{"id":112,"date":"2026-06-15T17:00:04","date_gmt":"2026-06-15T17:00:04","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/15\/windows-defender-configurar-12-passos\/"},"modified":"2026-06-16T08:50:08","modified_gmt":"2026-06-16T08:50:08","slug":"windows-defender-configurar-12-passos","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/2026\/06\/15\/windows-defender-configurar-12-passos\/","title":{"rendered":"Windows Defender: Blindar o PC em 12 Passos [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">O <strong>Windows Defender<\/strong> deixou de ser o antiv\u00edrus fraco que muitos lembram de 2015. No ciclo de testes de janeiro e fevereiro de 2026, o AV-TEST atribuiu ao Microsoft Defender Antivirus a nota m\u00e1xima de 6\/6 em prote\u00e7\u00e3o, com 99,4% de dete\u00e7\u00e3o de amea\u00e7as zero-day. O problema \u00e9 que, na configura\u00e7\u00e3o de f\u00e1brica, o <strong>Windows Defender<\/strong> deixa de fora algumas das suas melhores defesas: as regras de redu\u00e7\u00e3o da superf\u00edcie de ataque (ASR), o acesso controlado a pastas e a prote\u00e7\u00e3o contra adultera\u00e7\u00e3o ficam desligadas ou em modo passivo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Este tutorial mostra, em 12 passos pr\u00e1ticos, como transformar o <strong>Windows Defender<\/strong> de f\u00e1brica num antiv\u00edrus endurecido ao n\u00edvel empresarial, usando apenas PowerShell e ferramentas j\u00e1 inclu\u00eddas no Windows 11. No fim, ter\u00e1 um script completo e reutiliz\u00e1vel que aplica todas as defesas de uma s\u00f3 vez, mais um plano de verifica\u00e7\u00e3o para confirmar que tudo est\u00e1 ativo. N\u00e3o precisa de pagar por software de terceiros para chegar l\u00e1.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"porque-endurecer-o-windows-defender-em-2026\">Porque endurecer o Windows Defender em 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A configura\u00e7\u00e3o padr\u00e3o do <strong>Windows Defender<\/strong> protege contra malware comum, mas assume um utilizador dom\u00e9stico que n\u00e3o quer fric\u00e7\u00e3o. As defesas mais agressivas ficam desativadas porque podem bloquear aplica\u00e7\u00f5es leg\u00edtimas mal escritas. Quem est\u00e1 disposto a fazer um pouco de afina\u00e7\u00e3o ganha um salto enorme de seguran\u00e7a sem instalar nada.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O contexto de 2026 torna isto urgente. Os ataques de ransomware mudaram de t\u00e1tica: cada vez mais grupos roubam dados e extorquem sem sequer encriptar ficheiros, como detalhamos na an\u00e1lise sobre <a href=\"\/pt\/ransomware-sem-encriptacao-2026\/\">ransomware sem encripta\u00e7\u00e3o<\/a>. Em Portugal, o volume de ataques continua a subir, com uma m\u00e9dia de 2.437 incidentes por organiza\u00e7\u00e3o e por semana segundo dados que reunimos sobre os <a href=\"\/pt\/ciberataques-portugal-2026\/\">ciberataques em Portugal<\/a>. As regras ASR e o acesso controlado a pastas atacam exatamente os vetores que estes grupos usam: macros do Office, scripts ofuscados e processos a escrever em pastas de documentos.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Antes de avan\u00e7ar, vale a pena perceber onde o Defender se posiciona face \u00e0s solu\u00e7\u00f5es pagas. Na nossa compara\u00e7\u00e3o entre <a href=\"\/pt\/windows-defender-vs-antivirus-pago\/\">Windows Defender e antiv\u00edrus pago<\/a>, o Defender atingiu 99,84% de dete\u00e7\u00e3o contra os 100% das melhores suites comerciais. A diferen\u00e7a, na pr\u00e1tica, fecha-se quase por completo quando se ativa o endurecimento que este guia descreve.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Funcionalidade<\/th><th>Estado de f\u00e1brica<\/th><th>Estado ap\u00f3s este guia<\/th><th>Vetor de ataque coberto<\/th><\/tr><\/thead><tbody><tr><td>Prote\u00e7\u00e3o em tempo real<\/td><td>Ativa<\/td><td>Ativa<\/td><td>Malware gen\u00e9rico<\/td><\/tr><tr><td>Prote\u00e7\u00e3o via nuvem<\/td><td>B\u00e1sica<\/td><td>Avan\u00e7ada (alta)<\/td><td>Amea\u00e7as novas \/ zero-day<\/td><\/tr><tr><td>Regras ASR<\/td><td>Desativadas<\/td><td>12 regras em Block<\/td><td>Macros, scripts, LSASS<\/td><\/tr><tr><td>Acesso Controlado a Pastas<\/td><td>Desativado<\/td><td>Ativo com allow-list<\/td><td>Ransomware<\/td><\/tr><tr><td>Prote\u00e7\u00e3o contra Adultera\u00e7\u00e3o<\/td><td>Vari\u00e1vel<\/td><td>Ativa<\/td><td>Malware que desliga o AV<\/td><\/tr><tr><td>Prote\u00e7\u00e3o de Rede<\/td><td>Desativada<\/td><td>Ativa (Block)<\/td><td>Dom\u00ednios e IP maliciosos<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"pre-requisitos-e-versoes-necessarias\">Pr\u00e9-requisitos e vers\u00f5es necess\u00e1rias<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Este tutorial foi testado em Windows 11 24H2, mas funciona em qualquer edi\u00e7\u00e3o recente. O Windows 10 chegou ao fim de suporte da Microsoft em 14 de outubro de 2025, por isso recomendamos vivamente o Windows 11 como base. Re\u00fana o seguinte antes de come\u00e7ar:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Sistema operativo:<\/strong> Windows 11 (vers\u00e3o 23H2 ou superior; ideal 24H2). As regras ASR exigem o Defender como antiv\u00edrus ativo, n\u00e3o em modo passivo.<\/li><li><strong>PowerShell:<\/strong> vers\u00e3o 5.1 (j\u00e1 inclu\u00edda) ou PowerShell 7.4+. O m\u00f3dulo <code>Defender<\/code> est\u00e1 presente por defeito nas duas.<\/li><li><strong>Privil\u00e9gios:<\/strong> conta de administrador local. Todos os comandos correm numa janela PowerShell elevada.<\/li><li><strong>Edi\u00e7\u00e3o do Windows:<\/strong> Home, Pro ou Enterprise. Algumas regras ASR registam apenas eventos (modo Audit) na edi\u00e7\u00e3o Home, mas a maioria bloqueia normalmente.<\/li><li><strong>Pol\u00edtica de grupo (opcional):<\/strong> em redes geridas, confirme que nenhuma pol\u00edtica de dom\u00ednio sobrep\u00f5e estas defini\u00e7\u00f5es antes de aplicar localmente.<\/li><li><strong>Backup:<\/strong> um ponto de restauro do sistema ou uma exporta\u00e7\u00e3o das defini\u00e7\u00f5es atuais. O Passo 12 mostra como exportar.<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Para abrir o PowerShell como administrador, prima a tecla Windows, escreva <code>powershell<\/code>, clique com o bot\u00e3o direito em &#8220;Windows PowerShell&#8221; e escolha &#8220;Executar como administrador&#8221;. Confirme a eleva\u00e7\u00e3o no aviso do Controlo de Conta de Utilizador (UAC).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"passo-1-verificar-o-estado-atual-do-defender\">Passo 1: Verificar o estado atual do Defender<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Nunca altere pol\u00edticas de seguran\u00e7a \u00e0s cegas. O primeiro passo \u00e9 fotografar o estado atual com <code>Get-MpComputerStatus<\/code>. Este cmdlet devolve o estado do motor, das assinaturas e da prote\u00e7\u00e3o em tempo real, e serve de linha de base para confirmar, no fim, que tudo mudou conforme o esperado.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Estado geral do Defender\nGet-MpComputerStatus | Select-Object `\n    AntivirusEnabled, `\n    RealTimeProtectionEnabled, `\n    AntispywareEnabled, `\n    BehaviorMonitorEnabled, `\n    IoavProtectionEnabled, `\n    NISEnabled, `\n    AMServiceEnabled, `\n    AntivirusSignatureVersion, `\n    AMEngineVersion<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Um resultado saud\u00e1vel mostra todos os campos booleanos a <code>True<\/code>. Exemplo de sa\u00edda t\u00edpica:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>AntivirusEnabled          : True\nRealTimeProtectionEnabled : True\nAntispywareEnabled        : True\nBehaviorMonitorEnabled    : True\nIoavProtectionEnabled     : True\nNISEnabled                : True\nAMServiceEnabled          : True\nAntivirusSignatureVersion : 1.429.1234.0\nAMEngineVersion           : 1.1.25010.1<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Se <code>AntivirusEnabled<\/code> aparecer como <code>False<\/code>, o Defender pode estar em modo passivo porque existe outro antiv\u00edrus instalado. Nesse caso, desinstale a solu\u00e7\u00e3o de terceiros antes de continuar, porque as regras ASR e o acesso controlado a pastas s\u00f3 funcionam com o Defender como antiv\u00edrus principal e ativo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"passo-2-atualizar-as-assinaturas-e-o-motor\">Passo 2: Atualizar as assinaturas e o motor<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Antes de endurecer, garanta que o motor e as defini\u00e7\u00f5es est\u00e3o atuais. Assinaturas desatualizadas baixam a taxa de dete\u00e7\u00e3o e podem fazer com que a prote\u00e7\u00e3o via nuvem n\u00e3o responda corretamente. O cmdlet <code>Update-MpSignature<\/code> for\u00e7a a transfer\u00eancia imediata das defini\u00e7\u00f5es mais recentes.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># For\u00e7ar atualiza\u00e7\u00e3o das assinaturas a partir do Microsoft Update\nUpdate-MpSignature -UpdateSource MicrosoftUpdateServer\n\n# Confirmar a idade das assinaturas (deve ser inferior a 24 horas)\nGet-MpComputerStatus | Select-Object `\n    AntivirusSignatureLastUpdated, `\n    AntispywareSignatureLastUpdated<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Se a empresa usar um servidor WSUS interno, troque o par\u00e2metro por <code>-UpdateSource InternalDefinitionUpdateServer<\/code>. Para m\u00e1quinas dom\u00e9sticas, o valor por defeito (<code>MicrosoftUpdateServer<\/code>) \u00e9 o correto. A atualiza\u00e7\u00e3o demora segundos numa liga\u00e7\u00e3o normal.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"passo-3-ativar-protecao-via-nuvem-ao-nivel-maximo\">Passo 3: Ativar prote\u00e7\u00e3o via nuvem ao n\u00edvel m\u00e1ximo<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A prote\u00e7\u00e3o via nuvem (Microsoft Advanced Protection Service, MAPS) \u00e9 o que d\u00e1 ao <strong>Windows Defender<\/strong> a capacidade de travar amea\u00e7as novas que ainda n\u00e3o t\u00eam assinatura. Por defeito, vem em n\u00edvel b\u00e1sico. Vamos elev\u00e1-la ao n\u00edvel alto e ativar o envio autom\u00e1tico de amostras, que melhora a dete\u00e7\u00e3o de ficheiros desconhecidos.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># MAPSReporting: 2 = Advanced (envia mais telemetria de amea\u00e7as)\nSet-MpPreference -MAPSReporting Advanced\n\n# SubmitSamplesConsent: 3 = enviar todas as amostras automaticamente\nSet-MpPreference -SubmitSamplesConsent SendAllSamples\n\n# N\u00edvel de prote\u00e7\u00e3o via nuvem: High bloqueia mais cedo\nSet-MpPreference -CloudBlockLevel High\n\n# Tempo extra de an\u00e1lise na nuvem (em segundos, m\u00e1ximo 50)\nSet-MpPreference -CloudExtendedTimeout 50<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">O par\u00e2metro <code>CloudBlockLevel High<\/code> torna o Defender mais agressivo a bloquear ficheiros suspeitos antes de os deixar executar. Em ambientes muito sens\u00edveis a falsos positivos, pode usar <code>Moderate<\/code>. Para uso pessoal ou de pequena empresa, <code>High<\/code> \u00e9 o equil\u00edbrio recomendado. Quem prioriza privacidade e quer reduzir telemetria pode definir <code>SubmitSamplesConsent<\/code> como <code>SendSafeSamples<\/code>, mas isso reduz ligeiramente a efic\u00e1cia da dete\u00e7\u00e3o na nuvem.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"passo-4-ativar-a-protecao-contra-adulteracao\">Passo 4: Ativar a Prote\u00e7\u00e3o contra Adultera\u00e7\u00e3o<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A Prote\u00e7\u00e3o contra Adultera\u00e7\u00e3o (Tamper Protection) impede que malware, ou um atacante com acesso local, desligue o Defender ou altere as suas defini\u00e7\u00f5es. \u00c9 uma camada cr\u00edtica: muitas fam\u00edlias de malware tentam, como primeiro passo, desativar o antiv\u00edrus. Esta defini\u00e7\u00e3o n\u00e3o pode ser ativada por <code>Set-MpPreference<\/code> por raz\u00f5es de seguran\u00e7a, tem de ser aplicada na interface ou por gest\u00e3o (Intune).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Verifique o estado atual por PowerShell e, se estiver desligada, ative-a manualmente:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Verificar se a Prote\u00e7\u00e3o contra Adultera\u00e7\u00e3o est\u00e1 ativa\nGet-MpComputerStatus | Select-Object IsTamperProtected, TamperProtectionSource<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Se <code>IsTamperProtected<\/code> devolver <code>False<\/code>, abra Seguran\u00e7a do Windows, v\u00e1 a &#8220;Prote\u00e7\u00e3o contra v\u00edrus e amea\u00e7as&#8221;, clique em &#8220;Gerir defini\u00e7\u00f5es&#8221; e ligue o interruptor &#8220;Prote\u00e7\u00e3o contra adultera\u00e7\u00e3o&#8221;. A partir desse momento, qualquer tentativa de alterar defini\u00e7\u00f5es cr\u00edticas por vias n\u00e3o autorizadas \u00e9 bloqueada e registada.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"passo-5-ativar-o-acesso-controlado-a-pastas-contra-ransomware\">Passo 5: Ativar o Acesso Controlado a Pastas contra ransomware<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">O Acesso Controlado a Pastas (Controlled Folder Access) \u00e9 a defesa anti-ransomware mais direta do <strong>Windows Defender<\/strong>. Impede que qualquer aplica\u00e7\u00e3o n\u00e3o autorizada escreva ou apague ficheiros em pastas protegidas, como Documentos, Imagens e Ambiente de Trabalho. Mesmo que um ransomware passe a dete\u00e7\u00e3o, n\u00e3o consegue cifrar os seus ficheiros.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Comece em modo de auditoria para descobrir que aplica\u00e7\u00f5es leg\u00edtimas escrevem nessas pastas, evitando bloqueios indesejados:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Fase 1: modo auditoria (regista, mas n\u00e3o bloqueia)\nSet-MpPreference -EnableControlledFolderAccess AuditMode\n\n# Aguarde alguns dias de uso normal, depois reveja os eventos:\nGet-WinEvent -LogName \"Microsoft-Windows-Windows Defender\/Operational\" |\n    Where-Object { $_.Id -eq 1124 -or $_.Id -eq 1123 } |\n    Select-Object TimeCreated, Id, Message -First 20<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">O evento 1124 indica acesso que seria bloqueado em modo ativo; o 1123 indica acesso j\u00e1 bloqueado. Depois de identificar as aplica\u00e7\u00f5es leg\u00edtimas (por exemplo, um editor de fotos ou software de backup), passe para modo de bloqueio e adicione exce\u00e7\u00f5es:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Fase 2: ativar o bloqueio efetivo\nSet-MpPreference -EnableControlledFolderAccess Enabled\n\n# Adicionar uma aplica\u00e7\u00e3o leg\u00edtima \u00e0 allow-list\nAdd-MpPreference -ControlledFolderAccessAllowedApplications `\n    \"C:\\Program Files\\MeuBackup\\backup.exe\"\n\n# Proteger uma pasta adicional (ex.: um disco de projetos)\nAdd-MpPreference -ControlledFolderAccessProtectedFolders \"D:\\Projetos\"<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Use sempre <code>Add-MpPreference<\/code> (e n\u00e3o <code>Set-MpPreference<\/code>) para as listas de aplica\u00e7\u00f5es e pastas, porque <code>Set<\/code> substitui toda a lista enquanto <code>Add<\/code> acrescenta sem apagar o que j\u00e1 existia. Esta distin\u00e7\u00e3o \u00e9 fonte de muitos erros, como veremos na sec\u00e7\u00e3o de pitfalls.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"passo-6-compreender-as-regras-asr-antes-de-as-aplicar\">Passo 6: Compreender as regras ASR antes de as aplicar<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">As regras de Redu\u00e7\u00e3o da Superf\u00edcie de Ataque (Attack Surface Reduction, ASR) s\u00e3o o cora\u00e7\u00e3o deste endurecimento. Cada regra bloqueia uma t\u00e9cnica concreta usada por malware: macros do Office a criar processos filho, scripts a lan\u00e7ar execut\u00e1veis transferidos, roubo de credenciais do LSASS, e assim por diante. Cada regra \u00e9 identificada por um GUID e pode estar em quatro estados.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Valor<\/th><th>Estado<\/th><th>Comportamento<\/th><\/tr><\/thead><tbody><tr><td>0<\/td><td>Disabled<\/td><td>Regra desligada (predefini\u00e7\u00e3o)<\/td><\/tr><tr><td>1<\/td><td>Block<\/td><td>Bloqueia e regista a a\u00e7\u00e3o<\/td><\/tr><tr><td>2<\/td><td>Audit<\/td><td>Regista, mas n\u00e3o bloqueia<\/td><\/tr><tr><td>6<\/td><td>Warn<\/td><td>Avisa o utilizador, que pode prosseguir<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">A estrat\u00e9gia profissional \u00e9 come\u00e7ar em <code>Audit<\/code> (2) durante uma a duas semanas, analisar os eventos gerados e s\u00f3 depois mudar para <code>Block<\/code> (1) as regras que n\u00e3o interferem com o seu fluxo de trabalho. Saltar a fase de auditoria \u00e9 a causa n\u00famero um de aplica\u00e7\u00f5es empresariais que param de funcionar de repente. A lista completa e atualizada das regras est\u00e1 na <a href=\"https:\/\/learn.microsoft.com\/en-us\/defender-endpoint\/attack-surface-reduction-rules-reference\" target=\"_blank\" rel=\"noopener\">refer\u00eancia oficial de regras ASR da Microsoft<\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"as-12-regras-asr-recomendadas-e-o-que-cada-uma-trava\">As 12 regras ASR recomendadas e o que cada uma trava<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nem todas as regras ASR t\u00eam o mesmo peso. A tabela seguinte lista o conjunto que recomendamos para 2026, com o GUID, a t\u00e9cnica de ataque que cada regra bloqueia e o estado sugerido. Estas regras cobrem os vetores mais explorados por ransomware e malware de roubo de credenciais hoje em Portugal e na Europa.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Regra (descri\u00e7\u00e3o)<\/th><th>GUID (in\u00edcio)<\/th><th>Estado sugerido<\/th><\/tr><\/thead><tbody><tr><td>Bloquear execut\u00e1veis de email e webmail<\/td><td>BE9BA2D9\u2026<\/td><td>Block<\/td><\/tr><tr><td>Office n\u00e3o cria processos filho<\/td><td>D4F940AB\u2026<\/td><td>Block<\/td><\/tr><tr><td>Office n\u00e3o cria conte\u00fado execut\u00e1vel<\/td><td>3B576869\u2026<\/td><td>Block<\/td><\/tr><tr><td>JS\/VBScript n\u00e3o lan\u00e7a execut\u00e1veis transferidos<\/td><td>D3E037E1\u2026<\/td><td>Block<\/td><\/tr><tr><td>Bloquear scripts potencialmente ofuscados<\/td><td>5BEB7EFE\u2026<\/td><td>Block<\/td><\/tr><tr><td>Bloquear chamadas Win32 a partir de macros<\/td><td>92E97FA1\u2026<\/td><td>Block<\/td><\/tr><tr><td>Bloquear roubo de credenciais do LSASS<\/td><td>9E6C4E1F\u2026<\/td><td>Audit primeiro<\/td><\/tr><tr><td>Bloquear processos n\u00e3o confi\u00e1veis de USB<\/td><td>B2B3F03D\u2026<\/td><td>Block<\/td><\/tr><tr><td>Prote\u00e7\u00e3o avan\u00e7ada contra ransomware<\/td><td>C1DB55AB\u2026<\/td><td>Block<\/td><\/tr><tr><td>Bloquear processos de PSExec e WMI<\/td><td>D1E49AAC\u2026<\/td><td>Audit primeiro<\/td><\/tr><tr><td>Bloquear execut\u00e1veis sem preval\u00eancia\/idade\/confian\u00e7a<\/td><td>01443614\u2026<\/td><td>Audit primeiro<\/td><\/tr><tr><td>Bloquear persist\u00eancia via eventos WMI<\/td><td>e6db77e5\u2026<\/td><td>Block<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">As tr\u00eas regras marcadas como &#8220;Audit primeiro&#8221; merecem cautela extra. A regra do LSASS pode interferir com algumas ferramentas de gest\u00e3o de identidade; a de PSExec e WMI afeta scripts de administra\u00e7\u00e3o remota; e a de preval\u00eancia bloqueia bin\u00e1rios pouco comuns, o que inclui ferramentas internas raras. Deixe-as em auditoria mais tempo e confirme que nada essencial dispara antes de bloquear.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"passo-7-aplicar-as-regras-asr-em-modo-de-auditoria\">Passo 7: Aplicar as regras ASR em modo de auditoria<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Vamos aplicar o conjunto de 12 regras ASR mais recomendado para 2026. Primeiro em auditoria. Defina um array com os GUIDs e aplique-os de uma vez:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># GUIDs das 12 regras ASR recomendadas\n$asrRules = @(\n    \"BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550\", # Bloquear executaveis de email\/webmail\n    \"D4F940AB-401B-4EFC-AADC-AD5F3C50688A\", # Office nao cria processos filho\n    \"3B576869-A4EC-4529-8536-B80A7769E899\", # Office nao cria conteudo executavel\n    \"D3E037E1-3EB8-44C8-A917-57927947596D\", # JS\/VBScript nao lanca executaveis transferidos\n    \"5BEB7EFE-FD9A-4556-801D-275E5FFC04CC\", # Bloquear scripts potencialmente ofuscados\n    \"92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B\", # Bloquear chamadas Win32 a partir de macros\n    \"9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2\", # Bloquear roubo de credenciais do LSASS\n    \"B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4\", # Bloquear processos nao confiaveis de USB\n    \"C1DB55AB-C21A-4637-BB3F-A12568109D35\", # Protecao avancada contra ransomware\n    \"D1E49AAC-8F56-4280-B9BA-993A6D77406C\", # Bloquear processos de PSExec e WMI\n    \"01443614-CD74-433A-B99E-2ECDC07BFC25\", # Bloquear executaveis sem prevalencia\/idade\/confianca\n    \"e6db77e5-3df2-4cf1-b95a-636979351e5b\"  # Bloquear persistencia via subscricao de eventos WMI\n)\n\n# Aplicar TODAS em modo Audit\nforeach ($rule in $asrRules) {\n    Add-MpPreference -AttackSurfaceReductionRules_Ids $rule `\n        -AttackSurfaceReductionRules_Actions AuditMode\n}\n\n# Confirmar o estado de cada regra\nGet-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Use sempre <code>Add-MpPreference<\/code> aqui. Se usar <code>Set-MpPreference<\/code>, apaga qualquer regra ASR j\u00e1 configurada. Deixe correr durante alguns dias de utiliza\u00e7\u00e3o real. O guia oficial para <a href=\"https:\/\/learn.microsoft.com\/en-us\/defender-endpoint\/enable-attack-surface-reduction\" target=\"_blank\" rel=\"noopener\">ativar regras ASR da Microsoft<\/a> recomenda exatamente este faseamento.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"passo-8-analisar-os-eventos-asr-e-mudar-para-bloqueio\">Passo 8: Analisar os eventos ASR e mudar para bloqueio<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Depois do per\u00edodo de auditoria, recolha os eventos gerados pelas regras ASR. Os identificadores relevantes no registo operacional do Defender s\u00e3o o 1121 (a\u00e7\u00e3o bloqueada) e o 1122 (a\u00e7\u00e3o auditada). Este comando agrupa os eventos para perceber quais disparam mais:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Recolher eventos ASR (Id 1121 = bloqueado, 1122 = auditado)\nGet-WinEvent -LogName \"Microsoft-Windows-Windows Defender\/Operational\" |\n    Where-Object { $_.Id -eq 1121 -or $_.Id -eq 1122 } |\n    ForEach-Object {\n        [PSCustomObject]@{\n            Hora    = $_.TimeCreated\n            Tipo    = if ($_.Id -eq 1121) { \"Bloqueado\" } else { \"Auditado\" }\n            Detalhe = ($_.Message -split \"`n\")[0]\n        }\n    } | Format-Table -AutoSize<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Se uma regra estiver a bloquear uma aplica\u00e7\u00e3o leg\u00edtima (por exemplo, uma macro de Excel interna da empresa a ser travada pela regra de macros), tem duas op\u00e7\u00f5es: deixar essa regra em <code>Audit<\/code> ou adicionar uma exclus\u00e3o espec\u00edfica para o ficheiro. Quando estiver confiante, promova as regras a <code>Block<\/code>:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Promover TODAS as regras a Block\nforeach ($rule in $asrRules) {\n    Add-MpPreference -AttackSurfaceReductionRules_Ids $rule `\n        -AttackSurfaceReductionRules_Actions Enabled\n}\n\n# Excluir um ficheiro especifico de TODAS as regras ASR, se necessario\nAdd-MpPreference -AttackSurfaceReductionOnlyExclusions `\n    \"C:\\Apps\\Legado\\macro_interna.xlsm\"<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Prefira exclus\u00f5es por ficheiro a desligar uma regra inteira. Desligar uma regra abre o vetor para toda a m\u00e1quina; uma exclus\u00e3o limita a abertura ao caminho exato de que precisa.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"passo-9-ativar-a-protecao-de-rede-e-a-protecao-contra-exploits\">Passo 9: Ativar a Prote\u00e7\u00e3o de Rede e a prote\u00e7\u00e3o contra exploits<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A Prote\u00e7\u00e3o de Rede (Network Protection) impede o acesso a dom\u00ednios e endere\u00e7os IP com m\u00e1 reputa\u00e7\u00e3o, ao n\u00edvel do sistema, mesmo fora do browser. Funciona como um filtro de URL global e bloqueia tentativas de phishing e comando-e-controlo. Ative-a em modo de bloqueio:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Prote\u00e7\u00e3o de Rede em modo bloqueio\nSet-MpPreference -EnableNetworkProtection Enabled\n\n# Ativar a verificacao de todos os downloads e anexos\nSet-MpPreference -DisableIOAVProtection $false\n\n# Confirmar\nGet-MpPreference | Select-Object EnableNetworkProtection<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">A prote\u00e7\u00e3o contra exploits (Exploit Protection) aplica mitiga\u00e7\u00f5es ao n\u00edvel da mem\u00f3ria, como preven\u00e7\u00e3o de execu\u00e7\u00e3o de dados (DEP), aleatoriza\u00e7\u00e3o do espa\u00e7o de endere\u00e7os (ASLR) e prote\u00e7\u00e3o de fluxo de controlo (CFG). No Windows 11 estas mitiga\u00e7\u00f5es v\u00eam ativas a n\u00edvel de sistema por defeito. Confirme com:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Ver as mitigacoes de exploit ativas no sistema\nGet-ProcessMitigation -System<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"passo-10-configurar-analises-agendadas-e-remediacao\">Passo 10: Configurar an\u00e1lises agendadas e remedia\u00e7\u00e3o<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Uma an\u00e1lise r\u00e1pida di\u00e1ria e uma an\u00e1lise completa semanal mant\u00eam o sistema vigiado sem prejudicar o desempenho. Configure o agendamento e a a\u00e7\u00e3o autom\u00e1tica para amea\u00e7as detetadas:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Analise rapida diaria as 02:00 (minutos apos a meia-noite)\nSet-MpPreference -ScanScheduleQuickScanTime 120\n\n# Analise completa semanal: 0 = todos os dias, 1-7 = dia da semana\nSet-MpPreference -RemediationScheduleDay 6        # Sabado\nSet-MpPreference -RemediationScheduleTime 180     # 03:00\n\n# Analisar arquivos comprimidos e drives removiveis\nSet-MpPreference -DisableArchiveScanning $false\nSet-MpPreference -DisableRemovableDriveScanning $false\n\n# Manter a quarentena por 30 dias antes de remover\nSet-MpPreference -QuarantinePurgeItemsAfterDelay 30<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Para acionar uma an\u00e1lise manual de imediato, use <code>Start-MpScan -ScanType QuickScan<\/code> ou <code>Start-MpScan -ScanType FullScan<\/code>. A an\u00e1lise r\u00e1pida demora poucos minutos; a completa pode demorar uma hora ou mais, dependendo do volume de dados.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"passo-11-o-script-completo-de-endurecimento\">Passo 11: O script completo de endurecimento<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Aqui est\u00e1 o projeto completo e funcional. Guarde-o como <code>Endurecer-Defender.ps1<\/code> e execute-o numa janela PowerShell elevada. O script aplica tudo o que vimos, com as regras ASR a come\u00e7ar em auditoria para seguran\u00e7a. Mude a vari\u00e1vel <code>$asrAction<\/code> para <code>\"Enabled\"<\/code> quando estiver pronto para bloquear.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># ============================================================\n# Endurecer-Defender.ps1  -  Windows 11 (2026)\n# Executar numa janela PowerShell ELEVADA (Administrador)\n# ============================================================\n\n#Requires -RunAsAdministrator\n\n$asrAction = \"AuditMode\"   # mudar para \"Enabled\" apos validacao\n\nWrite-Host \"[1\/7] Verificar estado inicial...\" -ForegroundColor Cyan\n$status = Get-MpComputerStatus\nif (-not $status.AntivirusEnabled) {\n    Write-Warning \"Defender nao esta ativo (modo passivo?). A abortar.\"\n    return\n}\n\nWrite-Host \"[2\/7] Atualizar assinaturas...\" -ForegroundColor Cyan\nUpdate-MpSignature -UpdateSource MicrosoftUpdateServer\n\nWrite-Host \"[3\/7] Protecao via nuvem (nivel alto)...\" -ForegroundColor Cyan\nSet-MpPreference -MAPSReporting Advanced\nSet-MpPreference -SubmitSamplesConsent SendAllSamples\nSet-MpPreference -CloudBlockLevel High\nSet-MpPreference -CloudExtendedTimeout 50\n\nWrite-Host \"[4\/7] Acesso Controlado a Pastas (auditoria)...\" -ForegroundColor Cyan\nSet-MpPreference -EnableControlledFolderAccess AuditMode\n\nWrite-Host \"[5\/7] Protecao de Rede e verificacoes extra...\" -ForegroundColor Cyan\nSet-MpPreference -EnableNetworkProtection Enabled\nSet-MpPreference -DisableIOAVProtection $false\nSet-MpPreference -DisableArchiveScanning $false\nSet-MpPreference -DisableRemovableDriveScanning $false\n\nWrite-Host \"[6\/7] Regras ASR (estado: $asrAction)...\" -ForegroundColor Cyan\n$asrRules = @(\n    \"BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550\",\n    \"D4F940AB-401B-4EFC-AADC-AD5F3C50688A\",\n    \"3B576869-A4EC-4529-8536-B80A7769E899\",\n    \"D3E037E1-3EB8-44C8-A917-57927947596D\",\n    \"5BEB7EFE-FD9A-4556-801D-275E5FFC04CC\",\n    \"92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B\",\n    \"9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2\",\n    \"B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4\",\n    \"C1DB55AB-C21A-4637-BB3F-A12568109D35\",\n    \"D1E49AAC-8F56-4280-B9BA-993A6D77406C\",\n    \"01443614-CD74-433A-B99E-2ECDC07BFC25\",\n    \"e6db77e5-3df2-4cf1-b95a-636979351e5b\"\n)\nforeach ($r in $asrRules) {\n    Add-MpPreference -AttackSurfaceReductionRules_Ids $r `\n        -AttackSurfaceReductionRules_Actions $asrAction\n}\n\nWrite-Host \"[7\/7] Concluido. A confirmar...\" -ForegroundColor Green\nGet-MpPreference | Select-Object `\n    MAPSReporting, CloudBlockLevel, `\n    EnableControlledFolderAccess, EnableNetworkProtection\nWrite-Host \"Regras ASR aplicadas:\" $asrRules.Count -ForegroundColor Green<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Se a pol\u00edtica de execu\u00e7\u00e3o de scripts o impedir, autorize o script da sess\u00e3o atual com <code>Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass<\/code> antes de o correr. Isto n\u00e3o altera a pol\u00edtica permanente da m\u00e1quina.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"passo-12-verificar-exportar-e-reverter\">Passo 12: Verificar, exportar e reverter<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Confirme que tudo ficou ativo comparando com a linha de base do Passo 1. Depois exporte a configura\u00e7\u00e3o para poder reaplic\u00e1-la noutra m\u00e1quina ou reverter se algo correr mal:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Verificacao final\nGet-MpPreference | Select-Object `\n    MAPSReporting, CloudBlockLevel, EnableControlledFolderAccess, `\n    EnableNetworkProtection, `\n    AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions\n\n# Exportar configuracao para ficheiro\nGet-MpPreference | Export-Clixml -Path \"C:\\backup\\defender-config.xml\"\n\n# Para REVERTER as regras ASR (remover todas):\n$asrRules | ForEach-Object {\n    Remove-MpPreference -AttackSurfaceReductionRules_Ids $_\n}\n\n# Para desativar o Acesso Controlado a Pastas:\nSet-MpPreference -EnableControlledFolderAccess Disabled<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Guarde o ficheiro XML exportado num local seguro. Os GUIDs e estados das regras ASR devem corresponder ao que aplicou. Se um campo aparecer vazio, reaplique o passo correspondente. A documenta\u00e7\u00e3o completa dos par\u00e2metros est\u00e1 na <a href=\"https:\/\/learn.microsoft.com\/en-us\/powershell\/module\/defender\/set-mppreference\" target=\"_blank\" rel=\"noopener\">refer\u00eancia do cmdlet Set-MpPreference<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-erros-comuns-ao-configurar-o-windows-defender\">5 erros comuns ao configurar o Windows Defender<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Estes s\u00e3o os enganos que mais partem configura\u00e7\u00f5es de <strong>Windows Defender<\/strong> na pr\u00e1tica. Evit\u00e1-los poupa horas de diagn\u00f3stico.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Usar Set-MpPreference em vez de Add-MpPreference para listas:<\/strong> <code>Set<\/code> substitui a lista inteira. Se tem 11 regras ASR e aplica uma nova com <code>Set<\/code>, fica s\u00f3 com essa. Use sempre <code>Add<\/code> para regras ASR, aplica\u00e7\u00f5es permitidas e pastas protegidas.<\/li><li><strong>Saltar a fase de auditoria das regras ASR:<\/strong> ativar tudo em <code>Block<\/code> de imediato bloqueia macros internas, scripts de instala\u00e7\u00e3o e ferramentas administrativas leg\u00edtimas. Comece sempre em <code>AuditMode<\/code>.<\/li><li><strong>Ativar o Acesso Controlado a Pastas sem allow-list:<\/strong> software de backup, editores de imagem e jogos que gravam em Documentos param de funcionar. Audite primeiro e construa a lista de exce\u00e7\u00f5es.<\/li><li><strong>Tentar ligar a Prote\u00e7\u00e3o contra Adultera\u00e7\u00e3o por PowerShell:<\/strong> n\u00e3o funciona por design. Tem de ser ativada na interface ou via Intune. Quem espera faz\u00ea-lo por <code>Set-MpPreference<\/code> perde tempo.<\/li><li><strong>Aplicar com outro antiv\u00edrus instalado:<\/strong> com uma suite de terceiros ativa, o Defender entra em modo passivo e as regras ASR e o acesso controlado a pastas simplesmente n\u00e3o funcionam, mesmo que os comandos n\u00e3o deem erro.<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"resolucao-de-problemas-8-situacoes-frequentes\">Resolu\u00e7\u00e3o de problemas: 8 situa\u00e7\u00f5es frequentes<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Quando algo n\u00e3o corre como esperado, comece por aqui. Estes oito problemas cobrem a maioria dos pedidos de ajuda relacionados com endurecimento do <strong>Windows Defender<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Sintoma<\/th><th>Causa prov\u00e1vel<\/th><th>Solu\u00e7\u00e3o<\/th><\/tr><\/thead><tbody><tr><td>&#8220;Operation failed with 0x800106ba&#8221;<\/td><td>Servi\u00e7o do Defender parado<\/td><td>Reiniciar o servi\u00e7o WinDefend e correr <code>Get-Service WinDefend<\/code><\/td><\/tr><tr><td>Regras ASR n\u00e3o aparecem em Get-MpPreference<\/td><td>Aplicadas com Set em vez de Add<\/td><td>Reaplicar com <code>Add-MpPreference<\/code><\/td><\/tr><tr><td>ASR n\u00e3o bloqueia nada<\/td><td>Defender em modo passivo<\/td><td>Desinstalar o antiv\u00edrus de terceiros<\/td><\/tr><tr><td>Aplica\u00e7\u00e3o leg\u00edtima bloqueada por ASR<\/td><td>Falsa dete\u00e7\u00e3o da regra<\/td><td>Adicionar <code>AttackSurfaceReductionOnlyExclusions<\/code><\/td><\/tr><tr><td>&#8220;Set-MpPreference: Access denied&#8221;<\/td><td>PowerShell sem eleva\u00e7\u00e3o ou Tamper Protection<\/td><td>Abrir como Administrador; algumas mudan\u00e7as exigem desligar adultera\u00e7\u00e3o<\/td><\/tr><tr><td>Acesso Controlado bloqueia o Office<\/td><td>App n\u00e3o est\u00e1 na allow-list<\/td><td><code>Add-MpPreference -ControlledFolderAccessAllowedApplications<\/code><\/td><\/tr><tr><td>Update-MpSignature falha<\/td><td>Sem rede ou fonte errada<\/td><td>Verificar liga\u00e7\u00e3o; usar <code>-UpdateSource MicrosoftUpdateServer<\/code><\/td><\/tr><tr><td>Pol\u00edtica de dom\u00ednio anula as defini\u00e7\u00f5es<\/td><td>GPO\/Intune sobrep\u00f5e o local<\/td><td>Configurar ao n\u00edvel da pol\u00edtica de grupo, n\u00e3o localmente<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"reiniciar-e-diagnosticar-o-servico-do-defender\">Reiniciar e diagnosticar o servi\u00e7o do Defender<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Muitos erros resolvem-se confirmando que o servi\u00e7o est\u00e1 a correr e que o motor responde. Estes comandos diagnosticam o essencial:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Estado do servico principal do Defender\nGet-Service WinDefend | Select-Object Status, StartType\n\n# Forcar verificacao da plataforma e versao\nGet-MpComputerStatus | Select-Object AMRunningMode, AMProductVersion\n\n# Repor a plataforma do Defender se estiver corrompida\n& \"$env:ProgramFiles\\Windows Defender\\MpCmdRun.exe\" -wdenable<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Se <code>AMRunningMode<\/code> devolver &#8220;Passive Mode&#8221; ou &#8220;EDR Block Mode&#8221;, o Defender n\u00e3o \u00e9 o antiv\u00edrus ativo e o endurecimento n\u00e3o ter\u00e1 efeito completo. O valor desejado \u00e9 &#8220;Normal&#8221;.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"dicas-avancadas-para-administradores\">Dicas avan\u00e7adas para administradores<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Depois do b\u00e1sico, estas t\u00e9cnicas levam o <strong>Windows Defender<\/strong> mais longe, sobretudo em ambientes geridos ou com v\u00e1rios equipamentos.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Distribuir por Intune ou GPO:<\/strong> em mais de tr\u00eas ou quatro m\u00e1quinas, deixe o PowerShell local e use perfis de Endpoint Security no Intune ou os modelos administrativos do GPO. Garante consist\u00eancia e impede que utilizadores desfa\u00e7am as defini\u00e7\u00f5es.<\/li><li><strong>An\u00e1lise offline para rootkits persistentes:<\/strong> <code>Start-MpWDOScan<\/code> reinicia em ambiente m\u00ednimo e analisa antes do arranque do Windows, apanhando malware que se esconde durante a sess\u00e3o normal.<\/li><li><strong>Integrar com a dete\u00e7\u00e3o de rede:<\/strong> combine o endurecimento do endpoint com an\u00e1lise de tr\u00e1fego. O nosso guia de <a href=\"\/pt\/wireshark-analise-pacotes-12-passos\/\">an\u00e1lise de pacotes com Wireshark<\/a> ajuda a confirmar que a Prote\u00e7\u00e3o de Rede est\u00e1 mesmo a bloquear o que deve.<\/li><li><strong>Indicadores personalizados:<\/strong> em Defender for Endpoint (vers\u00e3o empresarial), defina indicadores de ficheiro, IP e URL para bloquear amea\u00e7as espec\u00edficas da sua organiza\u00e7\u00e3o, al\u00e9m das listas globais da Microsoft.<\/li><li><strong>Monitorizar o ASR de forma cont\u00ednua:<\/strong> exporte periodicamente os eventos 1121 e 1122 para um SIEM. Picos s\u00fabitos de bloqueios podem sinalizar uma campanha ativa de phishing contra a sua equipa.<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Para contexto sobre como estas defesas se comparam com produtos pagos em testes independentes, a <a href=\"https:\/\/www.av-test.org\/en\/antivirus\/home-windows\/\" target=\"_blank\" rel=\"noopener\">AV-TEST publica resultados regulares<\/a> de antiv\u00edrus para Windows dom\u00e9stico. Vale a pena cruzar esses dados com a nossa compara\u00e7\u00e3o entre <a href=\"\/pt\/bitdefender-vs-norton\/\">Bitdefender e Norton<\/a> para decidir se, no seu caso, faz sentido complementar o Defender.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"validar-o-endurecimento-com-um-teste-seguro\">Validar o endurecimento com um teste seguro<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Endurecer sem testar \u00e9 confiar na sorte. H\u00e1 formas seguras de confirmar que as defesas respondem. O ficheiro de teste EICAR \u00e9 uma cadeia inofensiva, reconhecida por todos os antiv\u00edrus, que serve precisamente para validar que a dete\u00e7\u00e3o funciona sem usar malware real.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Verificar dete\u00e7\u00e3o em tempo real com o ficheiro de teste EICAR\n# (cadeia oficial e inofensiva, apenas para teste)\n$eicar = 'X5O!P%@AP[4\\PZX54(P^)7CC)7}$' +\n         'EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*'\nSet-Content -Path \"$env:TEMP\\eicar.txt\" -Value $eicar\n# O Defender deve eliminar o ficheiro de imediato e registar uma dete\u00e7\u00e3o.\n\n# Confirmar a dete\u00e7\u00e3o no historico de ameacas\nGet-MpThreatDetection | Select-Object -First 5 `\n    ActionSuccess, ThreatID, InitialDetectionTime<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Se o ficheiro desaparecer assim que o gravar e <code>Get-MpThreatDetection<\/code> mostrar a entrada, a prote\u00e7\u00e3o em tempo real funciona. Para testar as regras ASR, a Microsoft fornece um conjunto de demonstra\u00e7\u00f5es no portal Defender, mas em ambiente dom\u00e9stico basta confirmar, pelos eventos 1121, que uma macro de teste a tentar criar um processo filho foi bloqueada.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Combine este teste com boas pr\u00e1ticas gerais de higiene digital. Um antiv\u00edrus endurecido n\u00e3o substitui passwords fortes nem cuidado com phishing, temas que abordamos no guia de <a href=\"\/pt\/seguranca-de-passwords\/\">seguran\u00e7a de palavras-passe<\/a> e na introdu\u00e7\u00e3o pr\u00e1tica \u00e0 <a href=\"\/pt\/security-hub\/\">seguran\u00e7a online<\/a>. A defesa em camadas \u00e9 o que realmente reduz o risco.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"como-as-camadas-do-defender-trabalham-em-conjunto\">Como as camadas do Defender trabalham em conjunto<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A for\u00e7a deste endurecimento n\u00e3o vem de uma \u00fanica defini\u00e7\u00e3o, mas da forma como as camadas se refor\u00e7am. Vale a pena perceber a sequ\u00eancia de defesa para saber o que falha (e o que segura) quando uma amea\u00e7a chega \u00e0 m\u00e1quina. Imagine um anexo malicioso recebido por email num documento de Word com uma macro.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A primeira barreira \u00e9 a regra ASR que impede o Office de criar processos filho. Mesmo que o utilizador abra o documento e ative a macro, esta n\u00e3o consegue lan\u00e7ar o PowerShell nem o cmd para descarregar a carga seguinte. Se, por hip\u00f3tese, essa regra estiver em auditoria e deixar passar, entra a regra que bloqueia JavaScript e VBScript de lan\u00e7ar execut\u00e1veis transferidos. Caso o bin\u00e1rio malicioso chegue mesmo ao disco, a prote\u00e7\u00e3o via nuvem em n\u00edvel alto avalia a sua reputa\u00e7\u00e3o em milissegundos e bloqueia ficheiros raros ou rec\u00e9m-vistos antes de executarem.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Se, apesar de tudo, um processo malicioso ganhar execu\u00e7\u00e3o e tentar cifrar ficheiros, o Acesso Controlado a Pastas trava qualquer escrita n\u00e3o autorizada em Documentos, Imagens e Ambiente de Trabalho. E se o malware tentar desligar o pr\u00f3prio Defender para abrir caminho, a Prote\u00e7\u00e3o contra Adultera\u00e7\u00e3o impede-o. Cada camada cobre a falha potencial da anterior. \u00c9 exatamente por isto que n\u00e3o basta ativar uma ou duas: a seguran\u00e7a real est\u00e1 na sobreposi\u00e7\u00e3o.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A Prote\u00e7\u00e3o de Rede acrescenta uma camada transversal. Mesmo que uma das defesas de endpoint falhe e o malware tente contactar o seu servidor de comando-e-controlo, o bloqueio de dom\u00ednios e IP de m\u00e1 reputa\u00e7\u00e3o corta a comunica\u00e7\u00e3o. Sem canal de sa\u00edda, muitas cargas modernas, incluindo infostealers que tentam exfiltrar credenciais, ficam inertes. Esta abordagem em profundidade \u00e9 o consenso atual entre equipas de resposta a incidentes.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"manter-o-endurecimento-ao-longo-do-tempo\">Manter o endurecimento ao longo do tempo<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Configurar o <strong>Windows Defender<\/strong> uma vez n\u00e3o chega. As amea\u00e7as evoluem, a Microsoft publica regras ASR novas e as aplica\u00e7\u00f5es mudam. Um plano simples de manuten\u00e7\u00e3o mant\u00e9m a prote\u00e7\u00e3o afinada sem grande esfor\u00e7o.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mensalmente, reveja o hist\u00f3rico de dete\u00e7\u00f5es com <code>Get-MpThreatDetection<\/code> e os eventos ASR 1121 e 1122. Procure padr\u00f5es: se uma regra dispara muito contra uma aplica\u00e7\u00e3o concreta, decida entre uma exclus\u00e3o por ficheiro ou ajustar o fluxo de trabalho. Confirme tamb\u00e9m que as assinaturas est\u00e3o recentes e que <code>Get-MpComputerStatus<\/code> continua a devolver tudo a <code>True<\/code>. Leva cinco minutos e apanha cedo qualquer regress\u00e3o causada por uma atualiza\u00e7\u00e3o ou por software novo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Trimestralmente, consulte a refer\u00eancia oficial de regras ASR para ver se a Microsoft adicionou regras relevantes. Quando aparece uma regra nova, aplique-a primeiro em auditoria, como fez no in\u00edcio, e s\u00f3 depois bloqueie. Atualize o seu script <code>Endurecer-Defender.ps1<\/code> com os novos GUIDs para que qualquer reinstala\u00e7\u00e3o ou nova m\u00e1quina herde a configura\u00e7\u00e3o completa. Guarde o script num reposit\u00f3rio interno ou num gestor de configura\u00e7\u00e3o para n\u00e3o perder o trabalho.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Por fim, teste periodicamente. Uma prote\u00e7\u00e3o que ningu\u00e9m verifica tende a degradar-se em sil\u00eancio. Repita o teste EICAR a cada poucos meses e, em ambientes empresariais, considere exerc\u00edcios controlados que simulem t\u00e9cnicas reais de ataque para confirmar que as regras ASR e a Prote\u00e7\u00e3o de Rede respondem como esperado. A confian\u00e7a numa defesa deve vir de a ter visto funcionar, n\u00e3o de a ter configurado.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"perguntas-frequentes-sobre-o-windows-defender\">Perguntas frequentes sobre o Windows Defender<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"o-windows-defender-e-suficiente-sozinho-em-2026\">O Windows Defender \u00e9 suficiente sozinho em 2026?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Para a maioria dos utilizadores dom\u00e9sticos e pequenas empresas, sim, desde que esteja endurecido como descrevemos. Com regras ASR em bloqueio, acesso controlado a pastas e prote\u00e7\u00e3o via nuvem ao m\u00e1ximo, o Defender atinge n\u00edveis de prote\u00e7\u00e3o pr\u00f3ximos das melhores suites pagas. Quem gere dados muito sens\u00edveis ou precisa de gest\u00e3o centralizada avan\u00e7ada pode beneficiar de uma solu\u00e7\u00e3o comercial complementar.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"as-regras-asr-vao-abrandar-o-meu-computador\">As regras ASR v\u00e3o abrandar o meu computador?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">O impacto no desempenho \u00e9 m\u00ednimo. As regras ASR intercetam comportamentos espec\u00edficos (uma macro a criar um processo, um script a lan\u00e7ar um execut\u00e1vel) e n\u00e3o fazem an\u00e1lise cont\u00ednua de ficheiros. A maioria dos utilizadores n\u00e3o nota qualquer diferen\u00e7a. O acesso controlado a pastas tamb\u00e9m tem custo desprez\u00e1vel depois de a allow-list estar montada.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"posso-aplicar-isto-no-windows-10\">Posso aplicar isto no Windows 10?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Tecnicamente, a maioria dos comandos funciona no Windows 10, mas o suporte terminou a 14 de outubro de 2025. Sem atualiza\u00e7\u00f5es de seguran\u00e7a, o sistema operativo torna-se um risco que nenhum endurecimento do antiv\u00edrus compensa. Recomendamos migrar para o Windows 11 antes de investir tempo nesta configura\u00e7\u00e3o.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"como-reverto-tudo-se-algo-correr-mal\">Como reverto tudo se algo correr mal?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Use os comandos de revers\u00e3o do Passo 12: <code>Remove-MpPreference<\/code> para cada regra ASR e <code>Set-MpPreference -EnableControlledFolderAccess Disabled<\/code> para o acesso controlado. Se exportou a configura\u00e7\u00e3o antes de come\u00e7ar, pode restaur\u00e1-la. Em \u00faltimo recurso, um ponto de restauro do sistema rep\u00f5e o estado anterior.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"preciso-da-protecao-contra-adulteracao-se-ja-uso-este-endurecimento\">Preciso da Prote\u00e7\u00e3o contra Adultera\u00e7\u00e3o se j\u00e1 uso este endurecimento?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Sim, e \u00e9 talvez a defini\u00e7\u00e3o mais importante de todas. Sem ela, qualquer malware que ganhe execu\u00e7\u00e3o pode simplesmente desligar o Defender e anular todo o resto. A Prote\u00e7\u00e3o contra Adultera\u00e7\u00e3o tranca as defini\u00e7\u00f5es para que nem o pr\u00f3prio administrador as altere por vias autom\u00e1ticas, o que para um atacante \u00e9 uma barreira decisiva.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"as-regras-asr-funcionam-na-edicao-home-do-windows-11\">As regras ASR funcionam na edi\u00e7\u00e3o Home do Windows 11?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">A maioria funciona. Algumas regras avan\u00e7adas comportam-se apenas em modo de auditoria na edi\u00e7\u00e3o Home, registando em vez de bloquear, mas as regras principais contra macros, scripts e roubo de credenciais bloqueiam normalmente. O acesso controlado a pastas e a prote\u00e7\u00e3o via nuvem funcionam totalmente em todas as edi\u00e7\u00f5es.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"com-que-frequencia-devo-rever-esta-configuracao\">Com que frequ\u00eancia devo rever esta configura\u00e7\u00e3o?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Reveja os eventos ASR e o hist\u00f3rico de dete\u00e7\u00f5es pelo menos uma vez por m\u00eas. A Microsoft adiciona novas regras ASR periodicamente, por isso vale a pena consultar a refer\u00eancia oficial a cada trimestre e acrescentar as regras novas relevantes ao seu script. Mantenha tamb\u00e9m o Windows 11 atualizado, j\u00e1 que o motor do Defender \u00e9 melhorado via Windows Update.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"conclusao-defesa-empresarial-sem-custos-adicionais\">Conclus\u00e3o: defesa empresarial sem custos adicionais<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">O <strong>Windows Defender<\/strong> de f\u00e1brica \u00e9 competente. O <strong>Windows Defender<\/strong> endurecido, com as 12 regras ASR, o acesso controlado a pastas, a prote\u00e7\u00e3o via nuvem no m\u00e1ximo e a prote\u00e7\u00e3o contra adultera\u00e7\u00e3o ativa, est\u00e1 ao n\u00edvel de solu\u00e7\u00f5es que custam dezenas de euros por ano. Tudo isto com ferramentas j\u00e1 presentes no Windows 11 e um \u00fanico script de PowerShell.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O caminho certo \u00e9 faseado: verificar a linha de base, aplicar em auditoria, analisar os eventos durante uma a duas semanas e s\u00f3 depois bloquear. Essa disciplina evita as surpresas que levam muita gente a desligar tudo \u00e0 primeira aplica\u00e7\u00e3o travada. Guarde o script, exporte a configura\u00e7\u00e3o e reveja os eventos com regularidade. Num cen\u00e1rio de amea\u00e7as cada vez mais agressivo, esta configura\u00e7\u00e3o \u00e9 das melhores rela\u00e7\u00f5es entre esfor\u00e7o e prote\u00e7\u00e3o que existem para Windows.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"cobertura-relacionada\">Cobertura relacionada<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"\/pt\/windows-defender-vs-antivirus-pago\/\">Windows Defender vs Antiv\u00edrus Pago: 99,84% vs 100% [2026]<\/a><\/li><li><a href=\"\/pt\/ransomware-sem-encriptacao-2026\/\">Ransomware Sem Encripta\u00e7\u00e3o: 44% das Falhas [2026]<\/a><\/li><li><a href=\"\/pt\/bitdefender-vs-norton\/\">Bitdefender vs Norton: 99,5% vs 99% Dete\u00e7\u00e3o [2026]<\/a><\/li><li><a href=\"\/pt\/ciberataques-portugal-2026\/\">Ciberataques em Portugal: 2.437\/Semana, +32% UE [2026]<\/a><\/li><li><a href=\"\/pt\/wireshark-analise-pacotes-12-passos\/\">Wireshark: An\u00e1lise de Pacotes em 12 Passos [2026]<\/a><\/li><li><a href=\"\/pt\/ransomware-saude-davita-2026\/\">Ransomware na Sa\u00fade: 2,7M Doentes Expostos [2026]<\/a><\/li><li><a href=\"\/pt\/security-hub\/\">Seguran\u00e7a Online Explicada: Guia Pr\u00e1tico<\/a><\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>O Windows Defender deixou de ser o antiv\u00edrus fraco que muitos lembram de 2015. No ciclo de testes de janeiro e fevereiro de 2026, o AV-TEST atribuiu ao Microsoft Defender\u2026<\/p>\n","protected":false},"author":5,"featured_media":113,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-112","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/posts\/112","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/comments?post=112"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/posts\/112\/revisions"}],"predecessor-version":[{"id":114,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/posts\/112\/revisions\/114"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/media\/113"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/media?parent=112"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/categories?post=112"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/tags?post=112"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}