Referência de regras de redução da superfície de ataque (RSA)

  • Aplica-se a: Microsoft Defender for Endpoint Plan 2

As regras de redução da superfície de ataque (ASR) visam o comportamento de software de risco em dispositivos Windows que os atacantes exploram frequentemente através de software maligno (por exemplo, iniciar scripts que transferem ficheiros, executar scripts ocultados e injetar código noutros processos). Para obter mais informações sobre as regras do ASR, veja Descrição geral das regras de redução da superfície de ataque (ASR).

Este artigo é uma referência técnica para regras do ASR que fornece as seguintes informações:

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

Suporte do sistema operativo para regras ASR

As regras do ASR são uma funcionalidade antivírus Microsoft Defender que está disponível em qualquer edição do Windows que inclua Microsoft Defender Antivírus (por exemplo, Windows 11 Home). Pode configurar as regras do ASR localmente com o PowerShell ou Política de Grupo.

A tabela seguinte descreve o suporte do sistema operativo para as regras do ASR no Microsoft Defender para Endpoint, que fornece gestão centralizada, relatórios e alertas através de Microsoft Intune, Microsoft Configuration Manager e o portal do Microsoft Defender:

Nome da regra Windows 11 ou posterior Windows 10 Windows Server 2019 ou posterior Windows Server 2016* Windows Server 2012 R2*
Regras de proteção padrão
Bloquear o abuso de controladores assinados vulneráveis explorados (Dispositivo) Y 1709 ou posterior Y Windows Server 1803 (SAC) ou posterior Y
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows Y 1803 ou posterior Y Y Y
Bloquear a persistência através da subscrição de eventos WMI Y 1903 ou posterior Windows Server 1903 (SAC) ou posterior N N
Outras regras do ASR
Impedir o Adobe Reader de criar processos subordinados Y 1809 ou posterior Y Y Y
Bloquear a criação de processos subordinados em todas as aplicações do Office Y 1709 ou posterior Y Y Y
Bloquear conteúdo executável do cliente de e-mail e do webmail Y 1709 ou posterior Y Y Y
Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna Y 1803 ou posterior Y Y Y
Bloquear a execução de scripts potencialmente ocultados Y 1709 ou posterior Y Y Y
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido Y 1709 ou posterior Y N N
Impedir que as aplicações do Office criem conteúdos executáveis Y 1709 ou posterior Y Y Y
Bloquear a injeção de código nas aplicações do Office noutros processos Y 1709 ou posterior Y Y Y
Bloquear a criação de processos subordinados na aplicação de comunicação do Office Y 1709 ou posterior Y Y Y
Bloquear criações de processos com origem nos comandos PSExec e WMI Y 1803 ou posterior Y Y Y
Bloquear o reinício da máquina no Modo de Segurança Y 1709 ou posterior Y Y Y
Bloquear processos não fidedignos e não assinados executados a partir de USB Y 1709 ou posterior Y Y Y
Bloquear a utilização de ferramentas de sistema copiadas ou representadas Y 1709 ou posterior Y Y Y
Bloquear a criação de Webshell para Servidores n/a n/a Apenas servidores exchange Apenas servidores exchange N
Bloquear chamadas à API Win32 a partir de macros do Office Y 1709 ou posterior n/a n/a n/a
Utilizar proteção avançada contra ransomware Y 1803 ou posterior Y Y Y

*As regras ASR suportadas no Windows Server 2016 e Windows Server 2012 R2 requerem a inclusão através do pacote de solução unificado moderno. Para obter mais informações, veja New Windows Server 2012 R2 and 2016 functionality in the modern unified solution (Nova funcionalidade Windows Server 2012 R2 e 2016 na solução unificada moderna).

Suporte do método de implementação para regras ASR

Embora o Defender para Endpoint suporte regras ASR, precisa de um serviço separado para implementar as regras nos dispositivos. Os métodos suportados para implementar regras ASR estão descritos na tabela seguinte.

Nome da regra Intune Gestor de Configuração MDM CSP Política de Grupo centralizado
Regras de proteção padrão
Bloquear o abuso de controladores assinados vulneráveis explorados (Dispositivo) Y N Y Y
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows Y 1802 ou posterior Y Y
Bloquear a persistência através da subscrição de eventos WMI Y N Y Y
Outras regras do ASR
Impedir o Adobe Reader de criar processos subordinados Y N Y Y
Bloquear a criação de processos subordinados em todas as aplicações do Office Y 1710 ou posterior Y Y
Bloquear conteúdo executável do cliente de e-mail e do webmail Y 1710 ou posterior Y Y
Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna[1] Y 1802 ou posterior Y Y
Bloquear a execução de scripts potencialmente ocultados Y 1710 ou posterior Y Y
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido Y 1710 ou posterior Y Y
Impedir que as aplicações do Office criem conteúdos executáveis Y 1710 ou posterior Y Y
Bloquear a injeção de código nas aplicações do Office noutros processos Y 1710 ou posterior Y Y
Bloquear a criação de processos subordinados na aplicação de comunicação do Office Y N Y Y
Bloquear criações de processos com origem nos comandos PSExec e WMI Y N Y Y
Bloquear o reinício da máquina no Modo de Segurança Y N Y Y
Bloquear processos não fidedignos e não assinados executados a partir de USB Y 1802 ou posterior Y Y
Bloquear a utilização de ferramentas de sistema copiadas ou representadas Y N Y Y
Bloquear a criação de Webshell para Servidores Y N Y Y
Bloquear chamadas à API Win32 a partir de macros do Office Y 1710 ou posterior Y Y
Utilizar proteção avançada contra ransomware Y 1802 ou posterior Y Y

Sugestão

Também pode configurar as regras do ASR localmente em dispositivos individuais com o Política de Grupo ou o PowerShell. Todas as regras asr são suportadas por ambos os métodos em dispositivos locais.

1 Atualmente, esta regra do ASR pode não estar disponível no Intune configuração da política ASR devido a um problema de back-end conhecido. No entanto, a regra está disponível através dos outros métodos de configuração da política ASR disponíveis ou nas políticas ASR Intune existentes criadas antes do problema.

Alertas e notificações de ações de regras do ASR

A tabela seguinte descreve a organização e os alertas locais que as regras asr ativas podem gerar.

  • O valor de alertas EDR indica se a regra ASR no modo Bloquear ou Avisar gera alertas de Deteção e Resposta de Ponto Final (EDR) no Defender para Ponto Final.
  • O valor Notificações do utilizador indica se a regra ASR suporta pop-ups de notificação do utilizador no modo Bloquear ou Avisar (se a regra suportar o modo Avisar ).
Nome da regra Alertas EDR Utilizador
notificações
Regras de proteção padrão
Bloquear o abuso de controladores assinados vulneráveis explorados (Dispositivo) N Y
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows[¹] N N
Bloquear a persistência através da subscrição de eventos WMI Y Y
Outras regras do ASR
Impedir o Adobe Reader de criar processos subordinados[²] Y Y
Bloquear a criação de processos subordinados em todas as aplicações do Office N Y
Bloquear conteúdo executável do cliente de e-mail e do webmail[²] Y Y
Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna N Y
Bloquear a execução de scripts potencialmente ocultados Y Y
Bloquear o JavaScript ou o VBScript de iniciar o conteúdo executável transferido[²] Y Y
Impedir que as aplicações do Office criem conteúdos executáveis N Y
Bloquear a injeção de código nas aplicações do Office noutros processos[¹] N Y
Bloquear a criação de processos subordinados na aplicação de comunicação do Office N Y
Bloquear criações de processos com origem nos comandos PSExec e WMI N Y
Bloquear o reinício da máquina no Modo de Segurança N N
Bloquear processos não fidedignos e não assinados executados a partir de USB Y Y
Bloquear a utilização de ferramentas de sistema copiadas ou representadas N Y
Bloquear a criação de Webshell para Servidores N N
Bloquear chamadas à API Win32 a partir de macros do Office Y N
Utilizar proteção avançada contra ransomware Y Y

¹ Esta regra ASR não suporta o modo de Aviso .

² Esta regra ASR no modo Bloquear ou Avisar tem os seguintes requisitos adicionais no nível de proteção da cloud no Antivírus do Microsoft Defender:

  • Os alertas EDR só são gerados quando o nível de proteção da cloud no dispositivo é de tolerânciaElevada mais ou Zero.
  • Os pop-ups de notificação do utilizador são gerados apenas quando o nível de proteção da cloud no dispositivo é de tolerância Alta, Alta mais ou Zero.

Detalhes da regra do ASR

Regras de proteção padrão

Bloquear o abuso de controladores assinados vulneráveis explorados (Dispositivo)

As aplicações locais com privilégios suficientes podem explorar controladores assinados vulneráveis para obter acesso ao kernel do sistema operativo. Os controladores assinados vulneráveis permitem aos atacantes desativar ou contornar as soluções de segurança, o que acaba por levar ao comprometimento do sistema.

Esta regra do ASR impede que as aplicações guardem controladores assinados vulneráveis no computador. Não impede o carregamento de controladores existentes no computador.

  • Microsoft Intune nome:Block abuse of exploited vulnerable signed drivers (Device)
  • Microsoft Configuration Manager nome: n/a
  • GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • Tipo de ação de investigação avançada:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • Dependências: Nenhuma

Nota

Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows

Nota

Se tiver ativado a proteção da Autoridade de Segurança Local (LSA) (recomendado, juntamente com o Credential Guard):

  • Esta regra ASR não é necessária.
  • Esta regra do ASR não fornece proteção adicional (a regra ASR e a proteção LSA funcionam da mesma forma).
  • Esta regra ASR é classificada como não aplicável nas definições de gestão do Defender para Endpoint no portal do Microsoft Defender.

Esta regra do ASR ajuda a impedir o roubo de credenciais ao bloquear o Serviço de Subsistema de Autoridade de Segurança Local (LSASS). O LSASS autentica os utilizadores que iniciam sessão em computadores Windows. Normalmente, o Credential Guard no Windows impede tentativas de extrair credenciais do LSASS.

Muitos processos fazem chamadas desnecessárias para o LSASS para direitos de acesso que não são necessários. Esta atividade gera um ruído de regra ASR considerável, mas não bloqueia a funcionalidade. Por exemplo, as atualizações do Google Chrome acedem desnecessariamente ao LSASS, porque as palavras-passe são armazenadas no LSASS no dispositivo. Ativar esta regra ASR no dispositivo impede que as atualizações do Chrome acedam ao LSASS, mas não impede o Chrome de atualizar. Estes eventos de regra do ASR são bons porque o processo de atualização de software chrome não deve aceder ao LSASS.

Para obter informações sobre os tipos de direitos que normalmente são pedidos em chamadas de processo para LSASS, veja Segurança do Processo e Direitos de Acesso.

Algumas organizações não podem ativar o Credential Guard devido a problemas de compatibilidade com controladores de smartcard personalizados ou outros programas que são carregados para o LSA. Nestes casos, os atacantes podem utilizar ferramentas como o Mimikatz para extrair palavras-passe de texto não encriptado e hashes NTLM do LSASS.

Se não conseguir ativar a proteção LSA e/ou o Credential Guard, pode configurar esta regra para fornecer proteção equivalente contra software maligno que tenha como destino lsass.exe.

  • Microsoft Intune nome:Block credential stealing from the Windows local security authority subsystem
  • Microsoft Configuration Manager nome:Block credential stealing from the Windows local security authority subsystem
  • GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • Tipo de ação de investigação avançada:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • Dependências: Antivírus Microsoft Defender

Nota

  • Esta regra do ASR não suporta o modo Aviso .
  • Esta regra do ASR produz um grande volume de eventos de auditoria, quase todos seguros para ignorar quando a regra está ativada no modo de Bloqueio . Pode optar por ignorar a avaliação do modo de auditoria e avançar para a implementação do modo de bloqueio. A Microsoft recomenda começar com um pequeno conjunto de dispositivos e expandir-se gradualmente para cobrir o resto.
  • Esta regra asr suprime alertas e pop-ups de notificação do utilizador para processos amigáveis e ações de bloco duplicados.
  • Esta regra ASR bloqueia o acesso à memória do processo LSASS. Não bloqueia a execução de processos. Quando esta regra ASR bloqueia processos como svchost.exe, significa que o processo está impedido de aceder à memória do processo LSASS. Muitas vezes, pode ignorar com segurança o bloqueio destes processos por esta regra ASR.
  • Algumas aplicações enumeram todos os processos em execução e tentam abri-los com permissões exaustivas. Esta regra do ASR nega as ações de processo aberto da aplicação e regista os detalhes no Registo de segurança no Windows Visualizador de Eventos. Esta regra pode gerar vários ruídos. Se tiver uma aplicação que simplesmente enumera LSASS, mas não tem nenhum efeito real na funcionalidade, não é necessário adicioná-la à lista de exclusão. Por si só, esta entrada de registo de eventos não indica necessariamente uma ameaça maliciosa.
  • Esta regra ASR tem problemas com a Sincronização de Palavras-passe do Pedido Dirsync. Para obter mais informações, consulte A Sincronização de Palavras-passe do Dirsync não está a funcionar quando o Windows Defender está instalado, erro: "VirtualAllocEx falhou: 5" (4253914).
  • Esta regra tem suporte de exclusão limitado. Para obter detalhes, veja Exclusões de ficheiros e pastas para regras ASR.

Bloquear a persistência através da subscrição de eventos WMI

Esta regra do ASR impede que o software maligno abusa da WMI para obter persistência nos dispositivos.

As ameaças sem ficheiros utilizam várias táticas para se manterem ocultas, para evitar serem vistas no sistema de ficheiros e para obter controlo periódico. Algumas ameaças podem abusar do repositório WMI e do modelo de eventos para permanecer oculto.

  • Microsoft Intune nome:Block persistence through WMI event subscription
  • Microsoft Configuration Manager nome: n/a
  • GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • Tipo de ação de investigação avançada:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • Dependências: Microsoft Defender Antivírus, RPC

Nota

  • Esta regra não é suportada quando implementada através de Microsoft Intune para Windows Server 2012 R2 ou Windows Server 2016 com a solução unificada moderna.
  • Se utilizar Microsoft Configuration Manager, a Microsoft recomenda testes extensivos desta regra ASR no Modo de auditoria antes de avançar para o modo Bloquear. O cliente Gestor de Configuração depende fortemente da WMI.
  • Esta regra tem suporte de exclusão limitado. Para obter detalhes, veja Exclusões de ficheiros e pastas para regras ASR.

Outras regras do ASR

Impedir o Adobe Reader de criar processos subordinados

Esta regra do ASR impede ataques ao bloquear a criação de processos pelo Adobe Reader.

O software maligno pode transferir e iniciar payloads e sair do Adobe Reader através de engenharia social ou exploits. Ao bloquear a geração de processos subordinados pelo Adobe Reader, o software maligno que tenta utilizar o Adobe Reader como vetor de ataque é impedido de se espalhar.

  • Microsoft Intune nome:Block Adobe Reader from creating child processes
  • Microsoft Configuration Manager nome: n/a
  • GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • Tipo de ação de investigação avançada:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • Dependências: Antivírus Microsoft Defender

Nota

Bloquear a criação de processos subordinados em todas as aplicações do Office

Esta regra impede que as aplicações do Office criem processos subordinados. As aplicações do Office incluem Word, Excel, PowerPoint, OneNote e Access.

A criação de processos subordinados maliciosos é uma estratégia de software maligno comum. O software maligno que abusa do Office como vetor executa frequentemente macros VBA e explora código para transferir e tentar executar mais payloads. No entanto, algumas aplicações de linha de negócio legítimas também podem gerar processos subordinados para fins benignos. Por exemplo, gerar uma Linha de Comandos ou utilizar o PowerShell para configurar as definições de registo.

  • Microsoft Intune nome:Block all Office applications from creating child processes
  • Microsoft Configuration Manager nome:Block Office application from creating child processes
  • GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • Tipo de ação de investigação avançada:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • Dependências: Antivírus Microsoft Defender

Nota

Esta regra só é imposta se o %ProgramFiles% Office estiver instalado nas localizações ou %ProgramFiles(x86)% (por predefinição, C:\Program Files e C:\Program Files (x86)).

Bloquear conteúdo executável do cliente de e-mail e do webmail

Esta regra impede que o e-mail aberto com o Microsoft Outlook, Outlook.com e outros fornecedores de webmail populares proceda à propagação dos seguintes tipos de ficheiro:

  • Ficheiros executáveis (por exemplo, .exe, .dll ou .scr).

  • Ficheiros de script (por exemplo, .ps1, .vbs ou .js).

  • Arquivo ficheiros (por exemplo, .zip).

  • Microsoft Intune nome:Block executable content from email client and webmail

  • Microsoft Configuration Manager nome:Block executable content from email client and webmail

  • GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • Tipo de ação de investigação avançada:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • Dependências: Antivírus Microsoft Defender

Nota

  • Esta regra ASR no modo Bloquear ou Avisar tem requisitos adicionais no nível de proteção da cloud no Antivírus do Microsoft Defender:
    • Os alertas EDR só são gerados quando o nível de proteção da cloud no dispositivo é de tolerânciaElevada mais ou Zero.
    • Os pop-ups de notificação do utilizador são gerados apenas quando o nível de proteção da cloud no dispositivo é de tolerância Alta, Alta mais ou Zero.
  • Esta regra do ASR tem as seguintes descrições alternativas:
    • Intune (Perfis de Configuração):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Gestor de Configuração:Block executable content download from email and webmail clients
    • Política de Grupo:Block executable content from email client and webmail

Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna

Sugestão

Atualmente, esta regra do ASR pode não estar disponível no Intune configuração da política ASR devido a um problema de back-end conhecido. No entanto, a regra está disponível através de outros métodos de configuração da política ASR disponíveis ou nas políticas ASR Intune existentes criadas antes do problema.

Esta regra ASR bloqueia a iniciação de ficheiros executáveis (por exemplo, .exe, .dll ou .scr). Iniciar ficheiros executáveis não fidedignos ou desconhecidos pode ser arriscado, uma vez que não é inicialmente claro se os ficheiros são maliciosos.

  • Microsoft Intune nome:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • Microsoft Configuration Manager nome:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • Tipo de ação de investigação avançada:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • Dependências: Antivírus Microsoft Defender, Proteção da Cloud

Nota

Bloquear a execução de scripts potencialmente ocultados

Esta regra do ASR deteta propriedades suspeitas num script ocultado.

A ocultação de scripts é uma técnica comum que tanto os autores de software maligno como as aplicações legítimas utilizam para ocultar a propriedade intelectual ou diminuir os tempos de carregamento de scripts. Os autores de software maligno também utilizam a ocultação para tornar o código malicioso mais difícil de ler, o que dificulta o escrutínio por parte dos seres humanos e do software de segurança.

  • Microsoft Intune nome:Block execution of potentially obfuscated scripts
  • Microsoft Configuration Manager nome:Block execution of potentially obfuscated scripts
  • GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • Tipo de ação de investigação avançada:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • Dependências: Microsoft Defender Antivírus, Interface de Análise Antimalware (AMSI), Proteção da Cloud

Nota

Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido

Esta regra do ASR impede que os scripts iniciem conteúdos transferidos potencialmente maliciosos. O software maligno escrito em JavaScript ou VBScript atua frequentemente como um transferidor para obter e iniciar outro software maligno a partir da Internet. Embora não seja comum, por vezes, as aplicações de linha de negócio utilizam scripts para transferir e iniciar instaladores.

  • Microsoft Intune nome:Block JavaScript or VBScript from launching downloaded executable content
  • Microsoft Configuration Manager nome:Block JavaScript or VBScript from launching downloaded executable content
  • GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • Tipo de ação de investigação avançada:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • Dependências: Microsoft Defender Antivírus, Interface de Análise Antimalware (AMSI)

Nota

  • Esta regra não é suportada quando implementada através de Microsoft Intune para Windows Server 2012 R2 ou Windows Server 2016 com a solução unificada moderna.

  • Esta regra ASR no modo Bloquear ou Avisar tem requisitos adicionais no nível de proteção da cloud no Antivírus do Microsoft Defender:

    • Os alertas EDR só são gerados quando o nível de proteção da cloud no dispositivo é de tolerânciaElevada mais ou Zero.
    • Os pop-ups de notificação do utilizador são gerados apenas quando o nível de proteção da cloud no dispositivo é de tolerância Alta, Alta mais ou Zero.

Impedir que as aplicações do Office criem conteúdos executáveis

Esta regra do ASR impede que as aplicações do Office (por exemplo, Word, Excel e PowerPoint) sejam utilizadas como vetor para guardar componentes maliciosos no disco. Estes componentes maliciosos podem sobreviver a um reinício do computador e persistir no sistema. Esta regra defende-se contra esta técnica de persistência ao:

  • Bloquear o acesso (abrir/executar) ao código escrito no disco.

  • Bloquear a execução de ficheiros não fidedignos guardados por macros do Office que podem ser executados em ficheiros do Office.

  • Microsoft Intune nome:Block Office applications from creating executable content

  • Microsoft Configuration Manager nome:Block Office applications from creating executable content

  • GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • Tipo de ação de investigação avançada:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • Dependências: Microsoft Defender Antivírus, RPC

Nota

Esta regra tem suporte de exclusão limitado. Para obter detalhes, veja Exclusões de ficheiros e pastas para regras ASR.

Esta regra do ASR não é afetada pela localização de instalação do Office.

Bloquear a injeção de código nas aplicações do Office noutros processos

Esta regra do ASR bloqueia as tentativas de injeção de código das aplicações do Office noutros processos. Os atacantes podem tentar utilizar as aplicações do Office para migrar código malicioso para outros processos através da injeção de código, para que o código se possa mascarar como um processo limpo. Não existem fins comerciais legítimos conhecidos para utilizar a injeção de código.

  • Microsoft Intune nome:Block Office applications from injecting code into other processes
  • Microsoft Configuration Manager nome:Block Office applications from injecting code into other processes
  • GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • Tipo de ação de investigação avançada:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • Dependências: Antivírus Microsoft Defender

Nota

  • Esta regra do ASR não suporta o modo Aviso .
  • Esta regra do ASR aplica-se a Word, Excel, OneNote e PowerPoint.
  • Esta regra do ASR requer que reinicie Microsoft 365 Apps (aplicações do Office) para que as alterações de configuração entrem em vigor.
  • Esta regra tem suporte de exclusão limitado. Para obter detalhes, veja Exclusões de ficheiros e pastas para regras ASR.
  • Esta regra do ASR é incompatível com as seguintes aplicações:
  • Esta regra do ASR só é imposta se o %ProgramFiles% Office estiver instalado nas localizações ou %ProgramFiles(x86)% (por predefinição, C:\Program Files e C:\Program Files (x86)).

Bloquear a criação de processos subordinados na aplicação de comunicação do Office

Esta regra do ASR impede o Outlook de criar processos subordinados, ao mesmo tempo que permite funções legítimas do Outlook. Esta regra do ASR protege contra:

  • A engenharia social ataca e impede a exploração de código de abuso de vulnerabilidades no Outlook.

  • As regras e formulários do Outlook exploram as que os atacantes podem utilizar quando as credenciais de um utilizador são comprometidas.

  • Microsoft Intune nome:Block Office communication application from creating child processes

  • Microsoft Configuration Manager nome: n/a

  • GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • Tipo de ação de investigação avançada:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • Dependências: Antivírus Microsoft Defender

Nota

Esta regra tem suporte de exclusão limitado. Para obter detalhes, veja Exclusões de ficheiros e pastas para regras ASR.

Esta regra só é imposta se o %ProgramFiles% Office estiver instalado nas localizações ou %ProgramFiles(x86)% (por predefinição, C:\Program Files e C:\Program Files (x86)).

Bloquear criações de processos com origem nos comandos PSExec e WMI

Importante

Se utilizar Microsoft Configuration Manager, não utilize outros métodos de implementação disponíveis para ativar esta regra em dispositivos geridos. O cliente Gestor de Configuração depende fortemente da WMI.

Esta regra ASR bloqueia a execução de processos criados através de PsExec e WMI . O PsExec e o WMI podem executar código remotamente. O software maligno pode utilizar PsExec e WMI para comando e controlo ou para espalhar infeções de rede.

  • Microsoft Intune nome:Block process creations originating from PSExec and WMI commands
  • Microsoft Configuration Manager nome: n/a
  • GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • Tipo de ação de investigação avançada:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • Dependências: Antivírus Microsoft Defender

Nota

Esta regra tem suporte de exclusão limitado. Para obter detalhes, veja Exclusões de ficheiros e pastas para regras ASR.

Bloquear o reinício da máquina no Modo de Segurança

Esta regra do ASR impede que os comandos frequentemente abusados, como bcdedit e bootcfg , em seguida, reiniciem computadores Windows no Modo de Segurança. No Modo de Segurança, muitos produtos de segurança são desativados ou executados com funcionalidade limitada. O Modo de Segurança permite que os atacantes iniciem ainda mais comandos de adulteração ou executem e encriptem todos os ficheiros no computador.

O Modo de Segurança continua a ser acessível manualmente a partir do Ambiente de Recuperação do Windows.

  • Microsoft Intune nome:Block rebooting machine in Safe Mode
  • Microsoft Configuration Manager nome: n/a
  • GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • Tipo de ação de investigação avançada:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • Dependências: Antivírus Microsoft Defender

Nota

Atualmente, Gestão de vulnerabilidades do Microsoft Defender não reconhece esta regra. O relatório Regras de redução da superfície de ataque (ASR) mostra esta regra como Não aplicável.

Bloquear processos não fidedignos e não assinados executados a partir de USB

Esta regra asr impede que ficheiros executáveis não assinados ou não fidedignos (por exemplo, .exe, .dll ou .scr) sejam executados a partir de unidades amovíveis USB, incluindo cartões SD.

Esta regra do ASR não impede que os ficheiros sejam copiados da pen USB para o disco. Bloqueia a execução dos ficheiros copiados a partir do disco.

  • Microsoft Intune nome:Block untrusted and unsigned processes that run from USB
  • Microsoft Configuration Manager nome:Block untrusted and unsigned processes that run from USB
  • GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • Tipo de ação de investigação avançada:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • Dependências: Antivírus Microsoft Defender

Bloquear a utilização de ferramentas de sistema copiadas ou representadas

Esta regra ASR bloqueia a propagação e a utilização de ficheiros executáveis identificados como cópias (duplicados ou impostores) de ferramentas do sistema Windows. Alguns programas maliciosos podem tentar copiar ou representar ferramentas do sistema Windows para evitar a deteção ou obter privilégios. Permitir tais ficheiros executáveis pode levar a potenciais ataques.

  • Microsoft Intune nome:Block use of copied or impersonated system tools
  • Microsoft Configuration Manager nome: n/a
  • GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • Tipo de ação de investigação avançada:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • Dependências: Antivírus Microsoft Defender

Nota

Atualmente, Gestão de vulnerabilidades do Microsoft Defender não reconhece esta regra. O relatório Regras de redução da superfície de ataque (ASR) mostra esta regra como Não aplicável.

Bloquear a criação de Webshell para Servidores

Esta regra ASR bloqueia a criação de scripts de shell Web em servidores Windows com o Microsoft Exchange. Um script de shell Web é um script criado que permite a um atacante controlar o servidor comprometido. Um script de shell Web pode incluir a seguinte funcionalidade:

  • Receber e executar comandos maliciosos.

  • Transfira e execute ficheiros maliciosos.

  • Roubar e exfiltrar credenciais e informações confidenciais.

  • Identificar potenciais destinos.

  • Microsoft Intune nome:Block Webshell creation for Servers

  • Microsoft Configuration Manager nome: n/a

  • GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • Tipo de ação de investigação avançada: n/a

  • Dependências: Antivírus Microsoft Defender

Nota

  • Esta regra não é suportada quando implementada através de Microsoft Intune para Windows Server 2012 R2 ou Windows Server 2016 com a solução unificada moderna.
  • Se gerir as regras do ASR no Microsoft Defender para Endpoint, não configure este ASR no Política de Grupo ou noutras definições locais (deixe o valor como Not Configured). Qualquer outro valor (por exemplo, Enabled ou Disabled) pode causar conflitos e impedir que a regra seja aplicada corretamente.
  • Atualmente, Gestão de vulnerabilidades do Microsoft Defender não reconhece esta regra. O relatório Regras de redução da superfície de ataque (ASR) mostra esta regra como Não aplicável.

Bloquear chamadas à API Win32 a partir de macros do Office

O Office Visual Basic for Applications (VBA) ativa as chamadas à API Win32. Esta regra do ASR impede que as macros VBA chamem APIs Win32. O software maligno pode abusar desta capacidade, como chamar APIs Win32 para iniciar código shellcode malicioso sem escrever nada diretamente no disco.

A maioria das organizações não necessita de chamadas à API Win32 a partir de macros VBA, mesmo que utilizem macros de outras formas.

  • Microsoft Intune nome:Block Win32 API calls from Office macros
  • Microsoft Configuration Manager nome:Block Win32 API calls from Office macros
  • GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • Tipo de ação de investigação avançada:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • Dependências: Microsoft Defender Antivírus, Interface de Análise Antimalware (AMSI)

Utilizar proteção avançada contra ransomware

Nota

Esta regra ASR fornece uma camada adicional de proteção contra ransomware. Utiliza heurística de cliente e cloud para determinar se um ficheiro se assemelha a ransomware. Esta regra não bloqueia ficheiros que tenham uma ou mais das seguintes características:

  • O ficheiro é considerado incómodo na cloud da Microsoft.
  • O ficheiro é um ficheiro assinado válido.
  • O ficheiro é predominante o suficiente para não ser considerado como ransomware.

Esta regra não bloqueia apenas ficheiros com má reputação. Em vez disso, a regra erra por precaução e também bloqueia ficheiros que ainda não têm uma reputação positiva. Normalmente, os blocos em ficheiros benignos e desconhecidos desta regra eventualmente resolvem-se por si próprios. A reputação e os valores de confiança do ficheiro aumentam incrementalmente à medida que a utilização não problemática aumenta.

Se os blocos em ficheiros benignos e desconhecidos não forem resolvidos em tempo útil, pode configurar uma exclusão de regras por ASR para esta regra ou utilizar a ação Permitir para um indicador de compromisso (IoC).

  • Microsoft Intune nome:Use advanced protection against ransomware
  • Microsoft Configuration Manager nome:Use advanced protection against ransomware
  • GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • Tipo de ação de investigação avançada:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • Dependências: Antivírus Microsoft Defender, Proteção da Cloud

Conteúdos relacionados

  • Last updated on