Configurar regras e exclusões de redução da superfície de ataque (ASR)

  • Aplica-se a: Microsoft Defender for Endpoint Plan 1 and Plan 2, Microsoft Defender XDR, Microsoft Defender Antivirus

As regras de redução da superfície de ataque (ASR) visam o comportamento de software de risco em dispositivos Windows que os atacantes exploram frequentemente através de software maligno (por exemplo, iniciar scripts que transferem ficheiros, executar scripts ocultados e injetar código noutros processos). Este artigo descreve como ativar e configurar regras ASR.

Para obter os melhores resultados, utilize soluções de gestão ao nível da empresa, como Microsoft Intune ou Microsoft Configuration Manager para gerir as regras do ASR. As definições da regra ASR de Intune ou Gerenciador de Configurações substituir quaisquer definições em conflito da política de grupo ou do PowerShell no arranque.

Pré-requisitos

Para obter mais informações, veja Requisitos das regras do ASR.

Configurar regras do ASR no Microsoft Intune

Microsoft Intune é a ferramenta recomendada para configurar e distribuir políticas de regras ASR para dispositivos. Requer Microsoft Intune (plano 1) (incluído em subscrições como Microsoft 365 E3 ou disponível como um suplemento autónomo).

No Intune, as políticas de segurança de ponto final são o método recomendado para implementar regras ASR, embora outros métodos também estejam disponíveis no Intune conforme descrito nas seguintes subsecções.

Configurar regras e exclusões do ASR no Intune através de políticas de segurança de ponto final

Para configurar regras ASR com uma política de redução da superfície de Ataque de Segurança de Ponto Final Microsoft Intune, veja Criar uma política de segurança de ponto final (abre-se num novo separador na documentação do Intune). Ao criar a política, utilize estas definições:

Importante

Microsoft Defender para Ponto de Extremidade gestão suporta apenas objetos de dispositivo. A segmentação de utilizadores não é suportada. Atribua a política a Microsoft Entra grupos de dispositivos e não a grupos de utilizadores.

  • Tipo de política: Redução da superfície de ataque
  • Plataforma: Windows
  • Perfil: Regras de Redução da Superfície de Ataque
  • Definições de configuração:

    • Redução da superfície de ataque: normalmente, pode ativar as regras de proteção padrão no modo Bloquear ou Avisar sem testar. Deve testar outras regras do ASR no Modo de auditoria antes de as mudar para o modo Bloquear ou Avisar . Para obter mais informações, veja o Guia de implementação de regras do ASR.

      Depois de definir o modo de regra como Auditoria, Bloquear ou Avisar, é apresentada uma secção ASR apenas por exclusões de regras , onde pode especificar exclusões que se aplicam apenas a essa regra.

    • Exclusões apenas de redução da superfície de ataque: utilize esta secção para especificar exclusões que se aplicam a todas as regras do ASR.

      Para especificar exclusões de regras por ASR ou exclusões globais de regras ASR, utilize um dos seguintes métodos:

      • Selecione Adicionar. Na caixa apresentada, introduza o caminho ou caminho e o nome do ficheiro a excluir. Por exemplo:

        • C:\folder
        • %ProgramFiles%\folder\file.exe C:\path

      • Selecione Importar para importar um ficheiro CSV que contenha os nomes dos ficheiros e pastas a excluir. O ficheiro CSV utiliza o seguinte formato:

        AttackSurfaceReductionOnlyExclusions
"C:\folder"
"%ProgramFiles%\folder\file.exe"
"C:\path"
...

        Dica

        As aspas duplas à volta dos valores são opcionais e são ignoradas (não são utilizadas nos valores) se as incluir. Não utilize plicas à volta dos valores.

      Para obter mais informações sobre exclusões, veja Exclusões de ficheiros e pastas para regras do ASR.

    • Ativar o acesso controlado a pastas, pastas protegidas de acesso controlado a pastas e Aplicações permitidas de acesso controlado a pastas: para obter mais informações, consulte Proteger pastas importantes com acesso controlado a pastas.

Configurar regras do ASR no Intune através de perfis personalizados com OMA-URIs e CSPs

Embora as políticas de segurança de ponto final sejam recomendadas, também pode configurar regras ASR no Intune através de perfis personalizados que contêm perfis Open Mobile Alliance – Uniform Resource (OMA-URI) com um fornecedor de serviços de configuração do Windows Policy (CSP).

Para obter informações gerais sobre OMA-URIs no Intune, veja Implementar OMA-URIs para direcionar um CSP através de Intune e uma comparação com o local.

  1. No Microsoft Intune centro de administração em https://intune.microsoft.com, selecione Dispositivos> GerirConfiguração deDispositivos>. Em alternativa, para aceder diretamente aos Dispositivos | Página de configuração , utilize https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

  2. No separador Políticas do separador Dispositivos | Página configuração , selecione Criar>Nova política.

    Captura de ecrã do separador Políticas da página Dispositivos – Configuração no centro de administração do Microsoft Intune com a opção Criar selecionada.

  3. Na lista de opções Criar um perfil que é aberta, configure as seguintes definições:

    • Plataforma: selecione Windows 10 e posteriores.
    • Tipo de perfil: selecione Modelos.
      • Na secção Nome do modelo que é apresentada, selecione Personalizado.

    Selecione Criar.

    Captura de ecrã a mostrar os atributos do perfil de regra no portal do centro de administração do Microsoft Intune.

  4. O assistente de modelos personalizados é aberto. No separador Informações básicas , configure as seguintes definições:

    • Nome: introduza um nome exclusivo para o modelo.
    • Descrição: introduza uma descrição opcional.

    Quando tiver terminado no separador Noções Básicas , selecione Seguinte.

  5. No separador Definições de configuração , selecione Adicionar.

    Captura de ecrã a mostrar as definições de configuração no portal do centro de administração do Microsoft Intune.

    Na lista de opções Adicionar linha que é aberta, configure as seguintes definições:

    • Nome: introduza um nome exclusivo para a regra.

    • Descrição: introduza uma descrição breve e opcional.

    • OMA-URI: introduza o valor do Dispositivo do CSP AttackSurfaceReductionRules : ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

      • Tipo de dados: selecione Cadeia.

      • Valor: utilize a seguinte sintaxe:

        <RuleGuid1>=<ModeForRuleGuid1>
<RuleGuid2>=<ModeForRuleGuid2>
...
<RuleGuidN>=<ModeForRuleGuidN>
        • Os valores GUID para regras ASR estão disponíveis nas regras do ASR.
        • Estão disponíveis os seguintes modos de regra :
          • 0: Desativado
          • 1: Bloco
          • 2: Auditoria
          • 5: não configurado
          • 6: Avisar

        Por exemplo:

        75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
3b576869-a4ec-4529-8536-b80a7769e899=1
d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
d3e037e1-3eb8-44c8-a917-57927947596d=1
5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

      Captura de ecrã a mostrar a lista de opções Adicionar linha do separador Definições de Configuração da configuração do URI do OMA no centro de administração do Microsoft Intune.

      Quando tiver terminado na lista de opções Adicionar linha , selecione Guardar.

      Dica

      Neste momento, também pode adicionar exclusões globais de regras ASR ao perfil personalizado em vez de criar um perfil separado apenas para exclusões. Para obter instruções, veja a próxima subsecção Configurar exclusões globais de regras ASR no Intune através de perfis personalizados com OMA-URIs e CSPs.

    Novamente no separador Definições de configuração , selecione Seguinte.

  6. No separador Atribuições , configure as seguintes definições:

    • Secção Grupos incluídos : selecione uma das seguintes opções:
      • Adicionar grupos: selecione um ou mais grupos a incluir.
      • Adicionar todos os utilizadores
      • Adicionar todos os dispositivos
    • Secção Grupos excluídos : selecione Adicionar grupos para especificar os grupos a excluir.

    Quando tiver terminado no separador Tarefas , selecione Seguinte.

    Captura de ecrã do separador Atribuições da configuração do URI do OMA no centro de administração do Microsoft Intune.

  7. No separador Regras de aplicabilidade , selecione Seguinte.

    Pode utilizar a edição do SO e as propriedades da versão do SO para definir os tipos de dispositivos que devem ou não obter o perfil.

    As regras de aplicabilidade no portal do centro de administração do Microsoft Intune.

  8. No separador Rever + criar , reveja as definições. Pode utilizar Anterior ou selecionar um separador para voltar atrás e fazer alterações.

    Quando estiver pronto para criar o perfil, selecione Criar no separador Rever + criar .

    Captura de ecrã a mostrar o separador Rever e criar no portal do centro de administração do Microsoft Intune.

Regressa imediatamente ao separador Políticas dos Dispositivos | Página de configuração . Poderá ter de selecionar Atualizar para ver a política.

As regras do ASR estão ativas dentro de minutos.

Configure global ASR rule exclusions in Intune using custom profiles with OMA-URIs and CSPs (Configurar exclusões de regras asr globais no Intune com perfis personalizados com OMA-URIs e CSPs)

Os passos para configurar exclusões globais de regras ASR no Intune utilizar um perfil personalizado são muito semelhantes aos passos da regra ASR na secção anterior. A única diferença é no Passo 5 (o separador Definições de configuração ) em que introduz as informações para exceções de regras ASR:

No separador Definições de configuração , selecione Adicionar. Na lista de opções Adicionar linha que é aberta, configure as seguintes definições:

  • Nome: introduza um nome exclusivo para a regra.
    • Descrição: introduza uma descrição breve e opcional.
    • OMA-URI: introduza o valor Dispositivo do CSP AttackSurfaceReductionOnlyExclusions : ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

      • Tipo de dados: selecione Cadeia.

      • Valor: utilize a seguinte sintaxe:

        <PathOrPathAndFilename1>
<PathOrPathAndFilename1>
...
<PathOrPathAndFilenameN>

        Por exemplo:

        C:\folder
%ProgramFiles%\folder\file.exe
C:\path

Quando tiver terminado na lista de opções Adicionar linha , selecione Guardar.

Novamente no separador Definições de configuração , selecione Seguinte.

Os restantes passos são os mesmos que configurar regras ASR.

Configurar regras do ASR em qualquer solução de MDM com o CSP de Política

O Fornecedor de serviços de configuração de políticas (CSP) permite que as organizações empresariais configurem políticas em dispositivos Windows através de qualquer solução de gestão de dispositivos móveis (MDM) e não apenas Microsoft Intune. Para obter mais informações, veja CSP de Política.

Pode configurar regras ASR com o CSP AttackSurfaceReductionRules com as seguintes definições:

Caminho OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Valor: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

  • Os valores GUID para regras ASR estão disponíveis nas regras do ASR
  • Estão disponíveis os seguintes modos de regra :
    • 0: Desativado
    • 1: Bloco
    • 2: Auditoria
    • 5: não configurado
    • 6: Avisar

Por exemplo:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Observação

Certifique-se de que introduz valores OMA-URI sem espaços.

Configure global ASR rule exclusions in any MDM solution using the Policy CSP

Pode utilizar o CSP de Política para configurar as exclusões globais de caminho e caminho e nome de ficheiro com o CSP AttackSurfaceReductionOnlyExclusions com as seguintes definições:

Caminho OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Valor: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

Por exemplo, C:\folder|%ProgramFiles%\folder\file.exe|C:\path

Configurar regras ASR e exclusões globais de regras ASR no Microsoft Configuration Manager

Para obter instruções, consulte as informações de redução da superfície de ataque em Criar e implementar uma política do Exploit Guard.

Aviso

Existe um problema conhecido com a aplicabilidade da redução da superfície de ataque nas versões do SO do Servidor que está marcada como conforme sem qualquer imposição real. Atualmente, não existe uma data de lançamento definida para quando será corrigido.

Importante

Se estiver a utilizar a opção "Desativar intercalação de administradores" definida como true em dispositivos e estiver a utilizar qualquer uma das seguintes ferramentas/métodos, a adição de regras ASR por regra ou exclusões de regras ASR locais não se aplica:

  • Separador Políticas do Windows Gestão de Definições de Segurança do Defender para Ponto Final (Desativar Intercalação de Administração Local) da página Políticas de segurança de ponto final no portal do Microsoft Defender emhttps://security.microsoft.com/policy-inventory?osPlatform=Windows
  • Microsoft Intune (Desativar Intercalação de Administração Local)
  • O Defender CSP (DisableLocalAdminMerge)
  • Política de Grupo (Configurar o comportamento de intercalação de administrador local para listas)

Para modificar este comportamento, tem de alterar "Desativar intercalação de administrador" para false.

Configurar regras e exclusões do ASR na política de grupo

Aviso

Se gerir os seus computadores e dispositivos com Intune, Microsoft Configuration Manager ou outro software de gestão ao nível da empresa, o software de gestão substitui quaisquer definições de política de grupo em conflito no arranque.

  1. Em Política de Grupo Centralizados, abra a Consola de Gestão de Política de Grupo (GPMC) no seu computador de gestão de Política de Grupo.

  2. Na árvore da consola do GPMC, expanda Política de Grupo Objetos na floresta e no domínio que contém o GPO que pretende editar.

  3. Clique com o botão direito do rato no GPO e, em seguida, selecione Editar.

  4. No Editor de Gestão de Política de Grupo, aceda a Configuração> do computadorModelos administrativos Componentes>> doWindowsMicrosoft Defender Antivírus>Microsoft Defender Redução da Superfície de Ataque do Exploit Guard>.

  5. No painel de detalhes de Redução da Superfície de Ataque, as definições disponíveis são:

    Para abrir e configurar uma definição de regra ASR, utilize qualquer um dos seguintes métodos:

    • Faça duplo clique na definição.
    • Clique com o botão direito do rato na definição e, em seguida, selecione Editar
    • Selecione a definição e, em seguida, selecione Editar Ação>.

Dica

Também pode configurar Política de Grupo localmente em dispositivos individuais com o Editor de Política de Grupo Local (gpedit.msc). Navegue para o mesmo caminho: Configuração> do computadorModelos administrativos Componentes>> doWindowsMicrosoft Defender Antivírus>Microsoft Defender Exploit Guard>Attack Surface Reduction.

As definições disponíveis estão descritas nas seguintes subsecções.

Importante

As aspas, espaços à esquerda, espaços à direita e carateres adicionais não são suportados em nenhum dos valores relacionados com regras do ASR na política de grupo.

Política de Grupo caminhos antes Windows 10 versão 2004 (maio de 2020) poderão utilizar o Windows Defender Antivírus em vez do Microsoft Defender Antivírus. Ambos os nomes referem-se à mesma localização de política.

Configurar regras ASR na política de grupo

  1. No painel de detalhes de Redução da Superfície de Ataque, abra a definição Configurar regras de Redução da Superfície de Ataque .

  2. Na janela de definições que é aberta, configure as seguintes opções:

    1. Selecione Habilitado.
    2. Defina o estado para cada regra ASR: selecione Mostrar....

  3. Na caixa de diálogo Definir o estado para cada regra ASR que é aberta, configure as seguintes definições:

    • Nome do valor: introduza o valor GUID da regra ASR.
    • Valor: introduza um dos seguintes valores do modo de regra :
      • 0: Desativado
      • 1: Bloco
      • 2: Auditoria
      • 5: não configurado
      • 6: Avisar

    Captura de ecrã a mostrar a opção Configurar regras de Redução da Superfície de Ataque no Política de Grupo.

    Para obter mais informações, veja Modos de regras ASR.

    Repita essa etapa quantas vezes forem necessárias. Quando tiver terminado, selecione OK.

Configurar exclusões globais de regras ASR na política de grupo

Os caminhos ou nomes de ficheiros com caminhos que especificar são utilizados como exclusões para todas as regras do ASR.

  1. No painel de detalhes de Redução da Superfície de Ataque, abra a definição Excluir ficheiros e caminhos das Regras de redução da superfície de ataque .

  2. Na janela de definições que é aberta, configure as seguintes opções:

    1. Selecione Habilitado.
    2. Exclusões das regras do ASR: selecione Mostrar....

  3. Na caixa de diálogo Exclusões das regras do ASR que é aberta, configure as seguintes definições:

    • Nome do valor: introduza o caminho ou caminho e o nome do ficheiro a excluir de todas as regras do ASR.
    • Valor: introduza 0.

    São suportados os seguintes tipos de nomes de valores:

    • Para excluir todos os ficheiros numa pasta, introduza o caminho completo da pasta. Por exemplo, C:\Data\Test.
    • Para excluir um ficheiro específico numa pasta específica (recomendado), introduza o caminho e o nome do ficheiro. Por exemplo, C:\Data\Test\test.exe.

    Repita essa etapa quantas vezes forem necessárias. Quando tiver terminado, selecione OK.

Configurar exclusões de regras por ASR na política de grupo

Os caminhos ou nomes de ficheiros com caminhos que especificar são utilizados como exclusões para regras ASR específicas.

Observação

Se a definição Aplicar uma lista de exclusões a regras específicas de redução da superfície de ataque (ASR) não estiver disponível no seu GPMC, precisará da versão 24H2 ou posterior dos ficheiros Modelos Administrativos na Loja Central.

  1. No painel de detalhes de Redução da Superfície de Ataque, abra a definição Aplicar uma lista de exclusões a regras específicas de redução da superfície de ataque (ASR ).

  2. Na janela de definições que é aberta, configure as seguintes opções:

    1. Selecione Habilitado.
    2. Exclusões para cada regra ASR: selecione Mostrar....

  3. Na caixa de diálogo Exclusões de cada regra ASR que é aberta, configure as seguintes definições:

    • Nome do valor: introduza o valor GUID da regra ASR.
    • Valor: introduza uma ou mais exclusões para a regra ASR. Utilize a sintaxe Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. Por exemplo, C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

    Repita essa etapa quantas vezes forem necessárias. Quando tiver terminado, selecione OK.

Configurar regras do ASR no PowerShell

Aviso

Se gerir os seus computadores e dispositivos com Intune, Gerenciador de Configurações ou outra plataforma de gestão ao nível da empresa, o software de gestão substitui quaisquer definições do PowerShell em conflito no arranque.

No dispositivo de destino, utilize a seguinte sintaxe de comando do PowerShell numa sessão elevada do PowerShell (uma janela do PowerShell que abriu ao selecionar Executar como administrador):

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

  • Set-MpPreference substitui todas as regras existentes e os respetivos modos correspondentes pelos valores que especificar. Para ver a lista de valores existentes, execute o seguinte comando:

    $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize

    Para adicionar novas regras e os respetivos modos correspondentes sem afetar quaisquer valores existentes, utilize o cmdlet Add-MpPreference . Para remover as regras especificadas e os respetivos modos correspondentes sem afetar outros valores existentes, utilize o cmdlet Remove-MpPreference . A sintaxe do comando é idêntica para os três cmdlets.

  • Os valores GUID para regras ASR estão disponíveis nas regras do ASR.

  • Os valores válidos para o parâmetro AttackSurfaceReductionRules_Actions são:

    • 0 ou Disabled
    • 1 ou Enabled (Modo de bloqueio)
    • 2ou ou AuditModeAudit
    • 5 ou NotConfigured
    • 6 ou Warn

O exemplo seguinte configura as regras asr especificadas no dispositivo:

  • As duas primeiras regras estão ativadas no Modo de bloqueio.
  • A terceira regra está desativada.
  • A última regra está ativada no Modo de auditoria .
Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

Configurar exclusões globais de regras ASR no PowerShell

No dispositivo de destino, utilize a seguinte sintaxe de comando do PowerShell numa sessão elevada do PowerShell:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

  • Set-MpPreferencesubstitui todas as exclusões de regras ASR existentes pelos valores que especificar. Para ver a lista de valores existentes, execute o seguinte comando:

    (Get-MpPreference).AttackSurfaceReductionOnlyExclusions

    Para adicionar novas exceções sem afetar quaisquer valores existentes, utilize o cmdlet Add-MpPreference . Para remover as exceções especificadas sem afetar outros valores, utilize o cmdlet Remove-MpPreference . A sintaxe do comando é idêntica para os três cmdlets.

    O exemplo seguinte configura o caminho e o caminho especificados com o nome de ficheiro como exclusões para todas as regras ASR no dispositivo:

    Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"

Conteúdo relacionado

  • Last updated on