Descrição geral da redução de regras da superfície de ataque (ASR)

As superfícies de ataque são todos os locais onde a sua organização está vulnerável a ciberataques e ataques. As superfícies de ataque da sua organização incluem todos os locais onde um atacante pode comprometer os dispositivos ou redes da sua organização. Reduzir a superfície de ataque significa proteger os dispositivos e a rede da sua organização, o que deixa os atacantes com menos formas de ataque. Configurar regras de redução da superfície de ataque (ASR), uma das muitas funcionalidades de segurança encontradas no Pertahanan Microsoft untuk Titik Akhir , pode ajudar.

As regras ASR têm como alvo determinados comportamentos de software, tais como:

  • Iniciar ficheiros e scripts executáveis que tentam transferir ou executar ficheiros
  • Executar scripts obfuscados ou suspeitos
  • Comportamentos que as aplicações normalmente não ocorrem durante o trabalho normal do dia a dia

Ao reduzir as diferentes superfícies de ataque, pode ajudar a impedir que os ataques aconteçam.

Before you begin

Durante a sua preparação inicial, é essencial que compreenda as funcionalidades dos sistemas que irá pôr em mãos. Compreender as capacidades irá ajudá-lo a determinar quais as regras ASR mais importantes para proteger a sua organização. Além disso, existem vários pré-requisitos nos quais tem de participar na preparação da implementação do ASR.

Importante

Este guia fornece imagens e exemplos para ajudá-lo a decidir como configurar regras ASR; estas imagens e exemplos podem não refletir as melhores opções de configuração para o seu ambiente.

Antes de começar, reveja a Descrição Geral da redução da superfície de ataque e Desmistificar as regras de redução da superfície de ataque - Parte 1 para informações básicas. Para compreender as áreas de cobertura e potencial impacto, familiarize-se com o conjunto atual de regras ASR; consulte Referência das regras de redução da superfície de ataque. Enquanto se está a familiarizar com o conjunto de regras ASR, tome nota dos mapeamentos de GUID por regra; consulte: Regras ASR e matriz de GUIDs.

As regras ASR são apenas uma capacidade das capacidades de redução da superfície de ataque dentro Pertahanan Microsoft untuk Titik Akhir. Este documento será mais detalhado sobre a implementação de regras ASR de forma eficaz para parar ameaças avançadas, como ransomware operado por humanos e outras ameaças.

Regras por categoria

Tal como sublinhado em Utilizar regras de redução da superfície de ataque para impedir infeção de software maléfico, existem múltiplas regras de redução da superfície de ataque dentro de MDE que pode ativar para proteger a sua organização. Seguem-se as regras quebradas por categoria:


Ameaças polimorphic Movimento lateral & roubo de credencial Regras das aplicações de produtividade Regras de e-mail Regras de script Regras de misc
Bloquear a execução de ficheiros executáveis a menos que cumprem uma prevalência (1000 máquinas), idade (24 h) ou critérios de lista de confiança Bloquear as criações de processos com origem nos comandos PSExec e WMI Bloquear Office aplicações de criar conteúdo executável Bloquear conteúdo executável do cliente de e-mail e do webmail Bloquear código de macros/JS/VBS/PS/macro Bloquear a utilização abusiva de controldores vulneráveis e vulneráveis [1]
Bloquear processos não confiados e não assinados que são executados a partir de USB Bloquear o roubo de credenciais Windows subssistema das autoridades de segurança local (lsass.exe)[2] Bloquear Office aplicações para não criar processos infantil Bloquear apenas Office de comunicação da criação de processos infantil Bloquear o lançamento de conteúdo executável transferido em JS/VBS
Utilizar proteção avançada contra ransomware Bloquear a persistência através da subscrição de eventos WMI Bloquear Office aplicações de injetar código noutros processos Bloquear Office aplicações de comunicação para criar processos infantil
Impedir o Adobe Reader de criar processos infantil

(1) De momento, a segurança do ponto final de MEM não está disponível para bloquear a utilização abusiva de controldores vulneráveis com assinaturas vulneráveis. Pode configurar esta regra com o MEM OMA-URI.

(2) Algumas regras ASR geram um ruído considerável, mas não bloqueiam a funcionalidade. Por exemplo, se estiver a atualizar o Chrome; O Chrome terá acesso lsass.exe; as palavras-passe são armazenadas no lsass no dispositivo. No entanto, o Chrome não deverá aceder ao dispositivo local lsass.exe. Se permitir que a regra bloqueie o acesso ao lsass, esta irá gerar vários eventos. Estes eventos são eventos bons porque o processo de atualização de software não deve aceder lsass.exe. Ativar esta regra bloqueará o acesso às atualizações do Chrome, mas não impedirá o Chrome de atualizar; O mesmo também se aplica a outras aplicações que estuam chamadas desnecessárias para lsass.exe. A regra bloquear o acesso à lsass bloqueará chamadas desnecessárias para a aplicação, mas não impedirá a execução da aplicação.

Requisitos de infraestrutura

Embora sejam possíveis múltiplos métodos de implementação de regras ASR, este guia baseia-se numa infraestrutura que consiste em:

  • Azure Active Directory
  • Gestão de Pontos Finais (MEM) da Microsoft
  • Windows 10 e Windows 11 dispositivos
  • Pertahanan Microsoft untuk Titik Akhir E5 ou Windows licenças E5

Para tirar o máximo partido das regras e relatórios ASR, recomendamos que utilize uma Microsoft 365 Defender E5 ou Windows E5 e A5. Saiba mais: Requisitos mínimos para Pertahanan Microsoft untuk Titik Akhir.

Nota

Existem múltiplos métodos para configurar regras ASR. As regras ASR podem ser configuradas através de: Microsoft Endpoint Manager (MEM), PowerShell, Política de Grupo, Microsoft System Center Configuration Manager (SCCM), MEM OMA-URI. Se estiver a utilizar uma configuração de infraestrutura diferente da lista dos Requisitos de infraestrutura (acima ), pode saber mais sobre como implementar regras de redução da superfície de ataque utilizando outras configurações aqui: Ativar regras de redução da superfície de ataque.

Dependências de regras ASR

Antivírus do Microsoft Defender ser ativado e configurado como uma solução antivírus principal e tem de estar no seguinte modo:

  • Solução antivírus/antimalware principal
  • Estado: modo Ativo

Antivírus do Microsoft Defender não devem estar em nenhum dos seguintes modos:

  • Passive
  • Modo Passive com Deteção e Resposta a Pontos Finais (DRP) no Modo de Bloqueio
  • Análise periódica limitada (LPS)
  • Des desligado

Consulte: Proteção e proteção fornecidas pela nuvem Antivírus do Microsoft Defender.

A Proteção da Nuvem (MAPS) tem de estar ativada

Antivírus do Microsoft Defender funciona de forma totalmente móvel com os serviços em nuvem da Microsoft. Estes serviços de proteção da nuvem, também denominados Serviços de Proteção Avançada da Microsoft (MAPS), melhoram a proteção padrão em tempo real, fornecendo provavelmente a melhor defesa antivírus. A proteção da nuvem é essencial para impedir violações de software maliceiro e um componente crítico das regras ASR. A turn on cloud-delivered protection in Antivírus do Microsoft Defender.

Antivírus do Microsoft Defender componentes têm de ser versões atuais

As seguintes Antivírus do Microsoft Defender versões dos componentes têm de ser mais de duas versões mais antigas do que a versão mais recente:

  • Antivírus do Microsoft Defender Atualização da plataforma – Antivírus do Microsoft Defender plataforma de atualização é atualizada mensalmente.
  • Antivírus do Microsoft Defender versão do motor do Antivírus do Microsoft Defender de dados é atualizada mensalmente.
  • Antivírus do Microsoft Defender de segurança - a Microsoft atualiza continuamente as informações de segurança do Microsoft Defender (também conhecidas como, definição e assinatura) para abordar as ameaças mais recentes e refinar a lógica de deteção.

Manter Antivírus do Microsoft Defender versões atuais ajuda a reduzir as regras ASR de resultados falsos positivos e melhora Antivírus do Microsoft Defender capacidades de deteção. Para obter mais detalhes sobre as versões atuais e como atualizar os diferentes componentes Antivírus do Microsoft Defender visite o Antivírus do Microsoft Defender da plataforma.

Gruta

Algumas regras não funcionam bem se as aplicações e os scripts não assinados e desenvolvidos internamente estiverem em alta utilização. É mais difícil implementar regras ASR se a assinatura de código não for impossida.

Passos de implementação de regras ASR

Tal como com qualquer nova implementação de grande escala que possa potencialmente afetar as suas operações de linha de negócio, é importante ser medico no seu planeamento e implementação. Devido às capacidades poderosas das regras ASR para impedir software malware, é necessário planear e implementar cuidadosamente estas regras para garantir que funcionam melhor para os seus fluxos de trabalho exclusivos de clientes. Para trabalhar no seu ambiente, tem de planear, testar, implementar e operacionalizar cuidadosamente as regras ASR.

Nota

Para clientes que estão Pertahanan Microsoft untuk Titik Akhir utilizar UMA HIPS que não sejam da Microsoft e estão Pertahanan Microsoft untuk Titik Akhir transitar para regras de redução da superfície de ataque: a Microsoft avisa os clientes que executem a solução HIPS lado a lado com as respetivos regras ASR implementadas até ao momento em que muda do modo de Auditoria para Bloquear. Tenha em atenção que tem de contactar o seu fornecedor de antivírus de terceiros para recomendações de exclusão.

Tópicos adicionais nesta coleção de implementação

Testar as regras de redução da superfície de ataque (ASR)

Ativar as regras de redução da superfície de ataque (ASR)

Operacionalizar regras de redução da superfície de ataque (ASR)

Referência das regras de redução da superfície de ataque (ASR)

Referência

Blogues

Desmistificar as regras de redução da superfície de ataque - Parte 1

Desmistificar as regras de redução da superfície de ataque - Parte 2

Desmistificar as regras de redução da superfície de ataque - Parte 3

Desmistificar as regras de redução da superfície de ataque - Parte 4

Coleção ASR

Visão geral da redução da superfície de ataque

Utilizar regras de redução da superfície de ataque para impedir a infeção de software malicosa

Ativar regras de redução da superfície de ataque - configurações alternativas

Referência das regras de redução da superfície de ataque

FAQ sobre a redução da superfície de ataque

Microsoft Defender

Resolver falsos positivos/negativos no Microsoft Defender para Endpoint

Proteção e proteção de entrega na nuvem Antivírus do Microsoft Defender

Ate a proteção fornecida pela nuvem no Antivírus do Microsoft Defender

Configurar e validar exclusões com base na extensão, nome ou localização

Antivírus do Microsoft Defender suporte para plataformas de comunicações

Overview of inventory in the Microsoft 365 应用版 admin center

Criar um plano de implementação para o Windows

Utilizar controlo de acesso baseado em funções (RBAC) e etiquetas de âmbito para IT distribuídos em Intune

Atribuir perfis de dispositivo no Microsoft Intune

Sites de gestão

Microsoft Endpoint Manager centro de administração

Redução da superfície de ataque

Configurações de regras ASR

Exclusões de regras ASR