Habilitar regras de redução da superfície de ataque

  • 17 minutos

A superfície de ataque inclui todos os locais em que um invasor pode colocar em perigo os dispositivos ou redes da organização. Reduzir a superfície de ataque significa proteger os dispositivos e a rede da organização, o que diminui os modos de ataque dos invasores.

As regras de redução da superfície de ataque visam determinados comportamentos de software dos quais os invasores costumar se aproveitar. Esses comportamentos incluem:

  • Abrir arquivos executáveis e scripts que tentam baixar ou executar arquivos

  • Executar scripts ocultos ou então suspeitos

  • Realizar comportamentos que os aplicativos não costumar iniciar durante o trabalho normal no dia a dia.

Esses comportamentos de software às vezes são vistos em aplicativos legítimos. No entanto, geralmente eles são considerados suspeitos porque costumam ser usados por malware. As regras de redução da superfície de ataque podem restringir comportamentos suspeitos e ajudar a manter a organização segura.

Cada regra de Redução da Superfície de Ataque contém uma das quatro configurações:

  • Não configurada: desabilitar a regra de redução da superfície de ataque

  • Bloquear: habilitar a regra de redução da superfície de ataque

  • Auditar: avaliar como a regra de redução da superfície de ataque afetaria a organização se estiver habilitada

  • Avisar: habilite a regra de redução da superfície de ataque, mas permita que o usuário final ignore o bloco

Regras de Redução de superfície de ataque

No momento, as regras de redução da superfície de ataque dão suporte às regras abaixo:

  • Bloquear o conteúdo executável do cliente de email e webmail
  • Impedir todos os aplicativos do Office de criar processos filhos
  • Impedir que aplicativos do Office criem conteúdo executável
  • Impedir que aplicativos do Office injetem código em outros processos
  • Impedir que o JavaScript ou o VBScript inicie conteúdo executável baixado
  • Impedir a execução de scripts potencialmente ofuscados
  • Impedir chamadas de API Win32 de macro do Office
  • Usar a proteção avançada contra ransomware
  • Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
  • Bloquear criações de processo provenientes de comandos PSExec e WMI
  • Bloquear processos não confiáveis e não assinados que sejam executados de USB
  • Bloquear a execução de arquivos executáveis, a menos que eles atendam a uma prevalência, idade ou critérios de lista confiável
  • Impedir que aplicativos de comunicação do Office criem processos filhos
  • Impedir que o Adobe Reader crie processos filhos
  • Bloquear persistência por meio de assinatura de evento WMI

Excluir arquivos e pastas das regras de redução da superfície de ataque

Você pode excluir arquivos e pastas para que não sejam avaliados pela maioria das regras de redução da superfície de ataque. Isso significa que, mesmo que uma regra de redução da superfície de ataque determine que o arquivo ou a pasta apresentam comportamento mal-intencionado, ela não bloqueará a execução do arquivo, o que também significa que arquivos possivelmente inseguros terão permissão para serem executados e infectar os dispositivos.

Você impede que as regras de redução da superfície de ataque sejam disparadas com base em hashes de certificado e arquivo, permitindo indicadores de arquivo e certificado do Defender for Endpoint especificados.

Você pode especificar arquivos ou pastas individuais (usando caminhos de pasta ou nomes de recursos totalmente qualificados), mas não pode especificar a quais regras as exclusões se aplicam. Uma exclusão só é aplicada quando o aplicativo ou serviço excluído é iniciado. Por exemplo, se você adicionar uma exclusão para um serviço de atualização que já está em execução, ele continuará a disparar eventos até que o serviço seja interrompido e reiniciado.

Modo de auditoria para avaliação

Use o modo de auditoria para avaliar como as regras de redução da superfície de ataque afetariam a organização, se estivessem habilitadas. É melhor executar todas as regras no modo de auditoria primeiro para que você possa entender o impacto delas nos aplicativos de linha de negócios. Muitos aplicativos de linha de negócios são gravados com questões de segurança limitadas e podem realizar tarefas de maneiras semelhantes a malware. Ao monitorar os dados de auditoria e adicionar exclusões para os aplicativos necessários, você pode implantar regras de redução da superfície de ataque, sem afetar a produtividade.

Notificações quando uma regra é disparada

Sempre que uma regra é disparada, uma notificação é exibida no dispositivo. Você pode personalizar a notificação com seus detalhes da empresa e informações de contato. A notificação também é exibida no portal do Microsoft Defender XDR.

Configurar regras de redução da superfície de ataque

Você pode definir essas regras para os dispositivos que executam qualquer uma das seguintes edições e versões do Windows:

  • Windows 10 Pro versão 1709 ou posteriores
  • Windows 10 Enterprise versão 1709 ou posteriores
  • Windows Server, versão 1803 (Canal Semestral) ou posteriores
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2022

Você pode habilitar as regras de redução da superfície de ataque usando qualquer um destes métodos:

  • Microsoft Intune
  • Gerenciamento de Dispositivos Móveis (MDM)
  • Microsoft Endpoint Configuration Manager
  • Política de Grupo
  • PowerShell

É recomendável o gerenciamento de nível empresarial, como Intune ou Microsoft Endpoint Configuration Manager. O gerenciamento de nível empresarial substituirá as configurações conflitantes da Política de Grupo e do PowerShell na inicialização.

Intune

Perfis de configuração do dispositivo:

  1. Selecione Configuração de dispositivo > Perfis. Escolha um perfil de Endpoint Protection existente ou crie um novo. Para criar um novo, selecione Criar perfil e insira as informações desse perfil. Para tipo de perfil, selecione Endpoint Protection. Se você escolheu um perfil existente, selecione Propriedades e depois Configurações.

  2. No painel Endpoint Protection, selecione Windows Defender Exploit Guard e depois Redução da superfície de ataque. Selecione a configuração desejada para cada regra.

  3. Em Exceções de redução da superfície de ataque, insira os arquivos e pastas individuais. Você também pode selecionar Importar, para importar um arquivo que contenha arquivos e pastas a serem excluídos das regras de redução da superfície de ataque. Cada linha no arquivo CSV deve ser formatada da seguinte maneira:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selecione OK nos três painéis de configuração. Em seguida, selecione Criar, se você estiver criando um novo arquivo do Endpoint Protection, ou Salvar, se estiver editando um existente.

Política de segurança do ponto de extremidade:

  1. Selecione Segurança de ponto de extremidade > Redução da superfície de ataque. Escolha uma regra existente ou crie uma nova. Para criar uma nova, selecione Criar Política e insira as informações desse perfil. Para Tipo de perfil, selecione Regras de redução da superfície de ataque. Se você escolheu um perfil existente, selecione Propriedades e depois Configurações.

  2. No painel Definições de configuração, selecione Redução da superfície de ataque e selecione a configuração desejada para cada regra.

  3. Em Lista de pastas adicionais que precisam ser protegidas, Lista de aplicativos que têm acesso a pastas protegidas e Excluir arquivos e caminhos das regras de redução da superfície de ataque, insira arquivos e pastas individuais. Você também pode selecionar Importar, para importar um arquivo que contenha arquivos e pastas a serem excluídos das regras de redução da superfície de ataque. Cada linha no arquivo CSV deve ser formatada da seguinte maneira:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selecione Avançar nos três painéis de configuração e, em seguida, selecione Criar, se estiver criando uma nova política ou Salvar, se estiver editando uma política existente.

Gerenciamento de dispositivos móveis

Para gerenciar as regras de redução da superfície de ataque no gerenciamento de dispositivo móvel:

  • Use o provedor de serviço de configuração (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules para habilitar e definir o modo para cada regra individualmente.

  • Siga a referência do gerenciamento de dispositivo móvel em Regras de redução da superfície de ataque para usar os valores do GUID.

  • Caminho OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • Valor: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

  • Os valores a serem habilitados, desabilitados ou habilitados no modo de auditoria são:

    • Desabilitar = 0

    • Bloquear (habilitar regra de redução da superfície de ataque) = 1

    • Auditar = 2

  • Use o provedor de serviço de configuração (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions para adicionar exclusões.

Exemplo:

  • Caminho OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

  • Valor: c:\path|e:\path|c:\wlisted.exe

Microsoft Endpoint Configuration Manager

Para gerenciar as regras de redução da superfície de ataque no Microsoft Endpoint Configuration Manager:

  1. No Microsoft Endpoint Configuration Manager, acesse Ativos e conformidade > Endpoint Protection > Microsoft Defender Exploit Guard.

  2. Selecione Início > Criar uma política do Exploit Guard.

  3. Insira um nome e uma descrição, selecione Redução da superfície de ataque e Avançar.

  4. Escolha quais regras irão bloquear ou auditar as ações e selecione Avançar.

  5. Examine as configurações e selecione Avançar para criar a política.

  6. Depois que a publicação for criada, selecione Fechar.

Política de grupo

Para gerenciar as regras de redução da superfície de ataque na Política de Grupo:

Aviso

Se você gerenciar os computadores e dispositivos com Intune, Configuration Manager ou outra plataforma de gerenciamento de nível empresarial, o software de gerenciamento substituirá as configurações conflitantes da Política de Grupo na inicialização.

  1. No computador de gerenciamento de Política de Grupo, abra o Console de Gerenciamento de Política de Grupo, clique com o botão direito do mouse no objeto Política de Grupo que você deseja configurar e selecione Editar.

  2. Na Editor de Gerenciamento de Política de Grupo, acesse a configuração do computador e selecione Modelos administrativos.

  3. Expanda a árvore para Componentes do Windows > Microsoft Defender Antivírus > Microsoft Defender Exploit Guard > Redução da superfície de ataque.

  4. Selecione Configurar regras de redução da superfície de ataque e Habilitado. Em seguida, você pode definir o estado individual para cada regra na seção opções.

  5. Selecione Mostrar... e insira a ID da regra na coluna Nome do valor e o estado escolhido na coluna valor da seguinte maneira:

    Desabilitar = 0 Bloquear (habilitar regra de redução da superfície de ataque) = 1 Auditar = 2

  6. Para excluir arquivos e pastas das regras de redução da superfície de ataque, selecione a configuração Excluir arquivos e caminhos das regras de redução da superfície de ataque e defina a opção como Habilitado. Selecione Mostrar e insira cada arquivo ou pasta na coluna Nome do valor. Insira 0 na coluna Valor para cada item.

PowerShell

Para gerenciar as regras de redução da superfície de ataque no PowerShell:

Aviso

Se você gerenciar os computadores e dispositivos com Intune, Configuration Manager ou outra plataforma de gerenciamento de nível empresarial, o software de gerenciamento substituirá as configurações conflitantes do PowerShell na inicialização. Para permitir que os usuários definam o valor usando o PowerShell, use a opção "Definido pelo usuário" para a regra na plataforma de gerenciamento.

  1. Digite PowerShell no menu Iniciar, clique com o botão direito do mouse no Windows PowerShell e selecione Executar como administrador.

  2. Insira o seguinte cmdlet:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

  3. Para habilitar as regras de redução da superfície de ataque no modo de auditoria, use o seguinte cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

  4. Para desativar as regras de redução da superfície de ataque, use o seguinte cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

  5. Você deve especificar o estado individualmente para cada regra, mas pode combinar regras e estados em uma lista separada por vírgulas.

  6. No exemplo a seguir, as duas primeiras regras serão habilitadas, a terceira regra será desabilitada e a quarta regra será habilitada no modo de auditoria:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

  7. Você também pode usar o item do menu de atalho Add-MpPreference PowerShell para adicionar novas regras à lista existente.

  8. O Set-MpPreference sempre substituirá o conjunto de regras existente. Se você quiser adicionar ao conjunto existente, deve usar o Add-MpPreference. Você pode obter uma lista de regras e o estado atual delas usando o Get-MpPreference.

  9. Para excluir arquivos e pastas das regras de redução da superfície de ataque, use o seguinte cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

  10. Continue a usar o Add-MpPreference-AttackSurfaceReductionOnlyExclusions para adicionar mais arquivos e pastas à lista.

Importante

Use o Add-MpPreference para acrescentar ou adicionar aplicativos à lista. Usar o cmdlet Set-MpPreference substituirá a lista existente.

Lista de eventos de redução da superfície de ataque

Todos os eventos de redução da superfície de ataque estão localizados em Logs de aplicativos e serviços > Microsoft > Windows no Visualizador de Eventos do Windows.