Política de redução de superfície de ataque para segurança de ponto final em Intune

  • Artigo

Quando o antivírus do Defender estiver a ser utilizado nos seus dispositivos Windows 10, pode utilizar as políticas de segurança do ponto final Intune para a redução da superfície de ataque para gerir essas definições para os seus dispositivos.

As políticas de redução de superfície de ataque ajudam a reduzir as suas superfícies de ataque, minimizando os locais onde a sua organização é vulnerável a ameaças e ataques cibernéticos. Para obter mais informações, consulte a visão geral da redução da superfície de ataque na documentação de proteção Windows de ameaças.

Encontre as políticas de segurança do ponto final para a redução da superfície de ataque no âmbito do nó de segurança Endpoint do centro de administração Microsoft Endpoint Manager. Cada perfil de redução de superfície de ataque gere as definições para uma área específica de um dispositivo Windows 10.

Ver definições para perfis de redução de superfície de ataque.

Pré-requisitos para perfis de redução de superfície de ataque

  • Windows 10 ou mais tarde
  • O antivírus do defensor deve ser o antivírus primário no dispositivo

Ataque de perfis de redução de superfície

Windows 10 perfis:

  • App e isolamento do navegador – Gerir as configurações para Windows Defender Application Guard (Application Guard), como parte do Defender para Endpoint. A Application Guard ajuda a prevenir ataques antigos e recém-emergentes e pode isolar sites definidos pela empresa como não confiáveis, ao mesmo tempo que define quais os sites, recursos em nuvem e redes internas confiáveis.

    Para saber mais, consulte a App Guard na documentação do Microsoft Defender para Endpoint.

  • Proteção web (Microsoft Edge Legado) – Definições que possa gerir para proteção Web no Microsoft Defender para a proteção de rede de configuração de ponto final para proteger as suas máquinas contra ameaças web. Ao integrar-se com Microsoft Edge e populares navegadores de terceiros como o Chrome e Firefox, a proteção web para as ameaças da web sem um proxy web e pode proteger as máquinas enquanto estão fora ou no local. A proteção web impede o acesso a:

    • Sites de phishing
    • Vetores de malware
    • Explorar sites
    • Sites de baixa reputação ou de baixa reputação
    • Sites que bloqueou na sua lista de indicadores personalizados.

    Para saber mais, consulte a proteção web na documentação do Microsoft Defender para Endpoint.

  • Controlo de aplicações - As definições de controlo de aplicações podem ajudar a mitigar as ameaças de segurança, restringindo as aplicações que os utilizadores podem executar e o código que funciona no Núcleo do Sistema (kernel). Gerir definições que podem bloquear scripts e MSIs não assinados e restringir Windows PowerShell a funcionar em Modo linguagem restrita.

    Para saber mais, consulte o Controlo de Aplicações no Microsoft Defender para documentação endpoint.

    Nota

    Se utilizar esta definição, o comportamento do CSP AppLocker atualmente leva o utilizador final a reiniciar a sua máquina quando uma política é implementada.

  • Regras de redução de superfície de ataque – Configurar configurações para regras de redução de superfície de ataque que visam comportamentos que malware e aplicações maliciosas normalmente usam para infetar computadores, incluindo:

    • Ficheiros e scripts executáveis utilizados em Office aplicações ou correio eletrónico que tentam descarregar ou executar ficheiros
    • Scripts obscenos ou de outra forma suspeitos
    • Comportamentos que as aplicações normalmente não começam durante o trabalho normal do dia-a-dia Reduzir a sua superfície de ataque significa oferecer aos atacantes menos formas de realizar ataques.

    Para saber mais, consulte as regras de redução de superfície de ataque na documentação do Microsoft Defender para Endpoint.

    Fusão de comportamento para regras de redução de superfície de ataque em Intune:

    As regras de redução de superfície de ataque suportam uma fusão de configurações de diferentes políticas, para criar um superconjunto de política para cada dispositivo. Apenas as configurações que não estão em conflito são fundidas, enquanto as que estão em conflito não são adicionadas ao superconjunto de regras. Anteriormente, se duas políticas incluíssem conflitos para um único cenário, ambas as políticas eram sinalizadas como estando em conflito, e não seriam implementadas definições de qualquer um dos perfis.

    O comportamento de fusão da regra de redução de superfície de ataque é o seguinte:

    • As regras de redução da superfície de ataque a partir dos seguintes perfis são avaliadas para cada dispositivo que as regras se aplicam:
      • Dispositivos > Política de configuração > perfil de proteção de ponto final > Microsoft Defender Exploit Guard > redução de superfície de ataque
      • Segurança endpoint > Política de redução de superfície de ataque > regras de redução de superfície de ataque
      • Linhas de base de segurança > de segurança de ponto final > Microsoft Defender para regras de redução de superfície de > de ataque de endpoint.
    • Definições que não tenham conflitos são adicionados a um superconjunto de política para o dispositivo.
    • Quando duas ou mais políticas têm configurações conflituosas, as definições conflituosas não são adicionadas à política combinada, enquanto as configurações que não entram em conflito são adicionadas à política de superconjunto que se aplica a um dispositivo.
    • Apenas as configurações para configurações conflituosas são retidas.

  • Controlo do dispositivo – Com as definições para o controlo do dispositivo, é possível configurar dispositivos para uma abordagem em camadas para proteger os meios amovíveis. O Microsoft Defender for Endpoint fornece múltiplas funcionalidades de monitorização e controlo para ajudar a evitar que ameaças em periféricos não autorizados comprometam os seus dispositivos.

    Os perfis de controlo do dispositivo suportam a fusão da política para iDs de dispositivo USB.

    Para saber mais, consulte Como controlar dispositivos USB e outros meios amovíveis utilizando o Microsoft Defender for Endpoint na documentação do Microsoft Defender para Endpoint.

  • Explore a proteção - Explorar as definições de proteção pode ajudar a proteger contra malwares que usam explorações para infetar dispositivos e espalhar. A proteção de exploração consiste numa série de mitigações que podem ser aplicadas quer ao sistema operativo, quer a aplicações individuais.

    Para saber mais, consulte Ativar a proteção de exploração na documentação do Microsoft Defender para Endpoint.

Fusão de políticas para configurações

A fusão de políticas ajuda a evitar conflitos quando vários perfis que se aplicam ao mesmo dispositivo configuram a mesma configuração com valores diferentes, criando um conflito. Para evitar conflitos, o Intune avalia as definições aplicáveis de cada perfil que se aplica ao dispositivo. Essas definições fundem-se então num único superconjunto de definições.

Para a política de redução de superfície de ataque, os seguintes perfis apoiam a fusão da política:

  • Controlo do dispositivo

Fusão de política para perfis de controlo de dispositivos

Os perfis de controlo do dispositivo suportam a fusão da política para iDs de dispositivo USB. As definições de perfil que gerem os IDs do dispositivo e que a política de suporte se fundem incluem:

  • Permitir a instalação de dispositivos de hardware por identificadores de dispositivos
  • Bloquear instalação de dispositivos de hardware por identificadores de dispositivos
  • Permitir a instalação de dispositivos de hardware por classes de configuração
  • Bloquear instalação de dispositivos de hardware por classes de configuração
  • Permitir a instalação de dispositivos de hardware por identificadores de instância de dispositivo
  • Bloquear instalação de dispositivos de hardware por identificadores de instância de dispositivo

A fusão de políticas aplica-se à configuração de cada definição através dos diferentes perfis que aplicam essa definição específica a um dispositivo. O resultado é uma única lista para cada uma das definições suportadas que estão a ser aplicadas a um dispositivo. Por exemplo:

  • A fusão de políticas avalia as listas de classes de configuração que foram configuradas em cada instância de Permitir a instalação de dispositivos de hardware por classes de configuração que se aplicam a um dispositivo. Numa única lista de admissões onde são removidas as classes de configuração duplicadas.

    A remoção de duplicados da lista é feita para remover a fonte comum de conflitos. A lista de autorizações combinadas é então entregue ao dispositivo.

A fusão de políticas não compara ou funde as configurações de diferentes configurações. Por exemplo:

  • Expandindo-se no primeiro exemplo, em que várias listas de permitir a instalação de dispositivos de hardware por classes de configuração foram fundidas numa única lista, você tem várias instâncias de instalação de dispositivos de hardware block por classes de configuração que se aplicam ao mesmo dispositivo. Todas as listas de blocos relacionadas fundem-se numa única lista de blocos para o dispositivo que depois se implanta no dispositivo.

    • A lista de autorizações para aulas de configuração não é comparada nem fundida com a lista de blocos para classes de configuração.
    • Em vez disso, o dispositivo recebe ambas as listas, uma vez que são de duas definições distintas. Em seguida, o dispositivo impõe a definição mais restritiva para a instalação por classes de configuração.

    Com este exemplo, uma classe de configuração definida na lista de blocos irá sobrepor-se à mesma classe de configuração se for encontrada na lista de autorizações. O resultado seria que a classe de configuração está bloqueada no dispositivo.

Passos seguintes

Configure políticas de segurança endpoint