Compreender e utilizar as capacidades de redução da superfície de ataque
Aplica-se a:
- Microsoft 365 Defender
- API do Microsoft Defender para Endpoint 1
- API do Microsoft Defender para Endpoint 2
- Antivírus do Microsoft Defender
Plataformas
- Windows
Dica
Quer experimentar o Microsoft Defender para Endpoint? Inscrever-se para uma avaliação gratuita.
As superfícies de ataque são todos os locais onde a sua organização está vulnerável a ciberataques e ataques. O Defender para Pontos Finais inclui várias funcionalidades para ajudar a reduzir as superfícies de ataque. Veja o seguinte vídeo para saber mais sobre a redução da superfície de ataque.
Configurar capacidades de redução da superfície de ataque
Para configurar a redução da superfície de ataque no seu ambiente, siga estes passos:
Ative o isolamento baseado em hardware para o Microsoft Edge.
Ativar o controlo da aplicação.
- Rever políticas base no Windows. Consulte Exemplos de Políticas Base.
- Consulte o guia Windows Defender de estruturação do Controlo da Aplicação.
- Consulte Implementar políticas de Windows Defender de Controlo de Aplicações (WDAC).
Configurar a firewall da sua rede.
- Obter uma visão geral dos Firewall do Windows Defender com segurança avançada.
- Utilize o Firewall do Windows Defender de estrutura da Equipa para decidir como pretende estruturar as suas políticas de firewall.
- Utilize o Firewall do Windows Defender de implementação para configurar a firewall da sua organização com segurança avançada.
Dica
Na maioria dos casos, ao configurar as capacidades de redução da superfície de ataque, pode escolher entre vários métodos:
- Microsoft Endpoint Manager (que agora inclui Microsoft Intune Microsoft Endpoint e Microsoft Endpoint Configuration Manager)
- Política de Grupo
- Cmdlets do PowerShell
Testar a redução da superfície de ataque Microsoft Defender para Endpoint
Como parte da equipa de segurança da sua organização, pode configurar as capacidades de redução da superfície de ataque para executar em modo de auditoria para ver como funcionam. Pode ativar as seguintes funcionalidades de segurança ASR no modo de auditoria:
- Regras de redução da superfície de ataque
- Proteção contra exploits
- Proteção da rede
- Acesso controlado a pastas
- Controlo de dispositivos
O modo de auditoria permite-lhe ver um registo do que teria ocorrido se tivesse ativado a funcionalidade.
Pode ativar o modo de auditoria quando testar como as funcionalidades irão funcionar. Ativar o modo de auditoria apenas para testes ajuda a impedir que o modo de auditoria afete as suas aplicações de linha de negócio. Também pode ter uma noção de quantas tentativas de modificação de ficheiros suspeitas ocorrem durante um determinado período de tempo.
As funcionalidades não bloqueiam ou impedem a modificação de aplicações, scripts ou ficheiros. No entanto, o Registo de Eventos do Windows gravará eventos como se as funcionalidades estivessem totalmente ativadas. Com o modo de auditoria, pode rever o registo de eventos para ver o que afetaria a funcionalidade se estivesse ativada.
Para encontrar as entradas auditadas, vá a Aplicações e Serviços Microsoft > > Windows > Windows Defender > Operacional.
Utilize o Defender para Ponto Final para obter mais detalhes para cada evento. Estes detalhes são especialmente úteis para investigar regras de redução da superfície de ataque. A utilização da consola do Defender para Pontos Finais permite-lhe investigar problemas como parte dos cenários de investigação e linha de tempo de alerta.
Pode ativar o modo de auditoria através Política de Grupo fornecedores de serviços de configuração e fornecedores de serviços de configuração (CSPs).
| Opções de auditoria | Como ativar o modo de auditoria | Como ver eventos |
|---|---|---|
| A auditoria aplica-se a todos os eventos | Ativar o acesso controlado a pastas | Eventos de acesso controlado a pastas |
| A auditoria aplica-se a regras individuais | Passo 1: Testar regras ASR através do Modo de auditoria | Passo 2: Compreender a página de relatórios Sobre a redução da superfície de ataque |
| A auditoria aplica-se a todos os eventos | Ativar a proteção da rede | Eventos de proteção de rede |
| A auditoria aplica-se a mitigações individuais | Ativar a proteção contra exploits | Exploit protection events |
Por exemplo, pode testar as regras de redução da superfície de ataque no modo de auditoria antes de as ativar (modo de bloqueio). As regras de redução da superfície de ataque (ASR) são predefinadas para endurecer superfícies de ataque comuns conhecidas. Existem vários métodos que pode utilizar para implementar regras de redução da superfície de ataque. O método preferido está documentado nos seguintes tópicos de redução da superfície de ataque (ASR):
- Descrição geral da implementação de regras de redução da superfície de ataque (RSA)
- Planear a implementação de regras de redução da superfície de ataque (RSA)
- Testar regras de redução da superfície de ataque (RSA)
- Ativar regras de redução da superfície de ataque (RSA)
- Operacionalizar regras de redução da superfície de ataque (RSA)
Ver eventos de redução da superfície de ataque
Reveja os eventos de redução da superfície Visualizador de Eventos para monitorizar que regras ou definições estão a funcionar. Também pode determinar se algumas definições são demasiado "barulhens" ou a afetar o seu fluxo de trabalho do dia a dia.
Rever eventos é útil quando está a avaliar as funcionalidades. Pode ativar o modo de auditoria para funcionalidades ou definições e, em seguida, rever o que teria ocorrido se estas estivessem totalmente ativadas.
Esta secção lista todos os eventos, a respetiva funcionalidade ou definição associada e descreve como criar vistas personalizadas para filtrar eventos específicos.
Faça relatórios detalhados sobre eventos, blocos e avisos como Segurança do Windows se tiver uma subscrição do E5 e utilizar o Microsoft Defender para Endpoint.
Utilizar vistas personalizadas para rever as capacidades de redução da superfície de ataque
Crie vistas personalizadas no Windows Visualizador de Eventos para ver apenas eventos para funcionalidades e definições específicas. A forma mais fácil de o fazer é importar uma vista personalizada como um ficheiro XML. Pode copiar o XML diretamente a partir desta página.
Também pode navegar manualmente para a área do evento que corresponde à funcionalidade.
Importar uma vista XML personalizada existente
Crie um ficheiro .txt e copie o XML para a vista personalizada que pretende utilizar para o .txt Ficheiro. Re fazê-lo para cada uma das vistas personalizadas que pretende utilizar. Mude o nome dos ficheiros da seguinte forma (certifique-se de que altera o tipo .txt para .xml):
- Vista personalizada de eventos de acesso a pastas controlada:cfa-events.xml
- Exploit protection events custom view: ep-events.xml
- Vista personalizada de redução de eventos de superfície de ataque:asr-events.xml
- Vista personalizada de eventos de proteção/rede: np-events.xml
Escreva visualista de eventos no menu Iniciar e abra o Visualizador de Eventos.
Selecione Action > Import Custom View...
Navegue para onde extraiu o ficheiro XML para a vista personalizada que pretende e selecione-o.
Selecione Abrir.
Irá criar uma vista personalizada que filtra para mostrar apenas os eventos relacionados com essa funcionalidade.
Copiar o XML diretamente
Escreva visualista de eventos no menu Iniciar e abra a janela windows Visualizador de Eventos.
No painel esquerdo, em Ações, selecione Criar Vista Personalizada...
Vá para o separador XML e selecione Editar consulta manualmente. Verá um aviso a indicar que não é possível editar a consulta com o separador Filtro se utilizar a opção XML. Selecione Sim.
Colar o código XML da funcionalidade de que pretende filtrar eventos na secção XML.
Selecione OK. Especifique um nome para o seu filtro. Esta ação cria uma vista personalizada que filtra para mostrar apenas os eventos relacionados com essa funcionalidade.
Eventos de regra de redução da superfície de ataque XML para
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de acesso a pastas controladas
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML para eventos de exploit protection
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML para eventos de proteção de rede
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Lista de eventos de redução da superfície de ataque
Todos os eventos de redução da superfície de ataque estão localizados em Registos de Aplicações e Serviços > Microsoft > Windows e, em seguida, a pasta ou fornecedor conforme indicado na seguinte tabela.
Pode aceder a estes eventos no visualista de Eventos do Windows:
Abra o menu Iniciar, escreva visualista de eventos e, em seguida, selecione o Visualizador de Eventos resultado.
Expanda Registos de Aplicações e serviços > Microsoft > Windows e, em seguida, aceda à pasta listada em Fornecedor /origem na tabela abaixo.
Faça duplo clique no sub item para ver eventos. Percorra os eventos para encontrar o que procura.
| Funcionalidade | Fornecedor/origem | ID do Evento | Descrição |
|---|---|---|---|
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 1 | Auditoria ACG |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 2 | Impor ACG |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 3 | Não permitir auditorias de processos de crianças |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 4 | Não permitir o bloqueio de processos de crianças |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 5 | Bloquear auditoria de imagens de baixa integridade |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 6 | Bloquear bloco de imagens de baixa integridade |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 7 | Bloquear auditoria de imagens remotas |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 8 | Bloquear bloco de imagens remotas |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 9 | Desativar a auditoria de chamadas de sistema do win32k |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 10 | Desativar o bloqueio de chamadas de sistema win32k |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 11 | Auditoria do Code Integrity Guard |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 12 | Bloco de segurança de código |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 13 | Auditoria EAF |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 14 | Impor a EAF |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 15 | Auditoria EAF+ |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 16 | Impor EAF+ |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 17 | Auditoria IAF |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 18 | Impor IAF |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 19 | Auditoria ROP StackPivot |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 20 | Impor ROP StackPivot |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 21 | Auditoria de Chamadas ROPCheck |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 22 | Impor Por Telefone de Chamadas ROP |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 23 | Auditoria ROP SimExec |
| Proteção contra exploits | Security-Mitigations (Modo Kernel/Modo de Utilizador) | 24 | Impor ROP SimExec |
| Proteção contra exploits | WER-Diagnostics | 5 | Bloco CFG |
| Proteção contra exploits | Win32K (Operacional) | 260 | Tipo de Letra Não Confiado |
| Proteção da rede | Windows Defender (Operacional) | 5007 | Evento quando as definições são alteradas |
| Proteção da rede | Windows Defender (Operacional) | 1125 | Evento quando a Proteção de rede é atenhada no Modo de auditoria |
| Proteção da rede | Windows Defender (Operacional) | 1126 | Evento quando a Proteção da rede é ateada no modo de Bloqueio |
| Acesso controlado a pastas | Windows Defender (Operacional) | 5007 | Evento quando as definições são alteradas |
| Acesso controlado a pastas | Windows Defender (Operacional) | 1124 | Evento de acesso controlado a pastas auditadas |
| Acesso controlado a pastas | Windows Defender (Operacional) | 1123 | Evento de acesso controlado por pastas bloqueadas |
| Acesso controlado a pastas | Windows Defender (Operacional) | 1127 | Evento de bloqueio de bloco de acesso de pastas controlada ao setor de escrita |
| Acesso controlado a pastas | Windows Defender (Operacional) | 1128 | Evento de bloco de escrita do setor de escrita do acesso controlado a pastas auditada |
| Redução da superfície de ataque | Windows Defender (Operacional) | 5007 | Evento quando as definições são alteradas |
| Redução da superfície de ataque | Windows Defender (Operacional) | 1122 | Evento quando a regra é atenhada no Modo de auditoria |
| Redução da superfície de ataque | Windows Defender (Operacional) | 1121 | Evento quando a regra é ateada no modo de Bloqueio |
Nota
Da perspetiva do utilizador, as notificações do modo asR Warn são feitas como uma Notificação de Alerta do Windows para regras de redução da superfície de ataque.
No ASR, a Proteção da Rede fornece apenas modos de Auditoria e Bloqueio.
Recursos para saber mais sobre a redução da superfície de ataque
Tal como mencionado no vídeo, o Defender para Pontos Finais inclui várias capacidades de redução da superfície de ataque. Utilize os seguintes recursos para saber mais:
| Artigo | Descrição |
|---|---|
| Controlo de aplicação | Utilize o controlo da aplicação para que as suas aplicações têm de ganhar confiança para podeem ser executadas. |
| Referência de regras de redução da superfície de ataque (RSA) | Fornece detalhes sobre cada regra de redução da superfície de ataque. |
| Guia de implementação de regras de redução da superfície de ataque (RSA) | Apresenta informações gerais e pré-requisitos para implementar regras de redução da superfície de ataque, seguidas de orientação passo a passo para testes (modo de auditoria), ativação (modo de bloqueio) e monitorização. |
| Acesso controlado a pastas | Ajude a impedir que as aplicações maliciosas ou suspeitas (incluindo software malware de encriptação de ficheiros e ransomware) efevem alterações aos ficheiros nas suas pastas chave de sistema (É necessário o Antivírus do Microsoft Defender). |
| Controlo de dispositivos | Protege contra a perda de dados ao monitorizar e controlar os suportes de dados utilizados em dispositivos, como o armazenamento amovível e as pens USB, na sua organização. |
| Proteção contra exploits | Ajude a proteger os sistemas operativos e as aplicações que a sua organização utiliza para que não seja explorada. A exploit protection também funciona com soluções antivírus de terceiros. |
| Isolamento baseado em hardware | Proteja e mantenha a integridade de um sistema à medida que este é iniciado e enquanto está em execução. Valide a integridade do sistema através da atestado local e remoto. Utilize isolamento de contentores para o Microsoft Edge para ajudar a proteger contra sites maliciosos. |
| Proteção da rede | Expandir a proteção para o tráfego de rede e conectividade nos dispositivos da sua organização. (Necessita do Antivírus do Microsoft Defender). |
| Testar regras de redução da superfície de ataque (RSA) | Fornece passos para utilizar o modo de auditoria para testar as regras de redução da superfície de ataque. |
| Proteção Web | A proteção Web permite-lhe proteger os seus dispositivos contra ameaças web e ajuda-o a regular conteúdos indesejados. |