Etapa 1. Configurar linhas de base de segurança
Como primeira etapa para conter os invasores de ransomware, você deve configurar as seguintes linhas de base de segurança definidas pela Microsoft:
- Centro de segurança do Microsoft 365
- Gerenciamento de email do Exchange
- Linhas de base adicionais para dispositivos Windows e software cliente
Essas linhas de base contêm definições de configuração e regras bem conhecidas pelos invasores, cuja ausência é rapidamente notada e comumente explorada.
Base de Centro de segurança do Microsoft 365
Primeiro, avalie e meça sua postura de segurança usando o Microsoft Secure Score e siga as instruções para melhorá-lo conforme necessário.
Em seguida, use as regras de redução da superfície de ataque para ajudar a bloquear atividades suspeitas e conteúdo vulnerável. Essas regras incluem a prevenção de:
- Todos os aplicativos do Office, desde a criação de processos filho
- Conteúdo executável de cliente de email e webmail
- Arquivos executáveis sejam executados, a menos que atendam a um critério de prevalência, idade ou lista confiável
- Execução de scripts potencialmente ofuscados
- JavaScript ou VBScript de lançar conteúdo executável baixado
- Aplicativos de escritório desde a criação de conteúdo executável
- Os aplicativos de escritório injetam código em outros processos
- Aplicativo de comunicação do Office desde a criação de processos filhos
- Processos não confiáveis e não assinados executados em USB
- Persistência por meio da inscrição de evento da interface de gerenciamento do Windows (WMI)
- Roubo de credenciais do subsistema de autoridade de segurança local do Windows (lsass.exe)
- Criações de processos originadas de comandos PSExec e WMI
Linha de base do gerenciamento de email do Exchange
Ajude a evitar o acesso inicial ao seu locatário de um ataque baseado em email com estas configurações básicas de email do Exchange:
- Habilite a Verificação de email do Microsoft Defender Antivírus.
- Use o Microsoft Defender para Office 365 para proteção avançada contra phishing e cobertura contra novas ameaças e variantes polimórficas.
- Verifique as configurações de filtragem de email do Office 365 para garantir que você bloqueie emails falsificados, spam e emails com malware. Use o Microsoft Defender para Office 365 para proteção aprimorada contra phishing e cobertura contra novas ameaças e variantes polimórficas. Configure o Defender para Office 365 para verificar novamente os links ao clicar e excluir emails entregues em resposta à inteligência de ameaças recém-adquirida.
- Atualizar e atualize para as configurações mais recentes recomendadas para segurança do EOP e Microsoft Defender para Office 365.
- Configure o Microsoft Defender para Office 365 para verificar novamente os links ao clicar e excluir os emails entregues em resposta à inteligência contra ameaças recém-adquirida.
Linhas de base adicionais
Aplique linhas de base de segurança para:
- Microsoft Windows 11 ou 10
- Microsoft 365 Apps para Grandes Empresas
- Microsoft Edge
Impacto nos usuários e gerenciamento de mudanças
Como uma prática recomendada para uma regra de redução de superfície de ataque, avalie como uma regra pode afetar sua rede abrindo a recomendação de segurança para essa regra no Gerenciamento de Vulnerabilidades do Defender. O painel de detalhes de recomendação descreve o impacto do usuário, que você pode usar para determinar qual porcentagem de seus dispositivos pode aceitar uma nova política habilitando a regra no modo de bloqueio sem impacto adverso na produtividade do usuário.
Além disso, as configurações de linha de base do e-mail do Exchange podem bloquear o email de entrada e impedir o envio de e-mail ou o clique em links dentro do e-mail. Eduque seus funcionários sobre esse comportamento e o motivo pelo qual essas precauções estão sendo tomadas.
Configuração resultante
Aqui está a proteção contra ransomware para seu locatário após esta etapa.
Próxima etapa
Continue com a Etapa 2 para implantar recursos de detecção e resposta de ataque para seu locatário do Microsoft 365.