Compreender e utilizar as capacidades de redução da superfície de ataque
Aplica-se a:
- Microsoft Defender XDR
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender Antivírus
Plataformas
- Windows
Dica
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
As superfícies de ataque são todos os locais onde a sua organização está vulnerável a ciberameaças e ataques. O Defender para Endpoint inclui várias funcionalidades para ajudar a reduzir as superfícies de ataque. Veja o seguinte vídeo para saber mais sobre a redução da superfície de ataque.
Configurar os recursos de redução da superfície de ataque
Para configurar a redução da superfície de ataque no seu ambiente, siga estes passos:
Ativar o isolamento baseado em hardware para o Microsoft Edge.
Ativar o controlo de aplicações.
Reveja as políticas de base no Windows. Veja Exemplos de Políticas de Base.
Veja o Guia de conceção do Controlo de Aplicações do Windows Defender.
Veja Implementar políticas de Controlo de Aplicações do Windows Defender (WDAC).
Ativar o controlo do dispositivo.
Ativar a proteção Web.
Configure a firewall de rede.
Obtenha uma descrição geral da Firewall do Windows com segurança avançada.
Utilize o guia de conceção da Firewall do Windows para decidir como pretende estruturar as políticas de firewall.
Utilize o guia de implementação da Firewall do Windows para configurar a firewall da sua organização com segurança avançada.
Dica
Na maioria dos casos, quando configura funcionalidades de redução da superfície de ataque, pode escolher entre vários métodos:
- Microsoft Intune
- Microsoft Configuration Manager
- Política de grupo
- Cmdlets do PowerShell
Testar a redução da superfície de ataque no Microsoft Defender para Ponto de Extremidade
Como parte da equipa de segurança da sua organização, pode configurar as capacidades de redução da superfície de ataque para serem executadas no modo de auditoria para ver como funcionam. Pode ativar as seguintes funcionalidades de segurança de redução da superfície de ataque no modo de auditoria:
- Regras de redução de superfície de ataque
- Proteção de exploração
- Proteção de rede
- Acesso a pastas controladas
- Controle de dispositivos
O modo de auditoria permite-lhe ver um registo do que teria acontecido se a funcionalidade estivesse ativada.
Pode ativar o modo de auditoria ao testar o funcionamento das funcionalidades. Ativar o modo de auditoria apenas para testes ajuda a impedir que o modo de auditoria afete as suas aplicações de linha de negócio. Também pode ter uma ideia de quantas tentativas suspeitas de modificação de ficheiros ocorrem durante um determinado período de tempo.
As funcionalidades não bloqueiam nem impedem a modificação de aplicações, scripts ou ficheiros. No entanto, o Registo de Eventos do Windows regista eventos como se as funcionalidades estivessem totalmente ativadas. Com o modo de auditoria, pode rever o registo de eventos para ver qual o efeito que a funcionalidade teria se estivesse ativada.
Para localizar as entradas auditadas, aceda a Aplicações e Serviços>Microsoft>Windows>Windows Defender>Operacional.
Utilize o Defender para Endpoint para obter mais detalhes para cada evento. Estes detalhes são especialmente úteis para investigar regras de redução da superfície de ataque. A utilização da consola do Defender para Endpoint permite-lhe investigar problemas como parte dos cenários de alerta linha do tempo e investigação.
Pode ativar o modo de auditoria com Política de Grupo, o PowerShell e os fornecedores de serviços de configuração (CSPs).
| Opções de auditoria | Como ativar o modo de auditoria | Como ver eventos |
|---|---|---|
| A auditoria aplica-se a todos os eventos | Habilitar o acesso controlado a pastas | Eventos de acesso controlado a pastas |
| A auditoria aplica-se a regras individuais | Passo 1: Testar as regras de redução da superfície de ataque com o Modo de auditoria | Passo 2: Compreender a página relatório de regras de redução da superfície de ataque |
| A auditoria aplica-se a todos os eventos | Ativar a proteção de rede | Eventos de proteção de rede |
| A auditoria aplica-se a mitigações individuais | Habilitar a proteção de exploração | Eventos de proteção contra exploits |
Por exemplo, pode testar as regras de redução da superfície de ataque no modo de auditoria antes de as ativar no modo de bloqueio. As regras de redução da superfície de ataque são predefinidas para proteger superfícies de ataque comuns e conhecidas. Existem vários métodos que pode utilizar para implementar regras de redução da superfície de ataque. O método preferencial está documentado nos seguintes artigos de implementação de regras de redução da superfície de ataque:
- Descrição geral da implementação das regras de redução da superfície de ataque
- Planear a implementação de regras de redução da superfície de ataque
- Testar regras de redução da superfície de ataque
- Habilitar regras da redução da superfície de ataque
- Operacionalizar regras de redução da superfície de ataque
Exibir os eventos da redução da superfície de ataque
Reveja os eventos de redução da superfície de ataque no Visualizador de Eventos para monitorizar que regras ou definições estão a funcionar. Também pode determinar se as definições são demasiado "ruidosas" ou afetam o seu fluxo de trabalho diário.
Rever eventos é útil quando está a avaliar as funcionalidades. Pode ativar o modo de auditoria para funcionalidades ou definições e, em seguida, rever o que teria acontecido se estivessem totalmente ativados.
Esta secção lista todos os eventos, a respetiva funcionalidade ou definição associada e descreve como criar vistas personalizadas para filtrar eventos específicos.
Obtenha relatórios detalhados sobre eventos, blocos e avisos como parte do Segurança do Windows se tiver uma subscrição E5 e utilizar Microsoft Defender para Ponto de Extremidade.
Utilizar vistas personalizadas para rever as capacidades de redução da superfície de ataque
Crie vistas personalizadas no Windows Visualizador de Eventos para ver apenas eventos para capacidades e definições específicas. A forma mais fácil é importar uma vista personalizada como um ficheiro XML. Pode copiar o XML diretamente a partir desta página.
Também pode navegar manualmente para a área de eventos que corresponde à funcionalidade.
Importar uma vista personalizada XML existente
Crie um ficheiro .txt vazio e copie o XML para a vista personalizada que pretende utilizar no ficheiro .txt. Efetue este procedimento para cada uma das vistas personalizadas que pretende utilizar. Mude o nome dos ficheiros da seguinte forma (certifique-se de que altera o tipo de .txt para .xml):
- Vista personalizada de eventos de acesso controlado a pastas: cfa-events.xml
- Vista personalizada de eventos de proteção contra exploits: ep-events.xml
- Vista personalizada de eventos de redução da superfície de ataque: asr-events.xml
- Vista personalizada de eventos de rede/proteção: np-events.xml
Escreva visualizador de eventos no menu Iniciar e abra Visualizador de Eventos.
Selecione Importar Ação>Vista Personalizada...
Navegue para onde extraiu o ficheiro XML para a vista personalizada que pretende e selecione-o.
Selecione Abrir.
Cria uma vista personalizada que filtra para mostrar apenas os eventos relacionados com essa funcionalidade.
Copiar o XML diretamente
Escreva visualizador de eventos no menu Iniciar e abra o Visualizador de Eventos do Windows.
No painel esquerdo, em Ações, selecione Criar Vista Personalizada...
Aceda ao separador XML e selecione Editar consulta manualmente. Verá um aviso a indicar que não pode editar a consulta com o separador Filtro se utilizar a opção XML. Selecione Sim.
Cole o código XML da funcionalidade a partir da qual pretende filtrar eventos na secção XML.
Selecione OK. Especifique um nome para o filtro. Esta ação cria uma vista personalizada que filtra para mostrar apenas os eventos relacionados com essa funcionalidade.
XML para eventos de regra de redução da superfície de ataque
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de acesso controlado a pastas
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de proteção contra exploits
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML para eventos de proteção de rede
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Lista de eventos de redução da superfície de ataque
Todos os eventos de redução da superfície de ataque estão localizados em Aplicações e Serviços > Regista o Microsoft > Windows e, em seguida, a pasta ou fornecedor, conforme listado na tabela seguinte.
Pode aceder a estes eventos no Visualizador de Eventos do Windows:
Abra o menu Iniciar, escreva visualizador de eventos e, em seguida, selecione o resultado Visualizador de Eventos.
Expanda Registos de Aplicações e Serviços > do Microsoft > Windows e, em seguida, aceda à pasta listada em Fornecedor/origem na tabela abaixo.
Faça duplo clique no sub item para ver eventos. Percorra os eventos para encontrar o que procura.
| Recurso | Provedor/origem | ID do Evento | Descrição |
|---|---|---|---|
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 1 | Auditoria do ACG |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 2 | Imposição do ACG |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 3 | Não permitir auditoria de processos filho |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 4 | Não permitir bloqueio de processos filho |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 5 | Bloquear a auditoria de imagens de baixa integridade |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 6 | Bloquear o bloco de imagens de baixa integridade |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 7 | Bloquear a auditoria de imagens remotas |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 8 | Bloquear o bloco de imagens remotas |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 9 | Desativar as chamadas do sistema win32k |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 10 | Desativar o bloco de chamadas do sistema win32k |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 11 | Auditoria de proteção da integridade do código |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 12 | Bloquear a proteção da integridade do código |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 13 | Auditoria da EAF |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 14 | Imposição da EAF |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 15 | Auditoria + EAF |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 16 | Imposição + EAF |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 17 | Auditoria da IAF |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 18 | Imposição da IAF |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 19 | Auditoria do ROP StackPivot |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 20 | Imposição do ROP StackPivot |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 21 | Auditoria do ROP CallerCheck |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 22 | Imposição do ROP CallerCheck |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 23 | Auditoria do ROP SimExec |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 24 | Imposição do SimExec ROP |
| Proteção de exploração | Diagnóstico do WER | 5 | Bloco CFG |
| Proteção de exploração | Win32K (Operacional) | 260 | Fonte Não Confiável |
| Proteção de rede | Windows Defender (Operacional) | 5007 | Evento quando as definições são alteradas |
| Proteção de rede | Windows Defender (Operacional) | 1125 | Evento quando a Proteção de rede é acionada no modo de Auditoria |
| Proteção de rede | Windows Defender (Operacional) | 1126 | Evento quando a Proteção de rede é acionada no modo de Bloqueio |
| Acesso a pastas controladas | Windows Defender (Operacional) | 5007 | Evento quando as definições são alteradas |
| Acesso a pastas controladas | Windows Defender (Operacional) | 1124 | Evento de acesso a pastas controladas auditadas |
| Acesso a pastas controladas | Windows Defender (Operacional) | 1123 | Evento de acesso a pastas controladas bloqueadas |
| Acesso a pastas controladas | Windows Defender (Operacional) | 1127 | Evento de bloco de escrita do setor de acesso a pastas controlado bloqueado |
| Acesso a pastas controladas | Windows Defender (Operacional) | 1128 | Auditado evento de bloco de escrita do setor de acesso a pastas controladas |
| Redução de superfície de ataque | Windows Defender (Operacional) | 5007 | Evento quando as definições são alteradas |
| Redução de superfície de ataque | Windows Defender (Operacional) | 1122 | Evento quando a regra é acionada no modo de Auditoria |
| Redução de superfície de ataque | Windows Defender (Operacional) | 1121 | Evento quando a regra é acionada no modo de Bloqueio |
Observação
Do ponto de vista do utilizador, as notificações do modo aviso de redução da superfície de ataque são feitas como uma Notificação de Alerta do Windows para regras de redução da superfície de ataque.
Na redução da superfície de ataque, a Proteção de Rede fornece apenas modos de Auditoria e Bloqueio.
Recursos para saber mais sobre a redução da superfície de ataque
Conforme mencionado no vídeo, o Defender para Endpoint inclui várias capacidades de redução da superfície de ataque. Utilize os seguintes recursos para saber mais:
| Artigo | Descrição |
|---|---|
| Controle de aplicativos | Utilize o controlo de aplicações para que as suas aplicações ganhem confiança para poderem ser executadas. |
| Referência das regras de redução da superfície de ataque | Fornece detalhes sobre cada regra de redução da superfície de ataque. |
| Guia de implementação das regras de redução da superfície de ataque | Apresenta informações de descrição geral e pré-requisitos para implementar regras de redução da superfície de ataque, seguido de orientações passo a passo para testes (modo de auditoria), ativação (modo de bloqueio) e monitorização. |
| Acesso controlado a pastas | Ajude a impedir que aplicações maliciosas ou suspeitas (incluindo software maligno de ransomware encriptado por ficheiros) façam alterações aos ficheiros nas pastas do sistema de chaves (Requer Microsoft Defender Antivírus). |
| Controle de dispositivo | Protege contra a perda de dados ao monitorizar e controlar os suportes de dados utilizados em dispositivos, como armazenamento amovível e unidades USB, na sua organização. |
| Proteção contra exploração | Ajude a proteger os sistemas operativos e as aplicações que a sua organização utiliza contra a exploração. A proteção contra exploração também funciona com soluções antivírus de terceiros. |
| Isolamento baseado em hardware | Proteja e mantenha a integridade de um sistema ao iniciá-lo e enquanto está em execução. Valide a integridade do sistema por meio de atestados locais e remotos. Utilize o isolamento de contentores para o Microsoft Edge para ajudar a proteger contra sites maliciosos. |
| Proteção de rede | Estenda a proteção ao tráfego de rede e à conectividade nos dispositivos da sua organização. (Requer o Microsoft Defender Antivírus.) |
| Testar regras de redução da superfície de ataque | Fornece passos para utilizar o modo de auditoria para testar as regras de redução da superfície de ataque. |
| Proteção na web | A proteção Web permite-lhe proteger os seus dispositivos contra ameaças à Web e ajuda-o a regular conteúdos indesejados. |
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.