Habilitar as regras de redução da superfície de ataque no Microsoft Defender para Empresas
Suas superfícies de ataque são todos os lugares e maneiras pelas quais a rede e os dispositivos da sua organização são vulneráveis a ameaças cibernéticas e ataques. Dispositivos sem segurança, acesso irrestrito a qualquer URL em um dispositivo da empresa e permitir que qualquer tipo de aplicativo ou script seja executado em dispositivos da empresa são todos exemplos de superfícies de ataque. Eles deixam sua empresa vulnerável a ataques cibernéticos.
Para ajudar a proteger sua rede e dispositivos, Microsoft Defender para Empresas inclui várias funcionalidades de redução da superfície de ataque, incluindo regras de redução de superfície de ataque. Este artigo descreve como configurar suas regras de redução de superfície de ataque e descreve as funcionalidades de redução da superfície de ataque.
Observação
Intune não está incluído na versão autônoma do Defender para Empresas, mas pode ser adicionado.
Regras ASR de proteção padrão
Há muitas regras de redução de superfície de ataque disponíveis. Você não precisa configurá-los todos de uma vez. E você pode configurar algumas regras no modo de auditoria apenas para ver como elas funcionam para sua organização e alterá-las para funcionar no modo de bloco posteriormente. Dito isso, recomendamos habilitar as seguintes regras de proteção padrão o mais rápido possível:
- Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows
- Bloquear o abuso de motoristas conectados vulneráveis explorados
- Bloquear a persistência por meio da assinatura de evento WMI
Essas regras ajudam a proteger sua rede e dispositivos, mas não devem causar interrupções para os usuários. Use Intune para configurar as regras de redução da superfície de ataque.
Configurar regras ASR usando Intune
Como administrador global, no centro de administração Microsoft Intune (https://intune.microsoft.com/), vá para aredução da superfície de ataque de segurança> do ponto de extremidade.
Escolha Create política para criar uma nova política.
- Para Plataforma, escolha Windows 10, Windows 11 e Windows Server.
- Para Perfil, selecione Regras de Redução de Superfície de Ataque e escolha Create.
Configure sua política da seguinte maneira:
Especifique um nome e uma descrição e escolha Avançar.
Para pelo menos as três regras a seguir, defina cada uma como Bloquear:
- Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows
- Bloquear a persistência por meio da assinatura de evento WMI
- Bloquear o abuso de motoristas conectados vulneráveis explorados
Depois clique em Próximo.
Na etapa Marcas de escopo , escolha Avançar.
Na etapa Atribuições , escolha os usuários ou dispositivos para receber as regras e escolha Avançar. (Recomendamos selecionar Adicionar todos os dispositivos.)
Na etapa Revisar + criar, examine as informações e escolha Create.
Dica
Se preferir, você pode configurar suas regras de redução de superfície de ataque no modo de auditoria no início para ver as detecções antes que arquivos ou processos sejam realmente bloqueados. Para obter informações mais detalhadas sobre regras de redução de superfície de ataque, consulte Visão geral sobre a implantação de regras de redução de superfície de ataque.
Exibir o relatório de redução da superfície de ataque
O Defender para Empresas inclui um relatório de redução de superfície de ataque que mostra como as regras de redução de superfície de ataque estão funcionando para você.
Como administrador global, no portal Microsoft Defender (https://security.microsoft.com), no painel de navegação, escolha Relatórios.
Em Pontos de extremidade, escolha Regras de redução de superfície de ataque. O relatório é aberto e inclui três guias:
- Detecções, em que você pode exibir detecções que ocorreram como resultado de regras de redução de superfície de ataque
- Configuração, em que você pode exibir dados para regras de proteção padrão ou outras regras de redução de superfície de ataque
- Adicione exclusões, em que você pode adicionar itens a serem excluídos das regras de redução da superfície de ataque (use exclusões com moderação; cada exclusão reduz seu nível de proteção de segurança)
Para saber mais sobre as regras de redução da superfície de ataque, confira os seguintes artigos:
- Visão geral das regras de redução de superfície de ataque
- Relatório de regras de redução de superfície de ataque
- Referência de regras de redução de superfície de ataque
- Visão geral da implantação de regras de redução de superfície de ataque
Recursos de redução de superfície de ataque no Defender para Empresas
As regras de redução de superfície de ataque estão disponíveis no Defender para Empresas. A tabela a seguir resume os recursos de redução de superfície de ataque no Defender para Empresas. Observe como outros recursos, como proteção de próxima geração e filtragem de conteúdo da Web, funcionam em conjunto com suas funcionalidades de redução de superfície de ataque.
| Recursos | Como configurá-lo |
|---|---|
| Regras da redução da superfície de ataque Evite ações específicas comumente associadas a atividades mal-intencionadas a serem executadas em dispositivos Windows. |
Habilite suas regras de redução de superfície de ataque de proteção padrão (seção neste artigo). |
| Acesso controlado a pastas O acesso controlado à pasta permite que apenas aplicativos confiáveis acessem pastas protegidas em dispositivos Windows. Pense nessa funcionalidade como mitigação de ransomware. |
Configure a política de acesso de pasta controlada no Microsoft Defender para Empresas. |
| Proteção de rede A proteção de rede impede que as pessoas acessem domínios perigosos por meio de aplicativos em seus dispositivos Windows e Mac. A proteção de rede também é um componente fundamental da filtragem de conteúdo da Web no Microsoft Defender para Empresas. |
A proteção de rede já está habilitada por padrão quando os dispositivos são integrados ao Defender para Empresas e as políticas de proteção de próxima geração no Defender para Empresas são aplicadas . Suas políticas padrão são configuradas para usar as configurações de segurança recomendadas. |
| Proteção na web A proteção da Web se integra aos navegadores da Web e funciona com proteção de rede para proteger contra ameaças da Web e conteúdo indesejado. A proteção da Web inclui a filtragem de conteúdo da Web e relatórios de ameaças da Web. |
Configure a filtragem de conteúdo da Web no Microsoft Defender para Empresas. |
| Proteção contra firewall A proteção contra firewall determina para qual tráfego de rede é permitido fluir para ou dos dispositivos da sua organização. |
A proteção contra firewall já está habilitada por padrão quando os dispositivos são integrados ao Defender para Empresas e as políticas de firewall no Defender para Empresas são aplicadas . |
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de