Ativar as regras de redução da superfície de ataque no Microsoft Defender para Empresas
As superfícies de ataque são todos os locais e formas como a rede e os dispositivos da sua organização são vulneráveis a ciberameaças e ataques. Dispositivos não seguro, acesso sem restrições a qualquer URL num dispositivo da empresa e permitir que qualquer tipo de aplicação ou script seja executado em dispositivos da empresa são todos exemplos de superfícies de ataque. Deixam a sua empresa vulnerável a ciberataques.
Para ajudar a proteger a sua rede e dispositivos, Microsoft Defender para Empresas inclui várias capacidades de redução da superfície de ataque, incluindo regras de redução da superfície de ataque. Este artigo descreve como configurar as regras de redução da superfície de ataque e descreve as capacidades de redução da superfície de ataque.
Nota
Intune não está incluída na versão autónoma do Defender para Empresas, mas pode ser adicionada.
Regras ASR de proteção padrão
Existem muitas regras de redução da superfície de ataque disponíveis. Não é preciso configurá-los todos de uma só vez. Além disso, pode configurar algumas regras no modo de auditoria apenas para ver como funcionam na sua organização e alterá-las para funcionarem mais tarde no modo de bloqueio. Dito isto, recomendamos que ative as seguintes regras de proteção padrão o mais rapidamente possível:
- Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows
- Bloquear abuso de condutores vulneráveis explorados
- Bloquear a persistência através da subscrição de eventos WMI
Estas regras ajudam a proteger a sua rede e dispositivos, mas não devem causar interrupções para os utilizadores. Utilize Intune para configurar as regras de redução da superfície de ataque.
Configurar regras do ASR com Intune
Como administrador global, no centro de administração do Microsoft Intune (https://intune.microsoft.com/), aceda a Endpoint security>Redução da superfície de ataque.
Selecione Create política para criar uma nova política.
- Em Plataforma, selecione Windows 10, Windows 11 e Windows Server.
- Em Perfil, selecione Regras de Redução da Superfície de Ataque e, em seguida, selecione Create.
Configure a política da seguinte forma:
Especifique um nome e uma descrição e, em seguida, selecione Seguinte.
Para, pelo menos, as três regras seguintes, defina cada uma como Bloquear:
- Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows
- Bloquear a persistência através da subscrição de eventos WMI
- Bloquear abuso de condutores vulneráveis explorados
Em seguida, selecione Seguinte.
No passo Etiquetas de âmbito , selecione Seguinte.
No passo Atribuições , selecione os utilizadores ou dispositivos para receber as regras e, em seguida, selecione Seguinte. (Recomendamos que selecione Adicionar todos os dispositivos.)
No passo Rever + criar, reveja as informações e, em seguida, selecione Create.
Sugestão
Se preferir, pode configurar primeiro as regras de redução da superfície de ataque no modo de auditoria para ver as deteções antes de os ficheiros ou processos serem realmente bloqueados. Para obter informações mais detalhadas sobre as regras de redução da superfície de ataque, veja Descrição geral da implementação de regras de redução da superfície de ataque.
Ver o relatório de redução da superfície de ataque
O Defender para Empresas inclui um relatório de redução da superfície de ataque que mostra como as regras de redução da superfície de ataque estão a funcionar para si.
Como administrador global, no portal Microsoft Defender (https://security.microsoft.com), no painel de navegação, selecione Relatórios.
Em Pontos finais, selecione Regras de redução da superfície de ataque. O relatório é aberto e inclui três separadores:
- Deteções, onde pode ver as deteções que ocorreram como resultado de regras de redução da superfície de ataque
- Configuração, onde pode ver dados para regras de proteção padrão ou outras regras de redução da superfície de ataque
- Adicione exclusões, onde pode adicionar itens a serem excluídos das regras de redução da superfície de ataque (utilize exclusões com moderação; cada exclusão reduz o seu nível de proteção de segurança)
Para saber mais sobre as regras de redução da superfície de ataque, consulte os seguintes artigos:
- Descrição geral das regras de redução da superfície de ataque
- Relatório de regras de redução da superfície de ataque
- Referência das regras de redução da superfície de ataque
- Descrição geral da implementação das regras de redução da superfície de ataque
Capacidades de redução da superfície de ataque no Defender para Empresas
As regras de redução da superfície de ataque estão disponíveis no Defender para Empresas. A tabela seguinte resume as capacidades de redução da superfície de ataque no Defender para Empresas. Repare como outras capacidades, como a proteção de próxima geração e a filtragem de conteúdos Web, funcionam em conjunto com as capacidades de redução da superfície de ataque.
| Capacidade | Como configurá-lo |
|---|---|
| Regras de redução da superfície de ataque Impedir a execução de ações específicas frequentemente associadas a atividades maliciosas em dispositivos Windows. |
Ative as regras padrão de redução da superfície de ataque de proteção (secção neste artigo). |
| Acesso controlado a pastas O acesso controlado a pastas permite que apenas as aplicações fidedignas acedam a pastas protegidas em dispositivos Windows. Pense nesta capacidade como mitigação de ransomware. |
Configure a política de acesso controlado a pastas no Microsoft Defender para Empresas. |
| Proteção da rede A proteção de rede impede que as pessoas acedam a domínios perigosos através de aplicações nos respetivos dispositivos Windows e Mac. A proteção de rede também é um componente fundamental da filtragem de conteúdo Web no Microsoft Defender para Empresas. |
A proteção de rede já está ativada por predefinição quando os dispositivos estão integrados no Defender para Empresas e são aplicadas políticas de proteção de próxima geração no Defender para Empresas . As políticas predefinidas estão configuradas para utilizar as definições de segurança recomendadas. |
| Proteção Web A proteção Web integra-se em browsers e funciona com proteção de rede para proteger contra ameaças à Web e conteúdos indesejados. A proteção Web inclui a filtragem de conteúdos Web e relatórios de ameaças para a Web. |
Configure a filtragem de conteúdo Web no Microsoft Defender para Empresas. |
| Proteção da firewall A proteção da firewall determina o tráfego de rede autorizado a fluir de/para os dispositivos da sua organização. |
A proteção da firewall já está ativada por predefinição quando os dispositivos estão integrados no Defender para Empresas e as políticas de firewall no Defender para Empresas são aplicadas . |
Passos seguintes
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários