Entender e usar recursos de redução de superfície de ataque

Aplica-se a:

Plataformas

  • Windows

Dica

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Superfícies de ataque são todos os lugares em que sua organização está vulnerável a ameaças cibernéticas e ataques. O Defender para Ponto de Extremidade inclui vários recursos para ajudar a reduzir suas superfícies de ataque. Assista ao vídeo a seguir para saber mais sobre a redução da superfície de ataque.

Configurar os recursos de redução da superfície de ataque

Para configurar a redução da superfície de ataque em seu ambiente, siga estas etapas:

  1. Habilitar o isolamento baseado em hardware para o Microsoft Edge.

  2. Habilitar regras de redução de superfície de ataque.

  3. Habilitar o controle do aplicativo.

    1. Examine as políticas de base no Windows. Consulte Políticas base de exemplo.

    2. Consulte o guia de design Windows Defender Controle de Aplicativo.

    3. Consulte Implantar políticas de WDAC (Controle de Aplicativo Windows Defender).

  4. Habilitar o acesso controlado à pasta.

  5. Habilite a proteção de armazenamento removível.

  6. Ativar a proteção de rede.

  7. Habilitar a proteção da Web.

  8. Habilitar a proteção de exploração.

  9. Configure o firewall de rede.

    1. Obtenha uma visão geral do Firewall do Windows com segurança avançada.

    2. Use o guia de design do Firewall do Windows para decidir como você deseja projetar suas políticas de firewall.

    3. Use o guia de implantação do Firewall do Windows para configurar o firewall da sua organização com segurança avançada.

Dica

Na maioria dos casos, ao configurar recursos de redução de superfície de ataque, você pode escolher entre vários métodos:

  • Microsoft Intune
  • Microsoft Configuration Manager
  • Política de grupo
  • Cmdlets do PowerShell

Testar a redução da superfície de ataque no Microsoft Defender para Ponto de Extremidade

Como parte da equipe de segurança da sua organização, você pode configurar recursos de redução de superfície de ataque a serem executados no modo de auditoria para ver como eles funcionam. Você pode habilitar os seguintes recursos de segurança de redução de superfície de ataque no modo de auditoria:

  • Regras de redução de superfície de ataque
  • Proteção de exploração
  • Proteção de rede
  • Acesso a pastas controladas
  • Controle de dispositivos

O modo de auditoria permite que você veja um registro do que teria acontecido se o recurso estivesse habilitado.

Você pode habilitar o modo de auditoria ao testar como os recursos funcionam. Habilitar o modo de auditoria somente para testes ajuda a impedir que o modo de auditoria afete seus aplicativos de linha de negócios. Você também pode ter uma ideia de quantas tentativas suspeitas de modificação de arquivo ocorrem em um determinado período de tempo.

Os recursos não bloqueiam ou impedem que aplicativos, scripts ou arquivos sejam modificados. No entanto, o Log de Eventos do Windows registra eventos como se os recursos estivessem totalmente habilitados. Com o modo de auditoria, você pode examinar o log de eventos para ver qual efeito o recurso teria se ele estivesse habilitado.

Para localizar as entradas auditadas, acesse Aplicativos e Serviços>Microsoft>Windows>Windows Defender>Operational.

Use o Defender para Ponto de Extremidade para obter mais detalhes para cada evento. Esses detalhes são especialmente úteis para investigar regras de redução de superfície de ataque. O uso do console do Defender para Ponto de Extremidade permite investigar problemas como parte dos cenários de linha do tempo de alerta e investigação.

Você pode habilitar o modo de auditoria usando Política de Grupo, PowerShell e CSPs (provedores de serviços de configuração).

Opções de auditoria Como habilitar o modo de auditoria Como exibir eventos
Auditoria se aplica a todos os eventos Habilitar o acesso controlado a pastas Eventos de acesso de pasta controlada
Auditoria se aplica a regras individuais Etapa 1: Testar regras de redução de superfície de ataque usando o modo auditoria Etapa 2: entender a página de relatório de regras de redução de superfície de ataque
Auditoria se aplica a todos os eventos Habilitar a proteção de rede Eventos de proteção de rede
Auditoria se aplica a mitigações individuais Habilitar a proteção de exploração Explorar eventos de proteção

Por exemplo, você pode testar regras de redução de superfície de ataque no modo de auditoria antes de habilitá-las no modo de bloco. As regras de redução da superfície de ataque são predefinidas para endurecer superfícies de ataque comuns e conhecidas. Há vários métodos que você pode usar para implementar regras de redução de superfície de ataque. O método preferencial é documentado nos seguintes artigos de implantação de regras de redução de superfície de ataque:

Exibir os eventos da redução da superfície de ataque

Examine os eventos de redução de superfície de ataque no Visualizador de Eventos para monitorar quais regras ou configurações estão funcionando. Você também pode determinar se as configurações estão muito "barulhentas" ou afetando o fluxo de trabalho do dia a dia.

Revisar eventos é útil quando você está avaliando os recursos. Você pode habilitar o modo de auditoria para recursos ou configurações e, em seguida, examinar o que teria acontecido se eles estivessem totalmente habilitados.

Esta seção lista todos os eventos, seu recurso ou configuração associados e descreve como criar exibições personalizadas para filtrar para eventos específicos.

Obtenha relatórios detalhados sobre eventos, blocos e avisos como parte de Segurança do Windows se você tiver uma assinatura E5 e usar Microsoft Defender para Ponto de Extremidade.

Usar exibições personalizadas para revisar recursos de redução de superfície de ataque

Create exibições personalizadas no Windows Visualizador de Eventos para ver apenas eventos para funcionalidades e configurações específicas. A maneira mais fácil é importar uma exibição personalizada como um arquivo XML. Você pode copiar o XML diretamente desta página.

Você também pode navegar manualmente até a área de evento que corresponde ao recurso.

Importar uma exibição personalizada XML existente

  1. Create um arquivo .txt vazio e copie o XML para a exibição personalizada que você deseja usar no arquivo .txt. Faça isso para cada uma das exibições personalizadas que você deseja usar. Renomeie os arquivos da seguinte maneira (verifique se você altera o tipo de .txt para .xml):

    • Exibição personalizada de eventos de acesso de pasta controlada: cfa-events.xml
    • Exploração da exibição personalizada de eventos de proteção: ep-events.xml
    • Exibição personalizada de eventos de redução de superfície de ataque: asr-events.xml
    • Exibição personalizada de eventos de rede/proteção: np-events.xml
  2. Digite o visualizador de eventos no menu Iniciar e abra Visualizador de Eventos.

  3. Selecione Ação Importar Exibição>Personalizada...

    Animação destacando Importar exibição personalizada à esquerda da janela Mesmo visualizador.

  4. Navegue até onde você extraí o arquivo XML para a exibição personalizada desejada e selecione-o.

  5. Selecione Abrir.

  6. Ele cria uma exibição personalizada que filtra para mostrar apenas os eventos relacionados a esse recurso.

Copiar o XML diretamente

  1. Digite o visualizador de eventos no menu Iniciar e abra o windows Visualizador de Eventos.

  2. No painel esquerdo, em Ações, selecione Create Exibição Personalizada...

    Animação destacando a opção criar exibição personalizada na janela Visualizador de eventos.

  3. Acesse a guia XML e selecione Editar consulta manualmente. Você verá um aviso de que não pode editar a consulta usando a guia Filtrar se usar a opção XML. Selecione Sim.

  4. Cole o código XML para o recurso do qual você deseja filtrar eventos na seção XML.

  5. Clique em OK. Especifique um nome para o filtro. Essa ação cria uma exibição personalizada que filtra para mostrar apenas os eventos relacionados a esse recurso.

XML para eventos de regra de redução de superfície de ataque

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML para eventos de acesso controlado à pasta

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML para eventos de proteção de exploração

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML para eventos de proteção de rede

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Lista de eventos de redução de superfície de ataque

Todos os eventos de redução de superfície de ataque estão localizados em Logs de Aplicativos e Serviços > Microsoft > Windows e, em seguida, a pasta ou provedor conforme listado na tabela a seguir.

Você pode acessar esses eventos no visualizador de eventos do Windows:

  1. Abra o menu Iniciar e digite o visualizador de eventos e selecione o resultado Visualizador de Eventos.

  2. Expanda Logs de Aplicativos e Serviços > Microsoft > Windows e, em seguida, vá para a pasta listada em Provedor/fonte na tabela abaixo.

  3. Clique duas vezes no sub item para ver eventos. Role os eventos para encontrar o que você está procurando.

    Animação mostrando o uso de Visualizador de Eventos.

Recurso Provedor/origem ID do Evento Descrição
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 1 Auditoria do ACG
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 2 Imposição do ACG
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 3 Não permitir auditoria de processos filho
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 4 Não permitir bloqueio de processos filho
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 5 Bloquear a auditoria de imagens de baixa integridade
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 6 Bloquear o bloco de imagens de baixa integridade
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 7 Bloquear a auditoria de imagens remotas
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 8 Bloquear o bloco de imagens remotas
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 9 Desativar as chamadas do sistema win32k
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 10 Desativar o bloco de chamadas do sistema win32k
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 11 Auditoria de proteção da integridade do código
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 12 Bloquear a proteção da integridade do código
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 13 Auditoria da EAF
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 14 Imposição da EAF
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 15 Auditoria + EAF
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 16 Imposição + EAF
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 17 Auditoria da IAF
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 18 Imposição da IAF
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 19 Auditoria do ROP StackPivot
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 20 Imposição do ROP StackPivot
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 21 Auditoria do ROP CallerCheck
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 22 Imposição do ROP CallerCheck
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 23 Auditoria do ROP SimExec
Proteção de exploração Mitigações de Segurança (Modo Kernel/Modo de Usuário) 24 Imposição do SimExec ROP
Proteção de exploração Diagnóstico do WER 5 Bloco CFG
Proteção de exploração Win32K (operacional) 260 Fonte Não Confiável
Proteção de rede Windows Defender (operacional) 5007 Evento quando as configurações são alteradas
Proteção de rede Windows Defender (operacional) 1125 Evento quando a proteção de rede é disparada no modo de auditoria
Proteção de rede Windows Defender (operacional) 1126 Evento quando a proteção de rede é disparada no modo de bloco
Acesso a pastas controladas Windows Defender (operacional) 5007 Evento quando as configurações são alteradas
Acesso a pastas controladas Windows Defender (operacional) 1124 Evento de acesso de pasta controlada auditado
Acesso a pastas controladas Windows Defender (operacional) 1123 Evento de acesso de pasta controlado bloqueado
Acesso a pastas controladas Windows Defender (operacional) 1127 Evento de bloco de gravação do setor de acesso controlado bloqueado
Acesso a pastas controladas Windows Defender (operacional) 1128 Evento de bloco de gravação do setor de acesso controlado auditado
Redução de superfície de ataque Windows Defender (operacional) 5007 Evento quando as configurações são alteradas
Redução de superfície de ataque Windows Defender (operacional) 1122 Evento quando a regra é disparada no modo de auditoria
Redução de superfície de ataque Windows Defender (operacional) 1121 Evento quando a regra é disparada no modo de bloco

Observação

Do ponto de vista do usuário, as notificações de modo aviso de redução de superfície de ataque são feitas como uma Notificação do Windows Toast para regras de redução de superfície de ataque.

Na redução da superfície de ataque, a Proteção de Rede fornece apenas modos Audit e Block.

Recursos para saber mais sobre a redução da superfície de ataque

Conforme mencionado no vídeo, o Defender para Ponto de Extremidade inclui várias funcionalidades de redução de superfície de ataque. Use os seguintes recursos para saber mais:

Artigo Descrição
Controle de aplicativos Use o controle do aplicativo para que seus aplicativos ganhem confiança para serem executados.
Referência de regras de redução de superfície de ataque Fornece detalhes sobre cada regra de redução de superfície de ataque.
Guia de implantação de regras de redução de superfície de ataque Apresenta informações de visão geral e pré-requisitos para implantar regras de redução de superfície de ataque, seguidos de diretrizes passo a passo para testes (modo de auditoria), habilitação (modo de bloqueio) e monitoramento.
Acesso controlado a pastas Ajude a impedir que aplicativos mal-intencionados ou suspeitos (incluindo malware de ransomware criptografador de arquivos) façam alterações em arquivos em suas pastas do sistema de chaves (requer Microsoft Defender Antivírus).
Controle de dispositivo Protege contra perda de dados monitorando e controlando mídia usada em dispositivos, como armazenamento removível e unidades USB, em sua organização.
Proteção contra exploração Ajude a proteger os sistemas operacionais e os aplicativos que sua organização usa de serem explorados. A proteção contra exploração também funciona com soluções antivírus de terceiros.
Isolamento baseado em hardware Proteja e mantenha a integridade de um sistema ao iniciá-lo e enquanto está em execução. Valide a integridade do sistema por meio de atestados locais e remotos. Use o isolamento de contêiner para o Microsoft Edge para ajudar a proteger contra sites mal-intencionados.
Proteção de rede Estenda a proteção ao tráfego de rede e à conectividade nos dispositivos da sua organização. (Requer o Microsoft Defender Antivírus.)
Testar regras de redução de superfície de ataque Fornece etapas para usar o modo de auditoria para testar regras de redução de superfície de ataque.
Proteção na web A proteção da Web permite proteger seus dispositivos contra ameaças da Web e ajuda você a regular conteúdo indesejado.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.