Perguntas mais frequentes sobre a redução da superfície de ataque (FAQ)

Ignorado

A redução da superfície de ataque faz parte do Windows?

Sim. As regras de redução da superfície de ataque (ASR) são uma funcionalidade do Antivírus Microsoft Defender, que está incluída em todas as edições atuais do Windows. No entanto, a gestão centralizada e os relatórios das regras do ASR requerem Microsoft Defender para Ponto de Extremidade. Para obter mais informações, consulte Descrição geral das regras de redução da superfície de ataque.

Preciso de uma licença empresarial para executar regras de redução da superfície de ataque?

Não. As regras asr são uma funcionalidade do Microsoft Defender Antivírus, pelo que funcionam em todas as edições atuais do Windows. No entanto, a gestão centralizada e os relatórios através de Microsoft Intune ou Microsoft Configuration Manager requerem Microsoft Defender para Ponto de Extremidade e o licenciamento empresarial correspondente.

Para saber mais sobre o licenciamento do Windows, consulte https://www.microsoft.com/licensing/product-licensing/windows.

Que capacidades adicionais de redução da superfície de ataque estão disponíveis com Microsoft Defender para Ponto de Extremidade?

Microsoft Defender para Ponto de Extremidade fornece gestão e monitorização centralizadas para regras ASR, incluindo:

• Implementação centralizada e configuração de regras ASR em todos os dispositivos.
• Relatórios de regras do ASR e visibilidade de alertas no portal do Microsoft Defender.
• Consultas de investigação avançadas para eventos de regras do ASR.

Estas capacidades requerem uma licença do Defender para Endpoint (por exemplo, como parte do Microsoft 365 E3 ou E5). Para obter mais informações, veja Métodos de implementação e configuração para regras ASR.

Quais são as regras de redução da superfície de ataque atualmente suportadas?

Para obter mais informações, veja Referência de regras de redução da superfície de ataque.

Preciso de ativar todas as regras de redução da superfície de ataque ao mesmo tempo ou posso ativar regras individuais?

Pode ativar as regras do ASR individualmente. Recomendamos que ative primeiro a maioria das regras no Modo de auditoria para determinar o possível efeito para a sua organização (por exemplo, para as suas aplicações de linha de negócio).

Como funcionam as exclusões de regras de redução da superfície de ataque?

As regras do ASR suportam os seguintes tipos de exclusões:

• As exclusões globais de regras ASR aplicam-se a todas as regras do ASR. Todos os métodos de configuração de regras ASR suportam exclusões globais.
• As exclusões de regras por ASR aplicam-se a regras individuais, pelo que pode atribuir exclusões diferentes a regras diferentes. Apenas Política de Grupo e políticas de segurança de pontos finais no Microsoft Intune suportam exclusões por regra.

Nem todas as regras do ASR honram Microsoft Defender exclusões do Antivírus. Para obter uma discriminação completa do suporte de exclusão por regra, veja Exclusões de ficheiros e pastas para regras ASR.

Como fazer saber o que preciso de excluir?

Diferentes regras de redução da superfície de ataque têm fluxos de proteção diferentes. Pense sempre no que a regra de redução da superfície de ataque protege e como funciona o fluxo de execução. Por exemplo, ler diretamente a partir do processo de subsistema de autoridade de segurança local (LSASS) pode ser um risco de segurança, uma vez que pode expor credenciais empresariais.

A regra Bloquear roubo de credenciais do subsistema da autoridade de segurança local (lsass.exe) do Windows impede que os processos não fidedignos tenham acesso direto à memória LSASS. Quando um processo com o PROCESS_VM_READ direito de acesso tenta utilizar a OpenProcess() função para aceder ao LSASS, a regra bloqueia especificamente esse acesso, conforme mostrado na seguinte captura de ecrã:

Se precisar de criar uma exceção para o processo que foi bloqueado, utilize o nome do ficheiro e o caminho completo, conforme mostrado na captura de ecrã seguinte:

O valor 0 significa que as regras do ASR ignoram o ficheiro ou processo especificado e não o bloqueiam nem auditam.

Como fazer configurar exclusões por regra?

As exclusões de regras por ASR são suportadas apenas em políticas de segurança de Política de Grupo e ponto final no Microsoft Intune. Para obter instruções de configuração, consulte Ativar regras de redução da superfície de ataque. Para obter informações sobre os diferentes tipos de exclusões, veja Exclusões de ficheiros e pastas para regras ASR.

Que regras de redução da superfície de ataque recomenda a Microsoft?

Geralmente, recomendamos que ative todas as regras, mas com as seguintes considerações:

• Normalmente, pode ativar as seguintes regras de proteção padrãono Modo de bloqueio sem testar no Modo de auditoria :

  • Bloquear o abuso de controladores assinados vulneráveis explorados (Dispositivo)
  • Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do WindowsNota: se ativou a proteção da Autoridade de Segurança Local (LSA) (que recomendamos, juntamente com o Credential Guard), esta regra é redundante.
  • Bloquear a persistência através da subscrição de eventos WMINota: o cliente Microsoft Configuration Manager (ou versões anteriores) depende fortemente da WMI, pelo que recomendamos testes extensivos no modo auditoria antes de ativar esta regra no modo De bloqueio.

  Para obter detalhes sobre cada uma destas regras, veja Standard regras de proteção.

• Todas as outras regras requerem testes no Modo de auditoria antes de as ativar no Modo de bloqueio. Para obter detalhes sobre cada uma destas regras, veja Outras regras do ASR.

Quais são algumas recomendações para começar a utilizar a redução da superfície de ataque?

Teste as regras de redução da superfície de ataque no Modo de auditoria para identificar quaisquer aplicações de linha de negócio que tenha de excluir da redução da superfície de ataque.

As grandes organizações devem considerar implementar regras de redução da superfície de ataque na expansão de "anéis" onde audita e ativa regras para mais dispositivos. Pode organizar os dispositivos em anéis com Microsoft Intune ou uma ferramenta de gestão de Política de Grupo.

Para obter instruções, veja Descrição geral da implementação de regras de redução da superfície de ataque.

Durante quanto tempo devo testar uma regra de redução da superfície de ataque no modo de auditoria antes de a ativar?

Uma regra no Modo de auditoria durante cerca de 30 dias deve fornecer uma boa linha de base para o funcionamento da regra. Pode identificar quaisquer aplicações de linha de negócio que necessitem de exclusões.

Estou a mudar de uma solução de segurança não Microsoft para Microsoft Defender para Ponto de Extremidade. Existe uma forma fácil de importar as minhas regras antigas para atacar a redução da superfície?

Na maioria dos casos, é mais fácil e melhor começar com as recomendações de linha de base sugeridas pelo Defender para Endpoint do que tentar importar regras de outra solução de segurança. Utilize o Modo de auditoria, monitorização e análise para configurar o Defender para Endpoint.

A configuração predefinida para a maioria das regras de redução da superfície de ataque, combinada com a proteção em tempo real do Defender para Endpoint, protege contra um grande número de exploits e vulnerabilidades.

No Defender para Endpoint, pode atualizar as suas defesas com indicadores personalizados para permitir e bloquear comportamentos de software específicos. As regras do ASR também suportam exclusões de ficheiros e pastas. Geralmente, teste uma regra no Modo de auditoria para identificar as exclusões que podem ser necessárias para aplicações de linha de negócio.

A redução da superfície de ataque suporta exclusões de ficheiros ou pastas que incluem variáveis de sistema e carateres universais no caminho?

Sim. Para saber mais, confira os seguintes artigos:

• Exclusões de ficheiros e pastas para regras ASR
• Configure e valide exclusões com base na extensão de ficheiro e na localização da pasta.

As regras de redução da superfície de ataque abrangem todas as aplicações?

Depende da regra. A maioria das regras abrange o comportamento dos produtos e serviços do Microsoft Office, por exemplo, Word, Excel, PowerPoint, OneNote ou Outlook. Algumas regras (por exemplo, Bloquear a execução de scripts potencialmente ocultados) são mais gerais no âmbito.

A redução da superfície de ataque suporta soluções de segurança não Microsoft?

Não. A redução da superfície de ataque utiliza Microsoft Defender Antivírus para bloquear aplicações. Não pode configurar a redução da superfície de ataque para utilizar outra solução de segurança.

Tenho uma licença do Windows Enterprise E5 e ativei algumas regras de redução da superfície de ataque com o Defender para Endpoint. É possível que um evento de redução da superfície de ataque não apareça no evento linha do tempo no Defender para Endpoint?

Quando uma regra de redução da superfície de ataque aciona localmente uma notificação, também é enviado um relatório sobre o evento para o portal do Defender para Endpoint. Se estiver com dificuldades em localizar o evento, pode filtrar os eventos linha do tempo através da caixa de pesquisa.

Também pode ver eventos de redução da superfície de ataque ao selecionar Ir para a gestão de superfícies de ataque a partir da Gestão de configuração no Microsoft Defender para a barra de tarefas da Cloud. A página de gestão da superfície de ataque inclui um separador para deteções de relatórios, que inclui uma lista completa de eventos de regra de redução da superfície de ataque comunicados ao Defender para Ponto Final.

Apliquei uma regra com Política de Grupo. Quando tento marcar as opções de indexação da regra no Microsoft Outlook, recebo um erro "Acesso negado".

Experimente abrir as opções de indexação diretamente a partir de Windows 10 ou posterior ao introduzir Opções de indexação na caixa de pesquisa.

Para a regra denominada "Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna", posso configurar manualmente os critérios?

Não. A proteção da cloud da Microsoft mantém os critérios através dos dados recolhidos de todo o mundo. Pode personalizar a regra ao adicionar aplicações à lista de exclusões para impedir que a regra seja acionada.

A regra denominada "Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna" está no modo Bloquear na minha organização. A regra começou a bloquear uma aplicação desbloqueada anteriormente depois de atualizar a aplicação. Ocorreu um problema?

Esta regra determina a reputação de uma aplicação que utiliza prevalência, idade ou inclusão numa lista de aplicações fidedignas. A avaliação destes critérios pela proteção da cloud da Microsoft determina, em última análise, a decisão de bloquear ou permitir uma aplicação.

Normalmente, a proteção da cloud pode determinar que uma nova versão de uma aplicação é semelhante às versões anteriores da aplicação, pelo que não é necessária uma reavaliação prolongada da aplicação. No entanto, a nova versão da aplicação pode demorar algum tempo a criar uma reputação, especialmente após uma grande atualização. Entretanto, pode adicionar a aplicação à lista de exclusões. Se atualizar e trabalhar frequentemente com novas versões de aplicações, poderá considerar configurar esta regra no Modo de auditoria .

Ativei recentemente a regra de redução da superfície de ataque denominada Bloquear roubo de credenciais do subsistema da autoridade de segurança local do Windows e estou a receber um grande número de notificações. O que está acontecendo?

Uma notificação gerada por esta regra não indica necessariamente atividade maliciosa. No entanto, esta regra ainda é útil para bloquear atividades maliciosas. Muitas vezes, o software maligno destina-se a lsass.exe para obter acesso ilícito às contas. O processo de lsass.exe armazena credenciais de utilizador na memória depois de um utilizador iniciar sessão. O Windows utiliza estas credenciais para validar os utilizadores e aplicar políticas de segurança locais.

Uma vez que muitos processos legítimos pedem credenciais lsass.exe, esta regra pode ser especialmente ruidosa. Se uma aplicação conhecida e legítima fizer com que esta regra gere um número excessivo de notificações, pode adicioná-la à lista de exclusão. A maioria das outras regras de redução da superfície de ataque geram um número relativamente menor de notificações.

É boa ideia ativar a regra denominada Bloquear roubo de credenciais do subsistema da autoridade de segurança local do Windows juntamente com a proteção LSA?

Não. Se ativou a proteção da Autoridade de Segurança Local (LSA) (que recomendamos, juntamente com o Credential Guard):

• Esta regra não é necessária.
• Esta regra não fornece proteção adicional (a regra e a proteção LSA funcionam da mesma forma).
• Esta regra é classificada como não aplicável nas definições de gestão do Defender para Endpoint no portal do Microsoft Defender.

Se não conseguir ativar a proteção LSA e/ou o Credential Guard, pode configurar esta regra para fornecer proteção equivalente contra software maligno que tenha como destino lsass.exe.

Conteúdo relacionado

Onde posso encontrar mais informações sobre as regras de redução da superfície de ataque?

• Descrição geral das regras de redução da superfície de ataque (ASR)
• Referenciar de regras de redução da superfície de ataque (ASR)
• Guia de implantação de regras de redução de superfície de ataque (ASR)
• Monitorizar a atividade da regra de redução da superfície de ataque (ASR)
• Configurar regras de redução da superfície de ataque (ASR)

Sim. As regras de redução da superfície de ataque (ASR) são uma funcionalidade do Antivírus Microsoft Defender, que está incluída em todas as edições atuais do Windows. No entanto, a gestão centralizada e os relatórios das regras do ASR requerem Microsoft Defender para Ponto de Extremidade. Para obter mais informações, consulte Descrição geral das regras de redução da superfície de ataque.

Não. As regras asr são uma funcionalidade do Microsoft Defender Antivírus, pelo que funcionam em todas as edições atuais do Windows. No entanto, a gestão centralizada e os relatórios através de Microsoft Intune ou Microsoft Configuration Manager requerem Microsoft Defender para Ponto de Extremidade e o licenciamento empresarial correspondente.

Para saber mais sobre o licenciamento do Windows, consulte https://www.microsoft.com/licensing/product-licensing/windows.

Microsoft Defender para Ponto de Extremidade fornece gestão e monitorização centralizadas para regras ASR, incluindo:

• Implementação centralizada e configuração de regras ASR em todos os dispositivos.
• Relatórios de regras do ASR e visibilidade de alertas no portal do Microsoft Defender.
• Consultas de investigação avançadas para eventos de regras do ASR.

Estas capacidades requerem uma licença do Defender para Endpoint (por exemplo, como parte do Microsoft 365 E3 ou E5). Para obter mais informações, veja Métodos de implementação e configuração para regras ASR.

Para obter mais informações, veja Referência de regras de redução da superfície de ataque.

Pode ativar as regras do ASR individualmente. Recomendamos que ative primeiro a maioria das regras no Modo de auditoria para determinar o possível efeito para a sua organização (por exemplo, para as suas aplicações de linha de negócio).

As regras do ASR suportam os seguintes tipos de exclusões:

• As exclusões globais de regras ASR aplicam-se a todas as regras do ASR. Todos os métodos de configuração de regras ASR suportam exclusões globais.
• As exclusões de regras por ASR aplicam-se a regras individuais, pelo que pode atribuir exclusões diferentes a regras diferentes. Apenas Política de Grupo e políticas de segurança de pontos finais no Microsoft Intune suportam exclusões por regra.

Nem todas as regras do ASR honram Microsoft Defender exclusões do Antivírus. Para obter uma discriminação completa do suporte de exclusão por regra, veja Exclusões de ficheiros e pastas para regras ASR.

Diferentes regras de redução da superfície de ataque têm fluxos de proteção diferentes. Pense sempre no que a regra de redução da superfície de ataque protege e como funciona o fluxo de execução. Por exemplo, ler diretamente a partir do processo de subsistema de autoridade de segurança local (LSASS) pode ser um risco de segurança, uma vez que pode expor credenciais empresariais.

A regra Bloquear roubo de credenciais do subsistema da autoridade de segurança local (lsass.exe) do Windows impede que os processos não fidedignos tenham acesso direto à memória LSASS. Quando um processo com o PROCESS_VM_READ direito de acesso tenta utilizar a OpenProcess() função para aceder ao LSASS, a regra bloqueia especificamente esse acesso, conforme mostrado na seguinte captura de ecrã:

Se precisar de criar uma exceção para o processo que foi bloqueado, utilize o nome do ficheiro e o caminho completo, conforme mostrado na captura de ecrã seguinte:

O valor 0 significa que as regras do ASR ignoram o ficheiro ou processo especificado e não o bloqueiam nem auditam.

As exclusões de regras por ASR são suportadas apenas em políticas de segurança de Política de Grupo e ponto final no Microsoft Intune. Para obter instruções de configuração, consulte Ativar regras de redução da superfície de ataque. Para obter informações sobre os diferentes tipos de exclusões, veja Exclusões de ficheiros e pastas para regras ASR.

Geralmente, recomendamos que ative todas as regras, mas com as seguintes considerações:

• Normalmente, pode ativar as seguintes regras de proteção padrãono Modo de bloqueio sem testar no Modo de auditoria :

  • Bloquear o abuso de controladores assinados vulneráveis explorados (Dispositivo)
  • Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do WindowsNota: se ativou a proteção da Autoridade de Segurança Local (LSA) (que recomendamos, juntamente com o Credential Guard), esta regra é redundante.
  • Bloquear a persistência através da subscrição de eventos WMINota: o cliente Microsoft Configuration Manager (ou versões anteriores) depende fortemente da WMI, pelo que recomendamos testes extensivos no modo auditoria antes de ativar esta regra no modo De bloqueio.

  Para obter detalhes sobre cada uma destas regras, veja Standard regras de proteção.

• Todas as outras regras requerem testes no Modo de auditoria antes de as ativar no Modo de bloqueio. Para obter detalhes sobre cada uma destas regras, veja Outras regras do ASR.

Teste as regras de redução da superfície de ataque no Modo de auditoria para identificar quaisquer aplicações de linha de negócio que tenha de excluir da redução da superfície de ataque.

As grandes organizações devem considerar implementar regras de redução da superfície de ataque na expansão de "anéis" onde audita e ativa regras para mais dispositivos. Pode organizar os dispositivos em anéis com Microsoft Intune ou uma ferramenta de gestão de Política de Grupo.

Para obter instruções, veja Descrição geral da implementação de regras de redução da superfície de ataque.

Uma regra no Modo de auditoria durante cerca de 30 dias deve fornecer uma boa linha de base para o funcionamento da regra. Pode identificar quaisquer aplicações de linha de negócio que necessitem de exclusões.

Na maioria dos casos, é mais fácil e melhor começar com as recomendações de linha de base sugeridas pelo Defender para Endpoint do que tentar importar regras de outra solução de segurança. Utilize o Modo de auditoria, monitorização e análise para configurar o Defender para Endpoint.

A configuração predefinida para a maioria das regras de redução da superfície de ataque, combinada com a proteção em tempo real do Defender para Endpoint, protege contra um grande número de exploits e vulnerabilidades.

No Defender para Endpoint, pode atualizar as suas defesas com indicadores personalizados para permitir e bloquear comportamentos de software específicos. As regras do ASR também suportam exclusões de ficheiros e pastas. Geralmente, teste uma regra no Modo de auditoria para identificar as exclusões que podem ser necessárias para aplicações de linha de negócio.

Sim. Para saber mais, confira os seguintes artigos:

• Exclusões de ficheiros e pastas para regras ASR
• Configure e valide exclusões com base na extensão de ficheiro e na localização da pasta.

Depende da regra. A maioria das regras abrange o comportamento dos produtos e serviços do Microsoft Office, por exemplo, Word, Excel, PowerPoint, OneNote ou Outlook. Algumas regras (por exemplo, Bloquear a execução de scripts potencialmente ocultados) são mais gerais no âmbito.

Não. A redução da superfície de ataque utiliza Microsoft Defender Antivírus para bloquear aplicações. Não pode configurar a redução da superfície de ataque para utilizar outra solução de segurança.

Quando uma regra de redução da superfície de ataque aciona localmente uma notificação, também é enviado um relatório sobre o evento para o portal do Defender para Endpoint. Se estiver com dificuldades em localizar o evento, pode filtrar os eventos linha do tempo através da caixa de pesquisa.

Também pode ver eventos de redução da superfície de ataque ao selecionar Ir para a gestão de superfícies de ataque a partir da Gestão de configuração no Microsoft Defender para a barra de tarefas da Cloud. A página de gestão da superfície de ataque inclui um separador para deteções de relatórios, que inclui uma lista completa de eventos de regra de redução da superfície de ataque comunicados ao Defender para Ponto Final.

Experimente abrir as opções de indexação diretamente a partir de Windows 10 ou posterior ao introduzir Opções de indexação na caixa de pesquisa.

Não. A proteção da cloud da Microsoft mantém os critérios através dos dados recolhidos de todo o mundo. Pode personalizar a regra ao adicionar aplicações à lista de exclusões para impedir que a regra seja acionada.

Esta regra determina a reputação de uma aplicação que utiliza prevalência, idade ou inclusão numa lista de aplicações fidedignas. A avaliação destes critérios pela proteção da cloud da Microsoft determina, em última análise, a decisão de bloquear ou permitir uma aplicação.

Normalmente, a proteção da cloud pode determinar que uma nova versão de uma aplicação é semelhante às versões anteriores da aplicação, pelo que não é necessária uma reavaliação prolongada da aplicação. No entanto, a nova versão da aplicação pode demorar algum tempo a criar uma reputação, especialmente após uma grande atualização. Entretanto, pode adicionar a aplicação à lista de exclusões. Se atualizar e trabalhar frequentemente com novas versões de aplicações, poderá considerar configurar esta regra no Modo de auditoria .

Uma notificação gerada por esta regra não indica necessariamente atividade maliciosa. No entanto, esta regra ainda é útil para bloquear atividades maliciosas. Muitas vezes, o software maligno destina-se a lsass.exe para obter acesso ilícito às contas. O processo de lsass.exe armazena credenciais de utilizador na memória depois de um utilizador iniciar sessão. O Windows utiliza estas credenciais para validar os utilizadores e aplicar políticas de segurança locais.

Uma vez que muitos processos legítimos pedem credenciais lsass.exe, esta regra pode ser especialmente ruidosa. Se uma aplicação conhecida e legítima fizer com que esta regra gere um número excessivo de notificações, pode adicioná-la à lista de exclusão. A maioria das outras regras de redução da superfície de ataque geram um número relativamente menor de notificações.

Não. Se ativou a proteção da Autoridade de Segurança Local (LSA) (que recomendamos, juntamente com o Credential Guard):

• Esta regra não é necessária.
• Esta regra não fornece proteção adicional (a regra e a proteção LSA funcionam da mesma forma).
• Esta regra é classificada como não aplicável nas definições de gestão do Defender para Endpoint no portal do Microsoft Defender.

Se não conseguir ativar a proteção LSA e/ou o Credential Guard, pode configurar esta regra para fornecer proteção equivalente contra software maligno que tenha como destino lsass.exe.

• Descrição geral das regras de redução da superfície de ataque (ASR)
• Referenciar de regras de redução da superfície de ataque (ASR)
• Guia de implantação de regras de redução de superfície de ataque (ASR)
• Monitorizar a atividade da regra de redução da superfície de ataque (ASR)
• Configurar regras de redução da superfície de ataque (ASR)