Criar e implementar uma política de Exploit Guard

  • Artigo

Aplica-se a: Configuration Manager (ramo atual)

Pode configurar e implementar políticas de Gestor de Configuração que gerem os quatro componentes da Windows Defender Exploit Guard. Estes componentes incluem:

  • Redução da Superfície de Ataque
  • Acesso a pastas controladas
  • Exploit Protection
  • Proteção de rede

Os dados de conformidade para a implementação da política da Exploit Guard estão disponíveis a partir da consola Do Gestor de Configuração.

Nota

O Gestor de Configuração não ativa esta funcionalidade opcional por predefinição. Deve ativar esta função antes de a utilizar. Para mais informações, consulte Enable optional features from updates.

Pré-requisitos

Os dispositivos geridos devem ser executados Windows 10 1709 Fall Creators Update ou mais tarde e satisfazer os seguintes requisitos dependendo dos componentes e regras configurados:

Explorar componente da Guarda Pré-requisitos adicionais
Redução da Superfície de Ataque Os dispositivos devem ter o Microsoft Defender para proteção sempre ativada.
Acesso a pastas controladas Os dispositivos devem ter o Microsoft Defender para proteção sempre ativada.
Exploit Protection Nenhuma
Proteção de rede Os dispositivos devem ter o Microsoft Defender para proteção sempre ativada.

Criar uma política de Guarda de Exploração

  1. Na consola 'Gestor de Configuração', aceda a Ativos e compliance > Endpoint Protection e, em seguida, clique em Windows Defender Exploit Guard.

  2. No separador Casa, no grupo Criar, clique em Criar Política de Exploração.

  3. Na página Geral do Assistente de Criação de Item de Configuração, especifique um nome e uma descrição opcional para o item de configuração.

  4. Em seguida, selecione os componentes da Proteção de Exploração que pretende gerir com esta política. Para cada componente que selecionar, pode então configurar detalhes adicionais.

    • Redução da superfície de ataque: Configure a ameaça Office, ameaças de script e ameaças de e-mail que pretende bloquear ou auditar. Também pode excluir ficheiros ou pastas específicos desta regra.
    • Acesso de pasta controlada: Configure o bloqueio ou a auditoria e, em seguida, adicione Apps que possam contornar esta política. Também pode especificar pastas adicionais que não estão protegidas por defeito.
    • Proteção de exploração: Especifique um ficheiro XML que contenha configurações para atenuar as explorações de processos e aplicações do sistema. Pode exportar estas definições a partir da aplicação Windows Defender Security Center num dispositivo Windows 10.
    • Proteção da rede: Desconfie a proteção da rede para bloquear ou auditar o acesso a domínios suspeitos.

  5. Preencha o assistente para criar a política, que pode ser implementada mais tarde nos dispositivos.

    Aviso

    O ficheiro XML para proteção de exploração deve ser mantido seguro ao transferi-lo entre máquinas. O ficheiro deve ser eliminado após a importação ou mantido num local seguro.

Implementar uma política de Guarda de Exploração

Depois de criar as políticas de Proteção de Exploração, utilize o assistente de política de proteção de exploração de implementação para as implementar. Para tal, abra a consola Do Gestor de Configuração para Ativos e compliance > Endpoint Protection e, em seguida, clique em Implementar a Política de Guarda de Exploração.

Importante

Uma vez implementada uma política de Proteção de Exploração, como a redução de superfície de ataque ou o acesso a pasta controlada, as definições da Proteção de Exploração não serão removidas dos clientes se remover a implementação. Delete not supported é gravado no ExploitGuardHandler do cliente.log se remover a implementação da Proteção de Exploração do cliente. O seguinte script PowerShell pode ser executado no contexto SYSTEM para remover estas definições:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

Windows Defender Explorar as definições de política da Guarda

Políticas e opções de redução de superfície de ataque

A Attack Surface Reduction pode reduzir a superfície de ataque das suas aplicações com regras inteligentes que impedem os vetores utilizados por Office, script e malware baseado em correio. Saiba mais sobre a Redução de Superfície de Ataque e os IDs de evento utilizados para o mesmo.

  • Ficheiros e pastas para excluir das regras de Redução de Superfície de Ataque - Clique em Conjunto e especifique quaisquer ficheiros ou pastas para excluir.

  • Ameaças de e-mail:

    • Bloqueie o conteúdo executável a partir de e-mail cliente e webmail.
      • Não configurado
      • Bloquear
      • Auditoria

  • Office Ameaças:

    • Bloquear Office aplicação de criação de processos infantis.
      • Não configurado
      • Bloquear
      • Auditoria
    • Bloqueie Office aplicações de criação de conteúdo executável.
      • Não configurado
      • Bloquear
      • Auditoria
    • Bloqueie Office aplicações de injetar código em outros processos.
      • Não configurado
      • Bloquear
      • Auditoria
    • Bloqueie as chamadas da API do Bloco Win32 a partir de macros Office.
      • Não configurado
      • Bloquear
      • Auditoria

  • Ameaças de script:

    • Bloqueie o JavaScript ou o VBScript do lançamento de conteúdo executável descarregado.
      • Não configurado
      • Bloquear
      • Auditoria
    • Bloqueie a execução de scripts potencialmente obfuscados.
      • Não Configurado
      • Bloquear
      • Auditoria

  • Ameaças de ransomware: (a partir da versão 1802 do Gestor de Configuração)

    • Utilize uma proteção avançada contra ransomware.
      • Não configurado
      • Bloquear
      • Auditoria

  • Ameaças do sistema operativo: (a partir da versão 1802 do Gestor de Configuração)

    • Bloquear o roubo do subsistema da autoridade de segurança local Windows.
      • Não configurado
      • Bloquear
      • Auditoria
    • Impeça ficheiros executáveis de serem executados a menos que cumpram uma lista de critérios de prevalência, idade ou fidedignidade.
      • Não configurado
      • Bloquear
      • Auditoria

  • Ameaças de dispositivos externos: (a partir da versão 1802 do Gestor de Configuração)

    • Bloqueie processos não fidedignos e não assinados executados a partir de USB.
      • Não configurado
      • Bloquear
      • Auditoria

Políticas e opções de acesso a pasta controladas

Ajuda a proteger ficheiros nas principais pastas do sistema a partir de alterações feitas por aplicações maliciosas e suspeitas, incluindo malware ransomware encriptado por ficheiros. Para obter mais informações, consulte o acesso à pasta Controlled e os IDs de evento que utiliza.

  • Acesso de pasta controlada configure:
    • Bloquear
    • Sectores de disco de blocos apenas (a partir da versão 1802 do Gestor de Configuração)
      • Permite que o acesso de pasta controlada seja ativado apenas para sectores de arranque e não permite a proteção de pastas específicas ou de pastas protegidas por defeito.
    • Auditoria
    • Sectores de auditoria apenas (a partir da versão 1802 do Gestor de Configuração)
      • Permite que o acesso de pasta controlada seja ativado apenas para sectores de arranque e não permite a proteção de pastas específicas ou de pastas protegidas por defeito.
    • Desativado
  • Permitir o acesso de apps através de pasta controlada -Clique no set e especifique aplicações.
  • Pastas protegidas adicionais -Clique no set e especifique pastas protegidas adicionais.

Explorar políticas de proteção

Aplica técnicas de mitigação de exploração a processos do sistema operativo e aplicações que a sua organização utiliza. Estas definições podem ser exportadas a partir da aplicação Windows Defender Security Center em dispositivos Windows 10. Para mais informações, consulte a proteção de Exploração.

  • Explorar a proteção XML: -Clique em Navegar e especifique o ficheiro XML para importar.

    Aviso

    O ficheiro XML para proteção de exploração deve ser mantido seguro ao transferi-lo entre máquinas. O ficheiro deve ser eliminado após a importação ou mantido num local seguro.

Política de proteção da rede

Ajuda a minimizar a superfície de ataque em dispositivos a partir de ataques baseados na Internet. O serviço restringe o acesso a domínios suspeitos que possam acolher esquemas de phishing, explorações e conteúdo malicioso. Para obter mais informações, consulte a proteção da rede.

  • Proteção da rede configure:
    • Bloquear
    • Auditoria
    • Desativado