Migrar de um HIPS que não é da Microsoft para atacar regras de redução da superfície

Este artigo ajuda-o a mapear regras comuns para Microsoft Defender para Endpoint. Para obter mais informações sobre as regras do ASR, veja Descrição geral das regras de redução da superfície de ataque (ASR).

Cenários ao migrar de um produto HIPS não Microsoft para regras de redução da superfície de ataque

Bloquear a criação de ficheiros específicos

• Aplica-se a: Todos os processos
• Processos: N/D
• Operação: Criação de Ficheiros
• Exemplos de Files/Pastas, Chaves de Registo/Valores, Processos ou Serviços:
  • .jaff
  • .krab
  • .locky
  • .lukitus
  • .odin
  • .wnry
  • .zepto
• Regras de redução da superfície de ataque:
  • As regras do ASR bloqueiam técnicas de ataque, não indicadores de compromisso (COI).
  • O bloqueio de uma extensão de ficheiro específica nem sempre é útil, porque não impede que um dispositivo se comprometa. Apenas impede parcialmente um ataque até que os atacantes criem um novo tipo de extensão para o payload.
• Outras funcionalidades recomendadas:
  • A Microsoft recomenda vivamente a ativação Microsoft Defender Antivírus, proteção da cloud e bloqueio comportamental.
  • A Microsoft recomenda outras medidas de prevenção, como a regra asr Utilizar proteção avançada contra ransomware (c1db55ab-c21a-4637-bb3f-a12568109d35), que fornece um maior nível de proteção contra ataques de ransomware.
  • Microsoft Defender para Endpoint monitoriza muitas destas chaves de registo, como técnicas de Início Automático de Pontos de Extensão (ASEP), que acionam alertas específicos. As chaves de registo utilizadas requerem um mínimo de privilégios de Administração Local ou Instalador Fidedigno. A Microsoft recomenda a utilização de um ambiente bloqueado com contas ou direitos administrativos mínimos. Pode ativar outras configurações do sistema, incluindo desativar como SeDebugPrivilege parte de recomendações de segurança mais amplas.

Bloquear a criação de chaves de registo específicas

• Aplica-se a: Todos os Processos
• Processos: N/D
• Operação: Modificações do Registo
• Exemplos de Files/Pastas, Chaves de Registo/Valores, Processos ou Serviços:
  • HKCU\Environment\UserInitMprLogonScript
  • HKCU\Software\Microsoft\HtmlHelp Author\location
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• Regras de redução da superfície de ataque:
  • As regras do ASR bloqueiam técnicas de ataque, não indicadores de compromisso (COI).
  • O bloqueio de uma extensão de ficheiro específica nem sempre é útil, porque não impede que um dispositivo se comprometa. Apenas impede parcialmente um ataque até que os atacantes criem um novo tipo de extensão para o payload.
• Outras funcionalidades recomendadas:
  • A Microsoft recomenda vivamente a ativação Microsoft Defender Antivírus, proteção da cloud e bloqueio comportamental.
  • A Microsoft recomenda outras medidas de prevenção, incluindo a regra asr Utilizar proteção avançada contra ransomware (c1db55ab-c21a-4637-bb3f-a12568109d35), que fornece um maior nível de proteção contra ataques de ransomware.
  • Microsoft Defender para Endpoint monitoriza muitas destas chaves de registo, como técnicas de Início Automático de Pontos de Extensão (ASEP), que acionam alertas específicos. As chaves de registo utilizadas requerem um mínimo de privilégios de Administração Local ou Instalador Fidedigno. A Microsoft recomenda a utilização de um ambiente bloqueado com contas ou direitos administrativos mínimos. Pode ativar outras configurações do sistema, incluindo desativar como SeDebugPrivilege parte de recomendações de segurança mais amplas.

Bloquear a execução de programas não fidedignos a partir de unidades amovíveis

• Aplica-se a: Programas Não Fidedignos a partir de USB
• Processos:
  • *
• Operação: Execução de Processos
• Exemplos de Files/Pastas, Chaves de Registo/Valores, Processos ou Serviços:
• Regras de redução da superfície de ataque:
  • Utilize a regra ASR denominada Bloquear processos não fidedignos e não assinados que são executados a partir de USB (b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4)
• Outras funcionalidades recomendadas:
  • Para obter mais informações sobre controlos para dispositivos USB e outros suportes de dados amovíveis com o Defender para Ponto Final, consulte Controlo de dispositivos no Microsoft Defender para Endpoint.

Bloquear o Mshta de iniciar determinados processos subordinados

• Aplica-se a: Mshta
• Processos:
  • mshta.exe
• Operação: Execução de Processos
• Exemplos de Files/Pastas, Chaves de Registo/Valores, Processos ou Serviços:
  • cmd.exe
  • powershell.exe
  • regsvr32.exe
• Regras de redução da superfície de ataque: não existem regras ASR específicas para impedir que os processos subordinados mshta.exe. Este tipo de controlo está disponível na proteção contra exploits ou no Controlo de Aplicações para Windows.
• Outras funcionalidades recomendadas:
  • Ative o controlo de aplicações para impedir a execução de mshta.exe. Se a sua organização precisar demshta.exe para aplicações de linha de negócio, configure uma regra de proteção contra exploits específica para impedir mshta.exe de iniciar processos subordinados.

Bloquear o Outlook de iniciar processos subordinados

• Aplica-se a: Outlook
• Processos:
  • outlook.exe
• Operação: Execução de Processos
• Exemplos de Files/Pastas, Chaves de Registo/Valores, Processos ou Serviços:
  • powershell.exe
• Regras de redução da superfície de ataque:
  • A regra do ASR Impede a aplicação de comunicação do Office de criar processos subordinados (26190899-1602-49e8-8b27-eb1d0a1ce869) impede que as aplicações de comunicação do Office (Outlook, Skype e Teams) iniciem processos subordinados.
• Outras funcionalidades recomendadas:
  • A Microsoft recomenda ativar o modo de idioma restrito do PowerShell para minimizar a superfície de ataque do PowerShell.

Impedir que as aplicações do Office iniciem processos subordinados

• Aplica-se a: Office
• Processos:
  • excel.exe
  • powerpnt.exe
  • winword.exe
• Operação: Execução de Processos
• Exemplos de Files/Pastas, Chaves de Registo/Valores, Processos ou Serviços:
  • EQNEDT32.EXE
  • cmd.exe
  • mshta.exe
  • powershell.exe
  • regsrv32.exe
  • wscript.exe
• Regras de redução da superfície de ataque:
  • A regra asr Bloquear todas as aplicações do Office de criar processos subordinados (d4f940ab-401b-4efc-aadc-ad5f3c50688a) impede que as aplicações do Office iniciem processos subordinados.
• Outras funcionalidades recomendadas: N/D

Impedir que as aplicações do Office criem conteúdos executáveis

• Aplica-se a: Office
• Processos:
  • winword.exe
  • powerpnt.exe
  • excel.exe
• Operação: Criação de Ficheiros
• Exemplos de Files/Pastas, Chaves de Registo/Valores, Processos ou Serviços:
  • C:\ProgramData**.com
  • C:\ProgramData**.exe
  • C:\ProgramData**.scf
  • C:\Users*AppData\Local\Temp**.com
  • C:\Users*\AppData**.exe
  • C:\Users*\AppData**.scf
  • C:\Users*\Desktop**.exe
  • C:\Users*\Downloads**.exe
  • C:\Users\Public**.exe
• Regras de redução da superfície de ataque:
  • A regra ASR Impede que as aplicações do Office criem conteúdos executáveis (3b576869-a4ec-4529-8536-b80a7769e899) impede que as aplicações do Office guardem conteúdos executáveis maliciosos no disco.

Impedir o Wscript de ler determinados tipos de ficheiros

• Aplica-se a: Wscript
• Processos:
  • wscript.exe
• Operação: Leitura do Ficheiro
• Exemplos de Files/Pastas, Chaves de Registo/Valores, Processos ou Serviços:
• C:\Users*\AppData**.js
• C:\Users*\Downloads**.js
• Regras de redução da superfície de ataque:
  • Devido a problemas de fiabilidade e desempenho, as regras do ASR não podem impedir um processo de leitura de tipos específicos de ficheiros de script. No entanto, as seguintes regras do ASR podem ajudar a impedir vetores de ataques que possam ter origem nestes cenários:
    • Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido (d3e037e1-3eb8-44c8-a917-57927947596d)
    • Bloquear a execução de scripts potencialmente ocultados (5beb7efe-fd9a-4556-801d-275e5ffc04cc)
• Outras funcionalidades recomendadas:
  • Por predefinição, a Interface de Análise Antimalware (AMSI) pode inspecionar vários scripts em tempo real (por exemplo, PowerShell, Anfitrião de Script do Windows, JavaScript, VBScript e muito mais). Para obter mais informações, veja Antimalware Scan Interface (AMSI).

Bloquear o lançamento de processos subordinados

• Aplica-se a: Adobe Acrobat
• Processos:
  • AcroRd32.exe
  • Acrobat.exe
• Operação: Execução de Processos
• Exemplos de Files/Pastas, Chaves de Registo/Valores, Processos ou Serviços:
  • cmd.exe
  • powershell.exe
  • wscript.exe
• Regras de redução da superfície de ataque:
  • A regra asr impede o Adobe Reader de criar processos subordinados (7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c) impede o Adobe Reader de iniciar processos subordinados.
• Outras funcionalidades recomendadas: N/D

Bloquear a transferência ou criação de conteúdo executável

• Aplica-se a: CertUtil
• Processos:
  • certutil.exe
• Operação: Criação de Ficheiros
• Exemplos de Files/Pastas, Chaves de Registo/Valores, Processos ou Serviços:
  • *.exe
• Regras de redução da superfície de ataque:
  • As regras do ASR não suportam estes cenários porque estão incluídas na proteção antivírus Microsoft Defender.
• Outras funcionalidades recomendadas:
  • Microsoft Defender Antivírus impede o CertUtil de criar ou transferir conteúdo executável.

Impedir que os processos parem componentes críticos do Sistema

• Aplica-se a: Todos os Processos
• Processos:
  • *
• Operação: Terminação do Processo
• Exemplos de Files/Pastas, Chaves de Registo/Valores, Processos ou Serviços:
  • MsMpEng.exe
  • MsSense.exe
  • NisSrv.exe
  • csrss.exe
  • services.exe
  • smss.exe
  • svchost.exe
  • wininit.exe
  • e muito mais
• Regras de redução da superfície de ataque: as regras ASR não suportam estes cenários porque estão incluídas nas proteções de segurança incorporadas do Windows.
• Outras funcionalidades recomendadas:
  • AntiMalware de Início Antecipado (ELAM)
  • Luz de Processo de Proteção (PPL) e Luz AntiMalware PPL
  • System Guard

Bloquear tentativa de processo de iniciação específica

• Aplica-se a: Processos específicos
• Processos: processos específicos
• Operação: Execução de Processos
• Exemplos de Files/Pastas, Chaves de Registo/Valores, Processos ou Serviços:
  • tor.exe
  • bittorrent.exe
  • cmd.exe
  • powershell.exe
  • e muito mais
• Regras de redução da superfície de ataque:
  • No geral, as regras do ASR não foram concebidas para funcionar como um gestor de aplicações.
• Outras funcionalidades recomendadas:
  • Para impedir que os utilizadores iniciem processos ou programas específicos, utilize o Controlo de Aplicações para Windows.
  • Embora não seja um mecanismo de controlo de aplicações, pode utilizar Microsoft Defender para Endpoint indicadores de comprometimento (IOCs) para ficheiros e certificados em cenários de resposta a incidentes.

Bloquear alterações não autorizadas às configurações do Antivírus do Microsoft Defender

• Aplica-se a: Todos os Processos
• Processos:
  • *
• Operação: Modificações do Registo
• Exemplos de Files/Pastas, Chaves de Registo/Valores, Processos ou Serviços:
  • HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware
  • HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring
  • e muito mais
• Regras de redução da superfície de ataque: as regras ASR não suportam estes cenários porque estão incluídas no Microsoft Defender para Endpoint proteção incorporada.
• Outras funcionalidades recomendadas:
  • A proteção contra adulteração no Microsoft Defender para Endpoint impede alterações não autorizadas às chaves de registo associadas ao Antivírus Microsoft Defender. Por exemplo:
  • DisableAntiVirus
  • DisableAntiSpyware
  • DisableRealtimeMonitoring
  • DisableOnAccessProtection
  • DisableBehaviorMonitoring
  • DisableIOAVProtection
  • e muito mais

Conteúdos relacionados

• FAQ sobre a redução da superfície de ataque
• Configurar regras e exclusões de redução da superfície de ataque (ASR)