Ativar regras de redução da superfície de ataque

  • Artigo

Aplica-se a:

Plataformas

  • Windows

Sugestão

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

As regras de redução da superfície de ataque ajudam a impedir ações que o software maligno frequentemente abusa para comprometer dispositivos e redes.

Requisitos

Funcionalidades de redução da superfície de ataque em versões do Windows

Pode definir regras de redução da superfície de ataque para dispositivos que executem qualquer uma das seguintes edições e versões do Windows:

Para utilizar todo o conjunto de funcionalidades de regras de redução da superfície de ataque, precisa de:

  • Microsoft Defender Antivírus como AV principal (proteção em tempo real ativada)
  • Proteção de Entrega na Cloud ativada (algumas regras exigem que)
  • Licença do Windows 10 Enterprise E5 ou E3

Embora as regras de redução da superfície de ataque não necessitem de uma licença do Windows E5, com uma licença do Windows E5, obtém capacidades de gestão avançadas, incluindo monitorização, análise e fluxos de trabalho disponíveis no Defender para Endpoint, bem como capacidades de criação de relatórios e configuração no portal do Microsoft Defender XDR. Estas capacidades avançadas não estão disponíveis com uma licença E3, mas ainda pode utilizar Visualizador de Eventos para rever eventos de regra de redução da superfície de ataque.

Cada regra de redução da superfície de ataque contém uma das quatro definições:

  • Não configurado | Desativado: desativar a regra de redução da superfície de ataque
  • Bloco: Ativar a regra de redução da superfície de ataque
  • Auditoria: Avaliar como a regra de redução da superfície de ataque afetaria a sua organização se estivesse ativada
  • Avisar: ative a regra de redução da superfície de ataque, mas permita que o utilizador final ignore o bloco

Recomendamos que utilize regras de redução da superfície de ataque com uma licença do Windows E5 (ou SKU de licenciamento semelhante) para tirar partido das capacidades avançadas de monitorização e relatórios disponíveis no Microsoft Defender para Endpoint (Defender para Endpoint). No entanto, se tiver outra licença, como o Windows Professional ou o Windows E3 que não inclua funcionalidades avançadas de monitorização e relatórios, pode desenvolver as suas próprias ferramentas de monitorização e relatórios sobre os eventos gerados em cada ponto final quando são acionadas regras de redução da superfície de ataque (por exemplo, Reencaminhamento de Eventos).

Sugestão

Para saber mais sobre o licenciamento do Windows, veja Licenciamento do Windows 10 e obtenha o Guia de Licenciamento em Volume para Windows 10.

Pode ativar as regras de redução da superfície de ataque através de qualquer um destes métodos:

Recomenda-se a gestão ao nível da empresa, como Intune ou Microsoft Configuration Manager. A gestão de nível empresarial substitui quaisquer definições de Política de Grupo ou do PowerShell em conflito no arranque.

Excluir ficheiros e pastas das regras de redução da superfície de ataque

Pode excluir ficheiros e pastas de serem avaliados pela maioria das regras de redução da superfície de ataque. Isto significa que, mesmo que uma regra de redução da superfície de ataque determine que o ficheiro ou pasta contém comportamentos maliciosos, não bloqueia a execução do ficheiro.

Importante

Excluir ficheiros ou pastas pode reduzir significativamente a proteção fornecida pelas regras de redução da superfície de ataque. Os ficheiros excluídos serão autorizados a ser executados e nenhum relatório ou evento será registado. Se as regras de redução da superfície de ataque estiverem a detetar ficheiros que acredita que não devem ser detetados, deve utilizar primeiro o modo de auditoria para testar a regra. Uma exclusão só é aplicada quando a aplicação ou serviço excluído é iniciado. Por exemplo, se adicionar uma exclusão para um serviço de atualização que já está em execução, o serviço de atualização continua a acionar eventos até que o serviço seja parado e reiniciado.

Ao adicionar exclusões, tenha estes pontos em mente:

Conflito de Política

  1. Se for aplicada uma política em conflito através de MDM e GP, a definição aplicada a partir do GP tem precedência.

  2. As regras de redução da superfície de ataque para dispositivos geridos suportam agora o comportamento de fusão de definições de diferentes políticas, para criar um superconjunto de políticas para cada dispositivo. Apenas as definições que não estão em conflito são intercaladas, enquanto as que estão em conflito não são adicionadas ao superconjunto de regras. Anteriormente, se duas políticas incluíssem conflitos para uma única definição, ambas as políticas eram sinalizadas como estando em conflito e não seriam implementadas definições de qualquer perfil. O comportamento de intercalação da regra de redução da superfície de ataque é o seguinte:

    • As regras de redução da superfície de ataque dos seguintes perfis são avaliadas para cada dispositivo ao qual as regras se aplicam:
    • As definições que não têm conflitos são adicionadas a um superconjunto de políticas para o dispositivo.
    • Quando duas ou mais políticas têm definições em conflito, as definições em conflito não são adicionadas à política combinada, enquanto as definições que não entram em conflito são adicionadas à política de superconjunto que se aplica a um dispositivo.
    • Apenas as configurações para definições em conflito são retidas.

Métodos de configuração

Esta secção fornece detalhes de configuração para os seguintes métodos de configuração:

Os seguintes procedimentos para ativar as regras de redução da superfície de ataque incluem instruções sobre como excluir ficheiros e pastas.

Intune

Perfis de Configuração de Dispositivos

  1. SelecionePerfis deconfiguração> do dispositivo. Escolha um perfil de proteção de ponto final existente ou crie um novo. Para criar um novo, selecione Criar perfil e introduza informações para este perfil. Em Tipo de perfil, selecione Endpoint Protection. Se tiver escolhido um perfil existente, selecione Propriedades e, em seguida, selecione Definições.

  2. No painel Endpoint Protection, selecione Windows Defender Exploit Guard e, em seguida, selecione Redução da Superfície de Ataque. Selecione a definição pretendida para cada regra de redução da superfície de ataque.

  3. Em Exceções de Redução da Superfície de Ataque, introduza ficheiros e pastas individuais. Também pode selecionar Importar para importar um ficheiro CSV que contenha ficheiros e pastas para excluir das regras de redução da superfície de ataque. Cada linha no ficheiro CSV deve ser formatada da seguinte forma:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selecione OK nos três painéis de configuração. Em seguida, selecione Criar se estiver a criar um novo ficheiro de proteção de ponto final ou Guardar se estiver a editar um existente.

Política de segurança de ponto final

  1. Selecione Endpoint Security>Redução da superfície de ataque. Escolha uma regra de redução da superfície de ataque existente ou crie uma nova. Para criar um novo, selecione Criar Política e introduza informações para este perfil. Em Tipo de perfil, selecione Regras de redução da superfície de ataque. Se tiver escolhido um perfil existente, selecione Propriedades e, em seguida, selecione Definições.

  2. No painel Definições de configuração , selecione Redução da Superfície de Ataque e, em seguida, selecione a definição pretendida para cada regra de redução da superfície de ataque.

  3. Em Lista de pastas adicionais que precisam de ser protegidas, Lista de aplicações que têm acesso a pastas protegidas e Excluir ficheiros e caminhos das regras de redução da superfície de ataque, introduza ficheiros e pastas individuais. Também pode selecionar Importar para importar um ficheiro CSV que contenha ficheiros e pastas para excluir das regras de redução da superfície de ataque. Cada linha no ficheiro CSV deve ser formatada da seguinte forma:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selecione Seguinte nos três painéis de configuração e, em seguida, selecione Criar se estiver a criar uma nova política ou Guardar se estiver a editar uma política existente.

Perfil personalizado no Intune

Pode utilizar Microsoft Intune OMA-URI para configurar regras personalizadas de redução da superfície de ataque. O procedimento seguinte utiliza a regra Bloquear o abuso de controladores assinados vulneráveis explorados , por exemplo.

  1. Abra o centro de administração do Microsoft Intune. No menu Base , clique em Dispositivos, selecione Perfis de configuração e, em seguida, clique em Criar perfil.

    A página Criar perfil no portal do centro de administração do Microsoft Intune.

  2. Em Criar um perfil, nas duas listas pendentes seguintes, selecione o seguinte:

    • Em Plataforma, selecione Windows 10 e posterior
    • Em Tipo de perfil, selecione Modelos
    • Se as regras de redução da superfície de ataque já estiverem definidas através da segurança do Ponto final, em Tipo de perfil, selecione Catálogo de Definições.

    Selecione Personalizar e, em seguida, selecione Criar.

    Os atributos do perfil de regra no portal do centro de administração do Microsoft Intune.

  3. A ferramenta Modelo personalizado é aberta no passo 1 Noções básicas. Em 1 Noções Básicas, em Nome, escreva um nome para o seu modelo e, em Descrição , pode escrever uma descrição (opcional).

    Os atributos básicos no portal do centro de administração do Microsoft Intune

  4. Clique em Seguinte. As definições de Configuração do Passo 2 são abertas. Para Definições OMA-URI, clique em Adicionar. São agora apresentadas duas opções: Adicionar e Exportar.

    As definições de configuração no portal do centro de administração do Microsoft Intune.

  5. Clique novamente em Adicionar . As Definições OMA-URI de Adicionar Linha são abertas. Em Adicionar Linha, faça o seguinte:

    • Em Nome, escreva um nome para a regra.

    • Em Descrição, escreva uma breve descrição.

    • No OMA-URI, escreva ou cole a ligação OMA-URI específica para a regra que está a adicionar. Veja a secção MDM neste artigo para obter o OMA-URI a utilizar para esta regra de exemplo. Para o GUIDS da regra de redução da superfície de ataque, consulte Descrições por regra no artigo: Regras de redução da superfície de ataque.

    • Em Tipo de dados, selecione Cadeia.

    • Em Valor, escreva ou cole o valor GUID, o sinal = e o valor Estado sem espaços (GUID=StateValue). Localização:

      • 0: Desativar (Desativar a regra de redução da superfície de ataque)
      • 1: Bloquear (Ativar a regra de redução da superfície de ataque)
      • 2: Auditoria (avalie como a regra de redução da superfície de ataque afetaria a sua organização se estivesse ativada)
      • 6: Avisar (Ative a regra de redução da superfície de ataque, mas permita que o utilizador final ignore o bloco)

    A configuração do URI do OMA no portal do centro de administração do Microsoft Intune

  6. Seleccione Guardar. A opção Adicionar Linha é fechada. Em Personalizado, selecione Seguinte. No passo 3, as etiquetas de âmbito são opcionais. Efetue um dos seguintes procedimentos:

    • Selecione Selecionar Etiquetas de âmbito, selecione a etiqueta de âmbito (opcional) e, em seguida, selecione Seguinte.
    • Em alternativa, selecione Seguinte

  7. No passo 4 Atribuições, em Grupos Incluídos, para os grupos que pretende que esta regra aplique, selecione uma das seguintes opções:

    • Adicionar grupos
    • Adicionar todos os utilizadores
    • Adicionar todos os dispositivos

    As atribuições no portal do centro de administração do Microsoft Intune

  8. Em Grupos excluídos, selecione os grupos que pretende excluir desta regra e, em seguida, selecione Seguinte.

  9. No passo 5 Regras de Aplicabilidade para as seguintes definições, faça o seguinte:

    • Em Regra, selecione Atribuir perfil se ou Não atribuir perfil se

    • Em Propriedade, selecione a propriedade à qual pretende aplicar esta regra

    • Em Valor, introduza o valor ou intervalo de valores aplicável

    As regras de aplicabilidade no portal do centro de administração do Microsoft Intune

  10. Selecione Seguinte. No passo 6 Rever + criar, reveja as definições e informações que selecionou e introduziu e, em seguida, selecione Criar.

    A opção Rever e criar no portal do centro de administração do Microsoft Intune

    As regras estão ativas e vivem dentro de minutos.

Nota

Processamento de conflitos:

Se atribuir a um dispositivo duas políticas diferentes de redução da superfície de ataque, podem ocorrer potenciais conflitos de políticas, consoante as regras sejam atribuídas diferentes estados, se a gestão de conflitos está em vigor e se o resultado é um erro. As regras sem conflito não resultam num erro e essas regras são aplicadas corretamente. A primeira regra é aplicada e as regras subsequentes não conformes são intercaladas na política.

MDM

Utilize o fornecedor de serviços de configuração (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules para ativar e definir individualmente o modo para cada regra.

Segue-se um exemplo para referência, utilizando valores GUID para Referência de regras de redução da superfície de ataque.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Os valores a ativar (Bloquear), desativar, avisar ou ativar no modo de auditoria são:

  • 0: Desativar (Desativar a regra de redução da superfície de ataque)
  • 1: Bloquear (Ativar a regra de redução da superfície de ataque)
  • 2: Auditoria (avalie como a regra de redução da superfície de ataque afetaria a sua organização se estivesse ativada)
  • 6: Aviso (Ative a regra de redução da superfície de ataque, mas permita que o utilizador final ignore o bloco). O modo de aviso está disponível para a maioria das regras de redução da superfície de ataque.

Utilize o fornecedor de serviços de configuração ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions para adicionar exclusões.

Exemplo:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Nota

Certifique-se de que introduz valores OMA-URI sem espaços.

Microsoft Configuration Manager

  1. No Microsoft Configuration Manager, aceda a Ativos eEndpoint Protection> de Conformidade >Windows Defender Exploit Guard.

  2. Selecione Base>Criar Política do Exploit Guard.

  3. Introduza um nome e uma descrição, selecione Redução da Superfície de Ataque e selecione Seguinte.

  4. Escolha as regras que vão bloquear ou auditar ações e selecione Seguinte.

  5. Reveja as definições e selecione Seguinte para criar a política.

  6. Após a criação da política, selecione Fechar.

Aviso

Existe um problema conhecido com a aplicabilidade da Redução da Superfície de Ataque nas versões do SO do Servidor que está marcada como conforme sem qualquer imposição real. Atualmente, não existe nenhum ETA para quando será corrigido.

Política de Grupo

Aviso

Se gerir os seus computadores e dispositivos com Intune, Configuration Manager ou outra plataforma de gestão a nível empresarial, o software de gestão substituirá quaisquer definições de Política de Grupo em conflito no arranque.

  1. No computador de gestão Política de Grupo, abra a Consola de Gestão do Política de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e selecione Editar.

  2. No Editor de Gestão de Políticas de Grupo, vá para Configuração do computador e selecione Modelos administrativos.

  3. Expanda a árvore para componentes> do Windows Microsoft Defender Antivírus> Microsoft DefenderRedução da superfície de ataquedo Exploit Guard>.

  4. Selecione Configurar Regras de redução da superfície de ataque e selecione Ativado. Em seguida, pode definir o estado individual para cada regra na secção de opções. Selecione Mostrar... e introduza o ID da regra na coluna Nome do valor e o estado escolhido na coluna Valor da seguinte forma:

    • 0: Desativar (Desativar a regra de redução da superfície de ataque)

    • 1: Bloquear (Ativar a regra de redução da superfície de ataque)

    • 2: Auditoria (avalie como a regra de redução da superfície de ataque afetaria a sua organização se estivesse ativada)

    • 6: Avisar (Ative a regra de redução da superfície de ataque, mas permita que o utilizador final ignore o bloco)

      regras de redução da superfície de ataque no Política de Grupo

  5. Para excluir ficheiros e pastas das regras de redução da superfície de ataque, selecione a definição Excluir ficheiros e caminhos das Regras de redução da superfície de ataque e defina a opção como Ativado. Selecione Mostrar e introduza cada ficheiro ou pasta na coluna Nome do valor . Introduza 0 na coluna Valor para cada item.

    Aviso

    Não utilize aspas, uma vez que não são suportadas para a coluna Nome do valor nem para a coluna Valor . O ID da regra não deve ter espaços à esquerda ou à direita.

PowerShell

Aviso

Se gerir os seus computadores e dispositivos com Intune, Configuration Manager ou outra plataforma de gestão ao nível da empresa, o software de gestão substitui quaisquer definições do PowerShell em conflito no arranque.

  1. Digite PowerShell no menu Iniciar, clique com o botão direito no Windows PowerShell e selecione Executar como administrador.

  2. Escreva um dos seguintes cmdlets. (Para obter mais informações, como o ID da regra, consulte Referência de regras de redução da superfície de ataque.)

    Tarefa Cmdlet do PowerShell
    Ativar regras de redução da superfície de ataque Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    Ativar regras de redução da superfície de ataque no modo de auditoria Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    Ativar regras de redução da superfície de ataque no modo de aviso Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    Ativar redução da superfície de ataque Bloquear abuso de controladores assinados vulneráveis explorados Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    Desativar as regras de redução da superfície de ataque Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    Importante

    Tem de especificar o estado individualmente para cada regra, mas pode combinar regras e estados numa lista separada por vírgulas.

    No exemplo seguinte, as duas primeiras regras estão ativadas, a terceira regra está desativada e a quarta regra está ativada no modo de auditoria: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    Também pode utilizar o verbo do Add-MpPreference PowerShell para adicionar novas regras à lista existente.

    Aviso

    Set-MpPreference substitui o conjunto de regras existente. Se quiser adicionar ao conjunto existente, utilize Add-MpPreference antes. Pode obter uma lista de regras e o respetivo estado atual com Get-MpPreference.

  3. Para excluir ficheiros e pastas das regras de redução da superfície de ataque, utilize o seguinte cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Continue a utilizar Add-MpPreference -AttackSurfaceReductionOnlyExclusions para adicionar mais ficheiros e pastas à lista.

    Importante

    Utilize Add-MpPreference para acrescentar ou adicionar aplicações à lista. A utilização do Set-MpPreference cmdlet substituirá a lista existente.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.