Perguntas mais frequentes sobre a redução da superfície de ataque (FAQ)

A redução da superfície de ataque foi originalmente uma funcionalidade do conjunto de funcionalidades do exploit guard introduzida como uma grande atualização para o Antivírus Microsoft Defender, no Windows 10, versão 1709. Microsoft Defender Antivírus é o componente antimalware nativo do Windows. No entanto, o conjunto de funcionalidades de redução total da superfície de ataque só está disponível com uma licença do Windows Enterprise. Tenha também em atenção que algumas exclusões do Antivírus Microsoft Defender são aplicáveis a exclusões de regras de redução da superfície de ataque. Veja Referência das regras de redução da superfície de ataque - Microsoft Defender regras de exclusão de antivírus e redução da superfície de ataque.

O conjunto completo de funcionalidades e regras de redução da superfície de ataque só é suportado se tiver uma licença empresarial para Windows 10 ou Windows 11. Um número limitado de regras pode funcionar sem uma licença empresarial. Se tiver o Microsoft 365 Empresas, defina Microsoft Defender Antivírus como a sua principal solução de segurança e ative as regras através do PowerShell. A utilização da redução da superfície de ataque sem uma licença empresarial não é oficialmente suportada e não poderá utilizar todas as capacidades de redução da superfície de ataque.

Para saber mais sobre o licenciamento do Windows, veja Licenciamento do Windows 10 e obtenha o Guia de Licenciamento em Volume para Windows 10.

Sim. A redução da superfície de ataque é suportada para o Windows Enterprise E3 e superior.

Todas as regras suportadas com o E3 também são suportadas com o E5.

O E5 adiciona uma maior integração com o Defender para Endpoint. Com o E5, pode ver alertas em tempo real, ajustar exclusões de regras, configurar regras de redução da superfície de ataque e ver listas de relatórios de eventos.

Atualmente, a redução da superfície de ataque suporta todas as regras abaixo.

Para o ajudar a descobrir o que é melhor para o seu ambiente, recomendamos que ative as regras de redução da superfície de ataque no modo de auditoria. Com esta abordagem, pode determinar o possível efeito para a sua organização. Por exemplo, as suas aplicações de linha de negócio.

Para regras de redução da superfície de ataque, se adicionar uma exclusão, esta afetará todas as regras de redução da superfície de ataque.

As exclusões de regras de redução da superfície de ataque suportam carateres universais, caminhos e variáveis ambientais. Para obter mais informações sobre como utilizar carateres universais em regras de redução da superfície de ataque, veja Configurar e validar exclusões com base na extensão de ficheiros e na localização da pasta.

Tenha em atenção os seguintes itens sobre exclusões de regras de redução da superfície de ataque (incluindo carateres universais e variáveis de env):

• A maioria das exclusões de regras de redução da superfície de ataque são independentes das exclusões do Antivírus Microsoft Defender. No entanto, Microsoft Defender exclusões antivírus aplicam-se a algumas regras de redução da superfície de ataque. Veja Referência das regras de redução da superfície de ataque - Microsoft Defender regras de exclusão de antivírus e redução da superfície de ataque.
• Os carateres universais não podem ser utilizados para definir uma letra de unidade.
• Se quiser excluir mais do que uma pasta, num caminho, utilize várias instâncias de \*\ para indicar várias pastas aninhadas (por exemplo, c:\Folder\*\*\Test)
• O Microsoft Endpoint Configuration Manager suporta carateres universais (* ou ?).
• Se quiser excluir um ficheiro que contenha carateres aleatórios (geração de ficheiros automatizada), pode utilizar o símbolo '?' (por exemplo, C:\Folder\fileversion?.docx)
• As exclusões de redução da superfície de ataque no Política de Grupo não suportam aspas (o motor processa nativamente caminho longo, espaços, etc., pelo que não é necessário utilizar aspas).
• As regras de redução da superfície de ataque são executadas na conta NT AUTHORITY\SYSTEM, pelo que as variáveis ambientais estão limitadas às variáveis da máquina.

Diferentes regras de redução da superfície de ataque têm fluxos de proteção diferentes. Pense sempre no que a regra de redução da superfície de ataque contra a qual está a configurar protege e como funciona o fluxo de execução real.

Exemplo: Bloquear o roubo de credenciais do subsistema de autoridade de segurança local do Windows Leitura diretamente do processo de Subsistema de Autoridade de Segurança Local (LSASS) pode ser um risco de segurança, uma vez que pode expor credenciais empresariais.

Esta regra impede que os processos não fidedignos tenham acesso direto à memória LSASS. Sempre que um processo tenta utilizar a função OpenProcess() para aceder ao LSASS, com um direito de acesso de PROCESS_VM_READ, a regra bloqueia especificamente esse direito de acesso.

Olhando para o exemplo acima, se realmente tivesse de criar uma exceção para o processo em que o direito de acesso estava bloqueado, adicionar o nome de ficheiro juntamente com o caminho completo iria excluí-lo de ser bloqueado e depois de ter sido autorizado a aceder à memória do processo LSASS. O valor de 0 significa que as regras de redução da superfície de ataque ignoram este ficheiro/processo e não o bloqueiam/auditam.

Para obter informações sobre como configurar exclusões por regra, veja Testar regras de redução da superfície de ataque.

Recomendamos que ative todas as regras possíveis. No entanto, existem alguns casos em que não deve ativar uma regra. Por exemplo, não recomendamos que ative a regra Bloquear criações de processos com origem na regra de comandos PSExec e WMI, se estiver a utilizar o Microsoft Endpoint Configuration Manager (ou o System Center Configuration Manager - SCCM) para gerir os seus pontos finais.

Recomendamos vivamente que leia cada informação e/ou avisos específicos de cada regra, que estão disponíveis na nossa documentação pública. abrangendo vários pilares de proteção, como o Office, Credenciais, Scripts, E-mail, etc. Todas as regras de redução da superfície de ataque, exceto a persistência de blocos através da subscrição de eventos WMI, são suportadas no Windows 1709 e posterior:

• Bloquear abuso de condutores vulneráveis explorados
• Bloquear conteúdo executável do cliente de e-mail e do webmail
• Bloquear a criação de processos subordinados em todas as aplicações do Office
• Impedir que as aplicações do Office criem conteúdos executáveis
• Bloquear a injeção de código nas aplicações do Office noutros processos
• Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido
• Bloquear a execução de scripts potencialmente ocultados
• Bloquear chamadas à API Win32 a partir da macro do Office
• Utilizar proteção avançada contra ransomware
• Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
• Bloquear criações de processos com origem nos comandos PSExec e WMI
• Bloquear processos não fidedignos e não assinados executados a partir de USB
• Bloquear a execução de ficheiros executáveis, a menos que cumpram critérios de prevalência, idade ou lista fidedigna
• Impedir que as aplicações de comunicação do Office criem processos subordinados
• Impedir o Adobe Reader de criar processos subordinados
• Bloquear a persistência através da subscrição de eventos WMI

O estado predefinido da regra de Redução do Surface de ataque "Bloquear roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)" muda de Não Configurado para Configurado e o modo predefinido definido como Bloquear. Todas as outras regras de redução da superfície de ataque permanecem no estado predefinido: Não Configurado. A lógica de filtragem adicional já foi incorporada na regra para reduzir as notificações do utilizador final. Os clientes podem configurar a regra para os modos Auditoria, Aviso ou Desativado , o que substitui o modo predefinido. A funcionalidade desta regra é a mesma, quer a regra esteja configurada no modo ativado por predefinição ou se ativar manualmente o Modo de bloqueio.

Teste como as regras de redução da superfície de ataque afetam a sua organização antes de as ativar ao executar regras de redução da superfície de ataque no modo de auditoria durante um breve período de tempo. Enquanto executa as regras no modo de auditoria, pode identificar quaisquer aplicações de linha de negócio que possam ser bloqueadas erroneamente e excluí-las da redução da superfície de ataque.

As organizações maiores devem considerar a implementação de regras de redução da superfície de ataque em "anéis", auditando e ativando regras em subconjuntos de dispositivos cada vez mais amplos. Pode organizar os dispositivos da sua organização em anéis com Intune ou uma ferramenta de gestão de Política de Grupo.

Mantenha a regra no modo de auditoria durante cerca de 30 dias para obter uma boa linha de base para o funcionamento da regra assim que for ativada em toda a organização. Durante o período de auditoria, pode identificar quaisquer aplicações de linha de negócio que possam ser bloqueadas pela regra e configurar a regra para as excluir.

Na maioria dos casos, é mais fácil e melhor começar com as recomendações de linha de base sugeridas pelo Defender para Endpoint do que tentar importar regras de outra solução de segurança. Em seguida, utilize ferramentas como o modo de auditoria, monitorização e análise para configurar a sua nova solução de acordo com as suas necessidades exclusivas.

A configuração predefinida para a maioria das regras de redução da superfície de ataque, combinada com a proteção em tempo real do Defender para Endpoint, protege contra um grande número de exploits e vulnerabilidades.

A partir do Defender para Endpoint, pode atualizar as suas defesas com indicadores personalizados para permitir e bloquear determinados comportamentos de software. A redução da superfície de ataque também permite alguma personalização de regras, sob a forma de exclusões de ficheiros e pastas. Regra geral, é melhor auditar uma regra durante um período de tempo e configurar exclusões para quaisquer aplicações de linha de negócio que possam ser bloqueadas.

Sim. Para obter mais informações sobre como excluir ficheiros ou pastas de regras de redução da superfície de ataque, consulte Excluir ficheiros e pastas de regras de redução da superfície de ataque e para obter mais informações sobre como utilizar variáveis de sistema e carateres universais em caminhos de ficheiro excluídos, vejaConfigurar e validar exclusões com base na extensão de ficheiro e na localização da pasta.

Depende da regra. A maioria das regras de redução da superfície de ataque abrange o comportamento dos produtos e serviços do Microsoft Office, como Word, Excel, PowerPoint e OneNote ou Outlook. Determinadas regras de redução da superfície de ataque, como Bloquear a execução de scripts potencialmente ocultados, são mais gerais no âmbito.

A redução da superfície de ataque utiliza Microsoft Defender Antivírus para bloquear aplicações. Não é possível configurar a redução da superfície de ataque para utilizar outra solução de segurança para bloquear neste momento.

Sempre que uma notificação é acionada localmente por uma regra de redução da superfície de ataque, um relatório sobre o evento também é enviado para o portal do Defender para Endpoint. Se estiver com dificuldades em encontrar o evento, pode filtrar a linha cronológica dos eventos com a caixa de pesquisa. Também pode ver eventos de redução da superfície de ataque ao visitar Ir para a gestão de superfícies de ataque, a partir do ícone Gestão de configuração na barra de tarefas do Defender para Cloud. A página de gestão da superfície de ataque inclui um separador para deteções de relatórios, que inclui uma lista completa de eventos de regra de redução da superfície de ataque comunicados ao Defender para Ponto Final.

Experimente abrir as opções de indexação diretamente a partir de Windows 10 ou Windows 11.

1. Selecione o ícone Pesquisa na barra de tarefas do Windows.

2. Introduza Opções de indexação na caixa de pesquisa.

Não. Os critérios utilizados por esta regra são mantidos pela proteção da cloud da Microsoft, para manter a lista fidedigna constantemente atualizada com os dados recolhidos de todo o mundo. Os administradores locais não têm acesso de escrita para alterar estes dados. Se quiser configurar esta regra para a adaptar à sua empresa, pode adicionar determinadas aplicações à lista de exclusões para impedir que a regra seja acionada.

Esta regra depende de cada aplicação ter uma reputação conhecida, medida pela prevalência, idade ou inclusão numa lista de aplicações fidedignas. A decisão da regra de bloquear ou permitir uma aplicação é, em última análise, determinada pela avaliação destes critérios pela Proteção da Cloud da Microsoft.

Normalmente, a proteção da cloud pode determinar que uma nova versão de uma aplicação é semelhante a versões anteriores que não precisa de ser reavaliada longamente. No entanto, a aplicação pode demorar algum tempo a criar reputação depois de mudar de versão, especialmente após uma grande atualização. Entretanto, pode adicionar a aplicação à lista de exclusões para impedir que esta regra bloqueie aplicações importantes. Se estiver frequentemente a atualizar e a trabalhar com novas versões de aplicações, pode optar por executar esta regra no modo de auditoria.

Uma notificação gerada por esta regra não indica necessariamente atividade maliciosa; no entanto, esta regra ainda é útil para bloquear atividades maliciosas, uma vez que o software maligno é frequentemente direcionado lsass.exe para obter acesso ilícito às contas. O processo de lsass.exe armazena credenciais de utilizador na memória depois de um utilizador ter iniciado sessão. O Windows utiliza estas credenciais para validar os utilizadores e aplicar políticas de segurança locais.

Uma vez que muitos processos legítimos ao longo de um dia típico estão a pedir credenciais lsass.exe, esta regra pode ser especialmente ruidosa. Se uma aplicação legítima conhecida fizer com que esta regra gere um número excessivo de notificações, pode adicioná-la à lista de exclusão. A maioria das outras regras de redução da superfície de ataque geram um número relativamente menor de notificações, em comparação com esta, uma vez que chamar lsass.exe é típico do funcionamento normal de muitas aplicações.

A ativação desta regra não fornece proteção adicional se também tiver a proteção LSA ativada. Tanto a regra como a proteção LSA funcionam da mesma forma, pelo que ter ambos em execução ao mesmo tempo seria redundante. No entanto, por vezes poderá não conseguir ativar a proteção LSA. Nesses casos, pode ativar esta regra para fornecer proteção equivalente contra software maligno que tenha como destino lsass.exe.

• Descrição geral da redução da superfície de ataque
• Avaliar regras de redução da superfície de ataque
• Implementação das regras de redução da superfície de ataque– Passo 3: Implementar regras de redução da superfície de ataque
• Ativar regras de redução da superfície de ataque
• Compatibilidade do Antivírus Microsoft Defender com outro antivírus/antimalware