Partilhar via

Ativar regras de redução da superfície de ataque

  • Aplica-se a: Microsoft Defender for Endpoint Plan 1 and Plan 2, Microsoft Defender XDR, Microsoft Defender Antivirus

As regras de redução da superfície de ataque ajudam a impedir ações que o software maligno frequentemente abusa para comprometer dispositivos e redes. Este artigo descreve como ativar e configurar regras de redução da superfície de ataque através de:

Pré-requisitos

Para utilizar todo o conjunto de funcionalidades de regras de redução da superfície de ataque, têm de ser cumpridos os seguintes requisitos:

  • Microsoft Defender Antivírus tem de ser definido como o antivírus primário. Não pode estar em execução no modo passivo ou estar desativado.

  • A proteção em tempo real tem de estar ativada.

  • A Proteção de Entrega na Cloud tem de estar ativada (algumas regras requerem a Proteção da Cloud).

  • Tem de ter conectividade de rede do Cloud Protection

  • Recomendado: Microsoft 365 E5

    Embora as regras de redução da superfície de ataque não necessitem de uma licença de Microsoft 365 E5, recomendamos que utilize regras de redução da superfície de ataque com uma licença de Microsoft 365 E5 (ou SKU de licenciamento semelhante) para tirar partido de capacidades de gestão avançadas, incluindo monitorização, análise e fluxos de trabalho disponíveis no Defender para Endpoint, bem como capacidades de relatórios e configuração no Microsoft Defender XDR portal. Embora estas capacidades avançadas não estejam disponíveis com uma licença E3, com uma licença E3, ainda pode utilizar Visualizador de Eventos para rever eventos de regras de redução da superfície de ataque.

    Se tiver outra licença, como o Windows Professional ou Microsoft 365 E3 que não inclua funcionalidades avançadas de monitorização e relatórios, pode desenvolver as suas próprias ferramentas de monitorização e relatórios sobre os eventos gerados em cada ponto final quando são acionadas regras de redução da superfície de ataque (por exemplo, Reencaminhamento de Eventos).

    Para saber mais sobre o licenciamento do Windows, veja Licenciamento do Windows 10 e obtenha o Guia de Licenciamento em Volume para Windows 10.

Sistemas operativos suportados

Pode definir regras de redução da superfície de ataque para dispositivos que executem qualquer uma das seguintes edições e versões do Windows:

Nota

Algumas regras de redução da superfície de ataque só são impostas se os executáveis do Office estiverem instalados nos diretórios %ProgramFiles% ou %ProgramFiles(x86)% definidos pelo sistema (na maioria dos sistemas, %ProgramFiles% aponta para C:\Programas). Se o Office estiver instalado num caminho personalizado fora de um destes diretórios definidos pelo sistema, estas regras não serão aplicadas. As regras afetadas são:

  • Impedir que as aplicações de comunicação do Office criem processos subordinados (26190899-1602-49e8-8b27-eb1d0a1ce869)
  • Bloquear a criação de processos subordinados em todas as aplicações do Office (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  • Bloquear a injeção de código nas aplicações do Office noutros processos (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)

Ativar regras de redução da superfície de ataque

Cada regra de redução da superfície de ataque contém uma das quatro definições:

  • Não configurado ou Desativado: Desativar a regra de redução da superfície de ataque
  • Bloco: Ativar a regra de redução da superfície de ataque
  • Auditoria: Avaliar como a regra de redução da superfície de ataque afetaria a sua organização se estivesse ativada
  • Avisar: ative a regra de redução da superfície de ataque, mas permita que o utilizador final ignore o bloco

Pode ativar as regras de redução da superfície de ataque através de qualquer um dos seguintes métodos:

Recomenda-se a gestão ao nível da empresa, como Intune ou Microsoft Configuration Manager. A gestão ao nível da empresa substitui qualquer política de grupo em conflito ou definições do PowerShell no arranque.

Excluir ficheiros e pastas das regras de redução da superfície de ataque

Pode excluir ficheiros e pastas de serem avaliados pela maioria das regras de redução da superfície de ataque. Isto significa que, mesmo que uma regra de redução da superfície de ataque determine que o ficheiro ou pasta contém comportamentos maliciosos, não bloqueia a execução do ficheiro.

Importante

Excluir ficheiros ou pastas pode reduzir significativamente a proteção fornecida pelas regras de redução da superfície de ataque. Os ficheiros excluídos podem ser executados e não são registados relatórios ou eventos. Se as regras de redução da superfície de ataque estiverem a detetar ficheiros que acredita que não devem ser detetados, deve utilizar primeiro o modo de auditoria para testar a regra. Uma exclusão só é aplicada quando a aplicação ou serviço excluído é iniciado. Por exemplo, se adicionar uma exclusão para um serviço de atualização que já está em execução, o serviço de atualização continua a acionar eventos até que o serviço seja parado e reiniciado.

Ao adicionar exclusões, tenha estes pontos em mente:

Como os conflitos de políticas são tratados

Se for aplicada uma política em conflito através de MDM e GP, a definição aplicada a partir de Política de Grupo tem precedência.

As regras de redução da superfície de ataque para dispositivos geridos suportam o comportamento de intercalação de definições de diferentes políticas para criar um superconjunto de políticas para cada dispositivo. Apenas as definições que não estão em conflito são intercaladas, enquanto os conflitos de políticas não são adicionados ao superconjunto de regras. Anteriormente, se duas políticas incluíssem conflitos para uma única definição, ambas as políticas eram sinalizadas como estando em conflito e não foram implementadas definições de nenhum dos perfis.

O comportamento de intercalação da regra de redução da superfície de ataque funciona da seguinte forma:

  • As regras de redução da superfície de ataque dos seguintes perfis são avaliadas para cada dispositivo ao qual as regras se aplicam:

  • As definições que não têm conflitos são adicionadas a um superconjunto de políticas para o dispositivo.

  • Quando duas ou mais políticas têm definições em conflito, as definições em conflito não são adicionadas à política combinada, enquanto as definições que não entram em conflito são adicionadas à política de superconjunto que se aplica a um dispositivo.

  • Apenas as configurações para definições em conflito são retidas.

Métodos de configuração

Esta secção fornece detalhes de configuração para os seguintes métodos de configuração:

Os seguintes procedimentos para ativar as regras de redução da superfície de ataque incluem instruções sobre como excluir ficheiros e pastas.

Intune

Importante

Se estiver a utilizar Intune no Windows Server 2012 R2 e Windows Server 2016 com a solução unificada moderna, tem de definir as seguintes regras Not Configured de redução da superfície de ataque para porque não são suportadas nestas versões do SO. Caso contrário, as políticas que contenham qualquer uma destas regras direcionadas para Windows Server 2012 R2 ou Windows Server 2016 não serão aplicadas:

Política de segurança de ponto final (Preferencial)

  1. Selecione Endpoint Security>Redução da superfície de ataque. Escolha uma regra de redução da superfície de ataque existente ou crie uma nova. Para criar um novo, selecione Criar Política e introduza informações para este perfil. Em Tipo de perfil, selecione Regras de redução da superfície de ataque. Se tiver escolhido um perfil existente, selecione Propriedades e, em seguida, selecione Definições.

  2. No painel Definições de configuração , selecione Redução da Superfície de Ataque e, em seguida, selecione a definição pretendida para cada regra de redução da superfície de ataque.

  3. Em Lista de pastas adicionais que precisam de ser protegidas, Lista de aplicações que têm acesso a pastas protegidas e Excluir ficheiros e caminhos das regras de redução da superfície de ataque, introduza ficheiros e pastas individuais.

    Também pode selecionar Importar para importar um ficheiro CSV que contenha ficheiros e pastas para excluir das regras de redução da superfície de ataque. Cada linha no ficheiro CSV deve ser formatada da seguinte forma:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selecione Seguinte nos três painéis de configuração e, em seguida, selecione Criar se estiver a criar uma nova política ou Guardar se estiver a editar uma política existente.

Nota

Na interface de Intune mais recente, os Perfis de configuração estão localizados em Perfis de Configuração de Dispositivos>.
As versões anteriores do Intune mostraram isto em Perfis de configuração > do dispositivo.
Se não vir "Perfil de Configuração" como escrito em instruções mais antigas, procure Perfis de configuração no menu Dispositivos.

Perfis de Configuração de Dispositivos (Alternativa 1)

  1. SelecionePerfis deconfiguração> do dispositivo. Escolha um perfil de proteção de ponto final existente ou crie um novo. Para criar um novo, selecione Criar perfil e introduza informações para este perfil. Em Tipo de perfil, selecione Endpoint Protection. Se tiver escolhido um perfil existente, selecione Propriedades e, em seguida, selecione Definições.

  2. No painel Endpoint Protection , selecione Windows Defender Exploit Guard e, em seguida, selecione Redução da Superfície de Ataque. Selecione a definição pretendida para cada regra de redução da superfície de ataque.

  3. Em Exceções de Redução da Superfície de Ataque, introduza ficheiros e pastas individuais. Também pode selecionar Importar para importar um ficheiro CSV que contenha ficheiros e pastas para excluir das regras de redução da superfície de ataque. Cada linha no ficheiro CSV deve ser formatada da seguinte forma:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selecione OK nos três painéis de configuração. Em seguida, selecione Criar se estiver a criar um novo ficheiro de proteção de ponto final ou Guardar se estiver a editar um existente.

Perfil personalizado no Intune (Alternativa 2)

Pode utilizar Microsoft Intune OMA-URI para configurar regras personalizadas de redução da superfície de ataque. O procedimento seguinte utiliza a regra Bloquear o abuso de controladores assinados vulneráveis explorados , por exemplo.

  1. Abra o centro de administração do Microsoft Intune. No menu Base , clique em Dispositivos, selecione Perfis de configuração e, em seguida, clique em Criar perfil.

    A página Criar perfil no portal do centro de administração do Microsoft Intune.

  2. Em Criar um perfil, nas duas listas pendentes seguintes, selecione o seguinte:

    • Em Plataforma, selecione Windows 10 e posterior.
    • Em Tipo de perfil, selecione Modelos.
    • Se as regras de redução da superfície de ataque já estiverem definidas através da segurança do Ponto final, em Tipo de perfil, selecione Catálogo de Definições.

  3. Selecione Personalizar e, em seguida, selecione Criar.

    Os atributos do perfil de regra no portal do centro de administração do Microsoft Intune.

  4. A ferramenta Modelo personalizado é aberta no passo 1 Noções básicas. Em 1 Noções Básicas, em Nome, escreva um nome para o seu modelo e, em Descrição , pode escrever uma descrição (opcional).

    Os atributos básicos no portal do centro de administração do Microsoft Intune

  5. Clique em Seguinte. As definições de Configuração do Passo 2 são abertas. Para Definições OMA-URI, clique em Adicionar. São agora apresentadas duas opções: Adicionar e Exportar.

    Captura de ecrã a mostrar as definições de configuração no portal do centro de administração do Microsoft Intune.

  6. Clique novamente em Adicionar . As Definições OMA-URI de Adicionar Linha são abertas. Em Adicionar Linha, preencha as seguintes informações:

    1. Em Nome, escreva um nome para a regra.

    2. Em Descrição, escreva uma breve descrição.

    3. No OMA-URI, escreva ou cole a ligação OMA-URI específica para a regra que está a adicionar. Veja a secção MDM neste artigo para obter o OMA-URI a utilizar para esta regra de exemplo. Para o GUIDS da regra de redução da superfície de ataque, veja Descrições por regra.

    4. Em Tipo de dados, selecione Cadeia.

    5. Em Valor, escreva ou cole o valor GUID, o \= sinal e o valor Estado sem espaços (GUID=StateValue):

      • 0: Desativar (Desativar a regra de redução da superfície de ataque)
      • 1: Bloco (Ativar a regra de redução da superfície de ataque)
      • 2: Auditoria (avalie como a regra de redução da superfície de ataque afetaria a sua organização se estivesse ativada)
      • 6: Aviso (ative a regra de redução da superfície de ataque, mas permita que o utilizador final ignore o bloco)

      A configuração do URI do OMA no portal do centro de administração do Microsoft Intune.

  7. Seleccione Guardar. A opção Adicionar Linha é fechada. Em Personalizado, selecione Seguinte. No passo 3, as etiquetas de âmbito são opcionais. Efetue um dos seguintes procedimentos:

    • Selecione Selecionar Etiquetas de âmbito, selecione a etiqueta de âmbito (opcional) e, em seguida, selecione Seguinte.
    • Em alternativa, selecione Seguinte

  8. No passo 4 Atribuições, em Grupos Incluídos, para os grupos que pretende que esta regra aplique, selecione uma das seguintes opções:

    • Adicionar grupos
    • Adicionar todos os utilizadores
    • Adicionar todos os dispositivos

    As atribuições no portal do centro de administração do Microsoft Intune

  9. Em Grupos excluídos, selecione os grupos que pretende excluir desta regra e, em seguida, selecione Seguinte.

  10. No passo 5 Regras de Aplicabilidade para as seguintes definições, faça o seguinte:

  11. Em Regra, selecione Atribuir perfil se ou Não atribuir perfil se.

  12. Em Propriedade, selecione a propriedade à qual pretende aplicar esta regra.

  13. Em Valor, introduza o valor aplicável ou intervalo de valores.

    As regras de aplicabilidade no portal do centro de administração do Microsoft Intune.

  14. Selecione Seguinte. No passo 6 Rever + criar, reveja as definições e informações que selecionou e introduziu e, em seguida, selecione Criar.

    Captura de ecrã a mostrar a opção Rever e criar no portal do centro de administração do Microsoft Intune.

As regras estão ativas e vivem dentro de minutos.

Nota

No que diz respeito ao processamento de conflitos, se atribuir a um dispositivo duas políticas diferentes de redução da superfície de ataque, podem ocorrer potenciais conflitos de políticas, consoante as regras sejam atribuídas diferentes estados, se a gestão de conflitos está em vigor e se o resultado é um erro. As regras de não conflito não resultam num erro e essas regras são aplicadas corretamente. A primeira regra é aplicada e as regras subsequentes não conformes são intercaladas na política.

MDM

Utilize o fornecedor de serviços de configuração (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules para ativar e definir individualmente o modo para cada regra.

Segue-se um exemplo para referência, utilizando valores GUID para Referência de regras de redução da superfície de ataque.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Os valores a ativar (Bloquear), desativar, avisar ou ativar no modo de auditoria são:

  • 0: Desativar (Desativar a regra de redução da superfície de ataque)
  • 1: Bloquear (Ativar a regra de redução da superfície de ataque)
  • 2: Auditoria (avalie como a regra de redução da superfície de ataque afetaria a sua organização se estivesse ativada)
  • 6: Aviso (Ative a regra de redução da superfície de ataque, mas permita que o utilizador final ignore o bloco). O modo de aviso está disponível para a maioria das regras de redução da superfície de ataque.

Utilize o fornecedor de serviços de configuração ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions para adicionar exclusões.

Exemplo:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Nota

Certifique-se de que introduz valores OMA-URI sem espaços.

Microsoft Configuration Manager

  1. No Microsoft Configuration Manager, aceda a Ativos e Compatibilidade>Endpoint Protection>Windows Defender Exploit Guard.

  2. Selecione Base>Criar Política do Exploit Guard.

  3. Introduza um nome e uma descrição, selecione Redução da Superfície de Ataque e selecione Seguinte.

  4. Escolha as regras que vão bloquear ou auditar ações e selecione Seguinte.

  5. Reveja as definições e selecione Seguinte para criar a política.

  6. Após a criação da política, selecione Fechar.

Aviso

Existe um problema conhecido com a aplicabilidade da redução da superfície de ataque nas versões do SO do Servidor que está marcada como conforme sem qualquer imposição real. Atualmente, não existe uma data de lançamento definida para quando será corrigido.

Importante

Se estiver a utilizar a opção "Desativar intercalação de administrador" definida como true em dispositivos e estiver a utilizar qualquer uma das seguintes ferramentas/métodos, a adição de regras ASR por regra ou exclusões de regras ASR locais não se aplica.

  • Gestão de Definições de Segurança do Defender para Ponto Final (Desativar Intercalação de Administração Local)
  • Intune (Desativar Intercalação de Administração Local)
  • O Defender CSP (DisableLocalAdminMerge)
  • Política de Grupo (Configurar o comportamento de intercalação de administrador local para listas) Para modificar este comportamento, tem de alterar "Desativar intercalação de administradores" para false.

Política de grupo

Aviso

Se gerir os seus computadores e dispositivos com Intune, Configuration Manager ou outra plataforma de gestão ao nível da empresa, o software de gestão substitui quaisquer definições de política de grupo em conflito no arranque.

  1. No computador de gestão Política de Grupo, abra a Consola de Gestão do Política de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e selecione Editar.

  2. No Editor de Gestão de Políticas de Grupo, vá para Configuração do computador e selecione Modelos administrativos.

  3. Expanda a árvore para componentes> do Windows Microsoft Defender Antivírus> Microsoft DefenderRedução da superfície de ataquedo Exploit Guard>.

  4. Selecione Configurar Regras de redução da superfície de ataque e selecione Ativado. Em seguida, pode definir o estado individual para cada regra na secção de opções. Selecione Mostrar... e introduza o ID da regra na coluna Nome do valor e o estado escolhido na coluna Valor da seguinte forma:

    • 0: Desativar (Desativar a regra de redução da superfície de ataque)
    • 1: Bloquear (Ativar a regra de redução da superfície de ataque)
    • 2: Auditoria (avalie como a regra de redução da superfície de ataque afetaria a sua organização se estivesse ativada)
    • 6: Avisar (Ative a regra de redução da superfície de ataque, mas permita que o utilizador final ignore o bloco)

    regras de redução da superfície de ataque no Política de Grupo

  5. Para excluir ficheiros e pastas das regras de redução da superfície de ataque, selecione a definição Excluir ficheiros e caminhos das Regras de redução da superfície de ataque e defina a opção como Ativado. Selecione Mostrar e introduza cada ficheiro ou pasta na coluna Nome do valor . Introduza 0 na coluna Valor para cada item.

    Aviso

    Não utilize aspas, uma vez que não são suportadas na coluna Nome do valor ou na coluna Valor . O ID da regra não deve ter espaços à esquerda ou à direita.

Nota

A Microsoft renomeou o Windows Antivírus do Defender para Microsoft Defender Antivírus a partir da Windows 10 versão 20H1. Política de Grupo caminhos em versões anteriores do Windows ainda podem fazer referência a Antivírus do Defender do Windows, enquanto as compilações mais recentes mostram Microsoft Defender Antivírus. Ambos os nomes referem-se à mesma localização de política.

PowerShell

Aviso

Se gerir os seus computadores e dispositivos com Intune, Configuration Manager ou outra plataforma de gestão ao nível da empresa, o software de gestão substitui quaisquer definições do PowerShell em conflito no arranque.

  1. Digite PowerShell no menu Iniciar, clique com o botão direito no Windows PowerShell e selecione Executar como administrador.

  2. Escreva um dos seguintes cmdlets. Para obter mais informações, como o ID da regra, consulte Referência de regras de redução da superfície de ataque.

    Tarefa Cmdlet do PowerShell
    Ativar regras de redução da superfície de ataque Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    Ativar regras de redução da superfície de ataque no modo de auditoria Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    Ativar regras de redução da superfície de ataque no modo de aviso Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    Ativar redução da superfície de ataque Bloquear abuso de controladores assinados vulneráveis explorados Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    Desativar as regras de redução da superfície de ataque Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    Importante

    Tem de especificar o estado individualmente para cada regra, mas pode combinar regras e estados numa lista separada por vírgulas.

    No exemplo seguinte, as duas primeiras regras estão ativadas, a terceira regra está desativada e a quarta regra está ativada no modo de auditoria: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    Também pode utilizar o verbo do Add-MpPreference PowerShell para adicionar novas regras à lista existente.

    Aviso

    Set-MpPreference substitui o conjunto de regras existente. Se quiser adicionar ao conjunto existente, utilize Add-MpPreference antes. Pode obter uma lista de regras e o respetivo estado atual com Get-MpPreference.

  3. Para excluir ficheiros e pastas das regras de redução da superfície de ataque, utilize o seguinte cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Continue a utilizar Add-MpPreference -AttackSurfaceReductionOnlyExclusions para adicionar mais ficheiros e pastas à lista.

    Importante

    Utilize Add-MpPreference para acrescentar ou adicionar aplicações à lista. A utilização do Set-MpPreference cmdlet substituirá a lista existente.

Conteúdos relacionados

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.

  • Last updated on