Referência das regras de redução da superfície de ataque

Aplica-se a:

Plataformas:

  • Windows

Este artigo fornece informações sobre regras de redução de ataques:

Sistemas operativos suportados

A seguinte tabela lista os sistemas operativos suportados para as regras atualmente lançadas para disponibilidade geral. As regras estão listadas por ordem alfabética nesta tabela.

Nota

A comtrução mínima do Windows 10, salvo indicação em contrário, é a versão 1709 (RS3, compção 16299) ou posterior; a comtrução mínima do Windows Server é a versão 1809 ou posterior.

As regras de redução da superfície de ataque no Windows Server 2012 R2 e no Windows Server 2016 estão disponíveis para dispositivos que utilizem um pacote de solução unificado moderno. Para obter mais informações, consulte Nova funcionalidade na solução unificada moderna para o Windows Server 2012 R2 e Pré-visualização 2016.

Nome da regra Windows 11
e
Windows 10
Windows Server
2022
e
Windows Server
2019
Windows Server: Windows Server
2016 [1, 2]
Windows Server
2012 R2 [1, 2]
Bloquear a utilização abusiva de controldores vulneráveis com assinatura explorada Y Y Y
versão 1803 (Canal Empresarial Semesuais) ou posterior
Y Y
Impedir o Adobe Reader de criar processos infantil Y
versão 1809 ou posterior [3]
Y Y Y Y
Bloquear todas as aplicações do Office de criar processos infantil Y Y Y Y Y
Bloquear o roubo de credenciais do subssistema das autoridades de segurança local do Windows (lsass.exe) Y
versão 1803 ou posterior [3]
Y Y Y Y
Bloquear conteúdo executável do cliente de e-mail e do webmail Y Y Y Y Y
Bloquear a execução de ficheiros executáveis a menos que coubem um critério de lista de prevalência, idade ou confiança Y
versão 1803 ou posterior [3]
Y Y Y Y
Bloquear a execução de scripts potencialmente obfuscados Y Y Y Y Y
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido Y Y Y N N
Impedir que as aplicações do Office criem conteúdo executável Y Y Y Y Y
Bloquear as aplicações do Office de injetar código noutros processos Y Y Y Y Y
Bloquear a aplicação de comunicação do Office de criar processos infantil Y Y Y Y Y
Bloquear a persistência através da subscrição de eventos WMI
*As exclusões de ficheiros e pastas não são suportadas.
Y
versão 1903 (comitiva 18362) ou posterior [3]
Y Y
versão 1903 (comtrução 18362) ou posterior
N N
Bloquear as criações de processos com origem nos comandos PSExec e WMI Y
versão 1803 ou posterior [3]
Y Y Y Y
Bloquear processos não confiados e não assinados que são executados a partir de USB Y Y Y Y Y
Bloquear chamadas da API Win32 a partir de macros do Office Y Y Y N N
Utilizar proteção avançada contra ransomware Y
versão 1803 ou posterior [3]
Y Y Y Y

(1) Refere-se à solução unificada moderna para Windows Server 2012 e 2016. Para obter mais informações, consulte O teclado do Windows Servers para o serviço Defender para Pontos Finais.

(2) Para o Windows Server 2016 e Windows Server 2012 R2, a versão mínima necessária do Microsoft Endpoint Configuration Manager é a versão 2111.

(3) Os números de versão e complicação aplicam-se apenas ao Windows 10.

Sistemas de gestão de configurações suportados

As ligações para informações sobre as versões do sistema de gestão de configurações referenciadas nesta tabela estão listadas abaixo desta tabela.

Nome da regra Intune Microsoft Endpoint Manager Microsoft Endpoint Configuration Manager Política de Grupo[1] PowerShell[1]
Bloquear a utilização abusiva de controldores vulneráveis com assinatura explorada Y Y MEM OMA-URI Y Y
Impedir o Adobe Reader de criar processos infantil Y Y Y
Bloquear todas as aplicações do Office de criar processos infantil Y Y

CB 1710
Y Y
Bloquear o roubo de credenciais do subssistema das autoridades de segurança local do Windows (lsass.exe) Y Y

CB 1802
Y Y
Bloquear conteúdo executável do cliente de e-mail e do webmail Y Y

CB 1710
Y Y
Bloquear a execução de ficheiros executáveis a menos que coubem um critério de lista de prevalência, idade ou confiança Y Y

CB 1802
Y Y
Bloquear a execução de scripts potencialmente obfuscados Y Y

CB 1710
Y Y
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido Y Y

CB 1710
Y Y
Impedir que as aplicações do Office criem conteúdo executável Y Y

CB 1710
Y Y
Bloquear as aplicações do Office de injetar código noutros processos Y Y

CB 1710
Y Y
Bloquear a aplicação de comunicação do Office de criar processos infantil Y Y

CB 1710
Y Y
Bloquear a persistência através da subscrição de eventos WMI Y Y
Bloquear as criações de processos com origem nos comandos PSExec e WMI Y Y Y
Bloquear processos não confiados e não assinados que são executados a partir de USB Y Y

CB 1802
Y Y
Bloquear chamadas da API Win32 a partir de macros do Office Y Y

CB 1710
Y Y
Utilizar proteção avançada contra ransomware Y Y

CB 1802
Y Y

(1) Pode configurar regras de redução da superfície de ataque numa base por regra ao utilizar o GUID de qualquer regra.

Alertas e detalhes de notificações por regra

As notificações de aviso são geradas para todas as regras no modo de Bloqueio. As regras noutro modo não geram notificações de aviso

Para regras com o "Estado da Regra" especificado:

  • As regras ASR com <ASR Rule, Rule State> combinações são utilizadas para alertas de superfície (notificações de alerta) em Microsoft Defender para Endpoint apenas para dispositivos com nível de bloqueio de alto nível de nuvem. Os dispositivos que não estão ao nível de alto nível de bloqueio na nuvem não geram alertas para qualquer regra <ASR, combinações de regras de> regra
  • Os alertas EDR são gerados para regras ASR nos estados especificados, mas apenas para dispositivos com um nível de bloqueio de alta nuvem.
Nome da regra: Estado da regra: Gera alertas no EDR?
(Sim | Não)
Gera notificações de aviso?
(Sim | Não)
Apenas para dispositivos com nível de bloco de alta nuvem Apenas no modo Bloquear
Bloquear a utilização abusiva de controldores vulneráveis com assinatura explorada N Y
Impedir o Adobe Reader de criar processos infantil Bloquear Y
Necessita do dispositivo ao nível de bloco de alta nuvem
Y
Necessita do dispositivo ao nível de bloco de alta nuvem
Bloquear todas as aplicações do Office de criar processos infantil N Y
Bloquear o roubo de credenciais do subssistema das autoridades de segurança local do Windows (lsass.exe) N Y
Bloquear conteúdo executável do cliente de e-mail e do webmail Y
Necessita do dispositivo ao nível de bloco de alta nuvem
Y
Necessita do dispositivo ao nível de bloco de alta nuvem
Bloquear a execução de ficheiros executáveis a menos que coubem um critério de lista de prevalência, idade ou confiança N Y
Bloquear a execução de scripts potencialmente obfuscados Bloco de | Auditoria Y | Y
Necessita do dispositivo ao nível de bloco de alta nuvem
N | Y
Necessita do dispositivo ao nível de bloco de alta nuvem
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido Bloquear Y
Necessita do dispositivo ao nível de bloco de alta nuvem
Y
Necessita do dispositivo ao nível de bloco de alta nuvem
Impedir que as aplicações do Office criem conteúdo executável N Y
Bloquear as aplicações do Office de injetar código noutros processos N Y
Bloquear a aplicação de comunicação do Office de criar processos infantil N Y
Bloquear a persistência através da subscrição de eventos WMI Bloco de | Auditoria Y | Y
Necessita do dispositivo ao nível de bloco de alta nuvem
N | Y
Necessita do dispositivo ao nível de bloco de alta nuvem
Bloquear as criações de processos com origem nos comandos PSExec e WMI N Y
Bloquear processos não confiados e não assinados que são executados a partir de USB Bloco de | Auditoria Y | Y
Necessita do dispositivo ao nível de bloco de alta nuvem
N | Y
Necessita do dispositivo ao nível de bloco de alta nuvem
Bloquear chamadas da API Win32 a partir de macros do Office N Y
Utilizar proteção avançada contra ransomware Bloco de | Auditoria Y | Y
Necessita do dispositivo ao nível de bloco de alta nuvem
N | Y
Necessita do dispositivo ao nível de bloco de alta nuvem

Regra ASR para matriz DE GUID

Nome da Regra GUID da Regra
Bloquear a utilização abusiva de controldores vulneráveis com assinatura explorada 56a863a9-875e-4185-98a7-b882c64b5ce5
Impedir o Adobe Reader de criar processos infantil 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Bloquear todas as aplicações do Office de criar processos infantil d4f940ab-401b-4efc-aadc-ad5f3c50688a
Bloquear o roubo de credenciais do subssistema das autoridades de segurança local do Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Bloquear conteúdo executável do cliente de e-mail e do webmail be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Bloquear a execução de ficheiros executáveis a menos que coubem um critério de lista de prevalência, idade ou confiança 01443614-cd74-433a-b99e-2ecdc07bfc25
Bloquear a execução de scripts potencialmente obfuscados 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido d3e037e1-3eb8-44c8-a917-57927947596d
Impedir que as aplicações do Office criem conteúdo executável 3b576869-a4ec-4529-8536-b80a7769e899
Bloquear as aplicações do Office de injetar código noutros processos 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Bloquear a aplicação de comunicação do Office de criar processos infantil 26190899-1602-49e8-8b27-eb1d0a1ce869
Bloquear a persistência através da subscrição de eventos WMI
* As exclusões de ficheiros e pastas não são suportadas.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Bloquear as criações de processos com origem nos comandos PSExec e WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Bloquear processos não confiados e não assinados que são executados a partir de USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Bloquear chamadas da API Win32 a partir de macros do Office 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Utilizar proteção avançada contra ransomware c1db55ab-c21a-4637-bb3f-a12568109d35

Modos de regra ASR

  • Não configurado ou Desativado: o estado no qual a regra ASR não foi ativada ou foi desativada. O código para este estado = 0.
  • Bloco: o estado no qual a regra ASR está ativada. O código para este estado é 1.
  • Auditoria: o estado no qual a regra ASR é avaliada para o efeito que terá na organização ou ambiente se ativada (definida para bloquear ou avisar). O código para este estado é 2.
  • Avisar O estado em que a regra ASR está ativada e apresenta uma notificação ao utilizador final, mas permite que o utilizador final o deslizar. O código para este estado é 6.

O modo de aviso é um tipo de modo de bloqueio que alerta os utilizadores sobre ações potencialmente arriscadas. Os utilizadores podem optar por não passar pela mensagem de aviso de bloqueio e permitir a ação sub acordo. Os utilizadores podem selecionar OK para impor o bloco ou selecionar a opção de bloqueio - Desbloquear - através da notificação de pop-up do utilizador final que é gerada na altura do bloco. Após o aviso ser desbloqueado, a operação é permitida até da próxima vez que a mensagem de aviso ocorrer, altura em que o utilizador final terá de reperformar a ação.

Quando o botão permitir é clicado, o bloco será suprimido durante 24 horas. Após 24 horas, o utilizador final terá de permitir o bloco novamente. O modo de aviso para regras ASR só é suportado para dispositivos RS5+ (1809+). Se a regra de bypass for atribuída às regras ASR em dispositivos com versões mais antigas, a regra estará no modo de bloqueio.

Também pode definir uma regra no modo de aviso através do PowerShell ao especificar o AttackSurfaceReductionRules_Actions como "Avisar". Por exemplo:

-command "& {&'Add-MpPreference' -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn"} 

Descrições por regra

Bloquear a utilização abusiva de controldores vulneráveis com assinatura explorada

Esta regra impede uma aplicação de escrever um controlador vulnerável assinado ao disco. Os controldores com assinatura vulnerável e in-local podem ser explorados por aplicações locais - que tenham privilégios suficientes - para obter acesso ao kernel. Os controladores com assinaturas vulneráveis permitem aos atacadores desativar ou contornar as soluções de segurança, levando eventualmente a um compromisso do sistema.

A regra Bloquear a utilização abusiva de controldores vulneráveis assinados não bloqueia um controlador já existente no sistema para ser carregado.

Nota

Pode configurar esta regra com o MEM OMA-URI. Consulte MEM OMA-URI para configurar regras personalizadas.

Também pode configurar esta regra com o PowerShell.

Para ter um controlador examinado, utilize este site para Submeter um controlador para análise.

Intune Nome:Block abuse of exploited vulnerable signed drivers

Configuration Manager nome: Ainda não está disponível

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Tipo de ação de procura avançada:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Impedir o Adobe Reader de criar processos infantil

Esta regra impede ataques ao bloquear a criação de processos no Adobe Reader.

O software maliceiro pode transferir e iniciar payloads e separar o Adobe Reader através de redes sociais ou exploits. Ao impedir que os processos de menor sejam gerados pelo Adobe Reader, os softwares malictivos que tentem utilizar o Adobe Reader como um vetor de ataque são impedidos de propagar.

Intune nome:Process creation from Adobe Reader (beta)

Configuration Manager nome: Ainda não está disponível

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Tipo de ação de procura avançada:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Dependências: MDAV

Bloquear todas as aplicações do Office de criar processos infantil

Esta regra bloqueia a criação de processos infantil nas aplicações do Office. As aplicações do Office incluem o Word, Excel, PowerPoint, OneNote e Access.

Criar processos maliciosos para crianças é uma estratégia maliciosa comum. O software malictado que abuse do Office como um vetor geralmente executa macros VBA e explora código para transferir e tentar executar mais payloads. No entanto, algumas aplicações de linha de negócio legítimas também podem gerar processos infantil para fins benignos; como a criação de spawning de uma solicitação de comandos ou a utilização do PowerShell para configurar as definições de registo.

Intune nome:Office apps launching child processes

Configuration Manager nome:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Tipo de ação de procura avançada:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Dependências: MDAV

Bloquear o roubo de credenciais do subssistema das autoridades de segurança local do Windows

Esta regra ajuda a impedir o roubo de credenciais ao bloquear o Serviço de Subssistema da Autoridade de Segurança Local (LSASS).

O LSASS autentica os utilizadores que inscreveram o seu trabalho num computador Windows. Normalmente, o Microsoft Defender Credential Guard no Windows impede a tentativa de extrair credenciais do LSASS. Algumas organizações não conseguem ativar o Guarda de Credenciais em todos os seus computadores devido a problemas de compatibilidade com controldores smartcard personalizados ou outros programas que carregam para a Autoridade de Segurança Local (LSA). Nestes casos, os atacantes podem utilizar ferramentas como Mimikatz para raspar palavras-passe claras e hashes NTLM do LSASS.

Nota

Em algumas aplicações, o código enumera todos os processos em execução e tenta abri-los com permissões exaustivas. Esta regra recusa a ação aberta do processo da aplicação e regista os detalhes no registo de eventos de segurança. Esta regra pode gerar muitos ruídos. Se tiver uma aplicação que enumera simplesmente o LSASS, mas que não tem nenhum impacto real na funcionalidade, não precisa de adicioná-la à lista de exclusões. Só por si, esta entrada de registo de eventos não indica necessariamente uma ameaça maliciosa.

Importante

O estado predefinido da regra de Redução da Superfície de Ataque (ASR) "Bloquear roubo de credenciais do subssistema das autoridades de segurança local do Windows (lsass.exe)" irá mudar de Não Configurado para Configurado e o modo predefinido definido para Bloquear . Todas as outras regras ASR permanecerão no estado predefinido: Não Configuradas. A lógica de filtragem adicional já foi incorporada na regra para reduzir as notificações do utilizador final. Os clientes podem configurar a regra para os modos Auditar, Avisar ou Desativado, o que irá predefinir o modo. As funcionalidades desta regra são as mesmas, quer a regra esteja configurada no modo on-by-default ou se ativar o Modo de bloqueio manualmente.

Intune nome:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager nome:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Tipo de ação de procura avançada:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Dependências: MDAV

Bloquear conteúdo executável do cliente de e-mail e do webmail

Esta regra bloqueia o início dos seguintes tipos de ficheiro a partir do e-mail aberto na aplicação Microsoft Outlook ou do Outlook.com e de outros fornecedores de webmail populares:

  • Ficheiros executáveis (como .exe, .dll ou .scr)
  • Script files (como um ficheiro de .ps1 PowerShell, Visual Basic .vbs ou JavaScript .js)

Intune nome:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Nome Endpoint Manager Microsoft:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Tipo de ação de procura avançada:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Dependências: MDAV

Nota

A regra Bloquear conteúdo executável do cliente de e-mail e do webmail tem as seguintes descrições alternativas, dependendo da aplicação que utilizar:

  • Intune (Perfis de Configuração): a execução de conteúdo executável (exe, dll, ps, js, vbs, etc.) deixou de ser enviado do e-mail (cliente webmail/mail) (sem exceções).
  • Endpoint Manager: bloquear a transferência de conteúdo executável a partir de clientes de e-mail e webmail.
  • Política de Grupo: bloquear conteúdo executável do cliente de e-mail e do webmail.

Bloquear a execução de ficheiros executáveis a menos que coubem um critério de lista de prevalência, idade ou confiança

Esta regra bloqueia o lançamento de ficheiros executáveis, .exe, .dll ou .scr. Desta forma, iniciar ficheiros executáveis não detetados ou desconhecidos pode ser arriscado, uma vez que poderá não ser inicialmente claro se os ficheiros são maliciosos.

Importante

Tem de ativar a proteção fornecida na nuvem para utilizar esta regra.

A regra Bloquear a execução de ficheiros executáveis a menos que cumprem um critério de lista de prevalência, idade ou confiança com GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 pertence à Microsoft e não é especificada pelos administradores. Esta regra utiliza proteção fornecida na nuvem para atualizar a lista de confiança regularmente.

Pode especificar ficheiros ou pastas individuais (utilizando caminhos de pastas ou nomes de recursos completamente qualificados), mas não pode especificar a que regras ou exclusões se aplicam.

Intune nome:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager nome:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Tipo de ação de procura avançada:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Dependências: MDAV, Proteção da Nuvem

Bloquear a execução de scripts potencialmente obfuscados

Esta regra deteta propriedades suspeitas dentro de um script obfuscado.

Importante

Os scripts do PowerShell foram temporariamente excluídos da regra "Bloquear a execução de scripts potencialmente obfuncionais" devido a problemas de FP de grande escala que se detetaram no passado.

A obfusão de scripts é uma técnica comum que tanto os autores de software malicioso como as aplicações legítimas utilizam para ocultar propriedade intelectual ou diminuir o tempo de carregamento de scripts. Os autores de software malicioso também utilizam a obfuscação para tornar o código malicioso mais difícil de ler, o que torna mais difícil fechar a análise por parte de um software para uso humano e de segurança.

Importante

Devido ao número elevado de falsos positivos, esta regra não deteta atualmente scripts do PowerShell; esta é uma solução temporária. A regra será atualizada e começará a remodelar scripts do PowerShell em breve.

Intune nome:Obfuscated js/vbs/ps/macro code

Configuration Manager nome:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Tipo de ação de procura avançada:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Dependências: MDAV, AMSI

Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido

Esta regra impede que os scripts iniciem conteúdos transferidos potencialmente maliciosos. O software malictado escrito em JavaScript ou VBScript funciona frequentemente como um descarregador para obté-lo e iniciar outro software maliceiro da Internet.

Apesar de não ser comum, por vezes as aplicações de linha de negócio utilizam scripts para transferir e iniciar instaladores.

Intune nome:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager nome:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Tipo de ação de procura avançada:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Dependências: MDAV, AMSI

Impedir que as aplicações do Office criem conteúdo executável

Esta regra impede que as aplicações do Office, incluindo o Word, Excel e PowerPoint, criem conteúdos executáveis potencialmente maliciosos, ao bloquear a escrita de código malicioso no disco.

O software malicioso que abuse do Office como um vetor pode tentar sair do Office e guardar componentes maliciosos no disco. Estes componentes maliciosos iriam continuar a ser reiniciados num computador e persistir no sistema. Portanto, esta regra defenderá contra uma técnica de persistência comum.

Intune nome:Office apps/macros creating executable content

Nome SCCM: Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Tipo de ação de procura avançada:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Dependências: MDAV, RPC

Bloquear as aplicações do Office de injetar código noutros processos

Esta regra bloqueia as tentativas de injeção de código das aplicações do Office para outros processos.

Os atacantes podem tentar utilizar as aplicações do Office para migrar código malicioso para outros processos através da injeção de código, para que o código possa ser mascarado como um processo limpo.

Não existem objetivos empresariais legítimos conhecidos para a injeção de código.

Esta regra aplica-se ao Word, Excel e PowerPoint.

Intune nome:Office apps injecting code into other processes (no exceptions)

Configuration Manager nome:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Tipo de ação de procura avançada:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Dependências: MDAV

Bloquear a aplicação de comunicação do Office de criar processos infantil

Esta regra impede o Outlook de criar processos infantil, permitindo, ao mesmo tempo, funções legítimas do Outlook.

Esta regra protege contra ataques de engenharia social e impede que o código de exploração abuse de vulnerabilidades no Outlook. Também protege contra regras e formulários do Outlook que os atacantes podem utilizar quando as credenciais de um utilizador estão comprometidos.

Nota

Esta regra bloqueia sugestões de políticas DLP e Deteções de Ferramentas no Outlook. Esta regra aplica-se apenas ao Outlook e Outlook.com regra.

Intune nome:Process creation from Office communication products (beta)

Configuration Manager nome: Não disponível

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Tipo de ação de procura avançada:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Dependências: MDAV

Bloquear a persistência através da subscrição de eventos WMI

Esta regra impede que o malware abuse da WMI para detetar persistência num dispositivo.

Importante

As exclusões de ficheiros e pastas não se aplicam a esta regra de redução da superfície de ataque.

As ameaças sem ficheiros utilizam várias táticas para se manterem ocultas, para evitar serem vistas no sistema de ficheiros e para obter controlo de execução periódico. Algumas ameaças podem usar de forma abusiva o repositório e evento WMI modelo para permanecer oculto.

Intune nome: Não disponível

Configuration Manager nome: Não disponível

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Tipo de ação de procura avançada:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Dependências: MDAV, RPC

Bloquear as criações de processos com origem nos comandos PSExec e WMI

Esta regra bloqueia a execução de processos criados através do PsExec e WMI . Tanto o PsExec como o WMI podem executar código remotamente. Existe o risco de abusar da funcionalidade de software maliceiro do PsExec e WMI para fins de comando e controlo ou de propagar uma infeção pela rede de uma organização.

Aviso

Utilize esta regra apenas se estiver a gerir os seus dispositivos com a Intune ou outra solução MDM. Esta regra é incompatível com a gestão através do Microsoft Endpoint Configuration Manager porque esta regra bloqueia os comandos WMI que o cliente Configuration Manager utiliza para funcionar corretamente.

Intune nome:Process creation from PSExec and WMI commands

Configuration Manager nome: Não aplicável

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Tipo de ação de procura avançada:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Dependências: MDAV

Bloquear processos não confiados e não assinados que são executados a partir de USB

Com esta regra, os administradores podem impedir a execução de ficheiros executáveis não assinados ou não confiados a partir de pens USB amovíveis, incluindo cartões SD. Os tipos de ficheiro bloqueados incluem ficheiros executáveis (como .exe, .dll ou .scr)

Importante

Os ficheiros copiados da USB para a unidade de disco serão bloqueados por esta regra se e quando estiver prestes a ser executado na unidade de disco.

Intune nome:Untrusted and unsigned processes that run from USB

Configuration Manager nome:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Tipo de ação de procura avançada:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Dependências: MDAV

Bloquear chamadas da API Win32 a partir de macros do Office

Esta regra impede as macros do VBA de chamar APIs Win32.

O VBA do Office ativa as chamadas da API win32. O software malicioso pode usar esta capacidade de forma abusiva, como ligar para APIs do Win32 para iniciar códigos de shell maliciosos sem escrever nada diretamente no disco. A maioria das organizações não dependem da capacidade de ligar para APIs Win32 no seu funcionamento diariamente, mesmo que utilizem macros de outras formas.

Sistemas operativos suportados:

Intune nome:Win32 imports from Office macro code

Configuration Manager nome:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Tipo de ação de procura avançada:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Dependências: MDAV, AMSI

Utilizar proteção avançada contra ransomware

Esta regra fornece uma camada extra de proteção contra ransomware. Utiliza a heurística do cliente e da nuvem para determinar se um ficheiro se assemelha ao ransomware. Esta regra não bloqueia ficheiros que tenham uma ou mais das seguintes características:

  • O ficheiro já foi encontrado como obscuro na nuvem da Microsoft.
  • O ficheiro é um ficheiro assinado válido.
  • O ficheiro é suficientemente prevalente para não ser considerado como ransomware.

A regra tende a ser preterida na parte lateral da atenção para impedir o ransomware.

Nota

Tem de ativar a proteção fornecida na nuvem para utilizar esta regra.

Intune nome:Advanced ransomware protection

Configuration Manager nome:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Tipo de ação de procura avançada:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Dependências: MDAV, Proteção da Nuvem