Ativar regras de redução da superfície de ataque

A superfície de ataque inclui todos os locais onde um invasor pode comprometer os dispositivos ou as redes da sua organização. Reduzir a superfície de ataque significa proteger os dispositivos e a rede da sua organização, o que deixa os atacantes com menos formas de executar ataques.

As regras de redução da superfície de ataque visam determinados comportamentos de software que são frequentemente abusados pelos atacantes. Tais comportamentos incluem:

• Iniciando arquivos executáveis e scripts que tentam baixar ou executar arquivos

• Executar scripts ofuscados ou suspeitos

• Executar comportamentos que as aplicações normalmente não iniciam durante o trabalho normal do dia-a-dia.

Tais comportamentos de software às vezes são vistos em aplicativos legítimos; No entanto, esses comportamentos são frequentemente considerados arriscados porque são comumente abusados por malware. As regras de redução da superfície de ataque podem restringir comportamentos de risco e ajudar a manter a sua organização segura.

Cada regra de Redução da Superfície de Ataque contém uma das quatro configurações:

• Não configurado: desative a regra de redução da superfície de ataque

• Bloquear: Ativar a regra de Redução da Superfície de Ataque

• Auditoria: avalie como a regra de redução da superfície de ataque afetaria sua organização se habilitada

• Aviso: habilite a regra de Redução da Superfície de Ataque, mas permita que o usuário final ignore o bloqueio

Regras de redução da superfície de ataque

Atualmente, as regras de Redução da Superfície de Ataque suportam as regras abaixo:

• Bloquear conteúdo executável do cliente de e-mail e webmail
• Impedir que todos os aplicativos do Office criem processos filho
• Impedir que aplicativos do Office criem conteúdo executável
• Impedir que os aplicativos do Office injetem código em outros processos
• Bloquear JavaScript ou VBScript de iniciar conteúdo executável baixado
• Bloquear a execução de scripts potencialmente ofuscados
• Bloquear chamadas de API do Win32 da macro do Office
• Use proteção avançada contra ransomware
• Bloquear roubo de credenciais do subsistema de autoridade de segurança local do Windows (lsass.exe)
• Bloquear criações de processos originadas de comandos PSExec e WMI
• Bloqueie processos não confiáveis e não assinados que são executados a partir de USB
• Bloquear a execução de arquivos executáveis, a menos que atendam a um critério de prevalência, idade ou lista confiável
• Impedir que os aplicativos de comunicação do Office criem processos filho
• Impedir que o Adobe Reader crie processos filho
• Bloquear a persistência através da subscrição de eventos WMI

Excluir arquivos e pastas das regras de redução de superfície de ataque

Você pode excluir arquivos e pastas de serem avaliados pela maioria das regras de redução de superfície de ataque. Isso significa que, mesmo que uma regra de redução de superfície de ataque determine que o arquivo ou pasta contém comportamento mal-intencionado, ela não bloqueará a execução do arquivo, o que também significa que arquivos potencialmente inseguros podem ser executados e infetar seus dispositivos.

Você exclui regras de redução de superfície de ataque do acionamento com base em hashes de certificado e arquivo permitindo indicadores de arquivo e certificado especificados do Defender for Endpoint.

Você pode especificar arquivos ou pastas individuais (usando caminhos de pasta ou nomes de recursos totalmente qualificados), mas não pode especificar a quais regras as exclusões se aplicam. Uma exclusão é aplicada somente quando o aplicativo ou serviço excluído é iniciado. Por exemplo, se você adicionar uma exclusão para um serviço de atualização que já esteja em execução, o serviço de atualização continuará a disparar eventos até que o serviço seja interrompido e reiniciado.

Modo de auditoria para avaliação

Use o modo de auditoria para avaliar como as regras de redução de superfície de ataque afetariam sua organização se estivessem habilitadas. É melhor executar todas as regras no modo de auditoria primeiro para que você possa entender seu impacto em seus aplicativos de linha de negócios. Muitos aplicativos de linha de negócios são escritos com preocupações de segurança limitadas e podem executar tarefas de maneiras que parecem semelhantes a malware. Ao monitorar os dados de auditoria e adicionar exclusões para os aplicativos necessários, você pode implantar regras de redução da superfície de ataque sem afetar a produtividade.

Notificações quando uma regra é acionada

Sempre que uma regra for acionada, uma notificação será exibida no dispositivo. Você pode personalizar a notificação com os detalhes da sua empresa e informações de contato. A notificação também é exibida no portal do Microsoft Defender.

Configurar regras de redução da superfície de ataque

Pode definir estas regras para dispositivos com qualquer uma das seguintes edições e versões do Windows:

• Windows 10 Pro, versão 1709 ou posterior
• Windows 10 Enterprise, versão 1709 ou posterior
• Windows Server, versão 1803 (Canal Semestral) ou posterior
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2022

Você pode habilitar regras de redução de superfície de ataque usando qualquer um destes métodos:

• Microsoft Intune
• Gestão de Dispositivos Móveis (MDM)
• Gerenciador de Configuração do Microsoft Endpoint
• Política de Grupo
• PowerShell

O gerenciamento de nível empresarial, como o Intune ou o Microsoft Endpoint Configuration Manager, é recomendado. O gerenciamento de nível empresarial substituirá quaisquer configurações conflitantes da Política de Grupo ou do PowerShell na inicialização.

Intune

Perfis de configuração do dispositivo:

1. Selecione Perfis de configuração > do dispositivo. Escolha um perfil de proteção de endpoint existente ou crie um novo. Para criar um novo, selecione Criar perfil e insira informações para esse perfil. Em Tipo de perfil, selecione Proteção de ponto final. Se tiver escolhido um perfil existente, selecione Propriedades e, em seguida, selecione Definições.

2. No painel Proteção de pontos finais, selecione Windows Defender Exploit Guard e, em seguida, selecione Redução da superfície de ataque. Selecione a configuração desejada para cada regra.

3. Em Exceções de Redução de Superfície de Ataque, insira arquivos e pastas individuais. Você também pode selecionar Importar para importar um arquivo CSV que contenha arquivos e pastas a serem excluídos das regras de redução da superfície de ataque. Cada linha no arquivo CSV deve ser formatada da seguinte forma:

   C:\folder, %Arquivos de Programas%\pasta\arquivo, C:\path

4. Selecione OK nos três painéis de configuração. Em seguida, selecione Criar se estiver criando um novo arquivo de proteção de ponto de extremidade ou Salvar se estiver editando um existente.

Política de segurança do ponto final:

1. Selecione Redução da superfície de ataque do Endpoint Security>. Escolha uma regra existente ou crie uma nova. Para criar um novo, selecione Criar política e insira informações para este perfil. Para Tipo de perfil, selecione Regras de redução da superfície de ataque. Se tiver escolhido um perfil existente, selecione Propriedades e, em seguida, selecione Definições.

2. No painel Definições de configuração, selecione Redução da Superfície de Ataque e, em seguida, selecione a definição pretendida para cada regra.

3. Em Lista de pastas adicionais que precisam ser protegidas, Lista de aplicativos que têm acesso a pastas protegidas e Excluir arquivos e caminhos de regras de redução de superfície de ataque, insira arquivos e pastas individuais. Você também pode selecionar Importar para importar um arquivo CSV que contenha arquivos e pastas a serem excluídos das regras de redução da superfície de ataque. Cada linha no arquivo CSV deve ser formatada da seguinte forma:

   C:\folder, %Arquivos de Programas%\pasta\arquivo, C:\path

4. Selecione Seguinte nos três painéis de configuração e, em seguida, selecione Criar se estiver a criar uma nova política ou Guardar se estiver a editar uma política existente.

Gestão de dispositivos móveis

Para gerenciar as regras de redução da superfície de ataque no gerenciamento de dispositivos móveis:

• Use o provedor de serviços de configuração (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules para habilitar e definir individualmente o modo para cada regra.

• Siga a referência de gerenciamento de dispositivos móveis em Regras de redução de superfície de ataque para usar valores GUID.

• Caminho OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

• Valor: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

• Os valores a habilitar, desabilitar ou habilitar no modo de auditoria são:

  • Desativar = 0

  • Bloquear (ativar regra de redução da superfície de ataque) = 1

  • Auditoria = 2

• Use o provedor de serviços de configuração (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions para adicionar exclusões.

Exemplo:

• Caminho OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

• Valor: c:\path|e:\path|c:\wlisted.exe

Gerenciador de Configuração do Microsoft Endpoint

Para gerenciar as regras de redução da superfície de ataque no Microsoft Endpoint Configuration Manager:

1. No Microsoft Endpoint Configuration Manager, vá para Ativos e Conformidade > Endpoint Protection > Windows Defender Exploit Guard.

2. Selecione Início > Criar Política de Proteção contra Exploração.

3. Introduza um nome e uma descrição, selecione Redução da Superfície de Ataque e selecione Seguinte.

4. Escolha quais regras bloquearão ou auditarão ações e selecione Avançar.

5. Revise as configurações e selecione Avançar para criar a política.

6. Depois que a política for criada, selecione Fechar.

Política de grupo

Para gerenciar as regras de redução da superfície de ataque na Diretiva de Grupo:

1. No computador de gerenciamento de Diretiva de Grupo, abra o Console de Gerenciamento de Diretiva de Grupo, clique com o botão direito do mouse no Objeto de Diretiva de Grupo que deseja configurar e selecione Editar.

2. No Editor de Gerenciamento de Diretiva de Grupo, vá para Configuração do computador e selecione Modelos administrativos.

3. Expanda a árvore para componentes do Windows > Microsoft Defender Antivírus > Windows Defender Exploit Guard > redução da superfície de ataque.

4. Selecione Configurar regras de redução de superfície de ataque e selecione Ativado. Em seguida, você pode definir o estado individual para cada regra na seção de opções.

5. Selecione Mostrar... e insira o ID da regra na coluna Nome do valor e o estado escolhido na coluna Valor da seguinte maneira:

   Desativar = 0 Bloco (ativar regra de redução da superfície de ataque) = 1 Auditoria = 2

6. Para excluir arquivos e pastas das regras de redução de superfície de ataque, selecione a configuração Excluir arquivos e caminhos das regras de redução de superfície de ataque e defina a opção como Habilitado. Selecione Mostrar e insira cada arquivo ou pasta na coluna Nome do valor. Digite 0 na coluna Valor para cada item.

PowerShell

Para gerenciar as regras de redução da superfície de ataque com o PowerShell:

1. Digite PowerShell no menu Iniciar, clique com o botão direito do mouse em Windows PowerShell e selecione Executar como administrador.

2. Insira o seguinte cmdlet:

   Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
   
   

3. Para habilitar as regras de redução da superfície de ataque no modo de auditoria, use o seguinte cmdlet:

   Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
   
   

4. Para desativar as regras de redução de superfície de ataque, use o seguinte cmdlet:

   Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled
   
   

5. Você deve especificar o estado individualmente para cada regra, mas pode combinar regras e estados em uma lista separada por vírgula.

6. No exemplo a seguir, as duas primeiras regras serão habilitadas, a terceira regra será desabilitada e a quarta regra será habilitada no modo de auditoria:

   Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode
   
   

7. Você também pode usar o verbo Add-MpPreference PowerShell para adicionar novas regras à lista existente.

8. Set-MpPreference sempre substituirá o conjunto de regras existente. Se você quiser adicionar ao conjunto existente, você deve usar Add-MpPreference em vez disso. Você pode obter uma lista de regras e seu estado atual usando Get-MpPreference.

9. Para excluir arquivos e pastas das regras de redução de superfície de ataque, use o seguinte cmdlet:

   Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
   
   

10. Continue a usar Add-MpPreference -AttackSurfaceReductionOnlyExclusions para adicionar mais arquivos e pastas à lista.

Lista de eventos de redução da superfície de ataque

Todos os eventos de redução da superfície de ataque estão localizados em Logs de Aplicativos > e Serviços do Microsoft > Windows no Visualizador de Eventos do Windows.