Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Dica
Como complemento deste artigo, consulte o nosso guia de configuração do Analisador de Segurança para rever as melhores práticas e aprender a fortalecer as defesas, melhorar a conformidade e navegar no panorama da cibersegurança com confiança. Para uma experiência personalizada com base no seu ambiente, pode aceder ao guia de configuração automatizada do Analisador de Segurança no Centro de administração do Microsoft 365.
A superfície de ataque da sua organização inclui todos os locais onde um atacante pode obter acesso. Para obter mais informações, consulte Redução da superfície de ataque no Microsoft Defender para Ponto de Extremidade.
As regras de redução da superfície de ataque (ASR) no Microsoft Defender Antivírus visam o comportamento de software de risco em dispositivos Windows que os atacantes exploram frequentemente através de software maligno. Por exemplo:
- Iniciar ficheiros executáveis e scripts que tentam transferir ou executar ficheiros.
- Executar scripts ocultados ou não fidedignos.
- Criar processos subordinados a partir de aplicações potencialmente vulneráveis (por exemplo, aplicações do Office).
- Injetar código noutros processos.
Embora as aplicações legítimas também possam fazer estas coisas, os atacantes geralmente utilizam software maligno que se comporta da mesma forma.
Veja a seguinte série de artigos para planear, testar, implementar e monitorizar regras do ASR:
Dica
Se você estiver procurando informações relacionadas a antivírus para outras plataformas, consulte:
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS
- Microsoft Defender para Ponto de Extremidade no Mac
- Configurações de política de antivírus do macOS para o Microsoft Defender Antivírus para Intune
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no Linux
- Microsoft Defender para Ponto de Extremidade para Linux
- Configurar o Defender para o Ponto de extremidade nos recursos do Android
- Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS
Regras do ASR
As regras do ASR são agrupadas nas seguintes categorias:
Standard regras de proteção oferecem benefícios de segurança significativos, pelo que a Microsoft recomenda que os ative no modo Bloquear sem a necessidade de testes extensivos. Normalmente, estas regras têm um efeito mínimo ou nenhum efeito percetível nos utilizadores, mas existem exceções:
- Bloquear a persistência através da subscrição de eventos WMI: se utilizar Microsoft Configuration Manager para gerir dispositivos, não utilize outros métodos de implementação disponíveis (por exemplo, Política de Grupo ou PowerShell) para ativar esta regra no modo Bloquear ou Avisar no dispositivo sem testes extensivos no modo auditoria. O cliente Gerenciador de Configurações depende fortemente da WMI.
- Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows: se tiver ativado a proteção da Autoridade de Segurança Local (LSA) (recomendado, juntamente com o Credential Guard), esta regra é redundante.
Outras regras do ASR fornecem proteção importante, mas requerem testes no Modo de auditoria antes de as ativar no modo Bloquear ou Avisar , conforme descrito no guia de implementação Regras de redução da superfície de ataque.
As regras do ASR disponíveis, os respetivos valores GUID correspondentes e as respetivas categorias estão descritas na seguinte tabela:
As ligações nos nomes das regras levam-no a descrições detalhadas de regras no artigo de referência de regras do ASR .
Para além das políticas de segurança de ponto final no Microsoft Intune e Microsoft Configuration Manager, todos os outros métodos de configuração de regras ASR identificam regras por valor GUID.
Todas as diferenças de nome de regra do ASR entre Microsoft Intune e Microsoft Configuration Manager são descritas na tabela.
Dica
Microsoft Configuration Manager era anteriormente conhecido por outros nomes:
- Microsoft System Center Configuration Manager: versão 1511 a 1906 (novembro de 2015 a julho de 2019)
- Microsoft Endpoint Configuration Manager: versão 1910 a 2211 (dezembro de 2019 a dezembro de 2022)
- Microsoft Configuration Manager: versão 2303 (abril de 2023) ou posterior
Para obter informações de suporte e atualização, consulte Atualizações e manutenção para Gerenciador de Configurações.
| Nome da regra no Microsoft Intune | Nome da regra no Microsoft Configuration Manager | GUID | Categoria |
|---|---|---|---|
| regras de proteção de Standard | |||
| Bloquear o abuso de controladores assinados vulneráveis explorados (Dispositivo) | n/d | 56a863a9-875e-4185-98a7-b882c64b5ce5 | Erro |
| Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows | mesmo | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | Movimento lateral & roubo de credenciais |
| Bloquear a persistência através da subscrição de eventos WMI | n/d | e6db77e5-3df2-4cf1-b95a-636979351e5b | Movimento lateral & roubo de credenciais |
| Outras regras do ASR | |||
| Impedir o Adobe Reader de criar processos subordinados | n/d | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | Aplicativos de produtividade |
| Bloquear a criação de processos subordinados em todas as aplicações do Office | Bloquear a criação de processos subordinados na aplicação do Office | d4f940ab-401b-4efc-aadc-ad5f3c50688a | Aplicativos de produtividade |
| Bloquear conteúdo executável do cliente de e-mail e do webmail | mesmo | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | |
| Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna | Bloquear a execução de ficheiros executáveis, a menos que cumpram critérios de prevalência, idade ou lista fidedigna | 01443614-cd74-433a-b99e-2ecdc07bfc25 | Ameaças polimórficas |
| Bloquear a execução de scripts potencialmente ocultados | mesmo | 5beb7efe-fd9a-4556-801d-275e5ffc04cc | Script |
| Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido | mesmo | d3e037e1-3eb8-44c8-a917-57927947596d | Script |
| Impedir que as aplicações do Office criem conteúdos executáveis | mesmo | 3b576869-a4ec-4529-8536-b80a7769e899 | Aplicativos de produtividade |
| Bloquear a injeção de código nas aplicações do Office noutros processos | mesmo | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | Aplicativos de produtividade |
| Bloquear a criação de processos subordinados na aplicação de comunicação do Office | n/d | 26190899-1602-49e8-8b27-eb1d0a1ce869 | Email, Aplicações de produtividade |
| Bloquear criações de processos com origem nos comandos PSExec e WMI | n/d | d1e49aac-8f56-4280-b9ba-993a6d77406c | Movimento lateral & roubo de credenciais |
| Bloquear o reinício da máquina no Modo de Segurança | n/d | 33ddedf1-c6e0-47cb-833e-de6133960387 | Erro |
| Bloquear processos não fidedignos e não assinados executados a partir de USB | mesmo | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | Ameaças polimórficas |
| Bloquear a utilização de ferramentas de sistema copiadas ou representadas | n/d | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | Erro |
| Bloquear a criação de Webshell para Servidores | n/d | a8f5898e-1dc8-49a9-9878-85004b8a61e6 | Erro |
| Bloquear chamadas à API Win32 a partir de macros do Office | mesmo | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b | Aplicativos de produtividade |
| Utilizar proteção avançada contra ransomware | mesmo | c1db55ab-c21a-4637-bb3f-a12568109d35 | Ameaças polimórficas |
Requisitos para regras ASR
As regras asr requerem Microsoft Defender Antivírus como a aplicação antivírus principal em dispositivos Windows:
Microsoft Defender o Antivírus tem de estar ativado e no modo Ativo. Especificamente, Microsoft Defender o Antivírus não pode estar em nenhum dos seguintes modos:
- Passivo
- Modo Passivo com Deteção e Resposta de Ponto Final (EDR) no Modo de Bloqueio
- Análise periódica limitada (LPS)
- Desligado
Para obter mais informações sobre os modos no Antivírus do Microsoft Defender, veja How Microsoft Defender Antivirus affects Defender for Endpoint functionality (Como o Antivírus do Microsoft Defender afeta a funcionalidade do Defender para Endpoint).
A proteção em tempo real no Antivírus Microsoft Defender tem de estar ativada.
A proteção fornecida pela cloud (também conhecida como Serviço de Proteção Avançada da Microsoft ou MAPS) é fundamental para a funcionalidade de regras do ASR. A proteção da cloud melhora a proteção padrão em tempo real e é um componente crítico da prevenção de falhas de software maligno. Algumas regras do ASR têm especificamente requisitos de Proteção de Entrega na Cloud para alertas de Deteção e Resposta de Ponto Final (EDR) no Defender para Ponto Final e pop-ups de notificação do utilizador. Para obter detalhes, veja Alertas e notificações de ações de regras do ASR.
Pelo mesmo motivo, o seu ambiente tem de permitir ligações ao serviço cloud do Antivírus Microsoft Defender.
Microsoft Defender versões de componentes do Antivírus não têm de ter mais do que duas versões anteriores à versão mais atualmente disponível:
- Versão de atualização da plataforma: atualizada mensalmente.
- Versão MEngine: atualizada mensalmente.
- Informações de segurança: a Microsoft atualiza continuamente as informações de segurança (também conhecidas como definições e assinaturas) para abordar as ameaças mais recentes e refinar a lógica de deteção.
Manter Microsoft Defender versões do Antivírus atualizadas ajuda a reduzir os falsos positivos da regra ASR e melhora Microsoft Defender capacidades de deteção de Antivírus. Para obter mais informações sobre as versões atuais e como atualizar os diferentes componentes do Antivírus Microsoft Defender, veja Microsoft Defender Suporte da plataforma antivírus.
Embora as regras do ASR não exijam Microsoft 365 E5, a Microsoft recomenda as capacidades de segurança do E5 ou subscrições equivalentes para tirar partido das seguintes capacidades de gestão avançadas:
- Monitorização, análise e fluxos de trabalho no Defender para Endpoint.
- Funcionalidades de relatórios e configuração no portal do Microsoft Defender XDR.
As capacidades de gestão avançadas não estão disponíveis com outras licenças (por exemplo, Windows Professional ou Microsoft 365 E3). No entanto, pode desenvolver as suas próprias ferramentas de monitorização e relatórios sobre os eventos de regra asr gerados no Windows Visualizador de Eventos em cada dispositivo (por exemplo, Reencaminhamento de Eventos do Windows).
Para saber mais sobre o licenciamento do Windows, consulte Licenciamento do Windows e obtenha o Guia de Referência de Licenciamento em Volume da Microsoft.
Sistemas operativos suportados para regras ASR
As regras asr são uma funcionalidade antivírus Microsoft Defender encontrada em qualquer edição do Windows que inclua Microsoft Defender Antivírus (por exemplo, Windows 11 Home). Pode configurar as regras do ASR localmente em dispositivos com o PowerShell ou Política de Grupo.
A gestão, os relatórios e os alertas centralizados das regras do ASR no Microsoft Defender para Ponto de Extremidade estão disponíveis nas seguintes edições e versões do Windows:
- Edições Pro e Enterprise do Windows 10 ou posterior.
- Windows Server 2012 R2 ou versões posteriores.
- Azure Local (anteriormente conhecido como Azure Stack HCI) versão 23H2 ou posterior.
Para obter mais informações sobre o suporte do sistema operativo, veja Suporte do sistema operativo para regras ASR.
Modos para regras ASR
Uma regra ASR pode estar num dos seguintes modos, conforme descrito na tabela seguinte:
| Modo de regra | Código | Descrição |
|---|---|---|
|
Desativado ou Disabled |
0 | A regra do ASR está explicitamente desativada. Este valor pode causar conflitos quando é atribuída ao mesmo dispositivo a mesma regra ASR em diferentes modos por diferentes políticas. |
|
Bloquear ou Activated |
1 | A regra ASR está ativada no Modo de bloqueio. |
|
Auditar ou Modo de auditoria |
2 | A regra ASR está ativada como se estivesse no modo de Bloqueio , mas sem tomar medidas. As deteções das regras ASR no Modo de auditoria estão disponíveis nas seguintes localizações:
|
| Não configurado | 5 | A regra ASR não está explicitamente ativada. Este valor é funcionalmente equivalente a Desativado ou Desativado, mas sem o potencial de conflitos de regras. |
|
Avisar ou Aviso |
6 | A regra ASR está ativada como se estivesse no Modo de bloqueio, mas os utilizadores podem selecionar Desbloquear no pop-up de notificação de aviso para ignorar o bloco durante 24 horas. Após 24 horas, o utilizador tem de ignorar o bloco novamente. O modo de aviso é suportado no Windows 10 versão 1809 (novembro de 2018) ou posterior. As regras do ASR no Modo de aviso em versões não suportadas do Windows estão efetivamente no Modo de bloqueio (a opção ignorar não está disponível). O modo de aviso não está disponível no Microsoft Configuration Manager. O modo de aviso tem os seguintes Microsoft Defender requisitos de versão do Antivírus:
As seguintes regras do ASR não suportam o Modo de aviso: |
A Microsoft recomenda o Modo de bloqueio para as regras de proteção padrão e os testes iniciais no Modo de auditoria para outras regras do ASR antes de as ativar no modo Bloquear ou Avisar .
Muitas aplicações de linha de negócio são escritas com preocupações de segurança limitadas e podem agir de formas semelhantes a software maligno. Ao monitorizar os dados das regras do ASR no Modo de auditoria e ao adicionar exclusões para as aplicações necessárias, pode implementar regras ASR sem reduzir a produtividade.
Antes de ativar as regras do ASR no modo de Bloqueio , avalie os respetivos efeitos no Modo de auditoria e recomendações de segurança. Para obter mais informações, veja Testar regras ASR.
Métodos de implementação e configuração para regras ASR
Microsoft Defender para Ponto de Extremidade suporta regras ASR, mas não inclui um método incorporado para implementar definições de regras ASR em dispositivos. Em vez disso, utilize uma ferramenta de gestão ou implementação separada para criar e distribuir políticas de regras ASR para dispositivos. Nem todos os métodos de implementação suportam todas as regras do ASR. Para obter detalhes por regra, veja Suporte do método de implementação para regras ASR.
A tabela seguinte resume os métodos disponíveis. Para obter instruções de configuração detalhadas, veja Configurar regras e exclusões de redução da superfície de ataque (ASR).
| Método | Descrição |
|---|---|
| Microsoft Intune políticas de segurança de ponto final | O método recomendado para configurar e distribuir políticas de regras ASR para dispositivos. Requer Microsoft Intune (plano 1) (incluído em subscrições como Microsoft 365 E3 ou disponível como um suplemento autónomo). |
| Microsoft Intune perfis personalizados com OMA-URIs | Um método alternativo para configurar regras ASR no Intune através de perfis Open Mobile Alliance – Recursos Uniformes (OMA-URI). |
| Qualquer solução mdm com o CSP de Política | Utilize o fornecedor de serviços de configuração do Windows Policy (CSP) com qualquer solução de MDM. |
| Microsoft Configuration Manager | Utiliza a política antivírus Microsoft Defender na área de trabalho Ativos e conformidade. |
| Política de grupo | Utilize Política de Grupo Centralizados para configurar e distribuir regras ASR para dispositivos associados a um domínio. Em alternativa, pode configurar Política de Grupo localmente em dispositivos individuais. |
| PowerShell | Configure as regras do ASR localmente em dispositivos individuais. O PowerShell suporta todas as regras do ASR. |
Exclusões de ficheiros e pastas para regras ASR
Importante
Excluir ficheiros ou pastas pode reduzir severamente a proteção de regras do ASR. Os ficheiros excluídos podem ser executados e não são registados relatórios ou eventos sobre o ficheiro. Se as regras do ASR detetarem ficheiros que não devem ser detetados, utilize o Modo de auditoria para testar a regra.
Pode excluir ficheiros e pastas específicos de serem avaliados pelas regras do ASR. Mesmo que uma regra ASR determine que o ficheiro ou pasta contém comportamento malicioso, não bloqueia a execução dos ficheiros excluídos.
Pode utilizar os seguintes métodos para excluir ficheiros e pastas das regras do ASR:
Microsoft Defender exclusões antivírus: nem todas as regras do ASR honram estas exclusões. Para obter mais informações sobre Microsoft Defender exclusões de Antivírus, veja Configurar exclusões personalizadas para o Antivírus do Microsoft Defender.
Dica
Todas as regras do ASR honram as exclusões de processos no Antivírus Microsoft Defender.
Exclusões globais de regras ASR: estas exclusões aplicam-se a todas as regras do ASR. Todos os métodos de configuração de regras ASR também suportam a configuração de exclusões globais de regras ASR.
Exclusões de regras por ASR: atribua exclusões diferentes seletivamente a regras ASR diferentes. Apenas os seguintes métodos de configuração de regras ASR também suportam a configuração de exclusões de regras por ASR:
- Política de Grupo (e as definições de registo correspondentes)
- Políticas de segurança de pontos finais no Microsoft Intune.
Indicadores de comprometimento (IoCs): a maioria das regras do ASR honra os IoCs para ficheiros bloqueados e certificados bloqueados. Para obter mais informações sobre IoCs, veja Descrição geral dos indicadores no Microsoft Defender para Ponto de Extremidade.
A imposição de diferentes tipos de exclusões para regras ASR é resumida na seguinte tabela:
| Nome da regra | Honra o ficheiro MDAV e exclusões de pastas |
Homenageia o ASR global exclusões |
Honras por regra ASR exclusões |
Honors IoCs for arquivos |
Honors IoCs for certificados |
|---|---|---|---|---|---|
| regras de proteção de Standard | |||||
| Bloquear o abuso de controladores assinados vulneráveis explorados (Dispositivo) | S | S | S | S | S |
| Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows | N | S | S | N | N |
| Bloquear a persistência através da subscrição de eventos WMI | N | S | S | N | N |
| Outras regras do ASR | |||||
| Impedir o Adobe Reader de criar processos subordinados | N | S | S | S | S |
| Bloquear a criação de processos subordinados em todas as aplicações do Office | S | S | S | S | S |
| Bloquear conteúdo executável do cliente de e-mail e do webmail | S | S | S | S | S |
| Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna | S | S | S | S | S |
| Bloquear a execução de scripts potencialmente ocultados | S | S | S | S | S |
| Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido | S | S | S | S | S |
| Impedir que as aplicações do Office criem conteúdos executáveis | N | S | S | S | S |
| Bloquear a injeção de código nas aplicações do Office noutros processos | N | S | S | N | N |
| Bloquear a criação de processos subordinados na aplicação de comunicação do Office | N | S | S | S | S |
| Bloquear criações de processos com origem nos comandos PSExec e WMI | N | S | S | S | S |
| Bloquear o reinício da máquina no Modo de Segurança | S | S | S | S | S |
| Bloquear processos não fidedignos e não assinados executados a partir de USB | S | S | S | S | S |
| Bloquear a utilização de ferramentas de sistema copiadas ou representadas | S | S | S | S | S |
| Bloquear a criação de Webshell para Servidores | S | S | S | S | S |
| Bloquear chamadas à API Win32 a partir de macros do Office | S | S | S | S | N |
| Utilizar proteção avançada contra ransomware | S | S | S | S | S |
Quando adicionar exclusões, tenha estes pontos em mente:
Os caminhos de exclusão podem utilizar variáveis de ambiente e carateres universais. Para obter mais informações, veja Use wildcards in the file name and folder path or extension exclusion lists (Utilizar carateres universais no nome do ficheiro e no caminho da pasta ou nas listas de exclusão de extensões).
Dica
Não utilize variáveis de ambiente de utilizador como carateres universais em exclusões de pastas e processos. Utilize apenas os seguintes tipos de variáveis de ambiente como carateres universais:
- Variáveis de ambiente do sistema.
- Variáveis de ambiente que se aplicam a processos em execução como a conta NT AUTHORITY\SYSTEM.
Para obter uma lista das variáveis de ambiente do sistema, veja Variáveis de ambiente do sistema.
- Os carateres universais não podem definir uma letra de unidade.
- Para excluir mais do que uma pasta num caminho, utilize várias instâncias de
\*\para indicar múltiplas pastas aninhadas. Por exemplo,c:\Folder\*\*\Test. - Microsoft Configuration Manager suporta carateres universais (
*ou?). - Para excluir um ficheiro que contenha carateres aleatórios (por exemplo, da geração automatizada de ficheiros), utilize
?o símbolo . Por exemplo,C:\Folder\fileversion?.docx.
As exclusões aplicam-se apenas quando a aplicação ou o serviço é iniciado. Por exemplo, se adicionar uma exclusão para um serviço de atualização que já está em execução, o serviço de atualização continua a acionar deteções de regras ASR até reiniciar o serviço.
Conflitos de políticas nas regras do ASR
Se lhe forem atribuídas duas políticas de regras ASR diferentes ao mesmo dispositivo, podem ocorrer potenciais conflitos com base nos seguintes elementos:
- Se as mesmas regras ASR são atribuídas em modos diferentes.
- Se a gestão de conflitos está em vigor.
- Se o resultado é um erro.
As regras ASR não conformes não resultam em erros. A primeira regra é aplicada e as regras subsequentes não conformes são intercaladas na política.
Se uma solução de gestão de dispositivos móveis (MDM) e Política de Grupo aplicar diferentes definições de regras ASR ao mesmo dispositivo, as definições de Política de Grupo têm precedência.
Para obter informações sobre como os conflitos de definição de regras do ASR são processados para os métodos de implementação disponíveis no Microsoft Intune, veja Dispositivos geridos por Intune.
Notificações e alertas para regras ASR
Quando uma regra ASR no modo Bloquear ou Avisar é acionada num dispositivo, é apresentada uma notificação no dispositivo. Pode personalizar as informações nas notificações. Para obter mais informações, consulte Personalizar informações de contacto no Segurança do Windows.
Os alertas de Deteção e Resposta de Pontos Finais (EDR) no Defender para Ponto Final são gerados quando são acionadas regras ASR suportadas.
Para obter detalhes específicos sobre a funcionalidade de notificações e alertas, veja Alertas e notificações de ações de regras do ASR.
Para ver a atividade de alertas do ASR no portal do Microsoft Defender e em dispositivos no Windows Visualizador de Eventos, veja Monitorizar a atividade da regra de redução da superfície de ataque (ASR).
Monitorizar a atividade da regra ASR
Para obter informações completas, veja Monitorizar a atividade da regra de redução da superfície de ataque (ASR).
Conteúdo relacionado
- Guia de implantação de regras de redução de superfície de ataque (ASR)
- Planear a implementação de regras de redução da superfície de ataque (ASR)
- Testar a implementação de regras de redução da superfície de ataque (ASR)
- Habilitar as regras de redução da superfície de ataque (ASR)
- Gerir e monitorizar a implementação de regras de redução da superfície de ataque (ASR)
- Monitorizar a atividade da regra de redução da superfície de ataque (ASR)
- Relatório de regras de redução da superfície de ataque (ASR)
- Exclusões do Antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender