O Validador de Integridade de Segurança do Windows (WSHV) fornece configurações que você pode definir de acordo com os requisitos da implantação.
Configurações de WSHV
Você pode definir as seguintes configurações de WSHV para a diretiva:
Firewall
Para usar a configuração Firewall habilitado para todas as conexões de rede, o software de firewall em execução no computador cliente deverá ser o Firewall do Windows ou outro software de firewall compatível com a Central de Segurança do Windows.
O software de firewall que não for compatível com a Central de Segurança do Windows não poderá ser gerenciado nem detectado pelo Agente de Integridade de Segurança do Windows (WSHA) no computador cliente.
Se você selecionar a opção Firewall habilitado para todas as conexões de rede, o WSHA do computador cliente verificará se o software de firewall está em execução no computador cliente e executará as seguintes ações:
-
Se o computador cliente não estiver executando o software de firewall, ele ficará restrito a uma rede de remediação até o software de firewall ser instalado e executado.
-
Se o único software de firewall em execução no computador cliente não for compatível com a Central de Segurança do Windows, o WSHA informará o serviço de Proteção de Acesso à Rede (NAP) que nenhum firewall está habilitado e o computador cliente ficará restrito a uma rede de remediação.
 | Importante |
|
Se você selecionar a opção Firewall habilitado para todas as conexões de rede e os computadores clientes não estiverem executando o Firewall do Windows ou outro software de firewall compatível com a Central de Segurança do Windows, os computadores clientes não poderão conectar-se à rede. |
Se você não selecionar Firewall habilitado para todas as conexões de rede, o WSHA no computador cliente não fará verificações e os computadores clientes que não estiverem executando o software de firewall não serão impedidos de se conectar à sua rede.
Correção automática
Se selecionar Firewall habilitado para todas as conexões de rede, você irá habilitar a correção automática NAP, e o WSHA no computador cliente informa que não há firewall habilitado, então o WSHV direciona o WSHA no computador cliente para ativar o Firewall do Windows.
| Importante |
|
Se a correção automática for habilitada e os computadores clientes executarem um software de firewall incompatível com a Central de Segurança do Windows e isso não for detectado por WSHA, o WSHA do computador cliente ativará o Firewall do Windows e esse computador passará a executar dois firewalls diferentes ao mesmo tempo. Quaisquer exceções configuradas no firewall incompatível que não estiver configurado no Firewall do Windows pode causar a perda da funcionalidade no computador cliente. Por essa razão, não é recomendável os computadores clientes executarem dois firewalls diferentes ao mesmo tempo. |
Proteção contra vírus
Se você selecionar a opção Aplicativo antivírus ativo, o WSHA do computador cliente verificará se o software antivírus está em execução no computador cliente. Se o computador cliente não estiver executando o software antivírus, ele ficará restrito a uma rede de remediação até o software antivírus ser instalado e executado.
O software antivírus em execução no computador cliente deverá ser compatível com a Central de Segurança do Windows. O software antivírus que não for compatível com a Central de Segurança do Windows não poderá ser gerenciado nem detectado pelo WSHA no computador cliente. Se o único software antivírus em execução no computador cliente for um aplicativo antivírus incompatível com a Central de Segurança do Windows, o WSHA informará o WSHV que nenhum antivírus está habilitado e o computador cliente ficará restrito a uma rede de remediação.
Se você selecionar a opção Antivírus atualizado, o WSHA do computador cliente verificará se as definições de antivírus dos aplicativos antivírus são as de versões mais recentes e se estão atualizadas.
Para verificar se o software antivírus está em execução e se as definições de antivírus são as mais recentes, selecione as opções Aplicativo antivírus ativo e Antivírus atualizado.
Se você não selecionar Aplicativo antivírus ativo, o WSHA no computador cliente não fará verificações e os computadores clientes que não estiverem executando o software antivírus não serão impedidos de se conectarem à sua rede.
Se você não selecionar Aplicativo antivírus ativo e Antivírus atualizado, o WSHA no computador cliente não fará verificações; os computadores cliente que não estiverem executando o software antivírus, ou que estiverem executando softwares antivírus com definições antivírus desatualizadas, não serão impedidos de se conectar à sua rede.
Proteção contra spyware
Se você selecionar a opção Aplicativo antispyware ativo, o WSHA do computador cliente verificará se o software antispyware está em execução no computador cliente. Se o computador cliente não estiver executando o software antispyware, ele ficará restrito a uma rede de remediação até o software antispyware ser instalado e executado.
O software antispyware em execução no computador cliente deverá ser o Windows Defender ou outro software compatível com a Central de Segurança do Windows.
O software antispyware que não for compatível com a Central de Segurança do Windows não poderá ser gerenciado nem detectado pelo WSHA no computador cliente. Se o único software antispyware em execução no computador cliente for um aplicativo antispyware incompatível com a Central de Segurança do Windows, o WSHA informará o WSHV que nenhum antispyware está habilitado e o computador cliente ficará restrito a uma rede de remediação.
Se você selecionar a opção Antispyware atualizado, o WSHA do computador cliente verificará se as definições de antispyware dos aplicativos antispyware são as de versões mais recentes e se estão atualizadas.
Para verificar se o software antispyware está em execução e se as definições de antispyware são as mais recentes, selecione as opções Aplicativo antispyware ativo e Antispyware atualizado.
Se você não selecionar Aplicativo antispyware ativo, o WSHA no computador cliente não fará verificações e os computadores cliente que não estiverem executando o software antispyware não serão impedidos de se conectar à sua rede.
Se você não selecionar Aplicativo antispyware ativo e Antispyware atualizado, o WSHA no computador cliente não fará verificações e os computadores cliente que não estiverem executando o software antispyware ou que estiverem executando softwares antispyware com definições antispyware desatualizadas, não serão impedidos de se conectarem à sua rede.
Correção automática
Se selecionar Aplicativo antispyware ativo, você irá habilitar a correção automática NAP, e o WSHA no computador cliente informará que não há antispyware habilitado, então o WSHV direcionará o WSHA no computador cliente para ativar o Windows Defender.
| Importante |
|
Se a correção automática for habilitada e os computadores clientes executarem um software antispyware incompatível com a Central de Segurança do Windows e esse antispyware não for detectado por WSHA, o WSHA do computador cliente ativará o Windows Defender no computador cliente e esse computador passará a executar dois aplicativos antispyware diferentes ao mesmo tempo. |
 | Observação |
|
Você pode configurar a correção automática usando o snap-in do MMC Gerenciamento de Cliente NAP. |
Atualização automática
Se você selecionar a opção Atualização automática ativa e o Microsoft Update Services não estiver habilitado no computador cliente, o WSHA restringirá o computador cliente a uma rede de remediação até o Microsoft Update Services ser habilitado.
O Microsoft Update Services é habilitado quando uma das seguintes configurações for selecionada no computador cliente:
-
Instalar atualizações automaticamente (recomendado)
-
Baixar atualizações, mas permitir que eu escolha quando instalá-las
-
Procurar atualizações, mas permitir que eu escolha quando baixá-las e instalá-las
Correção automática
Se você selecionar a opção Atualizações automáticas habilitadas, a correção automática de NAP será habilitada e o WSHA do computador cliente informará que o Microsoft Update Services não está habilitado, assim, o WSHV instruirá o WSHA do computador cliente a habilitar o Microsoft Update Services e configurá-lo para que faça download de atualizações e as instale automaticamente.
| Observação |
|
Você pode configurar a correção automática usando o snap-in do MMC Gerenciamento de Cliente NAP. |
Proteção de Atualização de Segurança
Não configure a Proteção de Atualização de Segurança na diretiva WSHV, a menos que os computadores clientes da rede estejam executando o Windows Update Agent. Além disso, os computadores clientes que executam o Windows Update Agent devem estar registrados em um servidor que executa o Windows Server Update Service (WSUS).
| Importante |
|
Se essas condições não forem atendidas e você configurar a Proteção de Atualização de Segurança na sua diretiva WSHV, a diretiva não poderá ser imposta pelo WSHA no computador cliente, o WSHA restringirá computadores cliente a uma rede de remediação e os clientes não poderão se conectar à sua rede. |
Se os computadores clientes estiverem executando o Windows Update Agent e estiverem registrados em um servidor WSUS, será possível configurar a Proteção de Atualização de Segurança para a diretiva WSHV.
Nesse caso, se você selecionar a opção Impor quarentena para atualizações de segurança ausentes e as atualizações de segurança mais recentes não estiverem instaladas, o WSHA restringirá o computador cliente a uma rede de remediação até as atualizações de segurança mais recentes do software serem instaladas.
Você pode configurar a Proteção de Atualização de Segurança com vários valores possíveis que correspondem às classificações de severidade de segurança do Microsoft Security Response Center (MSRC). Esses valores são:
-
Somente Crítica. Se for selecionado, os computadores clientes deverão ter todas as atualizações de segurança com a classificação de severidade Crítica do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.
-
Importante e acima. Esta é a configuração padrão. Se for selecionado, os computadores clientes deverão ter todas as atualizações de segurança com a classificação de severidade Importante ou Crítica do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.
-
Moderada e acima. Se for selecionado, os computadores clientes deverão ter todas as atualizações de segurança com a classificação de severidade Moderada, Importante e Crítica do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.
-
Baixa e acima. Se for selecionado, os computadores cliente deverão ter todas as atualizações de segurança com a classificação de severidade Baixa, Moderada, Importante e Crítica do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.
-
Todas. Se for selecionado, os computadores clientes deverão ter todas as atualizações de segurança, independentemente de sua classificação de severidade do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.
Depois de configurar o nível de classificação de severidade da atualização de segurança, você pode especificar o número mínimo de horas permitidas desde que o cliente verificou se há novas atualizações de segurança no servidor WSUS. O valor padrão para o tempo mínimo de sincronização é 22 horas.
Quando um computador cliente tentar pela primeira vez conectar-se a uma rede habilitada para NAP e a configuração de Proteção de Atualização de Segurança estiver definida na diretiva WSHV, o WSHA determinará se restringirá o computador cliente a uma rede de remediação com base na hora mais recente da verificação de atualizações de segurança feita pelo computador cliente no servidor WSUS. O WSHA determinará se restringirá o cliente a uma rede de remediação da seguinte forma:
-
Se a verificação de atualizações do cliente ocorreu em um intervalo maior que o número mínimo de horas configurado no WSHV permitido entre as verificações, o computador cliente ficará restrito a uma rede de remediação. Depois que o cliente verificar as atualizações, fizer download das atualizações recentes e instalá-las, poderá ter acesso total à rede.
-
Se a verificação de atualizações do cliente ocorreu em um intervalo igual ou menor que o número mínimo de horas configurado no WSHV permitido entre as verificações, o computador cliente ficará restrito a uma rede de remediação.
| Observação |
|
O WSHA do computador cliente apenas executará essa verificação no momento em que o computador cliente tentar conectar-se à rede. Se o computador cliente permanecer conectado à rede por tempo maior que o mínimo de sincronização configurado, o WSHA não acionará uma verificação de atualizações de segurança, não acionará o download de atualizações nem restringirá o computador cliente a uma rede de remediação. |
Correção automática
Para que a correção automática funcione com a configuração de Proteção de Atualização de Segurança habilitada e definida na diretiva WSHV, as seguintes afirmações deverão ser verdadeiras:
-
Os computadores clientes da rede estão executando o Windows Update Agent.
-
Os computadores clientes que executam o Windows Update Agent estão registrados em um servidor WSUS.
-
A correção automática está configurada e habilitada.
Se essas condições forem atendidas, o WSHA do computador cliente verificará no servidor WSUS se há atualizações de segurança mais recentes. Se o WSHA detectar que as atualizações de segurança mais recentes da classificação de severidade MSRC configurada não estão instaladas no computador cliente, ele fará download dessas atualizações e as instalará.