Partilhar via


Referência das regras de redução da superfície de ataque

Aplica-se a:

Plataformas:

  • Windows

Este artigo fornece informações sobre Microsoft Defender para Endpoint regras de redução da superfície de ataque (regras ASR):

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

Sugestão

Como complemento a este artigo, consulte o nosso guia de configuração Microsoft Defender para Endpoint para rever as melhores práticas e saber mais sobre ferramentas essenciais, como a redução da superfície de ataque e a proteção da próxima geração. Para uma experiência personalizada com base no seu ambiente, pode aceder ao guia de configuração automatizada do Defender para Endpoint no centro de administração do Microsoft 365.

Regras de redução da superfície de ataque por tipo

As regras de redução da superfície de ataque são categorizadas como um de dois tipos:

  • Regras de proteção padrão: são o conjunto mínimo de regras que a Microsoft recomenda que ative sempre, enquanto avalia o efeito e as necessidades de configuração das outras regras do ASR. Normalmente, estas regras têm um impacto mínimo ou inexistente no utilizador final.

  • Outras regras: regras que requerem alguma medida para seguir os passos de implementação documentados [Teste do Plano > (auditoria) > Ativar (modos de bloqueio/aviso)], conforme documentado no Guia de implementação de regras de redução da superfície de ataque

Para obter o método mais fácil para ativar as regras de proteção padrão, veja: Opção de proteção padrão simplificada.

Nome da regra ASR: Regra de proteção padrão? Outra regra?
Bloquear abuso de condutores vulneráveis explorados Sim
Impedir o Adobe Reader de criar processos subordinados Sim
Bloquear a criação de processos subordinados em todas as aplicações do Office Sim
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) Sim
Bloquear conteúdo executável do cliente de e-mail e do webmail Sim
Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna Sim
Bloquear a execução de scripts potencialmente ocultados Sim
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido Sim
Impedir que as aplicações do Office criem conteúdos executáveis Sim
Bloquear a injeção de código nas aplicações do Office noutros processos Sim
Bloquear a criação de processos subordinados na aplicação de comunicação do Office Sim
Bloquear a persistência através da subscrição de eventos WMI Sim
Bloquear criações de processos com origem nos comandos PSExec e WMI Sim
Bloquear o reinício da máquina no Modo de Segurança (pré-visualização) Sim
Bloquear processos não fidedignos e não assinados executados a partir de USB Sim
Bloquear a utilização de ferramentas de sistema copiadas ou representadas (pré-visualização) Sim
Bloquear a criação de Webshell para Servidores Sim
Bloquear chamadas à API Win32 a partir de macros do Office Sim
Utilizar proteção avançada contra ransomware Sim

exclusões do Antivírus do Microsoft Defender e regras do ASR

Microsoft Defender as exclusões do Antivírus aplicam-se a algumas capacidades de Microsoft Defender para Endpoint, como algumas das regras de redução da superfície de ataque.

As seguintes regras DO ASR NÃO honram Microsoft Defender exclusões do Antivírus:

Nome das regras do ASR:
Impedir o Adobe Reader de criar processos subordinados
Bloquear criações de processos com origem nos comandos PSExec e WMI
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
Impedir que as aplicações do Office criem conteúdos executáveis
Bloquear a injeção de código nas aplicações do Office noutros processos
Bloquear a criação de processos subordinados na aplicação de comunicação do Office

Nota

Para obter informações sobre a configuração de exclusões por regra, veja a secção intitulada Configurar as regras ASR por exclusões por regra no tópico Testar regras de redução da superfície de ataque.

Regras do ASR e Indicadores de Compromisso do Defender para Ponto Final (COI)

As seguintes regras do ASR NÃO honram Microsoft Defender para Endpoint Indicadores de Compromisso (COI):

Nome da regra ASR Descrição
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) Não honra indicadores de comprometimento para ficheiros ou certificados.
Bloquear a injeção de código nas aplicações do Office noutros processos Não honra indicadores de comprometimento para ficheiros ou certificados.
Bloquear chamadas à API Win32 a partir de macros do Office Não honra indicadores de comprometimento para certificados.

Sistemas operativos suportados por regras ASR

A tabela seguinte lista os sistemas operativos suportados para as regras atualmente lançadas para disponibilidade geral. As regras são listadas por ordem alfabética nesta tabela.

Nota

Salvo indicação em contrário, a compilação mínima do Windows10 é a versão 1709 (RS3, compilação 16299) ou posterior; o mínimo Windows Server compilação é a versão 1809 ou posterior. As regras de redução da superfície de ataque no Windows Server 2012 R2 e Windows Server 2016 estão disponíveis para dispositivos integrados com o pacote de solução unificado moderno. Para obter mais informações, veja New Windows Server 2012 R2 and 2016 functionality in the modern unified solution (Nova funcionalidade Windows Server 2012 R2 e 2016 na solução unificada moderna).

Nome da regra Windows 11
e
Windows 10
Windows Server 2022
e
Windows Server 2019
Windows Server: Windows Server 2016 [1, 2] Windows Server:
2012 R2 [1, 2]
Bloquear abuso de condutores vulneráveis explorados Y Y Y
versão 1803 (Via de Atualizações Semianuais) ou posterior
Y Y
Impedir o Adobe Reader de criar processos subordinados Y
versão 1809 ou posterior [3]
Y Y Y Y
Bloquear a criação de processos subordinados em todas as aplicações do Office Y Y Y Y Y
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) Y
versão 1803 ou posterior [3]
Y Y Y Y
Bloquear conteúdo executável do cliente de e-mail e do webmail Y Y Y Y Y
Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna Y
versão 1803 ou posterior [3]
Y Y Y Y
Bloquear a execução de scripts potencialmente ocultados Y Y Y Y Y
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido Y Y Y N N
Impedir que as aplicações do Office criem conteúdos executáveis Y Y Y Y Y
Bloquear a injeção de código nas aplicações do Office noutros processos Y Y Y Y Y
Bloquear a criação de processos subordinados na aplicação de comunicação do Office Y Y Y Y Y
Bloquear a persistência através da subscrição de eventos do Windows Management Instrumentation (WMI) Y
versão 1903 (compilação 18362) ou posterior [3]
Y Y
versão 1903 (compilação 18362) ou posterior
N N
Bloquear criações de processos com origem nos comandos PSExec e WMI Y
versão 1803 ou posterior [3]
Y Y Y Y
Bloquear o reinício da máquina no Modo de Segurança (pré-visualização) Y Y Y Y Y
Bloquear processos não fidedignos e não assinados executados a partir de USB Y Y Y Y Y
Bloquear a utilização de ferramentas de sistema copiadas ou representadas (pré-visualização) Y Y Y Y Y
Bloquear a criação de Webshell para Servidores N Y
Apenas Função do Exchange
Y
Apenas Função do Exchange
Y
Apenas Função do Exchange
Y
Apenas Função do Exchange
Bloquear chamadas à API Win32 a partir de macros do Office Y N N N N
Utilizar proteção avançada contra ransomware Y
versão 1803 ou posterior [3]
Y Y Y Y

(1) Refere-se à solução unificada moderna para Windows Server 2012 e 2016. Para obter mais informações, veja Integrar Servidores Windows no serviço Defender para Endpoint.

(2) Para Windows Server 2016 e Windows Server 2012 R2, a versão mínima necessária do Microsoft Endpoint Configuration Manager é a versão 2111.

(3) A versão e o número de compilação aplicam-se apenas ao Windows10.

As regras do ASR suportavam sistemas de gestão de configuração

As ligações para informações sobre as versões do sistema de gestão de configuração referenciadas nesta tabela estão listadas abaixo desta tabela.

Nome da regra Microsoft Intune Microsoft Endpoint Configuration Manager Política de Grupo[1] PowerShell[1]
Bloquear abuso de condutores vulneráveis explorados Y Y Y
Impedir o Adobe Reader de criar processos subordinados Y Y Y
Bloquear a criação de processos subordinados em todas as aplicações do Office Y Y

CB 1710
Y Y
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) Y Y

CB 1802
Y Y
Bloquear conteúdo executável do cliente de e-mail e do webmail Y Y

CB 1710
Y Y
Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna Y Y

CB 1802
Y Y
Bloquear a execução de scripts potencialmente ocultados Y Y

CB 1710
Y Y
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido Y Y

CB 1710
Y Y
Impedir que as aplicações do Office criem conteúdos executáveis Y Y

CB 1710
Y Y
Bloquear a injeção de código nas aplicações do Office noutros processos Y Y

CB 1710
Y Y
Bloquear a criação de processos subordinados na aplicação de comunicação do Office Y Y

CB 1710
Y Y
Bloquear a persistência através da subscrição de eventos WMI Y Y Y
Bloquear criações de processos com origem nos comandos PSExec e WMI Y Y Y
Bloquear o reinício da máquina no Modo de Segurança (pré-visualização) Y Y Y
Bloquear processos não fidedignos e não assinados executados a partir de USB Y Y

CB 1802
Y Y
Bloquear a utilização de ferramentas de sistema copiadas ou representadas (pré-visualização) Y Y Y
Bloquear a criação de Webshell para Servidores Y Y Y
Bloquear chamadas à API Win32 a partir de macros do Office Y Y

CB 1710
Y Y
Utilizar proteção avançada contra ransomware Y Y

CB 1802
Y Y

(1) Pode configurar regras de redução da superfície de ataque por regra utilizando o GUID de qualquer regra.

De acordo com os detalhes de alerta e notificação da regra ASR

As notificações de alerta são geradas para todas as regras no Modo de bloqueio. As regras em qualquer outro modo não geram notificações de alerta.

Para regras com o "Estado da Regra" especificado:

  • As regras ASR com \ASR Rule, Rule State\ combinações são utilizadas para apresentar alertas (notificações de alerta) no Microsoft Defender para Endpoint apenas para dispositivos ao nível do bloco da cloud "Alto".
  • Os dispositivos que não estão ao nível do bloco de cloud elevado não geram alertas para nenhuma ASR Rule, Rule State combinação
  • Os alertas EDR são gerados para regras ASR nos estados especificados, para dispositivos ao nível do bloco de cloud "High+"
  • As notificações de alerta ocorrem apenas no modo de bloqueio e para dispositivos ao nível do bloco da cloud "Alto"
Nome da regra Estado da regra Alertas EDR Notificações de alerta
Bloquear abuso de condutores vulneráveis explorados N Y
Impedir o Adobe Reader de criar processos subordinados Bloquear Y Y
Bloquear a criação de processos subordinados em todas as aplicações do Office N Y
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) N N
Bloquear conteúdo executável do cliente de e-mail e do webmail Y Y
Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna N Y
Bloquear a execução de scripts potencialmente ocultados Auditar ou Bloquear Y (no modo de bloco)
N (no modo de auditoria)
Y (no modo de bloco)
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido Bloquear Y Y
Impedir que as aplicações do Office criem conteúdos executáveis N Y
Bloquear a injeção de código nas aplicações do Office noutros processos N Y
Bloquear a criação de processos subordinados na aplicação de comunicação do Office N Y
Bloquear a persistência através da subscrição de eventos WMI Auditar ou Bloquear Y (no modo de bloco)
N (no modo de auditoria)
Y (no modo de bloco)
Bloquear criações de processos com origem nos comandos PSExec e WMI N Y
Bloquear o reinício da máquina no Modo de Segurança (pré-visualização) N N
Bloquear processos não fidedignos e não assinados executados a partir de USB Auditar ou Bloquear Y (no modo de bloco)
N (no modo de auditoria)
Y (no modo de bloco)
Bloquear a utilização de ferramentas de sistema copiadas ou representadas (pré-visualização) N N
Bloquear a criação de Webshell para Servidores N N
Bloquear chamadas à API Win32 a partir de macros do Office N Y
Utilizar proteção avançada contra ransomware Auditar ou Bloquear Y (no modo de bloco)
N (no modo de auditoria)
Y (no modo de bloco)

Regra ASR para matriz GUID

Nome da Regra GUID da Regra
Bloquear abuso de condutores vulneráveis explorados 56a863a9-875e-4185-98a7-b882c64b5ce5
Impedir o Adobe Reader de criar processos subordinados 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Bloquear a criação de processos subordinados em todas as aplicações do Office d4f940ab-401b-4efc-aadc-ad5f3c50688a
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Bloquear conteúdo executável do cliente de e-mail e do webmail be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna 01443614-cd74-433a-b99e-2ecdc07bfc25
Bloquear a execução de scripts potencialmente ocultados 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido d3e037e1-3eb8-44c8-a917-57927947596d
Impedir que as aplicações do Office criem conteúdos executáveis 3b576869-a4ec-4529-8536-b80a7769e899
Bloquear a injeção de código nas aplicações do Office noutros processos 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Bloquear a criação de processos subordinados na aplicação de comunicação do Office 26190899-1602-49e8-8b27-eb1d0a1ce869
Bloquear a persistência através da subscrição de eventos WMI
* Exclusões de ficheiros e pastas não suportadas.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Bloquear criações de processos com origem nos comandos PSExec e WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Bloquear o reinício da máquina no Modo de Segurança (pré-visualização) 33ddedf1-c6e0-47cb-833e-de6133960387
Bloquear processos não fidedignos e não assinados executados a partir de USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Bloquear a utilização de ferramentas de sistema copiadas ou representadas (pré-visualização) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Bloquear a criação de Webshell para Servidores a8f5898e-1dc8-49a9-9878-85004b8a61e6
Bloquear chamadas à API Win32 a partir de macros do Office 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Utilizar proteção avançada contra ransomware c1db55ab-c21a-4637-bb3f-a12568109d35

Modos de regras ASR

  • Não configurado ou Desativar: o estado em que a regra do ASR não está ativada ou está desativada. O código para este estado = 0.
  • Bloco: o estado em que a regra do ASR está ativada. O código para este estado é 1.
  • Auditoria: o estado em que a regra do ASR é avaliada para o efeito que teria na organização ou no ambiente se estivesse ativada (definida como bloquear ou avisar). O código para este estado é 2.
  • Avisar O estado em que a regra do ASR está ativada e apresenta uma notificação ao utilizador final, mas permite que o utilizador final ignore o bloco. O código para este estado é 6.

O modo de aviso é um tipo de modo de bloqueio que alerta os utilizadores sobre ações potencialmente arriscadas. Os utilizadores podem optar por ignorar a mensagem de aviso de bloqueio e permitir a ação subjacente. Os utilizadores podem selecionar OK para impor o bloco ou selecionar a opção de ignorar – Desbloquear – através da notificação de alerta de pop-up do utilizador final que é gerada no momento do bloco. Depois de o aviso ser desbloqueado, a operação é permitida até à próxima vez que a mensagem de aviso ocorrer, altura em que o utilizador final terá de voltar a formatar a ação.

Quando o botão permitir é clicado, o bloco é suprimido durante 24 horas. Após 24 horas, o utilizador final terá de permitir o bloco novamente. O modo de aviso para as regras do ASR só é suportado para dispositivos RS5+ (1809+). Se ignorar for atribuído às regras ASR em dispositivos com versões mais antigas, a regra está no modo bloqueado.

Também pode definir uma regra no modo de aviso através do PowerShell ao especificar o AttackSurfaceReductionRules_Actions como "Avisar". Por exemplo:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

Descrições por regra

Bloquear abuso de condutores vulneráveis explorados

Esta regra impede que uma aplicação escreva um controlador assinado vulnerável no disco. Os controladores assinados in-the-wild e vulneráveis podem ser explorados por aplicações locais - que têm privilégios suficientes - para obter acesso ao kernel. Os controladores assinados vulneráveis permitem aos atacantes desativar ou contornar as soluções de segurança, o que acaba por levar ao comprometimento do sistema.

A regra Bloquear abuso de controladores assinados vulneráveis explorados não impede que um controlador já existente no sistema seja carregado.

Nota

Pode configurar esta regra com Intune OMA-URI. Veja Intune OMA-URI para configurar regras personalizadas. Também pode configurar esta regra com o PowerShell. Para que um controlador seja examinado, utilize este Web site para Submeter um controlador para análise.

Nome do Intune:Block abuse of exploited vulnerable signed drivers

Configuration Manager nome: Ainda não está disponível

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Tipo de ação de investigação avançada:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Impedir o Adobe Reader de criar processos subordinados

Esta regra impede ataques ao bloquear a criação de processos pelo Adobe Reader.

O software maligno pode transferir e iniciar payloads e sair do Adobe Reader através de engenharia social ou exploits. Ao bloquear a geração de processos subordinados pelo Adobe Reader, o software maligno que tenta utilizar o Adobe Reader como vetor de ataque é impedido de se espalhar.

Intune nome:Process creation from Adobe Reader (beta)

Configuration Manager nome: Ainda não está disponível

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Tipo de ação de investigação avançada:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Dependências: Antivírus Microsoft Defender

Bloquear a criação de processos subordinados em todas as aplicações do Office

Esta regra impede que as aplicações do Office criem processos subordinados. As aplicações do Office incluem Word, Excel, PowerPoint, OneNote e Access.

A criação de processos subordinados maliciosos é uma estratégia de software maligno comum. O software maligno que abusa do Office como vetor executa frequentemente macros VBA e explora código para transferir e tentar executar mais payloads. No entanto, algumas aplicações de linha de negócio legítimas também podem gerar processos subordinados para fins benignos; como gerar uma linha de comandos ou utilizar o PowerShell para configurar as definições do registo.

Intune nome:Office apps launching child processes

Configuration Manager nome:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Tipo de ação de investigação avançada:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Dependências: Antivírus Microsoft Defender

Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows

Nota

Se tiver a proteção LSA ativada e o Credential Guard ativado, esta regra de redução da superfície de ataque não é necessária.

Esta regra ajuda a impedir o roubo de credenciais ao bloquear o Serviço de Subsistema de Autoridade de Segurança Local (LSASS).

O LSASS autentica os utilizadores que iniciam sessão num computador Windows. Microsoft Defender Credential Guard no Windows normalmente impede tentativas de extrair credenciais do LSASS. Algumas organizações não podem ativar o Credential Guard em todos os respetivos computadores devido a problemas de compatibilidade com controladores de smartcard personalizados ou outros programas que são carregados para a Autoridade de Segurança Local (LSA). Nestes casos, os atacantes podem utilizar ferramentas como o Mimikatz para extrair palavras-passe de texto não encriptado e hashes NTLM do LSASS.

Por predefinição, o estado desta regra está definido para bloquear. Na maioria dos casos, muitos processos fazem chamadas para lSASS para direitos de acesso que não são necessários. Por exemplo, por exemplo, quando o bloco inicial da regra ASR resulta numa chamada subsequente para um privilégio menor que, posteriormente, é bem-sucedido. Para obter informações sobre os tipos de direitos que normalmente são pedidos em chamadas de processo para LSASS, consulte: Segurança do Processo e Direitos de Acesso.

Ativar esta regra não fornece proteção adicional se tiver a proteção LSA ativada, uma vez que a regra ASR e a proteção LSA funcionam da mesma forma. No entanto, quando não é possível ativar a proteção LSA, esta regra pode ser configurada para fornecer proteção equivalente contra software maligno que tenha como destino lsass.exe.

Sugestão

  1. Os eventos de auditoria do ASR não geram notificações de alerta. No entanto, uma vez que a regra ASR LSASS produz um grande volume de eventos de auditoria, quase todos são seguros de ignorar quando a regra está ativada no modo de bloqueio, pode optar por ignorar a avaliação do modo de auditoria e avançar para a implementação do modo de bloqueio, começando com um pequeno conjunto de dispositivos e expandindo-se gradualmente para cobrir o resto.
  2. A regra foi concebida para suprimir relatórios/alertas de blocos para processos amigáveis. Também foi concebido para remover relatórios para blocos duplicados. Como tal, a regra é adequada para ser ativada no modo de bloqueio, independentemente de as notificações de alerta estarem ativadas ou desativadas. 
  3. O ASR no modo de aviso foi concebido para apresentar aos utilizadores uma notificação de alerta de bloqueio que inclui um botão "Desbloquear". Devido à natureza "segura para ignorar" dos blocos ASR LSASS e do seu grande volume, o modo WARN não é aconselhável para esta regra (independentemente de as notificações de alerta estarem ativadas ou desativadas).

Nota

Neste cenário, a regra ASR é classificada como "não aplicável" nas definições do Defender para Endpoint no portal do Microsoft Defender. A regra ASR bloquear o roubo de credenciais da autoridade de segurança local do Windows não suporta o modo WARN. Em algumas aplicações, o código enumera todos os processos em execução e tenta abri-los com permissões exaustivas. Esta regra nega a ação de abertura do processo da aplicação e regista os detalhes no registo de eventos de segurança. Esta regra pode gerar muito ruído. Se tiver uma aplicação que simplesmente enumera LSASS, mas não tem nenhum impacto real na funcionalidade, não é necessário adicioná-la à lista de exclusão. Por si só, esta entrada de registo de eventos não indica necessariamente uma ameaça maliciosa.

Intune nome:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager nome:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Tipo de ação de investigação avançada:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Dependências: Antivírus Microsoft Defender

Problemas conhecidos: estas aplicações e a regra "Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows" são incompatíveis:

Nome da aplicação Para obter informações
Sincronização de Palavras-passe do Quest Dirsync A Sincronização de Palavras-passe do Dirsync não está a funcionar quando o Windows Defender está instalado, erro: "VirtualAllocEx falhou: 5" (4253914)

Para obter suporte técnico, contacte o fornecedor do software.

Bloquear conteúdo executável do cliente de e-mail e do webmail

Esta regra impede que o e-mail aberto na aplicação Microsoft Outlook ou Outlook.com e outros fornecedores de webmail populares propaguem os seguintes tipos de ficheiro:

  • Ficheiros executáveis (como .exe, .dll ou .scr)
  • Ficheiros de script (como um ficheiro de .ps1 do PowerShell, .vbs do Visual Basic ou javaScript .js)

Intune nome:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager nome:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Tipo de ação de investigação avançada:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Dependências: Antivírus Microsoft Defender

Nota

A regra Bloquear conteúdo executável do cliente de e-mail e do webmail tem as seguintes descrições alternativas, consoante a aplicação que utilizar:

  • Intune (Perfis de Configuração): a execução de conteúdo executável (exe, dll, ps, js, vbs, etc.) foi removida do e-mail (cliente de webmail/correio) (sem exceções).
  • Configuration Manager: bloquear a transferência de conteúdo executável a partir de clientes de e-mail e webmail.
  • Política de Grupo: bloquear conteúdo executável do cliente de e-mail e do webmail.

Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna

Esta regra bloqueia a iniciação de ficheiros executáveis, como .exe, .dll ou .scr. Assim, iniciar ficheiros executáveis não fidedignos ou desconhecidos pode ser arriscado, uma vez que poderá não ser inicialmente claro se os ficheiros são maliciosos.

Importante

Tem de ativar a proteção fornecida pela cloud para utilizar esta regra. A regra Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna com GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 é propriedade da Microsoft e não é especificada pelos administradores. Esta regra utiliza proteção fornecida pela cloud para atualizar regularmente a lista fidedigna. Pode especificar ficheiros ou pastas individuais (utilizando caminhos de pasta ou nomes de recursos completamente qualificados), mas não pode especificar a que regras ou exclusões se aplicam.

Intune nome:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager nome:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Tipo de ação de investigação avançada:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Dependências: Antivírus Microsoft Defender, Proteção da Cloud

Bloquear a execução de scripts potencialmente ocultados

Esta regra deteta propriedades suspeitas num script ocultado.

Nota

Os scripts do PowerShell são agora suportados para a regra "Bloquear a execução de scripts potencialmente ocultados".

Importante

Tem de ativar a proteção fornecida pela cloud para utilizar esta regra.

A ocultação de scripts é uma técnica comum que tanto os autores de software maligno como as aplicações legítimas utilizam para ocultar a propriedade intelectual ou diminuir os tempos de carregamento de scripts. Os autores de software maligno também utilizam a ocultação para tornar o código malicioso mais difícil de ler, o que dificulta o escrutínio por parte dos seres humanos e do software de segurança.

Intune nome:Obfuscated js/vbs/ps/macro code

Configuration Manager nome:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Tipo de ação de investigação avançada:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Dependências: Microsoft Defender Antivírus, Interface de Análise AntiMalware (AMSI)

Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido

Esta regra impede que os scripts iniciem conteúdos transferidos potencialmente maliciosos. O software maligno escrito em JavaScript ou VBScript atua frequentemente como um transferidor para obter e iniciar outro software maligno a partir da Internet. Embora não seja comum, por vezes, as aplicações de linha de negócio utilizam scripts para transferir e iniciar instaladores.

Intune nome:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager nome:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Tipo de ação de investigação avançada:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Dependências: Microsoft Defender Antivírus, AMSI

Impedir que as aplicações do Office criem conteúdos executáveis

Esta regra impede que as aplicações do Office, incluindo Word, Excel e PowerPoint, criem conteúdos executáveis potencialmente maliciosos, bloqueando a escrita de código malicioso no disco. O software maligno que abusa do Office como vetor pode tentar sair do Office e guardar componentes maliciosos no disco. Estes componentes maliciosos sobreviveriam a um reinício do computador e persistiriam no sistema. Por conseguinte, esta regra defende-se contra uma técnica de persistência comum. Esta regra também bloqueia a execução de ficheiros não fidedignos que podem ter sido guardados por macros do Office que podem ser executados em ficheiros do Office.

Intune nome:Office apps/macros creating executable content

Configuration Manager nome:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Tipo de ação de investigação avançada:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Dependências: Antivírus Microsoft Defender, RPC

Bloquear a injeção de código nas aplicações do Office noutros processos

Esta regra bloqueia as tentativas de injeção de código das aplicações do Office noutros processos.

Nota

A regra ASR bloquear aplicações de injeção de código noutros processos não suporta o modo AVISO.

Importante

Esta regra requer que reinicie Microsoft 365 Apps (aplicações do Office) para que as alterações de configuração entrem em vigor.

Os atacantes podem tentar utilizar as aplicações do Office para migrar código malicioso para outros processos através da injeção de código, para que o código se possa mascarar como um processo limpo. Não existem fins comerciais legítimos conhecidos para utilizar a injeção de código.

Esta regra aplica-se a Word, Excel, OneNote e PowerPoint.

Intune nome:Office apps injecting code into other processes (no exceptions)

Configuration Manager nome:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Tipo de ação de investigação avançada:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Dependências: Antivírus Microsoft Defender

Problemas conhecidos: estas aplicações e a regra "Bloquear aplicações do Office de injetar código noutros processos" são incompatíveis:

Nome da aplicação Para obter informações
Avecto (BeyondTrust) Privilege Guard Setembro-2024 (Plataforma: 4.18.24090.11 | Motor 1.1.24090.11).
Segurança de Heimdal n/a

Para obter suporte técnico, contacte o fornecedor do software.

Bloquear a criação de processos subordinados na aplicação de comunicação do Office

Esta regra impede o Outlook de criar processos subordinados, ao mesmo tempo que permite funções legítimas do Outlook. Esta regra protege contra ataques de engenharia social e impede a exploração de código contra vulnerabilidades abusivas no Outlook. Também protege contra as regras e explorações de formulários do Outlook que os atacantes podem utilizar quando as credenciais de um utilizador são comprometidas.

Nota

Esta regra bloqueia sugestões de política DLP e Descrições no Outlook. Esta regra aplica-se apenas ao Outlook e Outlook.com.

Intune nome:Process creation from Office communication products (beta)

Configuration Manager nome: Não disponível

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Tipo de ação de investigação avançada:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Dependências: Antivírus Microsoft Defender

Bloquear a persistência através da subscrição de eventos WMI

Esta regra impede que o software maligno abusa da WMI para obter persistência num dispositivo.

As ameaças sem ficheiros utilizam várias táticas para se manterem ocultas, para evitar serem vistas no sistema de ficheiros e para obter controlo de execução periódica. Algumas ameaças podem abusar do repositório WMI e do modelo de eventos para permanecer oculto.

Nota

Se CcmExec.exe (SCCM Agente) for detetado no dispositivo, a regra ASR é classificada como "não aplicável" nas definições do Defender para Endpoint no portal do Microsoft Defender.

Intune nome:Persistence through WMI event subscription

Configuration Manager nome: Não disponível

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Tipo de ação de investigação avançada:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Dependências: Antivírus Microsoft Defender, RPC

Bloquear criações de processos com origem nos comandos PSExec e WMI

Esta regra bloqueia a execução de processos criados através de PsExec e WMI . Tanto o PsExec como o WMI podem executar código remotamente. Existe o risco de o software maligno abusar da funcionalidade de PsExec e WMI para fins de comando e controlo ou de espalhar uma infeção pela rede de uma organização.

Aviso

Utilize esta regra apenas se estiver a gerir os seus dispositivos com Intune ou outra solução de MDM. Esta regra é incompatível com a gestão através do Microsoft Endpoint Configuration Manager porque esta regra bloqueia comandos WMI que o cliente Configuration Manager utiliza para funcionar corretamente.

Intune nome:Process creation from PSExec and WMI commands

Configuration Manager nome: Não aplicável

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Tipo de ação de investigação avançada:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Dependências: Antivírus Microsoft Defender

Bloquear o reinício da máquina no Modo de Segurança (pré-visualização)

Esta regra impede a execução de comandos para reiniciar máquinas no Modo de Segurança. O Modo de Segurança é um modo de diagnóstico que só carrega os ficheiros e controladores essenciais necessários para que o Windows seja executado. No entanto, no Modo de Segurança, muitos produtos de segurança estão desativados ou operam numa capacidade limitada, o que permite aos atacantes iniciarem ainda mais comandos de adulteração ou simplesmente executar e encriptar todos os ficheiros no computador. Esta regra bloqueia esses ataques ao impedir que os processos reiniciem as máquinas no Modo de Segurança.

Nota

Esta capacidade está atualmente em pré-visualização. Estão em desenvolvimento atualizações adicionais para melhorar a eficácia.

Nome do Intune:[PREVIEW] Block rebooting machine in Safe Mode

Configuration Manager nome: Ainda não está disponível

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

Tipo de ação de investigação avançada:

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

Dependências: Antivírus Microsoft Defender

Bloquear processos não fidedignos e não assinados executados a partir de USB

Com esta regra, os administradores podem impedir que ficheiros executáveis não assinados ou não fidedignos sejam executados a partir de unidades amovíveis USB, incluindo cartões SD. Os tipos de ficheiro bloqueados incluem ficheiros executáveis (como .exe, .dll ou .scr)

Importante

Os ficheiros copiados da pen USB para a unidade de disco serão bloqueados por esta regra se e quando estiver prestes a ser executado na unidade de disco.

Intune nome:Untrusted and unsigned processes that run from USB

Configuration Manager nome:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Tipo de ação de investigação avançada:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Dependências: Antivírus Microsoft Defender

Bloquear a utilização de ferramentas de sistema copiadas ou representadas (pré-visualização)

Esta regra bloqueia a utilização de ficheiros executáveis identificados como cópias de ferramentas do sistema Windows. Estes ficheiros são duplicados ou impostores das ferramentas de sistema originais. Alguns programas maliciosos podem tentar copiar ou representar ferramentas do sistema Windows para evitar a deteção ou obter privilégios. Permitir tais ficheiros executáveis pode levar a potenciais ataques. Esta regra impede a propagação e execução desses duplicados e impostores das ferramentas de sistema em computadores Windows.

Nota

Esta capacidade está atualmente em pré-visualização. Estão em desenvolvimento atualizações adicionais para melhorar a eficácia.

Nome do Intune:[PREVIEW] Block use of copied or impersonated system tools

Configuration Manager nome: Ainda não está disponível

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Tipo de ação de investigação avançada:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

Dependências: Antivírus Microsoft Defender

Bloquear a criação de Webshell para Servidores

Esta regra bloqueia a criação de scripts da shell Web no Microsoft Server, Função do Exchange. Um script de shell Web é um script criado especificamente que permite a um atacante controlar o servidor comprometido. Uma shell Web pode incluir funcionalidades como receber e executar comandos maliciosos, transferir e executar ficheiros maliciosos, roubar e exfiltrar credenciais e informações confidenciais, identificar potenciais destinos, etc.

Intune nome:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

Dependências: Antivírus Microsoft Defender

Bloquear chamadas à API Win32 a partir de macros do Office

Esta regra impede que macros VBA chamem APIs Win32. O VBA do Office ativa as chamadas à API Win32. O software maligno pode abusar desta capacidade, como chamar APIs Win32 para iniciar código shellcode malicioso sem escrever nada diretamente no disco. A maioria das organizações não depende da capacidade de chamar APIs Win32 no seu funcionamento diário, mesmo que utilizem macros de outras formas.

Intune nome:Win32 imports from Office macro code

Configuration Manager nome:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Tipo de ação de investigação avançada:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Dependências: Microsoft Defender Antivírus, AMSI

Utilizar proteção avançada contra ransomware

Esta regra fornece uma camada adicional de proteção contra ransomware. Utiliza heurística de cliente e cloud para determinar se um ficheiro se assemelha a ransomware. Esta regra não bloqueia ficheiros que tenham uma ou mais das seguintes características:

  • O ficheiro já foi considerado incómodo na cloud da Microsoft.
  • O ficheiro é um ficheiro assinado válido.
  • O ficheiro é predominante o suficiente para não ser considerado como ransomware.

A regra tende a errar por precaução para evitar ransomware.

Nota

Tem de ativar a proteção fornecida pela cloud para utilizar esta regra.

Intune nome:Advanced ransomware protection

Configuration Manager nome:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Tipo de ação de investigação avançada:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Dependências: Antivírus Microsoft Defender, Proteção da Cloud

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.