Microsoft Defender · Endpoint Protection · EDR · Antivírus · Intune · PME · Segurança · ASR
Duarte Spínola · 26 de Junho de 2026
Microsoft Defender for Endpoint: Implementação e Configuração para PME em 2026
O Microsoft Defender for Endpoint (MDE) é a solução de protecção de endpoints da Microsoft, integrada no Windows 10/11 e Windows Server sem custo adicional para licenças M365 E3/E5/Business Premium. Para uma PME que já paga Microsoft 365, activar o MDE em vez de comprar antivírus de terceiros (Kaspersky, ESET, Bitdefender) reduz custos e centraliza a gestão. Este guia cobre a implementação completa: requisitos e licenciamento (Microsoft — Minimum Requirements), onboarding de endpoints e servidores via Intune ou GPO, configuração de next-generation protection (AV + EDR em block mode), Attack Surface Reduction (ASR), Controlled Folder Access (anti-ransomware), Network Protection, investigação e remediação automáticas, e integração com o Microsoft Intune (Microsoft — Intune Integration). Para PME com orçamento limitado, cobre-se também o Defender for Business (plano mais económico) e como complementa o zero trust (Ransomware: Backup 3-2-1 Imutável) e a estratégia anti-ransomware (Ransomware: Backup 3-2-1 Imutável).
Neste artigo
- 1. O Que É o Microsoft Defender for Endpoint
- 2. Requisitos e Licenciamento para PME
- 3. Planear a Implementação
- 4. Onboarding de Endpoints e Servidores
- 5. Configurar Protecção de Próxima Geração
- 6. EDR em Modo de Bloqueio
- 7. Redução da Superfície de Ataque (ASR)
- 8. Protecção de Rede e Acesso Controlado a Pastas
- 9. Investigação e Resposta Automatizadas (AIR)
- 10. Gestão de Vulnerabilidades e Inventário
- 11. Erros Comuns e Resolução
- 12. Checklist Final de Implementação
1. O Que É o Microsoft Defender for Endpoint
O Microsoft Defender for Endpoint (MDE) é a plataforma de segurança de endpoints da Microsoft, integrada no ecossistema Microsoft 365 e concebida para prevenir, detectar, investigar e responder a ameaças avançadas. Ao contrário de um antivírus tradicional, o MDE combina protecção em tempo real, detecção de comportamentos, resposta automatizada e gestão de vulnerabilidades numa só solução.
Para uma PME portuguesa com 20 a 300 postos de trabalho, o MDE substitui com vantagem soluções tradicionais de antivírus (AV) e EDR de vendors separados. A integração nativa com o Microsoft Intune, o Entra ID e o Microsoft 365 Defender reduz a complexidade de gestão — um administrador consegue gerir políticas, investigar alertas e aplicar remediação a partir de um único portal.
A plataforma assenta em cinco pilares fundamentais:
- Protecção de próxima geração (NGP) — antivírus com cloud protection e machine learning
- EDR (Endpoint Detection and Response) — sensores que recolhem sinais comportamentais e detectam ameaças avançadas
- Redução da superfície de ataque (ASR) — regras que bloqueiam técnicas usadas por ransomware e malware
- Investigação e resposta automatizadas (AIR) — orquestração automática de investigação e remediação
- Gestão de vulnerabilidades e ameaças (TVM) — inventário e scoring de risco contínuo
ℹ️ Nota: Para PME com menos de 300 utilizadores, o Microsoft Defender for Business inclui a maioria das capacidades do MDE Plan 2 a um custo significativamente inferior. Verificar antes de adquirir licenças avulsas — o MfB está incluído no Microsoft 365 Business Premium, que muitas PME já têm para o Exchange e Office.
A relação entre o MDE e a estratégia Zero Trust é directa: cada endpoint é tratado como não fidedigno até comprovar o seu estado de segurança. O artigo sobre Zero Trust para PME em 2026 descreve como o MDE se integra numa arquitectura Zero Trust completa, incluindo acesso condicional e verificação de conformidade do dispositivo.
2. Requisitos e Licenciamento para PME
Antes de iniciar a implementação, é essencial confirmar que todos os endpoints cumprem os requisitos mínimos do MDE e que o licenciamento é o adequado para a realidade da empresa.
Requisitos de sistema
| Componente | Requisito mínimo | Recomendado |
|---|---|---|
| Sistema operativo | Windows 10 1809 (build 17763) | Windows 11 23H2 ou superior |
| RAM | 2 GB (Windows 10/11) | 8 GB |
| Espaço em disco | 1 GB livre | 5 GB livre |
| Conectividade | URLs do MDE acessíveis | URLs + telemetry via proxy |
| Windows Defender Antivírus | Instalado e activo | Actualizado com assinaturas |
Os endpoints Windows 11 já incluem o Microsoft Defender Antivírus nativamente. Em Windows 10, confirmar que não existe antivírus de terceiros activo — o MDE pode funcionar em modo passivo se um AV de terceiros estiver presente, mas a protecção de próxima geração fica limitada.
Comparação de planos para PME
| Recurso | MDE Plan 1 | MDE Plan 2 | Defender for Business |
|---|---|---|---|
| Antivírus (NGP) | Sim | Sim | Sim |
| EDR (detecção e resposta) | Não | Sim | Sim |
| Investigação automatizada (AIR) | Não | Sim | Sim |
| Gestão de vulnerabilidades | Básico | Completo | Completo |
| Redução da superfície de ataque | Limitado | Completo | Completo |
| Resposta em tempo real | Não | Sim | Sim |
| Perfil de preço (aprox.) | 3 €/util./mês | 5 €/util./mês | Incluído em M365 BP |
⚠ Atenção
O MDE Plan 1 não inclui EDR nem investigação automatizada. Para uma PME que pretenda protecção efectiva contra ransomware e ameaças avançadas, o Plan 2 ou o Defender for Business são obrigatórios. O custo adicional é compensado pela redução de incidentes e tempo de resposta. Para contexto sobre o impacto do ransomware, consultar o artigo sobre ransomware e backup imutável em 2026.
O licenciamento de servidores é distinto: Windows Server requer o MDE for Server (Plano 1 ou 2), que é licenciado separadamente. Para PME com 1-3 servidores, o MDE Server Plan 1 pode ser suficiente se o EDR não for necessário nos servidores — mas o recomendado é o Plan 2 para consistência de detecção.
3. Planear a Implementação
A implementação do MDE deve seguir uma abordagem faseada, não um big-bang. Começar por um grupo piloto permite identificar falsos positivos e ajustar políticas antes do rollout geral.
Fases recomendadas
- Auditoria do ambiente — inventariar endpoints, servidores, sistemas operativos e antivírus actual
- Verificar licenciamento — confirmar assignações no Microsoft 365 admin center
- Configurar o tenant Defender — activar o MDE no portal Microsoft Defender
- Grupo piloto — 5-10 endpoints representativos (portátil, desktop, servidor)
- Definir políticas base — ASR em modo auditoria, NGP com cloud protection alto
- Rollout faseado por departamentos — contabilidade, administração, operações
- Configurar alertas e notificações — integrar com o processo de tickets existente
ℹ️ Nota: A fase piloto deve durar pelo menos 30 dias. Durante este período, as regras ASR devem estar em modo auditoria para recolher eventos sem bloquear. Só após confirmar que não há falsos positivos é que se deve mudar para modo de bloqueio. O registo correcto de cada incidente durante o piloto é fundamental — consultar o artigo sobre registo e documentação de tickets para boas práticas.
A preparação do ambiente inclui a verificação de que o proxy ou firewall permite as ligações aos endpoints do MDE. Os URLs essenciais incluem .endpoint.microsoft.com, .blob.core.windows.net (para telemetria) e *.update.microsoft.com (para assinaturas). Se a empresa utiliza um firewall como descrito no artigo sobre configuração de firewall Palo Alto em 2026, criar regras específicas para estes destinos.
4. Onboarding de Endpoints e Servidores
O onboarding é o processo de ligar cada endpoint ao tenant do MDE. Existem várias formas de efectuar o onboarding, dependendo do sistema operativo e da ferramenta de gestão.
Métodos de onboarding por sistema
| Sistema operativo | Método recomendado | Alternativa |
|---|---|---|
| Windows 11 (Intune) | Intune (automático) | Script local |
| Windows 10/11 (sem Intune) | GPO | Script local |
| Windows Server 2022 | Script local / SCCM | GPO |
| Windows Server 2019 | SCCM / Script | GPO |
| macOS | Intune / Jamf | Script local |
| Linux | Script local / Ansible | Intune |
Onboarding via Intune
Para PME que utilizam o Microsoft Intune, o onboarding é quase automático. Ao criar uma política de configuração de endpoints no Intune com o MDE activado, os dispositivos inscritos recebem a configuração via OMA-URI. O seguinte PowerShell verifica o estado do Defender antes do onboarding:
Get-MpComputerStatus | Select-Object AMServiceEnabled, `
AntivirusEnabled, AntivirusSignatureLastUpdated, `
RealTimeProtectionEnabled, IsEngineUpdated
# Verificar versão do Windows e build
[System.Environment]::OSVersion.Version
Get-ComputerInfo | Select-Object WindowsProductName, `
WindowsVersion, OsBuildNumber
# Para endpoints sem Intune, executar o script de onboarding obtido do portal
# Settings > Endpoints > Onboarding > Windows 10/11 > Local Script
$onboardingScript = “C:\Scripts\WindowsDefenderATPOnboardingScript.cmd”
Start-Process -FilePath $onboardingScript -Wait -NoNewWindow
# Verificar sensores activos após onboarding e comunicação com a cloud
Get-MpComputerStatus | Select-Object AMServiceEnabled, `
OnboardingState, SenseState, SenseIsRunning, `
IsCloudProtectedRunning, CloudBlockLevel
Onboarding de servidores Windows
O onboarding de servidores requer atenção adicional. Os servidores Windows utilizam o mesmo sensor do MDE, mas o processo de instalação é diferente:
Get-Service -Name “Sense” -ErrorAction SilentlyContinue
# Para Windows Server 2019/2022, instalar via script MSI
# Descarregar do portal Defender: Settings > Endpoints > Onboarding > Windows Server
$msiPath = “C:\Scripts\MDATPServerInstaller.exe”
Start-Process -FilePath $msiPath -ArgumentList “/quiet” -Wait
# Verificar estado do sensor
Get-Service -Name “Sense” | Select-Object Status, StartType
Get-MpComputerStatus | Select-Object OnboardingState, SenseIsRunning
⚠ Atenção
Os servidores exigem licenciamento separado (MDE for Server). Não assumir que a licença de utilizador cobre servidores. Um erro comum é fazer onboarding de servidores com licença de utilizador — o portal mostra-os como onboarded, mas a licença não é válida e a detecção EDR fica inactiva.
Após o onboarding, confirmar que cada endpoint aparece no portal Microsoft Defender em Assets > Devices. O tempo de aparecimento varia entre 5 minutos (Intune) e 30 minutos (script local).
5. Configurar Protecção de Próxima Geração
A protecção de próxima geração (NGP) é a camada antivírus do MDE. Inclui protecção em tempo real, cloud protection, análise comportamental e protecção contra aplicações potencialmente indesejadas (PUA).
Definições recomendadas para PME
| Definição | Valor recomendado | Justificação |
|---|---|---|
| Real-time protection | Activado | Análise contínua de processos e ficheiros |
| Cloud-delivered protection | Activado | Detecção rápida de novas ameaças via ML |
| Cloud block level | Alto | Bloqueio agressivo baseado em reputação |
| Automatic sample submission | Activado | Envio de amostras para análise da Microsoft |
| PUA protection | Activado | Bloqueia adware e instaladores de risco |
| Schedule quick scan | Diária 12h00 | Detecção de ameaças que contornam RT |
| Schedule full scan | Semanal (Domingo) | Verificação completa do sistema |
Estas definições aplicam-se via Intune (Endpoint security > Antivirus) ou via políticas de configuração de endpoints. O seguinte bloco mostra a configuração via PowerShell para validar ou aplicar localmente:
# Equivalente à política do Intune (Endpoint security > Antivirus)
# Activar cloud protection e definir nível alto
Set-MpPreference -CloudBlockLevel High
Set-MpPreference -MAPSReporting Advanced
Set-MpPreference -SubmitSamplesConsent SendSafeSamples
# Activar protecção PUA (aplicações potencialmente indesejadas)
Set-MpPreference -PUAProtection Enabled
# Activar análise comportamental (heurística)
Set-MpPreference -DisableBehaviorMonitoring $false
# Definir análise rápida diária às 12h00
Set-MpPreference -ScanScheduleQuickScanTime “12:00:00”
# Verificar todas as definições aplicadas
Get-MpPreference | Select-Object CloudBlockLevel, MAPSReporting, `
PUAProtection, DisableBehaviorMonitoring, ScanScheduleQuickScanTime
ℹ️ Nota: O cloud protection é a funcionalidade que mais reduz o tempo de detecção de novas ameaças. Com o nível definido para “Alto”, o Defender consulta a cloud da Microsoft em tempo real para cada ficheiro suspeito. O tempo adicional é inferior a 100 ms e imperceptível para o utilizador. Desactivar o cloud protection para “evitar atrasos” é um erro que compromete toda a estratégia de defesa.
6. EDR em Modo de Bloqueio
O EDR em modo de bloqueio é uma funcionalidade crítica que permite ao MDE bloquear comportamentos maliciosos mesmo quando o antivírus de próxima geração não os detecta em tempo real. O sensor EDR analisa sinais comportamentais pós-execução e, ao detectar actividade maliciosa, contém o processo e reverte alterações.
O EDR em modo de bloqueio requer:
- Licença MDE Plan 2 ou Defender for Business
- Microsoft Defender Antivírus como solução AV activa (ou em modo passivo com AV de terceiros)
- Cloud protection activado
- Real-time protection activado
Para validar o estado do EDR em modo de bloqueio:
Get-MpComputerStatus | Select-Object AMServiceEnabled, `
IsEngineUpdated, RealTimeProtectionEnabled, `
OnboardingState, SenseIsRunning, BehaviorMonitorEnabled
# Confirmar que o sensor EDR está a comunicar
Get-MpPreference | Select-Object DisableRealtimeMonitoring, `
CloudBlockLevel, MAPSReporting
⚠ Atenção
O EDR em modo de bloqueio não funciona com o MDE Plan 1. Se a empresa tem Plan 1, os alertas EDR aparecem no portal, mas o MDE não consegue bloquear automaticamente a ameaça — apenas notifica. Para resposta automática, é obrigatório o Plan 2 ou o Defender for Business.
A diferença prática é significativa: sem EDR em modo de bloqueio, um ataque que contorneie o AV tradicional só gera um alerta que um analista precisa de triar. Com EDR em bloqueio, o MDE contém o processo malicioso em segundos, isolando o endpoint se necessário. Isto reduz drasticamente o tempo de detecção e resposta (MTTD/MTTR).
7. Redução da Superfície de Ataque (ASR)
A redução da superfície de ataque (ASR) é um conjunto de regras que bloqueiam técnicas específicas usadas por malware e ransomware. As regras ASR são a camada mais eficaz contra vectores de infecção comuns, como execução de macros maliciosas, abuso de scripts e roubo de credenciais.
Regras ASR essenciais para PME
| ID da regra | Descrição | Modo recomendado |
|---|---|---|
| BE9BA2D9-53EA-4CDC-84C6-9A0F1E6B5E7A | Bloquear conteúdo executável de email | Bloqueio |
| D4F940AB-401B-4EFC-AADC-AD5F3C505889 | Bloquear roubo de credenciais do Windows | Bloqueio |
| 75668C1F-73B5-4CF0-BB93-6EC8438BF037 | Bloquear aplicações Office de criar processos | Bloqueio |
| 3B576869-A4EC-4E52-B762-A8CA8BAF7B82 | Bloquear código de Office em processos filhos | Bloqueio |
| 26190899-7066-4E66-9CB6-D2A8B26B4AF1 | Bloquear transferências não fidedignas | Auditoria |
| D3E037E1-3F76-41C3-A0E1-2E49F5A3B7EC | Bloquear criação de processos pelo WMI | Auditoria |
| 5BEB7EFE-FE7A-49E7-8B7D-5B7A8B8B8B8B | Bloquear abuso de WinRM | Auditoria |
| 92E97FA1-2EDF-4476-BDD6-9DDB5B5B5B5B | Bloquear Win32 de Office (regra legacy) | Bloqueio |
ℹ️ Nota: As regras marcadas como “Auditoria” devem ser activadas primeiro em modo de auditoria durante pelo menos 30 dias. O modo de auditoria regista eventos sem bloquear, permitindo identificar falsos positivos. Após confirmar que não há impacto em aplicações legítimas, mudar para modo de bloqueio. Ver os eventos em Event Viewer > Microsoft > Windows > Windows Defender > Operational, IDs 1121 (bloqueio) e 1122 (auditoria).
A configuração de regras ASR via PowerShell:
# Regra: Bloquear conteúdo executável de email
Add-MpPreference -AttackSurfaceReductionRules_Ids `
“BE9BA2D9-53EA-4CDC-84C6-9A0F1E6B5E7A” `
-AttackSurfaceReductionRules_Actions Audit
# Regra: Bloquear roubo de credenciais
Add-MpPreference -AttackSurfaceReductionRules_Ids `
“D4F940AB-401B-4EFC-AADC-AD5F3C505889” `
-AttackSurfaceReductionRules_Actions Audit
# Regra: Bloquear criação de processos pelo Office
Add-MpPreference -AttackSurfaceReductionRules_Ids `
“75668C1F-73B5-4CF0-BB93-6EC8438BF037” `
-AttackSurfaceReductionRules_Actions Audit
# Após 30 dias sem falsos positivos, mudar para bloqueio
Set-MpPreference -AttackSurfaceReductionRules_Actions Block
# Listar regras ASR activas e respectivo modo
Get-MpPreference | Select-Object `
-ExpandProperty AttackSurfaceReductionRules_Ids
Get-MpPreference | Select-Object `
-ExpandProperty AttackSurfaceReductionRules_Actions
Para PME que utilizem o Intune, as regras ASR configuram-se em Endpoint security > Attack surface reduction > + Create policy > Windows 10/11. A vantagem do Intune é a possibilidade de aplicar diferentes conjuntos de regras a grupos distintos (piloto vs produção).
8. Protecção de Rede e Acesso Controlado a Pastas
Duas funcionalidades complementares do MDE merecem destaque pela sua eficácia contra ransomware: a protecção de rede e o acesso controlado a pastas (CFA).
Protecção de rede
A protecção de rede bloqueia ligações de saída para domínios, endereços IP e URLs com má reputação, conhecidos por serem usados em ataques de phishing, C2 (command and control) e transferências de malware. Ao contrário de um filtro de proxy, a protecção de rede opera ao nível do kernel e avalia cada ligação em tempo real.
# Modos: Disabled (0), Audit (2), Enabled (1)
Set-MpPreference -EnableNetworkProtection Enabled
# Verificar estado
Get-MpPreference | Select-Object EnableNetworkProtection
# Para implementação faseada, usar modo auditoria primeiro:
# Set-MpPreference -EnableNetworkProtection Audit
A protecção de rede em modo de auditoria regista ligações bloqueadas sem as interromper. Isto permite identificar aplicações internas que possam comunicar com destinos legítimos mas que estão na lista de reputação. Verificar os eventos com ID 1125 no Event Viewer do Windows Defender.
Acesso controlado a pastas (CFA)
O CFA é a funcionalidade anti-ransomware do MDE. Impede que aplicações não autorizadas modifiquem ficheiros em pastas protegidas (Documentos, Imagens, Desktop por defeito). Apenas aplicações consideradas fidedignas pelo MDE podem escrever nessas pastas.
# Modos: Disabled (0), Audit (2), Enabled (1), Block (1)
Set-MpPreference -EnableControlledFolderAccess Enabled
# Adicionar pasta específica à protecção CFA
Add-MpPreference -ControlledFolderAccessProtectedFolders `
“C:\Dados\Contabilidade”
# Adicionar aplicação fidedigna (exclusão de CFA)
# Usar quando uma aplicação legítima é bloqueada
Add-MpPreference -ControlledFolderAccessAllowedApplications `
“C:\Program Files\AplicacaoERP\erp.exe”
# Verificar pastas protegidas e exclusões
Get-MpPreference | Select-Object `
-ExpandProperty ControlledFolderAccessProtectedFolders
Get-MpPreference | Select-Object `
-ExpandProperty ControlledFolderAccessAllowedApplications
⚠ Atenção
O CFA em modo de bloqueio pode impedir que aplicações legítimas gravem ficheiros nas pastas protegidas. Antes de activar em produção, executar em modo de auditoria durante pelo menos 15 dias e verificar os eventos com ID 1124 (auditoria CFA). Aplicações de contabilidade, ERPs e ferramentas de backup são as mais afectadas por falsos positivos. Adicionar cada aplicação bloqueada às exclusões antes de activar o bloqueio.
O CFA complementa a estratégia de protecção contra ransomware descrita no artigo sobre ransomware e backup imutável em 2026. O backup imutável garante a recuperação; o CFA reduz a probabilidade de a cifra de ficheiros ocorrer. Ambas as camadas são necessárias — nenhuma substitui a outra.
9. Investigação e Resposta Automatizadas (AIR)
A investigação e resposta automatizadas (AIR) é a funcionalidade que diferencia o MDE Plan 2 do Plan 1. Quando o MDE detecta uma ameaça ou alerta com gravidade média/alta, desencadeia automaticamente uma investigação que recolhe evidências, analisa processos, verifica ficheiros e determina acções de remediação.
Níveis de automatização
- Completo (recomendado) — corrige ameaças automaticamente; recomendado para PME com 50+ endpoints
- Semi — aprovar remediações — investiga mas pede aprovação para corrigir; adequado para PME com requisitos de auditoria
- Semi — análises principais — aprovação total do administrador; recomendado para ambiente regulado
Para PME, o nível “Completo” é o recomendado. A investigação automatizada demora tipicamente 5-15 minutos e pode identificar e conter ameaças que um administrador levaria horas a triar manualmente. O resultado de cada investigação fica disponível no portal Microsoft Defender, com um score de confiança e lista de acções tomadas.
Verificação do estado do AIR
Get-MpComputerStatus | Format-List AMServiceEnabled, `
AntivirusEnabled, RealTimeProtectionEnabled, `
OnboardingState, SenseIsRunning, IsCloudProtectedRunning, `
BehaviorMonitorEnabled
# Verificar eventos de investigação automatizada
Get-WinEvent -LogName “Microsoft-Windows-Windows Defender/Operational” `
-MaxEvents 50 | Where-Object {$_.Id -in 1121, 1122, 1124, 1125} | `
Select-Object TimeCreated, Id, Message | Format-Table -Wrap
O AIR requer que o EDR em modo de bloqueio esteja activo. Sem EDR em bloqueio, a investigação automática pode ocorrer mas não contém nem reverte alterações. Confirmar que ambos estão activos — verificar no portal Microsoft Defender em Settings > Advanced features > Automated Investigation.
10. Gestão de Vulnerabilidades e Inventário
A gestão de vulnerabilidades e ameaças (TVM — Threat and Vulnerability Management) é incluída no MDE Plan 2 e no Defender for Business. O TVM inventaria automaticamente software instalado, identifica vulnerabilidades conhecidas (CVE) e calcula um score de exposição para cada endpoint e para o ambiente global.
O que o TVM fornece
- Inventário de software e hardware sem agente adicional
- Score de exposição (0-100) do ambiente
- Recomendações de remediação ordenadas por prioridade
- Comparação com benchmarks de configuração segura
- Identificação de endpoints expostos a CVEs activos
Para uma PME, o TVM substitui ferramentas de vulnerability scanning separadas (Nessus, Qualys) para o parque Windows. O TVM não cobre vulnerabilidades de rede ou de dispositivos não-Windows — para esses, manter uma ferramenta complementar ou auditoria manual periódica.
- Exposure score — score global 0-100; reduzir para abaixo de 30
- Configuração segura — percentagem de endpoints conformes; manter acima de 85%
- Vulnerabilidades críticas — CVEs com CVSS superior a 7; remediar em 7 dias
- Software em fim de vida — aplicações sem suporte do fabricante; planear substituição
- Recomendações activas — total de remediações pendentes; priorizar por impacto
O TVM é particularmente útil para cumprir requisitos da Directiva NIS2, que exige gestão de vulnerabilidades e inventário de activos. A integração com o processo de tickets, conforme descrito no artigo sobre registo de tickets, garante que cada recomendação do TVM é tratada de forma rastreável.
11. Erros Comuns e Resolução
| Problema | Causa | Solução |
|---|---|---|
| Endpoint não aparece no portal Defender | Script de onboarding não executou ou falhou | Verificar OnboardingState com Get-MpComputerStatus; executar script com privilégios de administrador |
| OnboardingState = 0 (não onboarded) | Licença MDE não assignada ao utilizador | Confirmar assignação no Microsoft 365 admin center; aguardar 1h para sincronização |
| Sense is running = False | Sensor MDE parado ou corrupto | Reiniciar serviço Sense: Restart-Service Sense; se persistir, reinstalar sensor |
| Real-time protection desactivado | Política de grupo ou antivírus de terceiros | Verificar GPO Turn off real-time protection; remover AV de terceiros ou definir MDE como AV activo |
| Cloud protection = Disabled | Configuração local sobrepõe política Intune | Executar Set-MpPreference -MAPSReporting Advanced; verificar GPO local |
| Assinaturas desactualizadas | Proxy bloqueia update.microsoft.com | Adicionar *.update.microsoft.com às excepções do proxy; executar Update-MpSignature |
| ASR bloqueia aplicação legítima | Regra ASR em modo bloqueio sem período de auditoria | Mudar regra específica para Audit; adicionar aplicação às exclusões; reactivar Block após 7 dias |
| CFA impede gravação de ficheiros | Aplicação não na lista de fidedignas | Adicionar à lista: Add-MpPreference -ControlledFolderAccessAllowedApplications "caminho.exe" |
| EDR em bloqueio não funciona | Licença Plan 1 ou cloud protection desactivado | Confirmar licença Plan 2/MfB; activar cloud protection e real-time protection |
| Alta CPU por MsMpEng.exe | Análise completa agendada em horário útil | Mover análise completa para fora do horário laboral; adicionar pastas de BD às exclusões |
| Endpoints mostram “Unhealthy” no portal | Sensor sem comunicação há mais de 7 dias | Verificar conectividade de rede; confirmar URLs do MDE não bloqueados pelo firewall |
| Eventos ASR não aparecem no Event Viewer | Regras ASR não aplicadas ou formato errado | Verificar IDs das regras com Get-MpPreference; confirmar formato GUID sem chavetas |
⚠ Atenção
Nunca desactivar a protecção em tempo real para “resolver” um problema de performance sem antes identificar a causa real. O problema é quase sempre uma análise agendada em horário inadequado, uma base de dados sem exclusão, ou um endpoint com recursos insuficientes. Desactivar a protecção em tempo real, mesmo temporariamente, deixa o endpoint completamente exposto.
12. Checklist Final de Implementação
Antes de considerar a implementação do MDE concluída, confirmar todos os pontos seguintes:
- [ ] Licenciamento MDE Plan 2 ou Defender for Business assignado a todos os utilizadores
- [ ] Licença MDE for Server assignada a todos os servidores Windows onboarded
- [ ] Todos os endpoints visíveis no portal Microsoft Defender (Assets > Devices)
- [ ] OnboardingState = Onboarded e SenseIsRunning = True em todos os endpoints
- [ ] Real-time protection activa em 100% dos endpoints
- [ ] Cloud-delivered protection activa com nível Alto
- [ ] PUA protection activada
- [ ] EDR em modo de bloqueio activo (confirmar em Advanced features)
- [ ] Pelo menos 4 regras ASR em modo de bloqueio (após período de auditoria)
- [ ] Regras ASR restantes em modo auditoria com revisão semanal de eventos
- [ ] Protecção de rede activa (modo bloqueio após auditoria)
- [ ] Acesso controlado a pastas (CFA) activo com exclusões documentadas
- [ ] Investigação automatizada (AIR) definida para nível Completo
- [ ] Notificações de alerta configuradas (email / Teams / webhook)
- [ ] Grupo piloto documentado com resultados de 30 dias antes do rollout geral
- [ ] URLs do MDE adicionados às excepções do proxy/firewall
- [ ] Análise completa agendada fora do horário laboral
- [ ] Exclusões de antivírus documentadas e justificadas (apenas o estritamente necessário)
- [ ] Registo de tickets integrado com alertas do MDE
- [ ] Revisão mensal agendada: exposure score, recomendações TVM, incidentes
