Usar Microsoft Intune política para gerenciar regras para redução da superfície de ataque

  • Artigo

Quando o antivírus defender estiver em uso em seus dispositivos Windows 10 e Windows 11, você pode usar Microsoft Intune políticas de segurança de ponto de extremidade para redução da superfície de ataque para gerenciar essas configurações em seus dispositivos.

Você pode usar políticas de redução de superfície de ataque (ASR) para reduzir a superfície de ataque de dispositivos minimizando os locais em que sua organização está vulnerável a ameaças cibernéticas e ataques. Intune as políticas ASR dão suporte aos seguintes perfis:

  • Regras de redução de superfície de ataque: use esse perfil para direcionar comportamentos que malware e aplicativos mal-intencionados normalmente usam para infectar computadores. Exemplos desses comportamentos incluem o uso de arquivos executáveis e scripts em aplicativos do Office, email da Web que tenta baixar ou executar arquivos e comportamentos de scripts ofuscados ou suspeitos que os aplicativos normalmente não iniciam durante o trabalho normal do dia a dia.

  • Controle de Dispositivo: use esse perfil para permitir, bloquear e proteger mídia removível por meio de controles que podem monitorar e ajudar a impedir que ameaças de periféricos não autorizados comprometam seus dispositivos. e controlar recursos para ajudar a evitar que ameaças em periféricos não autorizados comprometam seus dispositivos.

Para obter mais informações, confira Visão geral da redução da superfície de ataque na documentação de proteção contra ameaças do Windows.

As polícias de redução de superfície de ataque são encontradas no nó de segurança do ponto de extremidade do centro de administração Microsoft Intune.

Aplicável a:

  • Windows 10
  • Windows 11

Pré-requisitos para perfis de redução de superfície de ataque

Geral:

  • Os dispositivos devem executar Windows 10 ou Windows 11
  • O antivírus defender deve ser o antivírus primário no dispositivo

Suporte para Gerenciamento de Segurança para Microsoft Defender para Ponto de Extremidade:

Quando você usa o Gerenciamento de Segurança para Microsoft Defender para Ponto de Extremidade para dar suporte a dispositivos integrados ao Defender sem registro com Intune, a redução da superfície de ataque se aplica a dispositivos que executam Windows 10, Windows 11 e Windows Server. Para obter mais informações, confira Regras do ASR com suporte para sistemas operacionais na documentação de proteção contra ameaças do Windows.

Suporte para clientes Configuration Manager:

Esse cenário está em versão prévia e requer o uso de Configuration Manager branch atual versão 2006 ou posterior.

  • Configurar a anexação de locatário para dispositivos Configuration Manager – para dar suporte à implantação da política de redução da superfície de ataque em dispositivos gerenciados por Configuration Manager, configure a anexação de locatário. A configuração da anexação de locatário inclui a configuração Configuration Manager coleções de dispositivos para dar suporte a políticas de segurança de ponto de extremidade de Intune.

    Para configurar o anexo do locatário, consulte Configurar o anexo de locatário para dar suporte a políticas de proteção de ponto de extremidade.

Perfis de redução de superfície de ataque

Os perfis disponíveis para a política de redução da superfície de ataque dependem da plataforma selecionada.

Observação

A partir de abril de 2022, novos perfis para a política de redução de superfície de ataque começaram a ser lançados. Quando um novo perfil fica disponível, ele usa o mesmo nome do perfil que substitui e inclui as mesmas configurações do perfil mais antigo, mas no formato de configurações mais recente, conforme visto no Catálogo de Configurações. Suas instâncias criadas anteriormente desses perfis permanecem disponíveis para uso e edição, mas todas as novas instâncias que você criar estarão no novo formato. Os seguintes perfis foram atualizados:

  • Regras de redução de superfície de ataque (5 de abril de 2022)
  • Proteção de exploração (5 de abril de 2022)
  • Controle de dispositivo (23 de maio de 2022)
  • Isolamento de aplicativo e navegador (18 de abril de 2023)

Dispositivos gerenciados por Intune

Plataforma: Windows 10, Windows 11 e Windows Server:

Os perfis dessa plataforma têm suporte em dispositivos Windows 10 e Windows 11 registrados com Intune.

  • Regras de redução de superfície de ataque

Os perfis disponíveis para esta plataforma incluem:

  • Regras de redução de superfície de ataque – configurar configurações para regras de redução de superfície de ataque que visam comportamentos que malware e aplicativos mal-intencionados normalmente usam para infectar computadores, incluindo:

    • Arquivos executáveis e scripts usados em aplicativos do Office ou web mail que tentam baixar ou executar arquivos
    • Scripts ofuscados ou suspeitos
    • Comportamentos que os aplicativos normalmente não começam durante o trabalho normal do dia a dia

    Reduzir a superfície de ataque significa oferecer aos invasores menos maneiras de executar ataques.

    Comportamento de mesclagem para regras de redução de superfície de ataque no Intune:

    As regras de redução de superfície de ataque dão suporte a uma fusão de configurações de políticas diferentes, para criar um superconjunto de política para cada dispositivo. As configurações que não estão em conflito são mescladas, enquanto as configurações que estão em conflito não são adicionadas ao superconjunto de regras. Anteriormente, se duas políticas incluíssem conflitos para uma única configuração, ambas as políticas seriam sinalizadas como em conflito e nenhuma configuração de nenhum dos perfis seria implantada.

    O comportamento de mesclagem da regra de redução de superfície de ataque é o seguinte:

    • As regras de redução de superfície de ataque dos seguintes perfis são avaliadas para cada dispositivo a que as regras se aplicam:
      • Perfil de proteção de ponto de extremidade da política > de configuração > de dispositivos > Microsoft Defender Explorar a Redução de Superfície de Ataque do Guard >
      • Segurança do ponto de extremidade > Política > de redução de superfície de ataque Regras de redução de superfície de ataque
      • Linhas de base de segurança de segurança > do ponto de extremidade Microsoft Defender para Ponto de Extremidade regras de redução de superfície de ataque de linha de base>.>
    • Configurações que não têm conflitos são adicionadas a um superconjunto de política para o dispositivo.
    • Quando duas ou mais políticas têm configurações conflitantes, as configurações conflitantes não são adicionadas à política combinada, enquanto configurações que não entram em conflito são adicionadas à política de superconjunto que se aplica a um dispositivo.
    • Somente as configurações para configurações conflitantes são retidas.

  • Controle de Dispositivo – Com configurações para controle de dispositivo, você pode configurar dispositivos para uma abordagem em camadas para proteger a mídia removível. Microsoft Defender para Ponto de Extremidade fornece vários recursos de monitoramento e controle para ajudar a evitar que ameaças em periféricos não autorizados comprometam seus dispositivos.

    Intune perfis para suporte ao controle de dispositivo:

    Para saber mais sobre Microsoft Defender para Ponto de Extremidade controle de dispositivo, confira os seguintes artigos na documentação do Defender:

Plataforma: Windows 10 e posterior:

Os perfis dessa plataforma têm suporte em dispositivos Windows 10 e Windows 11 registrados com Intune. Os perfis incluem:

  • Isolamento do aplicativo e do navegador – Gerenciar configurações para Windows Defender Application Guard (Application Guard), como parte do Defender para Ponto de Extremidade. Application Guard ajuda a evitar ataques antigos e emergentes e pode isolar sites definidos pela empresa como não confiáveis ao definir quais sites, recursos de nuvem e redes internas são confiáveis.

    Para saber mais, consulte Application Guard na documentação Microsoft Defender para Ponto de Extremidade.

  • Controle de aplicativo – As configurações de controle de aplicativo podem ajudar a reduzir as ameaças à segurança restringindo os aplicativos que os usuários podem executar e o código executado no System Core (kernel). Gerenciar configurações que podem bloquear scripts e MSIs não assinados e restringir Windows PowerShell a serem executadas no Modo de Linguagem Restrita.

    Para saber mais, confira Controle de Aplicativo na documentação Microsoft Defender para Ponto de Extremidade.

    Observação

    Se você usar essa configuração, o comportamento do CSP do AppLocker no momento solicitará que o usuário final reinicialize o computador quando uma política for implantada.

  • Explore Proteção – Explorar configurações de proteção pode ajudar a proteger contra malware que usa explorações para infectar dispositivos e se espalhar. A proteção de exploração consiste em muitas mitigações que podem ser aplicadas ao sistema operacional ou a aplicativos individuais.

  • Proteção da Web (Versão Prévia do Microsoft Edge) – Configurações que você pode gerenciar para proteção da Web em Microsoft Defender para Ponto de Extremidade configurar a proteção de rede para proteger seus computadores contra ameaças da Web. Quando você integra o Microsoft Edge ou navegadores de terceiros, como Chrome e Firefox, a proteção da Web interrompe ameaças da Web sem um proxy da Web e pode proteger computadores enquanto eles estão fora ou no local. A proteção da Web interrompe o acesso a:

    • Sites de phishing
    • Vetores de malware
    • Explorar sites
    • Sites não confiáveis ou de baixa reputação
    • Sites que você bloqueou usando uma lista de indicadores personalizada.

    Para saber mais, confira Proteção da Web na documentação Microsoft Defender para Ponto de Extremidade.

Gerenciamento de configurações de segurança do Defender para Ponto de Extremidade

Quando você usa o cenário Gerenciamento de Segurança para Microsoft Defender para Ponto de Extremidade para dar suporte a dispositivos gerenciados pelo Defender que não estão registrados com Intune, você pode usar a plataforma Windows 10, Windows 11 e Windows Server para gerenciar configurações em dispositivos que execute Windows 10, Windows 11 e Windows Server. Para obter mais informações, confira Regras do ASR com suporte para sistemas operacionais na documentação de proteção contra ameaças do Windows.

Os perfis com suporte para esse cenário incluem:

  • Regras de redução de superfície de ataque – configurar configurações para regras de redução de superfície de ataque que visam comportamentos que malware e aplicativos mal-intencionados normalmente usam para infectar computadores, incluindo:
    • Arquivos executáveis e scripts usados em aplicativos do Office ou web mail que tentam baixar ou executar arquivos.
    • Scripts ofuscados ou suspeitos.
    • Comportamentos que os aplicativos normalmente não começam durante o trabalho normal do dia a dia Reduzir sua superfície de ataque significa oferecer aos invasores menos maneiras de executar ataques.

Importante

Somente o perfil de regras de redução de superfície de ataque é suportado pelo Gerenciamento de Segurança para Microsoft Defender para Ponto de Extremidade. Não há suporte para todos os outros perfis de redução de superfície de ataque.

Dispositivos gerenciados por Configuration Manager

Redução de superfície de ataque

O suporte para dispositivos gerenciados por Configuration Manager está em Versão Prévia.

Gerenciar configurações de redução de superfície de ataque para dispositivos Configuration Manager quando você usa a anexação de locatário.

Caminho da política:

  • Segurança do ponto de extremidade > Anexar Windows 10 de redução > de superfície e posterior (ConfigMgr)

Perfis:

  • Isolamento do aplicativo e do navegador(ConfigMgr)
  • Regras de redução de superfície de ataque(ConfigMgr)
  • Exploit Protection(ConfigMgr)(preview)
  • Proteção Web (ConfigMgr)(versão prévia)

Versão necessária do Configuration Manager:

  • Configuration Manager branch atual versão 2006 ou posterior

Plataformas de dispositivo Configuration Manager com suporte:

  • Windows 10 e posterior (x86, x64, ARM64)
  • Windows 11 e posterior (x86, x64, ARM64)

Grupos de configurações reutilizáveis para perfis de controle de dispositivo

Na versão prévia pública, os perfis de controle de dispositivo dão suporte ao uso de grupos de configurações reutilizáveis para ajudar a gerenciar as configurações dos seguintes grupos de configurações em dispositivos para a plataforma Windows 10, Windows 11 e Windows Server:

  • Dispositivo de impressora: as seguintes configurações de perfil de controle de dispositivo estão disponíveis para dispositivo de impressora:

    • PrimaryId
    • PrinterConnectionID
    • VID_PID

    Para obter informações sobre as opções do dispositivo de impressora, consulte Visão geral da Proteção de Impressora na documentação Microsoft Defender para Ponto de Extremidade.

  • Armazenamento removível: as seguintes configurações de perfil de controle de dispositivo estão disponíveis para armazenamento removível:

    • Classe de dispositivo
    • ID do Dispositivo
    • Hardware ID
    • ID da instância
    • ID primária
    • ID do Produto
    • Número de série
    • ID do fornecedor
    • ID do fornecedor e ID do produto

    Para obter informações sobre opções de armazenamento removíveis, consulte Microsoft Defender para Ponto de Extremidade Controle de Acesso de Armazenamento Removível do Controle de Dispositivo na documentação Microsoft Defender para Ponto de Extremidade.

Quando você usa um grupo de configurações reutilizáveis com um perfil de controle de dispositivo, você configura Ações para definir como as configurações nesses grupos são usadas.

Cada regra adicionada ao perfil pode incluir grupos de configurações reutilizáveis e configurações individuais que são adicionadas diretamente à regra. No entanto, considere usar cada regra para grupos de configurações reutilizáveis ou para gerenciar configurações que você adiciona diretamente à regra. Essa separação pode ajudar a simplificar configurações ou alterações futuras que você pode fazer.

Para obter diretrizes sobre como configurar grupos reutilizáveis e adicioná-los a esse perfil, consulte Usar grupos reutilizáveis de configurações com Intune políticas.

Exclusões para regras de redução de superfície de ataque

Intune dá suporte às duas seguintes configurações para excluir caminhos de arquivo e pasta específicos da avaliação pelas regras de Redução de Superfície de Ataque:

  • Global: use somente exclusões de redução de superfície de ataque.

    Captura de tela da configuração Somente Exclusões de Redução de Superfície de Ataque.

    Quando um dispositivo recebe pelo menos uma política que configura exclusões somente de redução de superfície de ataque, as exclusões configuradas se aplicam a todas as regras de redução de superfície de ataque direcionadas a esse dispositivo. Esse comportamento ocorre porque os dispositivos recebem um superconjunto de configurações de regra de redução de superfície de ataque de todas as políticas aplicáveis e as exclusões de configurações não podem ser gerenciadas para configurações individuais. Para evitar ter exclusões aplicadas a todas as configurações em um dispositivo, não use essa configuração. Em vez disso, configure exclusões asr somente por regra para configurações individuais.

    Para obter mais informações, confira a documentação do Defender CSP: Defender/AttackSurfaceReductionOnlyExclusions.

  • Configurações individuais: usar as exclusões de asr somente por regra

    Captura de tela da configuração de Exclusões de \Por Regra do ASR.

    Quando você define uma configuração aplicável em um perfil de regra de redução de superfície de ataque para qualquer outra coisa que não esteja configurada, Intune apresenta a opção de usar exclusões asr somente por regra para essa configuração individual. Com essa opção, você pode configurar uma exclusão de arquivo e pasta isolada para configurações individuais, o que contrasta com o uso da configuração global Attack Surface Reduction Only Exclusions , que aplica suas exclusões a todas as configurações do dispositivo.

    Por padrão, as exclusões de ASR Somente por regra são definidas como Não configuradas.

    Importante

    As políticas ASR não dão suporte à funcionalidade de mesclagem para exclusões asr somente por regra e um conflito de políticas pode resultar quando várias políticas que configuram exclusões asr somente por regra para o mesmo conflito de dispositivo. Para evitar conflitos, combine as configurações para exclusões asr somente por regra em uma única política ASR. Estamos investigando a adição de mesclagem de política para exclusões de asr somente por regra em uma atualização futura.

Mesclagem de política para configurações

A mesclagem de política ajuda a evitar conflitos quando vários perfis que se aplicam ao mesmo dispositivo configuram a mesma configuração com valores diferentes, criando um conflito. Para evitar conflitos, Intune avalia as configurações aplicáveis de cada perfil que se aplica ao dispositivo. Essas configurações então se fundem em um único superconjunto de configurações.

Para a política de redução de superfície de ataque, os seguintes perfis dão suporte à mesclagem de política:

  • Controle de dispositivos

Mesclagem de política para perfis de controle de dispositivo

Os perfis de controle de dispositivo dão suporte à mesclagem de política para IDs de dispositivo USB. As configurações de perfil que gerenciam IDs de dispositivo e que dão suporte à mesclagem de política incluem:

  • Permitir a instalação do dispositivo de hardware por identificadores de dispositivo
  • Bloquear a instalação do dispositivo de hardware por identificadores de dispositivo
  • Permitir a instalação do dispositivo de hardware por classes de instalação
  • Bloquear a instalação do dispositivo de hardware por classes de instalação
  • Permitir a instalação do dispositivo de hardware por identificadores de instância de dispositivo
  • Bloquear a instalação do dispositivo de hardware por identificadores de instância de dispositivo

A mesclagem de política se aplica à configuração de cada configuração entre os diferentes perfis que aplicam essa configuração específica a um dispositivo. O resultado é uma lista única para cada uma das configurações com suporte que estão sendo aplicadas a um dispositivo. Por exemplo:

  • A mesclagem de política avalia as listas de classes de instalação que foram configuradas em cada instância de Permitir a instalação do dispositivo de hardware por classes de instalação que se aplicam a um dispositivo. As listas são mescladas em uma única lista de permissões em que todas as classes de instalação duplicadas são removidas.

    A remoção de duplicatas da lista é feita para remover a fonte comum de conflitos. Em seguida, a lista de permissões combinada é entregue ao dispositivo.

A mesclagem de política não compara nem mescla as configurações de configurações diferentes. Por exemplo:

  • Expandindo-se no primeiro exemplo, no qual várias listas de permitir a instalação do dispositivo de hardware por classes de instalação foram mescladas em uma única lista, você tem várias instâncias de instalação do dispositivo de hardware block por classes de instalação que se aplicam ao mesmo dispositivo. Todas as listas de bloqueio relacionadas se mesclam em uma única lista de blocos para o dispositivo que, em seguida, é implantado no dispositivo.

    • A lista de permissões para classes de instalação não é comparada nem mesclada com a lista de blocos para classes de instalação.
    • Em vez disso, o dispositivo recebe ambas as listas, pois são de duas configurações distintas. Em seguida, o dispositivo impõe a configuração mais restritiva para instalação por classes de instalação.

    Com este exemplo, uma classe de configuração definida na lista de blocos substitui a mesma classe de configuração se encontrada na lista de permissões. O resultado seria que a classe de instalação está bloqueada no dispositivo.

Próximas etapas

Configurar políticas de segurança do Ponto de Extremidade.

Exibir detalhes das configurações em perfis para perfis de redução de superfície de ataque.