Referência das regras de redução da superfície de ataque
Aplica-se a:
- Microsoft Microsoft 365 Defender para Plano 1 do Ponto Final
- API do Microsoft Defender para Endpoint 2
- Microsoft 365 Defender
- Antivírus do Microsoft Defender
Plataformas:
- Windows
Este artigo fornece informações sobre regras de redução de ataques:
- Versões de sistema operativo suportadas
- Sistemas de gestão de configurações suportados
- Detalhes de alertas e notificações por regra
- Regra ASR para matriz DE GUID
- Modos de regra ASR
- Descrições por regra
Sistemas operativos suportados
A seguinte tabela lista os sistemas operativos suportados para as regras atualmente lançadas para disponibilidade geral. As regras estão listadas por ordem alfabética nesta tabela.
Nota
A comtrução mínima do Windows 10, salvo indicação em contrário, é a versão 1709 (RS3, compção 16299) ou posterior; a comtrução mínima do Windows Server é a versão 1809 ou posterior.
As regras de redução da superfície de ataque no Windows Server 2012 R2 e no Windows Server 2016 estão disponíveis para dispositivos que utilizem um pacote de solução unificado moderno. Para obter mais informações, consulte Nova funcionalidade na solução unificada moderna para o Windows Server 2012 R2 e Pré-visualização 2016.
(1) Refere-se à solução unificada moderna para Windows Server 2012 e 2016. Para obter mais informações, consulte O teclado do Windows Servers para o serviço Defender para Pontos Finais.
(2) Para o Windows Server 2016 e Windows Server 2012 R2, a versão mínima necessária do Microsoft Endpoint Configuration Manager é a versão 2111.
(3) Os números de versão e complicação aplicam-se apenas ao Windows 10.
Sistemas de gestão de configurações suportados
As ligações para informações sobre as versões do sistema de gestão de configurações referenciadas nesta tabela estão listadas abaixo desta tabela.
(1) Pode configurar regras de redução da superfície de ataque numa base por regra ao utilizar o GUID de qualquer regra.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Endpoint Manager CB 1710
- System Center Configuration Manager (SCCM) CB 1710
O SCCM é agora Microsoft Endpoint Configuration Manager.
Alertas e detalhes de notificações por regra
As notificações de aviso são geradas para todas as regras no modo de Bloqueio. As regras noutro modo não geram notificações de aviso
Para regras com o "Estado da Regra" especificado:
- As regras ASR com <ASR Rule, Rule State> combinações são utilizadas para alertas de superfície (notificações de alerta) em Microsoft Defender para Endpoint apenas para dispositivos com nível de bloqueio de alto nível de nuvem. Os dispositivos que não estão ao nível de alto nível de bloqueio na nuvem não geram alertas para qualquer regra <ASR, combinações de regras de> regra
- Os alertas EDR são gerados para regras ASR nos estados especificados, mas apenas para dispositivos com um nível de bloqueio de alta nuvem.
| Nome da regra: | Estado da regra: | Gera alertas no EDR? (Sim | Não) |
Gera notificações de aviso? (Sim | Não) |
|---|---|---|---|
| Apenas para dispositivos com nível de bloco de alta nuvem | Apenas no modo Bloquear | ||
| Bloquear a utilização abusiva de controldores vulneráveis com assinatura explorada | N | Y | |
| Impedir o Adobe Reader de criar processos infantil | Bloquear | Y Necessita do dispositivo ao nível de bloco de alta nuvem |
Y Necessita do dispositivo ao nível de bloco de alta nuvem |
| Bloquear todas as aplicações do Office de criar processos infantil | N | Y | |
| Bloquear o roubo de credenciais do subssistema das autoridades de segurança local do Windows (lsass.exe) | N | Y | |
| Bloquear conteúdo executável do cliente de e-mail e do webmail | Y Necessita do dispositivo ao nível de bloco de alta nuvem |
Y Necessita do dispositivo ao nível de bloco de alta nuvem |
|
| Bloquear a execução de ficheiros executáveis a menos que coubem um critério de lista de prevalência, idade ou confiança | N | Y | |
| Bloquear a execução de scripts potencialmente obfuscados | Bloco de | Auditoria | Y | Y Necessita do dispositivo ao nível de bloco de alta nuvem |
N | Y Necessita do dispositivo ao nível de bloco de alta nuvem |
| Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido | Bloquear | Y Necessita do dispositivo ao nível de bloco de alta nuvem |
Y Necessita do dispositivo ao nível de bloco de alta nuvem |
| Impedir que as aplicações do Office criem conteúdo executável | N | Y | |
| Bloquear as aplicações do Office de injetar código noutros processos | N | Y | |
| Bloquear a aplicação de comunicação do Office de criar processos infantil | N | Y | |
| Bloquear a persistência através da subscrição de eventos WMI | Bloco de | Auditoria | Y | Y Necessita do dispositivo ao nível de bloco de alta nuvem |
N | Y Necessita do dispositivo ao nível de bloco de alta nuvem |
| Bloquear as criações de processos com origem nos comandos PSExec e WMI | N | Y | |
| Bloquear processos não confiados e não assinados que são executados a partir de USB | Bloco de | Auditoria | Y | Y Necessita do dispositivo ao nível de bloco de alta nuvem |
N | Y Necessita do dispositivo ao nível de bloco de alta nuvem |
| Bloquear chamadas da API Win32 a partir de macros do Office | N | Y | |
| Utilizar proteção avançada contra ransomware | Bloco de | Auditoria | Y | Y Necessita do dispositivo ao nível de bloco de alta nuvem |
N | Y Necessita do dispositivo ao nível de bloco de alta nuvem |
Regra ASR para matriz DE GUID
| Nome da Regra | GUID da Regra |
|---|---|
| Bloquear a utilização abusiva de controldores vulneráveis com assinatura explorada | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Impedir o Adobe Reader de criar processos infantil | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Bloquear todas as aplicações do Office de criar processos infantil | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Bloquear o roubo de credenciais do subssistema das autoridades de segurança local do Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Bloquear conteúdo executável do cliente de e-mail e do webmail | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Bloquear a execução de ficheiros executáveis a menos que coubem um critério de lista de prevalência, idade ou confiança | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Bloquear a execução de scripts potencialmente obfuscados | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido | d3e037e1-3eb8-44c8-a917-57927947596d |
| Impedir que as aplicações do Office criem conteúdo executável | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Bloquear as aplicações do Office de injetar código noutros processos | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Bloquear a aplicação de comunicação do Office de criar processos infantil | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Bloquear a persistência através da subscrição de eventos WMI * As exclusões de ficheiros e pastas não são suportadas. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Bloquear as criações de processos com origem nos comandos PSExec e WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Bloquear processos não confiados e não assinados que são executados a partir de USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Bloquear chamadas da API Win32 a partir de macros do Office | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Utilizar proteção avançada contra ransomware | c1db55ab-c21a-4637-bb3f-a12568109d35 |
Modos de regra ASR
- Não configurado ou Desativado: o estado no qual a regra ASR não foi ativada ou foi desativada. O código para este estado = 0.
- Bloco: o estado no qual a regra ASR está ativada. O código para este estado é 1.
- Auditoria: o estado no qual a regra ASR é avaliada para o efeito que terá na organização ou ambiente se ativada (definida para bloquear ou avisar). O código para este estado é 2.
- Avisar O estado em que a regra ASR está ativada e apresenta uma notificação ao utilizador final, mas permite que o utilizador final o deslizar. O código para este estado é 6.
O modo de aviso é um tipo de modo de bloqueio que alerta os utilizadores sobre ações potencialmente arriscadas. Os utilizadores podem optar por não passar pela mensagem de aviso de bloqueio e permitir a ação sub acordo. Os utilizadores podem selecionar OK para impor o bloco ou selecionar a opção de bloqueio - Desbloquear - através da notificação de pop-up do utilizador final que é gerada na altura do bloco. Após o aviso ser desbloqueado, a operação é permitida até da próxima vez que a mensagem de aviso ocorrer, altura em que o utilizador final terá de reperformar a ação.
Quando o botão permitir é clicado, o bloco será suprimido durante 24 horas. Após 24 horas, o utilizador final terá de permitir o bloco novamente. O modo de aviso para regras ASR só é suportado para dispositivos RS5+ (1809+). Se a regra de bypass for atribuída às regras ASR em dispositivos com versões mais antigas, a regra estará no modo de bloqueio.
Também pode definir uma regra no modo de aviso através do PowerShell ao especificar o AttackSurfaceReductionRules_Actions como "Avisar". Por exemplo:
-command "& {&'Add-MpPreference' -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn"}
Descrições por regra
Bloquear a utilização abusiva de controldores vulneráveis com assinatura explorada
Esta regra impede uma aplicação de escrever um controlador vulnerável assinado ao disco. Os controldores com assinatura vulnerável e in-local podem ser explorados por aplicações locais - que tenham privilégios suficientes - para obter acesso ao kernel. Os controladores com assinaturas vulneráveis permitem aos atacadores desativar ou contornar as soluções de segurança, levando eventualmente a um compromisso do sistema.
A regra Bloquear a utilização abusiva de controldores vulneráveis assinados não bloqueia um controlador já existente no sistema para ser carregado.
Nota
Pode configurar esta regra com o MEM OMA-URI. Consulte MEM OMA-URI para configurar regras personalizadas.
Também pode configurar esta regra com o PowerShell.
Para ter um controlador examinado, utilize este site para Submeter um controlador para análise.
Intune Nome:Block abuse of exploited vulnerable signed drivers
Configuration Manager nome: Ainda não está disponível
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Tipo de ação de procura avançada:
- AsrVulnerableSignedDriverAudited
- AsrVulnerableSignedDriverBlocked
Impedir o Adobe Reader de criar processos infantil
Esta regra impede ataques ao bloquear a criação de processos no Adobe Reader.
O software maliceiro pode transferir e iniciar payloads e separar o Adobe Reader através de redes sociais ou exploits. Ao impedir que os processos de menor sejam gerados pelo Adobe Reader, os softwares malictivos que tentem utilizar o Adobe Reader como um vetor de ataque são impedidos de propagar.
Intune nome:Process creation from Adobe Reader (beta)
Configuration Manager nome: Ainda não está disponível
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Tipo de ação de procura avançada:
- AsrAdobeReaderChildProcessAudited
- AsrAdobeReaderChildProcessBlocked
Dependências: MDAV
Bloquear todas as aplicações do Office de criar processos infantil
Esta regra bloqueia a criação de processos infantil nas aplicações do Office. As aplicações do Office incluem o Word, Excel, PowerPoint, OneNote e Access.
Criar processos maliciosos para crianças é uma estratégia maliciosa comum. O software malictado que abuse do Office como um vetor geralmente executa macros VBA e explora código para transferir e tentar executar mais payloads. No entanto, algumas aplicações de linha de negócio legítimas também podem gerar processos infantil para fins benignos; como a criação de spawning de uma solicitação de comandos ou a utilização do PowerShell para configurar as definições de registo.
Intune nome:Office apps launching child processes
Configuration Manager nome:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Tipo de ação de procura avançada:
- AsrOfficeChildProcessAudited
- AsrOfficeChildProcessBlocked
Dependências: MDAV
Bloquear o roubo de credenciais do subssistema das autoridades de segurança local do Windows
Esta regra ajuda a impedir o roubo de credenciais ao bloquear o Serviço de Subssistema da Autoridade de Segurança Local (LSASS).
O LSASS autentica os utilizadores que inscreveram o seu trabalho num computador Windows. Normalmente, o Microsoft Defender Credential Guard no Windows impede a tentativa de extrair credenciais do LSASS. Algumas organizações não conseguem ativar o Guarda de Credenciais em todos os seus computadores devido a problemas de compatibilidade com controldores smartcard personalizados ou outros programas que carregam para a Autoridade de Segurança Local (LSA). Nestes casos, os atacantes podem utilizar ferramentas como Mimikatz para raspar palavras-passe claras e hashes NTLM do LSASS.
Nota
Em algumas aplicações, o código enumera todos os processos em execução e tenta abri-los com permissões exaustivas. Esta regra recusa a ação aberta do processo da aplicação e regista os detalhes no registo de eventos de segurança. Esta regra pode gerar muitos ruídos. Se tiver uma aplicação que enumera simplesmente o LSASS, mas que não tem nenhum impacto real na funcionalidade, não precisa de adicioná-la à lista de exclusões. Só por si, esta entrada de registo de eventos não indica necessariamente uma ameaça maliciosa.
Importante
O estado predefinido da regra de Redução da Superfície de Ataque (ASR) "Bloquear roubo de credenciais do subssistema das autoridades de segurança local do Windows (lsass.exe)" irá mudar de Não Configurado para Configurado e o modo predefinido definido para Bloquear . Todas as outras regras ASR permanecerão no estado predefinido: Não Configuradas. A lógica de filtragem adicional já foi incorporada na regra para reduzir as notificações do utilizador final. Os clientes podem configurar a regra para os modos Auditar, Avisar ou Desativado, o que irá predefinir o modo. As funcionalidades desta regra são as mesmas, quer a regra esteja configurada no modo on-by-default ou se ativar o Modo de bloqueio manualmente.
Intune nome:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager nome:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Tipo de ação de procura avançada:
- AsrLsassCredentialTheftAudited
- AsrLsassCredentialTheftBlocked
Dependências: MDAV
Bloquear conteúdo executável do cliente de e-mail e do webmail
Esta regra bloqueia o início dos seguintes tipos de ficheiro a partir do e-mail aberto na aplicação Microsoft Outlook ou do Outlook.com e de outros fornecedores de webmail populares:
- Ficheiros executáveis (como .exe, .dll ou .scr)
- Script files (como um ficheiro de .ps1 PowerShell, Visual Basic .vbs ou JavaScript .js)
Intune nome:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Nome Endpoint Manager Microsoft:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Tipo de ação de procura avançada:
- AsrExecutableEmailContentAudited
- AsrExecutableEmailContentBlocked
Dependências: MDAV
Nota
A regra Bloquear conteúdo executável do cliente de e-mail e do webmail tem as seguintes descrições alternativas, dependendo da aplicação que utilizar:
- Intune (Perfis de Configuração): a execução de conteúdo executável (exe, dll, ps, js, vbs, etc.) deixou de ser enviado do e-mail (cliente webmail/mail) (sem exceções).
- Endpoint Manager: bloquear a transferência de conteúdo executável a partir de clientes de e-mail e webmail.
- Política de Grupo: bloquear conteúdo executável do cliente de e-mail e do webmail.
Bloquear a execução de ficheiros executáveis a menos que coubem um critério de lista de prevalência, idade ou confiança
Esta regra bloqueia o lançamento de ficheiros executáveis, .exe, .dll ou .scr. Desta forma, iniciar ficheiros executáveis não detetados ou desconhecidos pode ser arriscado, uma vez que poderá não ser inicialmente claro se os ficheiros são maliciosos.
Importante
Tem de ativar a proteção fornecida na nuvem para utilizar esta regra.
A regra Bloquear a execução de ficheiros executáveis a menos que cumprem um critério de lista de prevalência, idade ou confiança com GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 pertence à Microsoft e não é especificada pelos administradores. Esta regra utiliza proteção fornecida na nuvem para atualizar a lista de confiança regularmente.
Pode especificar ficheiros ou pastas individuais (utilizando caminhos de pastas ou nomes de recursos completamente qualificados), mas não pode especificar a que regras ou exclusões se aplicam.
Intune nome:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager nome:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Tipo de ação de procura avançada:
- AsrUntrustedExecutableAudited
- AsrUntrustedExecutableBlocked
Dependências: MDAV, Proteção da Nuvem
Bloquear a execução de scripts potencialmente obfuscados
Esta regra deteta propriedades suspeitas dentro de um script obfuscado.
Importante
Os scripts do PowerShell foram temporariamente excluídos da regra "Bloquear a execução de scripts potencialmente obfuncionais" devido a problemas de FP de grande escala que se detetaram no passado.
A obfusão de scripts é uma técnica comum que tanto os autores de software malicioso como as aplicações legítimas utilizam para ocultar propriedade intelectual ou diminuir o tempo de carregamento de scripts. Os autores de software malicioso também utilizam a obfuscação para tornar o código malicioso mais difícil de ler, o que torna mais difícil fechar a análise por parte de um software para uso humano e de segurança.
Importante
Devido ao número elevado de falsos positivos, esta regra não deteta atualmente scripts do PowerShell; esta é uma solução temporária. A regra será atualizada e começará a remodelar scripts do PowerShell em breve.
Intune nome:Obfuscated js/vbs/ps/macro code
Configuration Manager nome:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Tipo de ação de procura avançada:
- AsrObfuscatedScriptAudited
- AsrObfuscatedScriptBlocked
Dependências: MDAV, AMSI
Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido
Esta regra impede que os scripts iniciem conteúdos transferidos potencialmente maliciosos. O software malictado escrito em JavaScript ou VBScript funciona frequentemente como um descarregador para obté-lo e iniciar outro software maliceiro da Internet.
Apesar de não ser comum, por vezes as aplicações de linha de negócio utilizam scripts para transferir e iniciar instaladores.
Intune nome:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager nome:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Tipo de ação de procura avançada:
- AsrScriptExecutableDownloadAudited
- AsrScriptExecutableDownloadBlocked
Dependências: MDAV, AMSI
Impedir que as aplicações do Office criem conteúdo executável
Esta regra impede que as aplicações do Office, incluindo o Word, Excel e PowerPoint, criem conteúdos executáveis potencialmente maliciosos, ao bloquear a escrita de código malicioso no disco.
O software malicioso que abuse do Office como um vetor pode tentar sair do Office e guardar componentes maliciosos no disco. Estes componentes maliciosos iriam continuar a ser reiniciados num computador e persistir no sistema. Portanto, esta regra defenderá contra uma técnica de persistência comum.
Intune nome:Office apps/macros creating executable content
Nome SCCM: Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Tipo de ação de procura avançada:
- AsrExecutableOfficeContentAudited
- AsrExecutableOfficeContentBlocked
Dependências: MDAV, RPC
Bloquear as aplicações do Office de injetar código noutros processos
Esta regra bloqueia as tentativas de injeção de código das aplicações do Office para outros processos.
Os atacantes podem tentar utilizar as aplicações do Office para migrar código malicioso para outros processos através da injeção de código, para que o código possa ser mascarado como um processo limpo.
Não existem objetivos empresariais legítimos conhecidos para a injeção de código.
Esta regra aplica-se ao Word, Excel e PowerPoint.
Intune nome:Office apps injecting code into other processes (no exceptions)
Configuration Manager nome:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Tipo de ação de procura avançada:
- AsrOfficeProcessInjectionAudited
- AsrOfficeProcessInjectionBlocked
Dependências: MDAV
Bloquear a aplicação de comunicação do Office de criar processos infantil
Esta regra impede o Outlook de criar processos infantil, permitindo, ao mesmo tempo, funções legítimas do Outlook.
Esta regra protege contra ataques de engenharia social e impede que o código de exploração abuse de vulnerabilidades no Outlook. Também protege contra regras e formulários do Outlook que os atacantes podem utilizar quando as credenciais de um utilizador estão comprometidos.
Nota
Esta regra bloqueia sugestões de políticas DLP e Deteções de Ferramentas no Outlook. Esta regra aplica-se apenas ao Outlook e Outlook.com regra.
Intune nome:Process creation from Office communication products (beta)
Configuration Manager nome: Não disponível
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Tipo de ação de procura avançada:
- AsrOfficeCommAppChildProcessAudited
- AsrOfficeCommAppChildProcessBlocked
Dependências: MDAV
Bloquear a persistência através da subscrição de eventos WMI
Esta regra impede que o malware abuse da WMI para detetar persistência num dispositivo.
Importante
As exclusões de ficheiros e pastas não se aplicam a esta regra de redução da superfície de ataque.
As ameaças sem ficheiros utilizam várias táticas para se manterem ocultas, para evitar serem vistas no sistema de ficheiros e para obter controlo de execução periódico. Algumas ameaças podem usar de forma abusiva o repositório e evento WMI modelo para permanecer oculto.
Intune nome: Não disponível
Configuration Manager nome: Não disponível
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Tipo de ação de procura avançada:
- AsrPersistenceThroughWmiAudited
- AsrPersistenceThroughWmiBlocked
Dependências: MDAV, RPC
Bloquear as criações de processos com origem nos comandos PSExec e WMI
Esta regra bloqueia a execução de processos criados através do PsExec e WMI . Tanto o PsExec como o WMI podem executar código remotamente. Existe o risco de abusar da funcionalidade de software maliceiro do PsExec e WMI para fins de comando e controlo ou de propagar uma infeção pela rede de uma organização.
Aviso
Utilize esta regra apenas se estiver a gerir os seus dispositivos com a Intune ou outra solução MDM. Esta regra é incompatível com a gestão através do Microsoft Endpoint Configuration Manager porque esta regra bloqueia os comandos WMI que o cliente Configuration Manager utiliza para funcionar corretamente.
Intune nome:Process creation from PSExec and WMI commands
Configuration Manager nome: Não aplicável
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Tipo de ação de procura avançada:
- AsrPsexecWmiChildProcessAudited
- AsrPsexecWmiChildProcessBlocked
Dependências: MDAV
Bloquear processos não confiados e não assinados que são executados a partir de USB
Com esta regra, os administradores podem impedir a execução de ficheiros executáveis não assinados ou não confiados a partir de pens USB amovíveis, incluindo cartões SD. Os tipos de ficheiro bloqueados incluem ficheiros executáveis (como .exe, .dll ou .scr)
Importante
Os ficheiros copiados da USB para a unidade de disco serão bloqueados por esta regra se e quando estiver prestes a ser executado na unidade de disco.
Intune nome:Untrusted and unsigned processes that run from USB
Configuration Manager nome:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Tipo de ação de procura avançada:
- AsrUntrustedUsbProcessAudited
- AsrUntrustedUsbProcessBlocked
Dependências: MDAV
Bloquear chamadas da API Win32 a partir de macros do Office
Esta regra impede as macros do VBA de chamar APIs Win32.
O VBA do Office ativa as chamadas da API win32. O software malicioso pode usar esta capacidade de forma abusiva, como ligar para APIs do Win32 para iniciar códigos de shell maliciosos sem escrever nada diretamente no disco. A maioria das organizações não dependem da capacidade de ligar para APIs Win32 no seu funcionamento diariamente, mesmo que utilizem macros de outras formas.
Sistemas operativos suportados:
- Windows 10, versão 1709
- Windows Server, versão 1809
- Windows Server 2019
- Configuration Manager CB 1710
Intune nome:Win32 imports from Office macro code
Configuration Manager nome:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Tipo de ação de procura avançada:
- AsrOfficeMacroWin32ApiCallsAudited
- AsrOfficeMacroWin32ApiCallsBlocked
Dependências: MDAV, AMSI
Utilizar proteção avançada contra ransomware
Esta regra fornece uma camada extra de proteção contra ransomware. Utiliza a heurística do cliente e da nuvem para determinar se um ficheiro se assemelha ao ransomware. Esta regra não bloqueia ficheiros que tenham uma ou mais das seguintes características:
- O ficheiro já foi encontrado como obscuro na nuvem da Microsoft.
- O ficheiro é um ficheiro assinado válido.
- O ficheiro é suficientemente prevalente para não ser considerado como ransomware.
A regra tende a ser preterida na parte lateral da atenção para impedir o ransomware.
Nota
Tem de ativar a proteção fornecida na nuvem para utilizar esta regra.
Intune nome:Advanced ransomware protection
Configuration Manager nome:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Tipo de ação de procura avançada:
- AsrRansomwareAudited
- AsrRansomwareBlocked
Dependências: MDAV, Proteção da Nuvem