Microsoft Defender for Endpoint: Guia de Implementação e Configuração para PME

Microsoft Defender for Endpoint · EDR · Attack Surface Reduction · Exploit Protection · PME · Segurança  |  ✎ Duarte Spínola  |  2026-06-27

Microsoft Defender for Endpoint · EDR · Attack Surface Reduction · Exploit Protection · PME · Segurança

O Microsoft Defender for Endpoint (MDE) é a plataforma de detecção e resposta de endpoints (EDR) incluída nos planos Microsoft 365 E3/E5 e disponível como standalone. Para uma PME portuguesa, o MDE oferece protecção avançada contra ransomware, phishing, exploits e comportamentos anómalos sem necessidade de instalar agentes third-party. A implementação correcta envolve: verificar requisitos, fazer onboarding dos dispositivos (Windows, macOS, Linux), configurar attack surface reduction (ASR), ativar controlled folder access contra ransomware, e configurar exploit protection. Este guia percorre cada passo com comandos PowerShell reais e referências às fontes oficiais. Para o artigo sobre ransomware e backup imutável, consultar o Ransomware: Backup 3-2-1 Imutável; para Zero Trust, o artigo 03 (Zero Trust).

Neste artigo

  1. O Que É o Defender for Endpoint
  2. Requisitos e Licenciamento
  3. Onboarding via Script Local
  4. Onboarding via GPO
  5. Verificar Onboarding e Detecção
  6. Attack Surface Reduction (ASR)
  7. Controlled Folder Access: Protecção contra Ransomware
  8. Exploit Protection
  9. Configuração de Exclusões
  10. Alertas e Resposta Automática
  11. Erros Comuns na Implementação
  12. Checklist de Implementação

1. O Que É o Defender for Endpoint

O Defender for Endpoint é uma plataforma unificada de segurança de endpoints que combina antivirus de próxima geração (NGAV), EDR, investigação e resposta automatizadas (AIR), threat hunting e gestão de vulnerabilidades. Corre nativamente em Windows 10/11, Windows Server 2016+, macOS e Linux. A documentação oficial completa está em Microsoft Defender for Endpoint e a visão geral do antivirus em Microsoft Defender Antivirus.

ℹ️ Nota: O Defender for Endpoint é diferente do Windows Defender Antivirus que vem pré-instalado em todos os Windows. O antivirus básico oferece protecção em tempo real; o MDE adiciona EDR, telemetria na nuvem, portal centralizado (Microsoft Defender portal), e resposta automática. Para PME com 10+ dispositivos, o MDE é fortemente recomendado face a antivirus tradicionais. Para visão geral da protecção avançada, consultar Microsoft Defender ATP. Para protecção de próxima geração, consultar Next-generation protection.

2. Requisitos e Licenciamento

Antes de implementar, verificar os requisitos descritos em Minimum requirements:

Requisito Detalhe
Licença Microsoft 365 E5, E3 + MDE Plan 2, ou MDE standalone
Sistema operativo Windows 10/11 (Pro/Enterprise), Windows Server 2016/2019/2022/2025
Conectividade Acesso aos endpoints do MDE (ver lista de URLs)
Espaço em disco Mínimo 1 GB para dados do sensor
Memória RAM Mínimo 1 GB (recomendado 2 GB+)
Windows Defender Antivirus Deve estar ativo (modo passivo ou ativo)

⚠️ Atenção: O MDE requer conectividade à internet para enviar telemetria e receber actualizações de inteligência de ameaças. Em PME com proxy, configurar as URLs do MDE no allowlist do proxy. A lista de URLs está na documentação de configure endpoints. Sem acesso a estas URLs, o sensor não reporta e o dispositivo aparece como “Inactive” no portal.

3. Onboarding via Script Local

O método mais rápido para onboarding de dispositivos individuais é o script PowerShell gerado no portal Defender. A documentação está em Onboard using a local script.

# Descarregar o script de onboarding do portal Defender
# Microsoft Defender portal → Settings → Endpoints → Onboarding → Windows 10/11 → Local Script

# Executar o script (exemplo — o conteúdo real vem do portal)
.\WindowsDefenderATPOnboardingScript.cmd

# Verificar que o sensor está ativo
Get-MpComputerStatus | Select-Object AMServiceEnabled, AntivirusEnabled, RealTimeProtectionEnabled, OnboardingState

# Verificar estado do sensor via registo
$reg = Get-ItemProperty -Path “HKLM:\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status”
$reg | Select-Object OnboardingState, SenseId, OrgId
# OnboardingState = 1 significa onboarded

💡 Dica

Guardar o script de onboarding numa partilha interna acessível a todos os técnicos. Para PME sem MDM (Intune), o script pode ser executado manualmente em cada máquina ou via Task Scheduler com privilégios de SYSTEM.

4. Onboarding via GPO

Para PME com domínio Active Directory, o onboarding via GPO é mais escalável. O processo está documentado em Onboard and configure:

  1. Descarregar o ficheiro .zip de onboarding do portal Defender (GPO option)
  2. Extrair WindowsDefenderATP.admx e WindowsDefenderATP.adml para o Central Store de GPO
  3. Criar uma nova GPO ou editar uma existente
  4. Ir a Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Defender ATP
  5. Configurar Onboarding com o ID da organização e chave
  6. ativar Sample Sharing (envio de amostras para a nuvem)
  7. ativar Telemetry Reporting (frequência recomendada: Enhanced)
  8. Ligada à OU dos computadores

Para configuração detalhada via GPO, consultar Onboard using GPO. Para gestão de Windows 11 com Intune MDM, consultar o Windows 11 24H2/25H2: Migração Empresarial.

# Verificar aplicação da GPO numa máquina cliente
gpresult /r /scope computer | Select-String “Defender”

# Verificar configuração de telemetria
Get-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\Reporting” |
Select-Object AzureAADTokenIssued, Critical, Normal

# Forçar actualização de GPO
gpupdate /force

ℹ️ Nota: Após aplicar a GPO, reiniciar a máquina ou executar gpupdate /force para que o sensor inicie o onboarding. O dispositivo aparece no portal Defender em 5-15 minutos. Se não aparecer, verificar conectividade de rede e URLs do proxy.

5. Verificar Onboarding e Detecção

Após o onboarding, executar um teste de detecção para confirmar que o sensor comunica correctamente com a nuvem. O procedimento está em Run a detection test:

# Executar o teste de detecção (PowerShell como administrador)
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference=’silentlycontinue’;(new-object System.Net.WebClient).DownloadFile(‘http://127.0.0.1/$env:RANDOM?action=Run’, ‘C:\\test.txt’); Start-Process -FilePath C:\\test.txt

# Verificar estado do sensor
Get-MpComputerStatus |
Select-Object OnboardingState, AMServiceEnabled, AntivirusSignatureLastUpdated, QuickScanEndTime

# Verificar que o dispositivo aparece no portal via API (opcional)
# GET https://api.securitycenter.microsoft.com/api/machines

Estado do sensor Significado Acção
OnboardingState = 1 Onboarded e ativo Nenhuma — correcto
OnboardingState = 0 Não onboarded Re-executar script de onboarding
Device “Inactive” no portal Sem telemetria há > 7 dias Verificar conectividade e serviço “Sense”
Device “Impaired” Sensor com problemas Verificar Get-MpComputerStatus e event log

⚠️ Atenção: O teste de detecção gera um alerta real no portal Defender. Não executar em produção sem avisar a equipa de SOC ou, em PME sem SOC, sem verificar o portal imediatamente após. O alerta é esperado e deve ser marcado como “Expected” para não poluir o dashboard.

6. Attack Surface Reduction (ASR)

As regras de Attack Surface Reduction reduzem a superfície de ataque bloqueando comportamentos comuns usados por malware: execução de Office macros que criam processos, scripts obfuscados, execução de email attachments, etc. A documentação está em Attack surface reduction.

# Listar regras ASR e respectivo estado
Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions

# ativar regras ASR em modo Audit (recomendado para primeira implementação)
# IDs das regras mais importantes para PME:
$asrRules = @{
“Be9372c9-1e6b-4f93-8c89-2c8e5b6f4c52” = “Block Office communication apps from creating child processes”
“D4F940AB-401B-4EFC-AADC-AD5F3C501882” = “Block all Office applications from creating child processes”
“75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84” = “Block Office applications from injecting code into other processes”
“3B576869-A4EC-4529-8536-B80A7769E899” = “Block Office applications from creating executable content”
“26190899-1602-49E8-8B27-EB1D0A1CE869” = “Block Office communication apps from creating child processes”
“E6DB77E5-3D92-4F76-9C95-2C5F5B6E3D42” = “Block untrusted and unsigned processes that run from USB”
“B2B3F03D-6A65-4F7B-A9C0-4B6E7B5B7B7B” = “Block credential extraction”
}

# Aplicar regras em modo Audit (0 = Disabled, 1 = Block, 2 = Audit, 6 = Warn)
foreach ($rule in $asrRules.Keys) {
Add-MpPreference -AttackSurfaceReductionRules_Ids $rule -AttackSurfaceReductionRules_Actions 2
Write-Host “Audit: $($asrRules[$rule])”
}

# Após 30 dias de auditoria sem falsos positivos, mudar para Block (1)
# Add-MpPreference -AttackSurfaceReductionRules_Ids $rule -AttackSurfaceReductionRules_Actions 1

ℹ️ Nota: Implementar as regras ASR sempre em modo Audit primeiro (Action = 2) durante 30 dias. Recolher os eventos no Event Viewer (Microsoft-Windows-Windows Defender/Operational, Event ID 1121 para bloqueio, 1122 para auditoria) e identificar falsos positivos. Só depois mudar para Block. Aplicar Block directamente sem auditoria pode quebrar aplicações legadas, especialmente ERPs e software de contabilidade portugueses. Para configuração detalhada de ASR, consultar Enable attack surface reduction. Para protecção em tempo real, consultar Configure real-time protection.

7. Controlled Folder Access: Protecção contra Ransomware

O Controlled Folder Access (CFA) protege pastas sensíveis (Documentos, Imagens, Desktop) contra modificações por aplicações não autorizadas — a principal defesa contra ransomware. A documentação está em Controlled folder access.

# ativar Controlled Folder Access em modo Audit
Set-MpPreference -EnableControlledFolderAccess AuditMode

# Verificar estado
Get-MpPreference | Select-Object EnableControlledFolderAccess

# Adicionar pastas adicionais à protecção (para além das predefinidas)
Add-MpPreference -ControlledFolderAccessProtectedFolders “C:\Empresa\Contabilidade”

# Adicionar aplicações trusted (whitelist) que precisam de escrever nas pastas
Add-MpPreference -ControlledFolderAccessAllowedApplications “C:\Program Files\ERP\erp.exe”

# Após auditoria, ativar em modo Block
Set-MpPreference -EnableControlledFolderAccess Enabled

Modo CFA Comportamento Event ID
Disabled Sem protecção
Audit Regista tentativas mas não bloqueia 1124
Enabled Bloqueia escritas não autorizadas 1123
Audit + Block Bloqueia e regista 1123

⚠️ Atenção: Aplicações legadas (software de facturação, ERP local) podem ser bloqueadas pelo CFA. Em modo Audit, identificar os falsos positivos no Event Viewer e adicionar as aplicações ao whitelist com Add-MpPreference -ControlledFolderAccessAllowedApplications. Nunca ativar Block sem auditoria prévia em PME com software de contabilidade.

8. Exploit Protection

O Exploit Protection aplica mitigações ao nível do processo (DEP, ASLR, CFG, proteção de payload) que dificultam a exploração de vulnerabilidades. A documentação está em Enable exploit protection.

# Verificar configuração actual do Exploit Protection
Get-ProcessMitigation -System

# Aplicar configuração predefinida do Windows (recomendado para PME)
# O ficheiro de configuração pode ser exportado e importado

# Exportar configuração actual
Get-ProcessMitigation -System | Export-Clixml -Path “.\exploit_protection_backup.xml”

# Aplicar mitigações do sistema
Set-ProcessMitigation -System -Enable DEP,SEHOP,ForceRelocateImages,BottomUp,HighEntropy,CFG

# Verificar mitigações de um processo específico
Get-ProcessMitigation -ProcessName “outlook.exe”

💡 Dica

O Windows 10/11 já vem com Exploit Protection ativo por defeito para processos do sistema. Para aplicações de terceiros (ERP, browser, Office), aplicar mitigações adicionais via Set-ProcessMitigation -Name. Testar cada mitigação individualmente — DEP e ASLR podem quebrar aplicações antigas compiladas sem suporte.

9. Configuração de Exclusões

Exclusões são necessárias para evitar conflitos com software legítimo (ERP, backup, ferramentas de desenvolvimento), mas devem ser minimizadas:

# Verificar exclusões actuais
Get-MpPreference | Select-Object -Property ExclusionPath*, ExclusionProcess*, ExclusionExtension*

# Adicionar exclusão de pasta (apenas quando confirmada como necessária)
Add-MpPreference -ExclusionPath “C:\Empresa\ERP\Data”

# Adicionar exclusão de processo
Add-MpPreference -ExclusionProcess “C:\Program Files\ERP\erp.exe”

# Adicionar exclusão de extensão (evitar — preferir exclusão de pasta)
Add-MpPreference -ExclusionExtension “.dbf”

# Remover exclusão (revisão periódica)
Remove-MpPreference -ExclusionPath “C:\Empresa\ERP\Data”

Tipo de exclusão Risco Recomendação
Pasta Médio — malware na pasta não é detectado Apenas para dados de aplicações legítimas
Processo Alto — processo excluído não é monitorizado Apenas para processos assinados e confiáveis
Extensão Muito alto — qualquer ficheiro com extensão é ignorado Evitar; usar apenas em casos excepcionais

⚠️ Atenção: Exclusões excessivas são uma das principais causas de infecções bem-sucedidas em PME. Rever exclusões trimestralmente e remover as que já não são necessárias. Nunca excluir pastas de utilizador (Documentos, Desktop), temporárias do sistema, ou extensões executáveis (.exe, .dll, .ps1). Para mais detalhes sobre ransomware, consultar o Ransomware: Backup 3-2-1 Imutável.

10. Alertas e Resposta Automática

O MDE pode executar respostas automáticas a alertas: isolar máquina, recolher pacote de investigação, executar antivírus scan, restringir execução de aplicações. A configuração faz-se no portal Defender via Settings → Endpoints → Advanced features.

# Verificar últimas detecções e acções
Get-MpThreatDetection | Sort-Object InitialDetectionTime -Descending |
Select-Object -First 10 ThreatID, Resources, InitialDetectionTime, ActionSuccess

# Verificar histórico de ameaças
Get-MpThreat | Select-Object ThreatName, SeverityID, ActiveTime, RemediationTime

# Forçar scan rápido
Start-MpScan -ScanType QuickScan

# Forçar scan completo (recomendado mensalmente)
Start-MpScan -ScanType FullScan

# atualizar assinaturas
Update-MpSignature

ℹ️ Nota: Para PME sem equipa de SOC dedicada, configurar email notifications no portal Defender para alertas de severidade Alta e Crítica. Definir um canal de resposta (ticket + contacto telefónico) para alertas críticos. A resposta automática (AIR — Automated Investigation and Response) está disponível no Plan 2 e pode isolar máquinas automaticamente em caso de detecção de ransomware.

11. Erros Comuns na Implementação

Problema Causa Solução
Device “Inactive” no portal Sensor sem telemetria — proxy a bloquear URLs Configurar allowlist de URLs MDE no proxy
OnboardingState = 0 após script Script não executado como administrador Executar como SYSTEM ou administrador local
Regras ASR bloqueiam ERP ERP cria processos child ou escreve em pastas protegidas Auditoria 30 dias, adicionar ao whitelist
Controlled Folder Access bloqueia backup Software de backup escreve em pastas protegidas Adicionar executável do backup ao whitelist
Get-MpComputerStatus vazio Serviço Windows Defender desactivado via GPO Verificar GPO que desactiva Defender e remover/override
Dispositivos não aparecem no portal Telemetria definida como “None” via GPO Configurar telemetria para “Enhanced” ou “Advanced”
Exclusões não aplicadas Sintaxe incorrecta ou caminho relativo Usar caminhos absolutos e reiniciar serviço Defender
Start-MpScan falha com “0x80070005” Permissões insuficientes Executar como administrador local ou SYSTEM

12. Checklist de Implementação

  • [ ] Verificar licenciamento MDE (E5 ou Plan 2 standalone) para todos os dispositivos
  • [ ] Configurar allowlist de URLs MDE no proxy/firewall
  • [ ] Descarregar script de onboarding do portal Defender
  • [ ] Executar onboarding numa máquina piloto e verificar OnboardingState = 1
  • [ ] Executar teste de detecção e confirmar alerta no portal
  • [ ] Criar GPO de onboarding para todos os computadores do domínio
  • [ ] Configurar telemetria para “Enhanced” via GPO
  • [ ] ativar regras ASR em modo Audit durante 30 dias
  • [ ] Analisar eventos ASR (Event ID 1122) e identificar falsos positivos
  • [ ] Migrar ASR para Block após auditoria sem impactos
  • [ ] ativar Controlled Folder Access em Audit; identificar whitelist
  • [ ] Migrar CFA para Block após validação
  • [ ] Configurar email notifications para alertas High/Critical
  • [ ] Rever exclusões trimestralmente e remover desnecessárias
  • [ ] Agendar scan completo mensal (Start-MpScan -ScanType FullScan)
  • [ ] Documentar implementação num ticket (Registar e Documentar Tickets Correctamente)

Artigos Relacionados

← Voltar ao Índice

Este artigo foi útil?

Duarte Spínola

Deixe um Comentário