Criar e implantar uma política do Exploit Guard
Aplica-se a: Gerenciador de Configurações (branch atual)
Você pode configurar e implantar políticas de Configuration Manager que gerenciam todos os quatro componentes do Windows Defender Exploit Guard. Esses componentes incluem:
- Redução de superfície de ataque
- Acesso a pastas controladas
- Proteção de exploração
- Proteção de rede
Os dados de conformidade para a implantação de política do Exploit Guard estão disponíveis no console Configuration Manager.
Observação
Configuration Manager não habilita esse recurso opcional por padrão. Você deve habilitar esse recurso antes de usá-lo. Para obter mais informações, confira Habilitar recursos opcionais de atualizações.
Pré-requisitos
Os dispositivos gerenciados devem executar Windows 10 1709 ou posterior; o build mínimo do Windows Server é a versão 1809 ou posterior. Os seguintes requisitos também devem ser atendidos, dependendo dos componentes e regras configurados:
| Componente Explore Guard | Pré-requisitos adicionais |
|---|---|
| Redução de superfície de ataque | Os dispositivos devem ter Microsoft Defender para Ponto de Extremidade proteção always-on habilitada. |
| Acesso a pastas controladas | Os dispositivos devem ter Microsoft Defender para Ponto de Extremidade proteção always-on habilitada. |
| Proteção de exploração | Nenhum |
| Proteção de rede | Os dispositivos devem ter Microsoft Defender para Ponto de Extremidade proteção always-on habilitada. |
Criar uma política do Exploit Guard
No console Configuration Manager, acesse Ativos e proteçãodeponto de extremidade de conformidade > e clique em Windows Defender Explore Guard.
Na guia Página Inicial , no grupo Criar , clique em Criar Política de Exploração.
Na página Geral do Assistente de Criar Item de Configuração, especifique um nome e uma descrição opcional para o item de configuração.
Em seguida, selecione os componentes do Exploit Guard que você deseja gerenciar com essa política. Para cada componente selecionado, você pode configurar detalhes adicionais.
- Redução da superfície de ataque: Configure a ameaça do Office, as ameaças de script e as ameaças de email que você deseja bloquear ou auditar. Você também pode excluir arquivos ou pastas específicos dessa regra.
- Acesso controlado à pasta: Configure o bloqueio ou a auditoria e adicione Aplicativos que podem ignorar essa política. Você também pode especificar pastas adicionais que não são protegidas por padrão.
- Explorar a proteção: Especifique um arquivo XML que contém configurações para mitigar explorações de processos e aplicativos do sistema. Você pode exportar essas configurações do aplicativo da Central de Segurança Windows Defender em um dispositivo Windows 10 ou posterior.
- Proteção de rede: Defina a proteção de rede para bloquear ou auditar o acesso a domínios suspeitos.
Conclua o assistente para criar a política, que você pode implantar posteriormente em dispositivos.
Aviso
O arquivo XML para proteção de exploração deve ser mantido seguro ao transferi-lo entre computadores. O arquivo deve ser excluído após a importação ou mantido em um local seguro.
Implantar uma política do Exploit Guard
Depois de criar políticas do Exploit Guard, use o assistente Implantar Explore Guard Policy para implantá-las. Para fazer isso, abra o console Configuration Manager para Ativos e proteçãodeponto de extremidade de conformidade > e clique em Implantar a Política de Exploração do Guard.
Importante
Depois de implantar uma política do Exploit Guard, como Redução de Superfície de Ataque ou acesso controlado à pasta, as configurações do Exploit Guard não serão removidas dos clientes se você remover a implantação. Delete not supported será gravado no ExploitGuardHandler.log do cliente se você remover a implantação do Exploit Guard do cliente. O script do PowerShell a seguir pode ser executado no contexto SYSTEM para remover essas configurações:
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
Windows Defender Explorar configurações de política do Guard
Atacar políticas e opções de Redução de Superfície
A Redução de Superfície de Ataque pode reduzir a superfície de ataque de seus aplicativos com regras inteligentes que interrompem os vetores usados pelo Office, script e malware baseado em email. Saiba mais sobre a Redução de Superfície de Ataque e as IDs de evento usadas para ele.
Arquivos e pastas a serem excluídos das regras de Redução de Superfície de Ataque – Clique em Definir e especifique todos os arquivos ou pastas a serem excluídos.
Email Ameaças:
- Bloqueie o conteúdo executável do cliente de email e do webmail.
- Não configurado
- Bloquear
- Auditoria
- Bloqueie o conteúdo executável do cliente de email e do webmail.
Ameaças do Office:
- Bloqueie o aplicativo do Office de criar processos filho.
- Não configurado
- Bloquear
- Auditoria
- Bloqueie os aplicativos do Office de criar conteúdo executável.
- Não configurado
- Bloquear
- Auditoria
- Bloqueie os aplicativos do Office de injetar código em outros processos.
- Não configurado
- Bloquear
- Auditoria
- Bloqueie as chamadas de API Win32 das macros do Office.
- Não configurado
- Bloquear
- Auditoria
- Bloqueie o aplicativo do Office de criar processos filho.
Ameaças de script:
- Bloqueie JavaScript ou VBScript de iniciar conteúdo executável baixado.
- Não configurado
- Bloquear
- Auditoria
- Bloquear a execução de scripts potencialmente ofuscados.
- Não configurado
- Bloquear
- Auditoria
- Bloqueie JavaScript ou VBScript de iniciar conteúdo executável baixado.
Ameaças de ransomware: (começando no Configuration Manager versão 1802)
- Use proteção avançada contra o ransomware.
- Não configurado
- Bloquear
- Auditoria
- Use proteção avançada contra o ransomware.
Ameaças do sistema operacional: (começando no Configuration Manager versão 1802)
- Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows.
- Não configurado
- Bloquear
- Auditoria
- Bloqueie a execução de arquivos executáveis, a menos que atendam a uma prevalência, idade ou critérios de lista confiáveis.
- Não configurado
- Bloquear
- Auditoria
- Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows.
Ameaças externas do dispositivo: (começando no Configuration Manager versão 1802)
- Bloqueie processos não confiáveis e não assinados que são executados a partir de USB.
- Não configurado
- Bloquear
- Auditoria
- Bloqueie processos não confiáveis e não assinados que são executados a partir de USB.
Políticas e opções de acesso de pasta controladas
Ajuda a proteger arquivos em pastas principais do sistema contra alterações feitas por aplicativos mal-intencionados e suspeitos, incluindo malware de ransomware criptografador de arquivos. Para obter mais informações, consulte Acesso controlado à pasta e as IDs de evento que ele usa.
- Configurar o acesso controlado à pasta:
- Bloquear
- Bloquear somente setores de disco (começando no Configuration Manager versão 1802)
- Permite que o acesso de pasta controlada seja habilitado apenas para setores de inicialização e não habilita a proteção de pastas específicas ou pastas protegidas padrão.
- Auditoria
- Auditar somente setores de disco (começando na versão 1802 Configuration Manager)
- Permite que o acesso de pasta controlada seja habilitado apenas para setores de inicialização e não habilita a proteção de pastas específicas ou pastas protegidas padrão.
- Desabilitado
- Permitir aplicativos por meio do acesso controlado à pasta -Clique em Definir e especifique aplicativos.
- Pastas protegidas adicionais -Clique em Definir e especifique pastas protegidas adicionais.
Explorar políticas de proteção
Aplica técnicas de mitigação de exploração a processos e aplicativos do sistema operacional que sua organização usa. Essas configurações podem ser exportadas do aplicativo da Central de Segurança Windows Defender em dispositivos Windows 10 ou posteriores. Para obter mais informações, consulte Explorar proteção.
Explorar a proteção XML: -Clique em Procurar e especifique o arquivo XML a ser importado.
Aviso
O arquivo XML para proteção de exploração deve ser mantido seguro ao transferi-lo entre computadores. O arquivo deve ser excluído após a importação ou mantido em um local seguro.
Política de proteção de rede
Ajuda a minimizar a superfície de ataque em dispositivos de ataques baseados na Internet. O serviço restringe o acesso a domínios suspeitos que podem hospedar golpes de phishing, explorações e conteúdo mal-intencionado. Para obter mais informações, consulte Proteção de rede.
- Configurar a proteção de rede:
- Bloquear
- Auditoria
- Desabilitado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de