Demonstrações de regras de redução da superfície de ataque
Aplica-se a:
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Empresas
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender Antivírus
As regras de redução da superfície de ataque visam comportamentos específicos que são normalmente utilizados por software maligno e aplicações maliciosas para infetar máquinas, tais como:
- Ficheiros executáveis e scripts utilizados em aplicações do Office ou correio Web que tentam transferir ou executar ficheiros
- Scripts que são ocultados ou suspeitos
- Comportamentos que as aplicações realizam que não são iniciados durante o trabalho normal do dia-a-dia
Requisitos de cenário e configuração
- Os dispositivos cliente Windows têm de estar a executar Windows 11, Windows 10 compilação 1709 16273 ou posterior
- Os dispositivos windows server têm de estar a executar Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016 ou Windows Server 2012 R2 (com a solução moderna e unificada).
- Microsoft Defender Antivírus
- Microsoft 365 Apps (anteriormente conhecido como aplicações do Office; necessário para regras e exemplos do Office)
- Transferir scripts do PowerShell de redução da superfície de ataque
Comandos do PowerShell
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled
Estados da regra
| Estado | Modo | Valor numérico |
|---|---|---|
| Desabilitado | = Desativado | 0 |
| Habilitado | = Modo de bloqueio | 1 |
| Auditoria | = Modo de auditoria | 2 |
Verificar a configuração
Get-MpPreference
Testar ficheiros
Nota : alguns ficheiros de teste têm várias explorações incorporadas e acionam várias regras
| Nome da regra | GUID da Regra |
|---|---|
| Bloquear conteúdo executável do cliente de e-mail e do webmail | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| Impedir que as aplicações do Office criem processos subordinados | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Impedir que as aplicações do Office criem conteúdos executáveis | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Bloquear a injeção de aplicações do Office noutros processos | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| Impedir o JavaScript e o VBScript de iniciar executáveis | D3E037E1-3EB8-44C8-A917-57927947596D |
| Bloquear a execução de scripts potencialmente ocultados | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Bloquear importações win32 do código de macros no Office | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {Bloquear Criações de Processos com origem nos comandos PSExec & WMI | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| Bloquear a Execução de executáveis não fidedignos ou não assinados dentro de suportes de dados USB amovíveis | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| Prevenção Agressiva de Ransomware | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| Bloquear a execução de ficheiros executáveis, a menos que cumpram critérios de prevalência, idade ou lista fidedigna | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Impedir o Adobe Reader de criar processos subordinados | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Bloquear abuso de condutores vulneráveis explorados | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Bloquear a persistência através da subscrição de eventos WMI | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Bloquear a criação de Webshell para Servidores | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Bloquear o reinício da máquina no Modo de Segurança (pré-visualização) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Bloquear a utilização de ferramentas de sistema copiadas ou representadas (pré-visualização) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
Cenários
Configurar
Transfira e execute este script de configuração. Antes de executar a política de execução do conjunto de scripts para Unrestricted com este comando do PowerShell:
Set-ExecutionPolicy Unrestricted
Em alternativa, pode executar estes passos manuais:
- Criar uma pasta em c: com o nome demo, "c:\demo"
- Guarde este ficheiro limpo em c:\demo.
- Ative todas as regras com o comando do PowerShell.
Cenário 1: a redução da superfície de ataque bloqueia um ficheiro de teste com múltiplas vulnerabilidades
- Ativar todas as regras no modo de bloqueio com os comandos do PowerShell (pode copiar colar tudo)
- Transfira e abra qualquer um dos ficheiros/documentos de teste e ative a edição e o conteúdo, se lhe for pedido.
Cenário 1 resultados esperados
Deverá ver imediatamente uma notificação "Ação bloqueada".
Cenário 2: a regra ASR bloqueia o ficheiro de teste com a vulnerabilidade correspondente
Configure a regra que pretende testar com o comando do PowerShell do passo anterior.
Exemplo:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledTransfira e abra o ficheiro/documento de teste da regra que pretende testar e ative a edição e o conteúdo, se lhe for pedido.
Exemplo: Impedir que as aplicações do Office criem processos subordinados D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Cenário 2 resultados esperados
Deverá ver imediatamente uma notificação "Ação bloqueada".
Cenário 3 (Windows 10 ou posterior): a regra ASR bloqueia a execução do conteúdo USB não assinado
- Configure a regra para proteção USB (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- Transfira o ficheiro, coloque-o numa pen USB e execute-o Bloquear Execução de executáveis não fidedignos ou não assinados dentro de suportes de dados USB amovíveis
Cenário 3 resultados esperados
Deverá ver imediatamente uma notificação "Ação bloqueada".
Cenário 4: O que aconteceria sem a redução da superfície de ataque
Desative todas as regras de redução da superfície de ataque com comandos do PowerShell na secção de limpeza.
Transfira qualquer ficheiro/documento de teste e ative a edição e o conteúdo, se lhe for pedido.
Cenário 4 resultados esperados
- Os ficheiros em c:\demo são encriptados e deverá receber uma mensagem de aviso
- Execute novamente o ficheiro de teste para desencriptar os ficheiros
Limpar
Transferir e executar este script limpo
Em alternativa, pode executar estes passos manuais:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Disabled
Limpar a encriptação c:\demo ao executar o ficheiro encriptar/desencriptar
Confira também
Guia de implementação das regras de redução da superfície de ataque
Referência das regras de redução da superfície de ataque
Microsoft Defender para Ponto de Extremidade - cenários de demonstração
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.