de configure endpoints. Sem acesso a estas URLs, o sensor não reporta e o dispositivo aparece como “Inactive” no portal.
3. Onboarding via Script Local
O método mais rápido para onboarding de dispositivos individuais é o script PowerShell gerado no portal Defender. A documentação está em Onboard using a local script.
# Microsoft Defender portal → Settings → Endpoints → Onboarding → Windows 10/11 → Local Script
# Executar o script (exemplo — o conteúdo real vem do portal)
.\WindowsDefenderATPOnboardingScript.cmd
# Verificar que o sensor está ativo
Get-MpComputerStatus | Select-Object AMServiceEnabled, AntivirusEnabled, RealTimeProtectionEnabled, OnboardingState
# Verificar estado do sensor via registo
$reg = Get-ItemProperty -Path “HKLM:\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status”
$reg | Select-Object OnboardingState, SenseId, OrgId
# OnboardingState = 1 significa onboarded
💡 Dica
Guardar o script de onboarding numa partilha interna acessível a todos os técnicos. Para PME sem MDM (Intune), o script pode ser executado manualmente em cada máquina ou via Task Scheduler com privilégios de SYSTEM.
4. Onboarding via GPO
Para PME com domínio Active Directory, o onboarding via GPO é mais escalável. O processo está documentado em Onboard and configure:
- Descarregar o ficheiro
.zipde onboarding do portal Defender (GPO option) - Extrair
WindowsDefenderATP.admxeWindowsDefenderATP.admlpara oCentral Storede GPO - Criar uma nova GPO ou editar uma existente
- Ir a Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Defender ATP
- Configurar Onboarding com o ID da organização e chave
- ativar Sample Sharing (envio de amostras para a nuvem)
- ativar Telemetry Reporting (frequência recomendada: Enhanced)
- Ligada à OU dos computadores
Para configuração detalhada via GPO, consultar Onboard using GPO. Para gestão de Windows 11 com Intune MDM, consultar o Windows 11 24H2/25H2: Migração Empresarial.
gpresult /r /scope computer | Select-String “Defender”
# Verificar configuração de telemetria
Get-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\Reporting” |
Select-Object AzureAADTokenIssued, Critical, Normal
# Forçar actualização de GPO
gpupdate /force
ℹ️ Nota: Após aplicar a GPO, reiniciar a máquina ou executar gpupdate /force para que o sensor inicie o onboarding. O dispositivo aparece no portal Defender em 5-15 minutos. Se não aparecer, verificar conectividade de rede e URLs do proxy.
5. Verificar Onboarding e Detecção
Após o onboarding, executar um teste de detecção para confirmar que o sensor comunica correctamente com a nuvem. O procedimento está em Run a detection test:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference=’silentlycontinue’;(new-object System.Net.WebClient).DownloadFile(‘http://127.0.0.1/$env:RANDOM?action=Run’, ‘C:\\test.txt’); Start-Process -FilePath C:\\test.txt
# Verificar estado do sensor
Get-MpComputerStatus |
Select-Object OnboardingState, AMServiceEnabled, AntivirusSignatureLastUpdated, QuickScanEndTime
# Verificar que o dispositivo aparece no portal via API (opcional)
# GET https://api.securitycenter.microsoft.com/api/machines
| Estado do sensor | Significado | Acção |
|---|---|---|
| OnboardingState = 1 | Onboarded e ativo | Nenhuma — correcto |
| OnboardingState = 0 | Não onboarded | Re-executar script de onboarding |
| Device “Inactive” no portal | Sem telemetria há > 7 dias | Verificar conectividade e serviço “Sense” |
| Device “Impaired” | Sensor com problemas | Verificar Get-MpComputerStatus e event log |
⚠️ Atenção: O teste de detecção gera um alerta real no portal Defender. Não executar em produção sem avisar a equipa de SOC ou, em PME sem SOC, sem verificar o portal imediatamente após. O alerta é esperado e deve ser marcado como “Expected” para não poluir o dashboard.
6. Attack Surface Reduction (ASR)
As regras de Attack Surface Reduction reduzem a superfície de ataque bloqueando comportamentos comuns usados por malware: execução de Office macros que criam processos, scripts obfuscados, execução de email attachments, etc. A documentação está em Attack surface reduction.
Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions
# ativar regras ASR em modo Audit (recomendado para primeira implementação)
# IDs das regras mais importantes para PME:
$asrRules = @{
“Be9372c9-1e6b-4f93-8c89-2c8e5b6f4c52” = “Block Office communication apps from creating child processes”
“D4F940AB-401B-4EFC-AADC-AD5F3C501882” = “Block all Office applications from creating child processes”
“75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84” = “Block Office applications from injecting code into other processes”
“3B576869-A4EC-4529-8536-B80A7769E899” = “Block Office applications from creating executable content”
“26190899-1602-49E8-8B27-EB1D0A1CE869” = “Block Office communication apps from creating child processes”
“E6DB77E5-3D92-4F76-9C95-2C5F5B6E3D42” = “Block untrusted and unsigned processes that run from USB”
“B2B3F03D-6A65-4F7B-A9C0-4B6E7B5B7B7B” = “Block credential extraction”
}
# Aplicar regras em modo Audit (0 = Disabled, 1 = Block, 2 = Audit, 6 = Warn)
foreach ($rule in $asrRules.Keys) {
Add-MpPreference -AttackSurfaceReductionRules_Ids $rule -AttackSurfaceReductionRules_Actions 2
Write-Host “Audit: $($asrRules[$rule])”
}
# Após 30 dias de auditoria sem falsos positivos, mudar para Block (1)
# Add-MpPreference -AttackSurfaceReductionRules_Ids $rule -AttackSurfaceReductionRules_Actions 1
ℹ️ Nota: Implementar as regras ASR sempre em modo Audit primeiro (Action = 2) durante 30 dias. Recolher os eventos no Event Viewer (Microsoft-Windows-Windows Defender/Operational, Event ID 1121 para bloqueio, 1122 para auditoria) e identificar falsos positivos. Só depois mudar para Block. Aplicar Block directamente sem auditoria pode quebrar aplicações legadas, especialmente ERPs e software de contabilidade portugueses. Para configuração detalhada de ASR, consultar Enable attack surface reduction. Para protecção em tempo real, consultar Configure real-time protection.
7. Controlled Folder Access: Protecção contra Ransomware
O Controlled Folder Access (CFA) protege pastas sensíveis (Documentos, Imagens, Desktop) contra modificações por aplicações não autorizadas — a principal defesa contra ransomware. A documentação está em Controlled folder access.
Set-MpPreference -EnableControlledFolderAccess AuditMode
# Verificar estado
Get-MpPreference | Select-Object EnableControlledFolderAccess
# Adicionar pastas adicionais à protecção (para além das predefinidas)
Add-MpPreference -ControlledFolderAccessProtectedFolders “C:\Empresa\Contabilidade”
# Adicionar aplicações trusted (whitelist) que precisam de escrever nas pastas
Add-MpPreference -ControlledFolderAccessAllowedApplications “C:\Program Files\ERP\erp.exe”
# Após auditoria, ativar em modo Block
Set-MpPreference -EnableControlledFolderAccess Enabled
| Modo CFA | Comportamento | Event ID |
|---|---|---|
| Disabled | Sem protecção | — |
| Audit | Regista tentativas mas não bloqueia | 1124 |
| Enabled | Bloqueia escritas não autorizadas | 1123 |
| Audit + Block | Bloqueia e regista | 1123 |
⚠️ Atenção: Aplicações legadas (software de facturação, ERP local) podem ser bloqueadas pelo CFA. Em modo Audit, identificar os falsos positivos no Event Viewer e adicionar as aplicações ao whitelist com Add-MpPreference -ControlledFolderAccessAllowedApplications. Nunca ativar Block sem auditoria prévia em PME com software de contabilidade.
8. Exploit Protection
O Exploit Protection aplica mitigações ao nível do processo (DEP, ASLR, CFG, proteção de payload) que dificultam a exploração de vulnerabilidades. A documentação está em Enable exploit protection.
Get-ProcessMitigation -System
# Aplicar configuração predefinida do Windows (recomendado para PME)
# O ficheiro de configuração pode ser exportado e importado
# Exportar configuração actual
Get-ProcessMitigation -System | Export-Clixml -Path “.\exploit_protection_backup.xml”
# Aplicar mitigações do sistema
Set-ProcessMitigation -System -Enable DEP,SEHOP,ForceRelocateImages,BottomUp,HighEntropy,CFG
# Verificar mitigações de um processo específico
Get-ProcessMitigation -ProcessName “outlook.exe”
💡 Dica
O Windows 10/11 já vem com Exploit Protection ativo por defeito para processos do sistema. Para aplicações de terceiros (ERP, browser, Office), aplicar mitigações adicionais via Set-ProcessMitigation -Name. Testar cada mitigação individualmente — DEP e ASLR podem quebrar aplicações antigas compiladas sem suporte.
9. Configuração de Exclusões
Exclusões são necessárias para evitar conflitos com software legítimo (ERP, backup, ferramentas de desenvolvimento), mas devem ser minimizadas:
Get-MpPreference | Select-Object -Property ExclusionPath*, ExclusionProcess*, ExclusionExtension*
# Adicionar exclusão de pasta (apenas quando confirmada como necessária)
Add-MpPreference -ExclusionPath “C:\Empresa\ERP\Data”
# Adicionar exclusão de processo
Add-MpPreference -ExclusionProcess “C:\Program Files\ERP\erp.exe”
# Adicionar exclusão de extensão (evitar — preferir exclusão de pasta)
Add-MpPreference -ExclusionExtension “.dbf”
# Remover exclusão (revisão periódica)
Remove-MpPreference -ExclusionPath “C:\Empresa\ERP\Data”
| Tipo de exclusão | Risco | Recomendação |
|---|---|---|
| Pasta | Médio — malware na pasta não é detectado | Apenas para dados de aplicações legítimas |
| Processo | Alto — processo excluído não é monitorizado | Apenas para processos assinados e confiáveis |
| Extensão | Muito alto — qualquer ficheiro com extensão é ignorado | Evitar; usar apenas em casos excepcionais |
⚠️ Atenção: Exclusões excessivas são uma das principais causas de infecções bem-sucedidas em PME. Rever exclusões trimestralmente e remover as que já não são necessárias. Nunca excluir pastas de utilizador (Documentos, Desktop), temporárias do sistema, ou extensões executáveis (.exe, .dll, .ps1). Para mais detalhes sobre ransomware, consultar o Ransomware: Backup 3-2-1 Imutável.
10. Alertas e Resposta Automática
O MDE pode executar respostas automáticas a alertas: isolar máquina, recolher pacote de investigação, executar antivírus scan, restringir execução de aplicações. A configuração faz-se no portal Defender via Settings → Endpoints → Advanced features.
Get-MpThreatDetection | Sort-Object InitialDetectionTime -Descending |
Select-Object -First 10 ThreatID, Resources, InitialDetectionTime, ActionSuccess
# Verificar histórico de ameaças
Get-MpThreat | Select-Object ThreatName, SeverityID, ActiveTime, RemediationTime
# Forçar scan rápido
Start-MpScan -ScanType QuickScan
# Forçar scan completo (recomendado mensalmente)
Start-MpScan -ScanType FullScan
# atualizar assinaturas
Update-MpSignature
ℹ️ Nota: Para PME sem equipa de SOC dedicada, configurar email notifications no portal Defender para alertas de severidade Alta e Crítica. Definir um canal de resposta (ticket + contacto telefónico) para alertas críticos. A resposta automática (AIR — Automated Investigation and Response) está disponível no Plan 2 e pode isolar máquinas automaticamente em caso de detecção de ransomware.
11. Erros Comuns na Implementação
| Problema | Causa | Solução |
|---|---|---|
| Device “Inactive” no portal | Sensor sem telemetria — proxy a bloquear URLs | Configurar allowlist de URLs MDE no proxy |
OnboardingState = 0 após script |
Script não executado como administrador | Executar como SYSTEM ou administrador local |
| Regras ASR bloqueiam ERP | ERP cria processos child ou escreve em pastas protegidas | Auditoria 30 dias, adicionar ao whitelist |
| Controlled Folder Access bloqueia backup | Software de backup escreve em pastas protegidas | Adicionar executável do backup ao whitelist |
Get-MpComputerStatus vazio |
Serviço Windows Defender desactivado via GPO | Verificar GPO que desactiva Defender e remover/override |
| Dispositivos não aparecem no portal | Telemetria definida como “None” via GPO | Configurar telemetria para “Enhanced” ou “Advanced” |
| Exclusões não aplicadas | Sintaxe incorrecta ou caminho relativo | Usar caminhos absolutos e reiniciar serviço Defender |
Start-MpScan falha com “0x80070005” |
Permissões insuficientes | Executar como administrador local ou SYSTEM |
12. Checklist de Implementação
- [ ] Verificar licenciamento MDE (E5 ou Plan 2 standalone) para todos os dispositivos
- [ ] Configurar allowlist de URLs MDE no proxy/firewall
- [ ] Descarregar script de onboarding do portal Defender
- [ ] Executar onboarding numa máquina piloto e verificar
OnboardingState = 1 - [ ] Executar teste de detecção e confirmar alerta no portal
- [ ] Criar GPO de onboarding para todos os computadores do domínio
- [ ] Configurar telemetria para “Enhanced” via GPO
- [ ] ativar regras ASR em modo Audit durante 30 dias
- [ ] Analisar eventos ASR (Event ID 1122) e identificar falsos positivos
- [ ] Migrar ASR para Block após auditoria sem impactos
- [ ] ativar Controlled Folder Access em Audit; identificar whitelist
- [ ] Migrar CFA para Block após validação
- [ ] Configurar email notifications para alertas High/Critical
- [ ] Rever exclusões trimestralmente e remover desnecessárias
- [ ] Agendar scan completo mensal (
Start-MpScan -ScanType FullScan) - [ ] Documentar implementação num ticket (Registar e Documentar Tickets Correctamente)
