Compartilhar via

Implementar Microsoft Defender segurança de ponto final em dispositivos Windows com a ferramenta de implementação do Defender (pré-visualização)

  • Aplica-se a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

A ferramenta de implementação do Defender é uma aplicação simples e de atualização automática concebida para simplificar a integração de todas as versões do Windows suportadas pela solução de segurança de ponto final do Defender. A ferramenta trata dos pré-requisitos, automatiza as migrações de soluções mais antigas e elimina a necessidade de scripts de inclusão complexos, transferências separadas e instalações manuais.

Com a interface de utilizador da ferramenta, os administradores podem fazer duplo clique na ferramenta e seguir uma sequência de instalação e inclusão interativa. Para implementações maiores, a ferramenta fornece opções de automatização com parâmetros de linha de comandos avançados para que possa integrar com plataformas de orquestração ou ferramentas de implementação personalizadas, como Política de Grupo, deixando no local as experiências fornecidas através de outras integrações de soluções da Microsoft, como o Intune e o Defender para a Cloud.

As funcionalidades suportadas pela ferramenta incluem:

  • Processamento de pré-requisitos: a ferramenta verifica se existem atualizações necessárias e corrija problemas de bloqueio, garantindo que os dispositivos estão prontos para a integração do Defender.

  • Registo: todas as operações são registadas localmente num registo detalhado.

  • Prevenção de instalação redundante: se o Defender já estiver presente, a ferramenta ignora as instalações redundantes.

  • Feedback da IU: a ferramenta fornece feedback da IU com descrições de erros em vez de códigos de saída.

  • Suporte para o modo passivo: nos sistemas operativos do servidor e no Windows 7, Defender Antivírus podem ser definidos como modo passivo. Isto pode ser útil ao migrar de soluções antimalware que não sejam da Microsoft.

  • Automatização: a ferramenta suporta uma vasta gama de opções de linha de comandos.

  • Processamento de dispositivos: Virtual Desktop Infrastructure suporte de dispositivos (VDI) garante que os dispositivos eliminados e recriados com o mesmo nome de anfitrião podem aparecer como um único dispositivo no portal do Defender.

  • Ajuda: uma função de ajuda incorporada apresenta todas as opções da linha de comandos disponíveis.

  • Ficheiros de configuração: pode gerar ficheiros de configuração reutilizáveis que tornam as implementações em massa mais eficientes e menos propensas a erros.

  • Trabalhar sem conectividade: quando a conectividade está temporariamente indisponível, a integração offline e a exclusão são possíveis.

Quando a experiência interativa de duplo clique é utilizada, a ferramenta tira partido automaticamente do ficheiro WindowsDefenderATP.onboarding no mesmo diretório. Processará a instalação da maioria das atualizações de pré-requisitos e dos componentes mais recentes do Defender e ligará o dispositivo aos serviços do Defender. Se necessário, a ferramenta irá pedir-lhe para reiniciar o dispositivo para concluir a instalação depois de iniciar sessão novamente.

Para implementações mais avançadas e em grande escala, a ferramenta oferece funcionalidades para executar passos adicionais e orquestrados através de parâmetros da linha de comandos ou de um ficheiro de configuração.

Para ver a referência de comandos completa depois de transferir a ferramenta, execute: DefenderDT.exe -?.

Sistemas operacionais com suporte

A ferramenta de implementação do Defender suporta os seguintes sistemas operativos: Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012 R2, 2016, 2019, 2022, 2025, Windows 10 (versão 1809 e mais recente) e todas as versões do Windows 11.

Observação

A solução de segurança de ponto final do Defender que a ferramenta de implementação instala em dispositivos Windows 7 SP1 e Windows Server 2008 R2 SP1 está em pré-visualização e é diferente daquela para versões mais recentes do Windows e Windows Server. Para obter mais informações, consulte Implementar a solução de segurança de ponto final do Defender para dispositivos Windows 7 SP1 e Windows Server 2008 R2 SP1.

Pré-requisitos

Existem pré-requisitos que dizem respeito a todos os dispositivos Windows e Windows Server suportados, bem como pré-requisitos específicos para dispositivos Windows 7 SP1 e Windows Server 2008 R2 SP1.

Pré-requisitos gerais

  • Os privilégios administrativos são necessários para a maioria das operações.

  • As funcionalidades de pré-visualização têm de estar ativadas no inquilino.

  • Acesso ao domínio definitionupdates.microsoft.com. A ferramenta é transferida e atualizada a partir deste domínio. Uma vez que os ficheiros que transfere estão alojados numa plataforma de distribuição de conteúdos, não existirão intervalos de IP estáticos ou previsíveis associados – ao contrário de outros serviços cloud do Defender.

  • Embora a ferramenta marcar para conectividade com o seu inquilino específico antes de continuar, outros requisitos de conectividade, como o acesso ao *.endpoint.security.microsoft.com/*consolidado, aplicam-se à funcionalidade (adicional) que poderá querer utilizar com o produto. Veja Configurar o ambiente de rede para garantir a conectividade com o serviço Defender para Endpoint.

Pré-requisitos adicionais para o Windows 7 SP1 e Windows Server 2008 R2 SP1

  • Os dispositivos têm de ter uma versão x64 do Windows 7 SP1 ou Windows Server 2008 R2 SP1. Recomendamos ter as atualizações mais recentes instaladas para evitar reinícios e reduzir significativamente o tempo de instalação necessário.

  • Para que a ferramenta de implementação do Defender seja executada no Windows 7 SP1 ou Windows Server 2008 R2 SP1, no mínimo, a atualização KB4474419 para assinatura de código SHA2 tem de ser instalada.

    • Atualização da pilha de manutenção (SSU) (KB4490628). Se utilizar Windows Update, a SSU necessária será disponibilizada automaticamente.

    • Atualização SHA-2 (KB4474419) disponibilizada a 10 de setembro de 2019. Se utilizar Windows Update, a atualização SHA-2 necessária será disponibilizada automaticamente.

  • Em dispositivos Server 2008 R2 SP1, o .NET 3.5 ou uma versão superior do .NET Framework também têm de ser instalados.

R2 SP1, no mínimo, as atualizações para assinatura de código SHA2 têm de ser instaladas:

Atualização da pilha de manutenção (SSU) (KB4490628). Se utilizar Windows Update, a SSU necessária será disponibilizada automaticamente.

Atualização SHA-2 (KB4474419) disponibilizada a 10 de setembro de 2019. Se utilizar Windows Update, a atualização SHA-2 necessária será disponibilizada automaticamente.

Observação

Para o Windows 7 SP1, Windows Server 2008 R2 e Windows Server 2012, a solução de segurança de ponto final do Defender que será instalada está atualmente em pré-visualização pública. Para obter mais informações sobre a segurança do ponto final do Defender para dispositivos Windows 7 SP1 e Windows Server 2008 R2, consulte Implementar a solução de segurança de ponto final do Defender para dispositivos Windows 7 SP1 e Windows Server 2008 R2 SP1.

Transferir a ferramenta

  1. No portal do Microsoft Defender (security.microsoft.com), aceda a Inclusão dePontos Finais>de Definições> do Sistema>.

  2. No menu pendente Passo 1, selecione Windows (pré-visualização).

  3. Em Implementar ao transferir e aplicar pacotes ou ficheiros, selecione o botão Transferir pacote . Esta ação transfere o executável do Defender e o pacote de ficheiros de inclusão.

    Captura de ecrã a mostrar o botão Transferir pacote no portal do Microsoft Defender.

    Observação

    Para a exclusão, selecione Exclusão na secção Gestão de dispositivos, selecione Windows 10 e 11 no menu pendente Passo 1 e, em seguida, selecione o botão Transferir pacote. Esta ação transfere apenas o pacote de ficheiros de exclusão - não transfere o executável da ferramenta de implementação do Defender, uma vez que é o mesmo para integração e exclusão.

Implementar a segurança do ponto final do Defender em dispositivos

A ferramenta de implementação do Defender pode ser utilizada interativa ou não interativamente.

Utilização interativa

A ferramenta suporta duas experiências interativas que são adequadas para implementação num ou num número limitado de dispositivos – uma experiência de integração rápida de máquina única de "duplo clique" sem alterações ao comportamento predefinido e uma experiência de linha de comandos manual que proporciona mais flexibilidade.

Para utilizar a instalação predefinida rápida de "duplo clique":

  1. Faça duplo clique no executável para o iniciar.

  2. Na caixa de diálogo apresentada, selecione Continuar.

    Captura de ecrã a ilustrar a execução da ferramenta de implementação do Defender no modo interativo.

    A ferramenta irá procurar o ficheiro WindowsDefenderATP.onboarding no diretório a partir do qual a ferramenta está a ser executada e executar operações de instalação e inclusão predefinidas.

Utilização não interativa

Também pode efetuar todas as operações de instalação e inclusão manualmente através da interface de linha de comandos. Além disso, a interface de linha de comandos suporta uma variedade de outras operações, como a execução de verificações de pré-requisitos:

Captura de ecrã a ilustrar a execução da ferramenta de implementação do Defender no modo de linha de comandos.

Para ver a referência de comandos completa, execute: DefenderDT.exe -?.

Implementações avançadas e em grande escala

A ferramenta de implementação do Defender pode ser utilizada de forma não interativa como parte de uma sequência orquestrada executada por uma ferramenta de gestão, como Política de Grupo, Microsoft Configuration Manager ou outra ferramenta que a sua organização utiliza para implementações de software.

Para esta finalidade, a ferramenta fornece parâmetros de linha de comandos opcionais que lhe permitem personalizar operações de inclusão para suportar uma grande variedade de cenários.

Captura de ecrã a mostrar a referência de comandos da ferramenta de implementação do Defender.

Para cenários de implementação repetitivos no seu ambiente, pode utilizar um ficheiro de configuração em vez da linha de comandos para transmitir parâmetros. Para gerar o ficheiro de configuração, execute a ferramenta com o -makeconfig parâmetro . Depois de o ficheiro ser criado, abra-o num editor de texto para configurar as opções de acordo com o seu cenário de implementação. Veja o exemplo de utilização.

Exemplos de utilização

Os exemplos seguintes ilustram como utilizar a ferramenta.

  • Execute a ferramenta de implementação do Defender sem alterar as definições e sem interagir com a mesma:

    DefenderDT.exe -Quiet

  • Utilize um ficheiro WindowsDefenderATP.onboarding no mesmo diretório que a ferramenta para executar a sequência de inclusão predefinida, ligar através de um proxy e, se for necessário reiniciar, inicie-o sem pedir. Não mostrar a janela da consola.

    DefenderDT.exe -Proxy:192.168.0.255:8080 -AllowReboot -Quiet

  • Utilize um ficheiro .onboarding armazenado numa localização de rede para executar a sequência de inclusão. Não mostrar a janela da consola.

    DefenderDT.exe -File:\\server\share\Defender.onboarding -Quiet

  • Executar uma operação de exclusão. Não peça aprovação. Não mostrar a janela da consola.

    DefenderDT.exe -Offboard -File:c:"\Defender deployment tooltest\WindowsDefenderATPOffboardingScript_valid_until_2025-04-02.offboarding" -YES -Quiet

  • Execute um pré-requisito marcar e apresente uma saída verbosa sem apresentar uma caixa de diálogo.

    DefenderDT.exe -PreCheck -Verbose -Quiet

  • Transfira atualizações e ficheiros de instalação para serem utilizados para teste para o diretório atual.

    DefenderDT.exe -Stage

  • Crie um ficheiro de configuração, edite-o e, em seguida, utilize-o para transmitir vários parâmetros à ferramenta para efetuar uma instalação através de ficheiros de instalação faseadas.

    • Passo 1: Gerar um ficheiro de configuração

      DefenderDT.exe -makeconfig

    • Passo 2: utilize um editor de texto, como o Bloco de Notas, para abrir o ficheiro MdeConfig.txt que foi criado no diretório e especificar os parâmetros que pretende utilizar. Exemplo:

      # Only absolute paths can be used for the parameters accepting paths

# Configures the tool to perform offboarding.

# Add the parameter "YES" to proceed with offboarding without user approval. 
# Offboard: False 

# Used with "Offboard" and "Uninstall" parameters. 
# Yes: False 

# Downloads the installation files for all Windows versions supported by the tool to a specific location for staging purposes. 
# Stage: 

# Specifies the path to the folder containing the installation files. To stage installation files, use the "Stage" parameter. 
# Source: 

# Specifies the full path to the .onboarding or .offboarding file if it is not placed in the current folder. 
# File: 

# Proxy to use during and after installation. Empty string by default. 
Proxy: 

# Prevents any dialogs from displaying. False by default. 
Quiet: False 

# Allows device reboots if needed. False by default 
AllowReboot: False 

# Prevents the tool from resuming activities after a reboot. False by default. 
NoResumeAfterReboot: False 

# Windows Server only. Sets Defender antivirus to run in passive mode. 
Passive: False 

# Installs updates but does not perform onboarding, even if an onboarding file is present. False by default. 
UpdateOnly: False 

# Displays detailed information. False by default. 
Verbose: False 

# Checks for prerequisites and logs results but does not proceed with installation or onboarding. False by default. 
Precheck: False 

# Offboards the device and uninstalls any components that were added during onboarding. 
# Will use the .offboarding file in the current folder if no path was specified. 
# Add the parameter "YES" to proceed without user approval. 
Uninstall: False 

# Optionally removes the specified workspace connection used by Microsoft Monitoring Agent (MMA). Empty string by default. 
RemoveMMA: 

# Allows offboarding to proceed even if there is no connectivity. False by default. 
Offline: False

    • Passo 3: execute a ferramenta com o ficheiro de configuração.

      DefenderDT.exe -File:\\server\DDT\Defenderconfig.txt

      Se o ficheiro MdeConfig.txt estiver armazenado no mesmo diretório que a ferramenta, não é necessário especificar um caminho.

Utilizar Política de Grupo para implementação

Os passos seguintes mostram como criar uma tarefa agendada para executar a ferramenta com Política de Grupo:

  1. Coloque os ficheiros DefenderDT.exe e WindowsDefenderATP.onboarding numa localização partilhada que possa ser acedida pelo dispositivo. Se já tiver criado um ficheiro de configuração MDEConfig.txt , coloque-o na mesma localização.

  2. Para criar um novo Objeto de Política de Grupo (GPO), abra a Consola de Gestão do Política de Grupo (GPMC), clique com o botão direito do rato Política de Grupo Objetos que pretende configurar e selecione Novo. Introduza o nome do novo GPO na caixa de diálogo apresentada e selecione OK.

  3. Abra a Consola de Gestão do Política de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo (GPO) que pretende configurar e selecione Editar.

  4. No Editor de Gestão de Política de Grupo, aceda aDefinições do painelPreferências> de Configuração> do computador Painel de controlo.

  5. Clique com o botão direito do rato em Tarefas agendadas, aponte para Nova e, em seguida, selecione Tarefa Imediata (Pelo menos Windows 7).

  6. Na janela Tarefa que é aberta, aceda ao separador Geral .

  7. Em Opções de segurança , selecione Alterar Utilizador ou Grupo, escreva SISTEMA e, em seguida, selecione Verificar Nomes e selecione OK. NT AUTHORITY\SYSTEM aparece como a conta de utilizador que a tarefa irá executar como.

  8. Selecione Executar se o utilizador tem sessão iniciada ou não e marcar a caixa Executar com privilégios mais elevados marcar.

  9. No campo Nome , escreva um nome adequado para a tarefa agendada.

  10. Aceda ao separador Ações e selecione Novo. Certifique-se de que Iniciar um programa está selecionado no campo Ação. Introduza o caminho UNC completo, utilizando o nome de domínio completamente qualificado (FQDN) do servidor de ficheiros da aplicação deDefenderDDT.exe partilhada.

  11. No campo Adicionar argumentos (opcional), introduza os parâmetros que pretende utilizar. Por exemplo, para utilizar um ficheiro de inclusão que não esteja no diretório de trabalho da ferramenta, especifique o parâmetro -file: com o caminho UNC completo para o ficheiro de inclusão, por exemplo -file: \\server\share\WindowsDefenderATP.onboarding.

  12. Selecione OK e feche todas as janelas de GPMC abertas.

  13. Para ligar o GPO a uma Unidade Organizacional (UO), clique com o botão direito do rato e selecione Ligar um GPO existente. Na caixa de diálogo apresentada, selecione o objeto Política de Grupo que pretende ligar e selecione OK.

Considerações e limitações

As considerações e limitações gerais e as considerações e limitações adicionais específicas dos dispositivos Windows 7 SP1 e Windows Server 2008 R2 SP1 estão descritas abaixo.

Considerações e limitações gerais

  • Quando estiver a utilizar a experiência interativa e for necessário reiniciar a sequência, tem de iniciar sessão novamente após o reinício para retomar. Caso contrário, o dispositivo não será totalmente integrado.

  • Quando o parâmetro -proxy é utilizado, só se aplica às operações da ferramenta de implementação do Defender. Apesar da descrição do parâmetro na referência de ajuda da linha de comandos, não define a configuração de proxy no registo para a segurança do ponto final do Defender utilizar após a instalação. Tenha em atenção que tanto a ferramenta como o Defender utilizarão qualquer proxy que tenha sido configurado a nível de todo o sistema (Windows), independentemente disso. Se quiser configurar especificamente um proxy para utilizar para os serviços de segurança de ponto final do Defender no computador (proxy estático) e não em todo o sistema, veja Configurar os seus dispositivos para ligar ao serviço Defender para Endpoint com um proxy.

  • No Windows Server 2016 e posterior, quando a funcionalidade Defender Antivírus tiver sido desinstalada ou removida, poderá encontrar um erro durante o passo "Windows-Defender" da Funcionalidade de Ativação. Isto pode ser observado na interface de utilizador, no registo local, em Conclusão da sequência com o código de saída 710 e a descrição do erro EnableFeatureFailed. No registo local, também poderá encontrar o erro 14081 com a descrição 0x3701 Não foi possível localizar a assemblagem referenciada. Este erro não é indicativo de um problema com a funcionalidade Defender Antivírus ou os ficheiros de origem, uma vez que estes normalmente seriam resolvidos pela ferramenta de inclusão. Abra um pedido de suporte para Windows Servers caso se depare com este problema.

Problemas conhecidos e limitações do Windows 7 SP1 e Windows Server 2008 R2 SP1

  • Poderá receber alertas sobre mpclient.dll, mpcommu.dll, mpsvc.dll, msmplics.dlle sense1ds.dll carregados por mpcmdrun.exe ou mssense.exe. Estes devem resolve ao longo do tempo.

  • No Windows 7 SP1 e no Windows Server 2008 R2 SP1 com o pacote Experiência de Utilização do Computador instalado, poderá ver uma notificação do Centro de Ação O Windows não encontrou software antivírus neste computador. Isto não é indicativo de um problema.

  • A versão de pré-visualização ("beta") da ferramenta de analisador de cliente pode ser utilizada para recolher registos e realizar a resolução de problemas de conectividade no Windows 7 SP1 e Windows Server 2008 R2 SP1. Requer a instalação do PowerShell 5.1 ou posterior.

  • Não existe uma interface de utilizador local para o Antivírus. Se quiser gerir as definições do Antivírus localmente com o PowerShell, é necessária a versão 5.1 ou posterior.

  • A configuração através de Política de Grupo é suportada através de um arquivo central com modelos de política de grupo atualizados num controlador de domínio. Para a configuração da política de grupo local, os modelos (WindowsDefender.admx/WindowsDefender.adml) terão de ser atualizados manualmente para uma versão mais recente (Windows 11) se pretender utilizar o editor de políticas de grupo local para aplicar as definições.

  • A solução de segurança do ponto final do Defender será instalada no C:\Program Files\Microsoft Defender for Endpoint

  • Os dispositivos Windows 7 podem aparecer como Servidor no portal até atualizar para a versão mais recente do Sense ao aplicar KB5005292.

  • Pode colocar Defender Antivírus no modo passivo no Windows 7 ao transmitir o parâmetro -passive para a ferramenta de implementação do Defender. No entanto, atualmente, não é possível mudar para o modo ativo posteriormente com a chave de registo ForceDefenderPassiveMode, como no servidor Windows. Para mudar para o modo ativo, é necessário desativar e desinstalar e, em seguida, executar a ferramenta de implementação do Defender novamente sem o parâmetro de modo passivo.

Solução de problemas

Pode referenciar o registo de ferramentas de implementação do Defender para compreender se ocorreram problemas durante a instalação e a integração. O registo da ferramenta de implementação está localizado em:

C:\ProgramData\Microsoft\DefenderDeploymentTool\DefenderDeploymentTool-<COMPUTERNAME>.log

Os eventos também serão escritos nos seguintes registos de eventos do Windows:

  • Inclusão: Origem da Aplicação > de Registos > do Windows: WDATPOnboarding

  • Exclusão: Origem da Aplicação > de Registos > do Windows: WDATPOffboarding

Para testar se a instalação foi bem-sucedida, execute as seguintes verificações:

  1. Verificar se os serviços estão em execução

    Sc.exe query sense
    Sc.exe query windefend

    Deverá ver algo semelhante ao seguinte para ambos os serviços:

    Captura de ecrã do status marcar de serviço.

  2. Para obter uma recolha detalhada de registos para Defender Antivírus, incluindo definições e outras informações, pode executar o seguinte comando:

    C:\Program Files\Microsoft Defender for Endpoint\MpCmdRun.exe” -GetFiles -SupportLogLocation <FOLDEROFCHOICE>

    A versão de pré-visualização mais recente da ferramenta de análise de cliente também pode ser utilizada para recolher registos e realizar a resolução de problemas de conectividade no Windows 7 SP1 e Windows Server 2008 R2 SP1. Requer a instalação do PowerShell 5.1 ou posterior.

Conteúdo relacionado

  • Last updated on