Referência de regras de redução de superfície de ataque
Aplica-se a:
- Microsoft Microsoft Defender XDR for Endpoint Plan 1
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
- Microsoft Defender Antivírus
Plataformas:
- Windows
Este artigo fornece informações sobre Microsoft Defender para Ponto de Extremidade regras de redução de superfície de ataque (regras ASR):
- As regras do ASR dão suporte a versões do sistema operacional
- As regras do ASR dão suporte a sistemas de gerenciamento de configuração
- De acordo com os detalhes de alerta e notificação da regra ASR
- Regra ASR para matriz GUID
- Modos de regra ASR
- Descrições por regra
Importante
Algumas informações nesse artigo estão relacionadas ao produto pré-lançado que pode ser modificado de forma substancial antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Regras de redução de superfície de ataque por tipo
As regras de redução da superfície de ataque são categorizadas como um dos dois tipos:
Regras de proteção padrão: são o conjunto mínimo de regras que a Microsoft recomenda que você sempre habilite, enquanto você está avaliando as necessidades de efeito e configuração das outras regras ASR. Normalmente, essas regras têm impacto mínimo para nenhum perceptível no usuário final.
Outras regras: regras que exigem alguma medida de seguir as etapas de implantação documentadas [Teste de Plano > (auditoria) > Habilitar (modos de bloqueio/aviso)], conforme documentado no guia de implantação de regras de redução de superfície de ataque
Para obter o método mais fácil para habilitar as regras de proteção padrão, consulte: opção de proteção padrão simplificada.
| Nome da regra ASR: | Regra de proteção padrão? | Outra regra? |
|---|---|---|
| Bloquear o abuso de motoristas conectados vulneráveis explorados | Sim | |
| Impedir o Adobe Reader de criar processos filho | Sim | |
| Bloquear todos os aplicativos do Office de criar processos filho | Sim | |
| Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) | Sim | |
| Bloquear conteúdo executável do cliente de email e do webmail | Sim | |
| Bloquear a execução de arquivos executáveis, a menos que eles atendam a um critério de prevalência, idade ou lista confiável | Sim | |
| Bloquear a execução de scripts potencialmente ofuscados | Sim | |
| Bloquear JavaScript ou VBScript de iniciar conteúdo executável baixado | Sim | |
| Bloquear aplicativos do Office de criar conteúdo executável | Sim | |
| Bloquear aplicativos do Office de injetar código em outros processos | Sim | |
| Bloquear o aplicativo de comunicação do Office de criar processos filho | Sim | |
| Bloquear a persistência por meio da assinatura de evento WMI | Sim | |
| Bloquear criações de processo originadas de comandos PSExec e WMI | Sim | |
| Bloquear o computador de reinicialização no Modo de Segurança (versão prévia) | Sim | |
| Bloquear processos não confiáveis e sem sinal que são executados no USB | Sim | |
| Bloquear o uso de ferramentas de sistema copiadas ou representadas (versão prévia) | Sim | |
| Bloquear a criação do Webshell para Servidores | Sim | |
| Bloquear chamadas de API win32 de macros do Office | Sim | |
| Usar proteção avançada contra ransomware | Sim |
Microsoft Defender exclusões antivírus e regras ASR
Microsoft Defender exclusões antivírus se aplicam a alguns recursos Microsoft Defender para Ponto de Extremidade, como algumas das regras de redução da superfície de ataque.
As seguintes regras ASR NÃO honram Microsoft Defender exclusões antivírus:
Observação
Para obter informações sobre como configurar exclusões por regra, consulte a seção intitulada Configurar regras ASR por regra no tópico Testar regras de redução de superfície de ataque.
REGRAS ASR e Defender para Indicadores de Comprometimento do Ponto de Extremidade (IOC)
As seguintes regras ASR NÃO honram Microsoft Defender para Ponto de Extremidade Indicadores de Comprometimento (COI):
| Nome da regra ASR | Descrição |
|---|---|
| Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) | Não honra indicadores de comprometimento para arquivos ou certificados. |
| Bloquear aplicativos do Office de injetar código em outros processos | Não honra indicadores de comprometimento para arquivos ou certificados. |
| Bloquear chamadas de API win32 de macros do Office | Não honra indicadores de comprometimento para certificados. |
As regras do ASR dão suporte a sistemas operacionais
A tabela a seguir lista os sistemas operacionais com suporte para regras que atualmente são liberadas para disponibilidade geral. As regras estão listadas em ordem alfabética nesta tabela.
Observação
A menos que seja indicado de outra forma, o build mínimo Windows 10 é a versão 1709 (RS3, build 16299) ou posterior; o build mínimo do Windows Server é a versão 1809 ou posterior.
As regras de redução de superfície de ataque no Windows Server 2012 R2 e Windows Server 2016 estão disponíveis para dispositivos integrados usando o pacote de solução unificada moderno. Para obter mais informações, confira Nova funcionalidade na solução unificada moderna para Windows Server 2012 R2 e 2016 Preview.
(1) Refere-se à solução unificada moderna para Windows Server 2012 e 2016. Para obter mais informações, confira Integrar o Windows Servers ao serviço Defender para Ponto de Extremidade.
(2) Para Windows Server 2016 e Windows Server 2012 R2, a versão mínima necessária do Microsoft Endpoint Configuration Manager é a versão 2111.
(3) A versão e o número de build aplicam-se apenas a Windows 10.
As regras do ASR dão suporte a sistemas de gerenciamento de configuração
Links para informações sobre versões do sistema de gerenciamento de configuração referenciadas nesta tabela estão listados abaixo desta tabela.
(1) Você pode configurar regras de redução de superfície de ataque por regra usando o GUID de qualquer regra.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
- Configuration Manager do System Center (SCCM) CB 1710
SCCM agora está Microsoft Configuration Manager.
De acordo com os detalhes de alerta e notificação da regra ASR
As notificações de brinde são geradas para todas as regras no modo Bloquear. Regras em qualquer outro modo não geram notificações de brinde.
Para regras com o "Estado de Regra" especificado:
- Regras ASR com <regra ASR, combinações de Estado> de Regra são usadas para alertas de superfície (notificações de torrada) em Microsoft Defender para Ponto de Extremidade apenas para dispositivos no nível de bloco de nuvem Alto. Dispositivos que não estão no nível de bloco de nuvem não gerarão alertas para nenhuma <regra ASR, combinações de Estado> de Regra
- Alertas EDR são gerados para regras ASR nos estados especificados, para dispositivos no nível de bloco de nuvem High+
Regra ASR para matriz GUID
| Nome da regra | Guid de regra |
|---|---|
| Bloquear o abuso de motoristas conectados vulneráveis explorados | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Impedir o Adobe Reader de criar processos filho | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Bloquear todos os aplicativos do Office de criar processos filho | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Bloquear conteúdo executável do cliente de email e do webmail | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Bloquear a execução de arquivos executáveis, a menos que eles atendam a um critério de prevalência, idade ou lista confiável | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Bloquear a execução de scripts potencialmente ofuscados | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| Bloquear JavaScript ou VBScript de iniciar conteúdo executável baixado | d3e037e1-3eb8-44c8-a917-57927947596d |
| Bloquear aplicativos do Office de criar conteúdo executável | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Bloquear aplicativos do Office de injetar código em outros processos | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Bloquear o aplicativo de comunicação do Office de criar processos filho | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Bloquear a persistência por meio da assinatura de evento WMI * Exclusões de arquivo e pasta não suportadas. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Bloquear criações de processo originadas de comandos PSExec e WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Bloquear o computador de reinicialização no Modo de Segurança (versão prévia) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Bloquear processos não confiáveis e sem sinal que são executados no USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Bloquear o uso de ferramentas de sistema copiadas ou representadas (versão prévia) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Bloquear a criação do Webshell para Servidores | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Bloquear chamadas de API win32 de macros do Office | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Usar proteção avançada contra ransomware | c1db55ab-c21a-4637-bb3f-a12568109d35 |
Modos de regra ASR
- Não configurado ou Desabilitado: o estado em que a regra ASR não está habilitada ou está desabilitada. O código para esse estado = 0.
- Bloquear: o estado em que a regra ASR está habilitada. O código para esse estado é 1.
- Auditoria: o estado em que a regra ASR é avaliada para o efeito que ela teria na organização ou no ambiente se habilitada (definida como bloquear ou avisar). O código para esse estado é 2.
- Avisar O estado em que a regra ASR está habilitada e apresenta uma notificação ao usuário final, mas permite que o usuário final ignore o bloco. O código para esse estado é 6.
O modo de alerta é um tipo de modo de bloco que alerta os usuários sobre ações potencialmente arriscadas. Os usuários podem optar por ignorar a mensagem de aviso de bloco e permitir a ação subjacente. Os usuários podem selecionar OK para impor o bloco ou selecionar a opção de bypass - Desbloquear - por meio da notificação de brinde pop-up do usuário final gerada no momento do bloco. Depois que o aviso for desbloqueado, a operação será permitida até a próxima vez que a mensagem de aviso ocorrer, momento em que o usuário final precisará reperformar a ação.
Quando o botão permitir é clicado, o bloco é suprimido por 24 horas. Após 24 horas, o usuário final precisará permitir o bloco novamente. O modo de aviso para regras ASR só tem suporte para dispositivos RS5+ (1809+). Se o bypass for atribuído às regras do ASR em dispositivos com versões mais antigas, a regra estará no modo bloqueado.
Você também pode definir uma regra no modo de aviso por meio do PowerShell especificando o AttackSurfaceReductionRules_Actions como "Avisar". Por exemplo:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Por descrições de regra
Bloquear o abuso de motoristas conectados vulneráveis explorados
Essa regra impede que um aplicativo escreva um driver assinado vulnerável em disco. Os drivers conectados vulneráveis e selvagens podem ser explorados por aplicativos locais - que têm privilégios suficientes - para obter acesso ao kernel. Os drivers assinados vulneráveis permitem que os invasores desabilitem ou contornem soluções de segurança, eventualmente levando a um comprometimento do sistema.
A regra Bloquear abuso de drivers conectados vulneráveis não impede que um driver já existente no sistema seja carregado.
Observação
Você pode configurar essa regra usando Intune OMA-URI. Consulte Intune OMA-URI para configurar regras personalizadas.
Você também pode configurar essa regra usando o PowerShell.
Para examinar um driver, use este site para Enviar um driver para análise.
Intune Nome:Block abuse of exploited vulnerable signed drivers
Configuration Manager nome: ainda não disponível
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Tipo de ação de caça avançado:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Impedir o Adobe Reader de criar processos filho
Essa regra impede ataques impedindo o Adobe Reader de criar processos.
O malware pode baixar e iniciar cargas e sair do Adobe Reader por meio de engenharia social ou explorações. Ao impedir que processos filho sejam gerados pelo Adobe Reader, o malware que tenta usar o Adobe Reader como vetor de ataque é impedido de se espalhar.
Intune nome:Process creation from Adobe Reader (beta)
Configuration Manager nome: ainda não disponível
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Tipo de ação de caça avançado:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Dependências: Microsoft Defender Antivírus
Bloquear todos os aplicativos do Office de criar processos filho
Essa regra impede que os aplicativos do Office criem processos filho. Os aplicativos do Office incluem Word, Excel, PowerPoint, OneNote e Access.
Criar processos filho mal-intencionados é uma estratégia de malware comum. O malware que abusa do Office como vetor geralmente executa macros VBA e explora o código para baixar e tentar executar mais cargas. No entanto, alguns aplicativos de linha de negócios legítimos também podem gerar processos filho para fins benignos; como gerar um prompt de comando ou usar o PowerShell para configurar as configurações do registro.
Intune nome:Office apps launching child processes
Configuration Manager nome:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Tipo de ação de caça avançado:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Dependências: Microsoft Defender Antivírus
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows
Essa regra ajuda a evitar o roubo de credencial bloqueando o LSASS (Serviço de Subsistema da Autoridade de Segurança Local).
O LSASS autentica usuários que entrem em um computador Windows. Microsoft Defender Credential Guard no Windows normalmente impede tentativas de extrair credenciais do LSASS. Algumas organizações não podem habilitar o Credential Guard em todos os seus computadores devido a problemas de compatibilidade com drivers de smartcard personalizados ou outros programas que são carregados na LSA (Autoridade de Segurança Local). Nesses casos, os invasores podem usar ferramentas como Mimikatz para raspar senhas de texto limpo e hashes NTLM do LSASS.
Por padrão, o estado dessa regra é definido como bloqueado. Na maioria dos casos, muitos processos fazem chamadas ao LSASS para obter direitos de acesso que não são necessários. Por exemplo, como quando o bloco inicial da regra ASR resulta em uma chamada subsequente para um privilégio menor que, posteriormente, é bem-sucedido. Para obter informações sobre os tipos de direitos que normalmente são solicitados em chamadas de processo para LSASS, consulte: Processar Segurança e Direitos de Acesso.
Habilitar essa regra não fornecerá proteção adicional se você tiver a proteção LSA habilitada, já que a regra ASR e a proteção LSA funcionam da mesma forma. No entanto, quando a proteção LSA não pode ser habilitada, essa regra pode ser configurada para fornecer proteção equivalente contra malware que tem como destino lsass.exe.
Observação
Nesse cenário, a regra ASR é classificada como "não aplicável" nas configurações do Defender para Ponto de Extremidade no portal Microsoft Defender.
A regra ASR do subsistema de autoridade de segurança local do Windows não dá suporte ao modo WARN.
Em alguns aplicativos, o código enumera todos os processos em execução e tenta abri-los com permissões exaustivas. Essa regra nega a ação aberta do processo do aplicativo e registra os detalhes no log de eventos de segurança. Essa regra pode gerar muito ruído. Se você tiver um aplicativo que simplesmente enumera LSASS, mas não tem nenhum impacto real na funcionalidade, não há necessidade de adicioná-lo à lista de exclusão. Por si só, essa entrada de log de eventos não indica necessariamente uma ameaça mal-intencionada.
Intune nome:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager nome:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Tipo de ação de caça avançado:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Dependências: Microsoft Defender Antivírus
Bloquear conteúdo executável do cliente de email e do webmail
Essa regra bloqueia o email aberto no aplicativo microsoft Outlook ou Outlook.com e outros provedores de webmail populares de propagar os seguintes tipos de arquivo:
- Arquivos executáveis (como .exe, .dll ou .scr)
- Arquivos de script (como um arquivo .ps1 do PowerShell, .vbs do Visual Basic ou JavaScript .js)
Intune nome:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager nome:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Tipo de ação de caça avançado:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Dependências: Microsoft Defender Antivírus
Observação
A regra Bloquear conteúdo executável do cliente de email e do webmail tem as seguintes descrições alternativas, dependendo de qual aplicativo você usa:
- Intune (Perfis de Configuração): execução de conteúdo executável (exe, dll, ps, js, vbs etc.) retirada do email (cliente webmail/email) (sem exceções).
- Configuration Manager: bloquear o download de conteúdo executável de clientes de email e webmail.
- Política de Grupo: bloquear o conteúdo executável do cliente de email e do webmail.
Bloquear a execução de arquivos executáveis, a menos que eles atendam a um critério de prevalência, idade ou lista confiável
Essa regra bloqueia arquivos executáveis, como .exe, .dll ou .scr, do lançamento. Assim, o lançamento de arquivos executáveis não confiáveis ou desconhecidos pode ser arriscado, pois pode não ser inicialmente claro se os arquivos são mal-intencionados.
Importante
Você deve habilitar a proteção fornecida pela nuvem para usar essa regra.
A regra Bloquear arquivos executáveis de execução, a menos que eles atendam a um critério de lista de prevalência, idade ou confiança com GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 , pertence à Microsoft e não é especificada pelos administradores. Essa regra usa a proteção fornecida pela nuvem para atualizar sua lista confiável regularmente.
Você pode especificar arquivos ou pastas individuais (usando caminhos de pasta ou nomes de recursos totalmente qualificados), mas não é possível especificar a quais regras ou exclusões se aplicam.
Intune nome:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager nome:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Tipo de ação de caça avançado:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Dependências: Microsoft Defender Antivírus, Cloud Protection
Bloquear a execução de scripts potencialmente ofuscados
Essa regra detecta propriedades suspeitas dentro de um script ofuscado.
Importante
Agora há suporte para scripts do PowerShell para a regra "Bloquear execução de scripts potencialmente ofuscados".
A ofuscação de script é uma técnica comum que autores de malware e aplicativos legítimos usam para ocultar propriedade intelectual ou diminuir os tempos de carregamento de script. Os autores de malware também usam ofuscação para tornar o código mal-intencionado mais difícil de ler, o que dificulta o escrutínio próximo por humanos e software de segurança.
Intune nome:Obfuscated js/vbs/ps/macro code
Configuration Manager nome:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Tipo de ação de caça avançado:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Dependências: Microsoft Defender Antivírus, AMSI (Interface de Verificação AntiMalware)
Bloquear JavaScript ou VBScript de iniciar conteúdo executável baixado
Essa regra impede que scripts iniciem conteúdo baixado potencialmente mal-intencionado. O malware escrito em JavaScript ou VBScript geralmente atua como um downloader para buscar e iniciar outros malwares da Internet.
Embora não seja comum, aplicativos de linha de negócios às vezes usam scripts para baixar e iniciar instaladores.
Intune nome:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager nome:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Tipo de ação de caça avançado:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Dependências: Microsoft Defender Antivírus, AMSI
Bloquear aplicativos do Office de criar conteúdo executável
Essa regra impede que aplicativos do Office, incluindo Word, Excel e PowerPoint, criem conteúdo executável potencialmente mal-intencionado, impedindo que o código mal-intencionado seja gravado em disco.
O malware que abusa do Office como um vetor pode tentar sair do Office e salvar componentes mal-intencionados em disco. Esses componentes mal-intencionados sobreviveriam a uma reinicialização do computador e persistiriam no sistema. Portanto, essa regra se defende contra uma técnica de persistência comum. Essa regra também bloqueia a execução de arquivos não confiáveis que podem ter sido salvos por macros do Office que podem ser executadas em arquivos do Office.
Intune nome:Office apps/macros creating executable content
Configuration Manager nome:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Tipo de ação de caça avançado:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Dependências: Microsoft Defender Antivírus, RPC
Bloquear aplicativos do Office de injetar código em outros processos
Essa regra bloqueia tentativas de injeção de código de aplicativos do Office em outros processos.
Observação
A regra Bloquear aplicativos de injeção de código em outros processos não dá suporte ao modo WARN.
Importante
Essa regra requer a reinicialização de Microsoft 365 Apps (aplicativos do Office) para que as alterações de configuração entrem em vigor.
Os invasores podem tentar usar aplicativos do Office para migrar código mal-intencionado para outros processos por meio da injeção de código, para que o código possa se disfarçar como um processo limpo.
Não há propósitos comerciais legítimos conhecidos para usar a injeção de código.
Essa regra se aplica a Word, Excel, OneNote e PowerPoint.
Intune nome:Office apps injecting code into other processes (no exceptions)
Configuration Manager nome:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Tipo de ação de caça avançado:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Dependências: Microsoft Defender Antivírus
Bloquear o aplicativo de comunicação do Office de criar processos filho
Essa regra impede que o Outlook crie processos filho, ao mesmo tempo em que permite funções legítimas do Outlook.
Essa regra protege contra ataques de engenharia social e impede que a exploração de código abuse de vulnerabilidades no Outlook. Ele também protege contra as regras e as explorações de formulários do Outlook que os invasores podem usar quando as credenciais de um usuário são comprometidas.
Observação
Essa regra bloqueia dicas de política DLP e Dicas de Ferramentas no Outlook. Essa regra se aplica apenas ao Outlook e Outlook.com.
Intune nome:Process creation from Office communication products (beta)
Configuration Manager nome: não disponível
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Tipo de ação de caça avançado:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Dependências: Microsoft Defender Antivírus
Bloquear a persistência por meio da assinatura de evento WMI
Essa regra impede que o malware viole o WMI para obter persistência em um dispositivo.
Importante
Exclusões de arquivos e pastas não se aplicam a essa regra de redução de superfície de ataque.
Ameaças sem arquivo empregam várias táticas para permanecer ocultas, evitar serem vistas no sistema de arquivos e obter controle de execução periódico. Algumas ameaças podem violar o repositório WMI e o modelo de evento para permanecerem ocultas.
Observação
Se CcmExec.exe (SCCM Agent) for detectado no dispositivo, a regra ASR será classificada como "não aplicável" nas configurações do Defender para Ponto de Extremidade no portal Microsoft Defender.
Intune nome:Persistence through WMI event subscription
Configuration Manager nome: não disponível
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Tipo de ação de caça avançado:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Dependências: Microsoft Defender Antivírus, RPC
Bloquear criações de processo originadas de comandos PSExec e WMI
Essa regra bloqueia os processos criados por meio de PsExec e WMI de execução. PsExec e WMI podem executar o código remotamente. Há o risco de o malware abusar da funcionalidade do PsExec e da WMI para fins de comando e controle ou espalhar uma infecção pela rede de uma organização.
Aviso
Use essa regra somente se estiver gerenciando seus dispositivos com Intune ou outra solução MDM. Essa regra é incompatível com o gerenciamento por meio do Microsoft Endpoint Configuration Manager porque essa regra bloqueia comandos WMI que o cliente Configuration Manager usa para funcionar corretamente.
Intune nome:Process creation from PSExec and WMI commands
Configuration Manager nome: não aplicável
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Tipo de ação de caça avançado:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Dependências: Microsoft Defender Antivírus
Bloquear o computador de reinicialização no Modo de Segurança (versão prévia)
Essa regra impede a execução de comandos para reiniciar computadores no Modo de Segurança.
O Modo de Segurança é um modo de diagnóstico que carrega apenas os arquivos essenciais e os drivers necessários para o Windows ser executado. No entanto, no Modo de Segurança, muitos produtos de segurança estão desabilitados ou operam em uma capacidade limitada, o que permite que os invasores iniciem ainda mais comandos de adulteração ou simplesmente executem e criptografem todos os arquivos no computador. Essa regra bloqueia esses ataques impedindo que os processos reiniciem computadores no Modo de Segurança.
Observação
Esse recurso está atualmente em versão prévia. Atualizações adicionais para melhorar a eficácia estão em desenvolvimento.
Intune Nome:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager nome: ainda não disponível
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Dependências: Microsoft Defender Antivírus
Bloquear processos não confiáveis e sem sinal que são executados no USB
Com essa regra, os administradores podem impedir que arquivos executáveis não assinados ou não confiáveis sejam executados de unidades removíveis USB, incluindo cartões SD. Os tipos de arquivo bloqueados incluem arquivos executáveis (como .exe, .dll ou .scr)
Importante
Os arquivos copiados do USB para a unidade de disco serão bloqueados por essa regra se e quando ele estiver prestes a ser executado na unidade de disco.
Intune nome:Untrusted and unsigned processes that run from USB
Configuration Manager nome:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Tipo de ação de caça avançado:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Dependências: Microsoft Defender Antivírus
Bloquear o uso de ferramentas de sistema copiadas ou representadas (versão prévia)
Essa regra bloqueia o uso de arquivos executáveis que são identificados como cópias de ferramentas do sistema Windows. Esses arquivos são duplicados ou impostores das ferramentas originais do sistema.
Alguns programas mal-intencionados podem tentar copiar ou representar ferramentas do sistema Windows para evitar a detecção ou obter privilégios. Permitir esses arquivos executáveis pode levar a possíveis ataques. Essa regra impede a propagação e a execução desses duplicados e impostores das ferramentas do sistema em computadores Windows.
Observação
Esse recurso está atualmente em versão prévia. Atualizações adicionais para melhorar a eficácia estão em desenvolvimento.
Intune Nome:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager nome: ainda não disponível
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Dependências: Microsoft Defender Antivírus
Bloquear a criação do Webshell para Servidores
Essa regra bloqueia a criação de script do Web Shell no Microsoft Server, Exchange Role.
Um script do web shell é um script criado especificamente que permite que um invasor controle o servidor comprometido. Um web shell pode incluir funcionalidades como receber e executar comandos mal-intencionados, baixar e executar arquivos mal-intencionados, roubar e exfiltrar credenciais e informações confidenciais, identificar possíveis destinos etc.
Intune nome:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Dependências: Microsoft Defender Antivírus
Bloquear chamadas de API win32 de macros do Office
Essa regra impede que as macros de VBA chamem APIs win32.
O Office VBA habilita chamadas de API do Win32. O malware pode abusar dessa funcionalidade, como chamar APIs do Win32 para iniciar o shellcode mal-intencionado sem escrever nada diretamente no disco. A maioria das organizações não confia na capacidade de chamar APIs Win32 em seu funcionamento diário, mesmo que use macros de outras maneiras.
Intune nome:Win32 imports from Office macro code
Configuration Manager nome:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Tipo de ação de caça avançado:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Dependências: Microsoft Defender Antivírus, AMSI
Usar proteção avançada contra ransomware
Essa regra fornece uma camada extra de proteção contra ransomware. Ele usa heurística de cliente e nuvem para determinar se um arquivo se assemelha a ransomware. Essa regra não bloqueia arquivos que têm uma ou mais das seguintes características:
- O arquivo já foi encontrado ileso na nuvem da Microsoft.
- O arquivo é um arquivo assinado válido.
- O arquivo é predominante o suficiente para não ser considerado como ransomware.
A regra tende a errar por precaução para evitar ransomware.
Observação
Você deve habilitar a proteção fornecida pela nuvem para usar essa regra.
Intune nome:Advanced ransomware protection
Configuration Manager nome:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Tipo de ação de caça avançado:
AsrRansomwareAuditedAsrRansomwareBlocked
Dependências: Microsoft Defender Antivírus, Cloud Protection
Confira também
- Visão geral da implantação de regras de redução de superfície de ataque
- Planejar a implantação de regras de redução de superfície de ataque
- Testar regras de redução de superfície de ataque
- Habilitar regras da redução da superfície de ataque
- Operacionalizar regras de redução de superfície de ataque
- Relatório de regras de redução de superfície de ataque
- Referência de regras de redução de superfície de ataque
- Exclusões para antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de