Referência das regras de redução da superfície de ataque
Aplica-se a:
- Microsoft Microsoft Defender XDR para Endpoint (Plano 1)
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
- Antivírus do Microsoft Defender
Plataformas:
- Windows
Este artigo fornece informações sobre Microsoft Defender para Endpoint regras de redução da superfície de ataque (regras ASR):
- As regras asr suportadas versões do sistema operativo
- As regras do ASR suportavam sistemas de gestão de configuração
- De acordo com os detalhes de alerta e notificação da regra ASR
- Regra ASR para matriz GUID
- Modos de regras ASR
- Descrições por regra
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.
Sugestão
Como complemento a este artigo, consulte o nosso guia de configuração Microsoft Defender para Endpoint para rever as melhores práticas e saber mais sobre ferramentas essenciais, como a redução da superfície de ataque e a proteção da próxima geração. Para uma experiência personalizada com base no seu ambiente, pode aceder ao guia de configuração automatizada do Defender para Endpoint no centro de administração do Microsoft 365.
Regras de redução da superfície de ataque por tipo
As regras de redução da superfície de ataque são categorizadas como um de dois tipos:
Regras de proteção padrão: são o conjunto mínimo de regras que a Microsoft recomenda que ative sempre, enquanto avalia o efeito e as necessidades de configuração das outras regras do ASR. Normalmente, estas regras têm um impacto mínimo ou inexistente no utilizador final.
Outras regras: regras que requerem alguma medida para seguir os passos de implementação documentados [Teste do Plano > (auditoria) > Ativar (modos de bloqueio/aviso)], conforme documentado no Guia de implementação de regras de redução da superfície de ataque
Para obter o método mais fácil para ativar as regras de proteção padrão, veja: Opção de proteção padrão simplificada.
| Nome da regra ASR: | Regra de proteção padrão? | Outra regra? |
|---|---|---|
| Bloquear abuso de condutores vulneráveis explorados | Sim | |
| Impedir o Adobe Reader de criar processos subordinados | Sim | |
| Bloquear a criação de processos subordinados em todas as aplicações do Office | Sim | |
| Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) | Sim | |
| Bloquear conteúdo executável do cliente de e-mail e do webmail | Sim | |
| Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna | Sim | |
| Bloquear a execução de scripts potencialmente ocultados | Sim | |
| Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido | Sim | |
| Impedir que as aplicações do Office criem conteúdos executáveis | Sim | |
| Bloquear a injeção de código nas aplicações do Office noutros processos | Sim | |
| Bloquear a criação de processos subordinados na aplicação de comunicação do Office | Sim | |
| Bloquear a persistência através da subscrição de eventos WMI | Sim | |
| Bloquear criações de processos com origem nos comandos PSExec e WMI | Sim | |
| Bloquear o reinício da máquina no Modo de Segurança (pré-visualização) | Sim | |
| Bloquear processos não fidedignos e não assinados executados a partir de USB | Sim | |
| Bloquear a utilização de ferramentas de sistema copiadas ou representadas (pré-visualização) | Sim | |
| Bloquear a criação de Webshell para Servidores | Sim | |
| Bloquear chamadas à API Win32 a partir de macros do Office | Sim | |
| Utilizar proteção avançada contra ransomware | Sim |
exclusões do Antivírus do Microsoft Defender e regras do ASR
Microsoft Defender as exclusões do Antivírus aplicam-se a algumas capacidades de Microsoft Defender para Endpoint, como algumas das regras de redução da superfície de ataque.
As seguintes regras DO ASR NÃO honram Microsoft Defender exclusões do Antivírus:
Nota
Para obter informações sobre a configuração de exclusões por regra, veja a secção intitulada Configurar as regras ASR por exclusões por regra no tópico Testar regras de redução da superfície de ataque.
Regras do ASR e Indicadores de Compromisso do Defender para Ponto Final (COI)
As seguintes regras do ASR NÃO honram Microsoft Defender para Endpoint Indicadores de Compromisso (COI):
| Nome da regra ASR | Descrição |
|---|---|
| Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) | Não honra indicadores de comprometimento para ficheiros ou certificados. |
| Bloquear a injeção de código nas aplicações do Office noutros processos | Não honra indicadores de comprometimento para ficheiros ou certificados. |
| Bloquear chamadas à API Win32 a partir de macros do Office | Não honra indicadores de comprometimento para certificados. |
Sistemas operativos suportados por regras ASR
A tabela seguinte lista os sistemas operativos suportados para as regras atualmente lançadas para disponibilidade geral. As regras são listadas por ordem alfabética nesta tabela.
Nota
Salvo indicação em contrário, a compilação mínima Windows 10 é a versão 1709 (RS3, compilação 16299) ou posterior; a compilação mínima do Windows Server é a versão 1809 ou posterior.
As regras de redução da superfície de ataque no Windows Server 2012 R2 e Windows Server 2016 estão disponíveis para dispositivos integrados com o pacote de solução unificado moderno. Para obter mais informações, veja New Windows Server 2012 R2 and 2016 functionality in the modern unified solution (Nova funcionalidade Windows Server 2012 R2 e 2016 na solução unificada moderna).
(1) Refere-se à solução unificada moderna para Windows Server 2012 e 2016. Para obter mais informações, veja Integrar Servidores Windows no serviço Defender para Endpoint.
(2) Para Windows Server 2016 e Windows Server 2012 R2, a versão mínima necessária do Microsoft Endpoint Configuration Manager é a versão 2111.
(3) A versão e o número de compilação aplicam-se apenas a Windows 10.
As regras do ASR suportavam sistemas de gestão de configuração
As ligações para informações sobre as versões do sistema de gestão de configuração referenciadas nesta tabela estão listadas abaixo desta tabela.
(1) Pode configurar regras de redução da superfície de ataque por regra utilizando o GUID de qualquer regra.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM está agora Microsoft Configuration Manager.
De acordo com os detalhes de alerta e notificação da regra ASR
As notificações de alerta são geradas para todas as regras no Modo de bloqueio. As regras em qualquer outro modo não geram notificações de alerta.
Para regras com o "Estado da Regra" especificado:
- As regras ASR com <a Regra ASR, as combinações de Estado> da Regra são utilizadas para apresentar alertas (notificações de alerta) no Microsoft Defender para Endpoint apenas para dispositivos ao nível do bloco de cloud Elevado. Os dispositivos que não estejam ao nível do bloco de cloud elevada não geram alertas para nenhuma <Regra do ASR, combinações de Estado> da Regra
- Os alertas EDR são gerados para regras ASR nos estados especificados, para dispositivos ao nível do bloco de cloud High+
Regra ASR para matriz GUID
| Nome da Regra | GUID da Regra |
|---|---|
| Bloquear abuso de condutores vulneráveis explorados | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Impedir o Adobe Reader de criar processos subordinados | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Bloquear a criação de processos subordinados em todas as aplicações do Office | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Bloquear conteúdo executável do cliente de e-mail e do webmail | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Bloquear a execução de scripts potencialmente ocultados | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido | d3e037e1-3eb8-44c8-a917-57927947596d |
| Impedir que as aplicações do Office criem conteúdos executáveis | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Bloquear a injeção de código nas aplicações do Office noutros processos | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Bloquear a criação de processos subordinados na aplicação de comunicação do Office | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Bloquear a persistência através da subscrição de eventos WMI * Exclusões de ficheiros e pastas não suportadas. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Bloquear criações de processos com origem nos comandos PSExec e WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Bloquear o reinício da máquina no Modo de Segurança (pré-visualização) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Bloquear processos não fidedignos e não assinados executados a partir de USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Bloquear a utilização de ferramentas de sistema copiadas ou representadas (pré-visualização) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Bloquear a criação de Webshell para Servidores | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Bloquear chamadas à API Win32 a partir de macros do Office | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Utilizar proteção avançada contra ransomware | c1db55ab-c21a-4637-bb3f-a12568109d35 |
Modos de regras ASR
- Não configurado ou Desativar: o estado em que a regra do ASR não está ativada ou está desativada. O código para este estado = 0.
- Bloco: o estado em que a regra do ASR está ativada. O código para este estado é 1.
- Auditoria: o estado em que a regra do ASR é avaliada para o efeito que teria na organização ou no ambiente se estivesse ativada (definida como bloquear ou avisar). O código para este estado é 2.
- Avisar O estado em que a regra do ASR está ativada e apresenta uma notificação ao utilizador final, mas permite que o utilizador final ignore o bloco. O código para este estado é 6.
O modo de aviso é um tipo de modo de bloqueio que alerta os utilizadores sobre ações potencialmente arriscadas. Os utilizadores podem optar por ignorar a mensagem de aviso de bloqueio e permitir a ação subjacente. Os utilizadores podem selecionar OK para impor o bloco ou selecionar a opção de ignorar – Desbloquear – através da notificação de alerta de pop-up do utilizador final que é gerada no momento do bloco. Depois de o aviso ser desbloqueado, a operação é permitida até à próxima vez que a mensagem de aviso ocorrer, altura em que o utilizador final terá de voltar a formatar a ação.
Quando o botão permitir é clicado, o bloco é suprimido durante 24 horas. Após 24 horas, o utilizador final terá de permitir o bloco novamente. O modo de aviso para as regras do ASR só é suportado para dispositivos RS5+ (1809+). Se ignorar for atribuído às regras ASR em dispositivos com versões mais antigas, a regra estará no modo bloqueado.
Também pode definir uma regra no modo de aviso através do PowerShell ao especificar o AttackSurfaceReductionRules_Actions como "Avisar". Por exemplo:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Descrições por regra
Bloquear abuso de condutores vulneráveis explorados
Esta regra impede que uma aplicação escreva um controlador assinado vulnerável no disco. Os controladores assinados in-the-wild e vulneráveis podem ser explorados por aplicações locais - que têm privilégios suficientes - para obter acesso ao kernel. Os controladores assinados vulneráveis permitem aos atacantes desativar ou contornar as soluções de segurança, o que acaba por levar ao comprometimento do sistema.
A regra Bloquear abuso de controladores assinados vulneráveis explorados não impede que um controlador já existente no sistema seja carregado.
Nota
Pode configurar esta regra com Intune OMA-URI. Veja Intune OMA-URI para configurar regras personalizadas.
Também pode configurar esta regra com o PowerShell.
Para que um controlador seja examinado, utilize este Web site para Submeter um controlador para análise.
Nome do Intune:Block abuse of exploited vulnerable signed drivers
Configuration Manager nome: Ainda não está disponível
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Tipo de ação de investigação avançada:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Impedir o Adobe Reader de criar processos subordinados
Esta regra impede ataques ao bloquear a criação de processos pelo Adobe Reader.
O software maligno pode transferir e iniciar payloads e sair do Adobe Reader através de engenharia social ou exploits. Ao bloquear a geração de processos subordinados pelo Adobe Reader, o software maligno que tenta utilizar o Adobe Reader como vetor de ataque é impedido de se espalhar.
Intune nome:Process creation from Adobe Reader (beta)
Configuration Manager nome: Ainda não está disponível
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Tipo de ação de investigação avançada:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Dependências: Antivírus Microsoft Defender
Bloquear a criação de processos subordinados em todas as aplicações do Office
Esta regra impede que as aplicações do Office criem processos subordinados. As aplicações do Office incluem Word, Excel, PowerPoint, OneNote e Access.
A criação de processos subordinados maliciosos é uma estratégia de software maligno comum. O software maligno que abusa do Office como vetor executa frequentemente macros VBA e explora código para transferir e tentar executar mais payloads. No entanto, algumas aplicações de linha de negócio legítimas também podem gerar processos subordinados para fins benignos; como gerar uma linha de comandos ou utilizar o PowerShell para configurar as definições do registo.
Intune nome:Office apps launching child processes
Configuration Manager nome:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Tipo de ação de investigação avançada:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Dependências: Antivírus Microsoft Defender
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows
Nota
Se tiver a proteção LSA ativada e o Credential Guard ativado, esta regra de redução da superfície de ataque não é necessária.
Esta regra ajuda a impedir o roubo de credenciais ao bloquear o Serviço de Subsistema de Autoridade de Segurança Local (LSASS).
O LSASS autentica os utilizadores que iniciam sessão num computador Windows. Microsoft Defender Credential Guard no Windows normalmente impede tentativas de extrair credenciais do LSASS. Algumas organizações não podem ativar o Credential Guard em todos os respetivos computadores devido a problemas de compatibilidade com controladores de smartcard personalizados ou outros programas que são carregados para a Autoridade de Segurança Local (LSA). Nestes casos, os atacantes podem utilizar ferramentas como o Mimikatz para extrair palavras-passe de texto não encriptado e hashes NTLM do LSASS.
Por predefinição, o estado desta regra está definido para bloquear. Na maioria dos casos, muitos processos fazem chamadas para lSASS para direitos de acesso que não são necessários. Por exemplo, por exemplo, quando o bloco inicial da regra ASR resulta numa chamada subsequente para um privilégio menor que, posteriormente, é bem-sucedido. Para obter informações sobre os tipos de direitos que normalmente são pedidos em chamadas de processo para LSASS, consulte: Segurança do Processo e Direitos de Acesso.
Ativar esta regra não fornece proteção adicional se tiver a proteção LSA ativada, uma vez que a regra ASR e a proteção LSA funcionam da mesma forma. No entanto, quando não é possível ativar a proteção LSA, esta regra pode ser configurada para fornecer proteção equivalente contra software maligno que tenha como destino lsass.exe.
Nota
Neste cenário, a regra ASR é classificada como "não aplicável" nas definições do Defender para Endpoint no portal do Microsoft Defender.
A regra ASR bloquear o roubo de credenciais da autoridade de segurança local do Windows não suporta o modo WARN.
Em algumas aplicações, o código enumera todos os processos em execução e tenta abri-los com permissões exaustivas. Esta regra nega a ação de abertura do processo da aplicação e regista os detalhes no registo de eventos de segurança. Esta regra pode gerar muito ruído. Se tiver uma aplicação que simplesmente enumera LSASS, mas não tem nenhum impacto real na funcionalidade, não é necessário adicioná-la à lista de exclusão. Por si só, esta entrada de registo de eventos não indica necessariamente uma ameaça maliciosa.
Intune nome:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager nome:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Tipo de ação de investigação avançada:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Dependências: Antivírus Microsoft Defender
Bloquear conteúdo executável do cliente de e-mail e do webmail
Esta regra impede que o e-mail aberto na aplicação Microsoft Outlook ou Outlook.com e outros fornecedores de webmail populares propaguem os seguintes tipos de ficheiro:
- Ficheiros executáveis (como .exe, .dll ou .scr)
- Ficheiros de script (como um ficheiro de .ps1 do PowerShell, .vbs do Visual Basic ou javaScript .js)
Intune nome:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager nome:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Tipo de ação de investigação avançada:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Dependências: Antivírus Microsoft Defender
Nota
A regra Bloquear conteúdo executável do cliente de e-mail e do webmail tem as seguintes descrições alternativas, consoante a aplicação que utilizar:
- Intune (Perfis de Configuração): a execução de conteúdo executável (exe, dll, ps, js, vbs, etc.) foi removida do e-mail (cliente de webmail/correio) (sem exceções).
- Configuration Manager: bloquear a transferência de conteúdo executável a partir de clientes de e-mail e webmail.
- Política de Grupo: bloquear conteúdo executável do cliente de e-mail e do webmail.
Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna
Esta regra bloqueia a iniciação de ficheiros executáveis, como .exe, .dll ou .scr. Assim, iniciar ficheiros executáveis não fidedignos ou desconhecidos pode ser arriscado, uma vez que poderá não ser inicialmente claro se os ficheiros são maliciosos.
Importante
Tem de ativar a proteção fornecida pela cloud para utilizar esta regra.
A regra Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna com GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 é propriedade da Microsoft e não é especificada pelos administradores. Esta regra utiliza proteção fornecida pela cloud para atualizar regularmente a lista fidedigna.
Pode especificar ficheiros ou pastas individuais (utilizando caminhos de pasta ou nomes de recursos completamente qualificados), mas não pode especificar a que regras ou exclusões se aplicam.
Intune nome:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager nome:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Tipo de ação de investigação avançada:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Dependências: Antivírus Microsoft Defender, Proteção da Cloud
Bloquear a execução de scripts potencialmente ocultados
Esta regra deteta propriedades suspeitas num script ocultado.
Importante
Os scripts do PowerShell são agora suportados para a regra "Bloquear a execução de scripts potencialmente ocultados".
A ocultação de scripts é uma técnica comum que tanto os autores de software maligno como as aplicações legítimas utilizam para ocultar a propriedade intelectual ou diminuir os tempos de carregamento de scripts. Os autores de software maligno também utilizam a ocultação para tornar o código malicioso mais difícil de ler, o que dificulta o escrutínio por parte dos seres humanos e do software de segurança.
Intune nome:Obfuscated js/vbs/ps/macro code
Configuration Manager nome:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Tipo de ação de investigação avançada:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Dependências: Microsoft Defender Antivírus, Interface de Análise AntiMalware (AMSI)
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido
Esta regra impede que os scripts iniciem conteúdos transferidos potencialmente maliciosos. O software maligno escrito em JavaScript ou VBScript atua frequentemente como um transferidor para obter e iniciar outro software maligno a partir da Internet.
Embora não seja comum, por vezes, as aplicações de linha de negócio utilizam scripts para transferir e iniciar instaladores.
Intune nome:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager nome:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Tipo de ação de investigação avançada:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Dependências: Microsoft Defender Antivírus, AMSI
Impedir que as aplicações do Office criem conteúdos executáveis
Esta regra impede que as aplicações do Office, incluindo Word, Excel e PowerPoint, criem conteúdos executáveis potencialmente maliciosos, bloqueando a escrita de código malicioso no disco.
O software maligno que abusa do Office como vetor pode tentar sair do Office e guardar componentes maliciosos no disco. Estes componentes maliciosos sobreviveriam a um reinício do computador e persistiriam no sistema. Por conseguinte, esta regra defende-se contra uma técnica de persistência comum. Esta regra também bloqueia a execução de ficheiros não fidedignos que podem ter sido guardados por macros do Office que podem ser executados em ficheiros do Office.
Intune nome:Office apps/macros creating executable content
Configuration Manager nome:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Tipo de ação de investigação avançada:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Dependências: Antivírus Microsoft Defender, RPC
Bloquear a injeção de código nas aplicações do Office noutros processos
Esta regra bloqueia as tentativas de injeção de código das aplicações do Office noutros processos.
Nota
A regra ASR bloquear aplicações de injeção de código noutros processos não suporta o modo AVISO.
Importante
Esta regra requer que reinicie Microsoft 365 Apps (aplicações do Office) para que as alterações de configuração entrem em vigor.
Os atacantes podem tentar utilizar as aplicações do Office para migrar código malicioso para outros processos através da injeção de código, para que o código se possa mascarar como um processo limpo.
Não existem fins comerciais legítimos conhecidos para utilizar a injeção de código.
Esta regra aplica-se a Word, Excel, OneNote e PowerPoint.
Intune nome:Office apps injecting code into other processes (no exceptions)
Configuration Manager nome:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Tipo de ação de investigação avançada:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Dependências: Antivírus Microsoft Defender
Bloquear a criação de processos subordinados na aplicação de comunicação do Office
Esta regra impede o Outlook de criar processos subordinados, ao mesmo tempo que permite funções legítimas do Outlook.
Esta regra protege contra ataques de engenharia social e impede a exploração de código contra vulnerabilidades abusivas no Outlook. Também protege contra as regras e explorações de formulários do Outlook que os atacantes podem utilizar quando as credenciais de um utilizador são comprometidas.
Nota
Esta regra bloqueia sugestões de política DLP e Descrições no Outlook. Esta regra aplica-se apenas ao Outlook e Outlook.com.
Intune nome:Process creation from Office communication products (beta)
Configuration Manager nome: Não disponível
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Tipo de ação de investigação avançada:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Dependências: Antivírus Microsoft Defender
Bloquear a persistência através da subscrição de eventos WMI
Esta regra impede que o software maligno abusa da WMI para obter persistência num dispositivo.
Importante
As exclusões de ficheiros e pastas não se aplicam a esta regra de redução da superfície de ataque.
As ameaças sem ficheiros utilizam várias táticas para se manterem ocultas, para evitar serem vistas no sistema de ficheiros e para obter controlo de execução periódica. Algumas ameaças podem abusar do repositório WMI e do modelo de eventos para permanecer oculto.
Nota
Se CcmExec.exe (SCCM Agente) for detetado no dispositivo, a regra ASR é classificada como "não aplicável" nas definições do Defender para Endpoint no portal do Microsoft Defender.
Intune nome:Persistence through WMI event subscription
Configuration Manager nome: Não disponível
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Tipo de ação de investigação avançada:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Dependências: Antivírus Microsoft Defender, RPC
Bloquear criações de processos com origem nos comandos PSExec e WMI
Esta regra bloqueia a execução de processos criados através de PsExec e WMI . Tanto o PsExec como o WMI podem executar código remotamente. Existe o risco de o software maligno abusar da funcionalidade de PsExec e WMI para fins de comando e controlo ou de espalhar uma infeção pela rede de uma organização.
Aviso
Utilize esta regra apenas se estiver a gerir os seus dispositivos com Intune ou outra solução de MDM. Esta regra é incompatível com a gestão através do Microsoft Endpoint Configuration Manager porque esta regra bloqueia comandos WMI que o cliente Configuration Manager utiliza para funcionar corretamente.
Intune nome:Process creation from PSExec and WMI commands
Configuration Manager nome: Não aplicável
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Tipo de ação de investigação avançada:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Dependências: Antivírus Microsoft Defender
Bloquear o reinício da máquina no Modo de Segurança (pré-visualização)
Esta regra impede a execução de comandos para reiniciar máquinas no Modo de Segurança.
O Modo de Segurança é um modo de diagnóstico que só carrega os ficheiros e controladores essenciais necessários para que o Windows seja executado. No entanto, no Modo de Segurança, muitos produtos de segurança estão desativados ou operam numa capacidade limitada, o que permite aos atacantes iniciarem ainda mais comandos de adulteração ou simplesmente executar e encriptar todos os ficheiros no computador. Esta regra bloqueia esses ataques ao impedir que os processos reiniciem as máquinas no Modo de Segurança.
Nota
Esta capacidade está atualmente em pré-visualização. Estão em desenvolvimento atualizações adicionais para melhorar a eficácia.
Nome do Intune:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager nome: Ainda não está disponível
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Tipo de ação de investigação avançada:
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Dependências: Antivírus Microsoft Defender
Bloquear processos não fidedignos e não assinados executados a partir de USB
Com esta regra, os administradores podem impedir que ficheiros executáveis não assinados ou não fidedignos sejam executados a partir de unidades amovíveis USB, incluindo cartões SD. Os tipos de ficheiro bloqueados incluem ficheiros executáveis (como .exe, .dll ou .scr)
Importante
Os ficheiros copiados da pen USB para a unidade de disco serão bloqueados por esta regra se e quando estiver prestes a ser executado na unidade de disco.
Intune nome:Untrusted and unsigned processes that run from USB
Configuration Manager nome:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Tipo de ação de investigação avançada:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Dependências: Antivírus Microsoft Defender
Bloquear a utilização de ferramentas de sistema copiadas ou representadas (pré-visualização)
Esta regra bloqueia a utilização de ficheiros executáveis identificados como cópias de ferramentas do sistema Windows. Estes ficheiros são duplicados ou impostores das ferramentas de sistema originais.
Alguns programas maliciosos podem tentar copiar ou representar ferramentas do sistema Windows para evitar a deteção ou obter privilégios. Permitir tais ficheiros executáveis pode levar a potenciais ataques. Esta regra impede a propagação e execução desses duplicados e impostores das ferramentas de sistema em computadores Windows.
Nota
Esta capacidade está atualmente em pré-visualização. Estão em desenvolvimento atualizações adicionais para melhorar a eficácia.
Nome do Intune:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager nome: Ainda não está disponível
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Tipo de ação de investigação avançada:
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Dependências: Antivírus Microsoft Defender
Bloquear a criação de Webshell para Servidores
Esta regra bloqueia a criação de scripts da shell Web no Microsoft Server, Função do Exchange.
Um script de shell Web é um script criado especificamente que permite a um atacante controlar o servidor comprometido. Uma shell Web pode incluir funcionalidades como receber e executar comandos maliciosos, transferir e executar ficheiros maliciosos, roubar e exfiltrar credenciais e informações confidenciais, identificar potenciais destinos, etc.
Intune nome:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Dependências: Antivírus Microsoft Defender
Bloquear chamadas à API Win32 a partir de macros do Office
Esta regra impede que macros VBA chamem APIs Win32.
O VBA do Office ativa as chamadas à API Win32. O software maligno pode abusar desta capacidade, como chamar APIs Win32 para iniciar código shellcode malicioso sem escrever nada diretamente no disco. A maioria das organizações não depende da capacidade de chamar APIs Win32 no seu funcionamento diário, mesmo que utilizem macros de outras formas.
Intune nome:Win32 imports from Office macro code
Configuration Manager nome:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Tipo de ação de investigação avançada:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Dependências: Microsoft Defender Antivírus, AMSI
Utilizar proteção avançada contra ransomware
Esta regra fornece uma camada adicional de proteção contra ransomware. Utiliza heurística de cliente e cloud para determinar se um ficheiro se assemelha a ransomware. Esta regra não bloqueia ficheiros que tenham uma ou mais das seguintes características:
- O ficheiro já foi considerado incómodo na cloud da Microsoft.
- O ficheiro é um ficheiro assinado válido.
- O ficheiro é predominante o suficiente para não ser considerado como ransomware.
A regra tende a errar por precaução para evitar ransomware.
Nota
Tem de ativar a proteção fornecida pela cloud para utilizar esta regra.
Intune nome:Advanced ransomware protection
Configuration Manager nome:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Tipo de ação de investigação avançada:
AsrRansomwareAuditedAsrRansomwareBlocked
Dependências: Antivírus Microsoft Defender, Proteção da Cloud
Consulte também
- Descrição geral da implementação das regras de redução da superfície de ataque
- Planear a implementação de regras de redução da superfície de ataque
- Testar regras de redução da superfície de ataque
- Ativar regras de redução da superfície de ataque
- Operacionalizar regras de redução da superfície de ataque
- Relatório de regras de redução da superfície de ataque
- Referência das regras de redução da superfície de ataque
- Exclusões do Antivírus de Microsoft Defender para Endpoint e Microsoft Defender
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.