O WSH (Validação do Estado de Funcionamento da Segurança do Windows) fornece definições que pode configurar com base nos requisitos da implementação.
Definições do WSHV
Pode configurar as seguintes definições WSHV para a política.
Firewall
Para utilizar a definição Está activada uma firewall para todas as ligações de rede, o software de firewall em execução no computador tem de ser a Firewall do Windows ou outro software de firewall compatível com o Centro de Segurança do Windows.
O software de firewall incompatível com o Centro de Segurança do Windows não pode ser gerido nem detectado pelo WSHA (Agente de Estado de Funcionamento da Segurança do Windows) no computador cliente.
Se seleccionar Está activada uma firewall para todas as ligações de rede, o WSHA no computador cliente verifica se o software de firewall está a ser executado no computador cliente e, em seguida, leva a cabo as seguintes acções:
-
Se o computador cliente não estiver a executar o software de firewall, fica restringido a uma rede de remediação até o software de firewall ser instalado e executado.
-
Se o único software de firewall em execução no computador cliente for incompatível com o Centro de Segurança do Windows, o WSHA reporta ao serviço NAP (Network Access Protection) que não existe uma firewall activada e o computador cliente fica restringido a uma rede de remediação.
Importante | |
Se seleccionar Está activada uma firewall para todas as ligações de rede e os computadores cliente não estiverem a executar a Firewall do Windows nem outro software de firewall compatível como o Centro de Segurança do Windows, os computadores cliente não conseguem ligar à rede. |
Se não seleccionar Está activada uma firewall para todas as ligações de rede, o WSHA no computador cliente não efectuará quaisquer verificações e os computadores cliente que não estiverem a executar o software de firewall não serão impedidos de se ligarem à rede.
Remediação Automática
Se seleccionar Está activada uma firewall para todas as ligações de rede, está a activar a remediação automática de NAP, o que faz com que o WSHA no computador cliente reporte que não existe qualquer firewall activa, levando a que o WSHV dê instruções ao WSHA no computador cliente no sentido de activar a Firewall do Windows.
Importante | |
Se a remediação automática estiver activada e os computadores cliente estiverem a executar software de firewall incompatível com o Centro de Segurança do Windows e indetectável pelo WSHA, o WSHA no computador cliente activa a Firewall do Windows no computador cliente, fazendo com que o computador cliente execute duas firewalls diferentes em simultâneo. Todas as excepções configuradas na firewall incompatível que não estejam configuradas na Firewall do Windows podem provocar uma perda de funcionalidade no computador cliente. Por esta razão, não se recomenda que os computadores cliente executem duas firewalls diferentes em simultâneo. |
Protecção contra Vírus
Se seleccionar Encontra-se activada uma aplicação antivírus, o WSHA no computador cliente verifica se o software antivírus está a ser executado no computador cliente. Se o computador cliente não estiver a executar o software antivírus, fica restringido a uma rede de remediação até o software antivírus ser instalado e executado.
O software antivírus executado no computador cliente tem de ser compatível com o Centro de Segurança do Windows. O software antivírus incompatível com o Centro de Segurança do Windows não pode ser gerido nem detectado pelo WSHA no computador cliente. Se o único software antivírus em execução no computador cliente for uma aplicação antivírus incompatível com o Centro de Segurança do Windows, o WSHA reporta ao WSHV que não existe um antivírus activado e o computador cliente fica restringido a uma rede de remediação.
Se seleccionar O antivírus encontra-se actualizado, o WSHA no computador cliente verifica se as definições de antivírus das aplicações antivírus correspondem às versões mais recentes e se estão actualizadas.
Para verificar se o software antivírus está a ser executado e se as definições de antivírus são as actualizações mais recentes, tem de seleccionar Encontra-se activada uma aplicação antivírus e O antivírus encontra-se actualizado.
Se não seleccionar Encontra-se activada uma aplicação antivírus, o WSHA no computador cliente não efectuará quaisquer verificações e os computadores cliente que não estiverem a executar o software antivírus não serão impedidos de se ligarem à rede.
Se não seleccionar tanto Encontra-se activada uma aplicação antivírus como O antivírus encontra-se actualizado, o WSHA no computador cliente não efectuará quaisquer verificações e os computadores cliente que não estiverem a executar o software antivírus ou que estiverem a executar software antivírus com definições antivírus desactualizadas não serão impedidos de se ligarem à rede.
Protecção contra spyware
Se seleccionar Encontra-se activada uma aplicação anti-spyware, o WSHA no computador cliente verifica se o software anti-spyware está a ser executado no computador cliente. Se o computador cliente não estiver a executar o software anti-spyware, fica restringido a uma rede de remediação até o software anti-spyware ser instalado e executado.
O software anti-spyware executado no computador cliente tem de ser o Windows Defender ou outro software anti-spyware compatível com o Centro de Segurança do Windows.
O software anti-spyware incompatível com o Centro de Segurança do Windows não pode ser gerido nem detectado pelo WSHA no computador cliente. Se o único software anti-spyware em execução no computador cliente for uma aplicação anti-spyware incompatível com o Centro de Segurança do Windows, o WSHA reporta ao WSHV que não existe um anti-spyware activado e o computador cliente fica restringido a uma rede de remediação.
Se seleccionar O anti-spyware encontra-se actualizado, o WSHA no computador cliente verifica se as definições de anti-spyware das aplicações anti-spyware correspondem às versões mais recentes e se estão actualizadas.
Para verificar se o software anti-spyware está a ser executado e se as definições de anti-spyware são as actualizações mais recentes, tem de seleccionar Encontra-se activada uma aplicação anti-spyware e O anti-spyware encontra-se actualizado.
Se não seleccionar Encontra-se activada uma aplicação anti-spyware, o WSHA no computador cliente não efectuará quaisquer verificações e os computadores cliente que não estiverem a executar o software anti-spyware não serão impedidos de se ligarem à rede.
Se não seleccionar tanto Encontra-se activada uma aplicação anti-spyware como O anti-spyware encontra-se actualizado, o WSHA no computador cliente não efectuará quaisquer verificações e os computadores cliente que não estiverem a executar o software anti-spyware ou que estiverem a executar software anti-spyware com definições anti-spyware desactualizadas não serão impedidos de se ligarem à rede.
Remediação Automática
Se seleccionar Encontra-se activada uma aplicação anti-spyware, está a activar a remediação automática de NAP, o que faz com que o WSHA no computador cliente reporte que não existe qualquer anti-spyware activo, levando a que o WSHV dê instruções ao WSHA no computador cliente no sentido de activar o Windows Defender.
Importante | |
Se a remediação automática estiver activada e os computadores cliente estiverem a executar software anti-spyware incompatível com o Centro de Segurança do Windows e indetectável pelo WSHA, o WSHA no computador cliente activa o Windows Defender no computador cliente, fazendo com que o computador cliente execute duas aplicações anti-spyware em simultâneo. |
Nota | |
Pode configurar a remediação automática utilizando o snap-in Gestão de Clientes NAP da MMC (Consola de Gestão da Microsoft). |
Actualização automática
Se seleccionar As actualizações automáticas encontram-se activadas e os Serviços de Actualização da Microsoft não estiverem activados no computador cliente, o WSHA restringe o computador cliente a uma rede de remediação até os Serviços de Actualização da Microsoft serem activados.
Os Serviços de Actualização da Microsoft são activados quando uma das seguintes definições é seleccionada no computador cliente:
-
Instalar actualizações automaticamente (recomendado)
-
Transferir actualizações mas escolher as respectivas instalações
-
Procurar actualizações mas escolher as respectivas transferências e instalações
Remediação Automática
Se seleccionar As actualizações automáticas encontram-se activadas , activa a remediação automática NAP e o WSHA no computador cliente reporta que os Serviços de Actualização da Microsoft não estão activados. Em seguida, o WSHV indica ao WSHA no computador cliente para activar os Serviços de Actualização da Microsoft e para os configurar para transferirem e instalarem automaticamente as actualizações.
Nota | |
Pode configurar a remediação automática utilizando o snap-in Gestão de Clientes NAP da MMC. |
Protecção de actualizações de segurança
Não configure a Protecção de Actualizações de Segurança na política WSHV, excepto se os computadores cliente na rede estiverem a executar o Windows Update Agent. Adicionalmente, os computadores cliente que executam o Windows Update Agent têm de estar registados num servidor com o WSUS (Windows Server Update Service).
Importante | |
Se estas condições não forem cumpridas e configurar a Protecção de Actualizações de Segurança na política WSHV, esta não poderá ser imposta pelo WSHA no computador cliente, o WSHA restringirá os computadores cliente a uma rede de remediação e os clientes não poderão ligar-se à rede. |
Se os computadores cliente estiverem a executar o Windows Update Agent e estiverem registados num servidor WSUS, pode configurar a Protecção de Actualizações de Segurança para a política WSHV.
Neste caso, se seleccionar Impor quarentena para actualizações de segurança em falta e as actualizações de segurança mais recentes não estiverem instaladas, o WSHA restringe o computador cliente a uma rede de remediação até as actualizações de segurança de software mais recentes serem instaladas.
Pode configurar a Protecção de Actualizações de Segurança com vários valores possíveis que correspondam às classificações de gravidade de segurança do MSRC (Microsoft Security Response Center). Os valores são:
-
Apenas críticas. Se seleccionado, os computadores cliente têm de ter todas as actualizações de segurança com uma classificação de gravidade MSRC de Crítica. Se um computador cliente não tiver estas actualizações, ficará restringido a uma rede de remediação até que as actualizações sejam transferidas e instaladas.
-
Importantes e superior. Esta é a predefinição. Se seleccionado, os computadores cliente têm de ter todas as actualizações de segurança com uma classificação de gravidade MSRC de Importante ou Crítica. Se um computador cliente não tiver estas actualizações, ficará restringido a uma rede de remediação até que as actualizações sejam transferidas e instaladas.
-
Moderadas e superior. Se seleccionado, os computadores cliente são obrigados a ter todas as actualizações de segurança com uma classificação de gravidade MSRC de Moderada, Importante ou Crítica. Se um computador cliente não tiver estas actualizações, ficará restringido a uma rede de remediação até que as actualizações sejam transferidas e instaladas.
-
Baixas e superior. Se seleccionado, os computadores cliente são obrigados a ter todas as actualizações de segurança com uma classificação de gravidade MSRC de Baixa, Moderada, Importante ou Crítica. Se um computador cliente não tiver estas actualizações, ficará restringido a uma rede de remediação até que as actualizações sejam transferidas e instaladas.
-
Todas. Se seleccionado, os computadores cliente têm de ter todas as actualizações de segurança, independentemente da classificação de gravidade do MSRC. Se um computador cliente não tiver as actualizações mais recentes, ficará restringido a uma rede de remediação até que as actualizações sejam transferidas e instaladas.
Depois de configurar o nível de classificação da gravidade da actualização de segurança, pode especificar o número mínimo de horas permitido a partir do momento em que o cliente procura actualizações de segurança novas no servidor WSUS. O valor predefinido para o tempo de sincronização mínimo é de 22 horas.
Quando um computador cliente tenta pela primeira vez ligar a uma rede com capacidade NAP e a definição Protecção de Actualizações de Segurança está configurada na política WSHV, o WSHA determina se deve restringir o computador cliente a uma rede de remediação com base na hora mais recente na qual o computador cliente procurou as actualizações de segurança no servidor WSUS. O WSHA determina se deve restringir o cliente a uma rede de remediação da seguinte forma:
-
Se a pesquisa de actualizações efectuada pelo cliente ocorreu num intervalo de tempo superior ao mínimo de horas permitidas entre pesquisas configurado pelo WSHV, o computador cliente fica restringido a uma rede de remediação. O cliente obtém acesso total à rede depois de o cliente procurar as actualizações e transferir e instalar as actualizações mais recentes.
-
Se a pesquisa de actualizações efectuada pelo cliente ocorreu num intervalo de tempo igual ou inferior ao mínimo de horas permitidas entre pesquisas configurado pelo WSHV, o computador cliente não fica restringido a uma rede de remediação.
Nota | |
O WSHA no computador cliente só efectua esta verificação na altura em que o computador cliente tenta ligar-se à rede. Se o computador cliente permanecer ligado à rede durante um tempo superior ao tempo de sincronização mínimo configurado, o WSHA não acciona uma pesquisa de actualizações de segurança, não acciona a transferência de actualizações e não restringe o computador cliente a uma rede de remediação. |
Remediação Automática
Para que a remediação automática funcione com a definição Protecção de Actualizações de Segurança activada e configurada na política WSHV, os seguintes condições têm de ser verdadeiras:
-
Os computadores cliente na rede estão a executar o Windows Update Agent.
-
Os computadores cliente com o Windows Update Agent estão registados num servidor WSUS.
-
A remediação automática está configurada e activada.
Se estas condições forem satisfeitas, o WSHA no computador cliente comunica com o servidor WSUS para detectar as actualizações de segurança mais recentes. Se o WSHA concluir que as actualizações de segurança mais recentes com a classificação de gravidade MSRC configurada não estão instaladas no computador cliente, o WSHA transfere e instala as actualizações de segurança mais recentes.