Referência das regras de redução da superfície de ataque
Aplica-se a:
- Microsoft Microsoft Defender XDR para Endpoint (Plano 1)
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
- Microsoft Defender Antivírus
Plataformas:
- Windows
Este artigo fornece informações sobre Microsoft Defender para Ponto de Extremidade regras de redução da superfície de ataque (regras asr):
- As regras asr suportadas versões do sistema operativo
- As regras do ASR suportavam sistemas de gestão de configuração
- De acordo com os detalhes de alerta e notificação da regra ASR
- Regra ASR para matriz GUID
- Modos de regras ASR
- Descrições por regra
Importante
Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.
Dica
Como complemento a este artigo, consulte o nosso guia de configuração Microsoft Defender para Ponto de Extremidade para rever as melhores práticas e saber mais sobre ferramentas essenciais, como a redução da superfície de ataque e a proteção da próxima geração. Para uma experiência personalizada com base no seu ambiente, pode aceder ao guia de configuração automatizada do Defender para Endpoint no Centro de administração do Microsoft 365.
Regras de redução da superfície de ataque por tipo
As regras de redução da superfície de ataque são categorizadas como um de dois tipos:
Standard regras de proteção: são o conjunto mínimo de regras que a Microsoft recomenda que ative sempre, enquanto avalia as necessidades de efeito e configuração das outras regras do ASR. Normalmente, estas regras têm um impacto mínimo ou inexistente no utilizador final.
Outras regras: regras que requerem alguma medida para seguir os passos de implementação documentados [Teste do Plano > (auditoria) > Ativar (modos de bloqueio/aviso)], conforme documentado no Guia de implementação de regras de redução da superfície de ataque
Para obter o método mais fácil para ativar as regras de proteção padrão, veja: Opção de proteção padrão simplificada.
Nome da regra ASR: | Standard regra de proteção? | Outra regra? |
---|---|---|
Bloquear abuso de condutores vulneráveis explorados | Sim | |
Impedir o Adobe Reader de criar processos subordinados | Sim | |
Bloquear a criação de processos subordinados em todas as aplicações do Office | Sim | |
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) | Sim | |
Bloquear conteúdo executável do cliente de e-mail e do webmail | Sim | |
Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna | Sim | |
Bloquear a execução de scripts potencialmente ocultados | Sim | |
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido | Sim | |
Impedir que as aplicações do Office criem conteúdos executáveis | Sim | |
Bloquear a injeção de código nas aplicações do Office noutros processos | Sim | |
Bloquear a criação de processos subordinados na aplicação de comunicação do Office | Sim | |
Bloquear a persistência através da subscrição de eventos WMI | Sim | |
Bloquear criações de processos com origem nos comandos PSExec e WMI | Sim | |
Bloquear o reinício da máquina no Modo de Segurança (pré-visualização) | Sim | |
Bloquear processos não fidedignos e não assinados executados a partir de USB | Sim | |
Bloquear a utilização de ferramentas de sistema copiadas ou representadas (pré-visualização) | Sim | |
Bloquear a criação de Webshell para Servidores | Sim | |
Bloquear chamadas à API Win32 a partir de macros do Office | Sim | |
Utilizar proteção avançada contra ransomware | Sim |
exclusões do Antivírus do Microsoft Defender e regras do ASR
Microsoft Defender as exclusões do Antivírus aplicam-se a algumas capacidades de Microsoft Defender para Ponto de Extremidade, como algumas das regras de redução da superfície de ataque.
As seguintes regras DO ASR NÃO honram Microsoft Defender exclusões do Antivírus:
Observação
Para obter informações sobre a configuração de exclusões por regra, veja a secção intitulada Configurar as regras ASR por exclusões por regra no tópico Testar regras de redução da superfície de ataque.
Regras do ASR e Indicadores de Compromisso do Defender para Ponto Final (COI)
As seguintes regras do ASR NÃO honram Microsoft Defender para Ponto de Extremidade Indicadores de Compromisso (COI):
Nome da regra ASR | Descrição |
---|---|
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) | Não honra indicadores de comprometimento para ficheiros ou certificados. |
Bloquear a injeção de código nas aplicações do Office noutros processos | Não honra indicadores de comprometimento para ficheiros ou certificados. |
Bloquear chamadas à API Win32 a partir de macros do Office | Não honra indicadores de comprometimento para certificados. |
Sistemas operativos suportados por regras ASR
A tabela seguinte lista os sistemas operativos suportados para as regras atualmente lançadas para disponibilidade geral. As regras são listadas por ordem alfabética nesta tabela.
Observação
Salvo indicação em contrário, a compilação mínima do Windows10 é a versão 1709 (RS3, compilação 16299) ou posterior; o mínimo Windows Server compilação é a versão 1809 ou posterior. As regras de redução da superfície de ataque no Windows Server 2012 R2 e Windows Server 2016 estão disponíveis para dispositivos integrados com o pacote de solução unificado moderno. Para obter mais informações, veja New Windows Server 2012 R2 and 2016 functionality in the modern unified solution (Nova funcionalidade Windows Server 2012 R2 e 2016 na solução unificada moderna).
(1) Refere-se à solução unificada moderna para Windows Server 2012 e 2016. Para obter mais informações, veja Integrar Servidores Windows no serviço Defender para Endpoint.
(2) Para Windows Server 2016 e Windows Server 2012 R2, a versão mínima necessária do Microsoft Endpoint Configuration Manager é a versão 2111.
(3) A versão e o número de compilação aplicam-se apenas ao Windows10.
As regras do ASR suportavam sistemas de gestão de configuração
As ligações para informações sobre as versões do sistema de gestão de configuração referenciadas nesta tabela estão listadas abaixo desta tabela.
(1) Pode configurar regras de redução da superfície de ataque por regra utilizando o GUID de qualquer regra.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM está agora Microsoft Configuration Manager.
De acordo com os detalhes de alerta e notificação da regra ASR
As notificações de alerta são geradas para todas as regras no Modo de bloqueio. As regras em qualquer outro modo não geram notificações de alerta.
Para regras com o "Estado da Regra" especificado:
- As regras ASR com
\ASR Rule, Rule State\
combinações são utilizadas para apresentar alertas (notificações de alerta) no Microsoft Defender para Ponto de Extremidade apenas para dispositivos ao nível do bloco da cloud "Alto". - Os dispositivos que não estão ao nível do bloco de cloud elevado não geram alertas para nenhuma
ASR Rule, Rule State
combinação - Os alertas EDR são gerados para regras ASR nos estados especificados, para dispositivos ao nível do bloco de cloud "High+"
- As notificações de alerta ocorrem apenas no modo de bloqueio e para dispositivos ao nível do bloco da cloud "Alto"
Regra ASR para matriz GUID
Nome da Regra | GUID da Regra |
---|---|
Bloquear abuso de condutores vulneráveis explorados | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
Impedir o Adobe Reader de criar processos subordinados | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
Bloquear a criação de processos subordinados em todas as aplicações do Office | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
Bloquear conteúdo executável do cliente de e-mail e do webmail | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
Bloquear a execução de scripts potencialmente ocultados | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido | d3e037e1-3eb8-44c8-a917-57927947596d |
Impedir que as aplicações do Office criem conteúdos executáveis | 3b576869-a4ec-4529-8536-b80a7769e899 |
Bloquear a injeção de código nas aplicações do Office noutros processos | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
Bloquear a criação de processos subordinados na aplicação de comunicação do Office | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
Bloquear a persistência através da subscrição de eventos WMI * Exclusões de ficheiros e pastas não suportadas. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
Bloquear criações de processos com origem nos comandos PSExec e WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
Bloquear o reinício da máquina no Modo de Segurança (pré-visualização) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
Bloquear processos não fidedignos e não assinados executados a partir de USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
Bloquear a utilização de ferramentas de sistema copiadas ou representadas (pré-visualização) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
Bloquear a criação de Webshell para Servidores | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Bloquear chamadas à API Win32 a partir de macros do Office | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
Utilizar proteção avançada contra ransomware | c1db55ab-c21a-4637-bb3f-a12568109d35 |
Modos de regras ASR
- Não configurado ou Desativar: o estado em que a regra do ASR não está ativada ou está desativada. O código para este estado = 0.
- Bloco: o estado em que a regra do ASR está ativada. O código para este estado é 1.
- Auditoria: o estado em que a regra do ASR é avaliada para o efeito que teria na organização ou no ambiente se estivesse ativada (definida como bloquear ou avisar). O código para este estado é 2.
- Avisar O estado em que a regra do ASR está ativada e apresenta uma notificação ao utilizador final, mas permite que o utilizador final ignore o bloco. O código para este estado é 6.
O modo de aviso é um tipo de modo de bloqueio que alerta os utilizadores sobre ações potencialmente arriscadas. Os utilizadores podem optar por ignorar a mensagem de aviso de bloqueio e permitir a ação subjacente. Os utilizadores podem selecionar OK para impor o bloco ou selecionar a opção de ignorar – Desbloquear – através da notificação de alerta de pop-up do utilizador final que é gerada no momento do bloco. Depois de o aviso ser desbloqueado, a operação é permitida até à próxima vez que a mensagem de aviso ocorrer, altura em que o utilizador final terá de voltar a formatar a ação.
Quando o botão permitir é clicado, o bloco é suprimido durante 24 horas. Após 24 horas, o utilizador final terá de permitir o bloco novamente. O modo de aviso para as regras do ASR só é suportado para dispositivos RS5+ (1809+). Se ignorar for atribuído às regras ASR em dispositivos com versões mais antigas, a regra está no modo bloqueado.
Também pode definir uma regra no modo de aviso através do PowerShell ao especificar o AttackSurfaceReductionRules_Actions
como "Avisar". Por exemplo:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Descrições por regra
Bloquear abuso de condutores vulneráveis explorados
Esta regra impede que uma aplicação escreva um controlador assinado vulnerável no disco. Os controladores assinados in-the-wild e vulneráveis podem ser explorados por aplicações locais - que têm privilégios suficientes - para obter acesso ao kernel. Os controladores assinados vulneráveis permitem aos atacantes desativar ou contornar as soluções de segurança, o que acaba por levar ao comprometimento do sistema.
A regra Bloquear abuso de controladores assinados vulneráveis explorados não impede que um controlador já existente no sistema seja carregado.
Observação
Pode configurar esta regra com Intune OMA-URI. Veja Intune OMA-URI para configurar regras personalizadas. Também pode configurar esta regra com o PowerShell. Para que um controlador seja examinado, utilize este Web site para Submeter um controlador para análise.
Nome do Intune:Block abuse of exploited vulnerable signed drivers
Configuration Manager nome: Ainda não está disponível
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Tipo de ação de investigação avançada:
AsrVulnerableSignedDriverAudited
AsrVulnerableSignedDriverBlocked
Impedir o Adobe Reader de criar processos subordinados
Esta regra impede ataques ao bloquear a criação de processos pelo Adobe Reader.
O software maligno pode transferir e iniciar payloads e sair do Adobe Reader através de engenharia social ou exploits. Ao bloquear a geração de processos subordinados pelo Adobe Reader, o software maligno que tenta utilizar o Adobe Reader como vetor de ataque é impedido de se espalhar.
Intune nome:Process creation from Adobe Reader (beta)
Configuration Manager nome: Ainda não está disponível
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Tipo de ação de investigação avançada:
AsrAdobeReaderChildProcessAudited
AsrAdobeReaderChildProcessBlocked
Dependências: Antivírus Microsoft Defender
Bloquear a criação de processos subordinados em todas as aplicações do Office
Esta regra impede que as aplicações do Office criem processos subordinados. As aplicações do Office incluem Word, Excel, PowerPoint, OneNote e Access.
A criação de processos subordinados maliciosos é uma estratégia de software maligno comum. O software maligno que abusa do Office como vetor executa frequentemente macros VBA e explora código para transferir e tentar executar mais payloads. No entanto, algumas aplicações de linha de negócio legítimas também podem gerar processos subordinados para fins benignos; como gerar uma linha de comandos ou utilizar o PowerShell para configurar as definições do registo.
Intune nome:Office apps launching child processes
Configuration Manager nome:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Tipo de ação de investigação avançada:
AsrOfficeChildProcessAudited
AsrOfficeChildProcessBlocked
Dependências: Antivírus Microsoft Defender
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows
Observação
Se tiver a proteção LSA ativada e o Credential Guard ativado, esta regra de redução da superfície de ataque não é necessária.
Esta regra ajuda a impedir o roubo de credenciais ao bloquear o Serviço de Subsistema de Autoridade de Segurança Local (LSASS).
O LSASS autentica os utilizadores que iniciam sessão num computador Windows. Microsoft Defender Credential Guard no Windows normalmente impede tentativas de extrair credenciais do LSASS. Algumas organizações não podem ativar o Credential Guard em todos os respetivos computadores devido a problemas de compatibilidade com controladores de smartcard personalizados ou outros programas que são carregados para a Autoridade de Segurança Local (LSA). Nestes casos, os atacantes podem utilizar ferramentas como o Mimikatz para extrair palavras-passe de texto não encriptado e hashes NTLM do LSASS.
Por predefinição, o estado desta regra está definido para bloquear. Na maioria dos casos, muitos processos fazem chamadas para lSASS para direitos de acesso que não são necessários. Por exemplo, por exemplo, quando o bloco inicial da regra ASR resulta numa chamada subsequente para um privilégio menor que, posteriormente, é bem-sucedido. Para obter informações sobre os tipos de direitos que normalmente são pedidos em chamadas de processo para LSASS, consulte: Segurança do Processo e Direitos de Acesso.
Ativar esta regra não fornece proteção adicional se tiver a proteção LSA ativada, uma vez que a regra ASR e a proteção LSA funcionam da mesma forma. No entanto, quando não é possível ativar a proteção LSA, esta regra pode ser configurada para fornecer proteção equivalente contra software maligno que tenha como destino lsass.exe
.
Dica
- Os eventos de auditoria do ASR não geram notificações de alerta. No entanto, uma vez que a regra ASR LSASS produz um grande volume de eventos de auditoria, quase todos são seguros de ignorar quando a regra está ativada no modo de bloqueio, pode optar por ignorar a avaliação do modo de auditoria e avançar para a implementação do modo de bloqueio, começando com um pequeno conjunto de dispositivos e expandindo-se gradualmente para cobrir o resto.
- A regra foi concebida para suprimir relatórios/alertas de blocos para processos amigáveis. Também foi concebido para remover relatórios para blocos duplicados. Como tal, a regra é adequada para ser ativada no modo de bloqueio, independentemente de as notificações de alerta estarem ativadas ou desativadas.
- O ASR no modo de aviso foi concebido para apresentar aos utilizadores uma notificação de alerta de bloqueio que inclui um botão "Desbloquear". Devido à natureza "segura para ignorar" dos blocos ASR LSASS e do seu grande volume, o modo WARN não é aconselhável para esta regra (independentemente de as notificações de alerta estarem ativadas ou desativadas).
Observação
Neste cenário, a regra ASR é classificada como "não aplicável" nas definições do Defender para Endpoint no portal do Microsoft Defender. A regra ASR bloquear o roubo de credenciais da autoridade de segurança local do Windows não suporta o modo WARN. Em algumas aplicações, o código enumera todos os processos em execução e tenta abri-los com permissões exaustivas. Esta regra nega a ação de abertura do processo da aplicação e regista os detalhes no registo de eventos de segurança. Esta regra pode gerar muito ruído. Se tiver uma aplicação que simplesmente enumera LSASS, mas não tem nenhum impacto real na funcionalidade, não é necessário adicioná-la à lista de exclusão. Por si só, esta entrada de registo de eventos não indica necessariamente uma ameaça maliciosa.
Intune nome:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager nome:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Tipo de ação de investigação avançada:
AsrLsassCredentialTheftAudited
AsrLsassCredentialTheftBlocked
Dependências: Antivírus Microsoft Defender
Problemas conhecidos: estas aplicações e a regra "Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows" são incompatíveis:
Nome do aplicativo | Para obter informações |
---|---|
Sincronização de Palavras-passe do Quest Dirsync | A Sincronização de Palavras-passe do Dirsync não está a funcionar quando o Windows Defender está instalado, erro: "VirtualAllocEx falhou: 5" (4253914) |
Para obter suporte técnico, contacte o fornecedor do software.
Bloquear conteúdo executável do cliente de e-mail e do webmail
Esta regra impede que o e-mail aberto na aplicação Microsoft Outlook ou Outlook.com e outros fornecedores de webmail populares propaguem os seguintes tipos de ficheiro:
- Ficheiros executáveis (como .exe, .dll ou .scr)
- Ficheiros de script (como um ficheiro de .ps1 do PowerShell, .vbs do Visual Basic ou javaScript .js)
Intune nome:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager nome:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Tipo de ação de investigação avançada:
AsrExecutableEmailContentAudited
AsrExecutableEmailContentBlocked
Dependências: Antivírus Microsoft Defender
Observação
A regra Bloquear conteúdo executável do cliente de e-mail e do webmail tem as seguintes descrições alternativas, consoante a aplicação que utilizar:
- Intune (Perfis de Configuração): a execução de conteúdo executável (exe, dll, ps, js, vbs, etc.) foi removida do e-mail (cliente de webmail/correio) (sem exceções).
- Configuration Manager: bloquear a transferência de conteúdo executável a partir de clientes de e-mail e webmail.
- Política de Grupo: bloquear conteúdo executável do cliente de e-mail e do webmail.
Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna
Esta regra bloqueia a iniciação de ficheiros executáveis, como .exe, .dll ou .scr. Assim, iniciar ficheiros executáveis não fidedignos ou desconhecidos pode ser arriscado, uma vez que poderá não ser inicialmente claro se os ficheiros são maliciosos.
Importante
Tem de ativar a proteção fornecida pela cloud para utilizar esta regra.
A regra Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna com GUID 01443614-cd74-433a-b99e-2ecdc07bfc25
é propriedade da Microsoft e não é especificada pelos administradores. Esta regra utiliza proteção fornecida pela cloud para atualizar regularmente a lista fidedigna.
Pode especificar ficheiros ou pastas individuais (utilizando caminhos de pasta ou nomes de recursos completamente qualificados), mas não pode especificar a que regras ou exclusões se aplicam.
Intune nome:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager nome:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Tipo de ação de investigação avançada:
AsrUntrustedExecutableAudited
AsrUntrustedExecutableBlocked
Dependências: Antivírus Microsoft Defender, Proteção da Cloud
Bloquear a execução de scripts potencialmente ocultados
Esta regra deteta propriedades suspeitas num script ocultado.
Observação
Os scripts do PowerShell são agora suportados para a regra "Bloquear a execução de scripts potencialmente ocultados".
Importante
Tem de ativar a proteção fornecida pela cloud para utilizar esta regra.
A ocultação de scripts é uma técnica comum que tanto os autores de software maligno como as aplicações legítimas utilizam para ocultar a propriedade intelectual ou diminuir os tempos de carregamento de scripts. Os autores de software maligno também utilizam a ocultação para tornar o código malicioso mais difícil de ler, o que dificulta o escrutínio por parte dos seres humanos e do software de segurança.
Intune nome:Obfuscated js/vbs/ps/macro code
Configuration Manager nome:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Tipo de ação de investigação avançada:
AsrObfuscatedScriptAudited
AsrObfuscatedScriptBlocked
Dependências: Microsoft Defender Antivírus, Interface de Análise AntiMalware (AMSI)
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido
Esta regra impede que os scripts iniciem conteúdos transferidos potencialmente maliciosos. O software maligno escrito em JavaScript ou VBScript atua frequentemente como um transferidor para obter e iniciar outro software maligno a partir da Internet. Embora não seja comum, por vezes, as aplicações de linha de negócio utilizam scripts para transferir e iniciar instaladores.
Intune nome:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager nome:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Tipo de ação de investigação avançada:
AsrScriptExecutableDownloadAudited
AsrScriptExecutableDownloadBlocked
Dependências: Microsoft Defender Antivírus, AMSI
Impedir que as aplicações do Office criem conteúdos executáveis
Esta regra impede que as aplicações do Office, incluindo Word, Excel e PowerPoint, criem conteúdos executáveis potencialmente maliciosos, bloqueando a escrita de código malicioso no disco. O software maligno que abusa do Office como vetor pode tentar sair do Office e guardar componentes maliciosos no disco. Estes componentes maliciosos sobreviveriam a um reinício do computador e persistiriam no sistema. Por conseguinte, esta regra defende-se contra uma técnica de persistência comum. Esta regra também bloqueia a execução de ficheiros não fidedignos que podem ter sido guardados por macros do Office que podem ser executados em ficheiros do Office.
Intune nome:Office apps/macros creating executable content
Configuration Manager nome:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Tipo de ação de investigação avançada:
AsrExecutableOfficeContentAudited
AsrExecutableOfficeContentBlocked
Dependências: Antivírus Microsoft Defender, RPC
Bloquear a injeção de código nas aplicações do Office noutros processos
Esta regra bloqueia as tentativas de injeção de código das aplicações do Office noutros processos.
Observação
A regra ASR bloquear aplicações de injeção de código noutros processos não suporta o modo AVISO.
Importante
Esta regra requer que reinicie Microsoft 365 Apps (aplicações do Office) para que as alterações de configuração entrem em vigor.
Os atacantes podem tentar utilizar as aplicações do Office para migrar código malicioso para outros processos através da injeção de código, para que o código possa ser mascarado como um processo limpo. Não existem fins comerciais legítimos conhecidos para utilizar a injeção de código.
Esta regra aplica-se a Word, Excel, OneNote e PowerPoint.
Intune nome:Office apps injecting code into other processes (no exceptions)
Configuration Manager nome:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Tipo de ação de investigação avançada:
AsrOfficeProcessInjectionAudited
AsrOfficeProcessInjectionBlocked
Dependências: Antivírus Microsoft Defender
Problemas conhecidos: estas aplicações e a regra "Bloquear aplicações do Office de injetar código noutros processos" são incompatíveis:
Nome do aplicativo | Para obter informações |
---|---|
Avecto (BeyondTrust) Privilege Guard | Setembro-2024 (Plataforma: 4.18.24090.11 | Motor 1.1.24090.11). |
Segurança de Heimdal | n/d |
Para obter suporte técnico, contacte o fornecedor do software.
Bloquear a criação de processos subordinados na aplicação de comunicação do Office
Esta regra impede o Outlook de criar processos subordinados, ao mesmo tempo que permite funções legítimas do Outlook. Esta regra protege contra ataques de engenharia social e impede a exploração de código contra vulnerabilidades abusivas no Outlook. Também protege contra as regras e explorações de formulários do Outlook que os atacantes podem utilizar quando as credenciais de um utilizador são comprometidas.
Observação
Esta regra bloqueia sugestões de política DLP e Descrições no Outlook. Esta regra aplica-se apenas ao Outlook e Outlook.com.
Intune nome:Process creation from Office communication products (beta)
Configuration Manager nome: Não disponível
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Tipo de ação de investigação avançada:
AsrOfficeCommAppChildProcessAudited
AsrOfficeCommAppChildProcessBlocked
Dependências: Antivírus Microsoft Defender
Bloquear a persistência através da subscrição de eventos WMI
Essa regra impede que o malware viole o WMI para obter persistência em um dispositivo.
Ameaças sem arquivo empregam várias táticas para permanecer ocultas, evitar serem vistas no sistema de arquivos e obter controle de execução periódico. Algumas ameaças podem violar o repositório WMI e o modelo de evento para permanecerem ocultas.
Observação
Se CcmExec.exe
(SCCM Agente) for detetado no dispositivo, a regra ASR é classificada como "não aplicável" nas definições do Defender para Endpoint no portal do Microsoft Defender.
Intune nome:Persistence through WMI event subscription
Configuration Manager nome: Não disponível
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Tipo de ação de investigação avançada:
AsrPersistenceThroughWmiAudited
AsrPersistenceThroughWmiBlocked
Dependências: Antivírus Microsoft Defender, RPC
Bloquear criações de processos com origem nos comandos PSExec e WMI
Esta regra bloqueia a execução de processos criados através de PsExec e WMI . Tanto o PsExec como o WMI podem executar código remotamente. Existe o risco de o software maligno abusar da funcionalidade de PsExec e WMI para fins de comando e controlo ou de espalhar uma infeção pela rede de uma organização.
Aviso
Utilize esta regra apenas se estiver a gerir os seus dispositivos com Intune ou outra solução de MDM. Esta regra é incompatível com a gestão através do Microsoft Endpoint Configuration Manager porque esta regra bloqueia comandos WMI que o cliente Configuration Manager utiliza para funcionar corretamente.
Intune nome:Process creation from PSExec and WMI commands
Configuration Manager nome: Não aplicável
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Tipo de ação de investigação avançada:
AsrPsexecWmiChildProcessAudited
AsrPsexecWmiChildProcessBlocked
Dependências: Antivírus Microsoft Defender
Bloquear o reinício da máquina no Modo de Segurança (pré-visualização)
Esta regra impede a execução de comandos para reiniciar máquinas no Modo de Segurança. O Modo de Segurança é um modo de diagnóstico que só carrega os ficheiros e controladores essenciais necessários para que o Windows seja executado. No entanto, no Modo de Segurança, muitos produtos de segurança estão desativados ou operam numa capacidade limitada, o que permite aos atacantes iniciarem ainda mais comandos de adulteração ou simplesmente executar e encriptar todos os ficheiros no computador. Esta regra bloqueia esses ataques ao impedir que os processos reiniciem as máquinas no Modo de Segurança.
Observação
Esta capacidade está atualmente em pré-visualização. Estão em desenvolvimento atualizações adicionais para melhorar a eficácia.
Nome do Intune:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager nome: Ainda não está disponível
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Tipo de ação de investigação avançada:
AsrSafeModeRebootedAudited
AsrSafeModeRebootBlocked
AsrSafeModeRebootWarnBypassed
Dependências: Antivírus Microsoft Defender
Bloquear processos não fidedignos e não assinados executados a partir de USB
Com esta regra, os administradores podem impedir que ficheiros executáveis não assinados ou não fidedignos sejam executados a partir de unidades amovíveis USB, incluindo cartões SD. Os tipos de ficheiro bloqueados incluem ficheiros executáveis (como .exe, .dll ou .scr)
Importante
Os ficheiros copiados da pen USB para a unidade de disco serão bloqueados por esta regra se e quando estiver prestes a ser executado na unidade de disco.
Intune nome:Untrusted and unsigned processes that run from USB
Configuration Manager nome:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Tipo de ação de investigação avançada:
AsrUntrustedUsbProcessAudited
AsrUntrustedUsbProcessBlocked
Dependências: Antivírus Microsoft Defender
Bloquear a utilização de ferramentas de sistema copiadas ou representadas (pré-visualização)
Esta regra bloqueia a utilização de ficheiros executáveis identificados como cópias de ferramentas do sistema Windows. Estes ficheiros são duplicados ou impostores das ferramentas de sistema originais. Alguns programas maliciosos podem tentar copiar ou representar ferramentas do sistema Windows para evitar a deteção ou obter privilégios. Permitir tais ficheiros executáveis pode levar a potenciais ataques. Esta regra impede a propagação e execução desses duplicados e impostores das ferramentas de sistema em computadores Windows.
Observação
Esta capacidade está atualmente em pré-visualização. Estão em desenvolvimento atualizações adicionais para melhorar a eficácia.
Nome do Intune:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager nome: Ainda não está disponível
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Tipo de ação de investigação avançada:
AsrAbusedSystemToolAudited
AsrAbusedSystemToolBlocked
AsrAbusedSystemToolWarnBypassed
Dependências: Antivírus Microsoft Defender
Bloquear a criação de Webshell para Servidores
Esta regra bloqueia a criação de scripts da shell Web no Microsoft Server, Função do Exchange. Um script de shell Web é um script criado especificamente que permite a um atacante controlar o servidor comprometido. Uma shell Web pode incluir funcionalidades como receber e executar comandos maliciosos, transferir e executar ficheiros maliciosos, roubar e exfiltrar credenciais e informações confidenciais, identificar potenciais destinos, etc.
Intune nome:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Dependências: Antivírus Microsoft Defender
Bloquear chamadas à API Win32 a partir de macros do Office
Esta regra impede que macros VBA chamem APIs Win32. O VBA do Office ativa as chamadas à API Win32. O software maligno pode abusar desta capacidade, como chamar APIs Win32 para iniciar código shellcode malicioso sem escrever nada diretamente no disco. A maioria das organizações não depende da capacidade de chamar APIs Win32 no seu funcionamento diário, mesmo que utilizem macros de outras formas.
Intune nome:Win32 imports from Office macro code
Configuration Manager nome:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Tipo de ação de investigação avançada:
AsrOfficeMacroWin32ApiCallsAudited
AsrOfficeMacroWin32ApiCallsBlocked
Dependências: Microsoft Defender Antivírus, AMSI
Utilizar proteção avançada contra ransomware
Esta regra fornece uma camada adicional de proteção contra ransomware. Utiliza heurística de cliente e cloud para determinar se um ficheiro se assemelha a ransomware. Esta regra não bloqueia ficheiros que tenham uma ou mais das seguintes características:
- O ficheiro já foi considerado incómodo na cloud da Microsoft.
- O ficheiro é um ficheiro assinado válido.
- O ficheiro é predominante o suficiente para não ser considerado como ransomware.
A regra tende a errar por precaução para evitar ransomware.
Observação
Tem de ativar a proteção fornecida pela cloud para utilizar esta regra.
Intune nome:Advanced ransomware protection
Configuration Manager nome:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Tipo de ação de investigação avançada:
AsrRansomwareAudited
AsrRansomwareBlocked
Dependências: Antivírus Microsoft Defender, Proteção da Cloud
Confira também
- Descrição geral da implementação das regras de redução da superfície de ataque
- Planear a implementação de regras de redução da superfície de ataque
- Testar regras de redução da superfície de ataque
- Habilitar regras da redução da superfície de ataque
- Operacionalizar regras de redução da superfície de ataque
- Relatório de regras de redução da superfície de ataque
- Referência das regras de redução da superfície de ataque
- Exclusões do Antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.