Share via

Atacar definições da política de redução de superfície para a segurança do ponto final em Intune

  • Artigo

Veja as definições que pode configurar nos perfis da política de redução de superfície de ataque no nó de segurança do ponto final do Intune como parte de uma política de segurança endpoint.

Plataformas e perfis suportados:

  • Windows 10 e mais tarde:
    • Perfil: App e isolamento do navegador
    • Perfil: Proteção web (Microsoft Edge Legado)
    • Perfil: Controlo de aplicações
    • Perfil: Regras de redução de superfície de ataque
    • Perfil: Controlo do dispositivo
    • Perfil: Proteção de exploração

App e perfil de isolamento do navegador

App e isolamento do navegador

  • Ligue a Guarda de Aplicações
    CSP: AllowWindowsDefenderApplicationGuard

    • Não configurado (padrão)- Microsoft Defender Application Guard não está configurado para ambientes Microsoft Edge ou Windows isolados.
    • Ativado para Edge - Application Guard abre sites não aprovados num recipiente de navegação virtualizado Hiper-V.
    • Ativado para ambientes de Windows isolados - A App Guard é ativada para quaisquer aplicações ativadas para App Guard dentro de Windows.
    • Ativado para ambientes de Windows isolados edge e isolados - A Aplicação Guard está configurada para ambos os cenários.

    Quando definido para Ativação para Aresta ou Ativado para ambientes de Windows isolados de borda e borda, estão disponíveis as seguintes definições, que se aplicam ao Edge:

    • Comportamento da prancheta
      CSP: ClipboardSettings

      Escolha quais as ações de cópia e pasta permitidas a partir do PC local e de um navegador virtual Da Guarda de Aplicações.

      • Não configurado (padrão)
      • Bloquear cópia e pasta entre PC e browser
      • Permitir copiar e colar apenas do navegador para PC
      • Permitir copiar e colar de PC para navegador apenas
      • Permitir copiar e colar entre PC e browser

    • Bloquear conteúdo externo de sites aprovados não empresariais
      CSP: BlockNonEnterpriseContent

      • Não configurado (padrão)
      • Sim - Bloqueie o conteúdo de sites não aprovados a partir do carregamento.

    • Recolher registos para eventos que ocorram dentro de uma sessão de navegação da Guarda de Aplicações
      CSP: AuditoriaApplicationGuard

      • Não configurado (padrão)
      • Sim - Colete registos para eventos que ocorram dentro de uma sessão de navegação virtual da App Guard.

    • Permitir que os dados do navegador gerados pelo utilizador sejam guardados
      PCP: Permitir a essídistência

      • Não configurado (padrão)
      • Sim - Permitir que os dados do utilizador criados durante uma sessão de navegação virtual da App Guard sejam guardados. Exemplos de dados do utilizador incluem palavras-passe, favoritos e cookies.

    • Ativar a aceleração de gráficos de hardware
      CSP: AllowVirtualGPU

      • Não configurado (padrão)
      • Sim - Na sessão de navegação virtual da App Guard, utilize uma unidade de processamento de gráficos virtuais para carregar mais rapidamente websites com intensivos gráficos.

    • Permitir que os utilizadores descarreguem ficheiros para o anfitrião
      CSP: SaveFilesToHost

      • Não configurado (padrão)
      • Sim - Permitir que os utilizadores descarreguem ficheiros do navegador virtualizado para o sistema operativo anfitrião.

    • O Guard de aplicação permite o acesso à câmara e ao microfone
      CSP: Permitir a Redirectção DeCameraMicrophone

      • Não configurado (padrão)- As aplicações no interior Microsoft Defender Application Guard não podem aceder à câmara e ao microfone no dispositivo do utilizador.
      • Sim - Aplicações no interior Microsoft Defender Application Guard podem aceder à câmara e microfone no dispositivo do utilizador.
      • Não - As aplicações no interior Microsoft Defender Application Guard não podem aceder à câmara e ao microfone no dispositivo do utilizador. Este é o mesmo comportamento que não configurado.

  • O guarda de aplicações permite imprimir para impressoras locais

    • Não configurado (padrão)
    • Sim - Permitir a impressão em impressoras locais.

  • O guarda de aplicações permite imprimir para impressoras de rede

    • Não configurado (padrão)
    • Sim - Permitir a impressão impressa para impressoras de rede.

  • O guarda de aplicações permite imprimir em PDF

    • Não configurado (padrão)
    • Sim- Permitir a impressão em PDF.

  • O guarda de aplicação permite imprimir para XPS

    • Não configurado (padrão)
    • Sim - - Permitir a impressão digital para XPS.

  • Guarda de aplicação permite a utilização de Certificados de Raiz Autoridades do dispositivo do utilizador
    CSP: CertificadoSims

    Configure as impressões digitais do certificado para transferir automaticamente o certificado de raiz correspondente para o recipiente Microsoft Defender Application Guard.

    Para adicionar impressões digitais uma de cada vez, selecione Add. Pode utilizar o Import para especificar um ficheiro .CSV que contenha múltiplas entradas de impressão digital que são adicionadas ao perfil ao mesmo tempo. Quando utilizar um ficheiro .CSV, cada impressão digital deve ser separada por uma vírgula. Por exemplo: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    Todas as entradas listadas no perfil estão ativas. Não é necessário selecionar uma caixa de verificação para uma entrada de impressão digital para a tornar ativa. Em vez disso, utilize as caixas de verificação para o ajudar a gerir as entradas adicionadas ao perfil. Por exemplo, pode selecionar a caixa de verificação de uma ou mais entradas de impressão digital de certificado e, em seguida, eliminar essas entradas do perfil com uma única ação.

  • política de isolamento de rede Windows

    • Não configurado (padrão)
    • Sim - Configurar Windows política de isolamento de rede.

    Quando definido para Sim, pode configurar as seguintes definições.

    • Gamas IP
      Expandir o dropdown, selecionar Adicionar e, em seguida, especificar um endereço inferior e, em seguida, um endereço superior.

    • Recursos em nuvem
      Expandir o dropdown, selecionar Adicionar e, em seguida, especificar um endereço IP ou FQDN e um Proxy.

    • Domínios de rede
      Expandir o dropdown, selecionar Adicionar e, em seguida, especificar os domínios da Rede.

    • Servidores proxy
      Expandir o dropdown, selecionar Adicionar e, em seguida, especificar servidores Proxy.

    • Servidores internos de procuração
      Expandir o dropdown, selecionar Adicionar e, em seguida, especificar servidores internos de procuração.

    • Recursos neutros
      Expandir o dropdown, selecionar Adicionar e, em seguida, especificar recursos neutros.

    • Desativar a deteção automática de outros servidores proxy da empresa

      • Não configurado (padrão)
      • Sim - Desativar a deteção automática de outros servidores proxy da empresa.

    • Desativar a deteção automática de outras gamas IP da empresa

      • Não configurado (padrão)
      • Sim - Desativar a deteção automática de outras gamas ip da empresa.

Perfil de proteção web (Microsoft Edge Legado)

Proteção Web (Microsoft Edge Legado)

  • Permitir a proteção da rede
    CSP: EnableNetworkProtection

    • Não configurado (predefinição)- A definição volta ao Windows padrão, que está desativado.
    • Utilizador definido
    • Ativar - A proteção da rede está ativada para todos os utilizadores do sistema.
    • Modo de auditoria - Os utilizadores não estão bloqueados de domínios perigosos e Windows eventos são aumentados.

  • Requerer SmartScreen para Microsoft Edge
    CSP: Browser/AllowSmartScreen

    • Sim - Utilize o SmartScreen para proteger os utilizadores de potenciais esquemas de phishing e software malicioso.
    • Não configurado (padrão)

  • Bloquear acesso ao site malicioso
    CSP: Browser/PreventSmartScreenPromptOverride

    • Sim - Bloqueie os utilizadores de ignorar os avisos Microsoft Defender SmartScreen Filter e bloqueiem-nos de ir ao local.
    • Não configurado (padrão)

  • Bloquear transferência de ficheiros não verificados
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • Sim - Bloqueie os utilizadores de ignorar os avisos Microsoft Defender SmartScreen Filter e bloqueie-os de descarregar ficheiros não verificados.
    • Não configurado (padrão)

Perfil de controlo de aplicações

Controlo de aplicações do Microsoft Defender

  • Controlo de aplicações de armário de aplicativos
    CSP: AppLocker

    • Não configurado (padrão)
    • Impor componentes e aplicativos de loja
    • Componentes de Auditoria e Aplicações de Loja
    • Impor componentes, apps de loja e smartlocker
    • Componentes de auditoria, Apps store e Smartlocker

  • Bloqueie os utilizadores de ignorar avisos do SmartScreen
    CSP: SmartScreen/PreventOverrideForFilesInshell

    • Não configurados (predefinidos)- Os utilizadores podem ignorar os avisos do SmartScreen para ficheiros e aplicações maliciosas.
    • Sim - O SmartScreen está ativado e os utilizadores não conseguem contornar avisos para ficheiros ou aplicações maliciosas.

  • Ligue Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • Não configurado (predefinição)- Devolva a definição ao padrão Windows, que é para ativar o SmartScreen, no entanto os utilizadores podem alterar esta definição. Para desativar o SmartScreen, utilize um URI personalizado.
    • Sim - Impor o uso do SmartScreen para todos os utilizadores.

Perfil de regras de redução de superfície de ataque

Regras de redução de superfície de ataque

  • Bloqueio de persistência através da subscrição de evento do WMI
    Reduzir superfícies de ataque com regras de redução de superfície de ataque

    Esta regra de redução da superfície de ataque (ASR) é controlada através do seguinte GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    Esta regra impede que o malware abuse do WMI para obter persistência num dispositivo. As ameaças sem ficheiros empregam várias táticas para se manterem escondidas, para evitar serem vistas no sistema de ficheiros, e para obterem controlo periódico de execução. Algumas ameaças podem abusar do repositório e modelo de eventos da WMI para se manter escondido.

    • Não configurado (predefinição) – A definição volta ao Windows padrão, que está desligado e a persistência não está bloqueada.
    • Bloco – A persistência através do WMI está bloqueada.
    • Auditoria – Avalie como esta regra afeta a sua organização se estiver ativada (definida para Bloquear).
    • Desativar - Desligue esta regra. A persistência não está bloqueada

    Para saber mais sobre este cenário, consulte a persistência do Bloco através da subscrição do evento WMI.

  • Roubo de credenciais de bloco do subsistema da autoridade de segurança local Windows (lsass.exe)
    Proteger dispositivos de explorações

    Esta regra de redução da superfície de ataque (ASR) é controlada através do seguinte GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Não configurado (predefinição)- A definição volta ao Windows padrão, que está desligado.
    • Utilizador definido
    • Ativar - As tentativas de roubar credenciais através de lsass.exe estão bloqueadas.
    • Modo de auditoria - Os utilizadores não estão bloqueados de domínios perigosos e Windows eventos são aumentados.
    • Aviso - Para Windows 10 versão 1809 ou posterior, o utilizador do dispositivo recebe uma mensagem de que pode contornar o Bloco da definição. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Enable.

  • Bloquear o Adobe Reader de criar processos infantis
    Reduzir superfícies de ataque com regras de redução de superfície de ataque

    Esta regra ASR é controlada através do seguinte GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Não configurado (padrão)- O Windows padrão é restaurado, é não bloquear a criação de processos infantis.
    • Utilizador definido
    • Ativar - O Adobe Reader está bloqueado na criação de processos infantis.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear processos infantis.
    • Aviso - Para Windows 10 versão 1809 ou posterior, o utilizador do dispositivo recebe uma mensagem de que pode contornar o Bloco da definição. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Enable.

  • Bloquear aplicações Office de injetar código em outros processos
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Não configurado (predefinição)- A definição volta ao Windows padrão, que está desligado.
    • Bloco - Office aplicações estão bloqueadas de injetar código noutros processos.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.
    • Aviso - Para Windows 10 versão 1809 ou posterior, o utilizador do dispositivo recebe uma mensagem de que pode contornar o Bloco da definição. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Enable.
    • Desativação - Esta definição está desligada.

  • Bloquear Office aplicações de criação de conteúdo executável
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: 3B576869-A4EC-4529-8536-B80A7769E899

    • Não configurado (predefinição)- A definição volta ao Windows padrão, que está desligado.
    • Bloco - Office aplicações estão bloqueadas de criar conteúdo executável.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.
    • Aviso - Para Windows 10 versão 1809 ou posterior, o utilizador do dispositivo recebe uma mensagem de que pode contornar o Bloco da definição. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Enable.
    • Desativação - Esta definição está desligada.

  • Bloqueie todas as aplicações Office da criação de processos infantis
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Não configurado (predefinição)- A definição volta ao Windows padrão, que está desligado.
    • Bloco - Office aplicações estão impedidas de criar processos infantis.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.
    • Aviso - Para Windows 10 versão 1809 ou posterior, o utilizador do dispositivo recebe uma mensagem de que pode contornar o Bloco da definição. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Enable.
    • Desativação - Esta definição está desligada.

  • Bloqueie as chamadas da API do Bloco Win32 a partir de Office macro
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDC7B

    • Não configurado (predefinição)- A definição volta ao Windows padrão, que está desligado.
    • Block - Office macro's estão bloqueados de usar chamadas API Win32.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.
    • Aviso - Para Windows 10 versão 1809 ou posterior, o utilizador do dispositivo recebe uma mensagem de que pode contornar o Bloco da definição. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Enable.
    • Desativação - Esta definição está desligada.

  • Bloqueie Office aplicações de comunicação da criação de processos infantis
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • Não configurado (padrão)- O Windows padrão é restaurado, que é não bloquear a criação de processos infantis.
    • Utilizador definido
    • Ativar - Office aplicações de comunicação estão bloqueadas na criação de processos infantis.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear processos infantis.
    • Aviso - Para Windows 10 versão 1809 ou posterior, o utilizador do dispositivo recebe uma mensagem de que pode contornar o Bloco da definição. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Enable.

  • Execução de blocos de scripts potencialmente obfuscados (js/vbs/ps)
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Não configurado (predefinição)- A definição volta ao Windows padrão, que está desligado.
    • Bloco - Defender bloqueia execução de scripts obfuscados.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.
    • Aviso - Para Windows 10 versão 1809 ou posterior, o utilizador do dispositivo recebe uma mensagem de que pode contornar o Bloco da definição. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Enable.
    • Desativação - Esta definição está desligada.

  • Bloquear JavaScript ou VBScript de lançar conteúdo executável descarregado
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: D3E037E1-3EB8-44C8-A917-57927947596D

    • Não configurado (predefinição)- A definição volta ao Windows padrão, que está desligado.
    • Bloco - Defender bloqueia ficheiros JavaScript ou VBScript que foram descarregados da Internet de serem executados.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.
    • Desativação - Esta definição está desligada.

  • Criações de processos de blocos originárias de comandos PSExec e WMI
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

    • Não configurado (predefinição)- A definição volta ao Windows padrão, que está desligado.
    • Bloco - A criação de processos por comandos PSExec ou WMI está bloqueada.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.
    • Aviso - Para Windows 10 versão 1809 ou posterior, o utilizador do dispositivo recebe uma mensagem de que pode contornar o Bloco da definição. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Enable.
    • Desativação - Esta definição está desligada.

  • Bloquear processos não assinados e não assinados que vão a partir de USB
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Não configurado (predefinição)- A definição volta ao Windows padrão, que está desligado.
    • Bloco - Processos não assinados e não assinados que funcionam a partir de uma unidade USB estão bloqueados.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.
    • Aviso - Para Windows 10 versão 1809 ou posterior, o utilizador do dispositivo recebe uma mensagem de que pode contornar o Bloco da definição. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Enable.
    • Desativação - Esta definição está desligada.

  • Bloqueie ficheiros executáveis de executar a menos que cumpram uma prevalência, idade ou critérios de lista fidedigna
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25e

    • Não configurado (predefinição)- A definição volta ao Windows padrão, que está desligado.
    • Bloco
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.
    • Aviso - Para Windows 10 versão 1809 ou posterior, o utilizador do dispositivo recebe uma mensagem de que pode contornar o Bloco da definição. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Enable.
    • Desativação - Esta definição está desligada.

  • Bloquear transferência de conteúdo executável de clientes de email e webmail
    Proteger dispositivos de explorações

    • Não configurado (predefinição)- A definição volta ao Windows padrão, que está desligado.
    • Bloco - Conteúdo executável descarregado a partir de clientes de e-mail e webmail está bloqueado.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.
    • Aviso - Para Windows 10 versão 1809 ou posterior, o utilizador do dispositivo recebe uma mensagem de que pode contornar o Bloco da definição. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Enable.
    • Desativação - Esta definição está desligada.

  • Use proteção avançada contra ransomware
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

    • Não configurado (predefinição)- A definição volta ao Windows padrão, que está desligado.
    • Utilizador definido
    • Ativar
    • Modo de auditoria - - Windows eventos são levantados em vez de bloquear.

  • Ativar a proteção de pastas
    CSP: EnableControlledFolderAccess

    • Não configurado (predefinição)- Esta definição retorna ao seu padrão, que não é leitura ou escritas bloqueadas.
    • Ativar - Para aplicações não fidetonídidas, o Defender bloqueia as tentativas de modificar ou eliminar ficheiros em pastas protegidas ou escrever para sectores de discos. O Defender determina automaticamente quais as aplicações em que podem ser confiáveis. Em alternativa, pode definir a sua própria lista de aplicações fidedignas.
    • Modo de auditoria - Windows eventos são levantados quando aplicações não fidedíbdas acedem a pastas controladas, mas nenhum bloco é aplicado.
    • Modificação do disco de bloqueio - Apenas as tentativas de escrever para os sectores do disco estão bloqueadas.
    • Modificação do disco de auditoria - Windows eventos são levantados em vez de bloquear tentativas de escrever para sectores de discos.

  • Lista de pastas adicionais que precisam de ser protegidas
    CSP: ControlledFolderAccessProtectedFolders

    Defina uma lista de localizações de discos que serão protegidas contra aplicações não fidedíssquias.

  • Lista de aplicações que têm acesso a pastas protegidas
    CSP: ControlledFolderAccessAllowedApplications

    Defina uma lista de aplicações que têm acesso a leitura/escrita para locais controlados.

  • Excluir ficheiros e caminhos das regras de redução de superfície de ataque
    CSP: AttackSurfaceReductionOnlyExclusions

    Expanda o dropdown e, em seguida, selecione Adicione para definir um Caminho para um ficheiro ou pasta para excluir das suas regras de redução de superfície de ataque.

Perfil de controlo do dispositivo

Controlo de Dispositivos

  • Permitir a instalação de dispositivos de hardware por identificadores de dispositivos

    • Não configurado (padrão)
    • Sim - Windows pode instalar ou atualizar qualquer dispositivo cujo ID de hardware plug and play ou iD compatível apareça na lista que cria, a menos que outra definição de política impeça especificamente essa instalação. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta a reorientação dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.
    • Não

    Quando definido para Sim, pode configurar as seguintes opções:

    • Permitir lista - Use Add, Import, e Export para gerir uma lista de identificadores de dispositivos.

  • Bloquear instalação de dispositivos de hardware por identificadores de dispositivos
    CSP: Permitir instalaçõesOfMatchingDeviceIDs

    • Não configurado (padrão)
    • Sim - Especifique uma lista de IDs de hardware plug and play e iDs compatíveis para dispositivos que Windows está impedido de instalar. Esta política tem precedência sobre qualquer outra definição de política que permita à Windows instalar um dispositivo. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta a reorientação dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.
    • Não

    Quando definido para Sim, pode configurar as seguintes opções:

    • Remover dispositivos de hardware correspondentes

      • Sim
      • Não configurado (padrão)

    • Lista de blocos - Use Add, Import, e Export para gerir uma lista de identificadores de dispositivos.

  • Permitir a instalação de dispositivos de hardware por classe de configuração

    • Não configurado (padrão)
    • Sim - Windows podem instalar ou atualizar controladores de dispositivos cuja classe de configuração do dispositivo OS GUIDs aparecem na lista que cria, a menos que outra definição de política impeça especificamente essa instalação. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta a reorientação dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.
    • Não

    Quando definido para Sim, pode configurar as seguintes opções:

    • Permitir lista - Use Add, Import, e Export para gerir uma lista de identificadores de dispositivos.

  • Bloquear instalação de dispositivos de hardware por classes de configuração
    CSP: Permitir instalaçõesOfMatchingDeviceSetupClasses

    • Não configurado (padrão)
    • Sim - Especifique uma lista de identificadores de configuração de dispositivos globalmente exclusivos (GUIDs) para condutores de dispositivos que Windows está impedido de instalar. Esta definição de política tem precedência sobre qualquer outra definição de política que permita a instalação de um dispositivo Windows. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta a reorientação dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.
    • Não

    Quando definido para Sim, pode configurar as seguintes opções:

    • Remover dispositivos de hardware correspondentes

      • Sim
      • Não configurado (padrão)

    • Lista de blocos - Use Add, Import, e Export para gerir uma lista de identificadores de dispositivos.

  • Permitir a instalação de dispositivos de hardware por identificadores de instância de dispositivo

    • Não configurado (padrão)
    • Sim - Windows é permitido instalar ou atualizar qualquer dispositivo cujo ID de instância de plug e play aparece na lista que cria, a menos que outra definição de política impeça especificamente essa instalação. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta a reorientação dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.
    • Não

    Quando definido para Sim, pode configurar as seguintes opções:

    • Permitir lista - Use Add, Import, e Export para gerir uma lista de identificadores de dispositivos.

  • Bloquear instalação de dispositivos de hardware por identificadores de instância de dispositivo
    Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta a reorientação dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.

    • Não configurado (padrão)
    • Sim - Especifique uma lista de IDs de hardware plug and play e iDs compatíveis para dispositivos que Windows está impedido de instalar. Esta política tem precedência sobre qualquer outra definição de política que permita à Windows instalar um dispositivo. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta a reorientação dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.
    • Não

    Quando definido para Sim, pode configurar as seguintes opções:

    • Remover dispositivos de hardware correspondentes

      • Sim
      • Não configurado (padrão)

    • Lista de blocos - Use Add, Import, e Export para gerir uma lista de identificadores de dispositivos.

  • Bloquear escrever acesso ao armazenamento amovível
    CSP: RemovableDiskDenyWriteAccess

    • Não configurado (padrão)
    • Sim - O acesso por escrever é negado ao armazenamento amovível.
    • Não - O acesso por escrever é permitido.

  • Scaneie unidades amovíveis durante a varredura completa
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • Não configurado (predefinição)- A definição retorna ao padrão do cliente, que digitaliza unidades amovíveis, no entanto o utilizador pode desativar esta digitalização.
    • Sim - Durante uma varredura completa, as unidades amovíveis (como as pen usb) são digitalizadas.

  • Bloquear o acesso à memória direta
    CSP: DataProtection/AllowDirectMemoryAccess

    Esta definição de política só é aplicada quando a encriptação bitLocker ou dispositivo estiver ativada.

    • Não configurado (padrão)
    • Sim - bloqueie o acesso direto à memória (DMA) para todas as portas pci a jusante pluggáveis quentes até que um utilizador faça login em Windows. Após o início de sessão do utilizador, Windows enumera os dispositivos PCI ligados às portas PCI da ficha hospedeira. Sempre que o utilizador bloqueia a máquina, o DMA fica bloqueado nas portas PCI de ficha quente sem dispositivos infantis até que o utilizador volte a entrar. Os dispositivos que já estavam enumerados quando a máquina foi desbloqueada continuarão a funcionar até serem desligados.

  • Enumeração de dispositivos externos incompatíveis com a Proteção DMA kernel
    CSP: DmaGuard/DeviceEnumerationPolicy

    Esta política pode fornecer segurança adicional contra dispositivos externos capazes de DMA. Permite um maior controlo sobre a enumeração de dispositivos capazes de DMA externos incompatíveis com o isolamento de memória de remapping/dispositivo de DMA e caixa de areia.

    Esta política só entra em vigor quando a Kernel DMA Protection é suportada e ativada pelo firmware do sistema. Kernel DMA Protection é uma funcionalidade de plataforma que deve ser suportada pelo sistema no momento do fabrico. Para verificar se o sistema suporta a Proteção DMA kernel, consulte o campo de proteção do Kernel DMA na página Sumária de MSINFO32.exe.

    • Não configurado -(padrão)
    • Bloquear tudo
    • Permitir tudo

  • Bloquear ligações bluetooth
    CSP: Bluetooth/AllowDiscoverableMode

    • Não configurado (padrão)
    • Sim - Bloqueie as ligações bluetooth de e para o dispositivo.

  • Bloquear a descoberta bluetooth
    CSP: Bluetooth/AllowDiscoverableMode

    • Não configurado (padrão)
    • Sim - Evita que o dispositivo seja detetável por outros dispositivos ativados por Bluetooth.

  • Bloquear pré-emparelhamento bluetooth
    CSP: Bluetooth/AllowPrepairing

    • Não configurado (padrão)
    • Sim - Evita que dispositivos Bluetooth específicos se emparelhem automaticamente com o dispositivo anfitrião.

  • Bloquear publicidade bluetooth
    CSP: Bluetooth/Permitir a concessão de advertising

    • Não configurado (padrão)
    • Sim - Impede que o dispositivo envie anúncios Bluetooth.

  • Bloquear ligações proximais bluetooth
    CSP: Bluetooth/AllowPromptedProximalConnections Bloqueiam utilizadores de usar em Swift Pair e outros cenários baseados na proximidade

    • Não configurado (padrão)
    • Sim - Impede que um utilizador do dispositivo utilize o Swift Pair e outros cenários baseados na proximidade.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Bluetooth serviços permitidos
    CSP: Bluetooth/ServicesAllowedList.
    Para obter mais informações sobre a lista de serviços, consulte o guia de utilização ServicesAllowedList

    • Adicionar - Especificar serviços e perfis Bluetooth permitidos como cordas hexadis, tais como {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF} .
    • Importação - Importe um ficheiro .csv que contenha uma lista de serviços e perfis bluetooth, como cordas hexadis, tais como {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • Armazenamento amovível
    CSP: Armazenamento/RemovableDiskDenyWriteAccess

    • Bloco (predefinido)- Evite que os utilizadores utilizem dispositivos de armazenamento externos, como cartões SD com o dispositivo.
    • Não configurado

  • Ligações USB (apenas HoloLens)
    CSP: Conectividade/AllowUSBConnection

    • Bloquear - Impedir a utilização de uma ligação USB entre o dispositivo e um computador para sincronizar ficheiros ou para utilizar ferramentas de desenvolvimento para implantar ou depurar aplicações. O carregamento USB não é afetado.
    • Não configurado (padrão)

Explorar o perfil de proteção

Exploit Protection

  • Upload XML
    CSP: ExploraçãoProtectionSettings

    Permite que o administrador de TI empurre uma configuração que represente o sistema pretendido e opções de mitigação de aplicações para todos os dispositivos da organização. A configuração é representada por um ficheiro XML. A proteção de exploração pode ajudar a proteger dispositivos de malware que usam explorações para espalhar e infetar. Utilize a aplicação Segurança do Windows ou PowerShell para criar um conjunto de mitigações (conhecida como configuração). Em seguida, pode exportar esta configuração como um ficheiro XML e partilhá-la com várias máquinas na sua rede para que todas tenham o mesmo conjunto de definições de mitigação. Também pode converter e importar um ficheiro XML de configuração EMET existente numa configuração de proteção de exploração XML.

    Escolha Select XML File, especifique o upload do ficheiro XML e, em seguida, clique em Selecionar.

    • Não configurado (padrão)
    • Sim

  • Bloqueie os utilizadores da edição da interface de proteção da Proteção da Guarda De exploração
    CSP: DesalploitProtectionOverride

    • Não configurado (padrão)- Os utilizadores locais podem efetivar alterações na área de definições de proteção de exploração.
    • Sim - Evite que os utilizadores eseme as alterações na área das definições de proteção de exploração no Centro de Segurança do Microsoft Defender.

Passos seguintes

Política de segurança de ponto final para ASR