Proteção da aplicação de utilizador Essential Eight
Muitas vezes, os adversários visam estações de trabalho através de sites maliciosos, e-mails ou suportes de dados amovíveis numa tentativa de extrair informações confidenciais. A proteção de aplicações em estações de trabalho é uma parte importante da redução deste risco. Devido à sua eficácia, a Proteção de Aplicações do Utilizador é um dos 8 Essenciais das Estratégias do ACSC para Mitigar Incidentes de Cibersegurança.
Os adversários tentam frequentemente explorar vulnerabilidades encontradas em versões mais antigas e não suportadas de aplicações. As versões mais recentes dos produtos Microsoft oferecem melhorias significativas nas funcionalidades de segurança e proporcionam uma maior estabilidade. Muitas vezes, é a falta de funcionalidades de segurança melhoradas que permitem a um adversário comprometer facilmente versões mais antigas de aplicações. Para reduzir este risco, deve ser utilizada a versão suportada mais recente dos produtos Microsoft.
Recursos e referências
Para facilitar a referência, Intune requer a implementação das seguintes políticas para o controlo associado:
-
OfficeMacroHardening-PreventActivationofOLE.ps1
- Este script do PowerShell é utilizado para cumprir os seguintes controlos:
-
UserApplicationHardening-RemoveFeatures.ps1
- Este script do PowerShell é utilizado para cumprir os seguintes controlos:
- O Explorer da Internet está desativado ou removido.
- .NET Framework 3.5 (inclui .NET 2.0 e 3.0) está desativado ou removido.
- Windows PowerShell 2.0 está desativado ou removido.
- Este script do PowerShell é utilizado para cumprir os seguintes controlos:
-
Diretrizes de Proteção do Microsoft Edge do ACSC
- Este Intune perfil de Configuração de Dispositivos é utilizado para cumprir os seguintes controlos:
- Os browsers não processam anúncios Web a partir da Internet.
- A documentação de orientação de proteção do ACSC ou do fornecedor para browsers é implementada.
- Este Intune perfil de Configuração de Dispositivos é utilizado para cumprir os seguintes controlos:
-
Diretrizes de Proteção do Windows do ACSC – Regras de Redução da Superfície de Ataque
- Este Intune perfil de regra de Redução da Superfície de Ataque de Segurança de Ponto Final é utilizado para cumprir os seguintes controlos:
- O Microsoft Office está impedido de criar processos subordinados.
- O Microsoft Office está impedido de criar conteúdo executável.
- O Microsoft Office está impedido de injetar código noutros processos.
- Este Intune perfil de regra de Redução da Superfície de Ataque de Segurança de Ponto Final é utilizado para cumprir os seguintes controlos:
Os Browsers não Processam Java a partir da Internet
O Java não está instalado por predefinição no Windows 10 ou Windows 11.
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| 1486 | O Java não está instalado por predefinição no Windows 10 ou Windows 11. |
Os browsers não processam anúncios Web a partir da Internet
Todas as opções de configuração disponíveis para desativar anúncios no Microsoft Edge são configuradas ao implementar a Linha de Base de Segurança do Microsoft Edge e a proteção ACSC para o Microsoft Edge.
Pode obter mais bloqueios com extensões de terceiros para o Microsoft Edge, filtragem de rede no gateway ou utilização de um serviço DNS Protegido. No entanto, a implementação destes itens está fora do âmbito deste documento.
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| 1485 | A política "Definição de anúncios para sites com anúncios intrusivos" foi configurada para Ativar. |
O Explorer 11 da Internet está desativado ou removido
A Internet Explorer 11 não está presente no Windows 11.
A 15 de junho de 2022, a Microsoft retirou a Internet Explorer 11. Para uma organização que ainda necessita de internet Explorer para compatibilidade legada, o modo de Explorer internet (modo IE) no Microsoft Edge proporciona uma experiência de browser simples e totalmente integrada. Os utilizadores podem aceder a aplicações legadas a partir do Microsoft Edge sem terem de voltar à Internet Explorer 11.
Depois de o administrador ter configurado o modo IE, as organizações podem desativar a Internet Explorer 11 como um browser autónomo. Os ícones da Internet Explorer 11 no Menu Iniciar e na Barra de Tarefas são removidos. Os utilizadores são redirecionados para o Microsoft Edge quando tentam iniciar atalhos ou associações de ficheiros que utilizam a Internet Explorer 11 ou quando invocam diretamente o binário iexplore.exe.
Para configurar a Internet Explorer abrir diretamente no Microsoft Edge para sites específicos, configure políticas de modo IE. Para obter mais informações, veja Configurar Políticas do modo IE.
Detalhes de implementação para desativar a Internet Explorer 11
Para utilizar Intune para desativar a Internet Explorer 11 como um browser autónomo para dispositivos Windows 10:
- Crie uma nova política de Catálogo de Definições.
- Navegue por categoria e procure: Desative a Internet Explorer 11 como um browser autónomo (Utilizador).
- Aceda a *Modelos Administrativos\Componentes do Windows\Internet Explorer e selecione a definição: Desativar Internet Explorer 11 como um browser autónomo (Utilizador).
- Ative a definição Desativar Internet Explorer 11 como um browser autónomo (Utilizador).
- Implemente a política num conjunto de dispositivos ou utilizadores.
Além disso, para remover completamente a Internet Explorer 11:
- Adicione o UserApplicationHardening-RemoveFeatures.ps1como um script do PowerShell com as seguintes opções:
- Execute este script com as credenciais com sessão iniciada: Não
- Impor marcar de assinatura de script: Não
- Executar script no Anfitrião do PowerShell de 64 bits: Não
- Atribua o script a um grupo de implementação.
Observação
Este script também desativa .NET Framework 3.5 (inclui .NET 2.0 e 3.0) e Windows PowerShell 2.0.
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| 1666 | A política "Configurar a Lista de Sites do Modo De Empresa" está configurada com uma lista de sites específicos da organização. O Explorer 11 da Internet foi removido pela política "Desativar a Internet Explorer 11 como um browser autónomo" configurada como Ativar ou removida através da utilização de um script. |
O Microsoft Office está impedido de criar processos subordinados
Pode impedir o Microsoft Office de criar processos subordinados através de uma política de Segurança de Ponto Final de Redução da Superfície de Ataque (ASR), implementada através de Intune.
A Microsoft disponibilizou uma implementação Intune da Orientação de Proteção do Windows do ACSC no GitHub. Aregra do ASR para impedir o Microsoft Office de criar processos subordinados está incluída nesta documentação de orientação.
Detalhes de implementação para bloquear a criação de processos subordinados
Para implementar o bloqueio da criação de processos subordinados:
- Navegue para Graph Explorer e autentique-se.
- Crie um pedido POST , utilizando o esquema beta para o ponto final da política de Redução da Superfície de Ataque: https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance.
- Copie o JSON no ACSC Windows Hardening Guidelines-Attack política de Redução do Surface e cole-o no corpo do pedido.
- (Opcional) modifique o valor do nome , se necessário.
Esta política de Segurança de Ponto Final do ASR contém a regra ASR específica: bloquear todas as aplicações do Office de criar processos subordinados (D4F940AB-401B-4EFC-AADC-AD5F3C50688A).
Observação
Ao importar este perfil de Regra do ASR, o Microsoft Office está impedido de criar conteúdo executável (3B576869-A4EC-4529-8536-B80A7769E899) e de injetar código noutro processo (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84).
Observação
Esta política de Redução da Superfície de Ataque (ASR) configura cada uma das regras asr recomendadas pelo ACSC no modo de auditoria. As regras do ASR devem ser testadas para problemas de compatibilidade em qualquer ambiente antes da imposição.
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| 1667 | A regra do ASR "Bloquear todas as aplicações do Office de criar processos subordinados" foi ativada. |
O Microsoft Office está impedido de criar conteúdo executável
Pode impedir o Microsoft Office de criar processos subordinados (3B576869-A4EC-4529-8536-B80A7769E899) através de uma política de Segurança de Ponto Final de Redução da Superfície de Ataque (ASR), implementada através de Intune.
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| 1668 | A regra do ASR "Bloquear a criação de conteúdos executáveis" das aplicações do Office foi ativada. |
O Microsoft Office está impedido de injetar código noutros processos
Pode impedir o Microsoft Office de criar processos subordinados (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) através de uma política de Segurança de Ponto Final de Redução da Superfície de Ataque (ASR), implementada através de Intune.
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| 1669 | A regra do ASR "Bloquear que as aplicações do Office injetem código noutros processos" foi ativada. |
O Microsoft Office está configurado para impedir a ativação de pacotes OLE
Implemente o script doOfficeMacroHardening-PreventActivationofOLE.ps1PowerShell para importar as chaves de registo que bloqueiam a ativação de pacotes OLE no Excel, PowerPoint e Word.
Detalhes de Implementação para impedir a ativação de pacotes OLE
Para implementar a prevenção da ativação de pacotes OLE:
- Adicione OfficeMacroHardening-PreventActivationofOLE.ps1como um script do PowerShell com as seguintes opções:
- Execute este script com as credenciais com sessão iniciada: Sim
- Impor marcar de assinatura de script: Não
- Executar script no Anfitrião do PowerShell de 64 bits: Não
- Atribua o script a um grupo de implementação.
Observação
Este script do PowerShell destina-se especificamente ao Office 2016 e posterior. É fornecido um script para impedir a ativação do OLE para Office 2013 aqui: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1.
O script não está assinado. Se tiver exigido a assinatura de scripts, reveja a seguinte documentação para assinar o script para que possa ser executado nos seus dispositivos Windows: Métodos de assinatura de scripts e altere a marcar Impor assinatura de script para: Sim
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| 1542 | A ativação de pacotes OLE foi impedida através de um script. |
O software PDF está impedido de criar processos subordinados
O Microsoft Edge está configurado como o visualizador de PDF predefinido no Windows 10 e Windows 11. A visualização de PDF pode ser mais reforçada com as políticas incluídas para ACSC ou orientações de proteção do fornecedor para browsers.
Em alternativa, se a sua organização estiver a utilizar o Adobe Reader como o software PDF predefinido, configure a regra adequada de Redução da Superfície de Ataque para impedir o Adobe Reader de criar processos subordinados, através dos seguintes passos:
- No Intune, navegue para Endpoint Security>Attack Surface Reduction.
- Crie (ou modifique) uma nova Política de Segurança de Ponto Final de Redução da Superfície de Ataque.
- Defina Bloquear o Adobe Reader de criar processos subordinados como Ativar.
- Atribua a política Regra de Redução da Superfície de Ataque a um grupo.
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| 1670 | A regra do ASR "Bloquear o Adobe Reader de criar processos subordinados" foi ativada. |
Orientação de proteção para browsers, software Microsoft Office e PDF
Browser e software PDF com o Microsoft Edge
O Microsoft Edge está instalado por predefinição no Windows 10 e Windows 11 e é o browser recomendado. O Microsoft Edge é o browser predefinido e o visualizador de PDF, salvo configuração em contrário.
A Microsoft e a ACSC forneceram orientações e políticas específicas para proteger o Microsoft Edge. Ambos os conjuntos de orientação devem ser implementados em simultâneo.
Detalhes de implementação com a Linha de Base de Segurança do Microsoft Edge
Para implementar a linha de base de segurança:
- Navegue paraLinhas> de Base de Segurança de Segurança de Ponto> Final daLinha de Base do Microsoft Edge.
- Crie uma nova Linha de Base do Microsoft Edge ao selecionar Criar Perfil.
- Reveja a configuração e atribua a Linha de Base de Segurança a um grupo.
Detalhes de implementação para orientações de proteção do Microsoft Edge
Para implementar orientações de proteção:
- Guarde a política ACSC Microsoft Edge Hardening Guidelines (Diretrizes de Proteção do Microsoft Edge ) no seu dispositivo local.
- Navegue para a consola Microsoft Intune.
- Importar uma política, em Dispositivos > Perfis de Configuração do Windows > Criar > Política de Importação >
- Atribua um nome à política, selecione Procurar ficheiros em Ficheiro de política e navegue para a política guardada no passo 1.
- Selecione Salvar.
Observação
A Microsoft também lançou Intune políticas que foram criadas para ajudar as organizações a cumprir as Diretrizes de Proteção Windows 10 do Centro australiano de Cibersegurança (ACSC). As políticas de proteção recomendadas do ACSC para o Microsoft Edge também estão contidas nestas políticas.
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| 1412, 1860 | - Implementar a Linha de Base de Segurança do Microsoft Edge - Implementar a Documentação de Orientação de Proteção do Microsoft Edge do ACSC. |
Microsoft Office: Microsoft Apps para Empresas
Microsoft Apps para Enterprise com as definições recomendadas para proteger o Microsoft 365, Office 2021, o Office 2019 e o Office 2016 a partir do ACSC, como parte do pilar Configurar as definições de macro do Microsoft Office para o Essential 8.
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| 1859 | Implemente as diretrizes de proteção do Office do ACSC. |
As definições de segurança de software do Microsoft Office e PDF não podem ser alteradas pelos utilizadores
Quando as políticas fornecidas neste documento são implementadas através de Intune, as definições que as políticas contêm são impostas e não podem ser alteradas por utilizadores padrão.
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| 1585 | Quando as políticas fornecidas neste documento são implementadas através de Intune, as definições que as políticas contêm são impostas e não podem ser alteradas por utilizadores padrão. |
.NET Framework 3.5 (inclui .NET 2.0 e 3.0) está desativado ou removido
A implementação do scriptUserApplicationHardening-RemoveFeatures.ps1 PowerShell desativa o .NET Framework 3.5 (inclui a funcionalidade .NET 2.0 e 3.0), se estiver instalado.
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| ISM-1655 | .NET Framework 3.5 (inclui .NET 2.0 e 3.0) está desativado ou removido. |
Windows PowerShell 2.0 está Desativado ou Removido
A implementação do scriptUserApplicationHardening-RemoveFeatures.ps1 PowerShell desativa a funcionalidade Windows PowerShell 2.0, se estiver instalada.
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| 1612 | Windows PowerShell 2.0 é desativado ou removido com o script fornecido. |
O PowerShell está configurado para utilizar o Modo de Idioma Restrito
O Modo de Idioma Restrito está ativado como parte do documento de estratégia de mitigação do Controlo de Aplicações Essential Eight.
As execuções de scripts do PowerShell bloqueadas são registadas centralmente e protegidas contra modificações e eliminações não autorizadas, monitorizadas para sinais de comprometimento e acionadas quando são detetados eventos de cibersegurança
Microsoft Defender para Ponto de Extremidade (MDPE) podem ser utilizados para obter e reter registos de pontos finais que podem ser utilizados para deteção de eventos de cibersegurança.
A execução de scripts pode ser auditada nativamente no Microsoft Defender para Ponto de Extremidade Investigação Avançada. Microsoft Defender para Ponto de Extremidade capacidade de Investigação Avançada regista vários eventos do Controlo de Aplicações, incluindo o ID de evento 8029, que comunica scripts bloqueados ou scripts impostos para execução no Modo de Idioma Restrito.
Em alternativa, o Reencaminhamento de Eventos de eventos WDAC pode ser utilizado para monitorizá-los numa solução de monitorização de terceiros.
Referências:
Compreender os IDs de eventos do Controlo de Aplicações (Windows) – segurança | do WindowsConsultar eventos do Controlo de Aplicações com Investigação Avançada (Windows) – segurança do Windows
Intune podem ser utilizadas para integrar dispositivos de forma totalmente integrada no MDPE.
Os eventos de criação do processo de linha de comandos são registados centralmente
Tal como acontece com as execuções de scripts do PowerShell bloqueadas, os eventos de criação de processos de linha de comandos que são precursores de indicações de comprometimento são recolhidos quando um dispositivo é inscrito no Defender para Endpoint. Os eventos podem ser visualizados no portal do Defender para Endpoint, na página do dispositivo em Linha Cronológica.
Detalhes de implementação para integrar pontos finais no Microsoft Defender para Ponto de Extremidade
Para implementar pontos finais de inclusão no MDPE:
- Crie um novo Perfil de Configuração do Windows com um tipo de Modelo>Microsoft Defender para Ponto de Extremidade (dispositivos de ambiente de trabalho com Windows 10 ou posterior).
- Defina Agilizar a frequência de relatórios de telemetria como Ativar.
- Atribua a política a um grupo de implementação.
Assim que os dispositivos estiverem integrados no MDPE, as execuções do PowerShell são capturadas para revisão e, se necessário, podem ser tomadas medidas. Para obter mais informações, veja Executar ações de resposta num dispositivo no Microsoft Defender para Ponto de Extremidade.
| Controlo ISM Set 2024 | Mitigação |
|---|---|
| 1664, 1665, 1405 | Os IDs de eventos do Controlo de Aplicações são capturados pelo Defender para Endpoint quando os dispositivos são inscritos no Defender para Endpoint. |
| 1899 | Os eventos de criação do processo de linha de comandos que são precursores para indicações de comprometimento são capturados pelo Defender para Endpoint quando os dispositivos são inscritos no Defender para Endpoint. |