Partilhar via

Definições de política de redução da superfície de ataque para segurança de pontos finais no Intune

  • Artigo

Veja as definições que pode configurar em perfis para Política de redução da superfície de ataque no nó de segurança de ponto final do Intune como parte de uma política de segurança de Ponto final.

Aplicável a:

  • Windows 11
  • Windows 10

Plataformas e perfis suportados:

  • Windows 10 e posterior – utilize esta plataforma para a política que implementa em dispositivos geridos com o Intune.

    • Perfil: Isolamento de aplicações e browsers
    • Perfil: Controlo de aplicação
    • Perfil: Regras de redução da superfície de ataque
    • Perfil: Controlo de dispositivos
    • Perfil: Exploit Protection
    • Perfil: Proteção Web (Microsoft Edge Legado)

  • Windows 10 e posterior (ConfigMgr): utilize esta plataforma para a política que implementar em dispositivos geridos pelo Configuration Manager.

    • Perfil: Exploit Protection(ConfigMgr)(pré-visualização)
    • Perfil: Proteção Web (ConfigMgr)(pré-visualização)

  • Windows 10, Windows 11 e Windows Server: utilize esta plataforma para a política que implementar em dispositivos geridos através da Gestão de Segurança do Microsoft Defender para Endpoint.

    • Perfil: Regras de Redução da Superfície de Ataque

Redução da superfície de ataque (MDM)

Perfil de isolamento de aplicações e browsers

Observação

Esta secção detalha as definições nos perfis de isolamento de aplicações e browsers criados antes de 18 de abril de 2023. Os perfis criados após essa data utilizam um novo formato de definições, conforme encontrado no Catálogo de Definições. Com esta alteração, já não pode criar novas versões do perfil antigo e estas já não estão a ser desenvolvidas. Embora já não possa criar novas instâncias do perfil mais antigo, pode continuar a editar e utilizar instâncias do mesmo que criou anteriormente.

Para perfis que utilizam o novo formato de definições, o Intune já não mantém uma lista de cada definição por nome. Em vez disso, o nome de cada definição, as opções de configuração e o texto explicativo que vê no centro de administração do Microsoft Intune são retirados diretamente do conteúdo autoritativo das definições. Esse conteúdo pode fornecer mais informações sobre a utilização da definição no contexto adequado. Ao visualizar um texto de informações sobre definições, pode utilizar a respetiva ligação Saiba mais para abrir esse conteúdo.

Isolamento de aplicações e browsers

  • Ativar o Application Guard
    CSP: AllowWindowsDefenderApplicationGuard

    • Não configurado (predefinição) – o Microsoft Defender Application Guard não está configurado para o Microsoft Edge nem para ambientes isolados do Windows.
    • Ativado para o Edge – o Application Guard abre sites não aprovados num contentor de navegação virtualizado hyper-V.
    • Ativado para ambientes isolados do Windows – o Application Guard está ativado para todas as aplicações ativadas para o App Guard no Windows.
    • Ativado para ambientes Edge E isolados do Windows – o Application Guard está configurado para ambos os cenários.

    Observação

    Se estiver a implementar o Application Guard para o Microsoft Edge através do Intune, a política de isolamento de rede do Windows tem de ser configurada como um pré-requisito. O isolamento de rede pode ser configurado através de vários perfis, incluindo isolamento de aplicações e broswer na definição de isolamento de rede do Windows .

    Quando definido como Ativado para o Edge ou Ativado para ambientes do Edge E isolados do Windows, estão disponíveis as seguintes definições, que se aplicam ao Edge:

    • Comportamento da área de transferência
      CSP: Área de TransferênciaDefinições

      Escolha as ações de cópia e colagem permitidas a partir do PC local e de um browser virtual do Application Guard.

      • Não configurado (predefinição)
      • Bloquear a cópia e a colagem entre o PC e o browser
      • Permitir copiar e colar apenas do browser para o PC
      • Permitir copiar e colar apenas do PC para o browser
      • Permitir copiar e colar entre o PC e o browser

    • Bloquear conteúdo externo de sites aprovados não empresariais
      CSP: BlockNonEnterpriseContent

      • Não configurado (predefinição)
      • Sim – bloquear o carregamento de conteúdos de sites não aprovados.

    • Recolher registos de eventos que ocorrem numa sessão de navegação do Application Guard
      CSP: AuditApplicationGuard

      • Não configurado (predefinição)
      • Sim - Recolha registos de eventos que ocorrem numa sessão de navegação virtual do Application Guard.

    • Permitir que os dados do browser gerados pelo utilizador sejam guardados
      CSP: AllowPersistence

      • Não configurado (predefinição)
      • Sim – permita que os dados de utilizador criados durante uma sessão de navegação virtual do Application Guard sejam guardados. Exemplos de dados de utilizador incluem palavras-passe, favoritos e cookies.

    • Ativar aceleração de gráficos de hardware
      CSP: AllowVirtualGPU

      • Não configurado (predefinição)
      • Sim – na sessão de navegação virtual do Application Guard, utilize uma unidade de processamento de gráficos virtuais para carregar sites com utilização intensiva de gráficos mais rapidamente.

    • Permitir que os utilizadores transfiram ficheiros para o anfitrião
      CSP: SaveFilesToHost

      • Não configurado (predefinição)
      • Sim - Permitir que os utilizadores transfiram ficheiros do browser virtualizado para o sistema operativo anfitrião.

    • O Application Guard permite o acesso à câmara e ao microfone
      CSP: AllowCameraMicrophoneRedirection

      • Não configurado (predefinição) – as aplicações dentro do Microsoft Defender Application Guard não conseguem aceder à câmara e ao microfone no dispositivo do utilizador.
      • Sim – as aplicações dentro do Microsoft Defender Application Guard podem aceder à câmara e ao microfone no dispositivo do utilizador.
      • Não - As aplicações dentro do Microsoft Defender Application Guard não conseguem aceder à câmara e ao microfone no dispositivo do utilizador. Este é o mesmo comportamento que Não configurado.

  • O Application Guard permite imprimir em impressoras locais

    • Não configurado (predefinição)
    • Sim - Permitir a impressão em impressoras locais.

  • O Application Guard permite imprimir em impressoras de rede

    • Não configurado (predefinição)
    • Sim – permitir a impressão de impressão em impressoras de rede.

  • Aplicação de proteção de aplicações permite imprimir em PDF

    • Não configurado (predefinição)
    • Sim- Permitir impressão em PDF.

  • A proteção de aplicações permite imprimir para XPS

    • Não configurado (predefinição)
    • Sim – permitir a impressão impressa para XPS.

  • O Application Guard permite a utilização de Autoridades de Certificação de Raiz a partir do dispositivo do utilizador
    CSP: CertificateThumbprints

    Configure thumbprints do certificado para transferir automaticamente o certificado de raiz correspondente para o contentor do Microsoft Defender Application Guard.

    Para adicionar thumbprints um de cada vez, selecione Adicionar. Pode utilizar Importar para especificar um ficheiro de .CSV que contém múltiplas entradas de thumbprint que são todas adicionadas ao perfil ao mesmo tempo. Quando utiliza um ficheiro .CSV, cada thumbprint tem de ser separado por uma vírgula. Por exemplo: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    Todas as entradas listadas no perfil estão ativas. Não precisa de selecionar uma caixa de verificação para uma entrada de thumbprint para a ativar. Em vez disso, utilize as caixas de verificação para o ajudar a gerir as entradas que foram adicionadas ao perfil. Por exemplo, pode selecionar a caixa de verificação de uma ou mais entradas de thumbprint de certificado e, em seguida , Eliminar essas entradas do perfil com uma única ação.

  • Política de isolamento de rede do Windows

    • Não configurado (predefinição)
    • Sim - Configurar a política de isolamento de rede do Windows.

    Quando definido como Sim, pode configurar as seguintes definições:

    • Intervalos de IP
      Expanda o menu pendente, selecione Adicionar e, em seguida, especifique um endereço inferior e, em seguida, um endereço superior.

    • Recursos de nuvem
      Expanda a lista pendente, selecione Adicionar e, em seguida, especifique um endereço IP ou FQDN e um Proxy.

    • Domínios de rede
      Expanda a lista pendente, selecione Adicionar e, em seguida, especifique Domínios de rede.

    • Servidores proxy
      Expanda a lista pendente, selecione Adicionar e, em seguida, especifique servidores Proxy.

    • Servidores proxy internos
      Expanda o menu pendente, selecione Adicionar e, em seguida, especifique Servidores proxy internos.

    • Recursos neutros
      Expanda a lista pendente, selecione Adicionar e, em seguida, especifique Recursos neutros.

    • Desativar a Deteção automática de outros servidores proxy empresariais

      • Não configurado (predefinição)
      • Sim – desative a Deteção automática de outros servidores proxy empresariais.

    • Desativar a Deteção automática de outros intervalos de IP empresariais

      • Não configurado (predefinição)
      • Sim - Desative a Deteção automática de outros intervalos de IP empresariais.

    Observação

    Após a criação do perfil, todos os dispositivos aos quais a política deve ser aplicada terão o Microsoft Defender Application Guard ativado. Os utilizadores poderão ter de reiniciar os dispositivos para que a proteção esteja implementada.

Perfil de controlo de aplicação

Controlo de Aplicações do Microsoft Defender

  • Controlo de aplicação de cacifo de aplicações
    CSP: AppLocker

    • Não configurado (predefinição)
    • Impor Componentes e Aplicações da Loja
    • Componentes de Auditoria e Aplicações da Loja
    • Impor Componentes, Aplicações da Loja e Smartlocker
    • Componentes de Auditoria, Aplicações da Loja e Smartlocker

  • Impedir que os utilizadores ignorem os avisos do SmartScreen
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • Não configurado (predefinição) – os utilizadores podem ignorar avisos smartScreen para ficheiros e aplicações maliciosas.
    • Sim – o SmartScreen está ativado e os utilizadores não podem ignorar avisos para ficheiros ou aplicações maliciosas.

  • Ativar o Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • Não configurado (predefinição) – devolva a predefinição do Windows, que é ativar o SmartScreen, no entanto, os utilizadores podem alterar esta definição. Para desativar o SmartScreen, utilize um URI personalizado.
    • Sim - Impor a utilização do SmartScreen para todos os utilizadores.

Perfil de regras de redução da superfície de ataque

Regras de Redução da Superfície de Ataque

Para saber mais sobre as Regras de redução da superfície de ataque, consulte Referência de regras de redução da superfície de ataque na documentação do Microsoft 365.

Observação

Esta secção detalha as definições em Perfis de Regras de Redução da Superfície de Ataque criados antes de 5 de abril de 2022. Os perfis criados após essa data utilizam um novo formato de definições, conforme encontrado no Catálogo de Definições. Com esta alteração, já não pode criar novas versões do perfil antigo e estas já não estão a ser desenvolvidas. Embora já não possa criar novas instâncias do perfil mais antigo, pode continuar a editar e utilizar instâncias do mesmo que criou anteriormente.

Para perfis que utilizam o novo formato de definições, o Intune já não mantém uma lista de cada definição por nome. Em vez disso, o nome de cada definição, as opções de configuração e o texto explicativo que vê no centro de administração do Microsoft Intune são retirados diretamente do conteúdo autoritativo das definições. Esse conteúdo pode fornecer mais informações sobre a utilização da definição no contexto adequado. Ao visualizar um texto de informações sobre definições, pode utilizar a respetiva ligação Saiba mais para abrir esse conteúdo.

  • Bloquear a persistência através da subscrição de eventos WMI
    Reduzir superfícies de ataque com regras de redução da superfície de ataque

    Esta regra de redução da superfície de ataque (ASR) é controlada através do seguinte GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

    Essa regra impede que o malware viole o WMI para obter persistência em um dispositivo. Ameaças sem arquivo empregam várias táticas para permanecer ocultas, evitar serem vistas no sistema de arquivos e obter controle de execução periódico. Algumas ameaças podem violar o repositório WMI e o modelo de evento para permanecerem ocultas.

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada e a persistência não é bloqueada.
    • Bloquear – a persistência por meio do WMI é bloqueada.
    • Auditoria – avalia como essa regra afetará sua organização se ela estiver habilitada (definida como Bloquear).
    • Desabilitar – desative essa regra. A persistência não é bloqueada.

    Para saber mais sobre esta definição, veja Bloquear a persistência através da subscrição de eventos WMI.

  • Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
    Proteger dispositivos contra abusos

    Esta regra de redução da superfície de ataque (ASR) é controlada através do seguinte GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada.
    • Definido pelo utilizador
    • Ativar – as tentativas de roubo de credenciais através de lsass.exe são bloqueadas.
    • Modo de auditoria – em vez disso, os utilizadores não são bloqueados de domínios perigosos e os eventos do Windows são gerados.
    • Avisar - Para o Windows 10 versão 1809 ou posterior e o Windows 11, o utilizador do dispositivo recebe uma mensagem a indicar que pode ignorar a definição Bloquear . Em dispositivos com versões anteriores do Windows 10, a regra impõe o comportamento Ativar .

  • Impedir o Adobe Reader de criar processos subordinados
    Reduzir superfícies de ataque com regras de redução da superfície de ataque

    Esta regra do ASR é controlada através do seguinte GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Não configurado (predefinição) – a predefinição do Windows é restaurada, não é bloquear a criação de processos subordinados.
    • Definido pelo utilizador
    • Ativar – o Adobe Reader está impedido de criar processos subordinados.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear processos subordinados.
    • Avisar - Para o Windows 10 versão 1809 ou posterior e o Windows 11, o utilizador do dispositivo recebe uma mensagem a indicar que pode ignorar a definição Bloquear . Em dispositivos com versões anteriores do Windows 10, a regra impõe o comportamento Ativar .

  • Bloquear a injeção de código nas aplicações do Office noutros processos
    Proteger dispositivos contra abusos

    Esta regra ASR é controlada através do seguinte GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada.
    • Bloquear – as aplicações do Office são impedidas de injetar código noutros processos.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para o Windows 10 versão 1809 ou posterior e o Windows 11, o utilizador do dispositivo recebe uma mensagem a indicar que pode ignorar a definição Bloquear . Em dispositivos com versões anteriores do Windows 10, a regra impõe o comportamento Ativar .
    • Desativar – esta definição está desativada.

  • Impedir que as aplicações do Office criem conteúdos executáveis
    Proteger dispositivos contra abusos

    Esta regra do ASR é controlada através do seguinte GUID: 3B576869-A4EC-4529-8536-B80A7769E899

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada.
    • Bloquear – as aplicações do Office estão impedidas de criar conteúdo executável.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para o Windows 10 versão 1809 ou posterior e o Windows 11, o utilizador do dispositivo recebe uma mensagem a indicar que pode ignorar a definição Bloquear . Em dispositivos com versões anteriores do Windows 10, a regra impõe o comportamento Ativar .
    • Desativar – esta definição está desativada.

  • Bloquear a criação de processos subordinados em todas as aplicações do Office
    Proteger dispositivos contra abusos

    Esta regra do ASR é controlada através do seguinte GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada.
    • Bloquear – as aplicações do Office estão impedidas de criar processos subordinados.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para o Windows 10 versão 1809 ou posterior e o Windows 11, o utilizador do dispositivo recebe uma mensagem a indicar que pode ignorar a definição Bloquear . Em dispositivos com versões anteriores do Windows 10, a regra impõe o comportamento Ativar .
    • Desativar – esta definição está desativada.

  • Bloquear chamadas à API Win32 a partir da macro do Office
    Proteger dispositivos contra abusos

    Esta regra ASR é controlada através do seguinte GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada.
    • Bloquear – as macros do Office estão bloqueadas de utilizar chamadas à API Win32.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para o Windows 10 versão 1809 ou posterior e o Windows 11, o utilizador do dispositivo recebe uma mensagem a indicar que pode ignorar a definição Bloquear . Em dispositivos com versões anteriores do Windows 10, a regra impõe o comportamento Ativar .
    • Desativar – esta definição está desativada.

  • Impedir que as aplicações de comunicação do Office criem processos subordinados
    Proteger dispositivos contra abusos

    Esta regra do ASR é controlada através do seguinte GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • Não configurado (predefinição) – a predefinição do Windows é restaurada, que é não bloquear a criação de processos subordinados.
    • Definido pelo utilizador
    • Ativar – as aplicações de comunicação do Office estão impedidas de criar processos subordinados.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear processos subordinados.
    • Avisar - Para o Windows 10 versão 1809 ou posterior e o Windows 11, o utilizador do dispositivo recebe uma mensagem a indicar que pode ignorar a definição Bloquear . Em dispositivos com versões anteriores do Windows 10, a regra impõe o comportamento Ativar .

  • Bloquear a execução de scripts potencialmente ocultados (js/vbs/ps)
    Proteger dispositivos contra abusos

    Esta regra ASR é controlada através do seguinte GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada.
    • Bloquear – o Defender bloqueia a execução de scripts ocultados.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para o Windows 10 versão 1809 ou posterior e o Windows 11, o utilizador do dispositivo recebe uma mensagem a indicar que pode ignorar a definição Bloquear . Em dispositivos com versões anteriores do Windows 10, a regra impõe o comportamento Ativar .
    • Desativar – esta definição está desativada.

  • Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido
    Proteger dispositivos contra abusos

    Esta regra do ASR é controlada através do seguinte GUID: D3E037E1-3EB8-44C8-A917-57927947596D

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada.
    • Bloquear – o Defender bloqueia a execução de ficheiros JavaScript ou VBScript que tenham sido transferidos a partir da Internet.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Desativar – esta definição está desativada.

  • Bloquear criações de processos com origem nos comandos PSExec e WMI
    Proteger dispositivos contra abusos

    Esta regra do ASR é controlada através do seguinte GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada.
    • Bloquear – a criação de processos por comandos PSExec ou WMI está bloqueada.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para o Windows 10 versão 1809 ou posterior e o Windows 11, o utilizador do dispositivo recebe uma mensagem a indicar que pode ignorar a definição Bloquear . Em dispositivos com versões anteriores do Windows 10, a regra impõe o comportamento Ativar .
    • Desativar – esta definição está desativada.

  • Bloquear processos não fidedignos e não assinados executados a partir de USB
    Proteger dispositivos contra abusos

    Esta regra do ASR é controlada através do seguinte GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada.
    • Bloquear – os processos não fidedignos e não assinados que são executados a partir de uma pen USB são bloqueados.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para o Windows 10 versão 1809 ou posterior e o Windows 11, o utilizador do dispositivo recebe uma mensagem a indicar que pode ignorar a definição Bloquear . Em dispositivos com versões anteriores do Windows 10, a regra impõe o comportamento Ativar .
    • Desativar – esta definição está desativada.

  • Bloquear a execução de ficheiros executáveis, a menos que cumpram critérios de prevalência, idade ou lista fidedigna
    Proteger dispositivos contra abusos

    Esta regra do ASR é controlada através do seguinte GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25e

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada.
    • Bloquear
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para o Windows 10 versão 1809 ou posterior e o Windows 11, o utilizador do dispositivo recebe uma mensagem a indicar que pode ignorar a definição Bloquear . Em dispositivos com versões anteriores do Windows 10, a regra impõe o comportamento Ativar .
    • Desativar – esta definição está desativada.

  • Bloquear a transferência de conteúdo executável a partir de clientes de e-mail e webmail
    Proteger dispositivos contra abusos

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada.
    • Bloquear – o conteúdo executável transferido a partir de clientes de e-mail e webmail está bloqueado.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para o Windows 10 versão 1809 ou posterior e o Windows 11, o utilizador do dispositivo recebe uma mensagem a indicar que pode ignorar a definição Bloquear . Em dispositivos com versões anteriores do Windows 10, a regra impõe o comportamento Ativar .
    • Desativar – esta definição está desativada.

  • Utilizar proteção avançada contra ransomware
    Proteger dispositivos contra abusos

    Esta regra do ASR é controlada através do seguinte GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada.
    • Definido pelo utilizador
    • Enable
    • Modo de auditoria – os eventos do Windows são gerados em vez de serem bloqueados.

  • Ativar a proteção de pastas
    CSP: EnableControlledFolderAccess

    • Não configurado (predefinição) – esta definição regressa à predefinição, que não é leitura ou escrita bloqueada.
    • Ativar – para aplicações não fidedignos, o Defender bloqueia tentativas de modificar ou eliminar ficheiros em pastas protegidas ou escrever em setores de disco. O Defender determina automaticamente que aplicações podem ser consideradas fidedignas. Em alternativa, pode definir a sua própria lista de aplicações fidedignas.
    • Modo de auditoria – os eventos do Windows são gerados quando as aplicações não fidedignos acedem a pastas controladas, mas não são impostos blocos.
    • Bloquear modificação do disco – apenas as tentativas de escrita em setores de disco são bloqueadas.
    • Modificação do disco de auditoria – os eventos do Windows são gerados em vez de bloquear tentativas de escrita em setores de disco.

  • Lista de pastas adicionais que precisam de ser protegidas
    CSP: ControlledFolderAccessProtectedFolders

    Defina uma lista de localizações de disco que serão protegidas de aplicações não fidedignos.

  • Lista de aplicações que têm acesso a pastas protegidas
    CSP: ControlledFolderAccessAllowedApplications

    Defina uma lista de aplicações que têm acesso de leitura/escrita a localizações controladas.

  • Excluir ficheiros e caminhos das regras de redução da superfície de ataque
    CSP: AttackSurfaceReductionOnlyExclusions

    Expanda a lista pendente e, em seguida, selecione Adicionar para definir um Caminho para um ficheiro ou pasta para excluir das regras de redução da superfície de ataque.

Perfil de controlo de dispositivos

Controlo de Dispositivos

Observação

Esta secção detalha as definições encontradas em Perfis de controlo de dispositivos criados antes de 23 de maio de 2022. Os perfis criados após essa data utilizam um novo formato de definições, conforme encontrado no Catálogo de Definições. Embora já não possa criar novas instâncias do perfil original, pode continuar a editar e utilizar os seus perfis existentes.

Para perfis que utilizam o novo formato de definições, o Intune já não mantém uma lista de cada definição por nome. Em vez disso, o nome de cada definição, as opções de configuração e o texto explicativo que vê no centro de administração do Microsoft Intune são retirados diretamente do conteúdo autoritativo das definições. Esse conteúdo pode fornecer mais informações sobre a utilização da definição no contexto adequado. Ao visualizar um texto de informações sobre definições, pode utilizar a respetiva ligação Saiba mais para abrir esse conteúdo.

  • Permitir a instalação de dispositivos de hardware por identificadores de dispositivos

    • Não configurado(predefinição)
    • Sim – o Windows pode instalar ou atualizar qualquer dispositivo cujo ID de hardware Plug and Play ou ID compatível seja apresentado na lista que criar, a menos que outra definição de política impeça especificamente essa instalação. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta o redirecionamento dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.
    • Não

    Quando definido como Sim , pode configurar as seguintes opções:

    • Lista de permissões – utilize Adicionar, Importar e Exportar para gerir uma lista de identificadores de dispositivos.

  • Bloquear a instalação de dispositivos de hardware por identificadores de dispositivos
    CSP: AllowInstallationOfMatchingDeviceIDs

    • Não configurado(predefinição)
    • Sim - Especifique uma lista de IDs de hardware Plug and Play e IDs compatíveis para dispositivos que o Windows está impedido de instalar. Esta política tem precedência sobre qualquer outra definição de política que permita ao Windows instalar um dispositivo. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta o redirecionamento dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.
    • Não

    Quando definido como Sim , pode configurar as seguintes opções:

    • Remover dispositivos de hardware correspondentes

      • Sim
      • Não configurado(predefinição)

    • Lista de bloqueios – utilize Adicionar, Importar e Exportar para gerir uma lista de identificadores de dispositivos.

  • Permitir a instalação de dispositivos de hardware por classe de configuração

    • Não configurado(predefinição)
    • Sim – o Windows pode instalar ou atualizar controladores de dispositivo cujos GUIDs da classe de configuração do dispositivo aparecem na lista que criar, a menos que outra definição de política impeça especificamente essa instalação. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta o redirecionamento dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.
    • Não

    Quando definido como Sim , pode configurar as seguintes opções:

    • Lista de permissões – utilize Adicionar, Importar e Exportar para gerir uma lista de identificadores de dispositivos.

  • Bloquear a instalação de dispositivos de hardware por classes de configuração
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • Não configurado(predefinição)
    • Sim - Especifique uma lista de identificadores exclusivos (GUIDs) da classe de configuração de dispositivos para controladores de dispositivos que o Windows está impedido de instalar. Esta definição de política tem precedência sobre qualquer outra definição de política que permita ao Windows instalar um dispositivo. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta o redirecionamento dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.
    • Não

    Quando definido como Sim , pode configurar as seguintes opções:

    • Remover dispositivos de hardware correspondentes

      • Sim
      • Não configurado(predefinição)

    • Lista de bloqueios – utilize Adicionar, Importar e Exportar para gerir uma lista de identificadores de dispositivos.

  • Permitir a instalação de dispositivos de hardware por identificadores de instância do dispositivo

    • Não configurado(predefinição)
    • Sim - O Windows tem permissão para instalar ou atualizar qualquer dispositivo cujo ID de instância do dispositivo Plug and Play seja apresentado na lista que criar, a menos que outra definição de política impeça especificamente essa instalação. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta o redirecionamento dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.
    • Não

    Quando definido como Sim , pode configurar as seguintes opções:

    • Lista de permissões – utilize Adicionar, Importar e Exportar para gerir uma lista de identificadores de dispositivos.

  • Bloquear a instalação de dispositivos de hardware por identificadores de instância do dispositivo
    Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta o redirecionamento dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.

    • Não configurado(predefinição)
    • Sim - Especifique uma lista de IDs de hardware Plug and Play e IDs compatíveis para dispositivos que o Windows está impedido de instalar. Esta política tem precedência sobre qualquer outra definição de política que permita ao Windows instalar um dispositivo. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta o redirecionamento dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.
    • Não

    Quando definido como Sim , pode configurar as seguintes opções:

    • Remover dispositivos de hardware correspondentes

      • Sim
      • Não configurado(predefinição)

    • Lista de bloqueios – utilize Adicionar, Importar e Exportar para gerir uma lista de identificadores de dispositivos.

  • Bloquear o acesso de escrita ao armazenamento amovível
    CSP: RemovableDiskDenyWriteAccess

    • Não configurado(predefinição)
    • Sim – o acesso de escrita é negado ao armazenamento amovível.
    • Não – o acesso de escrita é permitido.

  • Analisar unidades amovíveis durante a análise completa
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • Não configurado (predefinição) – a definição regressa à predefinição do cliente, que analisa as unidades amovíveis. No entanto, o utilizador pode desativar esta análise.
    • Sim - Durante uma análise completa, as unidades amovíveis (como pens USB) são analisadas.

  • Bloquear o acesso direto à memória
    CSP: DataProtection/AllowDirectMemoryAccess

    Esta definição de política só é imposta quando o BitLocker ou a encriptação do dispositivo está ativada.

    • Não configurado (predefinição)
    • Sim – bloqueie o acesso direto à memória (DMA) para todas as portas A jusante do PCI plug-able até que um utilizador inicie sessão no Windows. Depois de um utilizador iniciar sessão, o Windows enumera os dispositivos PCI ligados às portas PCI do plug-anfitrião. Sempre que o utilizador bloqueia o computador, o DMA é bloqueado nas portas PCI da ficha de acesso frequente sem dispositivos subordinados até o utilizador iniciar sessão novamente. Os dispositivos que já estavam enumerados quando o computador foi desbloqueado continuarão a funcionar até serem desligados da corrente.

  • Enumeração de dispositivos externos incompatíveis com a Proteção DMA do Kernel
    CSP: DmaGuard/DeviceEnumerationPolicy

    Esta política pode fornecer segurança adicional em dispositivos compatíveis com DMA externos. Permite um maior controlo sobre a enumeração de dispositivos compatíveis com DMA externos incompatíveis com o Isolamento de memória do dispositivo/remapeamento do DMA e o sandboxing.

    Esta política só entra em vigor quando a Proteção DMA do Kernel é suportada e ativada pelo firmware do sistema. A Proteção DMA do Kernel é uma funcionalidade de plataforma que tem de ser suportada pelo sistema no momento do fabrico. Para verificar se o sistema suporta a Proteção DMA do Kernel, verifique o campo Proteção DMA do Kernel na página Resumo do MSINFO32.exe.

    • Não configurado - (predefinição)
    • Bloquear tudo
    • Permitir tudo

  • Bloquear ligações bluetooth
    CSP: Bluetooth/AllowDiscoverableMode

    • Não configurado (predefinição)
    • Sim - Bloquear ligações bluetooth de e para o dispositivo.

  • Bloquear a deteção bluetooth
    CSP: Bluetooth/AllowDiscoverableMode

    • Não configurado (predefinição)
    • Sim – impede que o dispositivo seja detetável por outros dispositivos compatíveis com Bluetooth.

  • Bloquear o pré-emparelhamento bluetooth
    CSP: Bluetooth/AllowPrepairing

    • Não configurado (predefinição)
    • Sim - Impede que dispositivos Bluetooth específicos se emparelhem automaticamente com o dispositivo anfitrião.

  • Bloquear publicidade bluetooth
    CSP: Bluetooth/AllowAdvertising

    • Não configurado (predefinição)
    • Sim – impede que o dispositivo envie anúncios Bluetooth.

  • Bloquear ligações proximal bluetooth
    CSP: Bluetooth/AllowPromptedProximalConnections Impedir que os utilizadores utilizem o Par Rápido e outros cenários baseados na proximidade

    • Não configurado (predefinição)
    • Sim - Impede um utilizador do dispositivo de utilizar o Emparelhamento Rápido e outros cenários baseados na proximidade.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Serviços permitidos por Bluetooth
    CSP: Bluetooth/ServicesAllowedList.
    Para obter mais informações sobre a lista de serviços, veja ServicesAllowedList usage guide (Guia de utilização servicesAllowedList)

    • Adicionar – especifique os serviços e perfis Bluetooth permitidos como cadeias hexadecimais, como {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}.
    • Importar - Importe um ficheiro de .csv que contenha uma lista de serviços e perfis bluetooth, como cadeias hexadecimais, tais como {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • Armazenamento amovível
    CSP: Storage/RemovableDiskDenyWriteAccess

    • Bloquear (predefinição) – impeça que os utilizadores utilizem dispositivos de armazenamento externo, como cartões SD com o dispositivo.
    • Não configurado

  • Ligações USB (apenas HoloLens)
    CSP: Conectividade/AllowUSBConnection

    • Bloquear – impeça a utilização de uma ligação USB entre o dispositivo e um computador para sincronizar ficheiros ou para utilizar ferramentas de programador para implementar ou depurar aplicações. O carregamento USB não é afetado.
    • Não configurado (predefinição)

Perfil de proteção contra exploits

Proteção de exploração

Observação

Esta secção detalha as definições que pode encontrar em Perfis de proteção contra exploits criados antes de 5 de abril de 2022. Os perfis criados após essa data utilizam um novo formato de definições, conforme encontrado no Catálogo de Definições. Com esta alteração, já não pode criar novas versões do perfil antigo e estas já não estão a ser desenvolvidas. Embora já não possa criar novas instâncias do perfil mais antigo, pode continuar a editar e utilizar instâncias do mesmo que criou anteriormente.

Para perfis que utilizam o novo formato de definições, o Intune já não mantém uma lista de cada definição por nome. Em vez disso, o nome de cada definição, as opções de configuração e o texto explicativo que vê no centro de administração do Microsoft Intune são retirados diretamente do conteúdo autoritativo das definições. Esse conteúdo pode fornecer mais informações sobre a utilização da definição no contexto adequado. Ao visualizar um texto de informações sobre definições, pode utilizar a respetiva ligação Saiba mais para abrir esse conteúdo.

  • Carregar XML
    CSP: ExploitProtectionSettings

    Permite que o administrador de TI envie uma configuração que represente as opções de mitigação de aplicações e sistema pretendidas para todos os dispositivos na organização. A configuração é representada por um ficheiro XML. A proteção contra exploits pode ajudar a proteger os dispositivos contra software maligno que utilizam exploits para propagar e infetar. Usar o aplicativo de Segurança do Windows ou o PowerShell para criar um conjunto de mitigações (conhecido como configuração). Em seguida, pode exportar esta configuração como um ficheiro XML e partilhá-la com várias máquinas na sua rede para que todas tenham o mesmo conjunto de definições de mitigação. Também pode converter e importar um ficheiro XML de configuração em EMET existente para um XML de configuração de proteção contra exploits.

    Selecione Selecionar Ficheiro XML, especifique o carregamento de filet XML e, em seguida, clique em Selecionar.

    • Não configurado (predefinição)
    • Sim

  • Impedir que os utilizadores editem a interface de proteção do Exploit Guard
    CSP: DisallowExploitProtectionOverride

    • Não configurado (predefinição) – os utilizadores locais podem fazer alterações na área de definições de proteção contra exploits.
    • Sim - Impedir que os utilizadores façam alterações à área de definições de proteção contra exploits no Centro de Segurança do Microsoft Defender.

Perfil de proteção Web (Microsoft Edge Legado)

Proteção Web (Microsoft Edge Legado)

  • Ativar a proteção de rede
    CSP: EnableNetworkProtection

    • Não configurado (predefinição) – a definição regressa à predefinição do Windows, que está desativada.
    • Definido pelo utilizador
    • Ativar – a proteção de rede está ativada para todos os utilizadores no sistema.
    • Modo de auditoria – em vez disso, os utilizadores não são bloqueados de domínios perigosos e os eventos do Windows são gerados.

  • Exigir SmartScreen para o Microsoft Edge
    CSP: Browser/AllowSmartScreen

    • Sim - Utilize o SmartScreen para proteger os utilizadores de potenciais esquemas de phishing e software malicioso.
    • Não configurado (predefinição)

  • Bloquear o acesso a sites maliciosos
    CSP: Browser/PreventSmartScreenPromptOverride

    • Sim – impeça que os utilizadores ignorem os avisos do Filtro SmartScreen do Microsoft Defender e bloqueiem a sua entrada no site.
    • Não configurado (predefinição)

  • Bloquear a transferência de ficheiros não verificados
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • Sim – impeça que os utilizadores ignorem os avisos do Filtro SmartScreen do Microsoft Defender e bloqueie a transferência de ficheiros não verificados.
    • Não configurado (predefinição)

Redução da superfície de ataque (ConfigMgr)

Perfil do Exploit Protection (ConfigMgr)(Pré-visualização)

Exploit Protection

  • Carregar XML
    CSP: ExploitProtectionSettings

    Permite que o administrador de TI envie uma configuração que represente as opções de mitigação de aplicações e sistema pretendidas para todos os dispositivos na organização. A configuração é representada por um ficheiro XML. A proteção contra exploits pode ajudar a proteger os dispositivos contra software maligno que utilizam exploits para propagar e infetar. Usar o aplicativo de Segurança do Windows ou o PowerShell para criar um conjunto de mitigações (conhecido como configuração). Em seguida, pode exportar esta configuração como um ficheiro XML e partilhá-la com várias máquinas na sua rede para que todas tenham o mesmo conjunto de definições de mitigação. Também pode converter e importar um ficheiro XML de configuração em EMET existente para um XML de configuração de proteção contra exploits.

    Selecione Selecionar Ficheiro XML, especifique o carregamento de filet XML e, em seguida, clique em Selecionar.

  • Não permitir a Substituição do Exploit Protection
    CSP: DisallowExploitProtectionOverride

    • Não configurado (predefinição)
    • (Desativar) Os utilizadores locais podem fazer alterações na área de definições de proteção contra exploits.
    • (Ativar) Os utilizadores locais não podem efetuar alterações à área de definições de proteção contra exploits

Perfil de Proteção Web (ConfigMgr)(Pré-visualização)

Proteção Web

Próximas etapas

Política de segurança de ponto final para ASR